あじゅらーの成長日記

にわかITインフラエンジニアがMicrosoft AzureなどIT関係全般を綴ります。

【Azure】ポイント対サイト接続がとても便利!

スポンサーリンク

Azureの仮想マシンを利用していると、サーバ自体にログインして作業したいことがしばしばあります。 もちろん仮想マシンに付与されているグローバルIPアドレスを使用してアクセスすることもできるのですが、 特定のIPアドレスからのみのアクセスを許可するようNSGでアクセス元のIPアドレスを制限してセキュリティを高める必要があります。

そこでポイント対サイト接続です!!!
Azureのポイント対サイト接続は以下の方にオススメです!!!

  • NSGグローバルIP向けのメンテナンス通信を許可したくない
  • Windows 8以降のクライアント端末を使用している


<目次>



そもそもポイント対サイト接続とは

ポイント対サイト接続とは、クライアント端末からAzureの仮想ネットワークにVPN接続をすることができるサービスです。 これにより、クライアント端末はAzureの仮想ネットワーク内にいることになるので、仮想ネットワーク内のサーバにプライベートIPアドレスで接続することができます。
以下のようなイメージです。

f:id:hayato320:20161210152810j:plain

プライベートIPアドレスでの接続になるので、NSGで接続元のIPアドレスを制限する必要もありません。

ただし、注意が必要なのはポイント対サイト接続が利用できるのはWindows 8Windows Server 2012Windows 10Windows Server 2016のみになります!!!!
本当に残念ながら私の愛おしいMacではポイント対サイト接続を利用することができません。。。

ポイント対サイト設定方法

基本的にはMSの公式ドキュメントに記載があるので、それに従ってインストールしていきます。

docs.microsoft.com

ここでは具体的な設定方法は省略いたしますが、ざっくりと以下のフローになります。

  • 仮想ネットワークの作成(すでに作成済みなら不要)
  • VPNゲートウェイ作成
  • 証明書の生成、インポート
  • 実際の接続

かなり簡単にできちゃいます。
なお、証明書周りが個人的にハマりポイントだったので、補足いたします。 VPNゲートウェイにアップロードする証明書は、WIndows SDKが入っていればmakecertコマンドがあるディレクトリに移動して、以下のコマンドで作成することができます。

\makecert.exe -sky exchange -r -n "CN=enjoymylifeRoot" -pe -a sha1 -len 2048 -ss My "enjoymylifeRoot.cer"


ポイント対サイト接続をするクライアントPCでは、上記のRoot証明書で信頼されているクライアント証明書を利用します。
以下のコマンドで生成可能です。

.\makecert.exe -n "CN=enjoymylifeClient" -pe -sky exchange -m 96 -ss My -in "enjoymylifeRoot" -is my -a sha1


上記のクライアント証明書が証明書ストアにインストールされていれば、パスワードなしでAzureの仮想ネットワーク内に接続することができます。


ポイント対サイト接続料金

ポイント対サイト接続の料金は、VPNゲートウェイ自体の料金とVPNゲートウェイから外部への転送データ料金に基づきます。
簡単な開発をするだけならBasicで十分なので、1ヶ月3,000円くらいとお安く利用できます。
詳細は料金は以下を参照してください。

azure.microsoft.com

まとめ

ポイント対サイト接続はとても簡単に設定でき、セキュリティ面を向上させることができます!(NSGで穴あけをしないので)
BasicのVPNゲートウェイを利用すれば 1ヶ月3,000円くらいで利用できるので、Windows 8 以降のクライアント端末を使って開発している人にはとてもオススメです!