VPNゲートウェイとは、Azure上のネットワーク(VNet)と他のネットワークをVPN(IPsec)で安全に接続するためのサービスです。
Azureへの接続は下記のような方法があります。
・ポイント対サイト:PC(Win7以降)にクライアント証明書とVPNソフトをインストールし、VPNゲートウェイとVPN接続を行う。同時接続数128台
・サイト対サイト(IPsec):オンプレミス~VPNゲートウェイ間にてVPN接続
・サイト対サイト(専用線):オンプレミス~VPNゲートウェイ間を専用線で接続
・VNet 対 VNet (IPsec):VNet ~ VNet 間にてVPN接続 ※Azureバックボーンを利用
今回は、VNet 対 VNet (IPsec) でのVPN接続を作成していきます!!
【V2V の特徴】
・SKUの違いによる最大スループットは、多拠点接続時にはシェアされる。
・SKU違いでもVPN接続が可能
・VPN接続中にSKUを変更しても、切断しない。
・VpnGw自身の[Active/Active]構成が可能
・BGPを利用する事で、トランジット通信が可能
【パフォーマンス】
参考までに、スループット、レイテンシを測定してみました。
NTttcp.exe -s -m 12,*,192.168.210.4 -a 63 -ns ※受信側サーバーのIP
NTttcp.exe -r -m 12,*,192.168.210.4 -a 63 -ns
VpnGw1 (Max 650Mbps)
Throughput:623.84Mbps
Latency:5ms
VpnGw2 (Max 1Gbps)
Throughput:860.4Mbps
Latency:5ms
VpnGw3 (Max 1.25Gbps)
Throughput:973.616Mbps
Latency:4ms
NTttcp.exe -s -m 32,*,192.168.210.4 -a 63 -ns ※受信側サーバーのIP
NTttcp.exe -r -m 32,*,192.168.210.4 -a 63 -ns
VpnGw1 (Max 650Mbps)
Throughput:457.344Mbps
Latency:107ms
VpnGw2 (Max 1Gbps)
Throughput:522.52Mbps
Latency:106ms
VpnGw3 (Max 1.25Gbps)
Throughput:563.608Mbps
Latency:106ms
全体の流れ
Step1:「仮想ネットワーク」の作成
Step2:「仮想ネットワーク ゲートウェイ」の作成
Step3:「接続」の作成
Step1:「仮想ネットワーク」の作成
前回記事を参照下さい。
Step2:「仮想ネットワーク ゲートウェイ」の作成
※接続先となるVNetでも同様に「ゲートウェイ」を作成してください。
[+新規]ー[ネットワーキング]ー[仮想ネットワーク ゲートウェイ]を選択
Name:表示名
ゲートウェイの種類:VPN(IPsec),ExpressRoute(専用線)
VPNの種類:
-Route-based:IKEv2接続。最大30拠点接続
-Policy-based:IKEv1接続。※IKEv2で多拠点接続可能
SKU(Route-based): A/A構成の場合、BGPが必要
ーBasic:100Mbps/99.9%
ーVpnGw1:650Mbps/99.95% BGP対応
ーVpnGw2:1GMbps/99.95% BGP対応
ーVpnGw3:1.25Gbps/99.95% BGP対応
仮想ネットワーク:Azure側のネットワークを指定
※[GatewaySubnet]が含まれていない場合、ここで作成できます。
パブリックIPアドレス:Azure側のグローバルIP(動的のみ)
BGP ASNの構成:Private ASN [64512~65534]から指定。デフォルト[65515]
Azure予約済み[65515、65517、65518、65519、65520]
サブスクリプション:Azureサービスの提供範囲
リソースグループ:グループ名(複数のリソースをグループ化する機能)
場所:デプロイするAzureのリージョン
Step3:「接続」の作成
[+新規]ー[検索:接続]を選択
接続の種類:
-VNet 対 VNet
-サイト 対 サイト(IPsec)
-ExpressRoute
サブスクリプション:Azureサービスの提供範囲
リソースグループ:グループ名(複数のリソースを1つにグループ化する機能)
場所:デプロイするAzureのリージョン
最初の仮想ネットワーク ゲートウェイ:事前に作成したものを選択
2番めの仮想ネットワーク ゲートウェイ:事前に作成したものを選択
双方向接続の確立:チェックしないと、[最初]→[2番目]の方向にしか通信ができません。
最初の接続の名前:自動入力
2番目の接続の名前:自動入力
共有キー(PSK):IPsec用の暗号キー
BGPを有効にする:BGPによる経路交換を有効にする
最後に確認
無事に接続ができると「接続済み」と表示されます。
![VPNゲートウェイの作成 [ポイント対サイト(P2S)] ~PowerShell編~](https://www.cloudou.net/wp-content/uploads/2005/01/VPN-Gateway.png)
![VPNゲートウェイの作成 [ポイント対サイト(P2S)] ~ARM編~](https://www.cloudou.net/wp-content/uploads/2019/04/vpn008-100x100.png)
