1

更新履歴

• 以下の日付でドキュメントを更新、確認しています。

2

バージョン

1.00 2014/6/30 ・初版リリース

1.10 2014/9/30 ・2014年9月現在の情報に更新

1.20 2015/1/31 ・2015年1月現在の情報に更新

目次 (1/2)

• Microsoft Azure の全体像と仮想ネットワーク

• Azure 仮想ネットワークとは？

• Azure 仮想ネットワークでできること

• Azure Site-to-Site VPN

• Azure Point-to-Site VPN

• マルチサイト VPN 構成

• 仮想ネットワーク間の接続構成

• 接続可能な Azure 内サービス

3

目次 (2/2)

• Azure 仮想ネットワークの構成要素

• Azure 仮想ネットワークの注意点

• Azure 仮想ネットワークの作り方(概要)

• 検証済みデバイス

• 課金体系

• Azure Site-to-Site VPN の利用例

4

Microsoft Azure の全体像と仮想ネットワーク

5

開発言語

アプリケーションサービス

ネットワークサービス

コンピューティング

認証 システム連携 キャッシュ

データサービス

データ周辺サービス

仮想ネットワーク(VNet to VNet)

仮想ネットワーク(Site to Site)

仮想ネットワーク(Point to Site)

CDN キャッシュサービスバス キューBizTalkサービス

多要素認証Azure Active Directoryアクセス コントロール

サービス

DRサービス

Webサイト(PaaS)

クラウドサービス(PaaS)

仮想マシン(IaaS)

モバイルサービス(PaaS)

Blob テーブル SQLデータベース

StorSimple

メディアサービスVisual Studioオンライン

API管理 通知ハブ スケジューラ オートメーション サイト リカバリー

Intelligent Systems Service(IoT)

HPC

ExpressRoute(専用線)

Azureサーチ

Traffic Manager

RemoteApp

Azureバックアップ

HDInsight(Hadoop)

ドキュメントDB

マシンラーニング

Azure 仮想ネットワークとは？

• Azure 上に構築できる仮想的なプライベートネットワーク

• Azure 仮想ネットワークに対する VPN 接続機能

6

仮想ネットワーク

Subnet-1 Subnet-2

Site-to-Site VPN

オンプレミス

Point-to-Site VPN ゲートウェイサブネット

仮想ゲートウェイ

仮想マシン 仮想マシン 仮想マシン 仮想マシン

Azure 仮想ネットワークでできること

7

※ 仮想ネットワーク内では IPv6 はサポートされていない。

Azure Site-to-Site VPN

• オンプレミスの社内ネットワークと Azure 仮想ネットワーク間の VPN 接続

• VPN デバイスを利用した IPsec 接続で VPN 接続

8

Site-to-Site VPN

オンプレミス 仮想ネットワーク

Subnet

ゲートウェイサブネット

仮想ゲートウェイ

仮想マシン 仮想マシン

Azure Point-to-Site VPN

• VPN クライアントソフトウェアを使ったリモートアクセス VPN 接続

• VPN デバイスが不要で、プロキシやファイアウォール越しでも接続可能

9

仮想ネットワーク

SubnetPoint-to-Site VPN

ゲートウェイサブネット

仮想ゲートウェイ

仮想マシン 仮想マシンVPNクライアント

証明書

マルチサイト VPN 構成

• Site-to-Site VPN を複数のネットワーク（拠点）に同時接続

10

仮想ネットワーク

Site-to-Site VPN

オンプレミス（拠点１）

オンプレミス（拠点２）

Site-to-Site VPN注意点

• 1 つの仮想ネットワークから同時に接続可能なネットワークの数は最大 10 拠点※ハイパフォーマンス ゲートウェイの場合は最大30拠点

• 各ネットワークの IP アドレスが重複することがないこと

• 設定は PowerShell を利用する必要がある

http://msdn.microsoft.com/ja-jp/library/azure/dn690124.aspx

仮想ネットワーク間の接続構成

• Site-to-Site VPN を利用して仮想ネットワーク同士を接続可能

• マルチサイト VPN で複数の仮想ネットワークでも接続可能

• 異なる地域、異なるサブスクリプション間でも接続可能

11

仮想ネットワーク 仮想ネットワーク 仮想ネットワーク

サブスクリプション サブスクリプション

Site-to-Site VPN Site-to-Site VPN

注意点

• マルチサイト VPN の注意点と同じ点に注意

• 仮想ネットワークは動的ルーティングであること

• すべての仮想ネットワークに同じ共有キーを PowerShell を利用して設定する

http://msdn.microsoft.com/ja-jp/library/azure/dn690122.aspx

接続可能な Azure 内サービス

12

http://msdn.microsoft.com/ja-jp/library/azure/jj156091.aspx

VirtualNetworkSite 要素を参照

Azure 仮想ネットワークの構成要素

1. 地域

2. ゲートウェイサブネット

3. 静的および動的ルーティング

4. 共有キー

5. IPsec パラメーター

13

仮想ネットワーク

Microsoft Azure データセンター

オンプレミス

VPN

Subnetゲートウェイサブネット

仮想ゲートウェイ 仮想マシン 仮想マシン

VPN

Azure 仮想ネットワークの構成要素 1

• 地域

以前は仮想ネットワークを構成する場所として、アフィニティ グループを指定する必要があったが、現在は地域に指定することで構成可能。リージョン仮想ネットワークという。

14

http://msdn.microsoft.com/ja-jp/library/azure/jj156085.aspx

http://blogs.msdn.com/b/windowsazurej/archive/2014/05/21/blog-regional-virtual-networks.aspx

Azure 仮想ネットワークの構成要素 2

• ゲートウェイサブネット

Azure 仮想ネットワークの仮想ゲートウェイを配置するために、ゲートウェイサブネットが必要。

仮想ゲートウェイを作成するとゲートウェイサブネットに自動で配置される。

ゲートウェイサブネットにはサービス(仮想マシンなど)を作成することができない。

15

Azure 仮想ネットワークの構成要素 3

• 静的ルーティング VPN - ポリシー ベースの VPNSite-to-Site 接続で使用される。Point-to-Site 接続は使用不可。静的ルーティング VPN には、静的ルーティング VPN ゲートウェイが必要。

• 動的ルーティング VPN - ルート ベースの VPNPoint-to-Site 接続に使用される。Site-to-Site 接続でも使用可能。また、Site-to-Site 接続と Point-to-Site 接続の両方を使用することも可能。動的ルーティング VPN には、動的ルーティング VPN ゲートウェイが必要。(※静的ルーティングのみ対応の製品を導入される場合はご注意ください)

16

VPN 接続の用途に合わせてルーティングを選択。

Azure 仮想ネットワークの構成要素 4

• 共有キー

オンプレミスの VPN ルーターが Azure 仮想ネットワークの仮想ゲートウェイとVPN 通信を行うために、共有キーが必要。

Azure ポータルの管理画面から共有キーを確認できる。

17

①「キーの管理」をクリック

②共有キーが表示される

Azure 仮想ネットワークの構成要素 5

• IPsec パラメーター

オンプレミスの VPN ルーターに設定する、IPsec 関連のパラメータをAzure ポータルの管理画面からダウンロードすることができる。

※2014年4月2日時点で対応しているのはCisco、Juniper の一部機器と、Microsoft の RRSA のみになります。

※IPsec関連のパラメーターの情報となり、サンプル Config ではありません。

18

「ベンダー(メーカー)」「プラットフォーム(製品名)」「オペレーティング システム(製品のOSバージョン)」を選択

Azure 仮想ネットワークの作り方(概要)

• Azure 仮想ネットワークを作成• ローカルネットワークを作成• DNS サーバーを設定• 仮想ゲートウェイを作成• 生成された共有キーの確認• オンプレミス側 VPN 機器の設定

※詳細は「Azure 自習書：企業内システムと Microsoft Azure の VPN 接続」参照

19

検証済みデバイス 1※2015年1月31日時点

記載のないメーカー、製品については、各メーカーにお問い合わせ願います。

メーカー 製品名 備考

アライドテレシス AR415S 動的ルーティング互換性なし

AR550S 動的ルーティング互換性なし

AR560S 動的ルーティング互換性なし

AR570S 動的ルーティング互換性なし

インターネットイニシアティブ SEIL/X1

SEIL/X2

SEIL/B1

SEIL/x86

ウォッチガード・テクノロジー すべて 動的ルーティング互換性なし

F5 ネットワークス BIG-IP シリーズ 動的ルーティング互換性なし

20

検証済みデバイス 2※2015年1月31日時点

記載のないメーカー、製品については、各メーカーにお問い合わせ願います。

メーカー 製品名 備考

Cisco ASA 動的ルーティング互換性なし

ASR

ISR

Citrix CloudBridge MPX アプライアンスまたは VPX 仮想アプライアンス

動的ルーティング互換性なし

ジュニパーネットワークス SRX シリーズ

SSG シリーズ

ISG シリーズ

J シリーズ

パロアルトネットワークス PA-200

PA-500

PA-2020,PA-2050

21

検証済みデバイス 3※2015年1月31日時点

記載のないメーカー、製品については、各メーカーにお問い合わせ願います。

メーカー 製品名 備考

パロアルトネットワークス PA-3020,PA-3050

PA-4020,PA-4050,PA-4060

PA-5020,PA-5050,PA-5060

富士通 Si-R G100

Si-R G200

IPCOM EX 1100 SC

IPCOM EX 1300 SC

IPCOM EX 2300 SC

IPCOM EX 2500 SC

IPCOM EX 1100 NW

IPCOM EX 1300 NW

22

検証済みデバイス 4※2015年1月31日時点

記載のないメーカー、製品については、各メーカーにお問い合わせ願います。

メーカー 製品名 備考

富士通 IPCOM EX 2300 NW

IPCOM EX 2500 NW

IPCOM EX 2300 IN

IPCOM EX 2500 IN

ヤマハ RTX810

RTX1200

RTX3500

RTX5000

FWX120

Microsoft ルーティングとリモート アクセス サービス(Windows Server 2012)

静的ルーティング互換性なし

23

検証済みデバイス 5※2015年1月31日時点

記載のないメーカー、製品については、各メーカーにお問い合わせ願います。

メーカー 製品名 備考

日本電気株式会社 UNIVERGE IX2105

UNIVERGE IX2207

UNIVERGE IX2025

UNIVERGE IX2215

UNIVERGE IX3010

UNIVERGE IX3110

24

http://msdn.microsoft.com/ja-jp/windowsazure/dn132612.aspx

http://msdn.microsoft.com/library/azure/jj156075.aspx

課金体系

• 仮想ネットワークのセットアップは無料。

• VPN ゲートウェイがプロビジョニングされ、利用可能な時間に基づき課金が発生。

• 1時間ごとの計算となり、1時間に満たない時間は、1時間分として課金。(2時間1分接続した場合、3時間分の課金となる)

• VPN 接続を使用したデータ転送は、別途データ転送料金として課金。

• 従量課金制プラン

例) GWが有効になっている時間あたり ¥3.68 (～ ¥2,732/月)* 従量課金制プラン、東日本/西日本リージョンの場合。月あたりの見積額は 1 か月の使用時間を 744 時間として算出。データ通信料が別途発生。

25

Azure Site-to-Site VPN の利用例 1

• ファイルサーバーを Azure 上に構築し、社内から VPN 経由で接続して利用

• Azure 上のファイルサーバーを社内の Active Directory に参加させることも可能

26

仮想ネットワーク

Site-to-Site VPN

オンプレミス

ファイルサーバー

Azure Site-to-Site VPN の利用例 2

• バックアップデータ保管場所を Azure 上に作成し、社内から VPN 経由で接続して利用

• 追加ディスクとして Azure ストレージを利用可能

27

仮想ネットワーク

Site-to-Site VPN

オンプレミス

バックアップデータ

保管場所

サーバー

Windows Server Backupなど

Azure Site-to-Site VPN の利用例 3

• DR サイトを Azure 上に構築し、社内と VPN 経由で接続してデータを同期

• 災害時は社外から Point–to-Site VPN で Azure にアクセスして業務継続

28

仮想ネットワーク（DRサイト）

Site-to-Site VPN

オンプレミス

Point-to-Site VPN

Active Directory 業務アプリケーション

サーバー

Active Directory 業務アプリケーション

サーバー

Azure Site-to-Site VPN の利用例 4

• 開発・保守環境を Azure 上に構築し、社内と VPN 経由で接続

29

仮想ネットワーク

Site-to-Site VPN

オンプレミス

本番DB

サーバー

本番AP

サーバー 開発担当開発AP

サーバー

開発DB

サーバー

30