Azure

Azure VPNについてあれこれ

こんにちは、三醍醐です。

今回は、Azure VPNについてお話します。

サブスクリプション間VPNをARMテンプレートで作成

図1. サブスクリプション間接続

Azureで異なるサブスクリプション同士のVnetをVPN接続したい場合、PowerShellもしくはAzure CLIを用いる必要があります。(詳細な手順は、Docsの https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-vnet-vnet-rm-ps#difsub または、 https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-howto-vnet-vnet-cli#difsub を参照してください。)

これを、ARMテンプレートで作成しようとすると、以下のようなテンプレートが必要です。

Template.json
{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "connections_GW1toGW2_name": {
            "defaultValue": "<接続名>",
            "type": "String"
        },
        "virtualNetworkGateways_GW1_VPN_externalid": {
            "defaultValue": "VPNゲートウェイ1のリソースID",
            "type": "String"
        },
        "virtualNetworkGateways_GW2_VPN_externalid": {
            "defaultValue": "VPNゲートウェイ2のリソースID",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.Network/connections",
            "apiVersion": "2019-11-01",
            "name": "[parameters('connections_GW1toGW2_name')]",
            "location": "japaneast",
            "properties": {
                "virtualNetworkGateway1": {
                    "id": "[parameters('virtualNetworkGateways_GW1_VPN_externalid')]"
                },
                "virtualNetworkGateway2": {
                    "id": "[parameters('virtualNetworkGateways_GW2_VPN_externalid')]"
                },
                "connectionType": "Vnet2Vnet",
                "connectionProtocol": "IKEv2",
                "routingWeight": 0,
                "sharedKey": "<共有キー>",
                "enableBgp": false,
                "usePolicyBasedTrafficSelectors": false,
                "ipsecPolicies": [],
                "trafficSelectorPolicies": [],
                "expressRouteGatewayBypass": false
            }
        }
    ]
}

…お気づきかと思いますが、通常の展開用テンプレートと何ら違いはありません。

もうひとつ、VPNゲートウェイ1とVPNゲートウェイ2を入れ替えたテンプレートを実行したら作成完了です。

BGPを利用せずに、ハブ構成を作成する

図2. とんでもない単一障害点構成

上の図2のようなハブ構成を取ったとき、VNET同士をVNET間VPNで接続してしまうと、直接接続しているネットワーク帯以外に通信することができません。

すなわち、VPNゲートウェイ2のネットワークからVPNゲートウェイ3の通信や、オンプレミス拠点1からVPNゲートウェイ2への接続ができません。

しかし、AzureのVNET同士をSite to Siteで接続することで直接接続されていないアドレス空間との通信が可能になります。

図3. VNET間Site2Site接続

以上、知っていれば思いの外簡単なVPNの豆知識でした。

Azure ポイント対サイトの証明書作成前のページ

Azure 資格試験の更新(2020年版)次のページ

関連記事

  1. Azure

    AADDSを構築する記事

    ---5/13追記(追記事項は末尾記載)---皆様、こんにちは。在宅…

  2. VDI

    WVD RDP Shortpath を試してみる記事

    みなさまこんにちは。最近散歩が楽しく感じてきました。ちょっとオヤジく…

  3. Azure

    Azure Bastion の紹介

    2019年11月6日更新Azure Bastion …

  4. Azure

    Azure 資格試験の更新(2020年版)

    2020年になり、早くも Azure 資格試験の更新がありま…

  5. Azure

    Azure Virtual Machineのリージョン間複製

    こんにちは。新人クラウドエンジニアの三醍醐です。今回は、管理…

  6. Azure

    Azure Site Recoveryの課金について

    少々わかりにくい、Azure Site Recovery の…

関連記事

  1. Azure

    Azure VMの自動起動停止を行う
  2. Azure

    Loganalyticsを利用してログを分析する
  3. Azure

    Azure VPNについてあれこれ
  4. Application Gateway

    L7 負荷分散 Azure Application Gateway について:3…
  5. Azure

    WindowsVirtualDesktopがGAされているので(その1)
PAGE TOP