前回のTIPS記事「さくらのクラウドでWindows Serverを作成しVDI環境を構築する」では、さくらのクラウド上にWindows Serverを構築し、それを直接インターネットに接続して外部からのリモートデスクトップ接続を待ち受ける形態での構築方法を解説しました。1台のサーバを使用した場合を例として、さくらのクラウド上でのWindows Serverの作成から外部からリモートデスクトップ接続するまでの過程を説明しましたが、この構成では将来的に規模拡張する場合やリモートデスクトップ接続でより安全性の高い経路を必要とする場合には適しません。
そこで今回は、一般的にVPC(Virtual Private Cloud)と呼ばれるネットワークを構築し、その内部にWindows Serverを置くことで、安全性が高く、そして将来的にオフィス内のプライベートネットワークでよく利用されるサービスを提供するサーバの設置をクラウド上にまで拡張することが可能となる環境を構築する方法について説明します。
VPCとは
さくらのクラウドをはじめとしたIaaS型クラウドサービスでは、Webサーバやメールサーバなど、インターネットに接続し広く一般に提供するサービスだけではなく、インターネットに接続されない閉じたネットワーク環境を構築することも可能です。これにより、業務で使用するファイルを格納するファイルサーバや従業員のスケジュール管理を行うグループウェア、社内の各リソースへのアクセス権限を設定する認証サーバなど、従来は組織内のネットワークに物理的なマシンを設置することの多かった機器についてもクラウド上に移行することが可能となりました。VPCはクラウド上に配備されるため、容易なリソースの増減、複数拠点間での利用、リージョンを跨いだ冗長性の確保など、クラウドならではのメリットを生かすことが可能です。
VPCはプライベートなネットワークとなるため、何かしらの手段でクラウド外部からの接続を受け持つ手段が必要となりますが、これらのネットワークに適切にルーティングする機能に加え、VPNやDHCPなどVPCを活用する際に便利な多彩な機能を備えたものがさくらのクラウドでアプライアンスとして提供するVPCルータです。このVPCルータ1台をVPCネットワークとインターネット間を仲介するゲートウェイとして設置するだけで簡単にVPC環境が構築可能です。
この記事では、各サーバへプライベートIPアドレスを割り当てた外部ネットワークとは直接接続しない安全性の高いVPCネットワークを構築し、さらにそのネットワーク境界に設置したVPCルータのVPN機能を活用することで各クライアントがL2TP/IPsecやPPTPなどのプロトコルを使用し暗号化された経路でのリモートデスクトップ接続の利用が可能となる環境を構築するまでの手順について説明します。
想定するネットワーク
今回は、VPCネットワーク内にWindows Serverを1台のみ設置した場合を想定して構築します。もちろんVPC内には新たなWindows Serverや、もっと他の役割を持つサーバを追加しても構いません。
作成したVPCネットワークに接続するVPCルータは、さくらのクラウド内に作成したプライベートネットワークと外部のインターネットを接続するゲートウェイとなります。外部からの接続時はIPsecやPPTPといったL3ネットワークを暗号化することで安全なVPCネットワーク内へアクセスする手段を提供します。
※VPCルータは機能や性能ごとにスタンダードプラン、プレミアムプラン、ハイスペックプランの3プランがあり、それぞれでインターネットへの接続方式が異なります。今回は共用ネットワーク直接接続可能なスタンダードプランを使用した構築例となります。詳細についてはマニュアル内のプランごとの構成例のページを参照ください。
Windows Server以外に必要となるリソースは
・VPCネットワークとなるスイッチ x 1台
・VPCネットワークとインターネットのゲートウェイとなるVPCルータ x 1台(スタンダードプラン)
となります。
また、それぞれの機器に設定するIPアドレスは以下を想定し、設定作業を進めます。
| VPCルータ VPCネットワーク側インターフェース | 192.168.1.1 |
| VPC環境のネットワーク範囲 | 192.168.1.0/24 |
※VPC内の機器に設定するゲートウェイはVPCルータのVPC側ネットワークインターフェース(192.168.1.1)となります。
構築後のネットワーク構成、IPアドレスの割り当てイメージは以下の図のようになります。
VPC環境の構築に必要となる機器の作成
VPCルータ
VPCルータの新規作成のページを参考に作成を進めます。今回の例ではプランとして「スタンダードプラン」を選択します。
VPCネットワーク用スイッチ
VPCネットワーク内の機器の接続先となるスイッチをスイッチの新規作成のページを参考に作成します。
※今回の例で作成するのはルータ機能を持つ「ルータ+スイッチ」ではなく「スイッチ」となるため、新規作成画面内の「ルータ」のラジオボタンでは「いいえ」が選択されていることを確認してください
このスイッチがVPCネットワークのスイッチとなり、VPCネットワーク内に入れたい機器がこのスイッチの下にぶら下がることになります。前回の記事で作成したWindows Serverなど、既存の作成済みサーバをスイッチに接続する方法についてはNIC接続先の編集を参考に行います。接続後はWindos ServerのIPアドレスの192.168.1.0/24ネットワークいずれかへの変更も合わせて行ってください。
VPCルータのインターフェース設定
※VPCルータのインターフェース設定を行う際はVPCルータの電源がオフ状態である必要があります。新規作成後はオフ状態となりますが、オン状態となっている場合は電源操作により一旦オフ状態にしてから設定作業を行ってください。
まず初めに先の項目で作成したVPCネットワーク用スイッチに接続します。VPCルータのインターフェース設定のページを参考に、インターフェース名「プライベート1」にスイッチを接続する設定を行います。この際先に挙げた想定ネットワークの通り、IPアドレスを192.168.1.1、プリフィックスに/24を選択します。
これで基本的なVPCネットワークの構築は完了です。完了後は接続マップ機能により正しいネットワーク構成となっているかを簡単に確認することが可能です。
VPCルータのVPN設定
VPCルータにクライアントがVPN接続するためには、以下の設定を行います。マニュアルのリモートアクセス(VPN)設定を参考に設定を行ってください。
・PPTP、L2TP/IPsecサーバを有効化するための設定
・クライアントがPPTP、L2TP/IPsec接続時に使用する認証情報を設定するアカウント設定
※PPTP、L2TP/IPsecは必要に応じていずれか、または両方有効化することもできます
それぞれVPCネットワーク内に接続する各機器の割り当てIPアドレスと重複しないIPアドレス範囲をVPNクライアントに割り当てるように設定します。
クライアント側でのVPN接続設定
Windows 10でPPTP接続設定する場合を例に説明します(他のバージョンのWindowsや他のOS、L2TP/IPsecをご利用の場合はベンダー等のドキュメントを参照ください)。
PPTP接続
コントロールパネルを開き「ネットワークとインターネット」をクリックします。
左側のメニューにある「VPN」をクリックします。
「VPN接続を追加する」をクリックします。
VPN接続情報入力画面が表示されるので以下の通り入力します。
| VPNプロバイダー | 「Windows(ビルトイン)」を選択します。 |
| 接続名 | 分かりやすい接続名を入力します。 多数のVPCルータに接続する場合など、それぞれを見分けやすい名前にすると便利です。 |
| サーバ名またはアドレス | VPCルータのグローバルネットワーク側インターフェースのIPアドレスを入力します。 IPアドレスはVPCルータの「インターフェース」タブ内の「グローバル」で確認できます。 |
| VPNの種類 | 「Point to Point トンネリングプロトコル(PPTP)」を選択します。 |
| サインイン情報の種類 | 「ユーザー名とパスワード」を選択します。 |
| ユーザー名(オプション) | 接続時のユーザ名を保存する場合は入力します。 空欄の場合、接続時に都度確認されます。 |
| パスワード(オプション) | 接続時のパスワードを保存する場合は入力します。 空欄の場合、接続時に都度確認されます。 |
各項目を入力・選択後、下の「保存」ボタンをクリックします。VPN設定画面に戻ると、追加したVPN接続が表示されます。
以降、接続したいVPNをクリックし、下部に表示された「接続」ボタンをクリックすることでVPCルータへPPTP接続を開始することができます。
接続後はさくらのクラウド上に構築したVPCへのアクセスが可能となります。リモートデスクトップ接続でWindows Serverに割り当てられたプライベートIPアドレスを接続先として指定します。
L2TP/IPsec接続
PPTP接続と同様の流れとなりますが、VPN接続設定画面では以下の項目が異なります。
・VPNの種類: 「事前共有キーを使ったL2TP/IPsec」を選択
・事前共有キー: VPCサーバのL2TP/IPsecサーバ設定で設定したPre Shared Secretの文字列
さらに、アダプタ設定よりMicrosoft CHAP Version2を有効にする設定が必要です。VPC設定画面にある「アダプターのオプションを変更する」をクリックします。
VPN設定で追加した接続が表示されるので、該当のT2TP/IPsec接続を右クリックし、「プロパティ」を選択します。
「セキュリティ」タブをクリックし、「データの暗号化」のポップアップメニューで「暗号化が必要」を選択、「認証」の項目では「次のプロトコルを許可する」のラジオボタンを選択し、「Microsoft CHAP Version 2(MS-CHAP v2)」のチェックボックスにチェックが入っていることを確認し(通常はデフォルトでチェックされた状態となりますがチェックされていない場合はチェックを有効化します)、OKボタンをクリックしてプロパティ画面を閉じます。
その後はPPTPの場合と同様の手順でVPCルータへのVPN接続が可能です。
