Fujitsu Cloud Direct ブログ

初心者エンジニア向け技術ブログ

拠点間VPNゲートウェイを利用してAzureと接続する

こんにちは、FJcloud-Vの技術支援チームです。
FJcloud-Vではお客様の環境や他クラウドにセキュアに接続可能な拠点間VPNゲートウェイというインターネットVPNサービスを提供しています。このサービスを活用することで比較的容易にマルチクラウドの環境を構築することができます。
本記事では拠点間VPNゲートウェイを利用してFJcloud-VとAzureを接続する流れを検証します。

前提条件

本記事は、以下の前提知識がある方を想定しています。

  • FJcloud-Vの基本的なコントロールパネルの操作、サービスを利用する知識
  • Azureの基本的なコントロールパネルの操作、サービスを利用する知識

各コントロールパネルの操作方法については省略しています。
操作方法を知りたい場合は以下のリンク先をご確認ください。

検証概要

上図のようにプライベートLAN(Azure側は仮想ネットワーク)を用意してIPsec VTIで双方のネットワークを接続します。
各環境にサーバーを1台ずつ作成し、接続確認を行います。

設定手順

プライベートLANの作成 (FJcloud-V)

最初はFJcloud-V側で作業を実施します。
以下の設定でプライベートLANを作成します。

設定項目 設定値
プライベートLAN名 privateLAN1
ゾーン east-12
CIDR 10.0.1.0/24

拠点間VPNゲートウェイの作成 (FJcloud-V)

作成したプライベートLANに拠点間VPNゲートウェイを作成します。
最初に拠点間VPNゲートウェイで利用するファイアウォールグループを作成します。

設定項目 設定値
ファイアウォールグループ名 VPNGWFW
ゾーン east-12

ここでは接続先(Azure)のIPアドレスが未定のため、INルール設定でプライベートLANの通信の許可ルールのみ追加します。

プロトコル 宛先ポート 接続先種別 IP/CIDR・グループ
ANY - CIDR(IPv4) 10.0.1.0/24

作成したファイアウォール、プライベートLAN(PrivateLAN1)を利用して拠点間VPNゲートウェイを作成します。

設定項目 設定値
拠点間VPNGW名 VPNGW01
ゾーン east-12
タイプ vpngw.small
対抗機器側ネットワーク:ネットワーク名 共通グローバル
対抗機器側ネットワーク:IPアドレス 空欄
内部ネットワーク:ネットワーク名 PrivateLAN1(10.0.1.0/24)
内部ネットワーク:IPアドレス 10.0.1.4
ファイアウォール設定 VPNGWFW(作成したファイアウォールを指定)

作成が完了したら、共通グローバルのIPアドレスを確認します。(Azure側の設定で利用します)
ここでは 「vv.vv.vv.vv」というIPアドレスとします。

仮想ネットワークの作成 (Azure)

ここからAzure側での作業です。
以下の設定で仮想ネットワークを作成します。

設定項目 設定値
仮想ネットワーク名 VNet1
地域 Japan East
アドレス空間 10.1.0.0/16

合わせてサブネットも作成します。

設定項目 設定値
サブネットの目的 Default
名前 SubNet1
IPv4アドレスの範囲 10.1.0.0/16
開始アドレス 10.1.0.0
サイズ /24

GatewaySubnetの作成 (Azure)

VPNゲートウェイを作成するために必要なGatewaySubnetを作成します。

設定項目 設定値
サブネットの目的 Virtual Network Gateway
IPv4アドレスの範囲 10.1.0.0/16
開始アドレス 10.1.255.0
サイズ /27

VPNゲートウェイの作成 (Azure)

仮想ネットワークゲートウェイ (VPNゲートウェイ)を作成します。

設定項目 設定値
名前 VNet1GW
地域 Japan East
ゲートウェイの種類 VPN
SKU VpnGw1
世代 Generation1
仮想ネットワーク VNet1
パブリックIPアドレス 新規作成
パブリックIPアドレス名 VNet1GWpip
アクティブ/アクティブモードの有効化 無効
BGPの構成 無効
Key Vaultアクセスを有効にする 無効

※作成に45分以上かかる場合があります。

作成が完了したら、IPアドレスを確認します。(FJcloud-V側の設定で利用します)

ここでは 「aa.aa.aa.aa」というIPアドレスとします。

ローカルネットワークゲートウェイの作成 (Azure)

以下の設定値でローカルネットワークゲートウェイを作成します。

設定項目 設定値
地域 Japan East
名前 LNGW1
エンドポイント IPアドレス
IPアドレス vv.vv.vv.vv (FJcloud-Vの拠点間VPNGWのグローバルIPを指定)
アドレス空間 10.0.1.0/24 (FJcloud-VのプライベートLANのCIDRを指定)

VPNデバイスの構成 (Azure)

以下の設定値でVPN接続を作成します。

設定項目 設定値
接続の種類 サイト対サイト (IPsec)
名前 fjcloudv
リージョン Japan East
仮想ネットワークゲートウェイ VNet1GW
ローカルネットワークゲートウェイ LNGW1
認証方式 共有キー(PSK)
共有キー(PSK) vpnkey (FJcloud-V側と一致していれば任意の文字列でOK)
IKEプロトコル IKEv2
AzureプライベートIPアドレスを使用する チェックしない
BGPを有効にする チェックしない
IPsecおよびIKEポリシー 規定
ポリシーベースのトラフィックセレクターを使用する 無効化
DPDタイムアウト(秒) 45
接続モード Default

これでAzure側の設定は完了です。
引き続きFJcloud-V側の設定を行います。

ファイアウォールルールの追加 (FJcloud-V)

Azure側のIPアドレスが確定したので、拠点間VPNゲートウェイのファイアウォールに以下のルールを追加します。

プロトコル 宛先ポート 接続先種別 IP/CIDR・グループ
UDP 500-500 IPアドレス(IPv4) aa.aa.aa.aa (Azure側のグローバルIPアドレス)
UDP 4500-4500 IPアドレス(IPv4) aa.aa.aa.aa (Azure側のグローバルIPアドレス)
ESP - IPアドレス(IPv4) aa.aa.aa.aa (Azure側のグローバルIPアドレス)

カスタマーゲートウェイの作成 (FJcloud-V)

VPNコネクションの作成時に利用するカスタマーゲートウェイを作成します。

設定項目 設定値
カスタマーゲートウェイ名 CGW01
対向機器IPアドレス aa.aa.aa.aa (Azure側グローバルIPアドレスを指定)
接続方式 IPsec VTI
対向機器LAN側IPアドレス帯 10.1.0.0/24 (Azure側サブネットのCIDRを指定)
対向機器LAN側IPアドレス 空欄

※接続方式で「IPsec VTI」を指定していますが、「IPsec」も利用可能です。

VPNコネクションの作成 (FJcloud-V)

作成した拠点間VPNゲートウェイ、カスタマーゲートウェイを利用してVPNコネクションを作成します。

設定項目 設定値
カスタマーゲートウェイ CGW01
接続方式 IPsec VTI
IKEバージョン IKEv2
暗号化アルゴリズム AES256
認証アルゴリズム SHA1
事前共有鍵 vpnkey (Azure側と一致していれば任意の文字列でOK)
IKE lifetime デフォルトのまま
ESP lifetime デフォルトのまま
DH Group デフォルト

※接続方式で「IPsec VTI」を指定していますが、「IPsec」も利用可能です。

以上でVPN接続の設定は完了です。

接続確認

FJcloud-V側、Azure側の双方にサーバーを用意して接続を確認します。
今回は Rocky Linux 8.9 でサーバーを作成します。

作成先 サーバー名 IPアドレス
FJcloud-V testVM01 10.0.1.3
Azure testVM02 10.1.0.4

FJcloud-V側のサーバーにログインできたら、ルーティング設定を行います。

ip route add [対向ネットワーク] via [拠点間VPNGWのプライベートIP]
# ip route add 10.1.0.0/24 via 10.0.1.4

※Azure側のサーバーはルーティングが自動で追加されるため設定不要です。

FJcloud-V側のサーバーからAzure側のサーバーにpingコマンドを実行します。

接続確認ができました。

まとめ

今回の検証でFJcloud-VとAzureをブラウザからの操作だけでインターネットVPN接続できることが確認できました。
本検証での各種設定値はあくまでも例のため、実際に利用する場合は要件に沿った適切な設定を行ってください。
よりハイパフォーマンスな通信を実現したい場合はプライベートアクセス for Equinix Fabric™というサービスも提供しています。用途に合わせて利用をご検討ください。

注意事項

  • 本記事の他社サイトへのリンクにつきまして、リンク切れの際はご容赦ください。
  • 拠点間VPNゲートウェイは冗長化されていますが、機器故障等が発生した場合は5分程度の接続断が発生します。
  • 本記事の手順は参考情報となり、FJcloud-Vのサポート対象外となります。
  • Azureとの接続はFJcloud-Vで接続確認を行っていません。確認済みの接続先については接続確認済みの機器またはOSをご確認ください。
  • 本記事で記載した各サービスの機能等は、2024年9月時点の情報です。ご利用の際は、各サービスの機能の最新情報をご確認ください。