テナント ユーザー向けの Azure Stack Hub VPN ファースト パス
Azure Stack Hub VPN ファースト パス機能とは
Azure Stack Hub では、VPN 高速パス機能の一部として、この記事で説明されている 3 つの新しい SKU が導入されています。 以前は、S2S トンネルは HighPerformance SKU を使用して最大帯域幅 200 Mbps に制限されていました。 新しい SKU により、より高いネットワーク スループットが必要な顧客シナリオが可能になります。 各 SKU のスループット値は一方向の値です。つまり、送受信トラフィックで指定されたスループットをサポートします。
Azure Stack オペレーターが Azure Stack Hub スタンプで VPN ファースト パス機能を有効にすると、テナント ユーザーは新しい SKU を使用して仮想ネットワーク ゲートウェイを作成できます。 仮想ネットワーク ゲートウェイとその接続を新しい SKU の 1 つで再作成することで、既存のセットアップを調整できます。
VPN 高速パスが有効な場合に使用可能な新しい仮想ネットワーク ゲートウェイ SKU
3 つの新しい SKU に加えて、Azure Stack Hub VPN の全体的な容量が増え、より多くの VPN 接続が可能になります。
次の表は、VPN 高速パスが有効になっている場合の各 SKU の新しいスループットを示しています。
SKU | 最大 VPN 接続スループット |
---|---|
基本 | 100 Mbps Tx/Rx |
Standard | 100 Mbps Tx/Rx |
高パフォーマンス | 200 Mbps Tx/Rx |
VpnGwy1 | 650 Mbps Tx/Rx |
VpnGwy2 | 1000 Mbps Tx/Rx |
VpnGwy3 | 1250 Mbps Tx/Rx |
新しい SKU を使用する仮想ネットワーク ゲートウェイを作成する
VPN ファースト パスを使用すると、テナント ユーザーは、Azure Stack Hub ポータルまたは PowerShell を使用して、新しい SKU を使用して仮想ネットワーク ゲートウェイを作成できます。
Azure Stack Hub ポータルを使用して新しい SKU を使用して仮想ネットワーク ゲートウェイを作成する
Azure Stack Hub ポータルを使用して仮想ネットワーク ゲートウェイを作成する場合は、ドロップダウン リストを使用して SKU を選択できます。 新しい VPN ファースト パス SKU (VpnGwy1、 VpnGwy2、 VpnGwy3) は、クエリ パラメーター "?azurestacknewvpnskus=true" を URL に追加して更新した後にのみ表示されます。
次の URL の例では、新しい仮想ネットワーク ゲートウェイ SKU を Azure Stack Hub ユーザー ポータルに表示します。
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
オペレーターは、これらのリソースを作成する前に、Azure Stack Hub スタンプで VPN ファースト パスを有効にする必要があります。
PowerShell を使用して新しい SKU を使用して仮想ネットワーク ゲートウェイを作成する
次の例では、AzureRM モジュールを使用します。
# Create PIP
$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic
# Gateway configuration. VNET is assumed to exist
$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id
# Create virtual network gateway VPNGw3 SKU
$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here
# Create local network gateway - remote VPN device endpoint configuration
$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix
# Create VPN Connection on the virtual network gateway
$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key
レガシ仮想ネットワーク ゲートウェイのアップグレード
仮想ネットワーク ゲートウェイを再作成せずに SKU を更新することはできません。仮想ネットワーク ゲートウェイに関連付けられているすべての接続を削除する必要があります。 新しい SKU を使用して仮想ネットワーク ゲートウェイを作成した後、ローカル ネットワーク ゲートウェイ リソースを再利用できます。 ローカル ネットワーク ゲートウェイ リソースは、オンプレミス デバイスのアドレス空間と IP アドレスを定義し、その構成を保持します。
仮想ネットワーク ゲートウェイ SKU をアップグレードするには、次の手順に従います。
- 既存の仮想ネットワーク ゲートウェイ上のすべての接続を削除します。事前共有キーと、BGP フラグが有効に設定されているかどうかを書き留めます。
- レガシ SKU を使用して既存の仮想ネットワーク ゲートウェイを削除します。同じ仮想ネットワーク内に 2 つの仮想ネットワーク ゲートウェイを作成することはできません。そのため、既存の仮想ネットワーク ゲートウェイを削除する必要があります。
- 新しい SKU を使用して新しい仮想ネットワーク ゲートウェイ リソースを作成します。VPN 高速パスで有効になっている新しい SKU のいずれかを選択できます。
- 新しい仮想ネットワーク ゲートウェイと既存のローカル ネットワーク ゲートウェイの間に新しい接続を作成します。カスタム IP 秒ポリシーを使用している場合は、PowerShell を使用して接続を作成します。 手順 1 で示した事前共有キーと BGP フラグを使用します。
- 新しい SKU に移行するその他の接続に対して手順 4 を繰り返します。この手順は、マルチサイト シナリオに関連します。
VPN 接続トポロジ
VPN ゲートウェイにはさまざまな構成を使用できます。 どの構成が自分のニーズに最適かを判断します。 次のセクションでは、次の VPN ゲートウェイ シナリオに関する情報とトポロジ図を表示できます。
- サイト間接続
- サイト間接続
- Azure Stack Hub スタンプ間のサイト間接続またはサイト間接続
以降のセクションの図と説明は、要件を満たす接続トポロジを選択するために役立ちます。 図は主要なベースライン トポロジを示していますが、図をガイドとして使用して、より複雑な構成を構築することもできます。
サイト間接続
"サイト間" (S2S) VPN ゲートウェイ接続とは、IPsec/IKE (IKEv2) VPN トンネルを介した接続です。 この種類の接続では、オンプレミスに配置され、パブリック IP アドレスが割り当てられている、VPN デバイスが必要です。
サイト間接続
サイト間 トポロジは、サイト間トポロジのバリエーションです。 仮想ネットワーク ゲートウェイから複数の VPN 接続を作成し、通常は複数のオンプレミスのサイトに接続します。
Azure Stack Hub スタンプ間のサイト間接続またはサイト間接続
2 つの Azure Stack Hub デプロイ間で作成できるサイト間 VPN 接続は 1 つだけです。 この制限は、同じ IP アドレスへの 1 つの VPN 接続のみを許可するプラットフォームの制限によるものです。 Azure Stack Hub では、Azure Stack Hub システム内のすべての VPN ゲートウェイに対して 1 つのパブリック IP を持つマルチテナント ゲートウェイが使用されるため、2 つの Azure Stack Hub システム間に接続できる VPN 接続は 1 つだけです。 この制限は、単一の IP アドレスを使用する VPN ゲートウェイに複数のサイト間 VPN 接続を接続する場合にも当てはまります。 Azure Stack Hub では、同じ IP アドレスを使用して複数のローカル ネットワーク ゲートウェイ リソースを作成することはできません。
次の図は、スタンプ間にメッシュ トポロジを作成する必要がある場合に、複数の Azure Stack Hub スタンプを相互に接続する方法を示しています。 このシナリオでは、3 つの Azure Stack Hub スタンプがあり、それぞれに 1 つの仮想ネットワーク ゲートウェイがあり、2 つの接続と 2 つのローカル ネットワーク ゲートウェイがあります。 新しい SKU を使用すると、ユーザーはスタンプ間でネットワークとワークロードを接続でき、VPN 接続のスループットは最大 1250 Mbps Tx/Rx で、各スタンプのゲートウェイ プール容量の 50% が割り当てられます。 各スタンプの残りの容量は、他のユース ケースに必要なより多くの VPN 接続に使用できます。