チュートリアル: Azure portal でサイト間 VPN 接続を作成する
このチュートリアルでは、Azure portal を使用して、オンプレミス ネットワークと仮想ネットワーク (VNet) のサイト間 VPN ゲートウェイ接続を作成する方法について説明します。 この構成は、Azure PowerShell または Azure CLI を使用して作成することもできます。
このチュートリアルでは、以下の内容を学習します。
- 仮想ネットワークの作成
- VPN ゲートウェイの作成
- ローカル ネットワーク ゲートウェイの作成
- VPN 接続を作成する
- 接続を確認する
- 仮想マシンへの接続
前提条件
- アクティブなサブスクリプションが含まれる Azure アカウント。 ない場合は、無料で作成してください。
- 互換性のある VPN デバイスがあり、デバイスを構成できる人員がいることを確認します。 互換性のある VPN デバイスとデバイスの構成の詳細については、VPN デバイスの概要に関する記事を参照してください。
- VPN デバイスの外部接続用パブリック IPv4 アドレスがあることを確認します。
- オンプレミス ネットワーク構成に含まれている IP アドレス範囲になじみがない場合は、それらの詳細を提供できる担当者と連携する必要があります。 この構成を作成する場合は、Azure がオンプレミスの場所にルーティングする IP アドレス範囲のプレフィックスを指定する必要があります。 オンプレミス ネットワークのサブネットと接続先の仮想ネットワーク サブネットが重複しないようにしなければなりません。
仮想ネットワークの作成
このセクションでは、次の値を使用して、仮想ネットワーク (VNet) を作成します。
- [リソース グループ]: TestRG1
- [名前]: VNet1
- [リージョン]: (米国) 米国東部
- IPv4 アドレス空間: 10.1.0.0/16
- サブネット名: FrontEnd
- サブネット アドレス空間: 10.1.0.0/24
Note
クロスプレミス アーキテクチャの一部として仮想ネットワークを使用する場合は、必ずオンプレミスのネットワーク管理者と調整を行い、この仮想ネットワーク専用に使用できる IP アドレ スの範囲を見つけてください。 VPN 接続の両側に重複するアドレス範囲が存在する場合、予期しない方法でトラフィックがルーティングされます。 また、この仮想ネットワークを別の仮想ネットワークに接続する場合、アドレス空間を別の仮想ネットワークと重複させることはできません。 この点を踏まえてネットワーク構成を計画してください。
Azure portal にサインインします。
ポータル ページの上部にある [リソース、サービス、ドキュメントの検索 (G+/)] に「仮想ネットワーク」と入力します。 Marketplace 結果から [仮想ネットワーク] を選択し、[仮想ネットワーク] ページを開きます。
[仮想ネットワーク] ページで、[作成] を選択します。 [仮想ネットワークの作成] ページが開きます。
[基本] タブで、[プロジェクトの詳細] および [インスタンスの詳細] に、VNet 設定を構成します。 入力した値が検証された場合は、緑色のチェック マークが表示されます。 この例に示されている値は、必要な設定に従って調整できます。
- サブスクリプション:一覧表示されているサブスクリプションが正しいことを確認します。 ドロップダウンを使用して、サブスクリプションを変更できます。
- リソース グループ: 既存のリソース グループを選択するか、[新規作成] を選択して新しく作成します。 リソース グループの詳細については、「Azure Resource Manager の概要」を参照してください。
- Name:仮想ネットワークの名前を入力します。
- リージョン: VNet の場所を選択します。 この場所の設定によって、この VNet にデプロイしたリソースの配置先が決まります。
[次へ] または [セキュリティ] を選んで [セキュリティ] タブに進みます。この演習では、このページのすべてのサービスを既定値のままにします。
[IP アドレス] を選んで、[IP アドレス] タブに進みます。[IP アドレス] タブで、設定を構成します。
- IPv4 アドレス空間: 既定では、アドレス空間が自動的に作成されます。 アドレス空間を選択して、独自の値が反映されるように調整できます。 別のアドレス空間を追加し、自動的に作成された既定値を削除することもできます。 たとえば、開始アドレスを 10.1.0.0 に指定し、アドレス空間のサイズを /16 に指定してから、そのアドレス空間を追加できます。
- + サブネットの追加: 既定のアドレス空間を使用すると、既定のサブネットが自動的に作成されます。 アドレス空間を変更する場合は、そのアドレス空間内に新しいサブネットを追加します。 [+ サブネットの追加] を選択して、 [サブネットの追加] ウィンドウを開きます。 次の設定を構成し、ページの下部にある [追加] を選択して値を追加します。
- サブネット名: 例: FrontEnd。
- [サブネットのアドレス範囲] : このサブネットのアドレス範囲です。 たとえば、10.1.0.0 と /24 にします。
[IP アドレス] ページを確認し、不要なアドレス空間またはサブネットを削除します。
[確認と作成] を選択して、仮想ネットワークの設定を検証します。
設定が検証されたら、[作成] を選択して仮想ネットワークを作成します。
VPN ゲートウェイの作成
この手順では、VNet の仮想ネットワーク ゲートウェイを作成します。 選択したゲートウェイ SKU によっては、ゲートウェイの作成に 45 分以上かかる場合も少なくありません。
ゲートウェイ サブネットについて
仮想ネットワーク ゲートウェイは、"ゲートウェイ サブネット" と呼ばれる特定のサブネットを使用します。 ゲートウェイ サブネットは、仮想ネットワークの構成時に指定した仮想ネットワーク IP アドレス範囲に含まれます。 そこには、仮想ネットワーク ゲートウェイのリソースやサービスによって使用される IP アドレスが含まれます。
ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。 必要な IP アドレスの数は、作成する VPN ゲートウェイの構成によって異なります。 一部の構成では、他の構成よりも多くの IP アドレスを割り当てる必要があります。 ゲートウェイ サブネットには、/27 以上 (/26、/25 など) を指定することをお勧めします。
アドレス空間がサブネットと重複していることを示すエラーや、ご使用の仮想ネットワークのアドレス空間内にサブネットが存在しないことを示すエラーが表示された場合は、VNet のアドレス範囲をチェックしてください。 仮想ネットワーク用に作成したアドレス範囲から、十分な IP アドレスを確保できない場合があります。 たとえば、既定のサブネットがアドレス範囲全体にわたる場合、新たに別のサブネットを作成するだけの IP アドレスは残っていません。 既存のアドレス空間内のサブネットを調整して IP アドレスを解放するか、または新たに別のアドレス範囲を指定して、そこにゲートウェイ サブネットを作成してください。
ゲートウェイを作成する
次の値を使用して仮想ネットワーク ゲートウェイ (VPN ゲートウェイ) を作成します。
- [名前]: VNet1GW
- [リージョン]: 米国東部
- ゲートウェイの種類: VPN
- VPN の種類: ルート ベース
- SKU: VpnGw2
- 世代: 第 2 世代
- 仮想ネットワーク: VNet1
- ゲートウェイ サブネットのアドレス範囲: 10.1.255.0/27
- [パブリック IP アドレス] : 新規作成
- パブリック IP アドレス名: VNet1GWpip
- アクティブ/アクティブ モードの有効化: 無効
- [Configure BGP](BGP の構成): 無効
[リソース、サービス、ドキュメントの検索 (G+/)] に「仮想ネットワーク ゲートウェイ」と入力します。 Marketplace の検索結果で [仮想ネットワーク ゲートウェイ] を見つけて選択し、[作成仮想ネットワーク ゲートウェイの作成] ページを開きます。
[基本] タブで、 [プロジェクトの詳細] と [インスタンスの詳細] の各値を入力します。
- サブスクリプション:使用するサブスクリプションをドロップダウンから選択します。
- リソース グループ:この設定は、このページで仮想ネットワークを選択すると自動入力されます。
- Name:ゲートウェイに名前を付けます。 ゲートウェイの名前付けは、ゲートウェイ サブネットの名前付けと同じではありません。 作成するゲートウェイ オブジェクトの名前です。
- リージョン: このリソースを作成するリージョンを選択します。 ゲートウェイのリージョンは、仮想ネットワークと同じである必要があります。
- [ゲートウェイの種類] : [VPN] を選択します。 VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。
- VPN の種類:構成に指定されている VPN の種類を選択します。 ほとんどの構成で [VPN の種類] は [ルート ベース] にする必要があります。
- SKU: 使用するゲートウェイ SKU をドロップダウンから選択します。 ドロップダウン リストに表示される SKU は、選択した VPN の種類によって異なります。 使用する機能をサポートする SKU を選択してください。 たとえば、"VPNGw2AZ" などの "AZ" SKU を選択する場合は、この例で示されているのとは異なる設定の可用性ゾーン SKU を選択しています。 詳細については、「Azure 可用性ゾーンのゾーン冗長仮想ネットワーク ゲートウェイ」を参照してください。 ゲートウェイの SKU の詳細については、「ゲートウェイの SKU」を参照してください。
- 世代: 使用する世代を選択します。 Generation2 SKU を使用することをお勧めします。 詳細については、「ゲートウェイの SKU」を参照してください。
- 仮想ネットワーク:ドロップダウンから、このゲートウェイの追加先の仮想ネットワークを選択します。 ゲートウェイを作成する VNet が表示されない場合は、前の設定で正しいサブスクリプションとリージョンを選択していることを確認します。
- ゲートウェイ サブネットのアドレス範囲: このフィールドは、VNet にゲートウェイ サブネットがない場合にのみ表示されます。 これは /27 またはそれ以上 (/26、/25 など) を指定することをお勧めします。 これにより、ExpressRoute ゲートウェイの追加など、将来の変更のために十分な IP アドレスが許可されます。 既にゲートウェイ サブネットがある場合は、仮想ネットワークから GatewaySubnet の詳細を表示できます。 範囲を表示するには、[サブネット] を選択します。 範囲を変更する場合は、GatewaySubnet を削除して再作成できます。
パブリック IP アドレス の各値を指定します。 これらの設定では、VPN ゲートウェイに関連付けられるパブリック IP アドレス オブジェクトを指定します。 パブリック IP アドレスは、VPN ゲートウェイの作成時に、このオブジェクトに割り当てられます。 プライマリ パブリック IP アドレスが変わるのは、ゲートウェイが削除され、再度作成されたときのみです。 VPN ゲートウェイのサイズ変更、リセット、その他の内部メンテナンス/アップグレードでは、IP アドレスは変わりません。
- パブリック IP アドレスの種類: この演習では、アドレスの種類を選択するオプションがある場合は、[Standard] を選択します。
- パブリック IP アドレス : [新規作成] を選択しておいてください。
- パブリック IP アドレス名:このテキスト ボックスに、パブリック IP アドレス インスタンスの名前を入力します。
- パブリック IP アドレス SKU: 設定が自動的に選択されます。
- 割り当て: 通常、割り当ては自動的に選択され、[動的] または [静的] のいずれかになります。
- [アクティブ/アクティブ モードの有効化]: [無効] を選びます。 アクティブ/アクティブ ゲートウェイ構成を作成する場合にのみ、この設定を有効にします。
- [BGP の構成]: 構成で特に必要ない限り、[無効] を選びます。 この設定が必要である場合、既定の ASN は 65515 です。ただし、この値は変わる場合があります。
[確認と作成] を選択して検証を実行します。
検証に合格したら、 [作成] を選択して VPN ゲートウェイをデプロイします。
デプロイの状態は、ゲートウェイの [概要] ページで確認できます。 ゲートウェイを完全に作成してデプロイするには最大で 45 分かかることがあります。 ゲートウェイの作成後は、ポータルの仮想ネットワークを調べることで、ゲートウェイに割り当てられている IP アドレスを確認できます。 ゲートウェイは、接続されたデバイスとして表示されます。
重要
ゲートウェイ サブネットを使用する場合は、ゲートウェイ サブネットにネットワーク セキュリティ グループ (NSG) を関連付けないようにしてください。 このサブネットにネットワーク セキュリティ グループを関連付けると、仮想ネットワーク ゲートウェイ (VPN と Express Route ゲートウェイ) が正常に動作しなくなることがあります。 ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関するページを参照してください。
パブリック IP アドレスの表示
ゲートウェイのパブリック IP アドレスは、ご利用のゲートウェイの [概要] ページで確認できます。
パブリック IP アドレス オブジェクトに関する追加情報を表示するには、[パブリック IP アドレス] の横にある名前 (または IP アドレス) リンクを選択します。
ローカル ネットワーク ゲートウェイの作成
ローカル ネットワーク ゲートウェイは、ルーティング目的でオンプレミスの場所 (サイト) を表す、特定のオブジェクトです。 サイトに Azure が参照できる名前を付け、接続を作成するオンプレミス VPN デバイスの IP アドレスを指定します。 また、VPN ゲートウェイを介して VPN デバイスにルーティングされる IP アドレスのプレフィックスも指定します。 指定するアドレスのプレフィックスは、オンプレミス ネットワークのプレフィックスです。 オンプレミスのネットワークが変更された場合、または VPN デバイスのパブリック IP アドレスを変更する必要がある場合、これらの値を後で簡単に更新できます。
次の値を使用して、ローカル ネットワーク ゲートウェイを作成します。
- [名前]: Site1
- [リソース グループ]: TestRG1
- [場所]: 米国東部
Azure portal で、 [Search resources, services, and docs](ソース、サービス、ドキュメントの検索) (G+/) に、「ローカル ネットワーク ゲートウェイ」と入力します。 検索結果の [Marketplace] の下にある [ローカル ネットワーク ゲートウェイ] を見つけて、それを選択します。 これで、 [仮想ネットワーク ゲートウェイの作成] ページが開きます。
「ローカル ネットワーク ゲートウェイの作成ページ」の [基本] タブで、ローカル ネットワーク ゲートウェイの値を指定します。
- サブスクリプション: 正しいサブスクリプションが表示されていることを確認します。
- [リソース グループ]: 使用するリソース グループを選択します。 新しいリソース グループを作成することも、作成済みのリソース グループを選択することもできます。
- リージョン: このオブジェクトが作成されるリージョンを選択します。 VNet が存在する場所と同じところを選択できますが、必須ではありません。
- [名前]: ローカル ネットワーク ゲートウェイ オブジェクトの名前を指定します。
- エンドポイント: オンプレミス VPN デバイスのエンドポイントの種類を選択します - IP アドレスまたは FQDN (完全修飾ドメイン名) 。
- IP アドレス: VPN デバイスのインターネット サービス プロバイダーから割り当てられた静的パブリック IP アドレスがある場合は、IP アドレス オプションを選択し、例に示されているように IP アドレスを入力します。 これは Azure VPN ゲートウェイの接続先の VPN デバイスのパブリック IP アドレスです。 現時点で IP アドレスを持っていない場合は、例に示されている値を使用できますが、プレースホルダーとして指定したこの IP アドレスを後で VPN デバイスのパブリック IP アドレスに置き換える必要があります。 そうしないと、Azure は接続を行うことができません。
- FQDN: 一定期間が過ぎると変わる可能性がある動的パブリック IP アドレス (多くの場合、インターネット サービス プロバイダーによって決まる) の場合は、動的 DNS サービスと共に DNS 定数名を使用して VPN デバイスの現在のパブリック IP アドレスを指定することができます。 Azure VPN ゲートウェイは、FQDN を解決して接続先のパブリック IP アドレスを決定します。
- [アドレス空間] は、このローカル ネットワークが表すネットワークのアドレス範囲を参照します。 複数のアドレス領域の範囲を追加することができます。 ここで指定した範囲が、接続先となる他のネットワークの範囲と重複しないようにしてください。 指定したアドレス範囲が、Azure によってオンプレミスの VPN デバイスの IP アドレスにルーティングされます。 "オンプレミスのサイトに接続する場合、例に示されている値を使用せず、ここで独自の値を使用します"。
Note
- Azure VPN では、FQDN ごとに 1 つの IPv4 アドレスのみがサポートされます。 ドメイン名が複数の IP アドレスに解決された場合、Azure VPN Gateway では DNS サーバーから返された最初の IP アドレスが使用されます。 不確実性を解消するために、FQDN を常に単一の IPv4 アドレスに解決することをお勧めします。 IPv6 はサポートされていません。
- Azure VPN Gateway には、5 分おきに更新される DNS キャッシュがあります。 ゲートウェイによって FQDN の解決が試行されるのは、切断されたトンネルの場合のみです。 ゲートウェイをリセットすると、FQDN の解決もトリガーされます。
[詳細設定] タブでは、必要に応じて BGP 設定を構成できます。
値の指定が完了したら、ページの下部にある [確認と作成] を選択して、ページを検証します。
[作成] を選択して、ローカル ネットワーク ゲートウェイ オブジェクトを作成します。
VPN デバイスの構成
オンプレミス ネットワークとのサイト間接続には VPN デバイスが必要です。 この手順では、VPN デバイスを構成します。 VPN デバイスを構成する場合は、次の値が必要です。
- 共有キー。 これは、サイト間 VPN 接続を作成するときに指定するのと同じ共有キーです。 ここで紹介している例では、基本的な共有キーを使用しています。 実際には、もっと複雑なキーを生成して使用することをお勧めします。
- 仮想ネットワーク ゲートウェイのパブリック IP アドレス。 パブリック IP アドレスは、Azure Portal、PowerShell、または CLI を使用して確認できます。 Azure portal を使用して VPN ゲートウェイのパブリック IP アドレスを調べるには、[仮想ネットワーク ゲートウェイ] に移動し、該当するゲートウェイの名前を選択します。
VPN デバイス構成スクリプトをダウンロードするには
ご利用の VPN デバイスによっては、VPN デバイス構成スクリプトをダウンロードできる場合があります。 詳細については、VPN デバイス構成スクリプトのダウンロードに関するページを参照してください。
その他の構成情報については、次のリンクを参照してください
適合する VPN デバイスについては、VPN デバイスに関するページを参照してください。
VPN デバイスを構成する前に、使用する VPN デバイスに関して、デバイスの互換性に関する既知の問題がないかどうかを確認してください。
デバイスの構成設定へのリンクについては、「検証済みの VPN デバイス」を参照してください。 デバイスの構成に関するリンクは、入手できる範囲で記載しています。 最新の構成情報については必ず、デバイスの製造元にご確認ください。 掲載されている一覧は、テスト済みのバージョンを示しています。 一覧にない OS のバージョンでも、適合している可能性があります。 デバイスの製造元に問い合わせて、ご利用の VPN デバイスの OS バージョンが適合しているかどうかを確認してください。
VPN デバイス構成の概要については、「Overview of 3rd party VPN device configurations (サード パーティの VPN デバイスの構成の概要)」を参照してください。
デバイス構成サンプルの編集については、サンプルの編集に関するセクションを参照してください。
暗号化の要件については、「About cryptographic requirements and Azure VPN gateways」(暗号化要件と Azure VPN ゲートウェイについて) を参照してください。
IPsec/IKE パラメーターの詳細については、「サイト間 VPN ゲートウェイ接続用の VPN デバイスと IPsec/IKE パラメーターについて」を参照してください。 リンク先には、実際の構成に必要な各種パラメーターの情報に加え、IKE のバージョン、Diffie-hellman グループ、認証方法、暗号化とハッシュ アルゴリズム、SA の有効期間、PFS、DPD に関する情報が記載されています。
IPSEC/IKE ポリシーの構成手順については、「S2S VPN または VNet 対 VNet 接続用のIPsec/IKE ポリシーを構成する」を参照してください。
複数のポリシーベース VPN デバイスを接続する方法については、「PowerShell を使って複数のオンプレミス ポリシー ベース VPN デバイスに VPN ゲートウェイを接続する」を参照してください。
VPN 接続を作成する
仮想ネットワーク ゲートウェイとオンプレミス VPN デバイスとの間にサイト間 VPN 接続を作成します。
次の値を使用して接続を作成します。
- ローカル ネットワーク ゲートウェイ名: Site1
- 接続名: VNet1toSite1
- 共有キー: この例では、abc123 を使用します。 ただし、お使いの VPN ハードウェアと互換性があれば何を使用してもかまいません。 重要なことは、接続の両側で値が一致していることです。
仮想ネットワークに移動します。 VNet ページで、左側の [接続デバイス] を選択します。 VPN ゲートウェイを見つけ、クリックして開きます。
ゲートウェイのページで、 [接続] を選択します。
[接続] ページの上部で、[+ 追加] を選択して [接続の作成] ページを開きます。
接続の作成の [基本] ページで、接続のための値を構成します。
[プロジェクトの詳細] では、サブスクリプションとリソースが配置されているリソース グループを選択します。
[インスタンスの詳細] では、次の設定を構成します。
- [接続の種類] : [サイト対サイト (IPsec)] を選択します。
- [名前]: 接続に名前を付けます。
- 地域: この接続のリージョンを選択します。
[設定] を選択して設定ページに移動します。
- 仮想ネットワーク ゲートウェイ: ドロップダウンから仮想ネットワーク ゲートウェイを選択します。
- ローカル ネットワーク ゲートウェイ: ドロップダウンからローカル ネットワーク ゲートウェイを選択します。
- [共有キー]: この値は、ローカルのオンプレミス VPN デバイスで使用している値と一致させる必要があります。
- [IKEv2] を選択します。
- [Azure プライベート IP アドレスの使用] は未選択のままにします。
- [BGP の有効化] は未選択のままにします。
- [FastPath] は未選択のままにします。
- IPe/IKE ポリシー: 既定。
- ポリシーベースのトラフィック セレクター: 無効。
- DPD タイムアウト (秒): 45
- 接続モード: 既定値のままにします。 この設定は、接続を開始できるゲートウェイを指定するために使われます。 詳細については、VPN Gateway 設定の接続モードに関する記事を参照してください。
[NAT 規則の関連付け] では、[イングレス] と [エグレス] の両方を 0 が選択されたままにします。
[確認および作成] を選択して接続設定を検証します。
[作成] を選択して接続を作成します。
デプロイが完了したら、仮想ネットワーク ゲートウェイの [接続] ページで接続を表示できます。 状態は、[不明] から [接続中] になり、その後 [成功] になります。
追加の接続設定を構成するには (省略可能)
必要な場合は、追加の接続設定を構成できます。 そうでない場合はこのセクションをスキップし、既定値をそのままの位置にしておきます。 詳細については、「カスタム IPsec/IKE 接続ポリシーを構成する」を参照してください。
仮想ネットワーク ゲートウェイに移動し、[接続] を選択して [接続] ページを開きます。
構成する接続 の名前を選択し、[接続] ページを開きます。
左側の [接続] ページで、[構成] を選択して [構成] ページを開きます。 必要な変更を加えてから、保存します。
次のスクリーンショットでは、ポータルで使用できる構成設定を示すためにすべての設定を有効にしてあります。 スクリーンショットをクリックすると、展開したビューが表示されます。 接続を構成するときには、必要な設定のみを構成してください。 それ以外の場合は、既定の設定の位置のままにします。
VPN 接続の確認
Azure portal で VPN ゲートウェイの接続に移動して、その接続の状態を確認できます。 以下に示した手順は、目的の接続に移動して接続を確認する方法の一例です。
- Azure portal メニューで、[すべてのリソース] を選択するか、任意のページから検索し [すべてのリソース] を選択します。
- 仮想ネットワーク ゲートウェイを選択します。
- 仮想ネットワーク ゲートウェイのブレードで、 [接続] をクリックします。 各接続の状態が確認できます。
- 確認する接続の名前をクリックすると、[要点] が開きます。 接続の詳しい情報は、そこで確認できます。 接続に成功していれば、 [状態] が "成功" と "接続済み" になります。
仮想マシンへの接続
リモート デスクトップ接続を作成すると、VNet にデプロイされている VM に接続できます。 VM に接続できるかどうかを初めて確認する際に最も良い方法は、その VM のコンピューター名ではなく、プライベート IP アドレスを使って接続してみることです。 この方法であれば、名前の解決が適切に構成されているかではなく、VM に接続できるかどうかをテストすることができます。
プライベート IP アドレスを特定します。 VM のプライベート IP アドレスは、Azure Portal で VM のプロパティを表示するか、PowerShell を使うと確認できます。
Azure Portal を使用する場合: Azure Portal で仮想マシンを探します。 VM のプロパティを表示すると、 プライベート IP アドレスが表示されます。
PowerShell を使用する場合: 以下の例に示したコマンドを使用すると、リソース グループに含まれる VM とプライベート IP アドレスの一覧が表示されます。 このコマンドは、使用前に変更を加える必要はありません。
$VMs = Get-AzVM $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null foreach ($Nic in $Nics) { $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod Write-Output "$($VM.Name): $Prv,$Alloc" }
VNet に接続されていることを確認します。
タスク バーの検索ボックスに「RDP」または「リモート デスクトップ接続」と入力してリモート デスクトップ接続を開き、リモート デスクトップ接続を選択します。 このほか、PowerShell で "mstsc" コマンドを使ってリモート デスクトップ接続を開くこともできます。
リモート デスクトップ接続で、VM のプライベート IP アドレスを入力します。 [オプションの表示] を選択して追加の設定を調整してから、接続できます。
接続のトラブルシューティング
VPN 接続を使って仮想マシンに接続する際に問題が発生した場合には、次のことを確認してください。
VPN 接続が成功したことを確認します。
VM のプライベート IP アドレスに接続していることを確認します。
プライベート IP アドレスを使って VM に接続できるものの、コンピューター名では接続できない場合には、DNS が正しく構成されているかどうかを確認します。 VM の名前解決の動作について詳しくは、VM の名前解決に関するページを参照してください。
詳細については、VM に対するリモート デスクトップ接続のトラブルシューティングに関するページを参照してください。
省略可能な手順
ゲートウェイの SKU のサイズ変更
ゲートウェイの SKU の変更とサイズ変更には、一定のルールがあります。 このセクションでは、SKU のサイズを変更します。 詳細については、ゲートウェイの設定 (SKU のサイズ変更または変更) に関するセクションを参照してください。
仮想ネットワーク ゲートウェイの [構成] ページに移動します。
ページの右側にあるドロップダウン矢印をクリックして、使用できる SKU の一覧を表示します。
ドロップダウン リストから SKU を選択します。 一覧には、サイズを変更できる SKU のみが含まれます。 使用したい SKU が表示されない場合は、サイズを変更する代わりに SKU を変更する必要があります。
ゲートウェイをリセットする
Azure VPN ゲートウェイをリセットすることは、1 つ以上のサイト間 VPN トンネルのクロスプレミス VPN 接続が失われた場合に役立ちます。 この状況では、オンプレミスの VPN デバイスがすべて正しく機能していますが、Azure VPN ゲートウェイとの IPsec トンネルを確立することができません。
- ポータルで、リセットする仮想ネットワーク ゲートウェイにアクセスします。
- 仮想ネットワーク ゲートウェイ ページの左のペインで、[リセット] までスクロール ダウンします。
- [リセット] ページで、 [リセット] をクリックします。 このコマンドを実行すると、現在アクティブな Azure VPN Gateway のインスタンスが直ちに再起動されます。 ゲートウェイをリセットすると、VPN 接続にギャップが発生し、問題の将来の根本原因分析が制限されるおそれがあります。
もう 1 つの接続を追加する
同じ VPN ゲートウェイから複数のオンプレミス サイトへの接続を作成できます。 複数の接続を構成する場合、アドレス空間をどの接続間でも重複させることはできません。
- もう 1 つの接続を追加するには、VPN ゲートウェイに移動し、[接続] を選択して [接続] ページを開きます。
- [+追加] を選択して接続を追加します。 "VNet 間" (別の VNet ゲートウェイに接続する場合) または "サイト対サイト" を考慮して接続の種類を調整します。
- サイト間を使用して接続しているが、まだ接続先となるサイトのローカル ネットワーク ゲートウェイを作成していない場合は、新規に作成できます。
- 使用する共有キーを指定し、 [OK] を選択して接続を作成します。
構成に関するその他の考慮事項
S2S 構成はさまざまな方法でカスタマイズできます。 詳細については、次の記事を参照してください。
- BGP の詳細については、BGP の概要に関する記事と BGP の構成方法に関する記事を参照してください。
- 強制トンネリングについては、強制トンネリングに関する記事を参照してください。
- 高可用性のアクティブ/アクティブ接続については、「高可用性のクロスプレミス接続および VNet 間接続」を参照してください。
- 仮想ネットワーク内のリソースへのネットワーク トラフィックを制限する方法については、「ネットワークのセキュリティ」を参照してください。
- Azure がトラフィックを Azure、オンプレミス、インターネット リソースの間でどのようにルーティングするかについては、「仮想ネットワーク トラフィックのルーティング」を参照してください。
リソースをクリーンアップする
今後このアプリケーションを使用しない場合、または次のチュートリアルに進む場合は、次の手順に従ってリソースを削除してください。
- ポータルの上部にある検索ボックスに、お使いのリソース グループの名前を入力し、検索結果からそれを選択します。
- [リソース グループの削除] を選択します。
- [リソース グループ名を入力してください] に、お使いのリソース グループを入力し、 [削除] を選択します。
次のステップ
サイト間接続を構成したら、同じゲートウェイに P2S 接続を追加できます。