Microsoft Azureインスタンス⇔AWSのインスタンスのVPN接続

【Microsoft Azureインスタンス⇔AWSのインスタンスのVPN接続】

 

本記事を拝見いただき、ありがとうございます。

サイオステクノロジーの山田です。

 

今回はMicrosoft AzureのVPNゲートウェイの機能を用いての

「Microsoft Azureインスタンス⇔AWSのインスタンスのVPN接続」に挑戦します。

 

システム構成は以下の通りです。

※VPN接続後にActiveDirectoryとAzureADのアカウント連携作業が必要なのですが、

そちらは後日の記事にて紹介させていただきます。

 

%e6%a7%8b%e6%88%90%e5%9b%b3

 

上記を実現するための手順を、以下に紹介させていただきます。

 

RRASインスタンスの作成

 

AWSを利用する為、以下のURLへ遷移しサインアップします。

https://aws.amazon.com/jp/

AWSマネジメントコンソールより、「EC2」を選択します。

image9

画面左部の「インスタンス」を押下します。

image10

「インスタンスの作成」を押下します

image11

Amazonマシンイメージ(AMI)選択

1) 「WindowsServer2012 R2 Base」を選択します。

image12インスタンスタイプ選択

1) 環境に応じたインスタンスタイプを任意で選択ください。

image13

 

インスタンスの詳細の設定

1) 「新しいVPCの作成」を押下します。

image14

2) 別のウィンドウが表示されますので、「VPCの作成」を押下します。

image16

3) 必要な情報を入力します。

ネームタグ 任意の名前にしてください
CIDRブロック 環境に合わせてご設定ください

※今回は10.0.0.0/16とします。

テナンシー 「デフォルト」としてください

4) 「作成」を押下します。

⇒VPCが作成されました。

image16

 

5) 「新しいサブネットの作成」を押下します。

image17

6) 別のウィンドウが表示されますので、「サブネットの作成」を押下します。

image18

7) 必要な情報を入力します。

ネームタグ 任意の名前にしてください
VPC 先ほど作成したVPCを選択してください
アベイラビリティゾーン デフォルトのままとしてください
CIDRブロック VPCで設定したCIDRの範囲内で設定します。
※今回はVPCで10.0.0.0/16とした為、10.0.0.0/24とします

8) 「作成」を押下します。

image19

⇒サブネットが作成されました。

image20

9) 以下を確認し、「自動割り当てパブリックIP」を有効化します。

ネットワーク 作成したVPCとなっていること
サブネット 作成したサブネットとなっていること

image21

ストレージの追加

1) 「サイズ」及び「ボリュームタイプ」を運用方針に沿って設定ください。

(こちらの例では「サイズ=30GiB」「ボリュームタイプ=汎用SSD(GP2)」と設定しております)

image22

インスタンスのタグ付け

1) インスタンスのタグ(インスタンス名)を入力します。

(例では「RRAS」と致します。)

image23

セキュリティグループの設定

1) 「新しいセキュリティグループを作成します。」を押下します。 2) 「送信元」「IPアドレス」を入力し、セキュリティグループを作成します。

以下の例では、送信元=「任意の場所 0.0.0.0」となっておりますが、こちらは運用方針に沿って設定ください。

image24

インスタンスの作成の確認

1) このまま「作成」を押下してください。

image25

2) 「既存のキーペアを選択するか、新しいキーペアを作成します。」画面にて「新しいキーペアの作成」を選択します。

image26

3) 任意のキーペア名を入力し「インスタンスの作成」を押下します。

⇒インスタンスが作成されました。

image27

固定IPの割りあて

1) 画面左部の「Elastic IP」を押下します。

2) 「新しいアドレスの割り当て」を押下します。

image28

3) 「関連付ける」を押下します。

image29

4) 作成されたIPアドレスを選択し、「アドレスの関連付け」を押下します。

image30

5) 「インスタンス項目」は先ほど作成したRRASインスタンスを選択してください。

image31

6) 「プライベートIPアドレス」は、上記インスタンス選択後に自動で入力されます。

 

7) 「関連付ける」を押下します。

image32

⇒インスタンスに固定IPアドレスが割り当てられました。

image33

ゲートウェイの作成

1) AWSマネジメントコンソールから 「ネットワーキング」⇒「VPC」を選択します。

image34

 

2) 画面左部「インターネットゲートウェイの作成」を押下します。 3) 表示された画面にて、「ネームタグ」を任意の名前で入力してください。

image35

4) 「VPCにアタッチ」を押下します。

image36

5) 表示された画面にて、手順3で作成したVPCを選択し、「アタッチ」を押下します。

⇒「インターネットゲートウェイ」が完成となります。

 

image37

ルートテーブルの設定

1) 画面左部より「ルートテーブル」を押下します。 2) VPCを選択し、画面下部から「ルート」を選択します。 3) 送信先に「0.0.0.0/0」を追加。 4) ターゲットに先ほど作成した「インターネットゲートウェイ」のIDを入力します 5) 「保存」を押下します。

image38

 

オンプレミスActiveDirectory用インスタンス作成

⇒連携元となるActiveDirectoryを所有するインスタンスを作成します。

「WindowsServer2012 R2 Base」を選択します。

image39

 

 インスタンスタイプ選択

1) 環境に応じたインスタンスタイプを任意で選択ください。

image40

 

「ネットワーク」及び「サブネット」はRRASインスタンスと同様に設定ください。

image41

ストレージの追加

1) 「サイズ」及び「ボリュームタイプ」を運用方針に沿って設定ください。

(こちらの例では「サイズ=30GiB」「ボリュームタイプ=汎用SSD(GP2)」と設定しております)

image42

インスタンスのタグ付け

1) インスタンスのタグ(インスタンス名)を入力します。

(例では「オンプレミスAD」と致します。)

image43

セキュリティグループの設定

1) RRASインスタンスと同様のグループを選択いたします。

image44

インスタンスの作成の確認

1) このまま「作成」を押下してください

image45

 

ここまででAWS側の準備は完了です。

 

Office365のユーザ情報とAzureADの連携

1) Azureポータルを利用する為、以下のURLに遷移します。

https://manage.windowsazure.com

2) 画面下部より「APP SERVICES」⇒「ACTIVE DIRECTORY」⇒「ディレクトリ」⇒「カスタム作成」を押下します。

image46

 

3) 「既定のディレクトリ」を選択します 4) 「サインアウトする準備が出来ました」をチェックします。

image47

5) 画面が切り替わりますので、ユーザ情報を入力し続行します。

image48

6) 「続行」を押下します。

image49

7) 「今すぐサインアウト」を押下します。

image50

8) 再度ログインを行います。

image51

⇒Office365のADが利用可能となりました。

 

image52

オンプレミスのADのドメインをAzureADに登録

1) Azureポータル左のメニューより、「ActiveDirectory」を選択します。 2) 先ほど連携したディレクトリを選びます。

image53

 

3) 「ドメイン」タブに移動し、画面下部の「追加」を押下します。 4) 「ドメイン名」にて、VPCで使用するドメイン名を入力します

今回は「ems.siostest02.com」と致します。

image54

5) 「追加」を押下します。

image55

⇒ドメインが追加されました。

image56

 

 

オンプレミスADインスタンスへADを導入

オンプレミスADインスタンスへリモートデスクトップ接続

1) RRASインスタンスを選択し、接続を押下します。

image57

2) 「リモートデスクトップファイルのダウンロード」を押下し、ファイルを取得します。

 

3) 「パスワードの取得」を押下します。

image58

4) 「ファイルを選択」を押下し、キーペアのファイルを選択します。

image59

5) 「パスワードの暗号化」を押下します。

⇒パスワードが表示されるので、次手順で使用します。

image60

6) 手順2)でダウンロードしたファイルを実行します。 7) 「接続」を押下します。

image61

8) 手順5)で表示されたパスワードを入力し、「OK」を押下します。

image62

9) 「はい」を押下します。

image63

 

ActiveDirectoryのインストール

※以下で作業しているサーバは日本語化及びタイムゾーン修正が済んでいる状態です。

こちらの記事では紹介しませんが、必要な方は設定後実施願います。

1) サーバーマネージャーより、「役割と機能の追加」を押下します。

image64

 

2) 「次へ」を押下します。

image65

3) 「次へ」を押下します。

image66

4) 「次へ」を押下します。

image67

5) 「ActiveDirectory Domain Service」を選択し、「機能を追加」を押下します。

image68

 

6) 「次へ」を押下します。

image69

7) 「次へ」を押下します。

image70

 

8) 「自動的に再起動する」をチェックします。 9) 「インストール」を押下します。

image71

10) インストールが完了しましたら、「閉じる」を押下します。

image72

image73

11) サーバマネージャーのダッシュボード右上部より、「このサーバーをドメインコントローラーに昇格する」を押下します。

image74

12) 「新しいフォレストを追加する」を選択します。 13) 「ルートドメイン名」にドメインを入力します。

→今回はDNSに登録済みの「ems.siostest02.com」を使用します。

image75

 

14) 「ディレクトリサービス復元モード(DSRM)のパスワードを入力してください」という項目へ、任意のパスワードを入力してください。

image76

15) 「次へ」を押下します。

image77

16) 「NETBIOSドメイン名」項目へNETBIOSドメイン名を入力します。

→こちらの項目は自動で出力される為、特に必要がなければ変更しないでください。

17) 「次へ」を押下します。

image78

18) 「次へ」を押下します。

image79

19) 「インストール」を押下します。

image80

→インストール後、サーバが自動で再起動されますで再度接続してください。

image81

 

 

ドメイン変更確認

1) スタート画面より、「コントロールパネル」を押下します。

image82

2) 「システムとセキュリティ」を押下します。

image83

3) 「システム」を押下します。

→「ドメイン」が上記手順で設定したものとなっていることを確認します。

image84

image85

 

AzureADとの同期のため、セキュリティ解除

1) 「システムとセキュリティ」より、「Windowsファイアウォール」を押下します。

image86

2) 「Windowsファイアウォールの有効化または無効化」を押下します。

image87

3) 「ドメイン・プライベート・パブリックネットワークの設定」全て対して、「Windowsファイアウォールを無効にする」を選択します。 4) 「OK」を押下します。

image88

 

検証のためのテストユーザ作成

1) サーバーマネージャーより、「ツール」⇒「ActiveDirectory ユーザとコンピューター」を押下します。

image89

 

2) 「Users」項目にて右クリック、「新規作成」⇒「ユーザー」を押下します。

image90

 

3) ユーザ情報を入力します。 4) 「次へ」を押下します。

image91

5) パスワードを決めて、入力します。 6) 「次へ」を押下します。

image92

7) 「完了」を押下します。

image93

→ユーザが作成されました。

image94

 

オンプレミスADとAzureADの連携

1) 以下にアクセスします。

https://manage.windowsazure.com

image95

2) 画面左下部の「新規」を押下します。 3) 「ネットワークサービス」⇒「VIRTUAL NETWORK」⇒「カスタム作成」を押下します。

image97

「仮想ネットワークの詳細」画面の操作

4) [名前]に任意の名前を入力します 5) [リージョン]に日本(東)を選択します。 6) 「→」を押下します。

image98

 

DNSサーバ及びVPN接続」画面の操作

7) 「DNSサーバー」:オンプレミスActiveDirectoryのドメイン名を入力します。

→以下の例では、「ems.siostest02.com」と入力します。

8) 「IPアドレス」:オンプレミスActiveDirectoryのプライベートIPアドレスを入力します。

→以下の例では、「10.0.0.5」と入力します。

9) 「サイト間VPNの構成」をチェックします。 10) 「→」を押下します。

image99

 

 

11) 「サイト間接続」画面の操作 12) 「名前」に任意のローカルネットワーク名を入力します。 13) 「VPNデバイスのIPアドレス」にRRASインスタンスのグローバルIP「52.196.31.214」と入力します。 14) アドレス空間には手順3)で作成したCIDRブロックの情報を入力する

→以下の例では「開始IP:10.0.1.0」 「CIDR:/16」を指定する

15) 「アドレス空間の追加」を押下します。 16) 「→」を押下します。

image100

 

「仮想ネットワークアドレス空間」画面の操作

17) 「ゲートウェイサブネットに追加」を押下する。

→ゲートウェイが追加されました。

18) 「」を押下します。

image101

 

→作成が開始されました。

19) 状態が作成済みとなったら、仮想ネットワーク名「EMS_NW」を選択します

image103

20) ダッシュボードを押下します。

image104

 

 

21) 画面中央下部の「ゲートウェイの作成」⇒「動的ルーティング」を押下します。

image105

 

22) 「はい」を押下します。

image106

→作成完了です。

23) 画面右部より、「VPN デバイス スクリプトのダウンロード」を押下します。

image107

image108

ベンダー Microsoft Corporation
プラットフォーム RRAS
オペレーティングシステム Windows Server 2012 R2

image109

24) RRASインスタンスに接続し、ActiveDirectoryのドメインに参加します。

image110

25) 「ネットワークとインターネット」を押下します。

image111

26) 「ネットワークと共有センター」を押下します。

image112

27) 「アダプターの設定の変更」を押下します。

image113

 

28) 「プロパティ」を押下します。

image114

29) 「インターネットプロトコルバージョン4」を選択し、「プロパティ」を押下します。

image115

30) 「次のDNSサーバーのアドレスを使う」をチェックし、DNSのIPアドレスを入れます。

(ここで入力するIPアドレスはオンプレミスのADと同じ10.0.0.5とします。)

image116

31) 「システムとセキュリティ」より、「システム」を押下します。

image117

32) 「設定の変更」を押下します。

image118

33) 「変更」を押下します。

image119

34) 「ドメイン」をチェックし、ドメイン名を入力します。

(今回はems.siostest02.comとします。)

image120

35) 接続情報を入力し、「OK」を押下します。

image121

⇒ドメインに参加しました。

image122

36) 再起動致します。

image123

37) RRASインスタンスへログインし、ドメイン名が変更を確認致します。

image124

38) スタート画面より、「コントロールパネル」を押下します。

image125

39) 「システムとセキュリティ」を押下します。 40) 「システムとセキュリティ」より、「Windowsファイアウォール」を押下します。

image126

41) 「Windowsファイアウォールの有効化または無効化」を押下します。

image127

42) 「プライベート・パブリックネットワークの設定」に対して、「Windowsファイアウォールを無効にする」を選択します。 43) 「OK」を押下します。

image128

44) スタート画面より、「WindowsPowerShell」を押下します。

image129

45) 以下を入力します。

Set-ExecutionPolicy RemoteSigned

46) 「Y(yes)」を入力します。

image130

47) 手順21)でダウンロードしたファイルをアップロードします。

image131

48) ファイル名変更します。

変更前:VpnDeviceScript.cfg

変更後:VpnDeviceScript.ps1

image132

 

49)「PowerShellで実行」を押下します。

→リモートアクセス機能のインストールが開始されます。

image133

image134

image135

50) サーバーマネージャより、「ルーティングとリモートアクセス」を押下します。

image136

51) ネットワークインターフェース項目にて、種類がデマンドダイヤルとなっている列を確認します。

⇒接続状態が「接続」となっていればOKです。

image137

 

52) 一分ほど時間を置き、「Azure仮想ネットワーク」-「ダッシュボード画面」を確認

⇒送受信データが0KBより大きくなっていれば完了です。

image138

AWSセキュリティ変更

1) AWSマネジメントコンソールより、「EC2」を選択します。

2) 画面左部より、「ネットワークインターフェース」を押下します。

3) ネットワークインターフェースを選択し、「アクション」⇒送信元/送信先の変更チェックを押下します。

image140

4) 「無効」をチェックし、「保存」を押下します。

image143

5) もう一方のネットワークインターフェースにも同様の対応を行います。

 

AWS⇒Azureへのルーティングテーブルを設定する。

1) AWSマネジメントコンソールより、「VPC」を押下します。

image144

2) 画面左部の「ルートテーブル」を押下します。

image145

3) 手順7にて作成した、VPC(10.0.0.0/16)を選択します。

image146

4) 画面下部から「ルート」を選択し、「編集」を押下します。

image147

5) 「ステータス」がブラックホールのターゲットを選択し、RRASインスタンスと選択します。 6) 「保存」を押下します。

image148

⇒アクティブとなったことを確認し、作業完了です。

Be the first to comment

コメント投稿

Your email address will not be published.


*