チュートリアル: Azure portal を使って VPN ゲートウェイを作成および管理する
このチュートリアルは、Azure portal を使って仮想ネットワーク ゲートウェイ (VPN ゲートウェイ) を作成および管理するのに役立ちます。 VPN ゲートウェイは、仮想ネットワーク内のリソースに安全にアクセスできるようにするための接続アーキテクチャの 1 つの要素にすぎません。
- 図の左側には、この記事の手順を使って作成する仮想ネットワークと VPN ゲートウェイが示されています。
- 図の右側に示すように、後でさまざまな種類の接続を追加できます。 たとえば、サイト間接続やポイント対サイト接続を作成できます。 構築できるさまざまな設計アーキテクチャを確認するには、「VPN Gateway の設計」を参照してください。
このチュートリアルで使用する構成設定の詳細については、「VPN Gateway の構成設定について」を参照してください。 Azure VPN Gateway の詳細については、「Azure VPN Gateway とは」を参照してください。
このチュートリアルでは、次の作業を行う方法について説明します。
- 仮想ネットワークを作成します。
- VPN ゲートウェイを作成します。
- ゲートウェイのパブリック IP アドレスを表示する。
- VPN ゲートウェイのサイズ変更 (SKU のサイズ変更)。
- VPN ゲートウェイのリセット。
前提条件
アクティブなサブスクリプションを含む Azure アカウントが必要です。 ない場合は、無料で作成してください。
仮想ネットワークの作成
次の値を使って仮想ネットワークを作成します。
- [リソース グループ] :TestRG1
- [名前]: VNet1
- [リージョン]: (米国) 米国東部
- IPv4 アドレス空間: 10.1.0.0/16
- サブネット名: FrontEnd
- サブネット アドレス空間: 10.1.0.0/24
Azure portal にサインインします。
ポータル ページの上部にある [リソース、サービス、ドキュメントの検索 (G+/)] に「仮想ネットワーク」と入力します。 Marketplace の検索結果から [仮想ネットワーク] を選び、[仮想ネットワーク] ページを開きます。
[仮想ネットワーク] ページの [作成] を選び、[仮想ネットワークの作成] ページを開きます。
[基本] タブの [プロジェクトの詳細] と [インスタンスの詳細] に仮想ネットワークの設定を構成します。 入力した値が検証された場合は、緑色のチェック マークが表示されます。 この例に示されている値は、必要な設定に従って調整できます。
- サブスクリプション:一覧表示されているサブスクリプションが正しいことを確認します。 ドロップダウン ボックスを使ってサブスクリプションを変更できます。
- [リソース グループ]: 既存のリソース グループを選ぶか、[新規作成] を選んで新しく作成します。 リソース グループの詳細については、「Azure Resource Manager の概要」を参照してください。
- Name:仮想ネットワークの名前を入力します。
- [リージョン]: 仮想ネットワークの場所を選びます。 この場所の設定によって、この仮想ネットワークにデプロイしたリソースの配置先が決まります。
[次へ] または [セキュリティ] を選んで、[セキュリティ] タブに移動します。この演習では、このページのすべてのサービスについて既定値のままにします。
[IP アドレス] を選んで、[IP アドレス] タブに移動します。[IP アドレス] タブで設定を構成します。
IPv4 アドレス空間: 既定では、アドレス空間が自動的に作成されます。 アドレス空間を選択して、独自の値が反映されるように調整できます。 別のアドレス空間を追加し、自動的に作成された既定値を削除することもできます。 たとえば、開始アドレスを 10.1.0.0 に指定し、アドレス空間のサイズを /16 に指定します。 次に [追加] を選んでそのアドレス空間を追加します。
+ サブネットの追加: 既定のアドレス空間を使用すると、既定のサブネットが自動的に作成されます。 アドレス空間を変更する場合は、そのアドレス空間内に新しいサブネットを追加します。 [+ サブネットの追加] を選択して、 [サブネットの追加] ウィンドウを開きます。 次の設定を構成し、ページの下部にある [追加] を選んで値を追加します。
- [サブネット名]: たとえば FrontEnd です。
- [サブネットのアドレス範囲] : このサブネットのアドレス範囲です。 たとえば、10.1.0.0 や /24 です。
[IP アドレス] ページを確認し、不要なアドレス空間またはサブネットを削除します。
[確認と作成] を選択して、仮想ネットワークの設定を検証します。
設定が検証されたら、[作成] を選んで仮想ネットワークを作成します。
仮想ネットワークを作成した後、必要に応じて Azure DDoS Protection を構成できます。 保護は新規または既存の仮想ネットワークで簡単に有効にでき、アプリケーションやリソースの変更は必要ありません。 Azure DDoS Protection の詳細については、「Azure DDoS Protection とは」を参照してください。
ゲートウェイ サブネットの作成
仮想ネットワーク ゲートウェイには、GatewaySubnet という特定のサブネットが必要です。 ゲートウェイ サブネットは、仮想ネットワークの IP アドレス範囲の一部であり、仮想ネットワーク ゲートウェイのリソースとサービスが使う IP アドレスが含まれています。 /27 以上のゲートウェイ サブネットを指定します。
- 仮想ネットワークのページの左側ペインで [サブネット] を選んで、[サブネット] ページを開きます。
- ページの上部にある [+ ゲートウェイ サブネット] を選んで、[サブネットの追加] ペインを開きます。
- 名前には「GatewaySubnet」が自動的に入力されます。 必要に応じて、IP アドレス範囲の値を調整します。 たとえば、10.1.255.0/27 などとします。
- ページの他の値は調整しないでください。 ページ下部の [保存] を選んでサブネットを保存します。
VPN ゲートウェイの作成
この手順では、仮想ネットワークの仮想ネットワーク ゲートウェイ (VPN ゲートウェイ) を作成します。 選択したゲートウェイ SKU によっては、ゲートウェイの作成に 45 分以上かかる場合も少なくありません。
次の値を使って仮想ネットワーク ゲートウェイを作成します。
- Name:VNet1GW
- リージョン: 米国東部
- [ゲートウェイの種類] : VPN
- SKU: VpnGw2
- 世代: 第 2 世代
- 仮想ネットワーク: VNet1
- [ゲートウェイ サブネットのアドレス範囲] : 10.1.255.0/27
- [パブリック IP アドレス] : 新規作成
- パブリック IP アドレス名:VNet1GWpip
この演習では、ゾーン冗長 SKU を選びません。 ゾーン冗長 SKU の詳細については、ゾーン冗長仮想ネットワーク ゲートウェイについてに関するページを参照してください。
[リソース、サービス、ドキュメントの検索 (G+/)] に「仮想ネットワーク ゲートウェイ」と入力します。 Marketplace の検索結果で [仮想ネットワーク ゲートウェイ] を見つけて選び、[仮想ネットワーク ゲートウェイの作成] ページを開きます。
[基本] タブで、 [プロジェクトの詳細] と [インスタンスの詳細] の各値を入力します。
[サブスクリプション]: 使うサブスクリプションをドロップダウン リストから選びます。
[リソース グループ]: この設定は、このページで仮想ネットワークを選ぶと自動入力されます。
Name:ゲートウェイに名前を付けます。 ゲートウェイの名前付けは、ゲートウェイ サブネットの名前付けと同じではありません。 作成するゲートウェイ オブジェクトの名前です。
リージョン: このリソースを作成するリージョンを選択します。 ゲートウェイのリージョンは、仮想ネットワークと同じである必要があります。
ゲートウェイの種類: [VPN] を選択します。 VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。
[SKU]: 使う機能をサポートするゲートウェイ SKU をドロップダウン リストから選びます。 ゲートウェイ SKU を参照してください。 ポータルのドロップダウン リストで使用できる SKU は、選んだ
VPN type
によって変わります。 Basic SKU は、Azure CLI または PowerShell を使用してのみ構成できます。 Azure portal で Basic SKU を構成することはできません。世代: 使用する世代を選択します。 Generation2 SKU を使用することをお勧めします。 詳細については、「ゲートウェイの SKU」を参照してください。
[仮想ネットワーク]: ドロップダウン リストから、このゲートウェイの追加先の仮想ネットワークを選びます。 ゲートウェイを作成する仮想ネットワークが表示されない場合は、前の設定で正しいサブスクリプションとリージョンを選んでいることを確認します。
[ゲートウェイ サブネットのアドレス範囲] または [サブネット]: VPN ゲートウェイを作成するには、ゲートウェイ サブネットが必要です。
現時点でこのフィールドの動作はいくつかあり、仮想ネットワークのアドレス空間と、仮想ネットワークに GatewaySubnet というサブネットが既に作成されているかどうかに応じて変わります。
ゲートウェイ サブネットがない場合、"かつ" このページに作成するオプションが表示されない場合は、仮想ネットワークに戻ってゲートウェイ サブネットを作成します。 次に、このページに戻って、VPN ゲートウェイを構成します。
[パブリック IP アドレス] の各値を指定します。 これらの設定では、VPN ゲートウェイに関連付けられるパブリック IP アドレス オブジェクトを指定します。 パブリック IP アドレスは、VPN ゲートウェイの作成時に、このオブジェクトに割り当てられます。 プライマリ パブリック IP アドレスが変わるのは、ゲートウェイが削除され、再度作成されたときのみです。 VPN ゲートウェイのサイズ変更、リセット、その他の内部メンテナンス/アップグレードでは、IP アドレスは変わりません。
- パブリック IP アドレスの種類: この演習では、アドレスの種類を選択するオプションがある場合は、[標準] を選択します。
- パブリック IP アドレス : [新規作成] を選択しておいてください。
- [パブリック IP アドレス名]: このテキスト ボックスに、パブリック IP アドレス インスタンスの名前を入力します。
- パブリック IP アドレス SKU: 設定が自動的に選択されます。
- [割り当て]: 通常、割り当ては自動的に選択され、[動的] または [静的] のいずれかになります。
- [アクティブ/アクティブ モードの有効化]: [無効] を選びます。 アクティブ/アクティブ ゲートウェイ構成を作成する場合にのみ、この設定を有効にします。
- [BGP の構成]: 構成で特に必要ない限り、[無効] を選びます。 この設定が必要である場合、既定の ASN は 65515 です。ただし、この値は変わる場合があります。
[確認と作成] を選択して検証を実行します。
検証に合格したら、[作成] を選んで VPN ゲートウェイをデプロイします。
ゲートウェイの作成とデプロイが完了するまでに 45 分以上かかることがあります。 デプロイの状態は、ゲートウェイの [概要] ページで確認できます。 ゲートウェイの作成後は、ポータルの仮想ネットワークを調べることで、割り当てられている IP アドレスを確認できます。 ゲートウェイは、接続されたデバイスとして表示されます。
重要
ゲートウェイ サブネットを使用する場合は、ゲートウェイ サブネットにネットワーク セキュリティ グループ (NSG) を関連付けないようにしてください。 ネットワーク セキュリティ グループをこのサブネットに関連付けると、仮想ネットワーク ゲートウェイ (VPN と ExpressRoute ゲートウェイ) が想定どおりに機能しなくなる可能性があります。 ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関するページを参照してください。
パブリック IP アドレスの表示
ゲートウェイのパブリック IP アドレスは、ご利用のゲートウェイの [概要] ページで確認できます。 パブリック IP アドレスは、VPN ゲートウェイへのサイト間接続を構成するときに使用されます。
パブリック IP アドレス オブジェクトの詳細を表示するには、[パブリック IP アドレス] の横にある名前 (IP アドレス) のリンクを選びます。
ゲートウェイの SKU のサイズ変更
ゲートウェイ SKU の変更とサイズ変更では、特定の規則があります。 このセクションでは、SKU のサイズを変更します。 詳細については、ゲートウェイ SKU のサイズ変更または変更に関するページを参照してください。
仮想ネットワーク ゲートウェイの [構成] ページに移動します。
ページの右側にあるドロップダウン矢印を選んで、使用できる SKU の一覧を表示します。
この一覧には、現在の SKU のサイズ変更に使用できる SKU のみが含まれていることに注意してください。 使用する SKU が表示されない場合は、サイズ変更の代わりに、新しい SKU に変更する必要があります。
ドロップダウン リストから SKU を選びます。
ゲートウェイをリセットする
- ポータルで、リセットする仮想ネットワーク ゲートウェイにアクセスします。
- 仮想ネットワーク ゲートウェイページの左のペインで、リセットまでスクロール ダウンします。
- [リセット] ページで、[リセット] を選択します。 このコマンドを実行すると、現在アクティブな Azure VPN Gateway のインスタンスが直ちに再起動されます。 ゲートウェイをリセットすると、VPN 接続にギャップが発生し、問題の将来の根本原因分析が制限されるおそれがあります。
リソースをクリーンアップする
今後このアプリケーションを使わない場合、または次のチュートリアルに進む場合は、これらのリソースを削除してください。
ポータルの上部にある検索ボックスに、お使いのリソース グループの名前を入力し、検索結果からそれを選択します。
[リソース グループの削除] を選択します。
[リソース グループ名を入力してください] に、お使いのリソース グループを入力し、 [削除] を選択します。
次のステップ
VPN ゲートウェイを作成した後、さらにゲートウェイの設定と接続を構成できます。 以下の記事には、最も一般的な構成のいくつかを作成する方法が紹介されています。