インストールガイド / Microsoft Azure編

ここでは、パブリッククラウドサービスの Microsoft Azure 環境上に、本製品をセットアップする手順を説明します。

手順概要

本製品をAzure上にセットアップする大まかな手順は次のとおりです。
  1. カスタムイメージの作成
    本製品のVHDイメージファイルをAzureにアップロードし、仮想マシンのテンプレートとなるカスタムイメージを作成します。

  2. 仮想マシンの作成
    作成したカスタムイメージから本製品の仮想マシンを作成します。

  3. ユーザーネットワークとの接続
    ユーザーネットワークとの間にIPsec VPNを構築し、本製品とユーザーネットワーク上の機器が安全に通信できるようにします。

カスタムイメージの作成

Azure上に本製品の仮想マシンを作成するには、仮想マシンのテンプレートとなるカスタムイメージを作成しておく必要があります。

ここでは、Azureに本製品のVHDイメージファイルをアップロードし、カスタムイメージを作成する方法を説明します。

前提条件

カスタムイメージを作成するには、以下のものが必要です。

VHDイメージファイルの準備

あらかじめ用意したAzure用のVHDイメージファイル(gzip圧縮済み)を、PC上の適切なディレクトリー(フォルダー)にコピー(ダウンロード)し、伸張(圧縮解除)してください。

以下では、圧縮済みVHDイメージファイル(AR4000S-Cloud-X.Y.Z-A.B.vhd.gz)がホームディレクトリー直下のtmpディレクトリー(~/tmp)にコピーされているものと仮定します。他のディレクトリーにコピーした場合は適宜読み替えてください。
  1. カレントディレクトリーを~/tmpに移動します。
    ubuntu@ubuntu-pc:~$ cd ~/tmp

  2. gunzipコマンドで圧縮ファイルを伸張します。
    ubuntu@ubuntu-pc:~/tmp$ gunzip AR4000S-Cloud-5.5.6-0.1.vhd.gz

  3. これでカレントディレクトリーにVHDイメージファイル「AR4000S-Cloud-5.5.6-0.1.vhd」が準備できました。

カスタムイメージの作成手順

カスタムイメージは次の手順で作成します。
なお、本セクションで示すコマンド名は、Azure CLI 2.51 のコマンドです。本製品の AlliedWare Plus コマンドではありませんのでご注意ください。
Azure CLI 2.51 コマンドの詳細については、Azure CLI 2.51 のマニュアルをご参照ください。

最初に以下の例で使用する各種設定要素の名前をまとめておきます。
これらは説明用のサンプルですので、実際にはご利用の環境に合わせたものをご使用ください。
リソース グループ名 ar4000s
ストレージ アカウント名 ar4000sstore
ストレージ コンテナー名 ar4000svhds
アップロードするVHDファイル名 AR4000S-Cloud-5.5.6-0.1.vhd
アップロード後のVHDファイル名(BLOB名) AR4000S-Cloud-5.5.6-0.1.vhd
カスタムイメージ名 ar4000s-5.5.6-0.1
なお、リソース グループ、ストレージ アカウント、ストレージ コンテナーは、以下の例ではすべて新規に作成していますが、すでに作成済みのものを使用してもかまいません。

  1. Azureへのログイン
    Azureにログインします。これには az loginコマンドを使います。
    Azureへのログインにはいくつかの方法があり、それぞれ引数の指定方法やその後の手順が異なりますので、ご利用環境にあった方法と手順を選んでください。
    次の例のように引数を指定しないで実行した場合はWebブラウザーを使った対話式ログインになります。
    ubuntu@ubuntu-pc:~/tmp$ az login
To sign in, use a web browser to open the page https://aka.ms/devicelogin and enter the code XXXXXXXXX to authenticate.
...

  2. リソース グループの作成(必要な場合)
    リソース グループは、Azure上に作成した仮想マシン、ディスク、仮想ネットワークなどの各種リソースをまとめて管理するためのフォルダーのような仕組みです。Azure上で管理するリソースは必ずいずれかのリソース グループに所属します。
    本製品で使用するリソース グループが存在していない場合は、az group createコマンドで作成してください。
    すでに作成済みのリソース グループを使う場合は、本手順は実行不要です。
    次の例では、「ar4000s」という名前の新しいリソース グループを「japaneast」(東日本)に作成しています。
    ubuntu@ubuntu-pc:~/tmp$ az group create --location japaneast --name ar4000s

  3. ストレージ アカウントの作成(必要な場合)
    カスタムイメージの作成に使用するストレージ アカウントが存在していない場合は、az storage account createコマンドで作成してください。
    すでに作成済みのストレージ アカウントを使う場合は、本手順は実行不要です。
    次の例では、「ar4000sstore」という名前の新しいストレージ アカウントを、リソースグループ「ar4000s」内に、SKU「Standard_LRS」で作成しています。
    ubuntu@ubuntu-pc:~/tmp$ az storage account create --resource-group ar4000s --name ar4000sstore --sku Standard_LRS

  4. ストレージ コンテナーの作成(必要な場合)
    VHDイメージファイルをアップロードするためのストレージ コンテナーが存在していない場合は、az storage container createコマンドで作成してください。
    すでに作成済みのストレージ コンテナーを使う場合は、本手順は実行不要です。
    次の例では、「ar4000svhds」という名前の新しいストレージ コンテナーを、ストレージ アカウント「ar4000sstore」に作成しています。
    ubuntu@ubuntu-pc:~/tmp$ az storage container create --account-name ar4000sstore --name ar4000svhds

  5. VHDイメージファイルのアップロード
    VHDイメージファイルをストレージ コンテナーにアップロードします。これには、az storage blob uploadコマンドを使います。
    次の例では、PCの「~/tmp」ディレクトリーにあるVHDイメージファイル「ar4000s-5.5.6-0.1.vhd」を、ストレージ アカウント「ar4000sstore」内のストレージ コンテナー「ar4000svhds」に、元ファイルと同じ名前でアップロードしています。
    ubuntu@ubuntu-pc:~/tmp$ az storage blob upload --account-name ar4000sstore --container-name ar4000svhds --name AR4000S-Cloud-5.5.6-0.1.vhd --type page --file AR4000S-Cloud-5.5.6-0.1.vhd

  6. アップロードしたVHDイメージファイルのURL取得
    アップロードしたVHDイメージファイルのURLを取得します。これには、az storage blob urlコマンドを使います。
    ubuntu@ubuntu-pc:~/tmp$ az storage blob url --account-name ar4000sstore --container-name ar4000svhds --name AR4000S-Cloud-5.5.6-0.1.vhd --output tsv
https://ar4000sstore.blob.core.windows.net/ar4000svhds/AR4000S-Cloud-5.5.6-0.1.vhd

  7. カスタムイメージの作成
    アップロードしたVHDイメージファイルをもとにカスタムイメージを作成します。これには、az image createコマンドを使います。
    次の例では、「ar4000s-5.5.6-0.1」という名前の新しいカスタムイメージを、リソースグループ「ar4000s」内に作成しています。
    VHDイメージファイルは、前の手順で表示されたURLで指定します。
    ubuntu@ubuntu-pc:~/tmp$ az image create --resource-group ar4000s --name ar4000s-5.5.6-0.1 --os-type Linux --source https://ar4000sstore.blob.core.windows.net/ar4000svhds/AR4000S-Cloud-5.5.6-0.1.vhd

以上でカスタムイメージ作成は完了です。

仮想マシンの作成

次に、本製品の仮想マシンを作成するための手順について説明します。

前提条件

仮想マシンの作成にあたっては、下記の事前準備が必要です。
まだ準備が完了していない場合は、前の各セクションを参照して準備を行ってください。

また、ネットワーク構成やアクセス制御についても事前の検討・設計が必要ですが、これらは完了している前提で進めます。

次図は、仮想マシン作成時に扱う各種設定情報をまとめたものです。
以下の説明では、この図に記載した名前やアドレスを使います。実際にはご利用の環境にあわせ適宜読み替えてください。


仮想マシンの作成手順

仮想ネットワークの作成

最初に、本製品の仮想マシンを配置する仮想ネットワークおよびサブネットを作成します。

仮想ネットワークとサブネットの作成は次の手順で行います。
  1. Azureポータルの検索ボックスから「仮想ネットワーク」と入力して検索し、検索結果から「仮想ネットワーク」を選択します。
    「+作成」をクリックすると「仮想ネットワークの作成」ブレードが表示されます。

  2. 「仮想ネットワークの作成」ブレードで各項目に適切な値を入力し、「次へ」ボタンをクリックします。

    サブスクリプション 適切なものを選択
    リソース グループ 「ar4000s」を選択
    仮想ネットワーク名 ar4000sNetwork
    地域 適切なものを選択

  3. 「IPアドレス」タブが表示されるので、デフォルトで表示される「10.0.0.0/16」に代わり「172.30.0.0/16」を入力します。

    アドレス入力欄 172.30.0.0/16

  4. 鉛筆マークをクリックすると「サブネット編集」画面が表示されるので、各項目に適切な値を入力して「保存」をクリックします。

    名前 ar4000sSubnet
    IPv4アドレスの範囲 172.30.0.0/16
    開始アドレス 172.30.0.0
    サイズ /24

  5. 「確認+作成」をクリックすると確認画面が表示されるので、「作成」をクリックします。
    しばらくして作成が完了すると、「デプロイメントが成功しました」という通知が表示されます。

以上で仮想ネットワークの作成は完了です。

ネットワーク セキュリティ グループの作成

ネットワーク セキュリティ グループは、仮想マシンの通信に適用する仮想的なファイアウォールです。
ネットワーク セキュリティ グループは、デフォルトで外部から(インバウンド)の通信はすべて拒否、内部から(アウトバウンド)の通信はすべて許可しますので、外部からの必要な通信を許可する設定が必要です。

ここでは、新規にネットワーク セキュリティ グループを作成し、ユーザーネットワークからの全トラフィックと、任意のアドレスからのSSH、HTTPSだけを許可する受信セキュリティ規則(ルール)を追加します。

本手順で追加するセキュリティ規則の概要をまとめます。

受信セキュリティ規則
優先度
名称
送信元
宛先
対象プロトコル
アクション
100 AllowFromUserNetwork 192.168.1.0/24 すべて すべて 許可
110 AllowSSH 10.1.1.1(ユーザーネットワーク側ルーターのパブリックIPアドレス) すべて SSH (22/TCP) 許可
120 AllowHTTPS 10.1.1.1(ユーザーネットワーク側ルーターのパブリックIPアドレス) すべて HTTPS (443/TCP) 許可

  1. Azureポータルの検索ボックスから「ネットワークセキュリティグループ」と入力して検索し、検索結果から「ネットワーク セキュリティ グループ」を選択します。
    「+作成」をクリックすると「ネットワーク セキュリティ グループ」ブレードが表示されます。

  2. 「ネットワーク セキュリティ グループの作成」ブレードで各項目に適切な値を入力し、「確認および作成」ボタンをクリックします。
    確認画面が表示されたら「作成」をクリックします。

    サブスクリプション 適切なものを選択
    リソース グループ 「ar4000s」を選択
    名前 ar4000sNSG
    場所 適切なものを選択

  3. しばらくして作成が完了すると、「デプロイメントが成功しました」という通知が表示されます。

  4. 次に、ユーザーネットワークからのトラフィックを許可するため、作成したばかりのネットワーク セキュリティ グループ「ar4000sNSG」に受信セキュリティ規則(インバウンド ルール)を追加します。
    Azureポータルから「すべてのリソース」を選択し「名前でフィルター...」欄に「ar4000sNSG」と入力すると、「名前」欄に「ar4000sNSG」が表示されるので、これをクリック。続いて「受信セキュリティ規則」>「+ 追加」の順にクリックします。


  5. 「受信セキュリティ規則の追加」ブレードで各項目に適切な値を入力し、「追加」をクリックします。

    ソース IP Addressesを選択
    ソースIPアドレス/CIDR範囲 192.168.1.0/24
    ソースポート範囲 *
    宛先 Any(デフォルト)
    宛先ポート範囲 *
    プロトコル Any
    アクション 許可(デフォルト)
    優先度 100(デフォルト。ルールの処理順序。100~4096の範囲で100がもっとも優先されます)
    名前 AllowFromUserNetwork

  6. しばらくして作成が完了すると、「セキュリティ規則が作成されました」という通知が表示されます。

  7. 次に、SSHを許可するため、受信セキュリティ規則(インバウンド ルール)をもう1つ追加します。
    「ar4000sNSG - 受信セキュリティ規則」ブレードで「+ 追加」をクリックします。
    「受信セキュリティ規則の追加」ブレードで各項目に適切な値を入力し、「追加」をクリックします。

    ソース IP Addressesを選択
    ソースIPアドレス/CIDR範囲 10.1.1.1
    ソースポート範囲 *
    宛先 Any(デフォルト)
    宛先ポート範囲 22
    プロトコル TCP
    アクション 許可(デフォルト)
    優先度 110(デフォルト。ルールの処理順序。100~4096の範囲で100がもっとも優先されます)
    名前 AllowSSH

  8. しばらくして作成が完了すると、ふたたび「セキュリティ規則が作成されました」という通知が表示されます。

  9. 次に、HTTPSを許可するため、受信セキュリティ規則(インバウンド ルール)をもう1つ追加します。
    「ar4000sNSG - 受信セキュリティ規則」ブレードで「+ 追加」をクリックします。
    「受信セキュリティ規則の追加」ブレードで各項目に適切な値を入力し、「追加」をクリックします。

    ソース IP Addressesを選択
    ソースIPアドレス/CIDR範囲 10.1.1.1
    ソースポート範囲 *
    宛先 Any(デフォルト)
    宛先ポート範囲 443
    プロトコル TCP
    アクション 許可(デフォルト)
    優先度 120(デフォルト。ルールの処理順序。100~4096の範囲で100がもっとも優先されます)
    名前 AllowHTTPS

  10. しばらくして作成が完了すると、ふたたび「セキュリティ規則が作成されました」という通知が表示されます。

以上でネットワーク セキュリティ グループの作成は完了です。

仮想マシンの作成

  1. Azureポータルから「すべてのリソース」を選択し「名前でフィルター...」欄に「ar4000s-5.5.6-0.1」と入力すると、「名前」欄に「カスタムイメージの作成」で作成したカスタムイメージ「ar4000s-5.5.6-0.1」が表示されるので、これをクリック。続いて「概要」>「+ VM の作成」の順にクリックします。


  2. 「仮想マシンの作成」の「基本」ブレードで各項目に適切な値を入力します。

    サブスクリプション 適切なものを選択
    リソースグループ 「ar4000s」を選択
    仮想マシン名 AR4000SCloud
    地域 適切なものを選択
    イメージ ar4000s-5.5.3-2.1を選択
    VMアーキテクチャ x64を選択
    サイズ Standard_B1s
    認証の種類 パスワード
    ユーザー名 manager
    パスワード Friend!Friend!
    パスワードの確認 Friend!Friend!

  3. 「ネットワーク」タブをクリックし、各項目に適切な値を入力し、「確認および作成」ボタンをクリックします。
    確認画面が表示されたら「作成」をクリックします。

    仮想ネットワーク 「ar4000sNetwork」を選択
    サブネット 「ar4000sSubnet」を選択
    パブリックIP(新規) AR4000SCloudX-ip(名前は自動的に決まるため一例です)
    NIC ネットワーク セキュリティ グループ 「詳細」を選択
    ネットワークセキュリティグループの構成 「ar4000sNSG」を選択

  4. しばらくして作成が完了すると、「デプロイメントが成功しました」という通知が表示されます。
以上で仮想マシンの作成は完了です。

完了後詳細が表示されたら、表示されたパブリックIPアドレスに対して、初期設定のユーザー名「manager」とパスワード「friend」によるSSHアクセスのテストを実施してください。

ユーザーネットワークとの接続

ユーザーネットワークから本製品を利用するためには、Azureの仮想ネットワークとユーザーネットワークを接続する必要があります。
これは、AT-AR4000S-Cloud自身とユーザーネットワークのVPNルーターの間にIPsecトンネルを構築することで実現できます。
ここでは、ユーザーネットワーク側のVPNルーターとして弊社のAT-AR4050S(以下、「ARルーター」)を使う場合を例に、それぞれの方法を説明します。

AT-AR4000S-CloudのVPN機能を使う方法

本製品(AT-AR4000S-Cloud)のVPN機能を使って本製品とユーザーネットワークを接続する場合の基本構成は次のとおりです。

この構成では、AT-AR4000S-Cloud自身がVPNルーターとなって、ユーザーネットワーク側VPNルーターとの間にIPsecトンネルを構築します。
そのため、VPN接続の設定はAT-AR4000S-Cloud自身に対して行います。仮想ネットワークゲートウェイなど、Azure側の設定は基本的に不要ですが、ネットワーク セキュリティ グループに関しては、ARルーターからのVPN通信を許可するようルールを追加してください。

なお、以下は参考例ですので、実環境では適宜設定を調節してください。

表 12:ユーザーネットワークとの接続パラメーター
 
AT-AR4000S-Cloud
ARルーター
トンネルインターフェース名
tunnel0
tunnel0
トンネル動作モード
IPsec (IPv4)
IPsec (IPv4)
トンネル終端アドレス(AT-AR4000S-Cloudから見た場合)
172.30.0.5
(eth0のプライベートIP)
10.1.1.1
(パブリックIP)
トンネル終端アドレス(ARルーターから見た場合)
10.0.0.5
(仮想マシンのパブリックIP)
10.1.1.1
(パブリックIP)
トンネルI/Fに設定するアドレス
172.16.0.1/30
172.16.0.2/30
ISAKMPフェーズ1 ID
arcloud0(ホスト名形式文字列)
10.1.1.1(IPアドレス)
ISAKMP事前共有鍵
abcdefghijklmnopqrstuvwxyz1234

Azure側の設定

AT-AR4000S-Cloudの仮想マシンに適用されているネットワーク セキュリティ グループに対し、ARルーターからのVPN通信を許可する受信セキュリティ規則を追加します。
ソース
宛先ポート範囲
プロトコル
アクション
説明
10.1.1.1(ARルーターのパブリックIPアドレス) 500 UDP 許可 ISAKMP
10.1.1.1(ARルーターのパブリックIPアドレス) 4500 UDP 許可 NAT-T(UDP-encap ISAKMP/ESP)

AT-AR4000S-Cloud側の設定

AT-AR4000S-Cloudには、ARルーターと同等のVPN機能が実装されているため、設定内容は後述するARルーターのものと類似しています。

ただし、AT-AR4000S-Cloud自身にはプライベートIPアドレス(172.30.0.5)が設定されており、AT-AR4000S-CloudのパブリックIPアドレス(10.0.0.5)はAzureのNAT機能で変換されたものであることから、ARルーター側でISAKMP接続時にAT-AR4000S-Cloudを正しく識別できるよう、tunnel local nameで自装置の名前(ホスト名形式文字列)を送信するよう設定する必要があります。
  1. ARルーター(10.1.1.1)との間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
    crypto isakmp key abcdefghijklmnopqrstuvwxyz1234 address 10.1.1.1
  2. IPsecトンネルインターフェース tunnel0 を作成します。
    これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

    ・ローカル側トンネル終端アドレス(tunnel source) - AT-AR4000S-Cloud の eth0 インターフェースを指定します
    ・リモート側トンネル終端アドレス(tunnel destination) - ARルーターのパブリックIPアドレスを指定します
    ・ISAKMPローカル名(tunnel local name) - ARルーターがAT-AR4000S-Cloudを識別できるよう任意の文字列を指定します
    ・トンネリング方式(tunnel mode ipsec
    ・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec
    ・トンネルインターフェースのIPアドレス(ip address
    ・トンネルインターフェースのMTU(mtu
    interface tunnel0
 tunnel source eth0
 tunnel destination 10.1.1.1
 tunnel local name arcloud0
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip address 172.16.0.1/30
 mtu 1300
  3. ユーザーネットワーク(192.168.1.0/24)への経路を設定します。これにはip routeコマンドを使います。
    ただし、VPN接続が有効になるまでは、同経路を使用できないように設定します。
    ip route 192.168.1.0/24 tunnel0
ip route 192.168.1.0/24 null 254

ARルーター側の設定

次にユーザーネットワーク側のVPNルーターである、ARルーター側のVPN設定について説明します。

ここでは、ARルーターがppp0インターフェースでインターネットと接続しているものと仮定します。
また、インターネット接続設定や、AT-AR4000S-Cloud側の設定 は、完了していることを前提とします。

前述のとおり、AT-AR4000S-Cloud自身にはプライベートIPアドレス(172.30.0.5)が設定されており、AT-AR4000S-CloudのパブリックIPアドレス(10.0.0.5)はAzureのNAT機能で変換されたものであることから、ARルーター側ではISAKMP接続時にAT-AR4000S-Cloudを正しく識別できるよう、tunnel remote nameでAT-AR4000S-Cloud側に設定したのと同じ文字列を指定する必要があります。
  1. AT-AR4000S-Cloudとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
    AT-AR4000S-CloudのパブリックIPは実際にはNAT変換されたものであるため、ここではAT-AR4000S-Cloudをホスト名形式の文字列IDで識別しています。
    crypto isakmp key abcdefghijklmnopqrstuvwxyz1234 hostname arcloud0
  2. IPsecトンネルインターフェース tunnel0 を作成します。
    これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

    ・ローカル側トンネル終端アドレス(tunnel source) - ARルーターの ppp0 インターフェースを指定します
    ・リモート側トンネル終端アドレス(tunnel destination) - AT-AR4000S-CloudのパブリックIPアドレスを指定します
    ・ISAKMPリモート名(tunnel local name) - NAT経由で相手を識別するため、AT-AR4000S-Cloudに設定したのと同じ文字列を指定します
    ・トンネリング方式(tunnel mode ipsec
    ・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec
    ・トンネルインターフェースのIPアドレス(ip address
    ・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss
    ・トンネルインターフェースのMTU(mtu
    interface tunnel0
 tunnel source ppp0
 tunnel destination 10.0.0.5
 tunnel remote name arcloud0
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip address 172.16.0.2/30
 ip tcp adjust-mss 1260
 mtu 1300
  3. AT-AR4000S-Cloud(172.30.0.5/32)への経路を設定します。これにはip routeコマンドを使います。
    ただし、VPN接続が有効になるまでは、同経路を使用できないように設定します。
    ip route 172.30.0.5/32 tunnel0
ip route 172.30.0.5/32 null 254

ここまでくれば、Azure上の本製品とユーザーネットワークのIP通信ができるようになっています。

ファームウェアの更新

本製品のファームウェアを更新するには、software-upgradeコマンドを使います。

前提条件

あらかじめ更新先バージョンのファームウェアイメージファイルを用意し、Azure上の本製品にアップロードしておく必要があります。
ファイルの入手方法については「インストールガイド」/「はじめに」をご参照ください。

ISOファイル、VHDファイルについて

本製品のファームウェアイメージファイルはいくつかの形式で配布されていますが、それぞれ次のように用途が異なります。
Azure環境のファームウェア更新に使うのはISOイメージファイルのほうです。

更新手順

本製品のファームウェアを更新するには、本製品のCLIにログインして、下記の手順を実行します。
  1. ファイルシステム上にISOイメージファイルが存在することを確認します。
    awplus# dir
...
xxxxxxxxx -rw- XXX XX 2XXX XX:XX:XX AR4000S-Cloud-5.5.6-0.2.iso ← 新しいファームウェア

  2. software-upgradeコマンドでISOイメージファイルを指定します。確認メッセージが表示されるので「y」を入力してください。
    awplus# software-upgrade AR4000S-Cloud-5.5.6-0.2.iso
Install this release to disk? (y/n): y
Upgrade succeeded, the changes will take effect after rebooting the device.

  3. 新しいファームウェアで再起動します。
    awplus# reboot