概要
この記事では、Managed Cloud PaaS 2.0デプロイでサイト間VPN実装の支援をリクエストする際に利用可能なサービスとサポートの範囲について説明しています。
Azureサービス
Sitecoreは、貴社ハブ環境をプロビジョニングする際に、サイト間VPNを実装するのに必要なAzureサービスをデプロイします。
注: プライマリ ハブは貴社の最初のSitecore環境と同時にデプロイされます。プライマリ ハブは本番環境および非本番環境(スポーク)で共通となります。追加のディザスタ リカバリ(DR)ハブは、DRサービスをPaaS 2.0と組み合わせて購入されたお客様のセカンダリAzureリージョン内で提供されます。
ハブ環境に含まれるAzureサービスに関する詳細につきましては、以下のKB記事をご参照いただくことをお勧めいたします。
- Sitecore Managed Cloud Standard - Sitecore XP 10.3.1以降のバージョン用トポロジーと価格レベルについて(PaaS 2.0)
- Sitecore Managed Cloud Premium - Sitecore XP 10.3.1以降のトポロジーと価格レベル(PaaS 2.0)
大まかなVPN導入プロセス
Azureでのサイト間VPN接続を作成するにあたっては、SitecoreによってホスティングされているAzureインフラおよび、貴社のオンプレミス ネットワーク内で幾つかの手順を実施する必要があります。Sitecoreは、オンプレミス側のコンポーネントまたはサービスに対しては、いかなる責任も負いませんのでご注意ください。また、サイト間VPNを実装する際には、お客様側のITチームからの情報提供が必要となります。
本KB記事内にて説明されている手順は、VPNのペアリング プロセスをご案内することを目的としています。実際にVPN接続を確立するのに必要となる手順は、貴社のVPNおよびオンプレミス ネットワークのプロパティと設定に応じて異なる可能性があります。
サイト間VPNのRACI
本ページの以降の図表では、次の記号を使用して各関係者の責任範囲を記載いたします。
- R = 実行責任者(Responsible): タスクを直接実施・完了する責任者です。
- A = 説明責任者(Accountable): 成果物またはタスクの正確かつ完全な完了に対する最終的な責任を負い、作業を実行責任者に委任している責任者です。
- C = 協業先(Consulted): その他の責任者等から相談を受ける有識者(すなわち、内容領域専門家)であり、双方向のコミュニケーションを行う担当者です。
- I = 報告先(Informed): 随時タスクの進捗について(もしくはタスクの完了または成果物についてのみ)報告を受ける担当者です。
大まかなS2S VPNの導入手順
| RACIの説明 | お客様/パートナー様 | Sitecore |
| 仮想ネットワークの作成 * | C, I | R, A |
| 仮想ネットワークの作成 ** | C, I | R, A |
| ローカル ネットワーク ゲートウェイの作成 *** | C, I | R, A |
| VPN デバイスの構成 | R, A | C, I |
注: Sitecoreは、オンプレミス側のコンポーネントまたはサービスにはいかなる責任も負いません。サイト間VPNの実装には、お客様側のITチームからの情報提供が必要となります。
* 全ての仮想ネットワークは、初期のSitecore環境のプロビジョニング処理中にSitecoreによって作成されます(スポーク)。
** VPNゲートウェイは、初期のハブ環境のプロビジョニング処理中にSitecoreによって作成されます(ハブ)。Sitecoreは現在、ルートベースVPNゲートウェイのみをサポートしています。
*** ローカル ネットワーク ゲートウェイは、お客様からのサイト間接続設置のリクエストに応じて、Sitecoreによりプロビジョニングされます。
PaaS 2.0のネットワーク構築とVPN実装のRACI
| Sitecoreハブ環境 – プロビジョニング | お客様/パートナー様 | Sitecore |
|
Sitecoreハブ環境のデプロイ
|
C, I | R, A |
| Sitecoreハブ環境 – ネットワーク構築 | ||
| ハブ環境にAzure仮想ネットワークをデプロイ |
C, I | R, A |
| ハブ サブネット グループを作成・設定 | C, I | R, A |
| ハブ環境にAzureネットワーク セキュリティ グループ(NSG)をデプロイ | C, I | R, A |
| Azure VPNゲートウェイをデプロイ | C, I | R, A |
| パブリックIPアドレスを割り当て | C, I | R, A |
| Azureローカル ネットワーク ゲートウェイをデプロイ | C, I | R, A |
| Azureローカル ネットワーク ゲートウェイ(サイト間接続)を設定 | R, A | R, A |
| Sitecoreスポーク環境 – ネットワーク構築 | ||
|
スポーク環境をデプロイ
|
C, I | R, A |
| Sitecoreスポーク環境 – ネットワーク構築 | ||
| Sitecoreスポーク環境にAzure仮想ネットワークをデプロイ |
C, I | R, A |
| スポーク サブネット グループを作成・設定 |
C, I | R, A |
| スポーク環境にAzureネットワーク セキュリティ グループ(NSG)をデプロイ |
C, I | R, A |
| VNetピアリング | ||
| ハブおよびスポーク環境間にVNetピアリングを設定 |
C, I | R, A |
| VPN設定 – Sitecore | ||
| 共有キーを作成 |
R, A | C, I |
| VNetゲートウェイのパブリックIPを割り当て |
C, I | R, A |
| 全てのオンプレミスVPNおよびネットワークの設定 |
R, A | C, I |
| 全てのオンプレミスVPNおよびネットワークの監視およびメンテナンス |
R, A | C, I |
Azureインフラストラクチャ
- Sitecoreが、貴社のプライマリ ハブ環境をデプロイします。
- Sitecoreプライマリ ハブは、以下のコアAzureサービスを提供します。
- 仮想ネットワーク
- サブネット
- パブリックIPアドレス
- VPNゲートウェイ
- ローカル ネットワーク ゲートウェイ
- VPN接続の確立
- Sitecoreプライマリ ハブは、貴社の本番および非本番環境(スポーク)へのVNetピアリングを含みます。詳細については、以下をご参照ください。
オンプレミス インフラストラクチャ
- お客様は、全てのオンプレミスのインフラに責任を負います。
- VPNデバイスの設定
- Azureに定義されている設定に合う設定を使用して貴社のオンプレミスVPNデバイスを構成します。
- 共有キーをインポートし、IPSECポリシーをセットします。
- ルート構成
- AzureリソースからVPNトンネルへトラフィックを送信するルートを構成します。
- 接続性のテスト
- VPNトンネルが有効になっていることを確認します。
- VPNトンネルの両側のリソースが通信可能であることを確認します。
VPNトンネルの検証
- Azureポータル:
- AzureポータルでVPN接続の状態を確認します。
- ログと監視:
- Azure上でログとメトリックをレビューし、オンプレミスVPNデバイスが安定して接続できていることを確認します。
- データの転送:
- Azure VNetと貴社オンプレミス ネットワーク間でデータ転送をテストします。
注: この記事内で記載されている手順は、ディザスタ リカバリ環境内(追加の購入とお客様との合意が必要)でも繰り返し実施する必要があります。
Sitecore – ハブおよびスポーク仮想ネットワークのピアリング
各スポークは独自の仮想ネットワークを有し、各仮想ネットワークは複数のサブネットを含み、そして各サブネットにはAzureサービスへの認証されたアクセスを制御し、認証されていないアクセスを防止するためのネットワーク セキュリティ グループが付属しています。Sitecore Managed Cloudは、スポークがハブのVPNゲートウェイなどの共有サービスと通信できるようにするため、各スポークからハブ ネットワークへのVNetピアリングを実装しています。
PaaS 2.0のネットワーク アーキテクチャおよびManaged Cloud内でのサブネットの割り当てに関する詳細につきましては、KB1003115をご参照ください。
Microsoftのドキュメント
サイト間仮想プライベート ネットワーク(VPN)をMicrosoft Azureプラットフォーム上に実装する方法の最も信頼のおけるガイドといたしましては、Microsoftより提供されている以下のドキュメントをご参照ください。
https://learn.microsoft.com/ja-jp/azure/vpn-gateway/tutorial-site-to-site-portal
https://learn.microsoft.com/ja-jp/azure/vpn-gateway/tutorial-site-to-site-portal#CreateConnection