VPN Gateway の構成設定について
VPN Gateway の接続アーキテクチャは、複数のリソースの構成によって異なり、それぞれに構成可能な設定が含まれます。 この記事の各セクションでは、Resource Manager デプロイ モデルで作成された仮想ネットワークの VPN Gateway に関連するリソースと設定について説明します。 各接続ソリューションの説明とトポロジ図については、VPN ゲートウェイのトポロジと設計に関する記事を参照してください。
この記事の値は、特に VPN ゲートウェイ (-GatewayType Vpn を使う仮想ネットワーク ゲートウェイ) に適用されます。 次の種類のゲートウェイに関する情報をお探しの場合は、次の記事を参照してください。
- -GatewayType 'ExpressRoute' に適用される値については、「ExpressRoute 用の仮想ネットワーク ゲートウェイについて」を参照してください。
- ゾーン冗長ゲートウェイについては、ゾーン冗長ゲートウェイについての記事をご覧ください。
- アクティブ/アクティブ ゲートウェイについては、高可用性接続に関するページを参照してください。
- Virtual WAN ゲートウェイについては、「Virtual WAN について」を参照してください。
ゲートウェイとゲートウェイの種類
仮想ネットワーク ゲートウェイは、自動的に構成され、作成した特定のサブネット ("ゲートウェイ サブネット" と呼ばれます) にデプロイされる 2 つ以上の Azure マネージド VM で構成されます。 ゲートウェイ VM には、ルーティング テーブルが含まれ、特定のゲートウェイ サービスが実行されます。
仮想ネットワーク ゲートウェイを作成すると、ゲートウェイ VM はゲートウェイ サブネット (常に GatwaySubnet という名前) に自動的にデプロイされ、指定した設定で構成されます。 選択するゲートウェイ SKU によっては、このプロセスが完了するまでに 45 分以上かかる場合があります。
仮想ネットワーク ゲートウェイの作成時に指定する設定の 1 つは、ゲートウェイの種類です。 ゲートウェイの種類により、仮想ネットワーク ゲートウェイの使用方法と、ゲートウェイによって実行されるアクションが決まります。 仮想ネットワークには、VPN ゲートウェイと ExpressRoute ゲートウェイの 2 つの仮想ネットワーク ゲートウェイを含めることができます。 ゲートウェイの種類 "Vpn" は、作成される仮想ネットワーク ゲートウェイの種類が VPN ゲートウェイであることを示します。 これにより、異なるゲートウェイの種類を使用する ExpressRoute ゲートウェイと区別されます。
仮想ネットワーク ゲートウェイを作成するときは、ゲートウェイの種類が構成に対して適切であることを確認する必要があります。 -GatewayType に使用できる値は次のとおりです。
- Vpn
- ExpressRoute
VPN Gateway では、 -GatewayTypeVpnにする必要があります。
例:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
ゲートウェイ SKU とパフォーマンス
ゲートウェイ SKU、パフォーマンス、サポートされている機能に関する最新情報については、「ゲートウェイ SKU について」を参照してください。
VPN の種類
Azure は、VPN ゲートウェイに対してポリシーベースとルートベースという 2 種類の VPN をサポートしています。 ルートベースの VPN ゲートウェイは、ポリシーベースの VPN ゲートウェイとは異なるプラットフォーム上に構築されています。 そのため、ゲートウェイの仕様が異なります。
ほとんどの場合、ルートベースの VPN ゲートウェイを作成します。 以前は、以前のゲートウェイ SKU では、ルート ベースのゲートウェイの IKEv1 はサポートされていませんでした。 現在、現在のゲートウェイ SKU のほとんどは、IKEv1 と IKEv2 の両方をサポートしています。 ポリシーベースのゲートウェイが既にある場合は、ゲートウェイをルートベースにアップグレードする必要はありません。
ポリシーベースのゲートウェイを作成する場合は、PowerShell または CLI を使います。 2023 年 10 月 1 日現在、Azure portal からポリシーベースの VPN ゲートウェイを作成することはできません。ルートベースのゲートウェイのみが可能です。
| ゲートウェイ VPN の種類 | ゲートウェイ SKU | サポートされている IKE バージョン |
|---|---|---|
| ポリシー ベースのゲートウェイ | 基本 | IKEv1 |
| ルート ベースのゲートウェイ | 基本 | IKEv2 |
| ルート ベースのゲートウェイ | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 および IKEv2 |
| ルート ベースのゲートウェイ | VpnGw1AZ、VpnGw2AZ、VpnGw3AZ、VpnGw4AZ、VpnGw5AZ | IKEv1 および IKEv2 |
接続の種類
Resource Manager デプロイ モデルの各構成では、仮想ネットワーク ゲートウェイの接続の種類を指定する必要があります。 -ConnectionType に使用できる Resource Manager PowerShell 値は次のとおりです。
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
次の PowerShell の例では、接続の種類 IPsecを必要とする S2S 接続を作成しています。
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
接続モード
Connection Mode プロパティは、IKEv2 接続を使用するルートベースの VPN ゲートウェイにのみ適用されます。 接続モードは、接続開始方向を定義し、初期 IKE 接続確立にのみ適用されます。 どのパーティでも、キーの更新とそれ以降のメッセージを開始できます。 InitiatorOnly は、Azure によって接続を開始する必要がある場合を意味します。 ResponderOnly は、オンプレミス デバイスによって接続を開始する必要がある場合を意味します。 既定の動作では、最初に接続した方を受け入れてダイヤルします。
ゲートウェイ サブネット
VPN Gateway を作成する前に、ゲートウェイ サブネットを作成する必要があります。 ゲートウェイ サブネットには、仮想ネットワーク ゲートウェイの VM とサービスが使用する IP アドレスが含まれます。 仮想ネットワーク ゲートウェイを作成すると、ゲートウェイ VM はゲートウェイ サブネットにデプロイされ、必要な VPN Gateway 設定で構成されます。 ゲートウェイ サブネットには、他のもの (たとえば、追加の VM) をデプロイしないでください。 ゲートウェイ サブネットを正常に動作させるには、"GatewaySubnet" という名前を付ける必要があります。 ゲートウェイ サブネットに "GatewaySubnet" という名前を付けることにより、これが仮想ネットワーク ゲートウェイの VM とサービスをデプロイする必要のあるサブネットであることを Azure が認識できます。
ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。 ゲートウェイ サブネット内の IP アドレスは、ゲートウェイ VM とゲートウェイ サービスに割り当てられます。 一部の構成では、他の構成よりも多くの IP アドレスを割り当てる必要があります。
ゲートウェイ サブネットのサイズを計画する際は、作成する構成に関するドキュメントを参照してください。 たとえば、ExpressRoute/VPN Gateway が共存する構成には、他のほとんどの構成より大規模なゲートウェイ サブネットが必要です。 /29 (Basic SKU にのみ適用) の小さいゲートウェイ サブネットを作成することもできますが、他のすべての SKU には、サイズ /27 以上 (/27、/26、/25 など) のゲートウェイ サブネットが必要です。 /27 より大きいゲートウェイ サブネットを作成して、将来の構成に対応できる十分な IP アドレスをサブネットに確保することもできます。
次の Resource Manager PowerShell の例では、GatewaySubnet という名前のゲートウェイ サブネットを示しています。 CIDR 表記で /27 を指定しています。これで既存のほとんどの構成で IP アドレスに十分対応できます。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
考慮事項:
0.0.0.0/0 が宛先のユーザー定義のルートと GatewaySubnet の NSG はサポートされていません。 この構成のゲートウェイの作成はブロックされます。 ゲートウェイが正常に機能するためには、管理コントローラーへのアクセスが必要です。 ゲートウェイの可用性を確保するために、GatewaySubnet で [BGP ルート伝達] を [有効] に設定する必要があります。 BGP ルート伝達が無効に設定されていると、ゲートウェイは機能しません。
診断、データ パス、および制御パスは、ユーザー定義ルートがゲートウェイ サブネット範囲またはゲートウェイ パブリック IP 範囲と重複している場合に影響を受ける可能性があります。
ローカル ネットワーク ゲートウェイ
ローカル ネットワーク ゲートウェイは、仮想ネットワーク ゲートウェイとは異なります。 VPN ゲートウェイのサイト間アーキテクチャを使っている場合、通常、ローカル ネットワーク ゲートウェイは、オンプレミス ネットワークと、それに対応する VPN デバイスを表します。 クラシック デプロイ モデルでは、ローカル ネットワーク ゲートウェイは "ローカル サイト" として参照されます。
ローカル ネットワーク ゲートウェイを構成するときは、名前、オンプレミス VPN デバイスのパブリック IP アドレスまたは完全修飾ドメイン名 (FQDN)、オンプレミスの場所に存在するアドレス プレフィックスを指定します。 Azure によって、ネットワーク トラフィックの宛先アドレスのプレフィックスが参照され、ローカル ネットワーク ゲートウェイに指定した構成が確認されて、それに応じてパケットがルーティングされます。 VPN デバイスで Border Gateway Protocol (BGP) を使用する場合、VPN デバイスの BGP ピア IP アドレスとオンプレミス ネットワークの自律システム番号 (ASN) を指定します。 また、VPN Gateway 接続を使用している VNet 間の構成に対して、ローカル ネットワーク ゲートウェイを指定します。
次の PowerShell の例では、新しいローカル ネットワーク ゲートウェイを作成します。
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
場合によっては、ローカル ネットワーク ゲートウェイ設定を変更する必要があります。 たとえば、アドレス範囲を追加または変更する場合や、VPN デバイスの IP アドレスが変更された場合などです。 詳細については、ローカル ネットワーク ゲートウェイの設定の変更に関するページを参照してください。
REST API、PowerShell コマンドレット、および CLI
VPN Gateway 構成に対して REST API、PowerShell コマンドレット、または Azure CLI を使う場合のテクニカル リソースと具体的な構文の要件については、以下のページを参照してください。
| クラシック | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| サポートされていません | Azure CLI |
次のステップ
使用可能な接続構成の詳細については、「VPN Gateway について」を参照してください。