PR

PaaSもIaaSもオンプレミスもいいとこ取り!!Windows Azure Virtual Networksで合わせワザ一本!!

2012年10月3日(水)
廣瀬 一海

OSSのインストールを競う技術者向けコンテスト「インストールマニアックス」の入賞者の面々が、Windows Azureのコンピューティング、データ管理、ネットワークの新機能を中心に、リレー形式で詳しく説明していく本連載。5回目となる今回はWindows Azure Virtual Networksをテーマにご説明します。

本記事で紹介する操作手順などはWindows Azure サブスクリプションを申し込み後に、プレビュー機能の申し込みが必要となっていますので、こちらも合わせて参照してください。
→ Windows Azure サブスクリプション申し込み Step by Step

Windows Azure Virtual Networksについて

6月のSpring ReleaseによってWindows Azureは大幅な機能強化をしました。全体の概要は6月のSpring Releaseの紹介記事「オープンで柔軟性があるクラウドサービスに進化したWindows Azure」に譲り、ここでは仮想ネットワークに絞ってご紹介します。

Cross-premiseを実現する2種類のVPN

(クリックで拡大)

6月のSpring Releaseを紹介したWindows Azureの国内イベント「Go Azure」でも、Azureに用意したActive Directoryを使ってオンプレミスの端末の認証を行う事例が発表されています。このようなハイブリッド運用をクロスプレミスという用語で紹介しています。

これらの機能を実現するキーファクターがAzureで提供されているVPNです。
→ Go Azure

これまでの間にWindows Azure では、CTP(Community Technology Preview)ではありましたが、VPN機能として、Windows Azure Connectという仮想ネットワークに相当する機能が提供されていました。

Windows Azure Connect

(クリックで拡大)

Windows Azure ConnectはWindows Azureを中継拠点として、各マシン同士がConnector(VPNクライアント)をインストールして、Machine to Machineで同一サブネットを構成して接続するVPNです。

類似の技術としてSSTP、PPTP、Open VPNやSoft Ether、UTVPNなどをイメージしてもらえると良いでしょう。

オンプレミスとクラウドを接続するだけでなく、Machine to Machineでつながる事から、Windows Azureを起点にして、出先から自宅のPCにアクセスするなどして使うなどのケースも考えられます。

なお、現在(2012.09)Azure Connectは新しいマネジメントポータルでは提供されておらず、旧ポータルで提供されています。今後、どのような形で提供されるかはわかりませんが、利用シーンも異なり、比較的楽にVPNを構築できる事情もあるため、個人的には継続して欲しいと思っています。

Windows Virtual Networks

(クリックで拡大)

Windows Azure Virtual Networksは、いわゆる対向接続型VPNで標準であるIPsecを用いたSite-to-Site型のVPNです。Windows Azureに用意したインスタンスを任意のサブネットに所属させて、オンプレミスネットワークと接続します。

これによって、例えば

  • オンプレミスのDNSで名前解決
  • オンプレミスのSQL ServerとAzureのSQL Serverの相互同期
  • オンプレミスにあるSharePoint ServerをAzureで運用
  • オンプレミスからAzureインスタンスをダイレクトに監視

など、オンプレミスネットワークの従来の運用を活かしながら、クラウドへ移行できるようになります。

現在、検証され接続できる事が確認されているオフィシャルIPsecコンセントレーターは以下のものになります。

接続が確認されているオフィシャルIPsecコンセントレーター(クリックで拡大)

ASA5500シリーズなどは、モデルによっては実売5万円程度で販売されており、比較的入手しやすいと思われますが、国内で利用例の多いIPsecコンセントレーターとは言い難く、今後の対応リストの拡充を期待したい所です。

現時点(2012.09)では、まだPreviewリリースであるため、version1では以下に挙げる制限があります。今後開発が進むにつれ、制限解除や機器接続性の向上など、徐々に変わってくるであろうと期待しています。

Subscription毎の制限
Subscription毎にネットワーク構成は1つ
Subscriptionあたり5つVirtual Networkと5サイトまで
Affinity groupあたりVirtual Networkは1つまで
Subscriptionあたり最大 9 個のDNS Server Address
仮想ネットワーク サイトの制限
RFC1918(いわゆるプライベートアドレス空間)のみ定義可能
インスタンスが割り振られるサイトは1つ
ローカルネットワークサイト
1サイトあたりゲートウェイIPは1つ
ゲートウェイ
1つのVirtual Networkにゲートウェイは1つまで
複数拠点からのIPsecセッションの非対応(アクティブな接続が1つまで)
Virtual Networkの制限
IPv4のみ
Multicast/Broadcastの非対応
任意のMac Address設定の非対応
BGPルーティングの非対応
トンネリングの強制の非対応
Virtual network addressの動的変更の非対応
IPsec接続に関する制限
IKEv2の非対応
証明書ベース接続の非対応
Shared key + IDなどの複数要素認証の非対応
ソフトウェアベースでのVPNソリューションの非提供

Virtual Networkの構築

ケース1 Virtual MachinesとCloud Servicesを同じサブネットで運用

Virtual network機能はオンプレミス環境とのIPsec接続に目が行きがちですが、Windows Azureの各インスタンスを同じサブネットで構成する事が可能になります。

Windows Azureの各インスタンスを同じサブネットを構成する(クリックで拡大)

Windows Azureのみで一番シンプルな1つのサブネットを用意し、Windows Azure Cloud Services (PaaS)のPHPを実行可能なWeb RoleインスタンスとMySQLをインストールしたWindows Azure Virtual Machines(IaaS)インスタンスを起動し、同じサブネットに所属させます。

すべての作業の解説に紙面も割けませんので、ここでは主にネットワークの構築方法に絞って解説します。

作業は以下の手順で行います。

  1. Virtual NetworkとAffinity groupの作成
  2. Virtual Machineのインスタンスを構築する
  3. Cloud Serviceのインスタンスを構築する
アイレット株式会社 cloudpack事業部 シニアソリューションアーキテクト

生業はインフラエンジニア。小規模から大規模なまで日々様々なインフラを構成しています。好きなクラウドはMicrosoft Azure、日頃の業務はAmazon Web Services、という感じにクラウド漬けの毎日を過ごしています。​
仕事の傍ら、勉強会やコミュニティ(日本Azureユーザー会)コアメンバとして活動しています、マイクロソフトのオープンソース戦略にとても共感し、Microsoft MVPとして情報発信や交流を行っています。
Microsoft MVP Microsoft Azure

cloudpack公式サイト:http://cloudpack.jp

連載バックナンバー

Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック

他にもこの記事が読まれています