Azure WebサイトのVPN接続

/ buchizo

今日のUpdateでしれっとAzure WebサイトがVPN接続サポートになってました。UpdateなRSSに出ないアップデートとは…

とりあえず詳細を見てみましょう。

概要

これまでAzureのVNET(仮想ネットワーク)接続はクラウドサービスと仮想マシンだけが接続できていました(Azure側の話)。今日のUpdateで、やっとこさ(?)Azure WebサイトもVNETに参加できるようになりました。※ただし限定的(後述)

仕組み

仕組みは簡単。なんとAzure WebサイトはSSTP VPNクライアントとしてVNETに参加します。なので、条件としては以下の通りとなります。

  • 仮想ネットワークにPoint to Site接続が構成されている必要があります。
  • Point to Siteが有効 = 動的ルーティングゲートウェイである必要があります。(静的ルーティングゲートウェイは不可)
  • Azure Webサイトのプランが標準である必要があります。
  • 1インスタンス=1 SSTP VPNクライアントなので、Azure Webサイトのインスタンス数分のPoint to Site接続用のIPアドレス空間が必要です。
  • (今のところ)Azure Webサイトと接続しようとするVNETは同じサブスクリプション(※サブスクリプションの切り替えで同じディレクトリにあればいけそうなきもしますが)である必要があります。

何となくもうわかりましたよね?すごくシンプルです。

使い方

まずVNETの設定をしておきましょう。VNETは現行ポータルで触るほうが今のところ簡単なので、そうします。注意点は先に述べた通りPoint to Siteを有効化する点です。

image

また作成するゲートウェイは「動的ルーティングゲートウェイ」を選択します。
※動的ルーティングゲートウェイの作成等は時間がそれなりにかかります(30分ぐらい?)

あとは作成したVNETに仮想マシンやらをデプロイしたりしておきましょう。今回はIISを入れたWindowsサーバーを放り込んでおきました。

image

次はAzure Webサイト側です。Azure Webサイト側の設定はプレビューポータルのほうで行います。

Webサイトのブレード中に「Networking」-「Virtual network」とかいうパーツが増えてるのでクリックしましょう。

image

そしたらVNETの選択ブレードが表示されます。一応こちらで簡単に作ることも可能です。また動的ルーティングゲートウェイになっていなかったり、Point to Siteが構成されていないVNETは選択できません。

image

選択したらさくっと接続が開始されます。

image

切断するときはパーツを選択して「Disconnect」を選ぶだけです。

image

一応VNET側も見てみましょう。

Webサイト用に証明書が勝手に追加されます。

image

証明書が新しくなったりした場合は先ほどのパーツ上でSyncすればいいかと思います。

ちゃんとつながってますね。

image

一応、起動したインスタンス分だけ接続クライアントが増えます。

動作確認

一応つながってるか簡単に確認したいと思います。今回は面倒くさいのでWebサイトのコンソールで仮想マシン上のIISに接続してみたいと思います。

image

curlを使って仮想マシンのIPアドレスを指定して取得します。今回は返すHTMLの中に接続元のリモートホストを埋め込んで返すようにしてみました。

ちゃんとPoint to Siteで設定したIPアドレス空間から接続されているのがわかるかと思います。

ちなみに仮想マシン側からWebサイト側へのアクセスはというと…

$ nmap -A -Pn 172.16.0.9

Starting Nmap 5.51 ( http://nmap.org ) at 2014-09-11 13:40 UTC
Nmap scan report for 172.16.0.9
Host is up.
All 1000 scanned ports on 172.16.0.9 are filtered

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 201.79 seconds

ガッチガチやで(

VNET経由のWebサイトへの接続はあきらめましょう。

また、どこに接続しているかはVNETNAMEという環境変数に追加されています。

image

※ちなみに今回のテストはVNETが東アジア、Webサイトが西日本ですが何の問題もありません。VPNだし!

Hybrid Connectionとのすみわけ

Hybrid ConnectionはBizTalkサービスを使ったオンプレミスとの接続です。エージェント入れたりとか必要ですが、VPN接続が難しい状況などはこちらを使いましょう。適材適所。(課金的には大した金額差は出ないと思うけど)

まとめ

Webサイト、イカス

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

Gravatar
WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google フォト

Google アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

キャンセル

%s と連携中