【Microsoft Azureインスタンス⇔AWSのインスタンスのVPN接続】
本記事を拝見いただき、ありがとうございます。
サイオステクノロジーの山田です。
今回はMicrosoft AzureのVPNゲートウェイの機能を用いての
「Microsoft Azureインスタンス⇔AWSのインスタンスのVPN接続」に挑戦します。
システム構成は以下の通りです。
※VPN接続後にActiveDirectoryとAzureADのアカウント連携作業が必要なのですが、
そちらは後日の記事にて紹介させていただきます。
上記を実現するための手順を、以下に紹介させていただきます。
RRASインスタンスの作成
AWSを利用する為、以下のURLへ遷移しサインアップします。
| https://aws.amazon.com/jp/ |
AWSマネジメントコンソールより、「EC2」を選択します。
画面左部の「インスタンス」を押下します。
「インスタンスの作成」を押下します
Amazonマシンイメージ(AMI)選択
1) 「WindowsServer2012 R2 Base」を選択します。
インスタンスタイプ選択
1) 環境に応じたインスタンスタイプを任意で選択ください。
インスタンスの詳細の設定
1) 「新しいVPCの作成」を押下します。
2) 別のウィンドウが表示されますので、「VPCの作成」を押下します。
3) 必要な情報を入力します。
| ネームタグ | 任意の名前にしてください |
| CIDRブロック | 環境に合わせてご設定ください
※今回は10.0.0.0/16とします。 |
| テナンシー | 「デフォルト」としてください |
4) 「作成」を押下します。
⇒VPCが作成されました。
5) 「新しいサブネットの作成」を押下します。
6) 別のウィンドウが表示されますので、「サブネットの作成」を押下します。
7) 必要な情報を入力します。
| ネームタグ | 任意の名前にしてください |
| VPC | 先ほど作成したVPCを選択してください |
| アベイラビリティゾーン | デフォルトのままとしてください |
| CIDRブロック | VPCで設定したCIDRの範囲内で設定します。 ※今回はVPCで10.0.0.0/16とした為、10.0.0.0/24とします |
8) 「作成」を押下します。
⇒サブネットが作成されました。
9) 以下を確認し、「自動割り当てパブリックIP」を有効化します。
| ネットワーク | 作成したVPCとなっていること |
| サブネット | 作成したサブネットとなっていること |
ストレージの追加
1) 「サイズ」及び「ボリュームタイプ」を運用方針に沿って設定ください。
(こちらの例では「サイズ=30GiB」「ボリュームタイプ=汎用SSD(GP2)」と設定しております)
インスタンスのタグ付け
1) インスタンスのタグ(インスタンス名)を入力します。
(例では「RRAS」と致します。)
セキュリティグループの設定
1) 「新しいセキュリティグループを作成します。」を押下します。 2) 「送信元」「IPアドレス」を入力し、セキュリティグループを作成します。
※以下の例では、送信元=「任意の場所 0.0.0.0」となっておりますが、こちらは運用方針に沿って設定ください。
インスタンスの作成の確認
1) このまま「作成」を押下してください。
2) 「既存のキーペアを選択するか、新しいキーペアを作成します。」画面にて「新しいキーペアの作成」を選択します。
3) 任意のキーペア名を入力し「インスタンスの作成」を押下します。
⇒インスタンスが作成されました。
固定IPの割りあて
1) 画面左部の「Elastic IP」を押下します。
2) 「新しいアドレスの割り当て」を押下します。
3) 「関連付ける」を押下します。
4) 作成されたIPアドレスを選択し、「アドレスの関連付け」を押下します。
5) 「インスタンス項目」は先ほど作成したRRASインスタンスを選択してください。
6) 「プライベートIPアドレス」は、上記インスタンス選択後に自動で入力されます。
7) 「関連付ける」を押下します。
⇒インスタンスに固定IPアドレスが割り当てられました。
ゲートウェイの作成
1) AWSマネジメントコンソールから 「ネットワーキング」⇒「VPC」を選択します。
2) 画面左部「インターネットゲートウェイの作成」を押下します。 3) 表示された画面にて、「ネームタグ」を任意の名前で入力してください。
4) 「VPCにアタッチ」を押下します。
5) 表示された画面にて、手順3で作成したVPCを選択し、「アタッチ」を押下します。
⇒「インターネットゲートウェイ」が完成となります。
ルートテーブルの設定
1) 画面左部より「ルートテーブル」を押下します。 2) VPCを選択し、画面下部から「ルート」を選択します。 3) 送信先に「0.0.0.0/0」を追加。 4) ターゲットに先ほど作成した「インターネットゲートウェイ」のIDを入力します 5) 「保存」を押下します。
オンプレミスActiveDirectory用インスタンス作成
⇒連携元となるActiveDirectoryを所有するインスタンスを作成します。
「WindowsServer2012 R2 Base」を選択します。
インスタンスタイプ選択
1) 環境に応じたインスタンスタイプを任意で選択ください。
「ネットワーク」及び「サブネット」はRRASインスタンスと同様に設定ください。
ストレージの追加
1) 「サイズ」及び「ボリュームタイプ」を運用方針に沿って設定ください。
(こちらの例では「サイズ=30GiB」「ボリュームタイプ=汎用SSD(GP2)」と設定しております)
インスタンスのタグ付け
1) インスタンスのタグ(インスタンス名)を入力します。
(例では「オンプレミスAD」と致します。)
セキュリティグループの設定
1) RRASインスタンスと同様のグループを選択いたします。
インスタンスの作成の確認
1) このまま「作成」を押下してください
ここまででAWS側の準備は完了です。
AD連携
Office365のユーザ情報とAzureADの連携
1) Azureポータルを利用する為、以下のURLに遷移します。
| https://manage.windowsazure.com |
2) 画面下部より「APP SERVICES」⇒「ACTIVE DIRECTORY」⇒「ディレクトリ」⇒「カスタム作成」を押下します。
3) 「既定のディレクトリ」を選択します 4) 「サインアウトする準備が出来ました」をチェックします。
5) 画面が切り替わりますので、ユーザ情報を入力し続行します。
6) 「続行」を押下します。
7) 「今すぐサインアウト」を押下します。
8) 再度ログインを行います。
⇒Office365のADが利用可能となりました。
オンプレミスのADのドメインをAzureADに登録
1) Azureポータル左のメニューより、「ActiveDirectory」を選択します。 2) 先ほど連携したディレクトリを選びます。
3) 「ドメイン」タブに移動し、画面下部の「追加」を押下します。 4) 「ドメイン名」にて、VPCで使用するドメイン名を入力します
今回は「ems.siostest02.com」と致します。
5) 「追加」を押下します。
⇒ドメインが追加されました。
オンプレミスADインスタンスへADを導入
オンプレミスADインスタンスへリモートデスクトップ接続
1) RRASインスタンスを選択し、接続を押下します。
2) 「リモートデスクトップファイルのダウンロード」を押下し、ファイルを取得します。
3) 「パスワードの取得」を押下します。
4) 「ファイルを選択」を押下し、キーペアのファイルを選択します。
5) 「パスワードの暗号化」を押下します。
⇒パスワードが表示されるので、次手順で使用します。
6) 手順2)でダウンロードしたファイルを実行します。 7) 「接続」を押下します。
8) 手順5)で表示されたパスワードを入力し、「OK」を押下します。
9) 「はい」を押下します。
ActiveDirectoryのインストール
※以下で作業しているサーバは日本語化及びタイムゾーン修正が済んでいる状態です。
こちらの記事では紹介しませんが、必要な方は設定後実施願います。
1) サーバーマネージャーより、「役割と機能の追加」を押下します。
2) 「次へ」を押下します。
3) 「次へ」を押下します。
4) 「次へ」を押下します。
5) 「ActiveDirectory Domain Service」を選択し、「機能を追加」を押下します。
6) 「次へ」を押下します。
7) 「次へ」を押下します。
8) 「自動的に再起動する」をチェックします。 9) 「インストール」を押下します。
10) インストールが完了しましたら、「閉じる」を押下します。
11) サーバマネージャーのダッシュボード右上部より、「このサーバーをドメインコントローラーに昇格する」を押下します。
12) 「新しいフォレストを追加する」を選択します。 13) 「ルートドメイン名」にドメインを入力します。
→今回はDNSに登録済みの「ems.siostest02.com」を使用します。
14) 「ディレクトリサービス復元モード(DSRM)のパスワードを入力してください」という項目へ、任意のパスワードを入力してください。
15) 「次へ」を押下します。
16) 「NETBIOSドメイン名」項目へNETBIOSドメイン名を入力します。
→こちらの項目は自動で出力される為、特に必要がなければ変更しないでください。
17) 「次へ」を押下します。
18) 「次へ」を押下します。
19) 「インストール」を押下します。
→インストール後、サーバが自動で再起動されますで再度接続してください。
ドメイン変更確認
1) スタート画面より、「コントロールパネル」を押下します。
2) 「システムとセキュリティ」を押下します。
3) 「システム」を押下します。
→「ドメイン」が上記手順で設定したものとなっていることを確認します。
AzureADとの同期のため、セキュリティ解除
1) 「システムとセキュリティ」より、「Windowsファイアウォール」を押下します。
2) 「Windowsファイアウォールの有効化または無効化」を押下します。
3) 「ドメイン・プライベート・パブリックネットワークの設定」全て対して、「Windowsファイアウォールを無効にする」を選択します。 4) 「OK」を押下します。
検証のためのテストユーザ作成
1) サーバーマネージャーより、「ツール」⇒「ActiveDirectory ユーザとコンピューター」を押下します。
2) 「Users」項目にて右クリック、「新規作成」⇒「ユーザー」を押下します。
3) ユーザ情報を入力します。 4) 「次へ」を押下します。
5) パスワードを決めて、入力します。 6) 「次へ」を押下します。
7) 「完了」を押下します。
→ユーザが作成されました。
オンプレミスADとAzureADの連携
1) 以下にアクセスします。
| https://manage.windowsazure.com |
2) 画面左下部の「新規」を押下します。 3) 「ネットワークサービス」⇒「VIRTUAL NETWORK」⇒「カスタム作成」を押下します。
「仮想ネットワークの詳細」画面の操作
4) [名前]に任意の名前を入力します 5) [リージョン]に日本(東)を選択します。 6) 「→」を押下します。
「DNSサーバ及びVPN接続」画面の操作
7) 「DNSサーバー」:オンプレミスActiveDirectoryのドメイン名を入力します。
→以下の例では、「ems.siostest02.com」と入力します。
8) 「IPアドレス」:オンプレミスActiveDirectoryのプライベートIPアドレスを入力します。
→以下の例では、「10.0.0.5」と入力します。
9) 「サイト間VPNの構成」をチェックします。 10) 「→」を押下します。
11) 「サイト間接続」画面の操作 12) 「名前」に任意のローカルネットワーク名を入力します。 13) 「VPNデバイスのIPアドレス」にRRASインスタンスのグローバルIP「52.196.31.214」と入力します。 14) アドレス空間には手順3)で作成したCIDRブロックの情報を入力する
→以下の例では「開始IP:10.0.1.0」 「CIDR:/16」を指定する
15) 「アドレス空間の追加」を押下します。 16) 「→」を押下します。
「仮想ネットワークアドレス空間」画面の操作
17) 「ゲートウェイサブネットに追加」を押下する。
→ゲートウェイが追加されました。
18) 「」を押下します。
→作成が開始されました。
19) 状態が作成済みとなったら、仮想ネットワーク名「EMS_NW」を選択します
20) ダッシュボードを押下します。
21) 画面中央下部の「ゲートウェイの作成」⇒「動的ルーティング」を押下します。
22) 「はい」を押下します。
→作成完了です。
23) 画面右部より、「VPN デバイス スクリプトのダウンロード」を押下します。
| ベンダー | Microsoft Corporation |
| プラットフォーム | RRAS |
| オペレーティングシステム | Windows Server 2012 R2 |
24) RRASインスタンスに接続し、ActiveDirectoryのドメインに参加します。
25) 「ネットワークとインターネット」を押下します。
26) 「ネットワークと共有センター」を押下します。
27) 「アダプターの設定の変更」を押下します。
28) 「プロパティ」を押下します。
29) 「インターネットプロトコルバージョン4」を選択し、「プロパティ」を押下します。
30) 「次のDNSサーバーのアドレスを使う」をチェックし、DNSのIPアドレスを入れます。
(ここで入力するIPアドレスはオンプレミスのADと同じ10.0.0.5とします。)
31) 「システムとセキュリティ」より、「システム」を押下します。
32) 「設定の変更」を押下します。
33) 「変更」を押下します。
34) 「ドメイン」をチェックし、ドメイン名を入力します。
(今回はems.siostest02.comとします。)
35) 接続情報を入力し、「OK」を押下します。
⇒ドメインに参加しました。
36) 再起動致します。
37) RRASインスタンスへログインし、ドメイン名が変更を確認致します。
38) スタート画面より、「コントロールパネル」を押下します。
39) 「システムとセキュリティ」を押下します。 40) 「システムとセキュリティ」より、「Windowsファイアウォール」を押下します。
41) 「Windowsファイアウォールの有効化または無効化」を押下します。
42) 「プライベート・パブリックネットワークの設定」に対して、「Windowsファイアウォールを無効にする」を選択します。 43) 「OK」を押下します。
44) スタート画面より、「WindowsPowerShell」を押下します。
45) 以下を入力します。
Set-ExecutionPolicy RemoteSigned
46) 「Y(yes)」を入力します。
47) 手順21)でダウンロードしたファイルをアップロードします。
48) ファイル名変更します。
変更前:VpnDeviceScript.cfg
変更後:VpnDeviceScript.ps1
49)「PowerShellで実行」を押下します。
→リモートアクセス機能のインストールが開始されます。
50) サーバーマネージャより、「ルーティングとリモートアクセス」を押下します。
51) ネットワークインターフェース項目にて、種類がデマンドダイヤルとなっている列を確認します。
⇒接続状態が「接続」となっていればOKです。
52) 一分ほど時間を置き、「Azure仮想ネットワーク」-「ダッシュボード画面」を確認
⇒送受信データが0KBより大きくなっていれば完了です。
AWSセキュリティ変更
1) AWSマネジメントコンソールより、「EC2」を選択します。
2) 画面左部より、「ネットワークインターフェース」を押下します。
3) ネットワークインターフェースを選択し、「アクション」⇒送信元/送信先の変更チェックを押下します。
4) 「無効」をチェックし、「保存」を押下します。
5) もう一方のネットワークインターフェースにも同様の対応を行います。
AWS⇒Azureへのルーティングテーブルを設定する。
1) AWSマネジメントコンソールより、「VPC」を押下します。
2) 画面左部の「ルートテーブル」を押下します。
3) 手順7にて作成した、VPC(10.0.0.0/16)を選択します。
4) 画面下部から「ルート」を選択し、「編集」を押下します。
5) 「ステータス」がブラックホールのターゲットを選択し、RRASインスタンスと選択します。 6) 「保存」を押下します。
⇒アクティブとなったことを確認し、作業完了です。
