次の方法で共有

チュートリアル: Azure portal を使用して VPN ゲートウェイを作成、管理する

このチュートリアルでは、Azure portal を使った仮想ネットワーク ゲートウェイ (VPN ゲートウェイ) の作成と管理について説明します。 この VPN ゲートウェイは、VPN Gateway を使用して仮想ネットワーク内のリソースに安全にアクセスできるようにする接続アーキテクチャの一部分です。

仮想ネットワークと VPN ゲートウェイを示す図。

  • 図の左側には、この記事の手順を使って作成する仮想ネットワークと VPN ゲートウェイが示されています。
  • 図の右側に示すように、後でさまざまな種類の接続を追加できます。 たとえば、サイト間接続やポイント対サイト接続を作成できます。 構築できるさまざまな設計アーキテクチャを確認するには、「VPN Gateway の設計」を参照してください。
  • Azure VPN Gateway の詳細については、「 Azure VPN Gateway とは」を参照してください。 このチュートリアルで使用する構成設定の詳細については、「VPN Gateway の構成設定について」を参照してください。

このチュートリアルでは、以下の内容を学習します。

  • 仮想ネットワークを作成します。
  • アクティブ/アクティブ モードのゾーン冗長 VPN ゲートウェイを作成します。
  • ゲートウェイのパブリック IP アドレスを表示する。
  • VPN ゲートウェイ SKU をアップグレードします。
  • VPN ゲートウェイのリセット。

この記事の手順では、ゲートウェイ SKU VpnGw2AZ を使用します。これは、Azure 可用性ゾーンをサポートする SKU です。 2025 年 5 月より、可用性ゾーンがそのリージョンでサポートされているかどうかに関係なく、すべてのリージョンで AZ SKU が受け入れられます。 ゲートウェイ SKU の詳細については、「ゲートウェイ SKU について」を参照してください。

前提条件

アクティブなサブスクリプションを含む Azure アカウントが必要です。 ない場合は、無料で作成してください。

仮想ネットワークの作成

この記事では、Azure portal を使用して仮想ネットワークを作成します。 別のツールまたは方法を使用して仮想ネットワークを作成することもできます。 詳細または手順については、「 仮想ネットワークの作成」を参照してください。 この演習では、仮想ネットワークでは 、Azure BastionDDoS Protection などの追加サービスの構成は必要ありません。 ただし、これらのサービスを使用する場合は追加できます。

設定 値の例
リソース グループ TestRG1
仮想ネットワーク名 VNet1
リージョン 米国東部
IPv4 アドレス空間 10.1.0.0/16
サブネット名 FrontEnd
サブネットのアドレス空間 10.1.0.0/24
  1. Azure portal にサインインします。
  2. ポータル ページの上部にある [リソース、サービス、ドキュメントの検索 (G+/)] に「仮想ネットワーク」と入力します。 Marketplace の検索結果から [仮想ネットワーク] を選び、[仮想ネットワーク] ページを開きます。
  3. [仮想ネットワーク] ページの [作成] を選び、[仮想ネットワークの作成] ページを開きます。
  4. [ 基本 ] タブに必要な値を入力します。
  5. [次へ] または [セキュリティ] を選んで、[セキュリティ] タブに移動します。この演習では、このページのすべてのサービスについて既定値のままにします。
  6. [ IP アドレス] を 選択して [ IP アドレス] タブに移動します。[ IP アドレス] タブで 、必要な設定を構成します。
  7. [IP アドレス] ページを確認し、不要なアドレス空間またはサブネットを削除します。
  8. [確認と作成] を選択して、仮想ネットワークの設定を検証します。
  9. 設定が検証されたら、[作成] を選んで仮想ネットワークを作成します。

ゲートウェイ サブネットの作成

仮想ネットワーク ゲートウェイ リソースは、GatewaySubnet という名前の特定のサブネットにデプロイされます。 ゲートウェイ サブネットは、仮想ネットワークの構成時に指定する仮想ネットワーク IP アドレス範囲に含まれます。

GatewaySubnet という名前のサブネットが存在しない場合、VPN ゲートウェイを作成するときにエラーが発生します。 作成するゲートウェイ サブネットは /27 (またはそれ以上) を使用するものにすることをお勧めします。 たとえば、/27 や /26 です。 ゲートウェイ サブネットの詳細については、「 VPN Gateway の設定 - ゲートウェイ サブネット」を参照してください。

  1. 仮想ネットワークのページの左側ペインで [サブネット] を選んで、[サブネット] ページを開きます。
  2. ページの上部にある [ + サブネット ] を選択して、[ サブネットの追加] ウィンドウを開きます。
  3. サブネットの目的で、ドロップダウンから [Virtual Network Gateway] を選択します。
  4. 名前には「GatewaySubnet」が自動的に入力されます。 必要に応じて、開始 IP アドレスとサイズを調整します。 たとえば、 10.1.255.0/27 などです。
  5. ページの他の値は調整しないでください。 [ 追加] をクリックしてサブネットを追加します。

仮想ネットワークへのサブネットの追加の詳細については、「仮想ネットワーク サブネットの 追加、変更、または削除」を参照してください。 仮想ネットワークにアドレス範囲を追加する手順については、「アドレス範囲の 追加または削除」を参照してください。

重要

ゲートウェイ サブネット上の NSG はサポートされていません。 ネットワーク セキュリティ グループをこのサブネットに関連付けると、仮想ネットワーク ゲートウェイ (VPN と ExpressRoute ゲートウェイ) が想定どおりに機能しなくなる可能性があります。 ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関するページを参照してください。

VPN ゲートウェイの作成

このセクションでは、仮想ネットワークのための仮想ネットワーク ゲートウェイ (VPN ゲートウェイ) を作成します。 選択したゲートウェイ SKU によっては、ゲートウェイの作成に 45 分以上かかる場合も少なくありません。 VPN ゲートウェイを作成するには、次の手順に従います。 VPN Gateway Basic SKU は PowerShell または CLI でのみ使用できます。

  1. [リソース、サービス、ドキュメントの検索 (G+/)] に「仮想ネットワーク ゲートウェイ」と入力します。 Marketplace の検索結果で [仮想ネットワーク ゲートウェイ] を見つけて選び、[仮想ネットワーク ゲートウェイの作成] ページを開きます。

    [インスタンス] フィールドを示すスクリーンショット。

  2. [基本] タブで、[プロジェクトの詳細][インスタンスの詳細] の各値を入力します。

    設定 価値
    名前 例: VNet1GW
    リージョン ゲートウェイのリージョンは、仮想ネットワークと同じである必要があります。
    ゲートウェイの種類 [VPN] を選択します。 VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。
    SKU 例: VpnGw2AZ。 リージョンで可用性ゾーンがサポートされている場合は、AZ で終了するゲートウェイ SKU を選択することをお勧めします。
    世代 第 2 世代
    仮想ネットワーク 例: VNet1。 ドロップダウンで仮想ネットワークを使用できない場合は、選択したリージョンを調整する必要があります。
    サブネット 例: 10.1.255.0/27、VPN ゲートウェイを作成するには GatewaySubnet という名前のサブネットが必要です。 ゲートウェイ サブネットが自動入力 されておらず、この ページに作成するオプションが表示されない場合は、仮想ネットワーク ページに戻り、ゲートウェイ サブネットを作成します。

  1. [パブリック IP アドレス] の各値を指定します。 これらの設定では、VPN ゲートウェイに関連付けられるパブリック IP アドレス オブジェクトを指定します。 パブリック IP アドレスは、VPN ゲートウェイの作成時に、このオブジェクトに割り当てられます。 プライマリ パブリック IP アドレスが変わるのは、ゲートウェイが削除され、再度作成されたときのみです。

    設定 価値
    パブリック IP アドレス名 例: VNet1GWpip1
    可用性ゾーン この設定は、 可用性ゾーンをサポートするリージョンの AZ SKU で使用できます。 例: ゾーン冗長
    アクティブ/アクティブ モードを有効にする - アクティブ/アクティブ ゲートウェイの利点を利用するには、[有効] を選択します。 アクティブ/アクティブ ゲートウェイには、追加のパブリック IP アドレスが必要です。
    - サイト間接続にこのゲートウェイを使用する予定の場合は、使用するアクティブ/アクティブなデザインを確認します。
    - アクティブ/アクティブ モードを利用するには、オンプレミス VPN デバイスとの接続を特別に構成する必要があります。
    - 一部の VPN デバイスはアクティブ/アクティブ モードをサポートしていません。 不明な場合は、VPN デバイス ベンダーにお問い合わせください。 アクティブ/アクティブ モードをサポートしていない VPN デバイスを使用している場合は、この設定に対して [無効] をオンにすることができます。
    2 番目のパブリック IP アドレス名 アクティブ/アクティブ モード ゲートウェイでのみ使用できます。 例: VNet1GWpip2
    可用性ゾーン 例: ゾーン冗長
    BGP の構成 構成でこの設定が特に必要な場合を除き、[ 無効] を選択します。 この設定が必要な場合、既定の ASN は 65515 です。
    Key Vault アクセスを有効にする この設定を有効にする特定の要件がない限り、[ 無効] を選択します。

  2. [確認と作成] を選択して検証を実行します。

  3. 検証に合格したら、[作成] を選んで VPN ゲートウェイをデプロイします。

デプロイの状態は、ゲートウェイの [概要] ページで確認できます。 ゲートウェイが作成されたら、ポータルで仮想ネットワークを確認することで、ゲートウェイに割り当てられた IP アドレスを表示できます。 ゲートウェイは、接続されたデバイスとして表示されます。

パブリック IP アドレスの表示

仮想ネットワーク ゲートウェイに関連付けられているパブリック IP アドレスの一覧を表示するには、ポータル内でそのゲートウェイに移動します。

  1. [仮想ネットワーク ゲートウェイ ポータル] ページの [設定] で、[プロパティ] ページを開きます。
  2. IP アドレス オブジェクトに関する詳細情報を表示するには、関連付けられている IP アドレスのリンクをクリックします。

ゲートウェイ SKU をアップグレードする

ゲートウェイ SKU をアップグレードするための特定の規則があります。 すべての SKU をアップグレードできるわけではありません。 詳細については、「 ゲートウェイ SKU のアップグレード」を参照してください。

  1. 仮想ネットワーク ゲートウェイの [構成] ページに移動します。
  2. ページの右側にあるドロップダウン矢印を選んで、使用できる SKU の一覧を表示します。 一覧には、選択できる SKU のみが設定されていることに注意してください。
  3. SKU をドロップダウン リストから選択して変更内容を保存します。

ゲートウェイをリセットする

ゲートウェイをリセットしたときに行われる処理は、ゲートウェイの構成によって異なります。 詳細については、「VPN ゲートウェイまたは接続をリセットする」を参照してください。

  1. ポータルで、リセットする仮想ネットワーク ゲートウェイにアクセスします。
  2. [仮想ネットワーク ゲートウェイ] ページ上の、左側のペイン内で、スクロールして [ヘルプ] -> [リセット] を見つけます。
  3. [リセット] ページで、[リセット] を選択します。 このコマンドを実行すると、現在アクティブな Azure VPN Gateway のインスタンスが直ちに再起動されます。 ゲートウェイをリセットすると、VPN 接続にギャップが発生し、問題の将来の根本原因分析が制限されるおそれがあります。

リソースをクリーンアップする

今後このアプリケーションを使わない場合、または次のチュートリアルに進む場合は、これらのリソースを削除してください。

  1. ポータルの上部にある検索ボックスに、お使いのリソース グループの名前を入力し、検索結果からそれを選択します。
  2. [リソース グループの削除] を選択します。
  3. [リソース グループ名を入力してください] に、お使いのリソース グループを入力し、[削除] を選択します。

次のステップ

VPN ゲートウェイを作成した後、さらにゲートウェイの設定と接続を構成できます。 以下の記事には、最も一般的な構成のいくつかを作成するのに役立ちます。

サイト間 VPN 接続

VPN の接続 - ポイント対サイトの証明書認証

ポイント・ツー・サイト - Microsoft Entra ID 認証のVPN接続