Go to Qiita Advent Calendar Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@taka_junkstoryin株式会社メディアテック

ローカルPCからストレージアカウントにプライベート接続する

Last updated at Posted at 2025-11-16

この記事では プライベート接続のみ許可しているストレージアカウントに、ローカルPCから VPN 経由で接続する までの手順をまとめます。(2025年11月時点)
Azure の学習を始めたばかりですので、初心者向けの内容となります。

前の記事

本記事のゴール

  • VPN 環境を構築できる
  • ローカルPCからストレージアカウントにプライベート接続できる

1. VPN ゲートウェイ用のサブネットを作成

image.png

サブネットの目的は「Virtual Network Gateway」を選びます。
image.png

image.png

2. 証明書を作成

2-1. ルート証明書(Root CA)を作成

PowerShell で実行します。

$rootCert = New-SelfSignedCertificate `
    -Type Custom `
    -KeyExportPolicy Exportable `
    -KeySpec Signature `
    -KeyLength 2048 `
    -KeyUsage CertSign `
    -Subject "CN=AzureP2SRootCert" `
    -CertStoreLocation "Cert:\CurrentUser\My" `
    -HashAlgorithm sha256 `
    -KeyUsageProperty Sign `
    -NotAfter (Get-Date).AddYears(10)

2-2. クライアント証明書(Client Cert)を発行 ※ 上記の続きでコマンド実行

$clientCert = New-SelfSignedCertificate `
    -Type Custom `
    -DnsName "AzureP2SClient" `
    -KeyExportPolicy Exportable `
    -KeySpec Signature `
    -KeyLength 2048 `
    -Subject "CN=AzureP2SClient" `
    -CertStoreLocation "Cert:\CurrentUser\My" `
    -Signer $rootCert `
    -HashAlgorithm sha256 `
    -NotAfter (Get-Date).AddYears(5) `
    -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")

2-3. ルート証明書をエクスポート

image.png

秘密キーはエクスポートしません。
image.png

Base 64 を選択します。
image.png

3. ポイント対サイト(P2S)を構成

image.png

公開証明書データに先ほどエクスポートしたルート証明書の内容をコピペします。
なお、「-----BEGIN CERTIFICATE-----」から「-----END CERTIFICATE-----」の間のみを貼ります。
image.png

保存ボタンを押します。
なお、デプロイに 30 分前後かかります。

4. VPN クライアントのインストール

https://apps.microsoft.com/detail/9np355qt2sqb?hl=ja-JP&gl=JP
image.png

インストールすると以下のような画面が表示されます。
image.png

5. VPN 接続

ポイント対サイトの構成から VPN クライアントのダウンロードを行います。
image.png

ダウンロードした zip ファイルを解凍すると、 VPN クライアント用の設定ファイルを確認できます。
image.png

VPN クライアントの左下にある「+」から、設定ファイルをインポートします。
証明書情報にはクライアント証明書を選択します。
image.png

接続ボタンを押して接続できることを確認します。
image.png
VPN 接続時に「Server did not respond properly to VPN Control Packets. Session State: TLS handshake in progress」のエラーが出た場合、証明書発行時のパラメーター(TextExtension)を指定しているか確認してください。

ローカルPCの IP アドレスを確認すると、 P2S のアドレスプール(172.16.0.0/24)であることがわかります。
image.png

VPN へ接続できましたが、名前解決を行うとパブリックIPになっていることがわかります。

Resolve-DnsName  storage1115test.privatelink.blob.core.windows.net

image.png

6. DNS プライベートリゾルバの作成

Azure 内部 DNS を参照できるようリゾルバを構築します。
image.png
image.png

インバウンド用サブネットを作成します。
image.png

デプロイ後、IP アドレスを確認しておきます。
image.png

サーバーを指定して、名前解決をするとプライベートIPに解決されることを確認します。

Resolve-DnsName storage1115test.privatelink.blob.core.windows.net -Server 10.0.2.4

image.png

しかし、サーバーを指定しない場合はパブリックIPになっています。

Resolve-DnsName storage1115test.privatelink.blob.core.windows.net

image.png

7. カスタム DNS の設定

仮想ネットワークの DNS サーバーに、先ほど作成したプライベート DNS リゾルバを指定します。
image.png
image.png

P2S の構成画面から、 VPN クライアントのダウンロードを再度実行します。
ダウンロード後、VPN クライアントでインポートを行い、 VPN の構成を更新します。
image.png

VPN を再接続後、名前解決を確認するとプライベートIPになっていることが確認できます。

Resolve-DnsName storage1115test.privatelink.blob.core.windows.net

image.png

8. ローカルPCからストレージアカウントの接続確認

Azure Portal からコンテナーを開くと、エラーにならずに開けることが確認できます。
image.png

ファイルの URL もアクセス可能であることが確認できます。
image.png

VPN を切断すると、接続できないことも確認します。
image.png

image.png

まとめ

この記事では以下を行いました。

  • VPN ゲートウェイの作成
  • 証明書を発行し、仮想ネットワークへ VPN 接続
  • ローカルPCからストレージアカウントへプライベートアクセス
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?