Azure

Azure VPNについてあれこれ

こんにちは、三醍醐です。

今回は、Azure VPNについてお話します。

サブスクリプション間VPNをARMテンプレートで作成

図1. サブスクリプション間接続

Azureで異なるサブスクリプション同士のVnetをVPN接続したい場合、PowerShellもしくはAzure CLIを用いる必要があります。(詳細な手順は、Docsの https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-vnet-vnet-rm-ps#difsub または、 https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-howto-vnet-vnet-cli#difsub を参照してください。)

これを、ARMテンプレートで作成しようとすると、以下のようなテンプレートが必要です。

Template.json
{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "connections_GW1toGW2_name": {
            "defaultValue": "<接続名>",
            "type": "String"
        },
        "virtualNetworkGateways_GW1_VPN_externalid": {
            "defaultValue": "VPNゲートウェイ1のリソースID",
            "type": "String"
        },
        "virtualNetworkGateways_GW2_VPN_externalid": {
            "defaultValue": "VPNゲートウェイ2のリソースID",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.Network/connections",
            "apiVersion": "2019-11-01",
            "name": "[parameters('connections_GW1toGW2_name')]",
            "location": "japaneast",
            "properties": {
                "virtualNetworkGateway1": {
                    "id": "[parameters('virtualNetworkGateways_GW1_VPN_externalid')]"
                },
                "virtualNetworkGateway2": {
                    "id": "[parameters('virtualNetworkGateways_GW2_VPN_externalid')]"
                },
                "connectionType": "Vnet2Vnet",
                "connectionProtocol": "IKEv2",
                "routingWeight": 0,
                "sharedKey": "<共有キー>",
                "enableBgp": false,
                "usePolicyBasedTrafficSelectors": false,
                "ipsecPolicies": [],
                "trafficSelectorPolicies": [],
                "expressRouteGatewayBypass": false
            }
        }
    ]
}

…お気づきかと思いますが、通常の展開用テンプレートと何ら違いはありません。

もうひとつ、VPNゲートウェイ1とVPNゲートウェイ2を入れ替えたテンプレートを実行したら作成完了です。

BGPを利用せずに、ハブ構成を作成する

図2. とんでもない単一障害点構成

上の図2のようなハブ構成を取ったとき、VNET同士をVNET間VPNで接続してしまうと、直接接続しているネットワーク帯以外に通信することができません。

すなわち、VPNゲートウェイ2のネットワークからVPNゲートウェイ3の通信や、オンプレミス拠点1からVPNゲートウェイ2への接続ができません。

しかし、AzureのVNET同士をSite to Siteで接続することで直接接続されていないアドレス空間との通信が可能になります。

図3. VNET間Site2Site接続

以上、知っていれば思いの外簡単なVPNの豆知識でした。

Azure ポイント対サイトの証明書作成前のページ

Azure 資格試験の更新(2020年版)次のページ

関連記事

  1. Azure

    strongSwanを使ってP2S接続をする記事~CentOS編~

    皆様こんにちは。朝一で白シャツにコーヒーをこぼした日のモチベーション…

  2. Office 365

    Office 365 F3(旧F1)

    こんにちは、三醍醐です。今回はAzureの話ではなく、同じく…

  3. Azure

    Azure ポイント対サイトの証明書作成

    ポイント対サイト VPN 接続を構成する際の証明書生成につい…

  4. Azure

    Loganalyticsを利用してログを分析する

    取得したログを分析、必要なログを確認する Loga…

  5. Azure

    WindowsVirtualDesktopがGAされているので(その3)

    その2からかなり時間が空いていますが今回はオートスケールについてと…

  6. Azure

    Azure CDNでマルチオリジンをやってみる記事

    皆様こんにちは。最近ビタミンC系の飲み物が昔より体に染みる、気がして…

関連記事

  1. 最新情報

    Azureでオートスケールを試してみる
  2. Application Gateway

    L7負荷分散 Azure Application Gateway について:1回…
  3. Azure

    Azure Key Vaultでみんなしあわせ(その2)
  4. Office 365

    Microsoft 365のプラン
  5. Azure

    AzureMonitorで作成できるアラートの種類と制限
PAGE TOP