すべてのプロダクト
Search

このプロダクト

    NAT Gateway:VPC NATゲートウェイとVPNゲートウェイを使用してデータセンターとVPCを接続する

    ドキュメントセンター

    NAT Gateway:VPC NATゲートウェイとVPNゲートウェイを使用してデータセンターとVPCを接続する

    最終更新日:Nov 05, 2024

    このトピックでは、Virtual Private Cloud (VPC) NATゲートウェイとVPNゲートウェイを使用してデータセンターとVPCを接続する方法について説明します。 データセンターとVPCが相互に通信するためのプライベートIPアドレスを指定できます。

    シナリオ

    以下のシナリオは、例として使用される。 中国 (青島) にVPC1という名前のVPCがあり、中国 (北京) にデータセンターがあります。 VPC1が指定されたプライベートIPアドレスを介してデータセンターと通信する必要があります。

    VPN

    上記の要件を満たすために、VPC NATゲートウェイとVPNゲートウェイを使用できます。

    VPNゲートウェイを使用して、データセンターとVPC間にIPsec-VPN接続を確立し、データセンターが指定されたプライベートIPアドレスを介してVPCと通信できるようにします。 次の表に、ネットワークの計画方法を示します。 ビジネス要件に基づいてCIDRブロックを計画できます。 CIDRブロックが互いに重ならないようにしてください。

    パラメーター

    IPアドレス /CIDRブロック

    VPC1

    10.0.0.0/16

    vSwitch

    • VSW1: 10.0.0.0/24 (青島ゾーンB)

    • VSW2: 10.0.1.0/24 (青島ゾーンE)

    Elastic Compute Service (ECS)インスタンス

    ECS1: 10.0.0.81

    データセンター

    172.16.0.0/12

    オンプレミスサーバー

    172.16.0.124

    データセンターのゲートウェイデバイス

    211.68.XX.XX

    前提条件

    • VPC1は中国 (青島) リージョンで作成されます。 VSW1およびVSW2という名前の2つのvSwitchがVPC1にデプロイされています。 VSW2はゾーンEにデプロイされています。詳細については、「VPCの作成と管理」をご参照ください。

    • ECS1という名前のECSインスタンスがVSW1に作成され、アプリケーションがECS1にデプロイされます。 詳細については、「カスタム起動タブでインスタンスを作成する」をご参照ください。

    手順

    配置流程

    ステップ1: IPsec-VPNの設定

    VPCとデータセンターの間にIPsec-VPN接続を作成できます。 IPsec-VPN接続を作成するには、まずVPNゲートウェイとカスタマーゲートウェイを作成する必要があります。 IPsec-VPN機能の詳細については、「概要」をご参照ください。

    1. VPN Gatewayコンソールにログインします。

    2. VPNゲートウェイを作成するには、次の操作を実行します。

      1. VPN Gatewayページで、VPN Gateway の作成をクリックします。

      2. 購入ページで、次のパラメーターを設定し、今すぐ購入をクリックし、そして支払いを完了します。

        パラメーター

        説明

        名前

        VPNゲートウェイの名前を入力します。

        リージョン

        VPNゲートウェイをデプロイするリージョンを選択します。 この例では、中国 (青島) が選択されています。

        ゲートウェイタイプ

        デフォルトでは標準が選択されています。

        [VPC]

        接続するVPCを選択します。 この例では、VPC1が選択されています。

        vSwitch

        VPCからvSwitchを選択します。 この例では、VSW1が選択されます。

        vSwitch 2

        VPCから別のvSwitchを選択します。 この例では、VSW2が選択されます。

        最大帯域幅

        VPN gatewayの最大帯域幅を指定します。 単位は、Mbit/s です。

        この例では、5 Mbit/sが選択されます。

        トラフィック

        デフォルトでは、VPNゲートウェイはデータ転送課金方式を使用します。 詳細については、「課金」をご参照ください。

        IPsec-VPN

        IPsec-VPN機能を有効にするかどうかを指定します。 この例では、[有効化] が選択されています。

        SSL-VPN

        SSL-VPN機能を有効にするかどうかを指定します。 この例では、[無効] が選択されています。

        サブスクリプション期間

        デフォルトでは、VPN gatewayは1時間ごとに課金されます。

      3. VPNゲートウェイを作成した後、VPNゲートウェイページに移動します。

        新しく作成されたVPN gatewayは 準備中 状態です。 1〜5分後、状態は 正常 に変わります。これは、VPNゲートウェイが初期化され、使用可能であることを示します。

    3. 次の操作を実行して、カスタマーゲートウェイを作成します。

      1. 左側のナビゲーションウィンドウで、相互接続 > VPN > カスタマーゲートウェイを選択します。

      2. 上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。 この例では、中国 (青島) が選択されています。

      3. カスタマーゲートウェイページで、カスタマーゲートウェイの作成をクリックします。

      4. カスタマーゲートウェイの作成パネルで、パラメータを設定し、OKをクリックします。

        パラメーター

        説明

        名前

        カスタマーゲートウェイの名前を入力します。

        IPアドレス

        VPC1に接続するデータセンターのゲートウェイデバイスのパブリックIPアドレスを入力します。 この例では、211.68.XX.XXが使用されます。

        ASN

        データセンターのゲートウェイデバイスの自律システム番号 (ASN) 。

        説明

        カスタマーゲートウェイの説明を入力します。

        詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。

    4. IPsec-VPN接続を作成するには、次の操作を実行します。

      1. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続を選択します。

      2. 上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。 この例では、中国 (青島) が選択されています。

      3. VPN 接続ページで、VPN 接続の作成をクリックします。

      4. VPN 接続の作成ページで、パラメーターを設定し、OKをクリックします。

        パラメーター

        説明

        名前

        IPsec-VPN接続の名称を指定します。

        リソースの関連付け

        [VPN Gateway] を選択します。

        VPNゲートウェイ

        作成したVPNゲートウェイを選択します。

        ルーティングモード

        ルーティングモード。 この例では、宛先ルーティングモードが選択されています。

        すぐに有効

        接続のネゴシエーションをすぐに開始するかどうかを指定します。 有効な値:

        • はい: IPsec-VPN接続が作成された後、すぐにIPsec-VPNネゴシエーションを開始します。

        • No: インバウンドトラフィックが検出されると、IPsec-VPNネゴシエーションを開始します。

        デフォルトでははいが選択されています。

        Tunnel1 > カスタマーゲートウェイ

        IPsec-VPN接続に関連付けるカスタマーゲートウェイを選択します。

        Tunnel2 > カスタマーゲートウェイ

        IPsec-VPN接続に関連付けるカスタマーゲートウェイを選択します。

        事前共有キー

        事前共有キーを入力します。 事前共有鍵は、データセンタ内のゲートウェイデバイスの事前共有鍵と同じでなければならない。 値を入力しない場合、システムはデフォルトで16ビットのランダム文字列を生成します。

    手順2: VPN gatewayの設定をデータセンターのゲートウェイデバイスにロードする

    VPCとデータセンター間にIPsec-VPN接続を確立するには、VPNゲートウェイの設定をデータセンターのゲートウェイデバイスにロードする必要があります。

    1. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続を選択します。

    2. IPsec 接続ページで、管理するIPsec-VPN接続を見つけて、アクション列のピア構成の生成をクリックします。

    3. IPsec-VPN接続の設定をデータセンターのゲートウェイデバイスに読み込みます。 詳細については、「ローカルゲートウェイの設定」をご参照ください。

    ステップ3: VPC NATゲートウェイの作成

    1. NAT Gatewayコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[NAT Gateway] > VPC NAT ゲートウェイ を選択します。

    3. VPC NAT ゲートウェイ ページで、VPC NAT Gateway の作成 をクリックします。

    4. VPC NAT Gateway (従量課金)ページで、次のパラメーターを設定し、今すぐ購入をクリックします。

      パラメーター

      説明

      リージョン

      VPC NATゲートウェイを作成するリージョンを選択します。 この例では、中国 (青島) が選択されています。

      VPC ID

      VPC NATゲートウェイが属するVPCを選択します。 VPC NATゲートウェイを作成した後、VPC NATゲートウェイが属するVPCを変更することはできません。 この例では、VPC1が選択されています。

      ゾーン

      VPC NATゲートウェイが属するゾーンを選択します。 この例では、VSW2のゾーンが選択されています。

      vSwitch ID

      VPC NATゲートウェイが属するvSwitchを選択します。 独立したvSwitchを選択することを推奨します。 この例では。 VSW2が選択されます。

      名前

      VPC NATゲートウェイの名前を入力します。

      サービスにリンクされたロール

      VPC NATゲートウェイに対してサービスにリンクされたロールが作成されているかどうかを表示します。

      インターネットNATゲートウェイとVPC NATゲートウェイを含むNATゲートウェイを初めて使用する場合は、[サービスにリンクされたロールの作成] をクリックしてサービスにリンクされたロールを作成する必要があります。

    5. VPC NAT ゲートウェイページに戻って、作成したVPC NATゲートウェイを表示します。

      • VPC NATゲートウェイのIDをクリックします。 基本情報 タブで、VPC NATゲートウェイのVPCとvSwitchを表示します。

      • NAT IP アドレス タブをクリックして、デフォルトNAT IPアドレスとデフォルトNAT CIDRブロックを表示します。

        説明

        デフォルトのNAT CIDRブロックは、VPC NATゲートウェイが接続されているvSwitchのCIDRブロックです。 デフォルトのNAT IPアドレスは、vSwitchのCIDRブロックからランダムに割り当てられたIPアドレスです。 デフォルトNAT CIDRブロックまたはデフォルトNAT IPアドレスは削除できません。

    ステップ4: VPC1のシステムルートテーブルにルートエントリを追加する。

    VPC1のシステムルートテーブルにルートエントリを追加します。 ルートエントリは、VPC NATゲートウェイを指す必要があります。

    1. VPCコンソールにログインします。

    2. [VPC] ページで、VPC1を見つけてIDをクリックします。

    3. 詳細ページで、リソース管理タブをクリックし、ルートテーブルの下の番号をクリックします.

    4. [ルートテーブル] ページで、ルートテーブルタイプ[システム] のルートテーブルを見つけ、IDをクリックします。

    5. ルートテーブルの詳細ページで、ルートエントリ一覧 > カスタムルートを選択し、ルートエントリの追加をクリックします。

    6. [ルートエントリの追加] パネルでパラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。

      パラメーター

      説明

      名前

      ルートの名前を入力します。 この例では、VPCENTRYが使用されています。

      宛先CIDRブロック

      宛先CIDRブロックを入力します。 この例では、データセンターのサーバーのIPアドレスである172.16.0.124/32が使用されています。

      ネクストホップタイプ

      ネクストホップタイプを選択します。 この例では、NAT Gatewayが選択されています。

      NATゲートウェイ

      NATゲートウェイを選択します。 この例では、手順3: VPC NATゲートウェイの作成で作成されたVPC NATゲートウェイが選択されています。

    ステップ5: カスタムルートテーブルを作成してルートを追加する

    VSW2のカスタムルートテーブルを作成し、VPNゲートウェイを指すルートをカスタムルートテーブルに追加します。

    カスタムルートテーブルをサポートするリージョンの詳細については、「ルートテーブルの概要」をご参照ください。

    1. VPCコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ルートテーブル] をクリックします。

    3. 上部のナビゲーションバーで、ルートテーブルが属するリージョンを選択します。

    4. ルートテーブルページで、ルートテーブルの作成をクリックします。

    5. ルートテーブルの作成ページで、次のパラメーターを設定し、OKをクリックします。

      パラメーター

      説明

      リソースグループ

      ルートテーブルが属するリソースグループを選択します。 この例では、[すべて] が選択されています。

      [VPC]

      ルートテーブルが属する VPC を選択します。 この例では、VPC1が選択されています。

      名前

      ルートテーブルの名前を入力します。 この例では、VPNVTBが使用されます。

      説明

      ルートテーブルの説明を入力します。 この例では、カスタムが使用されます。

    6. 関連付けられたvSwitchタブをクリックし、vSwitchの関連付けをクリックします。

    7. vSwitchの関連付けダイアログボックスでvSwitchを選択し、OKをクリックします。

      この例では、VSW2が選択されています。

    8. ルートテーブルの詳細ページで、ルートエントリ一覧 > カスタムルートを選択し、ルートエントリの追加をクリックします。

    9. [ルートエントリの追加] パネルでパラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。

      パラメーター

      説明

      名前

      ルートの名前を入力します。 この例では、VPCNATENTRYが使用されています。

      宛先CIDRブロック

      宛先CIDRブロックを入力します。 この例では、データセンターのサーバーのIPアドレスである172.16.0.124/32が使用されています。

      ネクストホップタイプ

      ネクストホップタイプを選択します。 この例では、VPN Gatewayが選択されています。

      VPNゲートウェイ

      VPNゲートウェイを選択します。 この例では、手順1: IPsec-VPNの設定で作成されたVPNゲートウェイが選択されています。

    ステップ6: デフォルトNAT IPアドレスを使用してSNATエントリとDNATエントリを作成する

    1. NAT Gatewayコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[NAT Gateway] > VPC NAT ゲートウェイ を選択します。

    3. 上部のナビゲーションバーで、インターネットNATゲートウェイを作成するリージョンを選択します。

    4. 次の操作を実行して、SNATエントリを作成します。

      1. VPC NAT ゲートウェイ ページで、管理するVPC NAT gatewayを見つけ、[操作] 列の SNAT の管理 をクリックします。

      2. SNAT の管理 タブで、SNAT エントリの作成 をクリックします。

      3. SNAT エントリの作成ページで、次のパラメーターを設定し、OKをクリックします。

        パラメーター

        説明

        SNAT エントリ

        VPC、vSwitch、ECSインスタンス、またはカスタムCIDRブロックのいずれのSNATエントリを作成するかを指定します。 この例では、[vSwitchの指定] が選択されています。 次に、[select vSwitch] ドロップダウンリストからECS1が属するvSwitchを選択します。 この例では、VSW1が選択されています。 vSwitch CIDRブロックセクションには、VSW1のCIDRブロックが表示されます。

        NAT IP アドレスの選択

        外部プライベートネットワークへのアクセスに使用するIPアドレスを選択します。 この例では、デフォルトのNAT IPアドレスが選択されています。

        エントリ名

        SNATエントリの名前を入力します。

        名前は2 ~ 128文字で、数字、アンダースコア (_) 、ハイフン (-) を使用できます。 先頭は英字とする必要があります。

    5. VPC NAT Gatewayページに戻り、次の操作を実行してDNATエントリを作成します。

      1. VPC NAT ゲートウェイ ページで、管理するVPC NAT gatewayを見つけ、[操作] 列の DNAT の管理 をクリックします。

      2. DNAT の管理 タブで、DNAT エントリの作成 をクリックします。

      3. DNAT エントリの作成ページで、次のパラメーターを設定し、OKをクリックします。

        パラメーター

        説明

        NAT IP アドレスの選択

        外部プライベートネットワークからのリクエストの受信に使用するNAT IPアドレスを選択します。 この例では、デフォルトのNAT IPアドレスが選択されています。

        プライベート IP アドレスの選択

        外部ネットワークとの通信に使用するプライベートIPアドレスを指定します。 この例では、[ECSまたはENIで選択] が選択され、ECS1のプライベートIPアドレスが選択されています。

        ポート設定

        DNATマッピング方法を選択します。 この例では、ポートマッピング方法を指定する [Specific Port] が選択されています。

        フロントエンドポート22バックエンドポート22プロトコルTCPを指定します。

        エントリ名

        DNATエントリの名前を入力します。

        名前は2 ~ 128文字で、数字、アンダースコア (_) 、ハイフン (-) を使用できます。 先頭は英字とする必要があります。

    ステップ7: VPNゲートウェイのルートを設定する

    VPNゲートウェイにルートを追加し、そのルートをVPCルートテーブルにアドバタイズする必要があります。 これにより、VPCとデータセンターは互いに通信できます。

    1. VPN Gatewayコンソールにログインします。

    2. 上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。

    3. 左側のナビゲーションウィンドウで、相互接続 > VPN > VPN Gatewayを選択します。

    4. VPN Gatewayページで、管理するVPN gatewayを見つけ、VPN gatewayのIDをクリックします。

    5. 宛先ベースルーティングタブで、ルートエントリの追加をクリックします。

    6. [ルートの追加] パネルでパラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。

      パラメーター

      説明

      宛先CIDRブロック

      データセンターのプライベートCIDRブロックを入力します。 この例では、172.16.0.0/12が使用されます。

      ネクストホップタイプ

      [IPsec-VPN接続] を選択します。

      次ホップ

      IPsec-VPN接続を選択します。 この例では、手順1: IPsec-VPNの設定で作成されたIPsec-VPC接続が選択されています。

      VPCへの広告

      ルートをVPCのルートテーブルにアドバタイズするかどうかを指定します。 この例では、はいが選択されています。

      重量

      ルートの重みを選択します。 この例では、100が選択されています。

      • 100: 高い優先度

      • 0: 優先度が低い

    ステップ8: 接続をテストする

    1. VSW1でECS1にログオンします。 詳細については、「接続方法」をご参照ください。

    2. データセンターのサーバーのIPアドレスをPingしてECS1がデータセンターのサーバーにアクセスできるかどうかを確認します。

      この例では、次のコマンドが使用されます。 

      ping 172.16.0.124

      テスト結果は、ECS1がデータセンターのサーバーにアクセスできることを示しています。ping

    3. データセンターのサーバーにログインし、ssh root @ NAT IPコマンドを実行します。 このコマンドを実行する前に、NAT IPをVPC NATゲートウェイで指定されたデフォルトのNAT IPアドレスに置き換えます。 次に、ECS1へのログインに使用するパスワードを入力して、サーバーがECS1にアクセスできるかどうかを確認します。

      この例では、次のコマンドが使用されます。 

      ssh 10.0.1.43

      テスト結果は、データセンターのサーバーがVPC NATゲートウェイのDNAT機能を使用してECS1にアクセスできることを示しています。ssh