[物理 + Azure] 、[物理 + AWS] とした、物理とクラウドをつなぐハイブリッド環境を実装させていただきました。
物理とクラウドをつなげるトンネルを開通をさせた後、社長に「去年の夏にデータセンターの停電があって障害が起きたんだ。クラウドから物理のルーターの監視ってできる?」と言われてやったらできました。
[外形監視の記事はこちらです。]
-クラウドから物理の機器のトンネルをつなげた後、外形監視をした
今回は社内のEXSiの上に構築したWindows2019サーバーに、リモートルーターを構築して、ipsecを利用したトンネル開通を手順を記載します。
環境構成図
Azure側の設定をする
前提
PowerShellとAzコマンドが使用できるようになっていること。
仮想ネットワーク・仮想マシン等の緑の枠のリソースは作成が出来ていることとし、
今回赤い線のリソースを対象とします。
1. 事前準備
物理側のWindows2019サーバーのローカルip(192.168.1.117)とグローバルipを用意します。
2. Azure Site To Site VPNの設定をする
ポータル画面にログインし、[仮想ネットワークゲートウェイ]のサービスを開きます。
仮想ネットワークゲートウェイの作成をします。
3. 接続を設定する
ローカルネットワークゲートウェイに、事前準備で用意しておいたローカルip(192.168.1.117)とグローバルipを設定して追加します。
(※共通キーはダミーです。)
4.メモする
物理のリモートルーターに設定する値をメモをとります。
- 事前共有キーの確認
[仮想ネットワークゲートウェイ] - [接続] - [接続名(例:blog)] - [共有キー]
- グローバルipの確認
[仮想ネットワークゲートウェイ] - [概要] - [パブリック IP アドレス]
- つなげたい仮想ネットワークのCIDR
[仮想ネットワーク] - [概要] - [アドレス空間]
物理側の設定をする
1.[ルーティング]の機能をインストールする
Windows 2019サーバー(192.168.1.117)にログインします。
サーバーマネージャーを開いて、[管理]-[役割と機能の追加ウィザード]をクリックします。
[サーバーの選択]で[次へ (N) >]をクリックします。
[リモートアクセス]を選択します。
[リモートアクセス]で[次へ (N) >]をクリックします。
[DirectAccessおよびVPN(RAS]と[ルーティング]を選択します。
[必要に応じて対象サーバーを自動的に再起動する]を選択し、[インストール]をクリックします。
インストールが完了したら、サーバーマネージャーの[お知らせの旗のアイコン]をクリックして[ルーティングとリモートアクセス]をクリックして開きます。
2.ルーティングの設定をする
Windows2019のサーバーのホスト名で右クリックし、[ルーティングとリモートアクセスの構成の有効化]をクリックします。
セットアップウィザードが表示されるので[次へ (N) >]をクリックします。
[構成]で、[カスタム構成]を選択します。
[カスタム構成]で[デマンドダイヤル接続]を選択して[次へ (N) >]をクリックします。
[完了]をクリックします。
[サービスの開始]をクリックします。
3.リモートルーターを作成する
[ルーティングとリモートアクセス] - [ホストネーム] - [ネットワーク・インターフェース]で右クリックをします。
[新しいデバンドダイヤルインタフェース(D)...]を選択します。
[デマンドダイヤルインターフェイス ウィザードの開始]で[次へ (N) >]をクリックします。
インターフェースの名前をつけて[次へ (N) >]をクリックします。
[仮想プライベートネットワーク(VPN)を使って接続する(V)]を選択して、[次へ (N) >]をクリックします。
[VPNの種類]で[IKEv2]を選択し、[次へ (N) >]をクリックします。
[接続先のIPアドレス]で、上記でメモをした[作成したVPNのグローバルip]を入力し、[次へ (N) >]をクリックします。
[プロトコルとセキュリティ]で[このインターフェイス上のIPパケットの経路を選定する(I)]を選択し、[次へ (N) >]をクリックします。
[リモートネットワークの静的ルート]で[追加]をクリックします。
Azureの仮想ネットワークの情報を入力し、[OK]をクリックし、[次へ (N) >]をクリックします。
[ダイヤルアウトのアカウント情報]で全て空白のまま、[次へ (N) >]をクリックします。
[デマンドダイヤルインターフェイス ウィザードの完了]で、[完了]をクリックします。
4.リモートルーターに共有キーを設定する
上記で作成したリモートルーターを選択し、右クリックし、[プロパティ]を開きます。
[セキュリティ] を開き、[認証に事前共有キーを使う(Y)]を選択します。
Azureポータルでメモしていた[事前共有キー]を入力し、[OK]をクリックします。
5. 接続する
リモートルーターを選択して、右クリックし、[接続(O)]をクリックします。
[インターフェイスの接続]が表示された後に、[状態]が[有効]に変わったことを確認します。
念の為、Azureの仮想サーバーに向けてpingで疎通確認を行います。
物理→クラウドへのトンネル開通できました。
6. 相互疎通を確認する
次に、クラウド→物理のトンネル開通を確認します。
今回はpingでの疎通確認をしたいので、まず、物理側のWindows ファイアウォールのICMPのセキュリティ規則を無効化します。
[サーバーマネージャー] - [ツール] - [セキュリティが強化されたWindows Defender ファイアウォール] を開きます。
[受信の規則]で[ファイルとプリンターの共有(エコー要求 - ICMPv4受信)]・[ファイルとプリンターの共有(エコー要求 - ICMPv6受信)]を有効化します。
Azure側の仮想マシン(10.4.2.4)に入り、物理のWindows2019サーバー(192.168.1.117)にpingでの疎通確認を行います。
クラウド → 物理のWindows2019サーバーへ通信が届いたことが確認できました。
Comments