こんにちは、FL.OPSの中の人、じゅんちゃんです。
ご無沙汰しています。
今回はWindows Azure3月20日の連動記事になりますので、Windows Azure のネタで行きたいと思います。
で、ネタですが、日本DCが開設したことを記念して「西日本リージョンとオンプレミスの環境を VPN (IPsec) で接続してみた」にします。
VPNの設定に西日本リージョンは関係ないのでは?と思った方。そのとおりです。
しかし、お祭りなので細かいことは無しでお願いします。
では、行きます。
まずは、環境。
Windows Azure側とオンプレミス側のネットワークは以下です。
Windows Azure 側 ネットワーク
| ネットワーク名 | Azure_dojo |
| ゲートウェイサブネット | 172.17.0.0/24 |
| インスタンスサブネット1 | 172.17.1.0/24 |
| インスタンスサブネット2 | 172.17.2.0/24 |
| グローバルIPアドレス | XXX.XXX.XXX.XXX |
オンプレミス 側 ネットワーク
| ネットワーク名 | Onpre_dojo |
| LANサブネット | 192.168.1.0/24 |
| ルータアドレス(LAN) | 192.168.1.1 |
| ルータアドレス(グローバル) | YYY.YYY.YYY.YYY |
| ルータ | YAMAHA RTX1200 |
VPN設定手順は以下になります。
1 Windows Azure上での操作
(1)仮想ネットワーク作成
(2)ローカルネットワーク作成
(3)ゲートウェイ作成
2 オンプレミスのルータの操作
(1)VPN設定
3 接続確認
(1)仮想マシンの構築
(2)仮想マシンへ接続
では、開始!
1 Windows Azure上での操作
(1)仮想ネットワーク作成
画面左下の[+新規]から[ネットワークサービス]-[仮想ネットワーク]-[カスタム作成]を選択。
Azure側の仮想ネットワークを作成します。
そして本日一番のポイントです。リージョンは「日本(西)」を選択してください。
その他は自由でかまいません。
ネットワーク同士を繋ぐVPNであるため「サイト間VPNの構成」にチェック!
(2)ローカルネットワーク作成
ここでオンプレミス側のネットワーク情報を入力します。「YYY.YYY.YYY.YYY」はオンプレミス側ルータのグローバルIPです。
次にAzure側の仮想ネットワークの設定を行います。ポイントはゲートウェイ用のサブネットと仮想サーバ用のサブネットを分けて作成するところぐらいです。
(3)ゲートウェイ作成
仮想ネットワークの設定ができたら、以下の[ゲートウェイの作成]-[GW(静的)]を押します。
ゲートウェイができあがるまで10分ほどかかります。完成すると「ゲートウェイIPアドレス」「キーの管理」が現れます。
この2つはオンプレミス側のルータ設定に必要になりますので控えておいてください。
2 オンプレミスのルータの操作
(1)VPN設定
ルータに以下の4項目を設定します。
・IPsec設定
・ルーティング設定
・フィルター設定
・NAT設定
【注意】YAMAHA RTX1200をWindows AzureにVPN接続する際はファームウェアのバージョンを10.01.53以上にしてください。同じ設定でも10.01.38だとVPN接続できませんでした。
RTX1200に追加した設定は以下です。
トンネルは既に16番まで使用していたため、17番から作成しています。
# RTX1200 Rev.10.01.53
# IPsec設定
tunnel select 17
description tunnel azure
ipsec tunnel 417
ipsec sa policy 417 4 esp aes256-cbc sha256-hmac anti-replay-check=off
ipsec ike duration ipsec-sa 4 3600
ipsec ike encryption 4 aes256-cbc
ipsec ike group 4 modp1024
ipsec ike hash 4 sha256
ipsec ike keepalive log 4 off
ipsec ike local address 4 192.168.1.1
ipsec ike nat-traversal 4 on
ipsec ike pre-shared-key 4 text (1.(3)で控えたキー)
ipsec ike remote address 4 (1.(3)で控えたIPアドレス)
ip tunnel tcp mss limit 1350
tunnel enable 17
# ルーティング設定
ip route 172.17.0.0/16 gateway tunnel 17
# フィルター設定
ip filter 1040 pass XXX.XXX.XXX.XXX * esp * *
ip filter 1041 pass XXX.XXX.XXX.XXX * udp * 500
ip filter 1042 pass XXX.XXX.XXX.XXX * udp * 4500
# NAT設定
nat descriptor masquerade static 1000 3 192.168.1.1 udp 500
nat descriptor masquerade static 1000 4 192.168.1.1 esp
nat descriptor masquerade static 1000 6 192.168.1.1 udp 4500
上記を設定し、VPN接続が完了すれば以下のように見えます。
3 接続確認
(1)仮想マシンの構築
作成した仮想ネットワークにサーバを構築してみます。
画面左下の[+新規]から[コンピューティング]-[仮想マシン]-[ギャラリーから]を選択。
リージョンを選ぶ箇所で、仮想ネットワーク[Azure_Dojo]を選択します。
また、仮想ネットワークのサブネットも選べますので、仮想サーバ用のサブネットを選択します。
(2)仮想マシンへ接続
仮想マシンへの接続は2種類あります。
・グローバルIP(138.91.18.152)を使用してエンドポイント経由で接続
・ローカルIP(172.17.1.4)を使用してVPN経由で接続
一応どちらの経路からも接続できました。
エンドポイントで制限をかけたり、サブネットを使い分けたりすることでいろいろできそうです。
本日はここまでにします。
ありがとうございました。
