Amazon Web Services (AWS) にデプロイされたデータベースをData Transmission Service (DTS) インスタンスのソースまたはターゲットデータベースとして使用する場合は、DTSサーバーからデータベースへのアクセスを許可するために特定の設定を完了する必要があります。 ほとんどの場合、パブリックIPアドレスまたは仮想プライベートクラウド (VPC) を使用してAWSデータベースをAlibaba Cloudに接続できます。 このトピックでは、AWSデータベースをAlibaba Cloudに接続する方法について説明します。
パブリックIPアドレスを介した接続
AWSデータベースにはインターネット経由でアクセスでき、DTSサーバーのCIDRブロックは、セキュリティグループルール、ファイアウォールポリシー、IPアドレスホワイトリストなどのデータベースのセキュリティ設定に追加されます。
AWSデータベースを設定する方法の詳細については、「AWS」をご参照ください。
DTSサーバーのCIDRブロックの詳細については、「CIDRブロックの追加」をご参照ください。
VPC経由の接続
シナリオ
この例では、Alibaba Cloudのドイツ (フランクフルト) リージョンにVPCを作成し、Amazon Web Services (AWS) のヨーロッパ (フランクフルト) リージョンにVPCを作成します。 企業は、Alibaba Cloud VPCとAmazon VPCが相互に通信することを望んでいます。
企業は、Alibaba CloudとAWS VPNのパブリックVPNゲートウェイを使用してIPsec-VPN接続を確立し、2つのVPC間の暗号化通信を可能にします。
前提条件
AWSデータベースはVPCにあります。 詳細については、「」をご参照ください。AWS.
VPCは、Alibaba Cloudのドイツ (フランクフルト) リージョンで作成されます。 詳細については、「」をご参照ください。IPv4 CIDRブロックを持つVPCの作成.
AWS VPCとAlibaba Cloud VPCのCIDRブロックが取得されます。
説明CIDRブロックは自分で計画できます。 2つのVPCのCIDRブロックが互いに重複しないようにしてください。
リソース
CIDRブロック
IPアドレス
Alibaba Cloud VPC
10.0.0.0/16,100.104.0.0/16
Alibaba Cloudデータベースのプライベートアドレス
AWS VPC
192.168.0.0/16
AWSデータベースのプライベートアドレス
手順
Alibaba CloudにVPNゲートウェイを作成します。
Alibaba CloudにVPNゲートウェイを作成します。 詳細については、「手順1: Alibaba CloudでのVPNゲートウェイの作成」をご参照ください。
AWSにVPNリソースをデプロイします。
詳細については、「ステップ2: AWSにVPNリソースをデプロイする」をご参照ください。
Alibaba CloudにVPNゲートウェイをデプロイします。
AWS VPCとAlibaba Cloud VPCの間にIPsec-VPN接続を確立します。 詳細については、「手順3: Alibaba CloudにVPN gatewayをデプロイする」をご参照ください。
手順1: Alibaba CloudでのVPNゲートウェイの作成
まず、Alibaba CloudにVPNゲートウェイを作成する必要があります。 VPNゲートウェイが作成されると、システムはVPNゲートウェイに2つのIPアドレスを割り当てます。 IPアドレスは、AWSへのIPsec-VPN接続を確立するために使用されます。
VPN Gatewayコンソールにログインします。
上部のナビゲーションバーで、VPNゲートウェイを作成するリージョンを選択します。
VPNゲートウェイのリージョンは、関連付けられるVPCのリージョンと同じである必要があります。
VPN Gatewayページで、VPN Gateway の作成 をクリックします。
購入ページで、次のパラメーターを設定し、今すぐ購入 をクリックして、支払いを完了します。
次の表に、設定する必要がある主要なパラメーターのみを示します。 他のパラメーターについては、デフォルト値を使用するか、空のままにします。 詳細については、「VPN gatewayの作成と管理」をご参照ください。
パラメーター
説明
例
名前
VPNゲートウェイの名前。
VPN Gatewayを入力します。
リージョン
VPNゲートウェイを作成するリージョン。
ドイツ (フランクフルト) を選択します。
ゲートウェイタイプ
VPNゲートウェイのタイプ。
[標準] を選択します。
ネットワークタイプ
VPNゲートウェイのネットワークタイプ。
[公開] を選択します。
トンネル
VPN gatewayのトンネルモード。 このリージョンでサポートされているトンネルモードが表示されます。 有効な値:
デュアルトンネル
シングルトンネル
シングルトンネルモードとデュアルトンネルモードの詳細については、「 [アップグレード通知] IPsec-VPN接続がデュアルトンネルモードをサポート」をご参照ください。
デフォルト値Dual-tunnelを使用します。
VPC
VPNゲートウェイを関連付けるVPC。
ドイツ (フランクフルト) リージョンのVPCを選択します。
VSwitch
関連付けられたVPCのVPNゲートウェイを関連付けるvSwitch。
シングルトンネルを選択した場合、vSwitchを1つだけ指定する必要があります。
デュアルトンネルを選択した場合、2つのvSwitchを指定する必要があります。
IPsec-VPN機能を有効にすると、IPsec-VPN接続を介してVPCと通信するためのインターフェイスとして、2つのvSwitchのそれぞれにelastic network interface (ENI) が作成されます。 各ENIはvSwitchで1つのIPアドレスを占有します。
説明システムはデフォルトでvSwitchを選択します。 デフォルトのvSwitchを変更または使用できます。
VPNゲートウェイの作成後、VPNゲートウェイに関連付けられているvSwitchを変更することはできません。 VPN gatewayの詳細ページで、VPN gatewayに関連付けられているvSwitch、vSwitchが属するゾーン、およびENIをvSwitchで表示できます。
関連付けられているVPCでvSwitchを選択します。
vSwitch 2
関連付けられたVPCのVPNゲートウェイを関連付ける他のvSwitch。
関連するVPCの異なるゾーンに2つのvSwitchを指定して、IPsec-VPN接続のゾーン間でディザスタリカバリを実装します。
1つのゾーンのみをサポートするリージョンの場合、ゾーン間のディザスタリカバリはサポートされません。 IPsec-VPN接続の高可用性を実装するには、ゾーンに2つのvSwitchを指定することを推奨します。 最初のものと同じvSwitchを選択することもできます。
説明VPCに1つのvSwitchのみがデプロイされている場合は、vSwitchを作成します。 詳細については、「vSwitchの作成と管理」をご参照ください。
関連するVPCで別のvSwitchを選択します。
IPsec-VPN
VPN gatewayのIPsec-VPNを有効にするかどうかを指定します。 デフォルト値: 有効。
[有効] を選択します。
SSL-VPN
VPN gatewayのSSL-VPNを有効にするかどうかを指定します。 デフォルト値: 無効。
[無効] を選択します。
VPN gatewayが作成されたら、VPN GatewayページでVPN Gatewayを表示します。
新しく作成されたVPN gatewayは 準備中 状態で、約1〜5分後に 正常 状態に変わります。 ステータスが 正常 に変更されると、VPN gatewayは使用可能になります。
次の表に、システムによってVPNゲートウェイに割り当てられた2つのIPアドレスを示します。
VPNゲートウェイ名
VPNゲートウェイID
IPアドレス
VPN Gateway
vpn-gw8dickm386d2qi2g ****
IPsecアドレス1: 8.XX. XX.130。これは、デフォルトでアクティブなトンネルのIPアドレスです。
IPsecアドレス2: 47.XX. XX.27。デフォルトでは、スタンバイトンネルのIPアドレスです。
ステップ2: AWSにVPNリソースをデプロイする
AWS VPCとAlibaba Cloud VPCの間にIPsec-VPN接続を確立するには、次の手順に基づいてAWSにVPNリソースをデプロイする必要があります。 詳細については、「」をご参照ください。AWS.
この例では、AWS VPCとAlibaba Cloud VPCの間に確立されたIPsec-VPN接続は静的ルーティングを使用します。 Border Gateway Protocol (BGP) 動的ルーティングを使用することもできます。 詳細については、「IPsec-VPNを使用してAlibaba Cloud VPCをAmazon VPCに接続する」をご参照ください。
カスタマーゲートウェイを作成します。
AWSに2つのカスタマーゲートウェイを作成し、Alibaba Cloud VPNゲートウェイのIPアドレスをカスタマーゲートウェイのIPアドレスとして使用する必要があります。
仮想プライベートゲートウェイを作成します。
AWSに仮想プライベートゲートウェイを作成し、Alibaba Cloudと通信する必要があるAmazon VPCに仮想プライベートゲートウェイを関連付ける必要があります。
サイト間VPN接続を作成します。
重要Alibaba CloudとAWS IPsec-VPNの両方の接続は、デュアルトンネルモードをサポートしています。 デフォルトでは、AWS IPsec-VPN接続の2つのトンネルは同じゲートウェイに関連付けられ、Alibaba Cloud IPsec-VPN接続の2つのトンネルは異なるIPアドレスを持ちます。 したがって、AWSの2つのトンネルはAlibaba Cloudの1つのトンネルにのみ接続されます。 Alibaba Cloud IPsec-VPN接続の2つのトンネルが同時に有効になるようにするには、AWSで2つのサイト間VPN接続を作成し、サイト間VPN接続を異なるカスタマーゲートウェイに関連付ける必要があります。
サイト間VPN接続のルートを設定する場合は、Alibaba Cloud VPCのCIDRブロックとは別に、CIDRブロック100.104.0.0/16も指定する必要があります。 DTSはCIDRブロック100.104.0.0/16を使用してデータを同期します。
次の図は、サイト間VPN接続の1つの設定を示しています。 トンネル設定にはデフォルト値を使用することを推奨します。 他のサイト間VPN接続を設定するときに、別のカスタマーゲートウェイを指定します。 他のパラメーターにも同じ値を使用します。
サイト間VPN接続が作成された後、Alibaba CloudでIPsec-VPN接続を作成するために使用される接続のトンネルアドレスを表示できます。
次の表に、各サイト間VPN接続のトンネル1の外部IPアドレスと、関連するカスタマーゲートウェイのIPアドレスを示します。
サイト間VPN接続
トンネル
外部IPアドレス
関連付けられたカスタマーゲートウェイIPアドレス
サイト間VPN接続1
トンネル1
3.XX.XX.5
8.XX.XX.130
サイト間VPN接続2
トンネル1
3.XX.XX.239
47.XX.XX.27
ルート広告を設定します。
仮想プライベートゲートウェイに関連付けられているAmazon VPCのルートテーブルのルート広告を有効にして、サイト間VPN接続のルートがAmazon VPCのルートテーブルに自動的に広告されるようにする必要があります。
Amazon VPCのルートテーブルには、Alibaba Cloud VPCのCIDRブロックとDTSで使用されるCIDRブロックが含まれています。
ステップ3: Alibaba CloudにVPN gatewayをデプロイする
AWSでVPNリソースを設定した後、次の情報に基づいてAlibaba CloudにVPNゲートウェイをデプロイし、Amazon VPCとAlibaba Cloud VPCの間にIPsec-VPN接続を確立します。
カスタマーゲートウェイを作成します。
VPN Gatewayコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。
接続するカスタマーゲートウェイとVPNゲートウェイが同じリージョンにデプロイされていることを確認してください。
カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。
カスタマーゲートウェイの作成 パネルで、次のパラメーターを設定し、OK をクリックします。
Alibaba Cloudに2つのカスタマーゲートウェイを作成し、AWS Site-to-Site VPN接続のトンネルの外部IPアドレスをカスタマーゲートウェイのIPアドレスとして使用する必要があります。 次の表に、このトピックに関連するパラメーターのみを示します。 他のパラメータにデフォルト値を使用するか、空のままにすることができます。 詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。
重要カスタマーゲートウェイのIPアドレスとして、各サイト間VPN接続のトンネル1の外部IPアドレスのみを使用します。 デフォルトでは、各サイト間VPN接続のトンネル2の外部IPアドレスは使用されません。 IPsec-VPN接続が作成された後、各サイト間VPN接続のトンネル2は使用できません。
パラメーター
説明
カスタマーゲートウェイ1
カスタマーゲートウェイ2
名前
カスタマーゲートウェイの名前。
[Customer Gateway 1] を入力します。
Customer Gateway 2を入力します。
IP アドレス
AWSトンネルの外部IPアドレス。
3.XX. XX.5を入力します。
3.XX. XX.239を入力します。
IPsec-VPN 接続を作成します。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。
IPsec-VPN接続とVPN gatewayが同じリージョンにあることを確認してください。
IPsec 接続 ページで、VPN 接続の作成 をクリックします。
VPN 接続の作成 ページで、次の情報に基づいてIPsec-VPN接続を設定し、[OK] をクリックします。
パラメーター
説明
例
名前
IPsec-VPN接続の名前。
[IPsec-VPN接続] を入力します。
リソースグループ
VPN gatewayが属するリソースグループ。
既定値のリソースグループを選択します。
リソースの関連付け
IPsec-VPN接続に関連付けるネットワークリソースのタイプ。
[VPN Gateway] を選択します。
VPNゲートウェイ
IPsec-VPN接続に関連付けるVPNゲートウェイ。
作成したVPNゲートウェイを選択します。
ルーティングモード
トラフィックのルーティングモード。 有効な値:
宛先ルーティングモード: 宛先IPアドレスに基づいてトラフィックを転送します。
保護されたデータフロー: 送信元と送信先のIPアドレスに基づいてトラフィックを転送します。
[保護されたデータフロー] を選択します。
ローカルネットワーク
VPNゲートウェイが関連付けられているVPCのCIDRブロック。
この例では、次の2つのCIDRブロックを入力します。
VPCのCIDRブロック: 10.0.0.0/16
DTSサーバーのCIDRブロック: 100.104.0.0/16
重要DTSが使用するCIDRブロックをローカルネットワークに追加する必要があります。 これにより、DTSはVPNゲートウェイを使用してピアデータベースにアクセスできます。
DTSで使用されるCIDRブロックの詳細については、「DTSサーバーのCIDRブロックの追加」をご参照ください。
リモートネットワーク
VPNゲートウェイに関連付けられているVPCがアクセスするピアCIDRブロック。
192.168.0.0/16と入力します。
今すぐ有効化有効
接続のネゴシエーションをすぐに開始するかどうかを指定します。 有効な値:
はい: 設定完了後にネゴシエーションを開始します。
いいえ: インバウンドトラフィックが検出されると、ネゴシエーションを開始します。
[はい] を選択します。
BGPの有効化
BGPを有効にするかどうかを指定します。 IPsec-VPN接続にBGPルーティングを使用する場合は、[BGPの有効化] をオンにします。 デフォルトでは、Enable BGPはオフになっています。
BGPの有効化をオフにします。
トンネル1
アクティブなトンネルのVPNパラメーターを設定します。
デフォルトでは、トンネル1はアクティブトンネルとして機能し、トンネル2はスタンバイトンネルとして機能します。 この設定は変更できません。
カスタマーゲートウェイ
アクティブなトンネルに関連付けるカスタマーゲートウェイ。
[カスタマーゲートウェイ1] を選択します。
事前共有鍵
IDの検証に使用されるアクティブなトンネルの事前共有キー。
事前共有キーは、長さが1〜100文字でなければならず、数字、文字、および次の文字
を含むことができます。 @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ?事前共有キーを指定しない場合、システムは事前共有キーとしてランダムな16文字の文字列を生成します。
重要トンネルおよびピアゲートウェイデバイスは、同じ事前共有鍵を使用しなければならない。 そうしないと、システムはIPsec-VPN接続を確立できません。
接続するAWSトンネルのキーと同じ事前共有キーを使用します。
暗号化設定
Internet Key Exchange (IKE) 、IPsec、dead peer detection (DPD) 、およびNATトラバーサル機能のパラメーターを設定します。
IKE 構成セクションのSA ライフサイクル (秒) パラメーターの値は、AWSで指定された値と同じである必要があります。 この例では、値は28800に設定されています。
IPsec 構成セクションのSA ライフサイクル (秒) パラメーターの値は、AWSで指定された値と同じである必要があります。 この例では、値は3600に設定されています。
他のパラメーターにはデフォルト値を使用します。 詳細については、「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
トンネル2
スタンバイトンネルのVPNパラメーターを設定します。
カスタマーゲートウェイ
スタンバイトンネルに関連付けるカスタマーゲートウェイ。
[カスタマーゲートウェイ2] を選択します。
事前共有鍵
IDの検証に使用されるスタンバイトンネルの事前共有キー。
接続するAWSトンネルのキーと同じ事前共有キーを使用します。
暗号化設定
IKE、IPsec、DPD、およびNATトラバーサル機能のパラメーターを設定します。
IKE 構成セクションのSA ライフサイクル (秒) パラメーターの値は、AWSで指定された値と同じである必要があります。 この例では、値は28800に設定されています。
IPsec 構成セクションのSA ライフサイクル (秒) パラメーターの値は、AWSで指定された値と同じである必要があります。 この例では、値は3600に設定されています。
他のパラメーターにはデフォルト値を使用します。 詳細については、「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
[タグ]
IPsec-VPN接続のタグ。
このパラメータは空のままにします。
[作成済み] メッセージで、[OK] をクリックします。
VPNゲートウェイのルートをアドバタイズします。
IPsec-VPN接続を作成した後、VPNゲートウェイのルートをアドバタイズする必要があります。 ルーティングモード として [保護されたデータフロー] を選択した場合、IPsec-VPN接続の作成後にVPNゲートウェイのポリシーベースのルートが作成されます。 ルートは未公開の状態です。 VPNゲートウェイのポリシーベースのルートをVPCにアドバタイズする必要があります。
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。
[VPN gateway] ページで、管理するVPN gatewayを見つけ、そのIDをクリックします。
VPNゲートウェイの詳細ページで、ポリシーベースルーティングタブで、管理するルートを見つけて、をクリックします。公開で、操作列を作成します。
ルートエントリの公開 メッセージで、[OK] をクリックします。
Alibaba Cloud VPCのルートテーブルには、Amazon VPCのCIDRブロックが含まれています。
