強制トンネリングとは、Azure上の仮想ネットワークのDefault Gatewayを、Azure以外の場所に向ける設定方法である。

 Azureの初期設定では、仮想ネットワーク上のVirtual Machinesインスタンス(仮想マシン)はAzure基盤上から直接インターネットにアクセスする。裏を返せば、インターネットから直接仮想マシンにアクセスできる。これは重大なセキュリティホールになる危険性がある。

 そこで強制トンネリングを使うと、Azureの仮想マシンから直接インターネットへアクセスするのではなく、オンプレミス(自社所有)環境のVPN(Virtual Private Network)機器やファイアウォールなどを経由させることができる。

 ただし強制トンネリングによって、仮想ネットワークのルーティングが変更される。その結果、仮想マシンからインターネットにアクセスできなくなったり、エンドポイントから仮想マシンにアクセスできなくなったりする。

つまずき対策

 ここでは、オンプレミス環境のVPNルーターに強制トンネリングするケースを想定し、「仮想マシンからインターネットにアクセスできなくなる」「エンドポイントから仮想マシンにアクセスできなくなる」に分けて対策を解説する。

 まず「仮想マシンからインターネットにアクセスできなくなる」の対策は、VPN機器の設定を変更することだ。原因は、VPN機器にAzureからのパケットをインターネットへ転送するルーティングやNAT(Network Address Translation)設定がないので、パケットがドロップされることにある。そのためVPN機器の設定を、インターネットにルーティングしNATをするように変更する。