SORACOM Direct と MCR クラウド接続 を使用して Azure とプライベート接続する
SORACOM Direct (以下、Direct) は、お客様のシステムと SORACOM プラットフォームを専用線で接続するサービスです。MCR クラウド接続 は Megaport 社 が提供するクラウド間ネットワーキングサービスです。当ドキュメントでは SORACOM プラットフォームと Microsoft Azure (以後、Azure) とを MCR クラウド接続を用いてプライベート接続する方法を紹介します。
構成の全体概要は以下の画像のようになります。Azure および Megaport の環境はお客様が用意します。
この構成では、IoT デバイスからお客様のシステムまで、インターネットを経由しないセキュアなネットワークを実現できます。
Azure 以外とのプライベート接続での利用
- お客様にて Megaport Cloud Router (以後、MCR) を用意することで、Azure 以外にも Google Cloud, Alibaba Cloud などへの接続も可能です。MCR の対応するクラウドサービスは Megaport のドキュメント を参照してください。
- AWS とのプライベート接続には、以下のいずれかを利用してください。
- Megaport を利用しなくとも、SORACOM Direct を利用した専用線接続は可能です。SORACOM Direct ご利用開始までの流れ も参照してください。
当ガイドの前提は以下のとおりです。
- SORACOM のアカウントをお持ちであること
- SORACOM Air の SIM (IoT SIM)、および使用できるデバイスをお持ちであること
- Azure, Megaport のアカウントをお持ちであること
- SORACOM の日本カバレッジと Megaport の Tokyo との接続であること (異なる接続を検討の場合は お問い合わせ ください)
以下の手順でプライベート接続を作成します。
- IP アドレスレンジを検討する
- ExpressRoute 回線の作成
- MCR と MCR クラウド接続の作成
- Azure ネットワークの作成
- VPG を作成する
- SORACOM Direct の利用を申請する
- SORACOM への MCR クラウド接続の作成
- BGP の設定
- IoT SIM が利用する VPG を切り替える
- プライベート接続する
ステップ 1: IP アドレスレンジを検討する
SORACOM Canal, SORACOM Direct, SORACOM Door を用いてプライベートネットワークを構成する際は、ネットワークで用いる以下の IP アドレスレンジを検討する必要があります。それぞれに重複があると正常に通信できない可能性があります。
- デバイスサブネット IP アドレスレンジ: VPG 作成時に指定する、SIM へ割り当てられるプライベート IP アドレスの範囲。設定できる範囲は リファレンス: IP アドレスの割り当て方式 の「VPG 経由で接続するデバイスの IP アドレス」を参照。
- お客様ネットワークの IP アドレスレンジ: クラウドサービスまたはオンプレミス環境で用いる IP アドレスレンジ。
VPG の デバイスサブネット IP アドレスレンジは後から変更できません。
ステップ 2: ExpressRoute 回線の作成
Megaport と Azure 間は ExpressRoute 回線 (以後、ExpressRoute) で接続できます。
Azure のドキュメント「クイックスタート: ExpressRoute 回線の作成と変更」を参考に以下の設定で作成します。
- Port type: Provider
- Provider: Megaport
上記の項目以外は、お客様の要件に合わせて設定してください。
後続の手順で使用するため、ExpressRoute のサービスキーをコピーしておきます。
ステップ 3: MCR と MCR クラウド接続の作成
MCR の作成
MCR は Megaport のドキュメント「MCR を作成する」を参照して作成します。
Azure との MCR クラウド接続の作成
MCR クラウド接続は、ExpressRoute 回線の作成 でコピーしたサービスキーを指定して作成します。作成手順は Megaport のドキュメント「ExpressRoute を使用した Azure への MCR 接続の作成」を参照してください。
ステップ 4: Azure ネットワークの作成
仮想ネットワークの作成
Direct 経由で接続する仮想ネットワークを作成します。アドレスレンジは ステップ 1: IP アドレスレンジを検討する で決定した「お客様ネットワークの IP アドレスレンジ」を指定してください。また、Virtual Machine などのリソースを用いるためのサブネットだけでなく、仮想ネットワークゲートウェイを用いるためのゲートウェイサブネットも必要となります。詳しくは、Azure ドキュメントの クイック スタート:Azure Portal を使用した仮想ネットワークの作成 を参照してください。
仮想ネットワークゲートウェイの作成
ExpressRoute と仮想ネットワークを接続するための仮想ネットワークゲートウェイを作成します。ゲートウェイサブネットを作成していない場合は、この手順の中で作成します。詳しくは、Azure ドキュメントの チュートリアル:Azure Portal を使用して ExpressRoute の仮想ネットワーク ゲートウェイを構成する を参照してください。
ExpressRoute と仮想ネットワークゲートウェイとの接続
ExpressRoute と仮想ネットワークゲートウェイを接続します。詳しくは、Azure ドキュメントの チュートリアル:ポータルを使用して仮想ネットワークを ExpressRoute 回線に接続する を参照してください。
ルートテーブルの作成
MCR と Azure の間で通信できるようにルートテーブルを作成します。その際、 は Yes とするようにしてください。詳しくは、Azure ドキュメントの「ルート テーブルの作成、変更、削除」の ルート テーブルの作成 を参照してください。
作成したルートテーブルは、仮想ネットワークの作成 で作成した、Virtual Machine などのリソースを用いるためのサブネットへ関連付けます。詳しくは、Azure ドキュメントの「ルート テーブルの作成、変更、削除」の サブネットへのルート テーブルの関連付け を参照してください。
ステップ 5: VPG を作成する
Direct を利用するには、VPG Type-F (閉域網接続可能) を作成 します。なお、「VPG を追加」画面では、以下のように設定します。
| 項目 | 説明 |
|---|---|
| 任意の名前を設定します。 | |
| 「Type-F (閉域網接続可能)」を選択します。 | |
VPG を利用する IoT SIM にインターネットアクセスを許可するかを設定します。
| |
| (*1) | グローバルカバレッジでは、VPG の作成時に ランデブーポイント を「東京 (日本)」、「フランクフルト (ドイツ)」、「オレゴン (アメリカ)」から選択できます。(*2) |
| ステップ 1: IP アドレスレンジを検討する で決定したものを指定します。 |
- (*1) 日本カバレッジでは、ランデブーポイントは「東京 (日本)」に固定されているため、 は表示されません。
- (*2) IoT SIM のサブスクリプションによってランデブーポイントが異なります。詳しくは、ランデブーポイントを使用した接続 を参照してください。
VPG ID をメモしてください
VPG を作成したら、VPG ID をメモしてください。ステップ 6: SORACOM Direct の利用を申請する ときに必要な情報です。
ステップ 6: SORACOM Direct の利用を申請する
Direct の利用を申請して、Megaport Cloud Router まで AWS Direct Connect (以後、Direct Connect) で接続します。
SORACOM Direct 利用申請 より申請します。作成した VPG の VPG ID を連携してください。
ソラコムの担当から、MCR クラウド接続の作成に必要な AWS アカウント情報が連携されます。
申請が必要な VPG の設定変更については、VPG 設定変更手数料が発生します。
ステップ 7: SORACOM への MCR クラウド接続の作成
Megaport のドキュメント「AWS への MCR 接続の作成」を参照して、AWS への MCR クラウド接続を作成します。その際、各項目は以下のように設定してください。
- AWS Connection Type: Hosted Connection
- Destination Port: 接続先のリージョン。日本カバレッジであれば → など
- Connection Name: 任意。後からの変更も可能
- Rate Limit: 任意
- BGP Connections: ステップ 8: BGP の設定 にてソラコムより払いだされた情報を利用するため、ここでは設定しない
- AWS Account ID: ソラコムより連携された AWS アカウント ID
以下の画像は、上記のように設定した際の確認画面の例です。
MCR クラウド接続の作成および注文が完了したら、ソラコムの担当へ ASN (Customer ASN) を連絡します。
ステップ 8: BGP の設定
お客様より連絡を受けたら、ソラコムは Hosted Connection を受け入れます。その後、BGP 設定情報を作成し、お客様へ連絡します。
お客様は ステップ 7: SORACOM への MCR クラウド接続の作成 で作成した MCR クラウド接続の設定画面より、BGP Connection を設定します。BGP 設定情報には以下が含まれます。
- Local IP
- Peer IP
- Peer ASN
- BGP password
BGP Sessions の Status が正常になっていれば設定完了です。Azure・SORACOM、双方に対する BGP Session が正常であることを確認してください。
ステップ 9: IoT SIM が利用する VPG を切り替える
IoT SIM が、ステップ 5: VPG を作成する で作成した VPG を利用するように設定し、セッションを再確立します。詳しくは、IoT SIM が利用する VPG を切り替える を参照してください。
ステップ 10: プライベート接続する
Direct を通じて、プライベート接続をします。
VPG を使用する IoT SIM から、Azure Virtual Network 中のリソースへアクセスします。たとえば Virtual Machine を作成して、IoT デバイス から Virtual Machine に、SSH や RDP、HTTP でアクセスしてください。
(参考) Direct の利用を終了する
Direct の利用を終了する場合は、SORACOM サポート へお問い合わせください。