MENU

Soracom

Users

SORACOM Direct と MCR クラウド接続 を使用して Azure とプライベート接続する

SORACOM Direct (以下、Direct) は、お客様のシステムと SORACOM プラットフォームを専用線で接続するサービスです。 MCR クラウド接続Megaport 社 が提供するクラウド間ネットワーキングサービスです。当ドキュメントでは SORACOM プラットフォームと Microsoft Azure (以後、Azure) とを MCR クラウド接続を用いてプライベート接続する方法を紹介します。

構成の全体概要は以下の画像のようになります。Azure および Megaport の環境はお客様が用意します。

この構成では、IoT デバイスからお客様のシステムまで、インターネットを経由しないセキュアなネットワークを実現できます。

Azure 以外とのプライベート接続での利用

当ガイドの前提は以下のとおりです。

  • SORACOM のアカウントをお持ちであること
  • SORACOM Air の SIM (IoT SIM)、および使用できるデバイスをお持ちであること
  • Azure, Megaport のアカウントをお持ちであること
  • SORACOM の日本カバレッジと Megaport の Tokyo との接続であること (異なる接続を検討の場合は お問い合わせ ください)

以下の手順でプライベート接続を作成します。

  1. IP アドレスレンジを検討する
  2. ExpressRoute 回線の作成
  3. MCR と MCR クラウド接続の作成
  4. Azure ネットワークの作成
  5. VPG の作成
  6. SORACOM Direct の申請
  7. SORACOM への MCR クラウド接続の作成
  8. BGP の設定
  9. プライベート接続の確認

ステップ 1: IP アドレスレンジを検討する

SORACOM Canal, SORACOM Direct, SORACOM Door を用いてプライベートネットワークを構成する際は、ネットワークで用いる以下の IP アドレスレンジを検討する必要があります。それぞれに重複があると正常に通信できない可能性があります。

  • デバイスサブネット IP アドレスレンジ: VPG 作成時に指定する、SIM へ割り当てられるプライベート IP アドレスの範囲。設定できる範囲は リファレンス: IP アドレスの割り当て方式 の「VPG 経由で接続するデバイスの IP アドレス」を参照。
  • お客様ネットワークの IP アドレスレンジ: クラウドサービスまたはオンプレミス環境で用いる IP アドレスレンジ。
VPG の デバイスサブネット IP アドレスレンジは後から変更できません。

ステップ 2: ExpressRoute 回線の作成

Megaport と Azure 間は ExpressRoute 回線 (以後、ExpressRoute) で接続できます。

Azure のドキュメント「 クイックスタート: ExpressRoute 回線の作成と変更」を参考に以下の設定で作成します。

  • Port type: Provider
  • Provider: Megaport

上記の項目以外は、お客様の要件に合わせて設定してください。

後続の手順で使用するため、ExpressRoute のサービスキーをコピーしておきます。

ステップ 3: MCR と MCR クラウド接続の作成

MCR の作成

MCR は Megaport のドキュメント「 MCR を作成する」を参照して作成します。

Azure との MCR クラウド接続の作成

MCR クラウド接続は、 ExpressRoute 回線の作成 でコピーしたサービスキーを指定して作成します。作成手順は Megaport のドキュメント「 ExpressRoute を使用した Azure への MCR 接続の作成」を参照してください。

ステップ 4: Azure ネットワークの作成

仮想ネットワークの作成

Direct 経由で接続する仮想ネットワークを作成します。アドレスレンジは ステップ 1: IP アドレスレンジを検討する で決定した「お客様ネットワークの IP アドレスレンジ」を指定してください。また、Virtual Machine などのリソースを用いるためのサブネットだけでなく、仮想ネットワークゲートウェイを用いるためのゲートウェイサブネットも必要となります。

仮想ネットワークゲートウェイの作成

ExpressRoute と仮想ネットワークを接続するための仮想ネットワークゲートウェイを作成します。ゲートウェイサブネットを作成していない場合は、この手順の中で作成します。

ExpressRoute と仮想ネットワークゲートウェイとの接続

ExpressRoute と仮想ネットワークゲートウェイを接続します。

ルートテーブルの作成

MCR と Azure の間で通信できるようにルートテーブルを作成します。その際、Propagate gateway routesYes とするようにしてください。

作成したルートテーブルは、 仮想ネットワークの作成 で作成した、Virtual Machine などのリソースを用いるためのサブネットへ関連付けます。詳しくは、Azure ドキュメント「 サブネットへのルート テーブルの関連付け」を参照してください。

ステップ 5: VPG の作成

Direct を利用するには、SORACOM VPG (Virtual Private Gateway) Type-F を作成します。 VPG は SORACOM Air の通信を仲介するお客様専用のゲートウェイです。

VPG を作成する の手順に従って、 Type-F の VPG を作成します。デバイスサブネット IP アドレスレンジは、 ステップ 1: IP アドレスレンジを検討する で決定したものを指定してください。

ステップ 6: SORACOM Direct の申請

Direct の利用を申請して、Megaport Cloud Router まで AWS Direct Connect (以後、Direct Connect) で接続します。

SORACOM Direct 利用申請 より申請します。作成した VPG の VPG ID を連携してください。

ソラコムの担当から、MCR クラウド接続の作成に必要な AWS アカウント情報が連携されます。

ステップ 7: SORACOM への MCR クラウド接続の作成

Megaport のドキュメント「 AWS への MCR 接続の作成」を参照して、AWS への MCR クラウド接続を作成します。その際、各項目は以下のように設定してください。

  • AWS Connection Type: Hosted Connection
  • Destination Port: 接続先のリージョン。日本カバレッジであれば JapanEquinix TY2, Tokyo など
  • Connection Name: 任意。後からの変更も可能
  • Rate Limit: 任意
  • BGP Connections: ステップ 8: BGP の設定 にてソラコムより払いだされた情報を利用するため、ここでは設定しない
  • AWS Account ID: ソラコムより連携された AWS アカウント ID

以下の画像は、上記のように設定した際の確認画面の例です。

MCR クラウド接続の作成および注文が完了したら、ソラコムの担当へ ASN (Customer ASN) を連絡します。

ステップ 8: BGP の設定

お客様より連絡を受けたら、ソラコムは Hosted Connection を受け入れます。その後、BGP 設定情報を作成し、お客様へ連絡します。

お客様は ステップ 7: SORACOM への MCR クラウド接続の作成 で作成した MCR クラウド接続の設定画面より、BGP Connection を設定します。BGP 設定情報には以下が含まれます。

  • Local IP
  • Peer IP
  • Peer ASN
  • BGP password

BGP Sessions の Status が正常になっていれば設定完了です。Azure・SORACOM、双方に対する BGP Session が正常であることを確認してください。

ステップ 9: プライベート接続の確認

Direct を通じて、プライベート接続をします。

以下の手順で接続します。

  1. グループを作成し VPG を設定する
  2. IoT SIM をグループに所属させる
  3. IoT SIM からプライベートアドレスでアクセスする

グループを作成し VPG を設定する

  1. SORACOM ユーザーコンソールの左上の MenuSIM グループ の順にクリックします。

  1. 追加をクリックして、グループ名を入力し、グループ作成 をクリックします。

  1. 基本設定SORACOM Air for セルラー設定 の順にクリックします。

  1. VPG (VIRTUAL PRIVATE GATEWAY) を ON に設定し、VPG で、 ステップ 5: VPG の作成 で作成した VPG 名を選択します。

  1. 保存 をクリックします。
VPG を指定したグループに含まれる IoT SIM は VPG を利用します。IoT SIM の所属するグループを切り替えることで、VPG を利用する/しない (プライベート接続をする/しない) を切り替えることができます。

IoT SIM をグループに所属させる

SORACOM ユーザーコンソールの SIM 管理画面で、Azure へプライベート接続する IoT SIM を選択し、操作所属グループ変更をクリックします。

新しい所属グループ で、 グループを作成し VPG を設定する で作成したグループを選択し、グループ変更 をクリックします。

オンラインの SIM の利用 VPG を変更した場合の設定反映方法

オンラインの IoT SIM の場合は、利用 VPG の変更が即座に反映されません。SORACOM ユーザーコンソールの SIM 管理画面で IoT SIM にチェックを入れて、操作セッション切断 をクリックしてください。次回、オンラインになったときに利用 VPG の変更が反映されます。

自動的にオンラインにならない場合は、いったんデバイスの電源を切ってから入れなおすなど、デバイスを操作してオンラインにしてください。

今後グループの VPG を変更する際にも、設定変更後にセッションの切断・作成が必要です。

IoT SIM からプライベートアドレスでアクセスする

VPG を使用する IoT SIM から、Azure Virtual Network 中のリソースへアクセスします。たとえば Virtual Machine を作成して、 IoT デバイス から Virtual Machine に、SSH や RDP、HTTP でアクセスしてください。

(参考) Direct の利用終了

Direct の利用を終了したい場合は、 SORACOM サポート へお問い合わせください。