CLI を使用した VPN ゲートウェイの作成
この記事は、Azure CLI を使用して Azure VPN ゲートウェイを作成する際に役立ちます。 VPN ゲートウェイが使用されるのは、ご利用のオンプレミスのネットワークへの VPN 接続を作成するときです。 また、仮想ネットワークへの接続に VPN ゲートウェイを使用することもできます。 この記事の一部の設定の詳細については、「VPN ゲートウェイの作成 - ポータル」を参照してください。
- 図の左側には、この記事の手順を使って作成する仮想ネットワークと VPN ゲートウェイが示されています。
- 図の右側に示すように、後でさまざまな種類の接続を追加できます。 たとえば、サイト間接続やポイント対サイト接続を作成できます。 構築できるさまざまな設計アーキテクチャを確認するには、「VPN Gateway の設計」を参照してください。
この記事の手順では、Generation 2 VpnGw2AZ SKU を使用して、仮想ネットワーク、サブネット、ゲートウェイ サブネット、およびルートベースのゾーン冗長アクティブ/アクティブ モードの VPN ゲートウェイ (仮想ネットワーク ゲートウェイ) を作成します。 この記事の手順では、Generation 2 VpnGw2AZ SKU を使用して、仮想ネットワーク、サブネット、ゲートウェイ サブネット、およびルートベースのゾーン冗長アクティブ/アクティブ モードの VPN ゲートウェイ (仮想ネットワーク ゲートウェイ) を作成します。 ゲートウェイが作成されたら、接続を構成できます。
- 代わりに Basic SKU を使用して VPN ゲートウェイを作成する場合は、Basic SKU VPN ゲートウェイの作成に関する記事を参照してください。
- 可能であれば、アクティブ/アクティブ モードの VPN ゲートウェイを作成することをお勧めします。 アクティブ/アクティブ モードの VPN ゲートウェイでは、標準モードの VPN ゲートウェイよりも可用性とパフォーマンスが向上します。 アクティブ/アクティブ ゲートウェイの詳細については、「アクティブ/アクティブ モード ゲートウェイについて」を参照してください。
- 可用性ゾーンとゾーン冗長ゲートウェイの詳細については、「可用性ゾーンとは」を参照してください。
Note
この記事の手順では、ゲートウェイ SKU VpnGw2AZ を使用します。これは、Azure 可用性ゾーンをサポートする SKU です。 ご使用のリージョンで可用性ゾーンがサポートされていない場合は、代わりに AZ 以外の SKU を使用してください。 SKU の詳細については、「ゲートウェイ SKU について」を参照してください。
開始する前に
これらの手順には、Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
前提条件
Azure Cloud Shell で Bash 環境を使用します。 詳細については、「Azure Cloud Shell の Bash のクイックスタート」を参照してください。
CLI リファレンス コマンドをローカルで実行する場合、Azure CLI をインストールします。 Windows または macOS で実行している場合は、Docker コンテナーで Azure CLI を実行することを検討してください。 詳細については、「Docker コンテナーで Azure CLI を実行する方法」を参照してください。
ローカル インストールを使用する場合は、az login コマンドを使用して Azure CLI にサインインします。 認証プロセスを完了するには、ターミナルに表示される手順に従います。 その他のサインイン オプションについては、Azure CLI でのサインインに関するページを参照してください。
初回使用時にインストールを求められたら、Azure CLI 拡張機能をインストールします。 拡張機能の詳細については、Azure CLI で拡張機能を使用する方法に関するページを参照してください。
az version を実行し、インストールされているバージョンおよび依存ライブラリを検索します。 最新バージョンにアップグレードするには、az upgrade を実行します。
- この記事では、Azure CLI のバージョン 2.0.4 以降が必要です。 Azure Cloud Shell を使用している場合は、最新バージョンが既にインストールされています。
リソース グループを作成する
az group create コマンドを使用して、リソース グループを作成します。 リソース グループとは、Azure リソースのデプロイと管理に使用する論理コンテナーです。
az group create --name TestRG1 --location eastus
仮想ネットワークの作成
まだ仮想ネットワークがない場合は、az network vnet create コマンドを使って作成します。 仮想ネットワークを作成する際は、指定したアドレス空間がオンプレミス ネットワーク内に存在するどのアドレス空間とも重複していないことを確認します。 VPN 接続の両側に重複するアドレス範囲が存在する場合、トラフィックが期待どおりにルーティングされない可能性があります。 また、この仮想ネットワークを別の仮想ネットワークに接続する場合、アドレス空間を別の仮想ネットワークと重複させることはできません。 したがって、慎重にネットワーク構成を計画してください。
次の例では、"VNet1" という名前の仮想ネットワークと "FrontEnd" というサブネットを作成します。 この演習では、FrontEnd サブネットは使用されません。 独自のサブネット名に置き換えることができます。
az network vnet create \
-n VNet1 \
-g TestRG1 \
-l eastus \
--address-prefix 10.1.0.0/16 \
--subnet-name FrontEnd \
--subnet-prefix 10.1.0.0/24
ゲートウェイ サブネットの追加
仮想ネットワーク ゲートウェイ リソースは、GatewaySubnet という名前の特定のサブネットにデプロイされます。 ゲートウェイ サブネットは、仮想ネットワークの構成時に指定する仮想ネットワーク IP アドレス範囲の一部です。
GatewaySubnet という名前のサブネットが存在しない場合、VPN ゲートウェイを作成するときにエラーが発生します。 作成するゲートウェイ サブネットには /27 (またはそれ以上) を使用することをお勧めします。 たとえば、/27 や /26 です。 詳細については、VPN Gateway の設定 - ゲートウェイ サブネットに関する記事を参照してください。
重要
ゲートウェイ サブネット上のネットワーク セキュリティ グループ (NSG) はサポートされていません。 ネットワーク セキュリティ グループをこのサブネットに関連付けると、仮想ネットワーク ゲートウェイ (VPN と ExpressRoute ゲートウェイ) が想定どおりに機能しなくなる可能性があります。 ネットワーク セキュリティ グループの詳細については、「ネットワーク セキュリティ グループ (NSG) について」を参照してください。
次の例を使用してゲートウェイ サブネットを追加します。
az network vnet subnet create \
--vnet-name VNet1 \
-n GatewaySubnet \
-g TestRG1 \
--address-prefix 10.1.255.0/27
パブリック IP アドレスの要求
VPN ゲートウェイには、パブリック IP アドレスが必要です。 VPN ゲートウェイへの接続を作成するときは、これが、ユーザーが指定する IP アドレスです。 アクティブ/アクティブ モード ゲートウェイの場合、各ゲートウェイ インスタンスに独自のパブリック IP アドレス リソースがあります。 これにはまず IP アドレスのリソースを要求したうえで、仮想ネットワーク ゲートウェイの作成時にそのリソースを参照する必要があります。 さらに、末尾が AZ のゲートウェイ SKU の場合は、ゾーン設定も指定する必要があります。 この例では、3 つのリージョン ゾーンすべてを指定するため、ゾーン冗長構成を指定します。
IP アドレスは、VPN ゲートウェイの作成時にリソースに対して割り当てられます。 パブリック IP アドレスが変わるのは、ゲートウェイが削除され、再度作成されたときのみです。 VPN ゲートウェイのサイズ変更、リセット、その他の内部メンテナンス/アップグレードでは、IP アドレスは変わりません。
パブリック IP アドレスを要求するには、az network public-ip create コマンドを使用します。
az network public-ip create --name VNet1GWpip1 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3
アクティブ/アクティブ ゲートウェイを作成するには (推奨)、2 つ目のパブリック IP を要求します。
az network public-ip create --name VNet1GWpip2 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3
VPN ゲートウェイを作成する
選択したゲートウェイ SKU によっては、ゲートウェイの作成に 45 分以上かかる場合も少なくありません。 ゲートウェイが完成したら、仮想ネットワークとオンプレミスの場所の間の接続を作成できます。 あるいは、仮想ネットワークと別の仮想ネットワークの間の接続を作成できます。
VPN ゲートウェイの作成には、az network vnet-gateway create コマンドを使用します。 --no-wait パラメーターを使用してこのコマンドを実行した場合は、フィードバックや出力が表示されなくなります。 --no-wait パラメーターは、ゲートウェイをバックグラウンドで作成するためのものです。 これは、VPN ゲートウェイがすぐに作成されるという意味ではありません。 別の SKU を使用してゲートウェイを作成する場合は、「ゲートウェイ SKU について」を参照して、構成要件に最適な SKU を判別します。
アクティブ/アクティブ モード ゲートウェイ
az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 VNet1GWpip2 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait
アクティブ/スタンバイ モード ゲートウェイ
az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait
VPN ゲートウェイの作成には 45 分以上かかる場合があります。
VPN ゲートウェイを表示する
az network vnet-gateway show \
-n VNet1GW \
-g TestRG1
ゲートウェイ IP アドレスの表示
各 VPN ゲートウェイ インスタンスには、パブリック IP アドレス リソースが割り当てられます。 リソースに関連付けられている IP アドレスを表示するには、次のコマンドを使用します。 ゲートウェイ インスタンスごとに繰り返します。
az network public-ip show -g TestRG1 -n VNet1GWpip1
リソースをクリーンアップする
作成したリソースが必要でなくなったら、az group delete を使用してリソース グループを削除します。 これによって、リソース グループと、それに含まれるすべてのリソースが削除されます。
az group delete --name TestRG1 --yes
次のステップ
ゲートウェイが作成されたら、接続を構成できます。