チュートリアル: ハブ アンド スポーク ネットワークで NAT ゲートウェイを使用する
ハブ アンド スポーク ネットワークは、高可用性の複数の場所のネットワーク インフラストラクチャの構成要素の 1 つです。 ハブ アンド スポーク ネットワークの最も一般的なデプロイは、すべてのスポーク間および送信インターネット トラフィックを中央ハブ経由でルーティングする目的で行われます。 その目的は、セキュリティ スキャンとパケット検査のために、ネットワーク仮想アプライアンス (NVA) を使用してネットワークを通過するすべてのトラフィックを検査することです。
インターネットへの送信トラフィックの場合、通常、ネットワーク仮想アプライアンスには、割り当てられたパブリック IP アドレスを持つ 1 つのネットワーク インターフェイスがあります。 送信トラフィックを検査した NVA は、トラフィックをパブリック インターフェイスからインターネットに転送します。 Azure NAT Gateway を使用すると、パブリック IP アドレスを NVA に割り当てる必要がなくなります。 NAT ゲートウェイを NVA のパブリック サブネットに関連付けると、パブリック インターフェイスのルーティングが変更され、すべての送信インターネット トラフィックが NAT ゲートウェイ経由でルーティングされます。 パブリック IP アドレスの排除により、セキュリティが向上し、複数のパブリック IP アドレスとパブリック IP プレフィックスの一方または両方を使用して、アウトバウンドの送信元ネットワーク アドレス変換 (SNAT) をスケーリングできます。
重要
この記事で使用する NVA はデモンストレーションのみを目的としており、Ubuntu 仮想マシンでシミュレートされています。 このソリューションには、NVA のデプロイの高可用性のためのロード バランサーは含まれていません。 この記事の Ubuntu 仮想マシンを、任意の NVA に置き換えてください。 ルーティングと構成の手順については、選択した NVA のベンダーにお問い合わせください。 高可用性 NVA インフラストラクチャには、ロード バランサーと可用性ゾーンをお勧めします。
このチュートリアルで学習する内容は次のとおりです。
- NAT ゲートウェイを作成します。
- ハブ アンド スポーク仮想ネットワークを作成します。
- シミュレートされたネットワーク仮想アプライアンス (NVA) を作成します。
- スポークからのすべてのトラフィックがハブを経由するように強制します。
- ハブとスポーク内のすべてのインターネット トラフィックを NAT ゲートウェイから送信するように強制します。
- NAT ゲートウェイとスポーク間ルーティングをテストします。
前提条件
- アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
NAT ゲートウェイを作成する
すべての送信インターネット トラフィックは、NAT ゲートウェイを経由してインターネットに送られます。 次の例を使用して、ハブ アンド スポーク ネットワークの NAT ゲートウェイを作成します。
Azure portal にサインインします。
ポータルの上部にある検索ボックスに、「NAT ゲートウェイ」と入力します。 検索結果から [NAT ゲートウェイ] を選択します。
[+ 作成] を選択します。
[ネットワーク アドレス変換 (NAT) ゲートウェイを作成します] の [基本] タブで、次の情報を入力または選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group [新規作成] を選択します。
[名前] に「test-rg」と入力します。
[OK] を選択します。インスタンスの詳細 NAT ゲートウェイ名 「nat-gateway」と入力します。 リージョン [米国東部 2] を選択します。 可用性ゾーン [ゾーン] または [ゾーンなし] を選択します。 TCP アイドル タイムアウト (分) 既定値の [4] のままにします。 [次へ: 送信 IP] を選択します。
[送信 IP] の [パブリック IP アドレス] で [新しいパブリック IP アドレスの作成] を選択します。
[名前] に「public-ip-nat」と入力します。
[OK] を選択します。
[Review + create](レビュー + 作成) を選択します。
[作成] を選択します
ハブ仮想ネットワークの作成
ハブ仮想ネットワークは、ソリューションの中央ネットワークです。 ハブ ネットワークには、NVA アプライアンス、パブリック サブネット、プライベート サブネットが含まれています。 NAT ゲートウェイは、仮想ネットワークの作成時にパブリック サブネットに割り当てられます。 次の例の一部として、Azure Bastion ホストが構成されます。 bastion ホストは、NVA 仮想マシンと、この記事の後半でスポークにデプロイされるテスト仮想マシンに安全に接続するために使用されます。
ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果で、[仮想ネットワーク] を選択します。
[+ 作成] を選択します。
[仮想ネットワークの作成] の [基本] タブで、次の情報を入力するか選びます。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 名前 「vnet-hub」と入力します。 リージョン [米国東部 2] を選択します。 [次へ] を選択して、[セキュリティ] タブに進みます。
[セキュリティ] タブの [Azure Bastion] セクションで [Bastion を有効にする] を選択します。
Azure Bastion では、プライベート IP アドレスを使用して Secure Shell (SSH) またはリモート デスクトップ プロトコル (RDP) を介して、仮想ネットワーク内の VM にブラウザーで接続します。 VM には、パブリック IP アドレス、クライアント ソフトウェア、または特別な構成は必要ありません。 Azure Bastion の詳細については、Azure Bastion に関するページをご覧ください。
[Azure Bastion] で、次の情報を入力または選択します。
設定 値 Azure Bastion ホスト名 「bastion」と入力します。 Azure Bastion のパブリック IP アドレス [Create a public IP address] (パブリック IP アドレスを作成する) を選びます。
[名前] に「public-ip」と入力します。
を選択します。[次へ] を選択して、[IP アドレス] タブに進みます。
[サブネット] のアドレス空間ボックスで、既定のサブネットを選択します。
[サブネットの編集] で次の情報を入力または選択します。
設定 値 サブネットの詳細 サブネット テンプレート 既定値の [既定] のままにします。 名前 「subnet-private」と入力します。 開始アドレス 既定値の 10.0.0.0 のままにします。 サブネットのサイズ 既定値の /24(256 アドレス) のままにします。 [保存] を選択します。
[+ サブネットの追加] を選択します。
[サブネットの追加] で、次の情報を入力または選択します。
設定 値 サブネットの詳細 サブネット テンプレート 既定値の [既定] のままにします。 名前 「subnet-public」と入力します。 開始アドレス 10.0.253.0 と入力します。 サブネットのサイズ /28 (16 アドレス) を選択します。 Security NAT Gateway [nat-gateway] を選択します。 [追加] を選択します。
[Review + create](レビュー + 作成) を選択します。
[作成] を選択します。
bastion ホストがデプロイされるまでに数分かかります。 デプロイの一環として仮想ネットワークが作成されたら、次の手順に進むことができます。
シミュレートされた NVA 仮想マシンを作成する
シミュレートされた NVA は、スポークとハブの間のすべてのトラフィックとインターネットに送信されるトラフィックをルーティングする仮想アプライアンスとして機能します。 シミュレートされた NVA には Ubuntu 仮想マシンを使用します。 次の例を使用して、シミュレートされた NVA を作成し、ネットワーク インターフェイスを構成します。
ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
[+ 作成] を選択し、[Azure 仮想マシン] を選択します。
[仮想マシンの作成] の [基本] タブで、次の情報を入力または選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 仮想マシン名 「vm-nva」と入力します。 リージョン [(米国) 米国東部 2] を選択します。 可用性のオプション [インフラストラクチャ冗長は必要ありません] を選択します。 セキュリティの種類 [Standard] を選択します。 Image [Ubuntu Server 22.04 LTS - x64 Gen2] を選びます。 VMアーキテクチャ 既定値の [x64] のままにします。 サイズ サイズを選択します。 管理者アカウント 認証の種類 [パスワード] を選択します。 ユーザー名 ユーザー名を入力します。 Password パスワードを入力します。 パスワードの確認 パスワードを再入力します。 受信ポートの規則 パブリック受信ポート [なし] を選択します。 [次へ: ディスク]、[次へ: ネットワーク] の順に選択します。
[ネットワーク] タブで、次の情報を入力または選択します。
設定 値 ネットワーク インターフェイス 仮想ネットワーク [vnet-hub] を選択します。 Subnet [subnet-public (10.0.253.0/28)] を選択します。 パブリック IP [なし] を選択します。 NIC ネットワーク セキュリティ グループ [Advanced] \(詳細設定) を選択します。 ネットワーク セキュリティ グループを構成する [新規作成] を選択します。
[名前] に「nsg-nva」と入力します。
を選択します。残りのオプションは既定値のままにし、[確認と作成] を選びます。
[作成] を選択します
仮想マシンのネットワーク インターフェイスを構成する
既定では、仮想マシンのプライマリ ネットワーク インターフェイスの IP 構成は動的に設定されています。 次の例を使用して、プライマリ ネットワーク インターフェイスの IP 構成を静的に変更し、NVA のプライベート インターフェイス用のセカンダリ ネットワーク インターフェイスを追加します。
ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
[vm-nva] を選択します。
[概要] で、仮想マシンが実行されている場合は [停止] を選びます。
[設定] の [ネットワーク] を選択します。
[ネットワーク] で、[ネットワーク インターフェイス] の横にあるネットワーク インターフェイス名を選びます。 インターフェイス名は、仮想マシン名とランダムな数字と文字です。 この例では、インターフェイス名は vm-nva271 です。
そのネットワーク インターフェイスのプロパティの [設定] で、 [IP 構成] を選択します。
[IP 転送を有効にする] の横にあるボックスを選択します。
[適用] を選択します。
適用アクションが完了したら、[ipconfig1] を選択します。
[割り当て] の [ipconfig1] で [静的] を選びます。
プライベート IP アドレス に 10.0.253.10 と入力します。
[保存] を選択します。
保存アクションが完了したら、vm-nva のネットワーク構成に戻ります。
vm-nva の [ネットワーク] で、[ネットワーク インターフェイスのアタッチ] を選択します。
[Create and attach network interface](ネットワーク インターフェイスの作成と接続) を選択します。
[ネットワーク インターフェイスの作成] で、次の情報を入力するか選びます:
設定 値 プロジェクトの詳細 Resource group test-rg を選択します。 ネットワーク インターフェイス 名前 「nic-private」と入力します。 Subnet [subnet-private (10.0.0.0/24)] を選択します。 NIC ネットワーク セキュリティ グループ [Advanced] \(詳細設定) を選択します。 ネットワーク セキュリティ グループを構成する [nsg-nva] を選択します。 プライベート IP アドレスの割り当て [静的] を選択します。 プライベート IP アドレス 「10.0.0.10」と入力します。 [作成] を選択します
仮想マシン ソフトウェアを構成する
シミュレートされた NVA のルーティングでは、Ubuntu 仮想マシンの IP テーブルと内部 NAT が使用されます。 Azure Bastion を使用して NVA 仮想マシンに接続して、IP テーブルとルーティング構成を構成します。
ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
[vm-nva] を選択します。
vm-nva を起動します。
仮想マシンの起動が完了したら、次の手順に進みます。
[操作] で、[Bastion] を選択します。
仮想マシンの作成時に入力したユーザー名とパスワードを入力します。
[接続] を選択します。
仮想マシンのプロンプトに次の情報を入力して、IP 転送を有効にします:
sudo vim /etc/sysctl.confVim エディターで、
net.ipv4.ip_forward=1の行から#を削除します:Insert キーを押します。
# Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1Esc キーを押します。
「
:wq」と入力して、Enter キーを押します。次の情報を入力して、仮想マシンで内部 NAT を有効にします:
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo apt-get update sudo apt install iptables-persistent[はい] を 2 回選びます。
sudo su iptables-save > /etc/iptables/rules.v4 exitVim を使用して、次の情報を使用して構成を編集します:
sudo vim /etc/rc.localInsert キーを押します。
構成ファイルに次の行を追加します:
/sbin/iptables-restore < /etc/iptables/rules.v4Esc キーを押します。
「
:wq」と入力して、Enter キーを押します。仮想マシンを再起動します:
sudo reboot
ハブ ネットワークのルート テーブルを作成する
ルート テーブルは、Azure の既定のルーティングを上書きするために使用されます。 ルート テーブルを作成して、ハブのプライベート サブネット内のすべてのトラフィックがシミュレートされた NVA を経由するように強制します。
ポータルの上部にある検索ボックスに、「ルート テーブル」と入力します。 検索結果で [ルート テーブル] を選択します。
[+ 作成] を選択します。
[ルート テーブルの作成] で、次の情報を入力または選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 リージョン [米国東部 2] を選択します。 名前 「route-table-nat-hub」と入力します。 ゲートウェイのルートを伝達する 既定値の [はい] のままにします。 [Review + create](レビュー + 作成) を選択します。
[作成] を選択します
ポータルの上部にある検索ボックスに、「ルート テーブル」と入力します。 検索結果で [ルート テーブル] を選びます。
[route-table-nat-hub] を選択します。
[設定] で [ルート] を選びます。
[ルート] で [+ 追加] を選択します。
[ルートの追加] で、次の情報を入力または選択します。
設定 値 ルート名 「default-via-nat-hub」と入力します。 変換先の型 [IP アドレス] を選択します。 宛先 IP アドレス/CIDR 範囲 「0.0.0.0/0」と入力します。 ネクストホップの種類 [仮想アプライアンス] を選択します。 次ホップ アドレス 「10.0.0.10」と入力します。
これは、前の手順で NVA のプライベート インターフェイスに追加した IP アドレスです。[追加] を選択します。
[設定] の [サブネット] を選択します。
[+ 関連付け] を選択します。
[サブネットの関連付け] で、次の情報を入力または選択します。
設定 値 仮想ネットワーク [vnet-hub (test-rg)] を選択します。 Subnet [subnet-private] を選択します。 [OK] を選択します。
スポーク 1 の仮想ネットワークを作成する
ハブ アンド スポーク ネットワークの最初のスポーク用に、別のリージョンに別の仮想ネットワークを作成します。
ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果で、[仮想ネットワーク] を選択します。
[+ 作成] を選択します。
[仮想ネットワークの作成] の [基本] タブで、次の情報を入力するか選びます。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 名前 「vnet-spoke-1」と入力します。 リージョン [(米国) 米国中南部] を選択します。 [次へ] を選択して、[セキュリティ] タブに進みます。
[次へ] を選択して、[IP アドレス] タブに進みます。
[IP アドレス] タブの [IPv4 アドレス空間] で、ごみ箱を選択し、自動入力されたアドレス空間を削除します。
IPv4 アドレス空間 に 10.1.0.0 と入力します。 マスクの選択では、既定値の /16 (65,536 アドレス) のままにします。
+ サブネットの追加 を選択します。
サブネットの追加 で、次の情報を入力または選択します:
設定 値 サブネットの詳細 サブネット テンプレート 既定値の [既定] のままにします。 名前 「subnet-private」と入力します。 開始アドレス 「10.1.0.0」と入力します。 サブネットのサイズ 既定値の /24(256 アドレス) のままにします。 [追加] を選択します。
[Review + create](レビュー + 作成) を選択します。
[作成] を選択します
ハブとスポーク 1 の間にピアリングを作成する
仮想ネットワーク ピアリングは、ハブをスポーク 1 に接続し、スポーク 1 をハブに接続するために使用されます。 次の例を使用して、ハブとスポーク 1 の間に双方向のネットワーク ピアリングを作成します。
ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果で、[仮想ネットワーク] を選択します。
[vnet-hub] を選択します。
[設定] で [ピアリング] を選択します。
[+ 追加] を選択します。
[ピアリングの追加] で、次の情報を入力するか選びます。
設定 値 この仮想ネットワーク [Peering link name](ピアリング リンク名) 「vnet-hub-to-vnet-spoke-1」と入力します。 'vnet-hub' に 'vnet-spoke-1' へのアクセスを許可する 既定値の 選択済みのままにします。 'vnet-hub' が 'vnet-spoke-1' から転送されたトラフィックを受信することを許可する チェックボックスを オンにします。 "vnet-hub" 内のゲートウェイが "vnet-spoke-1" にトラフィックを転送することを許可する 既定値の 未選択 のままにします。 'vnet-hub' で 'vnet-spoke-1' リモート ゲートウェイを使用できるようにする 既定値の 未選択 のままにします。 リモート仮想ネットワーク [Peering link name](ピアリング リンク名) 「vnet-spoke-1-to-vnet-hub」と入力します。 仮想ネットワークのデプロイ モデル 既定値の [リソース マネージャー] のままにします。 サブスクリプション サブスクリプションを選択します。 仮想ネットワーク [vnet-spoke-1] を選択します。 'vnet-spoke-1' に 'vnet-hub' へのアクセスを許可する 既定値の 選択済みのままにします。 'vnet-spoke-1' が 'vnet-hub' から転送されたトラフィックを受信することを許可する チェックボックスを オンにします。 'vnet-spoke-1' 内のゲートウェイが 'vnet-hub' にトラフィックを転送することを許可する 既定値の 未選択 のままにします。 'vnet-spoke-1' を有効にして 'vnet-hub' のリモート ゲートウェイを使用する 既定値の 未選択 のままにします。 [追加] を選択します。
[最新の情報に更新] を選び、[ピアリングの状態] が [接続済み] であることを確認します。
スポーク 1 のネットワーク ルート テーブルを作成する
ルート テーブルを作成して、すべてのスポーク間トラフィックとインターネットのエグレス トラフィックがハブ仮想ネットワーク内のシミュレートされた NVA を経由するように強制します。
ポータルの上部にある検索ボックスに、「ルート テーブル」と入力します。 検索結果で [ルート テーブル] を選択します。
[+ 作成] を選択します。
[ルート テーブルの作成] で、次の情報を入力または選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 リージョン [米国中南部] を選択します。 名前 「route-table-nat-spoke-1」と入力します。 ゲートウェイのルートを伝達する 既定値の [はい] のままにします。 [Review + create](レビュー + 作成) を選択します。
[作成] を選択します
ポータルの上部にある検索ボックスに、「ルート テーブル」と入力します。 検索結果で [ルート テーブル] を選びます。
[route-table-nat-spoke-1] を選択します。
[設定] で [ルート] を選びます。
[ルート] で [+ 追加] を選択します。
[ルートの追加] で、次の情報を入力または選択します。
設定 値 ルート名 「default-via-nat-spoke-1」と入力します。 変換先の型 [IP アドレス] を選択します。 宛先 IP アドレス/CIDR 範囲 「0.0.0.0/0」と入力します。 ネクストホップの種類 [仮想アプライアンス] を選択します。 次ホップ アドレス 「10.0.0.10」と入力します。
これは、前の手順で NVA のプライベート インターフェイスに追加した IP アドレスです。[追加] を選択します。
[設定] の [サブネット] を選択します。
[+ 関連付け] を選択します。
[サブネットの関連付け] で、次の情報を入力または選択します。
設定 値 仮想ネットワーク [vnet-spoke-1 (test-rg)] を選択します。 Subnet [subnet-private] を選択します。 [OK] を選択します。
スポーク 1 のテスト用の仮想マシンを作成する
NAT ゲートウェイを経由した送信インターネット トラフィックとハブ アンド スポーク ネットワーク内のスポーク間トラフィックをテストするために、Windows Server 2022 仮想マシンが使用されます。 次の例を使用して、Windows Server 2022 仮想マシンを作成します。
ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
[+ 作成] を選択し、[Azure 仮想マシン] を選択します。
[仮想マシンの作成] の [基本] タブで、次の情報を入力または選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 仮想マシン名 「vm-spoke-1」と入力します。 リージョン [(米国) 米国中南部] を選択します。 可用性のオプション [インフラストラクチャ冗長は必要ありません] を選択します。 セキュリティの種類 [Standard] を選択します。 Image [Windows Server 2022 Datacenter - x64 Gen2] を選択します。 VMアーキテクチャ 既定値の [x64] のままにします。 サイズ サイズを選択します。 管理者アカウント 認証の種類 [パスワード] を選択します。 ユーザー名 ユーザー名を入力します。 Password パスワードを入力します。 パスワードの確認 パスワードを再入力します。 受信ポートの規則 パブリック受信ポート [なし] を選択します。 [次へ: ディスク]、[次へ: ネットワーク] の順に選択します。
[ネットワーク] タブで、次の情報を入力または選択します。
設定 値 ネットワーク インターフェイス 仮想ネットワーク [vnet-spoke-1] を選択します。 Subnet [subnet-private (10.1.0.0/24)] を選びます。 パブリック IP [なし] を選択します。 NIC ネットワーク セキュリティ グループ [Advanced] \(詳細設定) を選択します。 ネットワーク セキュリティ グループを構成する [新規作成] を選択します。
「nsg-spoke-1」と入力します。受信の規則 [+ 受信規則の追加] を選択します。
[サービス] で、[HTTP] を選択します。
[追加] を選択します。
を選択します。[OK] を選択します。
残りのオプションは既定値のままにし、[確認と作成] を選びます。
[作成] を選択します
スポーク 1 のテスト用の仮想マシンに IIS をインストールする
NAT ゲートウェイを経由した送信インターネット トラフィックとハブ アンド スポーク ネットワーク内のスポーク間トラフィックをテストするため、Windows Server 2022 仮想マシンに IIS をインストールします。
ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
[vm-spoke-1] を選択します。
[操作] で、[実行コマンド] を選択します。
[RunPowerShellScript] を選択します。
[実行コマンド スクリプト] に次のスクリプトを入力します。
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)[実行] を選択します。
スクリプトが完了するまで待ってから次の手順に進んでください。 スクリプトが完了するまでには数分かかる場合があります。
スクリプトが完了すると、出力* に次のように表示されます。
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
2 番目のスポークの仮想ネットワークを作成する
ハブ アンド スポーク ネットワークの 2 番目のスポーク用の 2 番目の仮想ネットワークを作成します。
ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果で、[仮想ネットワーク] を選択します。
[+ 作成] を選択します。
[仮想ネットワークの作成] の [基本] タブで、次の情報を入力するか選びます。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 名前 「vnet-spoke-2」と入力します。 リージョン [(米国) 米国西部 2] を選択します。 [次へ] を選択して、[セキュリティ] タブに進みます。
[次へ] を選択して、[IP アドレス] タブに進みます。
[IP アドレス] タブの [IPv4 アドレス空間] で、ごみ箱を選択し、自動入力されたアドレス空間を削除します。
IPv4 アドレス空間 に 10.2.0.0 と入力します。 マスクの選択では、既定値の /16 (65,536 アドレス) のままにします。
+ サブネットの追加 を選択します。
サブネットの追加 で、次の情報を入力または選択します:
設定 値 サブネットの詳細 サブネット テンプレート 既定値の [既定] のままにします。 名前 「subnet-private」と入力します。 開始アドレス 10.2.0.0 と入力します。 サブネットのサイズ 既定値の /24(256 アドレス) のままにします。 [追加] を選択します。
[Review + create](レビュー + 作成) を選択します。
[作成] を選択します
ハブとスポーク 2 の間にピアリングを作成する
ハブとスポーク 2 の間に双方向の仮想ネットワーク ピアを作成します。
ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果で、[仮想ネットワーク] を選択します。
[vnet-hub] を選択します。
[設定] で [ピアリング] を選択します。
[+ 追加] を選択します。
ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果で、[仮想ネットワーク] を選択します。
[vnet-hub] を選択します。
[設定] で [ピアリング] を選択します。
[+ 追加] を選択します。
[ピアリングの追加] で、次の情報を入力するか選びます。
設定 値 この仮想ネットワーク [Peering link name](ピアリング リンク名) 「vnet-hub-to-vnet-spoke-2」と入力します。 'vnet-hub' に 'vnet-spoke-2' へのアクセスを許可する 既定値の 選択済みのままにします。 'vnet-hub' が 'vnet-spoke-2' から転送されたトラフィックを受信することを許可する チェックボックスを オンにします。 'vnet-hub' 内のゲートウェイが 'vnet-spoke-2' にトラフィックを転送することを許可する 既定値の 未選択 のままにします。 'vnet-hub' を有効にして 'vnet-spoke-2' リモート ゲートウェイを使用する 既定値の 未選択 のままにします。 リモート仮想ネットワーク [Peering link name](ピアリング リンク名) 「vnet-spoke-2-to-vnet-hub」と入力します。 仮想ネットワークのデプロイ モデル 既定値の [リソース マネージャー] のままにします。 サブスクリプション サブスクリプションを選択します。 仮想ネットワーク [vnet-spoke-2] を選択します。 'vnet-spoke-1' に 'vnet-hub' へのアクセスを許可する 既定値の 選択済みのままにします。 'vnet-spoke-1' が 'vnet-hub' から転送されたトラフィックを受信することを許可する チェックボックスを オンにします。 'vnet-spoke-1' 内のゲートウェイが 'vnet-hub' にトラフィックを転送することを許可する 既定値の 未選択 のままにします。 'vnet-spoke-1' を有効にして 'vnet-hub' のリモート ゲートウェイを使用する 既定値の 未選択 のままにします。 [追加] を選択します。
[最新の情報に更新] を選び、[ピアリングの状態] が [接続済み] であることを確認します。
スポーク 2 のネットワーク ルート テーブルを作成する
ルート テーブルを作成して、すべての送信インターネット トラフィックとスポーク間トラフィックがハブ仮想ネットワーク内のシミュレートされた NVA を経由するように強制します。
ポータルの上部にある検索ボックスに、「ルート テーブル」と入力します。 検索結果で [ルート テーブル] を選択します。
[+ 作成] を選択します。
[ルート テーブルの作成] で、次の情報を入力または選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 リージョン [米国西部 2] を選択します。 名前 「route-table-nat-spoke-2」と入力します。 ゲートウェイのルートを伝達する 既定値の [はい] のままにします。 [Review + create](レビュー + 作成) を選択します。
[作成] を選択します
ポータルの上部にある検索ボックスに、「ルート テーブル」と入力します。 検索結果で [ルート テーブル] を選びます。
[route-table-nat-spoke-2] を選択します。
[設定] で [ルート] を選びます。
[ルート] で [+ 追加] を選択します。
[ルートの追加] で、次の情報を入力または選択します。
設定 値 ルート名 「default-via-nat-spoke-2」と入力します。 変換先の型 [IP アドレス] を選択します。 宛先 IP アドレス/CIDR 範囲 「0.0.0.0/0」と入力します。 ネクストホップの種類 [仮想アプライアンス] を選択します。 次ホップ アドレス 「10.0.0.10」と入力します。
これは、前の手順で NVA のプライベート インターフェイスに追加した IP アドレスです。[追加] を選択します。
[設定] の [サブネット] を選択します。
[+ 関連付け] を選択します。
[サブネットの関連付け] で、次の情報を入力または選択します。
設定 値 仮想ネットワーク [vnet-spoke-2 (test-rg)] を選択します。 Subnet [subnet-private] を選択します。 [OK] を選択します。
スポーク 2 のテスト用の仮想マシンを作成する
スポーク 2 のテスト用の仮想マシンとして Windows Server 2022 仮想マシンを作成します。
ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
[+ 作成] を選択し、[Azure 仮想マシン] を選択します。
[仮想マシンの作成] の [基本] タブで、次の情報を入力または選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 仮想マシン名 「vm-spoke-2」と入力します。 リージョン [(米国) 米国西部 2] を選択します。 可用性のオプション [インフラストラクチャ冗長は必要ありません] を選択します。 セキュリティの種類 [Standard] を選択します。 Image [Windows Server 2022 Datacenter - x64 Gen2] を選択します。 VMアーキテクチャ 既定値の [x64] のままにします。 サイズ サイズを選択します。 管理者アカウント 認証の種類 [パスワード] を選択します。 ユーザー名 ユーザー名を入力します。 Password パスワードを入力します。 パスワードの確認 パスワードを再入力します。 受信ポートの規則 パブリック受信ポート [なし] を選択します。 [次へ: ディスク]、[次へ: ネットワーク] の順に選択します。
[ネットワーク] タブで、次の情報を入力または選択します。
設定 値 ネットワーク インターフェイス 仮想ネットワーク [vnet-spoke-2] を選択します。 Subnet [subnet-private (10.2.0.0/24)] を選択します。 パブリック IP [なし] を選択します。 NIC ネットワーク セキュリティ グループ [Advanced] \(詳細設定) を選択します。 ネットワーク セキュリティ グループを構成する [新規作成] を選択します。
「nsg-spoke-2」と入力します。受信の規則 [+ 受信規則の追加] を選択します。
[サービス] で、[HTTP] を選択します。
[追加] を選択します。
を選択します。残りのオプションは既定値のままにし、[確認と作成] を選びます。
[作成] を選択します
スポーク 2 のテスト用の仮想マシンに IIS をインストールする
NAT ゲートウェイを経由した送信インターネット トラフィックとハブ アンド スポーク ネットワーク内のスポーク間トラフィックをテストするため、Windows Server 2022 仮想マシンに IIS をインストールします。
ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
[vm-spoke-2] を選択します。
[操作] で、[実行コマンド] を選択します。
[RunPowerShellScript] を選択します。
[実行コマンド スクリプト] に次のスクリプトを入力します。
# Install IIS server role Install-WindowsFeature -name Web-Server -IncludeManagementTools # Remove default htm file Remove-Item C:\inetpub\wwwroot\iisstart.htm # Add a new htm file that displays server name Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)[実行] を選択します。
スクリプトが完了するまで待ってから次の手順に進んでください。 スクリプトが完了するまでには数分かかる場合があります。
スクリプトが完了すると、出力* に次のように表示されます。
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Common HTTP Features, Default Document, D...
NAT ゲートウェイをテストする
前の手順で作成した Windows Server 2022 仮想マシンに接続して、送信インターネット トラフィックが NAT ゲートウェイから送られることを確認します。
NAT ゲートウェイのパブリック IP アドレスを取得する
この記事後半の検証手順のために、NAT ゲートウェイのパブリック IP アドレスを取得します。
ポータルの上部にある検索ボックスに、「パブリック IP」と入力します。 検索結果から [パブリック IP アドレス] を選択します。
[public-ip-nat] を選択します。
[IP アドレス] の値を書き留めます。 この記事で使用する例は、52.153.224.79 です。
スポーク 1 から NAT ゲートウェイをテストする
Windows Server 2022 仮想マシンで Microsoft Edge を使用して https://whatsmyip.com に接続し、NAT ゲートウェイの機能を確認します。
ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
[vm-spoke-1] を選択します。
[操作] で、[Bastion] を選択します。
仮想マシンの作成時に入力したユーザー名とパスワードを入力します。
[接続] を選択します。
デスクトップの読み込みが完了したら、Microsoft Edge を開きます。
アドレス バーに「https://whatsmyip.com」と入力します。
表示される送信 IP アドレスが、以前に取得した NAT ゲートウェイの IP と同じであることを確認します。
vm-spoke-1 への bastion 接続を開いたままにします。
スポーク 2 から NAT ゲートウェイをテストする
Windows Server 2022 仮想マシンで Microsoft Edge を使用して https://whatsmyip.com に接続し、NAT ゲートウェイの機能を確認します。
ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
[vm-spoke-2] を選択します。
[操作] で、[Bastion] を選択します。
仮想マシンの作成時に入力したユーザー名とパスワードを入力します。
[接続] を選択します。
デスクトップの読み込みが完了したら、Microsoft Edge を開きます。
アドレス バーに「https://whatsmyip.com」と入力します。
表示される送信 IP アドレスが、以前に取得した NAT ゲートウェイの IP と同じであることを確認します。
vm-spoke-2 への bastion 接続を開いたままにします。
スポーク間のルーティングをテストする
スポーク 1 からスポーク 2、スポーク 2 からスポーク 1 へのトラフィックは、ハブ仮想ネットワーク内のシミュレートされた NVA を経由してルーティングされます。 次の例を使用して、ハブ アンド スポーク ネットワークのスポーク間のルーティングを確認します。
スポーク 1 からスポーク 2 へのルーティングをテストする
Microsoft Edge を使用して、前の手順でインストールした vm-spoke-2 上の Web サーバーに接続します。
vm-spoke-1 への開いている bastion 接続に戻ります。
Microsoft Edge を開いていない場合は開きます。
アドレス バーに「10.2.0.4」と入力します。
IIS ページが vm-spoke-2 から表示されていることを確認します。
vm-spoke-1 への bastion 接続を閉じます。
スポーク 2 からスポーク 1 へのルーティングをテストする
Microsoft Edge を使用して、前の手順でインストールした vm-spoke-1 上の Web サーバーに接続します。
vm-spoke-2 への開いている bastion 接続に戻ります。
Microsoft Edge を開いていない場合は開きます。
アドレス バーに「10.1.0.4」と入力します。
IIS ページが vm-spoke-1 から表示されていることを確認します。
vm-spoke-1 への bastion 接続を閉じます。
リソースをクリーンアップする
作成したリソースの使用を終えたら、リソース グループとそのすべてのリソースを削除できます。
Azure portal で、「リソース グループ」を検索して選択します。
[リソース グループ] ページで、test-rg リソース グループを選択します。
[test-rg] ページで、[リソース グループの削除] を選択します。
[削除を確認するために、リソース グループの名前を入力してください] に「test-rg」と入力して、[削除] を選びます。
次のステップ
高可用性ネットワーク仮想アプライアンスとして Azure ゲートウェイ ロード バランサーを使用する方法については、次の記事に進みます: