Soracom

Users

ドキュメント

SORACOM Direct と MCR クラウド接続 を使用して Azure とプライベート接続する

SORACOM Direct (以下、Direct) は、お客様のシステムと SORACOM プラットフォームを専用線で接続するサービスです。MCR クラウド接続Megaport 社 が提供するクラウド間ネットワーキングサービスです。当ドキュメントでは SORACOM プラットフォームと Microsoft Azure (以後、Azure) とを MCR クラウド接続を用いてプライベート接続する方法を紹介します。

構成の全体概要は以下の画像のようになります。Azure および Megaport の環境はお客様が用意します。

この構成では、IoT デバイスからお客様のシステムまで、インターネットを経由しないセキュアなネットワークを実現できます。

Azure 以外とのプライベート接続での利用

当ガイドの前提は以下のとおりです。

  • SORACOM のアカウントをお持ちであること
  • SORACOM Air の SIM (IoT SIM)、および使用できるデバイスをお持ちであること
  • Azure, Megaport のアカウントをお持ちであること
  • SORACOM の日本カバレッジと Megaport の Tokyo との接続であること (異なる接続を検討の場合は お問い合わせ ください)

以下の手順でプライベート接続を作成します。

  1. IP アドレスレンジを検討する
  2. ExpressRoute 回線の作成
  3. MCR と MCR クラウド接続の作成
  4. Azure ネットワークの作成
  5. VPG を作成する
  6. SORACOM Direct の利用を申請する
  7. SORACOM への MCR クラウド接続の作成
  8. BGP の設定
  9. IoT SIM が利用する VPG を切り替える
  10. プライベート接続する

ステップ 1: IP アドレスレンジを検討する

SORACOM Canal, SORACOM Direct, SORACOM Door を用いてプライベートネットワークを構成する際は、ネットワークで用いる以下の IP アドレスレンジを検討する必要があります。それぞれに重複があると正常に通信できない可能性があります。

  • デバイスサブネット IP アドレスレンジ: VPG 作成時に指定する、SIM へ割り当てられるプライベート IP アドレスの範囲。設定できる範囲は リファレンス: IP アドレスの割り当て方式 の「VPG 経由で接続するデバイスの IP アドレス」を参照。
  • お客様ネットワークの IP アドレスレンジ: クラウドサービスまたはオンプレミス環境で用いる IP アドレスレンジ。

VPG の デバイスサブネット IP アドレスレンジは後から変更できません。

ステップ 2: ExpressRoute 回線の作成

Megaport と Azure 間は ExpressRoute 回線 (以後、ExpressRoute) で接続できます。

Azure のドキュメント「クイックスタート: ExpressRoute 回線の作成と変更」を参考に以下の設定で作成します。

  • Port type: Provider
  • Provider: Megaport

上記の項目以外は、お客様の要件に合わせて設定してください。

後続の手順で使用するため、ExpressRoute のサービスキーをコピーしておきます。

ステップ 3: MCR と MCR クラウド接続の作成

MCR の作成

MCR は Megaport のドキュメント「MCR を作成する」を参照して作成します。

Azure との MCR クラウド接続の作成

MCR クラウド接続は、ExpressRoute 回線の作成 でコピーしたサービスキーを指定して作成します。作成手順は Megaport のドキュメント「ExpressRoute を使用した Azure への MCR 接続の作成」を参照してください。

ステップ 4: Azure ネットワークの作成

仮想ネットワークの作成

Direct 経由で接続する仮想ネットワークを作成します。アドレスレンジは ステップ 1: IP アドレスレンジを検討する で決定した「お客様ネットワークの IP アドレスレンジ」を指定してください。また、Virtual Machine などのリソースを用いるためのサブネットだけでなく、仮想ネットワークゲートウェイを用いるためのゲートウェイサブネットも必要となります。詳しくは、Azure ドキュメントの クイック スタート:Azure Portal を使用した仮想ネットワークの作成 を参照してください。

仮想ネットワークゲートウェイの作成

ExpressRoute と仮想ネットワークを接続するための仮想ネットワークゲートウェイを作成します。ゲートウェイサブネットを作成していない場合は、この手順の中で作成します。詳しくは、Azure ドキュメントの チュートリアル:Azure Portal を使用して ExpressRoute の仮想ネットワーク ゲートウェイを構成する を参照してください。

ExpressRoute と仮想ネットワークゲートウェイとの接続

ExpressRoute と仮想ネットワークゲートウェイを接続します。詳しくは、Azure ドキュメントの チュートリアル:ポータルを使用して仮想ネットワークを ExpressRoute 回線に接続する を参照してください。

ルートテーブルの作成

MCR と Azure の間で通信できるようにルートテーブルを作成します。その際、[Propagate gateway routes]Yes とするようにしてください。詳しくは、Azure ドキュメントの「ルート テーブルの作成、変更、削除」の ルート テーブルの作成 を参照してください。

作成したルートテーブルは、仮想ネットワークの作成 で作成した、Virtual Machine などのリソースを用いるためのサブネットへ関連付けます。詳しくは、Azure ドキュメントの「ルート テーブルの作成、変更、削除」の サブネットへのルート テーブルの関連付け を参照してください。

ステップ 5: VPG を作成する

Direct を利用するには、VPG Type-F (閉域網接続可能) を作成 します。なお、「VPG を追加」画面では、以下のように設定します。

項目説明
[名前]任意の名前を設定します。
[タイプ]「Type-F (閉域網接続可能)」を選択します。
[インターネットゲートウェイ]

VPG を利用する IoT SIM にインターネットアクセスを許可するかを設定します。

  • ON: 許可する。VPG がインターネットへのルーティングを行います。
  • OFF: 許可しない。インターネットアクセスを許可しない完全閉域網が作成されます。Beam 等を利用してもインターネットへアクセスできません。
[ランデブーポイント] (*1)グローバルカバレッジでは、VPG の作成時に ランデブーポイント を「東京 (日本)」、「フランクフルト (ドイツ)」、「オレゴン (アメリカ)」から選択できます。(*2)
[デバイスサブネット IP アドレスレンジ]ステップ 1: IP アドレスレンジを検討する で決定したものを指定します。
  • (*1) 日本カバレッジでは、ランデブーポイントは「東京 (日本)」に固定されているため、[ランデブーポイント] は表示されません。
  • (*2) IoT SIM のサブスクリプションによってランデブーポイントが異なります。詳しくは、ランデブーポイントを使用した接続 を参照してください。
VPG ID をメモしてください

VPG を作成したら、VPG ID をメモしてください。ステップ 6: SORACOM Direct の利用を申請する ときに必要な情報です。

ステップ 6: SORACOM Direct の利用を申請する

Direct の利用を申請して、Megaport Cloud Router まで AWS Direct Connect (以後、Direct Connect) で接続します。

SORACOM Direct 利用申請 より申請します。作成した VPG の VPG ID を連携してください。

ソラコムの担当から、MCR クラウド接続の作成に必要な AWS アカウント情報が連携されます。

申請が必要な VPG の設定変更については、VPG 設定変更手数料が発生します。

ステップ 7: SORACOM への MCR クラウド接続の作成

Megaport のドキュメント「AWS への MCR 接続の作成」を参照して、AWS への MCR クラウド接続を作成します。その際、各項目は以下のように設定してください。

  • AWS Connection Type: Hosted Connection
  • Destination Port: 接続先のリージョン。日本カバレッジであれば [Japan][Equinix TY2, Tokyo] など
  • Connection Name: 任意。後からの変更も可能
  • Rate Limit: 任意
  • BGP Connections: ステップ 8: BGP の設定 にてソラコムより払いだされた情報を利用するため、ここでは設定しない
  • AWS Account ID: ソラコムより連携された AWS アカウント ID

以下の画像は、上記のように設定した際の確認画面の例です。

MCR クラウド接続の作成および注文が完了したら、ソラコムの担当へ ASN (Customer ASN) を連絡します。

ステップ 8: BGP の設定

お客様より連絡を受けたら、ソラコムは Hosted Connection を受け入れます。その後、BGP 設定情報を作成し、お客様へ連絡します。

お客様は ステップ 7: SORACOM への MCR クラウド接続の作成 で作成した MCR クラウド接続の設定画面より、BGP Connection を設定します。BGP 設定情報には以下が含まれます。

  • Local IP
  • Peer IP
  • Peer ASN
  • BGP password

BGP Sessions の Status が正常になっていれば設定完了です。Azure・SORACOM、双方に対する BGP Session が正常であることを確認してください。

ステップ 9: IoT SIM が利用する VPG を切り替える

IoT SIM が、ステップ 5: VPG を作成する で作成した VPG を利用するように設定し、セッションを再確立します。詳しくは、IoT SIM が利用する VPG を切り替える を参照してください。

ステップ 10: プライベート接続する

Direct を通じて、プライベート接続をします。

VPG を使用する IoT SIM から、Azure Virtual Network 中のリソースへアクセスします。たとえば Virtual Machine を作成して、IoT デバイス から Virtual Machine に、SSH や RDP、HTTP でアクセスしてください。

(参考) Direct の利用を終了する

Direct の利用を終了する場合は、SORACOM サポート へお問い合わせください。