Windows Azureでの仮想マシン（VM）と仮想ネットワークテクノロジーの出現により、ローカルインフラストラクチャの一部がクラウドに転送されるか、クラウドリソースのために拡張されるハイブリッドシナリオの実装が実行可能なタスクになります。 このようなシナリオでは、エンタープライズLANとクラウド間のトンネルを想定しています。 この投稿では、Windows Azureがクラウドとして機能し、 Windows Server 2012 R2を実行しているサーバーがローカルネットワークのゲートウェイとして機能する場合に、そのようなサイト間（S2S）トンネルがどのように構築されるかを示します。 多くの写真があります。

問題の声明

ある会社がローカルITインフラストラクチャの拡張に関心があり、負荷の一部をWindows Azureに移行したいと考えているとします。 現時点では、クラウドに正確に移行するもの（Webサーバー、データベース、SharePointポータルなど）は重要ではありません。 Windows Azureに展開され、ローカルActive Directory（AD）インフラストラクチャの一部として「見える」仮想マシンがドメインに含まれている（含まれている可能性がある）ことが重要であり、実際には企業ネットワークの別のセグメントを構成することが重要です。



計画された構成は次のとおりです。







より正確には、図の左側にすでにあること、右側に行うこと。



まず、Windows AzureにVPNnet01という名前の仮想ネットワークを作成します。 このネットワークでは、少なくとも2つのサブネットを提供する必要があります。1つ（数個）がVM用で、もう1つがローカルADへのトンネルを構築します。 ゲートウェイ専用のサブネットを持つことは、Windows Azureの要件です。



次に、作成した仮想ネットワークとローカルインフラストラクチャ間のトンネルを整理します。最初にこのトンネルはWindows Azureの側から構成され、次にローカルネットワークの側から構成されます。



最後に、Windows AzureでVMを作成し、この仮想マシンがローカルネットワークからアクセス可能であることを確認します。逆の場合も、VMはローカルにあるドメインコントローラーと対話できます。



したがって、手順全体は、4つの主要なステップに要約されます。

1. Windows Azureで仮想ネットワークを作成する
2. Windows Azureでゲートウェイをセットアップする
3. LAN上のS2SゲートウェイとしてのWindows Server 2012 R2の構成
4. Windows AzureでのVMの作成と構成の検証

行こう！

Windows Azureで仮想ネットワークを作成する

組織には既にWindows Azureサブスクリプションがあると思います。 サブスクリプションのオプションはここにリストされています 。 また、Windows Azureの仮想ネットワークの概念についてご存知だと思います。 そうでない場合は、MVAポータルのシステム管理者向けWindows Azureコースの3番目のモジュールで情報を要約できます。 しかし、私は主な手順についてコメントします。



そのため、Windows Azure管理ポータルに移動し、[新規]ボタンをクリックして[ ネットワーク ]セクションで新しい仮想ネットワークの作成を選択する必要があります。







仮想ネットワークに名前を付けてAFFINITY GROUPを選択します。これにより、同じWindows Azureデータセンター内にVMを配置して、ネットワークの待ち時間を短縮できます。 単一のAFFINITY GROUPがない場合、そのようなグループを作成するよう求められます。







次のページで、DNSサーバーの名前とIPアドレスを指定する必要があります。 厳密に言えば、このフィールドはオプションであり、後で入力/変更できます。 しかし、このシナリオでは、すべてのDNS情報がすでにそこにあります。 ADエンタープライズの一部としてWindows AzureのVMを使用する予定なので、ここでは、従来DNSサーバーとしても機能するドメインコントローラーの名前とIPアドレスを示します。 このネットワークで作成されたすべてのVMは、この正確なアドレスをDNSサーバーアドレスとして自動的に受け取ります。 フィールドを空白のままにすると、後で作成されたVMは名前解決にWindows Azure DNSを使用し、もちろん、そのようなマシンをドメインに含めることはできません。 技術的には、たとえばRDPを使用して特定のVMに移動し、DNSアドレスを手動で変更できますが、このページで提供されるオプションの方がはるかに便利です。 さらに、仮想マシンのTCP / IP設定を手動で変更することは一般的に推奨されないことに注意してください。 Windows Azureはこれらの設定を制御し、ユーザーがマシンに信頼できるアクセスを行えるようにします。



このページの2番目の重要なパラメーターは、 サイト間VPNの構成チェックボックスであり、注意する必要があります。







[ サイト間接続]ページで、3つのパラメーターを設定します。

• NAME-サイトの名前。任意の名前にすることができ、このページで作成する設定セットのみを識別します。
• VPNデバイスのIPアドレス -このシナリオに適用される企業のローカルネットワーク内のVPNゲートウェイの外部IPアドレス。これは、Windows Server 2012 R2マシンの外部ネットワークインターフェイス上のIPv4アドレスです。
• アドレス空間-Windows Azureからアクセスを提供するローカルネットワークまたはその部分のアドレス空間。

[ 仮想ネットワークアドレススペース]ページで、作成した仮想ネットワークの仮想アドレススペースを作成する必要があります。 クラウド内のVMは、このスペースからIPアドレスを受け取ります。 ネットワーク全体のアドレス範囲を指定したら、それをサブネットに分割する必要があります。 少なくとも2つのサブネットが必要であることを思い出させてください。それぞれVMとゲートウェイ用です。 各仮想ネットワークは、1つのゲートウェイサブネットのみを持つことができます。







「完了」ボタンをクリックして、仮想ネットワーク作成プロセスの完了を待ちます。







実際、最初の段階は完了しており、Windows Azureゲートウェイの構成に進むことができます。

Windows Azureでゲートウェイをセットアップする

ネットワークが作成されたら、それをクリックして[ ダッシュボード ]タブを表示します。







画面下部のメニューで、[ ゲートウェイの作成 ]をクリックし、[ 動的ルーティング ]を選択します。 現在、2種類のルーティングがWindows Azureでサポートされています。 静的ルーティングはユーザー定義のポリシー（アクセスリスト）に基づいており、動的ルーティングは指定されたルートとトンネルインターフェイスに基づいています（トンネルインターフェイスに到着したパケットは、VPNトンネルを介して転送されます）。 動的ルーティングの場合、それぞれ、Windows Azureでの仮想ネットワークの作成中に仮想アドレススペースとローカルアドレススペースのIP範囲が正しく設定されている場合（重複しない、複製しないなど）、Windows Azureとローカルインフラストラクチャ間でパケットを適切にルーティングする必要があります。







ルーティングタイプの選択は、ローカルインフラストラクチャ側で使用されるゲートウェイによって決まります。 「既知の互換性のあるVPNデバイス」セクションのドキュメントで、サポートされているゲートウェイと対応するルーティングタイプのリストを確認できます。



Windows Azureがゲートウェイを構成するのを待つことは残っています。 このプロセスには、平均15〜20分かかります。







ページの最後に、Windows Azureで作成されたゲートウェイの外部IPアドレスが表示されます。このアドレスは、企業ネットワークでゲートウェイを構成するときに接続エンドポイントとして使用する必要があります。







Windows Server 2012 / R2のRRASサービスを含む特定のゲートウェイモデル（VPNデバイス）の場合、Windows Azureは、VPNデバイスで実行する必要があるスクリプトを生成できます。それにより、Windows Azureでトンネルを作成するようにこのデバイスを構成します。 このようなスクリプトを読み込むには、 MANAGE KEYを押してトンネル認証に使用されるキーを作成する必要があります







次に、ページの右側にある[ VPNデバイススクリプトのダウンロード ]リンクをクリックします。



開いたウィンドウで、ゲートウェイの製造元、プラットフォーム、およびオペレーティングシステムを選択し、スクリプトをロードします。







次に、結果のスクリプトをVPNデバイスに転送して、構成を実行する必要があります。

Windows Server 2012 R2をS2Sゲートウェイとして構成する

前の手順で取得したスクリプトに、仮想ネットワークのアドレススペースとWindows Azureゲートウェイの外部アドレスの正しい値が含まれていることを確認する必要があります。 これらの値は、上記のスクリプトフラグメントで強調表示されています。

# Install RRAS role Import-Module ServerManager Install-WindowsFeature RemoteAccess -IncludeManagementTools Add-WindowsFeature -name Routing -IncludeManagementTools # !!! NOTE: A reboot of the machine might be required here after which the script can be executed again. # Install S2S VPN Import-Module RemoteAccess Install-RemoteAccess -VpnType VpnS2S # Add and configure S2S VPN interface Add-VpnS2SInterface -Protocol IKEv2 -AuthenticationMethod PSKOnly -NumberOfTries 3 -ResponderAuthenticationMethod PSKOnly -Name 137.116.214.169 -Destination 137.116.214.169 -IPv4Subnet @("10.50.0.0/16:100") -SharedSecret 0pCpWdVuzaJuZtJpQq8TbtUAQWk7PtOk Set-VpnServerIPsecConfiguration -EncryptionType MaximumEncryption # Set S2S VPN connection to be persistent by editing the router.pbk file (required admin priveleges) Set-PrivateProfileString $env:windir\System32\ras\router.pbk "137.116.214.169" "IdleDisconnectSeconds" "0" Set-PrivateProfileString $env:windir\System32\ras\router.pbk "137.116.214.169" "RedialOnLinkFailure" "1" # Restart the RRAS service Restart-Service RemoteAccess # Dial-in to Azure gateway (optional) #Connect-VpnS2SInterface -Name 137.116.214.169
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

すべてが正しければ、ゲートウェイとして機能するWindows Server 2012 R2を搭載したマシンでこのスクリプトを実行するだけです。 上記は断片に過ぎないことを強調します。 もちろん、管理者権限を持つアカウントでスクリプト全体を実行する必要があります。 たとえば、これはPowerShell ISEで実行できます。







次のスニペットは、スクリプトがルーティングとリモートアクセスサービス（RRAS）をインストールおよび構成することを示しています。 成功したスクリプトの後、いくつかのRRASチンキがどのように見えるか見てみましょう。



まず、[ ネットワークインターフェイス]セクションで、Windows Azureのゲートウェイの外部IPアドレスに対応する名前のインターフェイスを確認できます。このインターフェイスの状態は[ 接続済み]である必要があります。 そうでない場合は、右クリックして、コンテキストメニューから[ 接続 ]を選択します。







理解しているように、トンネルを構築するために使用されるこのインターフェイスのプロパティには、Windows AzureゲートウェイのIPアドレスがあります。







また、[ セキュリティ ]タブでは、使用されているプロトコル（IKEv2）とWindows Azureで生成されたキーも表示されます。







さらに、 静的ルートセクションに静的ルートが表示され、Windows Azure仮想ネットワークに属する受信者アドレスを持つすべてのパケットがトンネルを介して転送されます。







RRASサーバー自体は、そのプロパティを見るとわかるように、ルーターとして構成されています。







上記の情報を使用して、何らかの理由でスクリプトが失敗した場合、RRASサービスを手動で構成できます。



すべてが正常な場合、Windows Azureで作成された仮想ネットワークの[ ダッシュボード ]タブに戻ると、 次のように表示されます。







または、ページの下部にある[接続]ボタンをクリックすると、そのようになります。

Windows AzureでのVMの作成と構成の検証

トンネルが作成されたので、構成を確認するために残ります。



これを行うには、Windows AzureでVMを作成し、ADローカルインフラストラクチャでこのVMを有効にしてみます。 手順はかなり標準的です。[ 仮想マシン ]セクションで[ 新規 ]をクリックし、[ ギャラリーから]を選択します。







ゲストOSとして、たとえば、Windows Server 2012を選択します。







VM名、管理者ログインおよびパスワードを設定し、







マシンが以前に作成された仮想ネットワークに接続されることを確認します。







最後のページでは、すべてを変更しません。







VMの起動後、RDPを介してVMに接続し、IP設定を確認できます。 この場合、ドメインコントローラーのアドレス（192.168.3.200）がDNSサーバーのアドレスとして指定されている間、VMが仮想ネットワークのアドレススペースからアドレス10.50.1.4を受信したことは明らかです。







もちろんファイアウォールがICMPを許可していない限り、ドメインコントローラーで名前解決とpingを確認します。







通信は構成されますが、ドメインにVMを含めるだけです。これは最も一般的な手順であり、ここでは詳しく説明しません。



そのため、すべての段階を経て、ローカルインフラストラクチャがWindows Azureのネットワークセグメントによって拡張されました。 このセグメントでは、追加のサブネットを作成し、必要な構成のVMを起動し、必要なサービスをそれらに転送し、監視を構成し、この方法でクラウドリソースを使用してIT部門が直面するタスクを解決できます。



必要に応じて上記の手順を再現できるように、設定の十分に詳細な説明を提供しました。 前述のように、Windows Azure Webサイトでは、さまざまなタイプのVPNゲートウェイ用のスクリプトを見つけることができます。 ただし、デバイスがこのリストにない場合でも、ゲートウェイを構成できます。作業のロジックと、Windows Azureで使用されているプロトコルと認証メカニズムを理解しています。 一般的に、テクノロジーを学ぶ最良の方法は自分で試してみることです。 :)



素材がお役に立てば幸いです！