SoftLayerは、2016年10月よりBluemixに統合されIBM Bluemix Infrastructureとなりましたので、Bluemix Infrastructureと表記します。
1. はじめに
Bluemix Infrastructure仮想インスタンスのWindows2012R2「ルーティングとリモート アクセス サービス (RRAS)」とAzure 仮想ネットワークゲートウェイを使用して、VPNサイト間接続を行いました。
各クラウドのプライベートネットワークにインスタンス(Azureでは仮想マシン)をデプロイし、リモートデスクトップ接続しました。
2. Azureポータル、デプロイモデル等の違い
2015年12月2日より従来のポータルが「クラシックポータル」、新ポータルが「Azureポータル」となりました。
それに伴い、新しいデプロイモデルの「リソースマネージャー」/ 仮想マシンV2/仮想ネットワークなど変更になっていて共存状態です。一部互換性がない機能もありますので、本投稿では新しいリソースマネージャーを使って構築しました。
余談ですが、現在販売されている書籍の中には「クラシックポータル」を使って書かれているものも多々みうけられますので、よく見て購入したほうが良いです。
参考情報
■Azure Resource Manager とクラシック デプロイ: デプロイ モデルとリソースの状態について
https://docs.microsoft.com/ja-jp/azure/resource-manager-deployment-model
■Azure デプロイ モデル
https://docs.microsoft.com/ja-jp/azure/azure-classic-rm
3. 構成について
《Bluemix Infrastructure》
・Windows2012R2-VPN --- VPNサーバーの役割
「ルーティングとリモート アクセス サービス (RRAS)」をインストールし、構成。
・Windows2012R2-CLT ---プライベートネットワーク上のクライアント
Azureプライベートネットワーク上の仮想マシンに対してRDS接続する。
《Azuree》
仮想ネットワークとして192.168.0.0を構成し、プライベートサブネットとして192.168.1.0/24、ゲートウェイサブネットとして192.168.1.0/24を構成。
仮想マシンからBluemix Infrastructure上のWindows2012R2-CLTに対し、RDS接続する。
4. 構築手順
・①~⑥はAzureポータルでの、VPNの設定
・⑦はAzure側の仮想マシンの作成
・⑧⑨はBluemix Infrastructureでの、Windows2012R2-VPNのデプロイとVPN設定
・⑩⑪はBluemix Infrastructureでの、Windows2012R2-CLTデプロイとルーティング設定
・⑫はRDSで接続します
※「④仮想ネットワークゲートウェイの作成」で生成された「仮想ネットワークゲートウェイのIPアドレス」は、「⑨ルーティングとリモート アクセス サービス (RRAS) のインストール・設定」で使用しますので、メモしてください。
5. 構築
※Azureポータルログインができる前提で話を進めます。
まだアカウントを取得していない場合、
https://azure.microsoft.com/ja-jp/free/?wt.mc_id=JP_ABG_CLD_PD_SEM_BRWT.srch=1&wt.mc_id=AID529441_SEM_9tDVpCNa
をご覧ください。
\20,500無料クレジットが利用できます。
【Azureポータルでの操作】
5-1. ① リソースグループの作成
リソースグループグループは、仮想ネットワークやサブネット、仮想マシンなど相互依存している複数のリソースをまとめて管理します。
本構成ではリソースグループの名前を「AZ-RG」で作成します。
「新規」クリック
「作成」クリック
”リソースグループ名”「AZ-RG」入力⇒「作成」クリック
「×」で閉じる
① リソースグループの作成完了
5-2. ② 仮想ネットワーク、サブネットの作成
仮想ネットワークは仮想マシンを接続するための論理的なネットワークで、仮想マシンV2をリソースマネージャーで管理する際は、仮想ネットワークは必須です。
併せてプライベートサブネットも作成。
本構成では、仮想ネットワーク(AZ-VNet)「192.168.0.0/16」、サブネット(AZ-Subnet)「192.168.1.0/24」で作成します。
また、仮想マシンV2をリソースマネージャーで管理する際は、仮想ネットワークは必須です。
「新規」クリック
「ネットワーキング」クリック
「仮想ネットワーク」クリック
”デプロイモデルの選択”「Resource Manager」選択⇒「作成」
仮想ネットワークとプライベートサブネットを作成します。
”名前”「AZ-VNet」、”アドレス空間”「192.168.0.0/16」、”サブネット名”「AZ-Subnet」、”サブネットアドレス空間”「192.168.1.0/24」”リソースグループ”「AZ-RG」選択と入力⇒「作成」
「×」で閉じる
② 仮想ネットワーク・サブネットの作成完了
5-3.③ゲートウェイサブネットの追加
以降で作成する、VPNの仮想ネットワークゲートウェイ用サブネットを追加します。
本構成では、ゲートウェイサブネット(GatewaySubnet)「192.168.1.0/24」で作成します。
「仮想ネットワーク」クリック
”仮想ネットワーク”「AZ-VNet」クリック
「サブネット」クリック
「+ゲートウェイサブネット」クリック
”名前”「GatewaySubnet」はシステムで決まった名前なので変更しないでください。
”アドレス範囲”「192.168.0.0/29」、”ルートテーブル”「なし」⇒「OK」クリック
「×」で閉じる
③ゲートウェイサブネットの追加完了
5-4.④仮想ネットワークゲートウェイの作成
仮想ネットワーク ゲートウェイ(AZ-VNetGW)は、Azure側のVPN ゲートウェイです。
前項で作成した”ゲートウェイサブネット(GatewaySubnet)”「192.168.0.0/29」に作成します。
作成するまで、30分ほどかかります。
「新規」クリック
「ネットワーキング」クリック
「仮想ネットワーク」クリック
"名前"「AZ-VNetGW」、”ゲートウェイの種類”「VPN」、” VPNの種類”「ルートベース」、”SKU”「Standard」
⇒「仮想ネットワークの選択」クリック
■VPNの種類
本構成では「ルートベース」を選択します。
Bluemix Infrastructure側のVPNデバイスは、Windows2012R2の"ルーティングとリモート アクセス サービス "で構成します。この場合、ポリシーベースだと互換性がありませんので、ルートベースを選ぶことになります。
参考情報:検証済みのVPNデバイス
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpn-devices#devicetable■SKU(Stock Keeping Unit:最小管理単位)
本構成では「Standard」を選択しました。
ルートベースVPNの場合、VPN Gateway で利用できる SKU は、
Basic / Standard / HighPerformanceの3種類です。
参考情報:ゲートウェイのSKU
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpngateways
仮想ネットワーク「AZ-VNet」を選択しクリック
「パブリックIPアドレスの選択」クリック
「新規作成」クリック
”名前”「AZ-VNetGWip」入力⇒「OK」クリック
「作成」クリック
※作成完了まで30分ぐらいかかります。
作成完了後、仮想ネットワークゲートウェイのパブリックIPアドレスをメモしてください。Bluemix Infrastructure側のRRASの設定で使用します。
本構成では「40.74.125.172 (AZ-VNetGWip)」でした。
「×」で閉じる
④仮想ネットワークゲートウェイの作成完了
5-5.⑤ローカルネットワークゲートウェイの作成
接続先の情報を登録します。
”ローカル”という用語で混乱しますが、ここでいうローカルとはBluemix Infrastructure側のことです。
尚、Bluemix Infrastructure側のVPNは、
・”コンピュータ名”「Windows2012R2-VPN」
・”パブリックIPアドレス”「161.202.124.131」
・”プライベートアドレス空間”「10.132.52.192/26」
です。
「新規」クリック
「ネットワーキング」クリック
「ローカルネットワークゲートウェイ」クリック
”名前”「SL-NetGW」、”IPアドレス”「161.202.124.131」、”アドレス空間”「10.132.52.192/26」、”リソースグループ”「AZ-RG」
⇒「作成」
「×」で閉じる
⑤ローカルネットワークゲートウェイの作成完了
5-6.⑥接続の作成
”④仮想ネットワークゲートウェイ”と”⑤ローカルネットワークゲートウェイ”を関連付けします。
使用する共有キーは「 SharedKey」としました。
「新規」クリック
「ネットワーキング」クリック
「接続」クリック
”接続の種類”「サイト対サイト(IPsec)」、”リソースグループ”「AZ-RG」⇒「OK」クリック
「仮想ネットワークゲートウェイを選択」クリック
”仮想ネットワークゲートウェイ”「AZ-VNetGW」クリック
「ローカルネットワークゲートウェイを選択する」クリック
”ローカルネットワークゲートウェイ”「SL-NetGW」クリック
”接続名”「AZ-VNetGW-SL-NetGW」、”共有キー(PSK)”「SharedKey」入力
⇒「OK」クリック
⑥接続の作成完了
5-7. ⑦仮想マシンの作成
プライベートネットワーク「192.18.1.0/24」に仮想マシンを作成します。
「新規」クリック
「Compute」クリック
本構成では、Windows2012R2 Datacenter で、仮想マシンをデプロイしました。
「Windows Server 2012R2 Datacenter」クリック
”名前”「Win2012R2」、”VMディスクの種類”「SSD」、”ユーザー名”、”パスワード”、”リソースグループ”AZ-RG」入力
⇒「OK」クリック
ここでは「DS1_V2 Standard」⇒「選択」クリック
「OK」クリック
RDSで接続してみます。
「接続」クリック
RDP構成がダウンロードされます。ここでは、デスクトップに保存しました。
「名前を付けて保存」⇒デスクトップに保存
RDPアイコンをクリックして接続します。
「接続」クリック
”ユーザー名”、”パスワード”入力⇒「OK」クリック
「はい」クリック
「No」クリック
⑦仮想マシンの作成完了
日本語化や壁紙の変更の説明は省略します。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
【Bluemix Infurastructureでの操作】
5-8. ⑧ Windows2012R2-VPNインスタンスのデプロイ
VPNゲートウェイ用に”Windows2012R2-VPN”をデプロイします。
ここの箇所は割愛させていただきます。
5-9. ⑨ルーティングとリモート アクセス サービス (RRAS) のインストール・設定
先ほどデプロイした、”Windows2012R2-VPN”に「ルーティングとリモート アクセス サービス 」をインストール・設定します。
インストールは”サーバーマネージャー”を使ってGUIでインストールする方法も在りますが、ここではCUIコマンドでインストールします。
PowerShellを起動し、下記コマンドを実行します。
Install-WindowsFeature –Name RemoteAccess –IncludeManagementTools ⏎
Add-WindowsFeature –Name Routing –IncludeManagementTools ⏎
コマンドで”ルーティングとリモートアクセス”管理画面を起動します。
rrasmgmt.msc ⏎
管理画面が起動しました。
「サーバー名(ローカル)」ここでは「WIN2012R2(ローカル)」右クリック⇒「ルーティングとリモートアクセスの機能と有効化」クリック
「次へ」クリック
「カスタム構成」選択⇒「次へ」クリック
「VPNアクセス」チェック⇒「次へ」クリック
「完了」クリック
「サービスの開始」クリック
「ネットワークインターフェース」⇒「新しいデマンドダイアルインターフェース」クリック
「次へ」クリック
”インターフェイス名”「SL-Interface」入力⇒「次へ」クリック
「仮想プライベートネットワーク(VPN)を使って接続する」選択⇒「次へ」クリック
「IKEv2」選択⇒「次へ」クリック
”ホスト名またはIPアドレス ”はAzure側設定の”④仮想ネットワークゲートウェイの作成”でメモした、仮想ネットワークゲートウェイのパブリックIPアドレスです。
本構成では「40.74.125.172 (AZ-VNetGWip)」でした。
”ホスト名またはIPアドレス ”「40.74.125.172」入力⇒「次へ」クリック
「このインターフェース上のIPパケットの経路を選定する」チェック⇒「次へ」クリック
「追加」クリック
”②仮想ネットワークの作成、 サブネットの作成”で設定した、プライベートサブネット(AZ-Subnet)「 192.168.1.0/24」を設定します。
”接続先”「192.168.1.0」、”ネットワークマスク”「255.255.255.0」、”メトリック”「1」入力⇒「OK」クリック
「次へ」クリック
「次へ」クリック
「完了」クリック
作成したインターフェース「SL-Interface」を選択
クリック⇒「プロパティ」選択
「認証に事前共有キーを使う」選択⇒”キー”「SharedKey」入力⇒「OK」クリック
接続します。
「SL-Interface」を選択⇒クリック⇒「接続」選択
接続状態が”切断から接続”になり、接続が確認できました。
⑨ルーティングとリモート アクセス サービス (RRAS) のインストール・設定完了
5-10. ⑩ Windows2012R2-CLTインスタンスのデプロイ
クライアントPC用に”Windows2012R2-CLT”をデプロイします。
ここの箇所は割愛させていただきます。
5-11. ⑪ Windows2012R2-CLTルーティング設定
routeコマンドでルーティングの設定を行います。
PowerShellを起動し、下記コマンドを実行。
Route add –p 192.168.0.0 mask 255.255.0.0 10.132.52.234 ⏎
⑪ Windows2012R2-CLTルーティング設定完了
6.ファイアーウォールの確認
各プライベートネットワークの仮想マシン、インスタンスから相互にRDS接続しますので、TCPの3389ポートが開いているか確認します。
6-1.Azureのファイアーウォール確認
”ネットワークセキュリティグループ”と”仮想マシンの”Windowsファイアーウォール”の2か所を確認します。
仮想マシンをデプロイして、RDSで接続しますのでポートは開いているはずです。
6-2.Bluemic Infrastructureのファイアーウォール確認
ハードウェアファイアーウォールなどは追加していませんので、”Windowsファイアーウォール”を確認します。
7.RDS接続確認
7-1. Bluemix InfrastructureからAzureへのRDS接続
Windows2012R2-CLTから仮想マシンに接続します。
Azure仮想マシンのプライベートIPアドレスは、「192.168.1.4」です。
接続確認できました。
7-2. AzureからBluemix InfrastructureへのRDS接続
仮想マシンからWindows2012R2-CLTに接続します。
Windows2012R2-CLTのプライベートIPアドレスは、「10.132.52.229」です。
接続確認できました。
8.おわりに
現在、Azureは”クラシックポータル”、”Azureポータル”や”りソースグループ”が混在しているため、わかりにくい部分が多少ありますが、本構成では新しい機能で構成しました。