AWS と Microsoft Azure 間の動的ルーティングを使用してサイト間 VPN 接続を設定する方法を教えてください。

解決策

注: パフォーマンスを最適化する方法については、「AWS Site-to-Site VPN、適切なオプションを選択してパフォーマンスを最適化」を参照してください。

前提条件

接続を設定する前に、次の点を確認してください。

• Amazon Virtual Private Cloud (Amazon VPC) CIDR が仮想プライベートゲートウェイに関連付け済み、またはトランジットゲートウェイに接続済みであることを確認してください。
• Amazon VPC CIDR が Microsoft Azure ネットワーク CIDR と重複していないことを確認してください。

AWS の設定

1.    カスタマーゲートウェイを作成します。

2.    AS 番号 (ASN) を確認します。独自の番号を追加することも、デフォルトオプション (65000) を使用することもできます。デフォルトを選択すると、AWS はカスタマーゲートウェイに ASN を提供します。

3.    カスタマーゲートウェイ IP アドレスには、Microsoft Azure パブリック IP アドレスを入力します。このアドレスは、Microsoft Azure ポータルで仮想ネットワークゲートウェイを構成するときに与えられます。詳細については、この記事の「Microsoft Azure 設定」セクションの手順 2 を参照してください。

4.    AWS Site-to-Site VPN を作成します。

5.    Site-to-Site VPN のために Microsoft Azure 予約済み APIPA アドレス範囲からアドレスを選択します。これが必要なのは、Microsoft Azure 用に BGP Site-to-Site VPN をセットアップしていることと、AWS Site-to-Site VPN デバイスが BGP に APIA アドレスを使用するためです。IPv4 CIDR アドレス内のトンネルの場合、この範囲は 169.254.21.0 から 169.254.22.255 です。次の例を参照してください。

アドレスの例: 169.254.21.0/30   

BGP IP アドレス (AWS): 169.254.21.1

BGP ピア IP アドレス (Microsoft Azure): 169.254.21.2

6.    ゲートウェイには、仮装プライベートゲートウェイまたはトランジットゲートウェイのいずれかを選択してから、ルーティングオプションに、[Dynamic] (ダイナミック) を選択します。

7.    VPN ID を選択してから、[Vendor] (ベンダー) で、[Generic] (汎用) を選択します。

8.    AWS 設定ファイルをダウンロードします。

トランジットゲートウェイへの Site-to-Site VPN 接続を構築する場合は、正しい Transit Gateway アタッチメントがあることを確認してください。Amazon VPC とお使いの Site-to-Site VPN の両方でこれを実行してください。また、ルートプロパゲーションをオンにしてください。最初は、Amazon VPC ルートのみがプロパゲーションされます。Microsoft Azure 仮想ネットワーク CIDR は、BGP が確立されるまでトランジットゲートウェイのルートテーブルにプロパゲーションされません。

Microsoft Azure 設定

1.    Microsoft の Web サイトの指示に従って Microsoft Azure に仮想ネットワークを作成します。

2.    Microsoft の Web サイトの指示に従って、パブリック IP アドレスが割り当てられた仮想ネットワークゲートウェイを作成します。以下の詳細を使用してください。

**リージョン:**仮想ネットワークゲートウェイをデプロイするリージョンを選択します。

ゲートウェイタイプ: VPN

VPN タイプ: ルートベース

SKU: ワークロード、スループット、機能、SLA の要件を満たす SKU を選択してください。

[Virtual Network] (仮想ネットワーク): 仮想ネットワークは仮想ネットワークゲートウェイ (AWS 環境の VPC と同様) に関連付けられます。

[Enable active-active mode] (アクティブアクティブモードを有効にする): [Disabled] (無効) を選択します。これにより、AWS マネジメントコンソールでカスタマーゲートウェイ IP アドレスとして使用される新しいパブリック IP アドレスが作成されます。

[Configure BGP] (BGP を設定): [Enabled] (有効) を選択します。

カスタム Azure APIA BGP IP アドレス: (169.254.21.2)。

注: 仮想ネットワークゲートウェイに指定する ASN は、AWS マネジメントコンソールのカスタマーゲートウェイ ASN (65000) と同じである必要があります。

3.    Microsoft の Web サイトの指示に従って ローカルネットワークゲートウェイを作成します。以下の詳細を使用してください。

IP アドレス: AWS Site-to-Site VPN を作成したときに受け取ったトンネル 1 のパブリック IP アドレスを入力します。これは、AWS マネジメントコンソールからダウンロードした設定ファイルで確認できます。

[Address space] (アドレススペース): Amazon VPC CIDR ブロックを入力します。

[Autonomous System Number (ASN)] (AS 番号 (ASN)): AWS ASN を入力します。

**BGP ピアの IP アドレス:**AWS BGP IP を入力します (AWS 設定のステップ 5 を参照)。

4.    Microsoft の Web サイトの指示に従って、BGP がオンになっている状態で Microsoft Azure ポータルに Site-to-Site VPN を作成します。

注: 暗号化アルゴリズムと PSK は Microsoft Azure 側と AWS 側の両方で同じです。

フェーズ 1 (IKE):

    Encryption: AES56  
    Authentication: SHA256  
    DH Group: 14

フェーズ 2 (IPSec):

    Encryption: AES256  
    Authentication: SHA256  
    DH Group: 14 _(PFS2048)_ Diffie-Hellmen Group used in Quick Mode or Phase 2 is the PFS Group specified in Azure.   
    Lifetime: 3600s (Default on Azure portal is set to 27000s. AWS supports maximum of 3600s for IPSEC lifetime)

AWS と Microsoft Azure の間の AWS Site-to-Site VPN によるアクティブ/アクティブ BGP フェイルオーバーのセットアップ

1.    Microsoft の Web サイトの指示に従って 仮想ネットワークゲートウェイを作成します。[Enable active-active mode] (アクティブ/アクティブモードを有効にする) には、[Enabled] (有効) を選択します。これにより 2 つのパブリック IP アドレスが提供されます。

2.    AWS Site-to-Site VPN コンソールを開きます。Microsoft Azure ポータルの 2 つのパブリック IP アドレスを仮想ネットワークゲートウェイに使用して、2 つのカスタマーゲートウェイを作成します。以下の詳細を使用してください。

**IP アドレス:**最初のカスタマーゲートウェイには Azure パブリックノード 1 の IP アドレスを、2 番目のカスタマーゲートウェイには Azure パブリックノード 2 の IP アドレスを入力します。

BGP SAN: Microsoft Azure 側で設定した ASN を入力します。

ルーティングタイプ:****[Dynamic] (ダイナミック) を選択します。

3.    AWS マネジメントコンソールに、仮想プライベートゲートウェイまたはトランジットゲートウェイのいずれかに接続する 2 つの Site-to-Site VPN 接続を作成します。両方の Site-to-Site VPN 接続のトンネル 1 では、[BGP peer IP address] (BGP ピア IP アドレス) に次のように入力します。

Site-to-Site VPN 1: 169.254.21.0/30

Site-to-Site VPN 2: 169.254.22.0/30

IP /30 アドレス内の最初の IP アドレスは AWS Site-to-Site VPN BGP IP アドレス (169.254.21.1 または 69.254.22.1) に割り当てられ、2 番目の IP アドレスは Microsoft Azure BGP IP (169.254.21.2 または 69.254.22.2) に割り当てられます。

4.    Microsoft Azure ポータルを使用して、2 つの Microsoft Azure ローカルネットワークゲートウェイを作成します。IP アドレスには、AWS Site-to-Site VPN トンネルの Tunnel 1 パブリック IP アドレスを使用してください。また、ASN が仮想プライベートゲートウェイまたはトランジットゲートウェイと一致していることを確認してください。

5.    Microsoft Azure ポータルを使用して、2 つの Microsoft Azure Site-to-Site VPN 接続を作成します。各接続に、前の手順で作成したローカルネットワークゲートウェイを指す Microsoft Azure 仮想ネットワークゲートウェイがあることを確認してください。

トランジットゲートウェイ ECMP サポートを有効にする

2 つの Site-to-Site VPN 接続がトランジットゲートウェイで終端する Active/Active 設定では、両方の Site-to-Site VPN に 1 つのトンネルが設定されています。つまり、4 つあるサイト間 VPN トンネルのうち、2 つのアクティブな Site-to-Site VPN トンネルがあることになります。トランジットゲートウェイで ECMP サポートがオンになっている場合、トラフィックは両方の Site-to-Site VPN 接続で負荷分散できます。1 つの Site-to-Site VPN 接続が DOWN 状態になると、冗長リンクへのフェールオーバーは BGP を介して自動的に行われます。

VPN 接続状態の検証

1. Site-to-Site VPN 設定が確立されたら、VPN トンネルの状態が UP 状態であることを確認します。これを行うには、Site-to-Site VPN コンソールの [Tunnel Details] (トンネルの詳細) タブを選択します。
2. Microsoft Azure ポータルで VPN 接続を確認します。ステータスが [Succeeded] (成功) になっていることを確認します。接続に成功すると [Connected] (接続済み) に変わります。
3. Amazon VPC に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを作成して、AWS と Microsoft Azure 間の接続を検証します。次に、マイクロソフトの Web サイトの指示に従って Microsoft Azure VM のプライベート IP アドレスに接続し、サイト間 VPN 接続が確立されていることを確認します。

詳細については、「サイト間 VPN 接続のテスト」 と 「方法」を参照してください。

VPN トンネルの現在のステータスを確認しますか?