こんにちは、FJcloud-Vの技術支援チームです。
FJcloud-Vではお客様の環境や他クラウドにセキュアに接続可能な拠点間VPNゲートウェイというインターネットVPNサービスを提供しています。このサービスを活用することで比較的容易にマルチクラウドの環境を構築することができます。
本記事では拠点間VPNゲートウェイを利用してFJcloud-VとAzureを接続する流れを検証します。
前提条件
本記事は、以下の前提知識がある方を想定しています。
- FJcloud-Vの基本的なコントロールパネルの操作、サービスを利用する知識
- Azureの基本的なコントロールパネルの操作、サービスを利用する知識
各コントロールパネルの操作方法については省略しています。
操作方法を知りたい場合は以下のリンク先をご確認ください。
- クラウド操作方法ガイド(ネットワーク:ネットワーク) (FJcloud-V)
- チュートリアル: Azure portal でサイト間 VPN 接続を作成する (Azure)
検証概要
上図のようにプライベートLAN(Azure側は仮想ネットワーク)を用意してIPsec VTIで双方のネットワークを接続します。
各環境にサーバーを1台ずつ作成し、接続確認を行います。
設定手順
プライベートLANの作成 (FJcloud-V)
最初はFJcloud-V側で作業を実施します。
以下の設定でプライベートLANを作成します。
設定項目 | 設定値 |
---|---|
プライベートLAN名 | privateLAN1 |
ゾーン | east-12 |
CIDR | 10.0.1.0/24 |
拠点間VPNゲートウェイの作成 (FJcloud-V)
作成したプライベートLANに拠点間VPNゲートウェイを作成します。
最初に拠点間VPNゲートウェイで利用するファイアウォールグループを作成します。
設定項目 | 設定値 |
---|---|
ファイアウォールグループ名 | VPNGWFW |
ゾーン | east-12 |
ここでは接続先(Azure)のIPアドレスが未定のため、INルール設定でプライベートLANの通信の許可ルールのみ追加します。
プロトコル | 宛先ポート | 接続先種別 | IP/CIDR・グループ |
---|---|---|---|
ANY | - | CIDR(IPv4) | 10.0.1.0/24 |
作成したファイアウォール、プライベートLAN(PrivateLAN1)を利用して拠点間VPNゲートウェイを作成します。
設定項目 | 設定値 |
---|---|
拠点間VPNGW名 | VPNGW01 |
ゾーン | east-12 |
タイプ | vpngw.small |
対抗機器側ネットワーク:ネットワーク名 | 共通グローバル |
対抗機器側ネットワーク:IPアドレス | 空欄 |
内部ネットワーク:ネットワーク名 | PrivateLAN1(10.0.1.0/24) |
内部ネットワーク:IPアドレス | 10.0.1.4 |
ファイアウォール設定 | VPNGWFW(作成したファイアウォールを指定) |
作成が完了したら、共通グローバルのIPアドレスを確認します。(Azure側の設定で利用します)
ここでは 「vv.vv.vv.vv」というIPアドレスとします。
仮想ネットワークの作成 (Azure)
ここからAzure側での作業です。
以下の設定で仮想ネットワークを作成します。
設定項目 | 設定値 |
---|---|
仮想ネットワーク名 | VNet1 |
地域 | Japan East |
アドレス空間 | 10.1.0.0/16 |
合わせてサブネットも作成します。
設定項目 | 設定値 |
---|---|
サブネットの目的 | Default |
名前 | SubNet1 |
IPv4アドレスの範囲 | 10.1.0.0/16 |
開始アドレス | 10.1.0.0 |
サイズ | /24 |
GatewaySubnetの作成 (Azure)
VPNゲートウェイを作成するために必要なGatewaySubnetを作成します。
設定項目 | 設定値 |
---|---|
サブネットの目的 | Virtual Network Gateway |
IPv4アドレスの範囲 | 10.1.0.0/16 |
開始アドレス | 10.1.255.0 |
サイズ | /27 |
VPNゲートウェイの作成 (Azure)
仮想ネットワークゲートウェイ (VPNゲートウェイ)を作成します。
設定項目 | 設定値 |
---|---|
名前 | VNet1GW |
地域 | Japan East |
ゲートウェイの種類 | VPN |
SKU | VpnGw1 |
世代 | Generation1 |
仮想ネットワーク | VNet1 |
パブリックIPアドレス | 新規作成 |
パブリックIPアドレス名 | VNet1GWpip |
アクティブ/アクティブモードの有効化 | 無効 |
BGPの構成 | 無効 |
Key Vaultアクセスを有効にする | 無効 |
※作成に45分以上かかる場合があります。
作成が完了したら、IPアドレスを確認します。(FJcloud-V側の設定で利用します)
ここでは 「aa.aa.aa.aa」というIPアドレスとします。
ローカルネットワークゲートウェイの作成 (Azure)
以下の設定値でローカルネットワークゲートウェイを作成します。
設定項目 | 設定値 |
---|---|
地域 | Japan East |
名前 | LNGW1 |
エンドポイント | IPアドレス |
IPアドレス | vv.vv.vv.vv (FJcloud-Vの拠点間VPNGWのグローバルIPを指定) |
アドレス空間 | 10.0.1.0/24 (FJcloud-VのプライベートLANのCIDRを指定) |
VPNデバイスの構成 (Azure)
以下の設定値でVPN接続を作成します。
設定項目 | 設定値 |
---|---|
接続の種類 | サイト対サイト (IPsec) |
名前 | fjcloudv |
リージョン | Japan East |
仮想ネットワークゲートウェイ | VNet1GW |
ローカルネットワークゲートウェイ | LNGW1 |
認証方式 | 共有キー(PSK) |
共有キー(PSK) | vpnkey (FJcloud-V側と一致していれば任意の文字列でOK) |
IKEプロトコル | IKEv2 |
AzureプライベートIPアドレスを使用する | チェックしない |
BGPを有効にする | チェックしない |
IPsecおよびIKEポリシー | 規定 |
ポリシーベースのトラフィックセレクターを使用する | 無効化 |
DPDタイムアウト(秒) | 45 |
接続モード | Default |
これでAzure側の設定は完了です。
引き続きFJcloud-V側の設定を行います。
ファイアウォールルールの追加 (FJcloud-V)
Azure側のIPアドレスが確定したので、拠点間VPNゲートウェイのファイアウォールに以下のルールを追加します。
プロトコル | 宛先ポート | 接続先種別 | IP/CIDR・グループ |
---|---|---|---|
UDP | 500-500 | IPアドレス(IPv4) | aa.aa.aa.aa (Azure側のグローバルIPアドレス) |
UDP | 4500-4500 | IPアドレス(IPv4) | aa.aa.aa.aa (Azure側のグローバルIPアドレス) |
ESP | - | IPアドレス(IPv4) | aa.aa.aa.aa (Azure側のグローバルIPアドレス) |
カスタマーゲートウェイの作成 (FJcloud-V)
VPNコネクションの作成時に利用するカスタマーゲートウェイを作成します。
設定項目 | 設定値 |
---|---|
カスタマーゲートウェイ名 | CGW01 |
対向機器IPアドレス | aa.aa.aa.aa (Azure側グローバルIPアドレスを指定) |
接続方式 | IPsec VTI |
対向機器LAN側IPアドレス帯 | 10.1.0.0/24 (Azure側サブネットのCIDRを指定) |
対向機器LAN側IPアドレス | 空欄 |
※接続方式で「IPsec VTI」を指定していますが、「IPsec」も利用可能です。
VPNコネクションの作成 (FJcloud-V)
作成した拠点間VPNゲートウェイ、カスタマーゲートウェイを利用してVPNコネクションを作成します。
設定項目 | 設定値 |
---|---|
カスタマーゲートウェイ | CGW01 |
接続方式 | IPsec VTI |
IKEバージョン | IKEv2 |
暗号化アルゴリズム | AES256 |
認証アルゴリズム | SHA1 |
事前共有鍵 | vpnkey (Azure側と一致していれば任意の文字列でOK) |
IKE lifetime | デフォルトのまま |
ESP lifetime | デフォルトのまま |
DH Group | デフォルト |
※接続方式で「IPsec VTI」を指定していますが、「IPsec」も利用可能です。
以上でVPN接続の設定は完了です。
接続確認
FJcloud-V側、Azure側の双方にサーバーを用意して接続を確認します。
今回は Rocky Linux 8.9 でサーバーを作成します。
作成先 | サーバー名 | IPアドレス |
---|---|---|
FJcloud-V | testVM01 | 10.0.1.3 |
Azure | testVM02 | 10.1.0.4 |
FJcloud-V側のサーバーにログインできたら、ルーティング設定を行います。
ip route add [対向ネットワーク] via [拠点間VPNGWのプライベートIP]
# ip route add 10.1.0.0/24 via 10.0.1.4
※Azure側のサーバーはルーティングが自動で追加されるため設定不要です。
FJcloud-V側のサーバーからAzure側のサーバーにpingコマンドを実行します。
接続確認ができました。
まとめ
今回の検証でFJcloud-VとAzureをブラウザからの操作だけでインターネットVPN接続できることが確認できました。
本検証での各種設定値はあくまでも例のため、実際に利用する場合は要件に沿った適切な設定を行ってください。
よりハイパフォーマンスな通信を実現したい場合はプライベートアクセス for Equinix Fabric™というサービスも提供しています。用途に合わせて利用をご検討ください。
注意事項
- 本記事の他社サイトへのリンクにつきまして、リンク切れの際はご容赦ください。
- 拠点間VPNゲートウェイは冗長化されていますが、機器故障等が発生した場合は5分程度の接続断が発生します。
- 本記事の手順は参考情報となり、FJcloud-Vのサポート対象外となります。
- Azureとの接続はFJcloud-Vで接続確認を行っていません。確認済みの接続先については接続確認済みの機器またはOSをご確認ください。
- 本記事で記載した各サービスの機能等は、2024年9月時点の情報です。ご利用の際は、各サービスの機能の最新情報をご確認ください。