Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
AWS と Azure 間の AWS Site-to-Site VPN 接続を、動的ルーティングを使用して構成する方法を教えてください。
AWS と Azure 間の AWS Site-to-Site VPN を、Border Gateway Protocol (BGP) を使用して構成したいと考えています。
簡単な説明
AWS と Azure 間に動的ルーティングを設定するには、カスタマーゲートウェイ、VPN ゲートウェイ、ローカルネットワークゲートウェイ、トンネル構成を、AWS、Azure の両方で作成し、構成する必要があります。その後、アクティブ/アクティブ BGP フェイルオーバーを設定し、VPN の接続状況を確認します。
解決策
注: パフォーマンスの最適化方法については、「AWS Site-to-Site VPN でパフォーマンス最適化の最善策を選択する」を参照してください。
前提条件:
- 仮想プライベートゲートウェイまたは Transit ゲートウェイに関連付けられた、Amazon Virtual Private Cloud (Amazon VPC) Classless Inter-Domain Routing (CIDR) が存在することを確認します。
- Amazon VPC の CIDR と Azure ネットワークの CIDR が重複していないことを確認します。
Azure 側に仮想ネットワークと VPN ゲートウェイを作成する
次の手順を実行します。
- Azure portal を使用して仮想ネットワークを作成します。詳細については、Microsoft のウェブサイトで「Azure 仮想ネットワークの作成」を参照してください。
- パブリック IP アドレスを持つ VPN ゲートウェイを作成します。詳細については、Microsoft のウェブサイトで「VPN ゲートウェイの作成」を参照してください。次の手順を実行します。
[リージョン] で VPN ゲートウェイをデプロイするリージョンを選択します。
[ゲートウェイタイプ] で [VPN] を選択します。
[VPN タイプ] で [ルートベース] を選択します。
[SKU] では、ワークロード、スループット、機能、SLA の要件を満たす SKU を選択します。
[仮想ネットワーク] で VPN ゲートウェイと関連付けられた仮想ネットワークを選択します (AWS 環境の VPC と同様)。
[アクティブ/アクティブモードを有効にする] で [無効] を選択し、AWS マネジメントコンソールでカスタマーゲートウェイの IP アドレスとして使用されるパブリック IP アドレスを新たに作成します。
[BGP の構成] で [有効] を選択します。
[カスタム Azure APIPA BGP の IP アドレス] で 169.254.21.2 を選択します。
注: VPN ゲートウェイに指定する ASN は、AWS マネジメントコンソールのカスタマーゲートウェイ ASN (65000) と一致する必要があります。
AWS 側でカスタマーゲートウェイと AWS Site-to-Site VPN を作成する
次の手順を実行します。
- カスタマーゲートウェイを作成します。
[BGP ASN] には独自の番号を追加することも、デフォルトオプション (65000) を使用することもできます。デフォルトを選択した場合、AWS はカスタマーゲートウェイに自律システム番号 (ASN) を付与します。
[IP アドレス] には、Azure portal で VPN ゲートウェイを構成したときの Azure の パブリック IP アドレスを入力します。詳細については、本記事内の「Azure の構成」セクションのステップ 2 を参照してください。 - AWS Site-to-Site VPN 接続を作成します。
サイト間 VPN のトンネル 1 ** 範囲の ** Inside IPv4 CIDR では、Azure の予約済み自動プライベート IP アドレス (APIPA) アドレス範囲からアドレスを選択します。APIPA のアドレス範囲は、IPv4 CIDR アドレス内のトンネルでは 169.254.21.0 から 169.254.22.255 です。
アドレス例: 169.254.21.0/30
BGP IP アドレス の例 (AWS): 169.254.21.1
ピア IP アドレスの例 (Azure): 169.254.21.2
[ターゲットゲートウェイタイプ] で仮想プライベートゲートウェイまたはトランジットゲートウェイを選択します。
[ルーティングオプション] で [動的] を選択します。 - AWS 構成ファイルをダウンロードします。
Azure 側にローカルネットワークゲートウェイを作成する
次の手順を実行します。
- Azure Portal を使用してローカルネットワークゲートウェイを作成します。詳細については、Microsoft のウェブサイトで「ローカル ネットワーク ゲートウェイの作成」を参照してください。次の手順を実行します。
[IP アドレス] には、Site-to-Site VPN の作成時に取得した Tunnel 1 の IP アドレスを入力します。この値は、AWS マネジメントコンソールから構成ファイルをダウンロードすると確認できます。
[アドレス空間] に Amazon VPC の CIDR ブロックを入力します。
[自律システム番号 (ASN)] に AWS の ASN を入力します。
[BGP ピアの IP アドレス] に AWS BGP の IP アドレスを入力します。詳細については、本記事内の「AWS を構成する」セクションのステップ 2 を参照してください。 - Azure portal で BGP を有効化したうえで、Site-to-Site VPN 接続を作成します。詳細については、Microsoft のウェブサイトで「VPN 接続の作成」を参照してください。
注: 暗号化アルゴリズムと事前共有キー (PSK) は Azure、AWS の両方で共通しています。
フェーズ 1 (IKE):
フェーズ 2 (IPSec):Encryption: AES56 Authentication: SHA256 DH Group: 14Encryption: AES256 Authentication: SHA256 DH Group: 14 _(PFS2048)_ Diffie-Hellmen Group used in Quick Mode or Phase 2 is the PFS Group specified in Azure. Lifetime: 3600s (Default on Azure portal is set to 27000s. AWS supports maximum of 3600s for IPSEC lifetime)
AWS と Azure 間の Site-to-Site VPN を使用し、アクティブ/アクティブ BGP フェイルオーバーを設定する
次の手順を実行します。
- Azure portal で VPN ゲートウェイを作成します。
[アクティブ/アクティブモード] で [有効] を選択します。この設定では、2 つの IP アドレスが取得されます。詳細については、Microsoft のウェブサイトで「VPN ゲートウェイの作成」を参照してください。 - Amazon VPC コンソールを開きます。
- [カスタマーゲートウェイ] を選択します。
- ステップ 1 で Azure portal から取得した、2 つのパブリック IP アドレスを入力し、カスタマーゲートウェイ を 2 つ作成します。
[BGP ASN] に Azure portal で設定した ASN を入力します。
[ルーティングタイプ] で [動的] を選択します。 - 仮想プライベートゲートウェイまたは Transit ゲートウェイに接続するための Site-to-Site VPN 接続を 2 つ作成します。各 VPN 接続の Tunnel 1 において、[トンネル内部の IP アドレス範囲] に次の CIDR 範囲を使用します。
Site-to-Site VPN 1: 169.254.21.0/30
Site-to-Site VPN 2: 169.254.22.0/30
注: この範囲内の最初の IP アドレス (21.1、22.1) は、Site-to-Site VPN エンドポイントに割り当てられます。2 番目のアドレス (21.2、22.2) が Azure で正しく構成されていることを確認してください。 - Azure portal を使用して Azure ローカルネットワークゲートウェイを 2 つ 作成します。IP アドレスには、AWS Site-to-Site VPN トンネルの Tunnel 1 から取得したパブリック IP アドレスを使用します。さらに、ASN が仮想プライベートゲートウェイまたは Transit ゲートウェイと一致することを確認します。詳細については、Microsoft のウェブサイトで「VPN ゲートウェイの作成」を参照してください。
- Azure portal を使用して Azure Site-to-Site VPN 接続を 2 つ作成します。各接続には、前のステップで作成したローカルネットワークゲートウェイを指す Azure VPN ゲートウェイが含まれることを確認します。
注: アクティブ/アクティブ設定で ECMP を実装するには、Transit ゲートウェイで VPN ECMP サポートが有効である必要があります。
VPN の接続ステータスを確認する
Site-to-Site VPN 構成の確立後、VPN トンネルのステータスが UP であることを確認します。
Azure portal に表示される VPN 接続のステータスが Succeeded であることを確認します。次に、接続の成功時にステータスが Connected に変化することを確認します。詳細については、「VPN 接続を検証する」を参照してください。
次に、Amazon VPC 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを作成し、AWS と Azure 間の接続を検証します。Azure 仮想マシン (VM) のプライベート IP アドレスに接続し、Site-to-Site VPN 接続が確立されたことを確認します。詳細については、Microsoft のウェブサイトで「Azure portal でサイト間 VPN 接続を作成する」を参照してください。
詳細については、「AWS Site-to-Site VPN をテストする」を参照してください。
注: Transit ゲートウェイ VPN 接続では、VPC、Site-to-Site VPN の両方に適切な Transit Gateway アタッチメントが存在することを確認してください。次に、ルート伝達を有効化します。Azure 仮想ネットワークの CIDR ルートは、BGP が確立された後のみ伝達されます。
- 言語
- 日本語
関連するコンテンツ
- 質問済み 7ヶ月前
