チュートリアル: Azure portal を使用して VPN ゲートウェイを作成、管理する
このチュートリアルでは、Azure portal を使用した仮想ネットワーク ゲートウェイ (VPN ゲートウェイ) の作成および管理について説明します。 この VPN ゲートウェイは、VPN Gateway を使用して仮想ネットワーク内のリソースに安全にアクセスできるようにする接続アーキテクチャの一部分です。
- 図の左側には、この記事の手順を使って作成する仮想ネットワークと VPN ゲートウェイが示されています。
- 図の右側に示すように、後でさまざまな種類の接続を追加できます。 たとえば、サイト間接続やポイント対サイト接続を作成できます。 構築できるさまざまな設計アーキテクチャを確認するには、「VPN Gateway の設計」を参照してください。
このチュートリアルでは、次の作業を行う方法について説明します。
- 仮想ネットワークを作成します。
- アクティブ/アクティブ モードのゾーン冗長 VPN ゲートウェイを作成します。
- ゲートウェイのパブリック IP アドレスを表示する。
- VPN ゲートウェイのサイズ変更 (SKU のサイズ変更)。
- VPN ゲートウェイのリセット。
- このチュートリアルで使用する構成設定の詳細については、「VPN Gateway の構成設定について」を参照してください。
- Azure VPN Gateway の詳細については、「Azure VPN Gateway とは」を参照してください。
- (VpnGw2AZ の代わりに) Basic SKU を使用してゲートウェイを作成する場合は、Basic SKU VPN ゲートウェイの作成に関する記事を参照してください。
- アクティブ/アクティブ モードのゲートウェイの詳細については、アクティブ/アクティブ モード に関する記事を参照してください。
- ゾーン冗長ゲートウェイの詳細については、ゾーン冗長ゲートウェイに関する記事を参照してください。
Note
この記事の手順では、ゲートウェイ SKU VpnGw2AZ を使用します。これは、Azure 可用性ゾーンをサポートする SKU です。 ご使用のリージョンで可用性ゾーンがサポートされていない場合は、代わりに AZ 以外の SKU を使用してください。 SKU の詳細については、「ゲートウェイ SKU について」を参照してください。
前提条件
アクティブなサブスクリプションを含む Azure アカウントが必要です。 ない場合は、無料で作成してください。
仮想ネットワークの作成
次の値の例を使用して仮想ネットワークを作成します。
- [リソース グループ] :TestRG1
- [名前]: VNet1
- リージョン: (米国) 米国東部 (または任意のリージョンを選択)
- IPv4 アドレス空間: 10.1.0.0/16
- サブネット名: 既定の名前を使用するか、名前を指定します。 例: FrontEnd
- サブネット アドレス空間: 10.1.0.0/24
Azure portal にサインインします。
ポータル ページの上部にある [リソース、サービス、ドキュメントの検索 (G+/)] に「仮想ネットワーク」と入力します。 Marketplace の検索結果から [仮想ネットワーク] を選び、[仮想ネットワーク] ページを開きます。
[仮想ネットワーク] ページの [作成] を選び、[仮想ネットワークの作成] ページを開きます。
[基本] タブの [プロジェクトの詳細] と [インスタンスの詳細] に仮想ネットワークの設定を構成します。 入力した値が検証された場合は、緑色のチェック マークが表示されます。 この例に示されている値は、必要な設定に従って調整できます。
- サブスクリプション:一覧表示されているサブスクリプションが正しいことを確認します。 ドロップダウン ボックスを使ってサブスクリプションを変更できます。
- リソース グループ: 既存のリソース グループを選ぶか、[新規作成] を選んで新しく作成します。 リソース グループの詳細については、「Azure Resource Manager の概要」を参照してください。
- Name:仮想ネットワークの名前を入力します。
- リージョン: 仮想ネットワークの場所を選びます。 この場所によって、この仮想ネットワークにデプロイするリソースが存在する場所が決まります。
[次へ] または [セキュリティ] を選んで、[セキュリティ] タブに移動します。この演習では、このページのすべてのサービスについて既定値のままにします。
[IP アドレス] を選んで、[IP アドレス] タブに移動します。[IP アドレス] タブで設定を構成します。
IPv4 アドレス空間: 既定では、アドレス空間が自動的に作成されます。 アドレス空間を選択して、独自の値が反映されるように調整できます。 別のアドレス空間を追加し、自動的に作成された既定値を削除することもできます。 たとえば、開始アドレスを 10.1.0.0 に指定し、アドレス空間のサイズを /16 に指定します。 次に [追加] を選んでそのアドレス空間を追加します。
+ サブネットの追加: 既定のアドレス空間を使用すると、既定のサブネットが自動的に作成されます。 アドレス空間を変更する場合は、そのアドレス空間内に新しいサブネットを追加します。 [+ サブネットの追加] を選択して、 [サブネットの追加] ウィンドウを開きます。 次の設定を構成し、ページの下部にある [追加] を選んで値を追加します。
- サブネット名: 既定値を使用することも、名前を指定することもできます。 例: FrontEnd。
- [サブネットのアドレス範囲] : このサブネットのアドレス範囲です。 たとえば、10.1.0.0 や /24 です。
[IP アドレス] ページを確認し、不要なアドレス空間またはサブネットを削除します。
[確認と作成] を選択して、仮想ネットワークの設定を検証します。
設定が検証されたら、[作成] を選んで仮想ネットワークを作成します。
仮想ネットワークを作成した後、必要に応じて Azure DDoS Protection を構成できます。 保護は新規または既存の仮想ネットワークで簡単に有効にでき、アプリケーションやリソースの変更は必要ありません。 Azure DDoS Protection の詳細については、「Azure DDoS Protection とは」を参照してください。
ゲートウェイ サブネットの作成
仮想ネットワーク ゲートウェイ リソースは、GatewaySubnet という名前の特定のサブネットにデプロイされます。 ゲートウェイ サブネットは、仮想ネットワークの構成時に指定する仮想ネットワーク IP アドレス範囲の一部です。
GatewaySubnet という名前のサブネットが存在しない場合、VPN ゲートウェイを作成するときにエラーが発生します。 作成するゲートウェイ サブネットには /27 (またはそれ以上) を使用することをお勧めします。 たとえば、/27 や /26 です。 詳細については、VPN Gateway の設定 - ゲートウェイ サブネットに関するページを参照してください。
- 仮想ネットワークのページの左側ペインで [サブネット] を選んで、[サブネット] ページを開きます。
- ページの上部にある [+ ゲートウェイ サブネット] を選んで、[サブネットの追加] ペインを開きます。
- 名前には「GatewaySubnet」が自動的に入力されます。 必要に応じて、IP アドレス範囲の値を調整します。 たとえば、10.1.255.0/27 などとします。
- ページの他の値は調整しないでください。 ページ下部の [保存] を選んでサブネットを保存します。
重要
ゲートウェイ サブネット上のネットワーク セキュリティ グループ (NSG) はサポートされていません。 ネットワーク セキュリティ グループをこのサブネットに関連付けると、仮想ネットワーク ゲートウェイ (VPN と ExpressRoute ゲートウェイ) が想定どおりに機能しなくなる可能性があります。 ネットワーク セキュリティ グループの詳細については、「ネットワーク セキュリティ グループ (NSG) について」を参照してください。
VPN ゲートウェイの作成
このセクションでは、仮想ネットワークのための仮想ネットワーク ゲートウェイ (VPN ゲートウェイ) を作成します。 選択したゲートウェイ SKU によっては、ゲートウェイの作成に 45 分以上かかる場合も少なくありません。
次の値を使用してゲートウェイを作成します。
- Name:VNet1GW
- ゲートウェイの種類: VPN
- SKU: VpnGw2AZ
- 世代: 第 2 世代
- 仮想ネットワーク: VNet1
- [ゲートウェイ サブネットのアドレス範囲] : 10.1.255.0/27
- [パブリック IP アドレス] : 新規作成
- パブリック IP アドレス名: VNet1GWpip1
- パブリック IP アドレス SKU: Standard
- 割り当て: 静的
- 2 番目のパブリック IP アドレス名: VNet1GWpip2
[リソース、サービス、ドキュメントの検索 (G+/)] に「仮想ネットワーク ゲートウェイ」と入力します。 Marketplace の検索結果で [仮想ネットワーク ゲートウェイ] を見つけて選び、[仮想ネットワーク ゲートウェイの作成] ページを開きます。
[基本] タブで、 [プロジェクトの詳細] と [インスタンスの詳細] の各値を入力します。
サブスクリプション: 使うサブスクリプションをドロップダウン リストから選びます。
リソース グループ: この値は、このページで仮想ネットワークを選択したときに自動入力されます。
名前: 作成するゲートウェイ オブジェクトの名前です。 これは、ゲートウェイ リソースのデプロイ先となるゲートウェイ サブネットとは異なります。
リージョン: このリソースを作成するリージョンを選択します。 ゲートウェイのリージョンは、仮想ネットワークと同じである必要があります。
ゲートウェイの種類: [VPN] を選択します。 VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。
SKU: ドロップダウン リストから、使用する機能をサポートするゲートウェイ SKU を選択します。
- 可能であれば、AZ で終わる SKU を選択することをお勧めします。 AZ SKU では、可用性ゾーンがサポートされています。
- Basic SKU はポータルでは使用できません。 Basic SKU ゲートウェイを構成するには、PowerShell または CLI を使用する必要があります。
世代: [Generation2] をドロップダウンで選択します。
仮想ネットワーク: ドロップダウン リストから、このゲートウェイの追加先の仮想ネットワークを選びます。 使用したい仮想ネットワークが表示されない場合は、前の設定で選択したサブスクリプションとリージョンが正しいことを確認してください。
ゲートウェイ サブネットのアドレス範囲またはサブネット: VPN ゲートウェイを作成するには、ゲートウェイ サブネットが必要です。
現時点では、このフィールドには仮想ネットワークのアドレス空間に応じて、およびその仮想ネットワーク用に GatewaySubnet という名前のサブネットが既に作成されているかどうかに応じて、異なる設定オプションが表示されます。
ゲートウェイ サブネットがない場合、"かつ" このページに作成するオプションが表示されない場合は、仮想ネットワークに戻ってゲートウェイ サブネットを作成します。 次に、このページに戻って、VPN ゲートウェイを構成します。
[パブリック IP アドレス] の値を指定します。 これらの設定では、VPN ゲートウェイに関連付けられるパブリック IP アドレス オブジェクトを指定します。 VPN ゲートウェイが作成されるときに、パブリック IP アドレス オブジェクトのそれぞれに 1 つのパブリック IP アドレスが割り当てられます。 割り当てられたパブリック IP アドレスが変わるのは、ゲートウェイが削除されて再作成されたときのみです。 VPN ゲートウェイのサイズ変更、リセット、またはその他の内部メンテナンス/アップグレードを行った後に IP アドレスが変わることはありません。
パブリック IP アドレスの種類: このオプションが表示された場合は、[Standard] を選択してください。
パブリック IP アドレス : [新規作成] を選択しておいてください。
パブリック IP アドレス名: このテキスト ボックスに、パブリック IP アドレス インスタンスの名前を入力します。
パブリック IP アドレス SKU: Standard SKU 設定が自動的に選択されます。
割り当て: この割り当ては通常は自動選択されて [静的] となります。
可用性ゾーン: この設定は、可用性ゾーンをサポートするリージョンの AZ ゲートウェイ SKU で使用できます。 ゾーンの指定が必要である場合を除いて、[ゾーン冗長] を選択します。
アクティブ/アクティブ モードの有効化: アクティブ/アクティブ モード ゲートウェイの利点を活用するには、[有効] をオンにすることをお勧めします。 このゲートウェイをサイト間接続に使用する予定の場合は、次の点を考慮してください。
- 使用するアクティブ/アクティブ設計を確認します。 アクティブ/アクティブ モードを利用するには、オンプレミス VPN デバイスとの接続を特別に構成する必要があります。
- 一部の VPN デバイスでは、アクティブ/アクティブ モードがサポートされていません。 不明な場合は、VPN デバイス ベンダーにお問い合わせください。 アクティブ/アクティブ モードをサポートしていない VPN デバイスを使用している場合は、この設定に対して [無効] をオンにすることができます。
2 番目のパブリック IP アドレス: [新規作成] を選択します。 これは、[アクティブ/アクティブ モードの有効化] 設定で [有効] をオンにした場合にのみ使用できます。
パブリック IP アドレス名: このテキスト ボックスに、パブリック IP アドレス インスタンスの名前を入力します。
パブリック IP アドレス SKU: Standard SKU 設定が自動的に選択されます。
可用性ゾーン: ゾーンの指定が必要である場合を除いて [ゾーン冗長] を選択します。
BGP の構成: 実際の構成でこの設定を特に必要としている場合を除いて、[無効] を選びます。 この設定が必要である場合、既定の ASN は 65515 です。ただし、この値は変わる場合があります。
Key Vault アクセスの有効化: 実際の構成でこの設定を特に必要としている場合を除いて、[無効] をオンにします。
[確認と作成] を選択して検証を実行します。
検証に合格したら、[作成] を選んで VPN ゲートウェイをデプロイします。
ゲートウェイの作成とデプロイが完了するまでに 45 分以上かかることがあります。 デプロイの状態は、ゲートウェイの [概要] ページで確認できます。 ゲートウェイの作成後は、ポータルの仮想ネットワークを調べることで、割り当てられている IP アドレスを確認できます。 ゲートウェイは、接続されたデバイスとして表示されます。
パブリック IP アドレスを表示する
仮想ネットワーク ゲートウェイに関連付けられているパブリック IP アドレスの一覧を表示するには、ポータル内でそのゲートウェイに移動します。
- 仮想ネットワーク ゲートウェイのポータル ページの [設定] で、[プロパティ] ページを開きます。
- IP アドレス オブジェクトに関する詳細情報を表示するには、関連付けられている IP アドレスのリンクをクリックします。
ゲートウェイの SKU のサイズ変更
ゲートウェイ SKU の変更とサイズ変更では、特定の規則があります。 このセクションでは、SKU のサイズを変更します。 詳細については、ゲートウェイ SKU のサイズ変更または変更に関するページを参照してください。
基本的な手順は次のとおりです。
- 仮想ネットワーク ゲートウェイの [構成] ページに移動します。
- ページの右側にあるドロップダウン矢印を選んで、使用できる SKU の一覧を表示します。 この一覧には、現在の SKU のサイズ変更に使用できる SKU のみが含まれていることに注意してください。 使用する SKU が表示されない場合は、サイズ変更の代わりに、新しい SKU に変更する必要があります。
- SKU をドロップダウン リストから選択して変更内容を保存します。
ゲートウェイをリセットする
ゲートウェイをリセットしたときに行われる処理は、ゲートウェイの構成によって異なります。 詳細については、「VPN ゲートウェイまたは接続をリセットする」を参照してください。
基本的な手順は次のとおりです。
- ポータルで、リセットする仮想ネットワーク ゲートウェイにアクセスします。
- [仮想ネットワーク ゲートウェイ] ページ上の、左側のペイン内で、スクロールして [ヘルプ] -> [リセット] を見つけます。
- [リセット] ページで、[リセット] を選択します。 このコマンドを実行すると、現在アクティブな Azure VPN Gateway のインスタンスが直ちに再起動されます。 ゲートウェイをリセットすると、VPN 接続にギャップが発生し、問題の将来の根本原因分析が制限されるおそれがあります。
リソースをクリーンアップする
今後このアプリケーションを使わない場合、または次のチュートリアルに進む場合は、これらのリソースを削除してください。
- ポータルの上部にある検索ボックスに、お使いのリソース グループの名前を入力し、検索結果からそれを選択します。
- [リソース グループの削除] を選択します。
- [リソース グループ名を入力してください] に、お使いのリソース グループを入力し、 [削除] を選択します。
次のステップ
VPN ゲートウェイを作成した後、さらにゲートウェイの設定と接続を構成できます。 以下の記事には、最も一般的な構成のいくつかを作成する方法が紹介されています。