2014/9/24 追記
S2S(Site to Site) 接続については下記を参照下さい。
ゼロから始める Azure -自社サイト間VPN(S2S)接続
先月、Windows Azureの日本リージョンが開設されました。
これでようやく、遅延をあまり気にすることなくWindows Azureを利用することができそうです。
また、東日本と西日本の2か所のリージョンがありますので、
大阪に拠点があるお客様も遅延が少ない環境でクラウドを利用できます。
さて、クラウドを利用するにあたって、やっぱり気になるのがネットワークセキュリティです。
AWSだと、Virtual Private GatewayにVPN接続しますが、
その場合は拠点間VPN接続しかできません。
しかし、Windows Azureの仮想ネットワークゲートウェイは、
拠点間接続はもちろん、Point to Site VPN(PCからのリモートアクセス)にも対応しています。
というわけで、今回はPoint to Site VPN接続の流れをご紹介します。
まずは、Windows Azure側に仮想ネットワークをカスタム作成します。
リージョンは東日本を選び、アフィニティグループを作成します。
ここで、ポイント対サイトVPNの構成にチェックを入れます。
仮想ネットワークのアドレス空間を定義します。これで、仮想ネットワークの作成は完了です。
次に、仮想ネットワークにゲートウェイを作成します。
仮想ネットワークのダッシュボードの下の"ゲートウェイの作成"を押します。
ゲートウェイの作成が開始すると、このような状態になります。
しばらくすると、ゲートウェイ作成が完了します。
クライアントのところに、"ルート証明書がアップロードされていません。"と出ていますので、
これからルート証明書のアップロードをします。
まずはルート証明書を作成します。
Preview版では、自己署名ルート証明書のみがサポートされていますので、
今回は、自分のPCでルート証明書を作成します。
まずは、Windows SDKをPCにダウンロード&インストールします。
※インストールの流れは、はNextボタンを押していくだけなので、ここでは省略します。
Windows SDKのインストールが完了したら、Windows SDK Command Promptを管理者として実行します。
まずはルート証明書を作成します。RTJTestRootCAのところは、任意の名前を指定します。
次に、クライアント証明書を作成します。
certmgr.mscを実行します。
上で作成した証明書は、個人の中に入っています。
まずは、ルート証明書をエクスポートします。秘密キーはエクスポートしないで、.cerとして保存します。
エクスポートしたルート証明書をWindows Azureにアップロードします。
仮想ネットワークの証明書の管理画面で、アップロードのリンクをクリックします。
エクスポートしたルート証明書を選択して、完了をクリックします。
ルート証明書の状態が、"作成済み"になっていればOKです。
次に、クライアント証明書をエクスポートします。
エクスポートする際に、秘密キーを一緒にエクスポートして.pfxファイルとして保存します。
エクスポートしたクライアント証明書を、リモートアクセスするPCに配布し、
ダブルクリックしてインポートします。
インポートする際、エクスポートした秘密キーを入力します。あとはデフォルトのまま"次へ"でOKです。
最後に、VPN接続設定をWindows Azureの管理画面からダウンロードし、保存します。
ダウンロードした.exeファイルを実行します。確認の画面が出ますので、"はい"を押します。
VPNクライアントの設定が完了したら、タスクバー右下にあるVPN接続一覧に、今回設定した名前があります。
接続ボタンを押します。
VPNクライアントが起動しますので、接続を押します。
続行を押します。
ここで、先ほどインポートしたクライアント証明書を選択し、OKを押します。
Windows Azureに接続できました!!
Windows Azureの管理画面からも見てみましょう。
クライアントのところに、接続数"1"と表示されています。
画面下のリソースのところに、この仮想ネットワークにある仮想マシンが表示されています。
この仮想マシンにリモートデスクトップできるかどうか見てみましょう。
ちゃんとプライベートIPアドレスでリモートデスクトップ接続できました!!
(画面が真っ暗ですみません…)
せっかくなので、パケットキャプチャしてみました。
SSTPでVPN接続しているので、やりとりするパケットはすべてTLS(tcp443番)です。
TLS通信は、ほぼすべてのお客様の環境で通信許可されていると思いますので、
ファイアウォールの設定変更も必要ありません。
またSSTPは、NATやProxyが間にあっても問題なく通信できますので、
ほとんどの環境で簡単にVPN接続できます。
以上、Windows AzureとのPoint to Site VPN接続の流れをご紹介しました。
Windows Azureにリモートアクセスする際の参考になれば幸いです。
- カテゴリ: 技術情報