開発の背景
ドメインネームシステム (DNS) は、ドメイン名をIPアドレスに変換するのに役立ちます。 テクノロジー企業は内部DNSを構築する必要があります。 企業がすべてのサービスをAlibaba Cloudに移行する場合、企業は、クラウドでビジネスを管理するために、オンプレミスネットワークとAlibaba Cloud間の正常な接続を保証する必要があります。 この場合、Alibaba Cloud DNSは、企業のアドレッシングサービスにおいて重要な役割を果たします。 多くの企業がサービスをAlibaba Cloudに移行した後に、Alibaba Cloud DNSを使用してオンプレミスネットワーク上の内部ドメイン名を解決することは困難です。
このトピックでは、Alibaba Cloudへの仮想プライベートネットワーク (VPN) 接続に基づく内部ドメイン名解決にAlibaba Cloud DNSを使用する方法について説明します。
シナリオ
仮想プライベートクラウド (VPC) にデプロイされたDNSサーバーは、Alibaba Cloudが提供するプライベートドメイン名解決サービスであるPrivateZoneをサポートしています。 サイト間接続を提供するインターネットプロトコルセキュリティ (IPsec)-VPN機能を使用することで、オンプレミスのデータセンターや支店のネットワークなど、企業のオンプレミスのネットワークをVPCに接続できます。 以下では、Alibaba Cloud DNSのPrivateZone機能を使用して、VPN Gatewayを介してプライベートドメイン名を解決する方法について説明します。
前提条件
PrivateZoneをサポートするDNSサーバのIPアドレスを用意する。 使用可能なDNSサーバーのIPアドレスを次の表に示します。
No. | DNSサーバのIPアドレス |
|---|---|
1 | 100.100.2.136/32 |
2 | 100.100.2.138/32 |
VPN Gatewayが作成されます。 VPN Gatewayを購入するには、
(https://www.alibabacloud.com/product/vpn-gateway)
設定は次のとおりです。
1. VPN GatewayとDNSサーバー間にIPsec-VPN接続を作成します。
作成したVPN GatewayにIPsec-VPN接続を作成します。
[操作] 列の [編集] をクリックします。 表示されるページで、[詳細設定] スイッチをオンにし、必要に応じてパラメーターを設定します。 次の表に、インターネットキー交換 (IKE) 構成の基本的な構成パラメーターとパラメーターを示します。
パラメーター | デフォルトまたは推奨値 |
|---|---|
パラメーター名 | カスタム値を指定します。 |
VPN Gateway | 値は自動的に生成されます。 |
カスタマーゲートウェイ | 値は自動的に生成されます。 |
ローカルネットワーク | 192.168.0.0/16. 値をVPCの実際のクラスレスドメイン間ルーティング (CIDR) ブロックに置き換えます。 |
リモートネットワーク | 10.0.0.0/24. 値をオンプレミスデータセンターの実際のCIDRブロックに置き換えます。 |
直ちに有効 | 必須 |
事前共有鍵 | カスタム値を指定します。 |
Version | ikev1 |
ネゴシエーションモード | メイン |
暗号化アルゴリズム | aes |
認証アルゴリズム | sha1 |
DH グループ | group2 |
SA ライフサイクル (秒) | 86400 |
LocalId | 39.96.2.138. 値をVPN Gatewayの実際のIPアドレスに置き換えます。 |
Remoteld | 39.96.0.248. 値をカスタマーゲートウェイの実際のIPアドレスに置き換えます。 |
IPsec設定のパラメーターを次の表に示します。
パラメーター | デフォルトまたは推奨値 |
|---|---|
暗号化アルゴリズム | aes |
認証アルゴリズム | sha1 |
DH グループ | group2 |
SA ライフサイクル (秒) | 86400 |
2. VPN Gatewayとオンプレミスのデータセンター間にIPsec-VPN接続を作成します。
[IPSec接続の作成] をクリックして、同じVPN Gatewayに別のIPsec-VPN接続を作成します。 次に、[操作] 列の [編集] をクリックします。 表示されるページで、[Advanced Configuration] スイッチをオンにし、[Local Network] を [100.100.2.136/32] に設定し、他のパラメーターを前の手順で作成したIPsec-VPN接続と同じ値に設定します。 ローカルネットワーク以外のパラメータに他の値を割り当てないでください。 そうでない場合、第1フェーズでのネゴシエーションは失敗する。 次の表に、基本的な設定パラメーターとIKE設定のパラメーターを示します。
パラメーター | デフォルトまたは推奨値 |
|---|---|
パラメーター名 | カスタム値を指定します。 |
VPN Gateway | カスタム値を指定します。 |
カスタマーゲートウェイ | カスタム値を指定します。 |
ローカルネットワーク | 100.100.2.128/25. 値をDNSサーバーの実際のCIDRブロックに置き換えます。 |
リモートネットワーク | 192.168.0.0/16. 値をVPCの実際のCIDRブロックに置き換えます。 |
直ちに有効 | 必須 |
事前共有鍵 | カスタム値を指定します。 |
Version | ikev1 |
ネゴシエーションモード | メイン |
暗号化アルゴリズム | aes |
認証アルゴリズム | sha1 |
DH グループ | group2 |
SA ライフサイクル (秒) | 86400 |
LocalId | 39.96.0.248. 値をVPN Gatewayの実際のIPアドレスに置き換えます。 |
Remoteld | 39.96.2.128. 値をカスタマーゲートウェイの実際のIPアドレスに置き換えます。 |
IPsec設定のパラメーターを次の表に示します。
パラメーター | デフォルトまたは推奨値 |
|---|---|
暗号化アルゴリズム | aes |
認証アルゴリズム | sha1 |
DH グループ | group2 |
SA ライフサイクル (秒) | 86400 |
3. 企業のネットワークエンジニアに連絡して、オンプレミスネットワークを構成してください。
上記のパラメーター設定に従って、オンプレミスネットワークにあるカスタマーゲートウェイにIPsec-VPN接続を作成します。 構成の詳細については、関連するデバイスベンダーが提供する作業ステートメントを参照してください。
ルート100.100.2.136/32をオンプレミスカスタマーゲートウェイ経由のIPsecトンネルに向けるようにオンプレミスルートを設定します。
4. IPsecトンネルのネゴシエーション結果を確認します。
すべての設定が正しい場合、ネゴシエーションは成功します。 設定中に発生する問題を解決するには、当社の技術専門家または企業のネットワークエンジニアにお問い合わせください。
5. ドメイン名解決サービスを確認します。
pingコマンドを実行して、DNSサーバーへのネットワーク接続を確認します。 レイテンシは、オンプレミスのデータセンターからAlibaba CloudのVPN Gatewayへのインターネット接続によって異なります。
指定されたDNSサーバー (この例ではIPアドレスが100.100.2.136) を使用して、プライベートドメイン名を解決します。
検証に合格した後、VPCにデプロイされているDNSサーバーを使用して、Alibaba Cloud VPN Gatewayを介してオンプレミスネットワークのプライベートドメイン名を解決できます。