Azure

Azure VPNについてあれこれ

こんにちは、三醍醐です。

今回は、Azure VPNについてお話します。

サブスクリプション間VPNをARMテンプレートで作成

図1. サブスクリプション間接続

Azureで異なるサブスクリプション同士のVnetをVPN接続したい場合、PowerShellもしくはAzure CLIを用いる必要があります。(詳細な手順は、Docsの https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-vnet-vnet-rm-ps#difsub または、 https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-howto-vnet-vnet-cli#difsub を参照してください。)

これを、ARMテンプレートで作成しようとすると、以下のようなテンプレートが必要です。

Template.json
{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "connections_GW1toGW2_name": {
            "defaultValue": "<接続名>",
            "type": "String"
        },
        "virtualNetworkGateways_GW1_VPN_externalid": {
            "defaultValue": "VPNゲートウェイ1のリソースID",
            "type": "String"
        },
        "virtualNetworkGateways_GW2_VPN_externalid": {
            "defaultValue": "VPNゲートウェイ2のリソースID",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.Network/connections",
            "apiVersion": "2019-11-01",
            "name": "[parameters('connections_GW1toGW2_name')]",
            "location": "japaneast",
            "properties": {
                "virtualNetworkGateway1": {
                    "id": "[parameters('virtualNetworkGateways_GW1_VPN_externalid')]"
                },
                "virtualNetworkGateway2": {
                    "id": "[parameters('virtualNetworkGateways_GW2_VPN_externalid')]"
                },
                "connectionType": "Vnet2Vnet",
                "connectionProtocol": "IKEv2",
                "routingWeight": 0,
                "sharedKey": "<共有キー>",
                "enableBgp": false,
                "usePolicyBasedTrafficSelectors": false,
                "ipsecPolicies": [],
                "trafficSelectorPolicies": [],
                "expressRouteGatewayBypass": false
            }
        }
    ]
}

…お気づきかと思いますが、通常の展開用テンプレートと何ら違いはありません。

もうひとつ、VPNゲートウェイ1とVPNゲートウェイ2を入れ替えたテンプレートを実行したら作成完了です。

BGPを利用せずに、ハブ構成を作成する

図2. とんでもない単一障害点構成

上の図2のようなハブ構成を取ったとき、VNET同士をVNET間VPNで接続してしまうと、直接接続しているネットワーク帯以外に通信することができません。

すなわち、VPNゲートウェイ2のネットワークからVPNゲートウェイ3の通信や、オンプレミス拠点1からVPNゲートウェイ2への接続ができません。

しかし、AzureのVNET同士をSite to Siteで接続することで直接接続されていないアドレス空間との通信が可能になります。

図3. VNET間Site2Site接続

以上、知っていれば思いの外簡単なVPNの豆知識でした。

Azure ポイント対サイトの証明書作成前のページ

Azure 資格試験の更新(2020年版)次のページ

関連記事

  1. Azure

    strongSwanを使ってP2S接続をする記事~CentOS編~

    皆様こんにちは。朝一で白シャツにコーヒーをこぼした日のモチベーション…

  2. Azure

    Azureの無料枠ためしてみた。

    目次1はじめに2Azureの無料枠試してみた2-1前…

  3. Azure

    AzureのDMSでデータを移行してみる記事 ~MySQL編~

    皆様、こんにちは。夏の暑さ対策、エアコンより扇風機派です。×3です。…

  4. Azure

    Runbookで管理タスクを自動化する。

    1.はじめに初めまして、Cloud Engineerの曽我で…

  5. Azure

    Azure Monitor を利用したメトリックの静的しきい値監視

    メトリックについてAzureの一部のリソースは、メト…

  6. VDI

    WVD RDP Shortpath を試してみる記事

    みなさまこんにちは。最近散歩が楽しく感じてきました。ちょっとオヤジく…

関連記事

  1. 最新情報

    テレワーク導入応援キャンペーン
  2. Azure

    strongSwanを使ってP2S接続をする記事~CentOS編~
  3. 未分類

    「Azure Functions」をC#で触ってみました。#4
  4. Appサービス

    Azure App Serviceを使ってみる
  5. Azure

    AzureのDMSでデータを移行してみる記事 ~MySQL編~
PAGE TOP