VPN Gateway (仮想ネットワーク ゲートウェイ) を Virtual WAN に接続する

  • [アーティクル]

この記事は、Azure VPN Gateway (仮想ネットワーク ゲートウェイ) から Azure Virtual WAN (VPN ゲートウェイ) への接続を設定する作業を支援するものです。 VPN Gateway (仮想ネットワーク ゲートウェイ) から Virtual WAN (VPN ゲートウェイ) への接続を作成する方法は、ブランチの VPN サイトから仮想 WAN への接続を設定する方法によく似ています。

この記事では、2 つの機能を混同するリスクを最小限に抑えるために、ゲートウェイ名の前に機能の名称を付けて表記します。 たとえば、VPN Gateway 仮想ネットワーク ゲートウェイ、Virtual WAN VPN ゲートウェイのようになります。

開始する前に

開始する前に、次のリソースを作成します。

Azure Virtual WAN

Virtual Network (仮想ネットワーク ゲートウェイの場合)

  • 仮想ネットワーク ゲートウェイのない仮想ネットワークを作成します。 この仮想ネットワークは、後の手順でアクティブ/アクティブの仮想ネットワーク ゲートウェイで構成されます。 オンプレミス ネットワークのどのサブネットも接続先の仮想ネットワークと重複していないことを確認してください。

1. Azure VPN Gateway の仮想ネットワーク ゲートウェイを構成する

このセクションでは、アクティブ/アクティブ モードで、仮想ネットワークのために VPN Gateway 仮想ネットワーク ゲートウェイを作成します。 ゲートウェイを作成する際には、2 つのゲートウェイ インスタンスについて既存のパブリック IP アドレスを使用するか、新しいパブリック IP を作成するかを選ぶことができます。 これらのパブリック IP は、Virtual WAN サイトを設定するときに使用します。

  1. アクティブ/アクティブ モードで、仮想ネットワークのために VPN Gateway 仮想ネットワーク ゲートウェイを作成します。 アクティブ/アクティブ VPN ゲートウェイと構成の手順に関する詳細については、アクティブ/アクティブ VPN ゲートウェイの構成に関する記事を参照してください。

  2. 次のセクションでは、仮想ネットワーク ゲートウェイの設定例を示します。

    • アクティブ/アクティブ モードの設定 - 仮想ネットワーク ゲートウェイの [構成] ページで、[アクティブ/アクティブ] モードが有効になっていることを確認します。

      アクティブ/アクティブ モードが有効になっている仮想ネットワーク ゲートウェイを示すスクリーンショット。

    • BGP 設定 - 仮想ネットワーク ゲートウェイの [構成] ページで、(必要に応じて) [BGP ASN の構成] を選択できます。 BGP を構成する場合は、ASN を、ポータルに表示されている既定値から変更します。 この構成では、BGP ASN を 65515 にすることはできません。 65515 は、Azure Virtual WAN が使用します。

      スクリーンショットには、[BGP ASN の構成] が選択された仮想ネットワーク ゲートウェイの [構成] ページが示されています。

    • パブリック IP アドレス - ゲートウェイが作成されたら、[プロパティ] ページに移動します。 プロパティと構成の設定は、次の例のようになります。 ゲートウェイに使用しているパブリック IP アドレスが 2 つあることに注目してください。

      プロパティが選択された仮想ネットワーク ゲートウェイの [プロパティ] ページを示すスクリーンショット。

2.Virtual WAN VPN サイトを作成する

このセクションでは、前のセクションで作成した仮想ネットワーク ゲートウェイに対応する Virtual WAN VPN サイトを 2 つ作成します。

  1. お使いの Virtual WAN のページで、[VPN サイト] に移動します。

  2. [VPN サイト] ページで、 [+ サイトの作成] を選択します。

  3. [VPN サイトを作成する] ページの [基本] タブで、次のフィールドを入力します。

    • [リージョン]: Azure VPN Gateway 仮想ネットワーク ゲートウェイと同じリージョン。
    • [名前]: 例: Site1
    • デバイス ベンダー: VPN デバイス ベンダーの名前 (例: Citrix、Cisco、Barracuda)。 デバイス ベンダーを追加すると、Azure チームがお客様の環境をよりよく理解し、将来の最適化の可能性を追加したり、トラブルシューティングを行ったりするのに役立ちます。
    • [プライベート アドレス空間]: 値を入力します。BGP が有効になっている場合は空白のままにします。

  4. [次へ: リンク>] を選択して [リンク] ページに進みます。

  5. [リンク] ページで、次のフィールドに入力します。

    • リンク名: VPN サイトで物理リンクに付ける名前。 例: Link1。
    • リンク速度: これは、ブランチの場所での VPN デバイスの速度です。 例:50。50 Mbps は、ブランチ サイトの VPN デバイスの速度を示します。
    • Link provider name (リンク プロバイダー名) : VPN サイトの物理リンクの名前。 例:ATT、Verizon。
    • [リンク IP アドレス]:IP アドレスを入力します。 この構成では、(VPN Gateway) 仮想ネットワーク ゲートウェイのプロパティに表示されている 1 つ目のパブリック IP アドレスと同じものです。
    • [BGP アドレス][ASN] -それぞれ、手順 1 で構成した VPN Gateway 仮想ネットワーク ゲートウェイの BGP ピア IP アドレスおよび ASN の値と同じにする必要があります (BGP ピア IP アドレスについては、いずれか 1 つを選択してください)。

  6. フィールドの入力が完了したら、 [確認と作成] を選択して確認します。 [作成] を選択して、サイトを作成します。

  7. ここまでの手順をもう一度繰り返して、VPN Gateway 仮想ネットワーク ゲートウェイの 2 つ目のインスタンスに対応するサイトを作成します。 使用する設定は同じですが、パブリック IP アドレスと BGP ピア IP アドレスについては、VPN Gateway の構成にあるもののうち、先ほどと異なる方を使用してください。

  8. これで、2 つのサイトが正常にプロビジョニングされました。

3. 仮想ハブにサイトを接続する

次に、次の手順を使用して、両方のサイトを仮想ハブに接続します。 サイトの接続の詳細については、VPN サイトの仮想ハブへの接続に関するページを参照してください。

  1. お使いの Virtual WAN のページで、[ハブ] に移動します。

  2. [ハブ] ページで、作成したハブをクリックします。

  3. 作成したハブのページの左側のペインで [VPN (サイト間)] を選択します。

  4. [VPN (サイト間)] ページに、自分のサイトが表示されるはずです。 そうでない場合は、[ハブの関連付け:x] バブルをクリックしてフィルターをクリアし、サイトを表示する必要があります。

  5. 両方のサイトの名前の横にあるチェック ボックスをオンにして (サイト名を直接クリックしないでください)、[VPN サイトの接続] をクリックします。

  6. [サイトの接続] ページで、設定を構成します。 使用する事前共有キーの値を必ず書き留めます。 これは、演習の後半で接続を作成するときにもう一度使用されます。

  7. ページの下部にある [接続] を選びます。 ハブがサイト設定で更新されるまでに少し時間がかかります。

4. VPN 構成ファイルをダウンロードする

このセクションでは、1 つ前のセクションで作成したサイトで使用する VPN 構成ファイルをダウンロードします。

  1. お使いの Virtual WAN のページで、[VPN サイト] に移動します。

  2. [VPN サイト] ページのページの上部にある [サイト間 VPN 構成のダウンロード] を選択し、ファイルをダウンロードします。 Azure で、次のセクションでローカル ネットワーク ゲートウェイを構成するために使用する必要な値を含む構成ファイルが作成されます。

    [サイト間 VPN 構成のアクション] が選択されている [VPN サイト] ページのスクリーンショット。

5. ローカル ネットワーク ゲートウェイを作成する

このセクションでは、Azure VPN Gateway ローカル ネットワーク ゲートウェイを 2 つ作成します。 前の手順で入手した構成ファイルには、ゲートウェイの構成に関する設定が格納されています。 その設定を使用し、Azure VPN Gateway ローカル ネットワーク ゲートウェイを作成および構成していきます。

  1. 上に挙げた設定を使用してローカル ネットワーク ゲートウェイを作成します。 VPN Gateway ローカル ネットワーク ゲートウェイの作成方法の詳細については、VPN Gateway に関する記事のローカル ネットワーク ゲートウェイの作成に関するセクションを参照してください。

    • [IP アドレス] - 構成ファイルの gatewayconfiguration にある Instance0 の IP アドレスを使用します。
    • [BGP] - 接続に BGP を使用する場合は、 [BGP 設定の構成] をオンにして ASN "65515" を入力します。 IP アドレスは BGP ピアのものを入力します。 構成ファイルの gatewayconfiguration にある "Instance0 BgpPeeringAddresses" を使用してください。
    • [アドレス空間] - 接続を BGP 経由で行わない場合は、[BGP 設定の構成] がオフのままになっていることを確認します。 仮想ネットワークゲートウェイ側から公開するアドレス空間を入力します。 複数のアドレス領域の範囲を追加することができます。 ここで指定した範囲が、接続先となる他のネットワークの範囲と重複しないようにしてください。
    • [サブスクリプション]、[リソース グループ]、[場所] - これらは Virtual WAN ハブと同じです。

  2. 見直しを終えたら、ローカル ネットワーク ゲートウェイを作成します。 作成したローカル ネットワーク ゲートウェイは、次の例のようになります。

    ローカル ネットワーク ゲートウェイ 1 の IP アドレスが強調表示されている [構成] ページを示すスクリーンショット。

  3. ここまでの手順を繰り返して、ローカル ネットワーク ゲートウェイをもう 1 つ作成します。ただし、今度は構成ファイルの "Instance0" の値ではなく "Instance1" の値を使用します。

    ローカル ネットワーク ゲートウェイ 2 の IP アドレスが強調表示されている [構成] ページを示すスクリーンショット。

重要

リモート ASN が '65515' の vWAN Gateway Public IP アドレスではない Public IP への BGP Over IPsec 接続を構成すると、Local Network Gateway デプロイに失敗することにご注意ください。これは「使用できる自律システム」に記載されているように、ASN '65515' は予約されている ASN になっているためです。 ただし、Local Network Gateway によってリモート ASN '65515' の vWAN Public アドレスが読み取られるとき、この制約はプラットフォームによって解除されます。

6. 接続を作成する

このセクションでは、VPN Gateway ローカル ネットワーク ゲートウェイと仮想ネットワーク ゲートウェイの間の接続を作成します。 VPN Gateway の接続を作成する手順については、接続の構成に関するページを参照してください。

  1. ポータルで仮想ネットワーク ゲートウェイに移動し、[接続] を選択します。 [接続] ページの上部にある [+ 追加] を選択して [接続の追加] ページを開きます。

  2. [接続の追加] ページで、接続に関する次の値を構成します。

    • [名前]: 接続に名前を付けます。
    • [接続の種類] : [サイト対サイト (IPsec)] を選択します。
    • [仮想ネットワーク ゲートウェイ]: このゲートウェイから接続しているので、この値は固定されています。
    • [ローカル ネットワーク ゲートウェイ]: この接続では、仮想ネットワーク ゲートウェイをローカル ネットワーク ゲートウェイに接続します。 前に作成したローカル ネットワーク ゲートウェイのいずれか 1 つを選択してください。
    • [共有キー]: 以前の共有キーを入力します。
    • [IKE プロトコル]: IKE プロトコルを選択します。

  3. [OK] を選択して、接続を作成します。

  4. 仮想ネットワーク ゲートウェイの [接続] ページで接続を確認できます。

  5. 上記の手順をもう一度繰り返して、2 つ目の接続を作成します。 2 つ目の接続については、作成したローカル ネットワーク ゲートウェイのうち、先ほど選択しなかった方を選択します。

  6. BGP を介した接続の場合は、接続を作成した後、接続に移動して [構成] を選択します。 [構成] ページの [BGP][有効] を選択します。 次に、 [保存] を選択します。

  7. 2 番目の接続に対して繰り返します。

7. 接続をテストする

仮想マシンを 2 台 (1 台は VPN Gateway 仮想ネットワーク ゲートウェイ側に、もう 1 台は Virtual WAN 用の仮想ネットワークに) 作成したうえで、両方の仮想マシンに対して ping を実行すると、接続をテストすることができます。

  1. Azure VPN Gateway (Test1-VNG) 用の仮想ネットワーク (Test1-VNet) 内に、仮想マシンを 1 台作成します。 GatewaySubnet には仮想マシンを作成しないでください。

  2. 仮想 WAN に接続するための別個の仮想ネットワークを作成します。 この仮想ネットワークのサブネットに、仮想マシンを 1 台作成します。 この仮想ネットワークに仮想ネットワーク ゲートウェイを含めることはできません。 サイト間接続に関する記事に掲載している PowerShell を使った手順を使うと、仮想ネットワークをすばやく作成できます。 値は必ず、コマンドレットを実行する前に変更しておくようにしてください。

  3. VNet を Virtual WAN ハブに接続します。 仮想 WAN のページで [仮想ネットワーク接続][+ 接続の追加] の順に選択します。 [接続の追加] ページで、次のフィールドに入力します。

    • [接続名] - 接続に名前を付けます。
    • [ハブ] - この接続に関連付けるハブを選択します。
    • [サブスクリプション] - サブスクリプションを確認します。
    • [仮想ネットワーク] - このハブに接続する仮想ネットワークを選択します。 仮想ネットワークに既存の仮想ネットワーク ゲートウェイを設定することはできません。

  4. [OK] を選択して、仮想ネットワーク接続を作成します。

  5. VM の間に接続が設定されます。 ファイアウォールのような通信をブロックするポリシーがない限り、一方の VM からもう一方の VM に対して ping を実行できるはずです。

次のステップ