このトピックでは、Smart Access Gateway(SAG)を使用して、オンプレミスネットワークと Alibaba Cloud 間の Express Connect 回線へのスタンバイ接続を作成する方法について説明します。これは、高可用性ハイブリッドクラウド環境の構築に役立ちます。
前提条件
中国(北京)リージョンに仮想プライベートクラウド(VPC)が作成されています。詳細については、「VPC の作成と管理」をご参照ください。
中国(北京)リージョンにクラウドエンタープライズネットワーク(CEN)インスタンスが作成され、VPC に関連付けられています。詳細については、「CEN インスタンスの作成」をご参照ください。
中国(北京)リージョンで Express Connect 回線がオンプレミスネットワークに接続され、仮想ボーダールーター(VBR)が作成されています。詳細については、「Express Connect 回線を介した専用接続の作成と管理」または「Express Connect 回線を介したホスト型接続」をご参照ください。
背景情報
次の図は、このトピックで使用されるネットワークトポロジを示しています。たとえば、企業は中国(北京)リージョンの VPC にサービスをデプロイしており、Express Connect 回線がオンプレミスネットワークに接続されています。オンプレミスネットワークと Alibaba Cloud 間の高可用性環境を構築するために、企業は SAG デバイスを使用してスタンバイ接続を作成することを計画しており、Express Connect 回線はアクティブ接続として機能します。
ネットワークトポロジの変更を回避するために、SAG-1000 デバイスがワンアームモードでデプロイされ、オンプレミスネットワークを Alibaba Cloud に接続します。
オンプレミスネットワーク、SAG デバイス、および VBR は、BGP を介してルートを学習します。これにより、ネットワークの管理と保守が容易になります。
SAG インスタンスは、クラウド接続ネットワーク(CCN)インスタンスと VBR に関連付けられています。 VBR と CCN インスタンスは、同じ CEN インスタンスに関連付けられています。 SAG デバイスは、CEN インスタンスを介して VPC に接続されます。
この例では、ネットワークトラフィックは次の方法で送信されます。
SAG デバイスが CCN インスタンスと VBR に関連付けられている場合、CEN はデフォルトで Express Connect 回線を介した接続を選択します。 CEN は、Express Connect 回線を介してルートを学習およびアドバタイズすることを優先します。 Express Connect 回線がダウンしている場合、CEN は CCN を介してルートを学習およびアドバタイズします。これは、受信トラフィックと送信トラフィックの両方が、Express Connect 回線を介して優先的に送信されることを意味します。 Express Connect 回線がダウンしている場合、受信トラフィックと送信トラフィックは CCN を介して送信されます。
サブネット化
次の表は、この例のサブネット化について説明しています。ビジネス要件に基づいてサブネット化を計画し、CIDR ブロックが互いに重複しないようにすることをお勧めします。
項目 | CIDR ブロック |
オンプレミスネットワーク | プライベート CIDR ブロック:172.16.0.0/12 |
| |
出口ルーターのポート G1:192.168.80.1/30 | |
SAG | WAN ポート(ポート 5):192.168.100.1/30。ゲートウェイの IP アドレス:192.168.100.2。 |
BGP:
| |
VBR |
|
中国(北京)の VPC | VPC CIDR ブロック:10.0.0.0/16 |
手順
手順 1:SAG デバイスを購入する
SAG コンソールで SAG デバイスを購入すると、Alibaba Cloud は指定された住所にデバイスを配送し、ネットワーク管理を容易にするために SAG インスタンスを作成します。
中国本土以外で SAG デバイスを使用するには、サードパーティベンダーから SAG デバイスを購入する必要があります。詳細については、「SAG デバイスの購入」をご参照ください。
SAG コンソール にログオンします。
左側のナビゲーションペインで、[smart Access Gateway] をクリックします。
[smart Access Gateway] ページで、 を選択します。
[smart Access Gateway] ページで、次のパラメーターを設定し、[今すぐ購入] をクリックします。
[エリア]:SAG デバイスをデプロイするエリアを選択します。この例では、[中国本土] が選択されています。
[デバイス仕様]:SAG デバイスのモデルを選択します。この例では、[SAG-1000] が選択されています。
[SAG デバイスをすでに所有している]:SAG デバイスをすでに所有しているかどうかを選択します。この例では、[いいえ] が選択されています。
[エディション]:SAG デバイスのエディションを選択します。この例では、[標準] が選択されています。
[数量]:購入する SAG デバイスの数を選択します。この例では、[1] が選択されています。
[エリア]:SAG 帯域幅を使用するエリアを選択します。このエリアは SAG デバイスのエリアと同じであり、変更できません。
[インスタンス名]:SAG インスタンスの名前を入力します。
名前は 2 ~ 128 文字で、文字、数字、ピリオド(.)、ハイフン(-)、アンダースコア(_)を含めることができます。文字で始める必要があります。
[ピーク帯域幅]:ネットワーク接続の最大帯域幅値を選択します。この例では、[50 Mbps] が選択されています。
[サブスクリプション期間]:サブスクリプション期間を選択します。
注文情報を確認し、利用規約を選択して、[今すぐ購入] をクリックします。
[配送先住所] ダイアログボックスで、受取人の住所を入力し、[今すぐ購入] をクリックします。
[支払い] ページで、支払い方法を選択し、支払いを完了します。
Smart Access Gateway ページで注文が確定されたかどうかを確認できます。 SAG デバイスは、注文後 2 営業日以内に発送されます。配送状況を確認するには、次の操作を実行します。
[smart Access Gateway] ページで、クエリする SAG インスタンスを見つけます。
> [配送状況の表示] を [アクション] 列で選択します。[注文の更新] パネルで、配送状況を表示します。
手順 2:SAG デバイスをアクティブ化する
SAG-1000 デバイスを受け取ったら、すべてのアクセサリを受け取っているかどうかを確認します。詳細については、「SAG-1000 デバイスの仕様」をご参照ください。
次に、SAG デバイスをアクティブ化し、オンプレミスネットワークに接続する必要があります。
SAG コンソール にログオンします。
上部のナビゲーションバーで、SAG デバイスがデプロイされているエリアを選択します。
[smart Access Gateway] ページで、アクティブ化する SAG インスタンスを見つけます。 SAG デバイスを SAG インスタンスに関連付けます。詳細については、「デバイスの追加」をご参照ください。
SAG デバイスを SAG インスタンスに関連付けたら、[Smart Access Gateway] ページに戻ります。 SAG インスタンスを見つけ、Smart Access Gateway
> アクティブ化[アクション] 列で を選択します。[アクティブ化] メッセージで、[OK] をクリックします。
SAG デバイスがアクティブ化されたら、上記のネットワークトポロジに基づいてオンプレミスネットワークに接続します。
ネットワークケーブルを使用して、SAG デバイスの WAN ポートをレイヤー 3 スイッチのポート G11 に接続します。
この例では、WAN ポートはポート 5 です。ポート 5 を WAN ポートにしたくない場合は、ポートの役割を変更できます。詳細については、「ポートの役割の割り当て」をご参照ください。
説明ポートの役割を変更できるのは、バージョン 2.0 の SAG-1000 デバイスのみです。
ポートの役割を割り当てる前に、SAG デバイスがアクティブ化されていること、4G ネットワークが正常に機能していること、およびデバイスが Alibaba Cloud に接続されていることを確認してください。
手順 3:SAG デバイスを構成する
SAG デバイスをオンプレミスネットワークに接続したら、SAG コンソールでデバイスポートを構成できます。
開始する前に、SAG デバイスが起動されていること、4G ネットワークが正常に機能していること、および SAG デバイスが Alibaba Cloud に接続されていることを確認してください。
SAG コンソール にログオンします。
WAN ポートを構成する
SAG コンソール にログオンします。
上部のナビゲーションバーで、リージョンを選択します。
[smart Access Gateway] ページで、SAG インスタンスの ID をクリックします。
インスタンスの詳細ページで、[デバイス管理] タブをクリックします。
左側のナビゲーションツリーで、[WAN ポートの管理] をクリックします。
[WAN(ポート 5)] セクションで、[編集] をクリックします。
[WAN(ポート 5)の構成] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。
[リンクタイプ]:[静的] を選択します。
[IP]:WAN ポートの IP アドレスを入力します。この例では 192.168.100.1 が使用されています。
[サブネットマスク]:WAN ポートの IP アドレスのサブネットマスクを入力します。この例では 255.255.255.252 が使用されています。
[ゲートウェイ]:ゲートウェイの IP アドレスを入力します。この例では 192.168.100.2 が使用されています。
説明上記のパラメーターが構成されると、SAG デバイスはデフォルトルートを生成します。
BGP を構成します。
説明ソフトウェアバージョンが 1.0 の SAG-1000 デバイスは、Express Connect 回線専用のポートを提供していません。 SAG コンソールで BGP ルーティングを構成する際に、BGP ピアの AS 番号を Express Connect 回線の AS 番号に設定しないでください。設定した場合、SAG デバイスは CEN を介して VPC ルートを学習できません。 BGP ピア AS 番号は、Express Connect 回線に接続されるポートの属性を示します。
[デバイス管理] タブで、左側の管理ペインの [ルートの管理] をクリックします。
[BGP プロトコル設定] セクションで、[編集] をクリックします。
[BGP の構成] ダイアログボックスで、パラメーターを設定し、[OK] をクリックします。
[ローカル AS]:この例では 65435 が使用されています。
[ルーター ID]:この例では 192.168.2.2 が使用されています。
[ホールド時間]:この例では 180 が使用されています。
[キープアライブ]:この例では 60 が使用されています。
WAN ポートの BGP を有効にします。
[動的ルーティング設定] セクションで、[BGP プロトコルの有効化] を選択します。
[ルーティングプロトコルの変更] メッセージで、[OK] をクリックします。
[動的ルーティング設定] セクションで [Port5(WAN)] を見つけ、編集[アクション] 列の をクリックします。
[BGP 動的ルーティング設定の変更] ダイアログボックスで、[BGP の有効化] を選択し、ピア IP アドレスとピア AS を指定して、[OK] をクリックします。
ピア IP アドレスとピア AS を、ポート G11 の IP アドレスとピアスイッチの BGP AS 番号に設定します。
[ピア AS]:この例では 65430 が使用されています。
[ピア IP]:この例では 192.168.100.2 が使用されています。
Alibaba Cloud にルートをアドバタイズする方法を選択します。
SAG インスタンスの詳細ページで、[ネットワーク構成] タブをクリックします。
左側の管理ペインで、[オンプレミスルートとの同期方法] をクリックします。
[静的ルーティング] を選択し、[静的ルートの追加] をクリックして CIDR ブロックを追加し、[OK] をクリックします。
オンプレミスネットワークから Alibaba Cloud へのネットワークトラフィックをルーティングするために使用される CIDR ブロックを入力します。この例では 172.16.0.0/12 が使用されています。
手順 4:VBR を構成する
この手順では、Express Connect コンソールで VBR を構成して、VBR とレイヤー 3 スイッチ間の BGP ピア関係を確立する必要があります。
BGP グループを構成する
Express Connect コンソール にログオンします。
上部のナビゲーションバーで、リージョンを選択します。
左側のナビゲーションペインで、[仮想ボーダールーター(VBR)] をクリックします。
[仮想ボーダールーター(VBR)] ページで、VBR の ID をクリックします。
詳細ページで、[BGP グループ] タブをクリックします。
[BGP グループ] タブで、[BGP グループの作成] をクリックし、次のパラメーターを設定します。
[名前]:BGP グループの名前を入力します。この例では、test が使用されています。
[ピア ASN]:レイヤー 3 スイッチの AS 番号を入力します。この例では 65430 が使用されています。
[BGP キー]:BGP グループのキーを入力します。このパラメーターはこの例では無視されます。
[説明]:BGP グループの説明を入力します。この例では SAGtest が使用されています。
[OK] をクリックします。
BGP ピアを構成します。
VBR 詳細ページで、[BGP ピア] タブをクリックします。
[BGP ピア] タブで、[BGP ピアの作成] をクリックします。
[BGP ピアの作成] パネルで、次のパラメーターを設定し、[OK] をクリックします。
[BGP グループ]:VBR と SAG デバイスを追加する BGP グループを指定します。この例では、BGP グループ test が使用されています。
[BGP ピア IP]:BGP ピアの IP アドレスを入力します。この例では 192.168.110.1 が使用されています。これは、レイヤー 3 スイッチのポート G12 の IP アドレスです。
手順 5:スイッチとルーターを構成する
また、SAG デバイスのピアスイッチとインターネットに接続するルーターのルートを作成する必要もあります。この例で使用されているスイッチとルーターは、お客様のものとは異なる場合があります。詳細については、プロバイダーが提供するマニュアルを参照してください。
レイヤー 3 スイッチのルートを構成します。
interface GigabitEthernet 0/11 no switchport ip address 192.168.100.2 255.255.255.252 // SAG デバイスのピアスイッチの IP アドレス interface GigabitEthernet 0/12 no switchport ip address 192.168.110.1 255.255.255.252 // VBR のピアスイッチの IP アドレス router bgp 65430 bgp router-id 192.168.1.1 network 172.16.0.0 mask 255.240.0.0 // オンプレミスネットワークのプライベート CIDR ブロックをアドバタイズする neighbor 192.168.100.1 remote-as 65435 // SAG デバイスとのネイバー関係を確立する neighbor 192.168.100.1 timers 60 180 // BGP のキープアライブ時間間隔とホールド時間を設定する neighbor 192.168.110.2 remote-as 45104 // VBR とのネイバー関係を確立する exit重要VPC と通信する必要があるオンプレミスネットワークのプライベート CIDR ブロックのみをアドバタイズする必要があります。アドバタイズするルートとアドバタイズしないルート(VPC、他の SAG インスタンス、他の VBR のルートなど)を整理することをお勧めします。整理しないと、ルーティングループが発生する可能性があります。
出口ルーターのルートを構成します。次の例は、設定例を示しています。
ip route 192.168.100.0 255.255.255.252 192.168.80.2 // SAG デバイスへのルート
手順 6:ネットワーク接続を設定する
SAG デバイスを構成したら、ネットワーク接続を設定して、オンプレミスネットワークを Alibaba Cloud に接続する必要があります。
SAG インスタンスを CCN インスタンスに接続します。
SAG コンソール にログオンします。
上部のナビゲーションバーで、[中国本土] を選択します。
CCN インスタンスと SAG インスタンスは、同じエリアにデプロイする必要があります。
左側のナビゲーションペインで、[CCN] をクリックします。
[CCN] ページで、[CCN インスタンスの作成] をクリックします。
[CCN インスタンスの作成] パネルで、CCN インスタンスの名前を指定し、[OK] をクリックします。
SAG インスタンスを CCN インスタンスに関連付けます。
左側のナビゲーションペインで、[smart Access Gateway] をクリックします。
[smart Access Gateway] ページで、SAG インスタンスを見つけ、ネットワーク構成[アクション] 列の をクリックします。
左側の管理ペインで、[ネットワークインスタンスの詳細] をクリックします。
[ネットワークインスタンスの詳細] タブで、[ネットワークのアタッチ] をクリックし、作成した CCN インスタンスを選択して、[OK] をクリックします。
上記の手順を繰り返して、VBR を SAG インスタンスに関連付けます。詳細については、「ネットワークインスタンスのアタッチ」をご参照ください。
SAG インスタンスが CCN インスタンスと VBR に関連付けられている場合、オンプレミスネットワークはデフォルトで Express Connect 回線を介して Alibaba Cloud に接続されます。 Express Connect 回線がダウンしている場合、オンプレミスネットワークは CCN を介して Alibaba Cloud に接続されます。この場合、接続は暗号化され、インターネット経由で確立されます。
CCN インスタンスと VBR を CEN インスタンスにアタッチします。詳細については、「ネットワークインスタンスのアタッチ」をご参照ください。
これにより、オンプレミスネットワークは、CEN インスタンスにアタッチされている VPC と通信できます。
説明オンプレミスネットワーク、VBR、および VPC が同じリージョンにない場合は、CEN インスタンスの帯域幅プランを購入し、リージョン間帯域幅を割り当てる必要があります。これにより、オンプレミスネットワーク、VBR、および VPC が相互に通信できます。詳細については、「帯域幅プランの使用」および「リージョン間接続の帯域幅の管理」をご参照ください。
セキュリティグループルールを構成します。
プライベート CIDR ブロック 172.16.0.0/12 から ECS インスタンスにデプロイされたリソースへのアクセスを許可するには、VPC 内の ECS インスタンスのセキュリティグループルールを作成する必要があります。詳細については、「セキュリティグループルールの追加」をご参照ください。
手順 7:CEN インスタンスにルーティングポリシーを追加する
CCN インスタンスが CEN インスタンスと VBR の両方から VPC ルートを学習できるように、CEN インスタンスにルーティングポリシーを追加します。
この例では、CCN インスタンスが VBR から VPC ルートを学習した後、CEN インスタンスは VPC ルートを SAG デバイスにアドバタイズしなくなります。これにより、オンプレミスネットワークと VPC 間のネットワークトラフィックは、Express Connect 回線を介して優先的に送信されます。 Express Connect 回線がダウンしている場合、CCN インスタンスは VBR から VPC ルートを学習できなくなり、CEN インスタンスから学習した VPC ルートを SAG デバイスに自動的にアドバタイズします。その後、オンプレミスネットワークと VPC 間のネットワークトラフィックは SAG デバイスを介して送信されます。
- CEN コンソール にログオンします。
[インスタンス] ページで、管理する CEN インスタンスの ID をクリックします。
[基本設定] タブで、[トランジットルーター] タブをクリックし、管理するトランジットルーターの ID をクリックします。
トランジットルーターの詳細ページで、[ルートテーブル] タブをクリックします。
[ルートテーブル] タブで、[ルートマップ] タブをクリックします。
[ルートマップ] タブで、[ルートマップの追加] をクリックします。
[ルートマップの追加] ページで、パラメーターを設定し、[OK] をクリックします。
パラメーター
説明
[ルーティングポリシーの優先度]
ルーティングポリシーの優先度を入力します。
[説明]
ルーティングポリシーの説明を入力します。
[リージョン]
[中国本土 CCN] がデフォルトで選択されており、変更できません。
[ポリシーの方向]
[リージョナルゲートウェイからエクスポート] を選択します。
[一致条件]
ネットワークタイプを選択します。ドロップダウンリストから [ソースインスタンスタイプ] を選択します。
次に、[VBR] を選択します。
[アクションポリシー]
[許可] を選択します。
手順 8:接続フェイルオーバーとネットワーク接続をテストする
上記の手順を完了したら、レイヤー 3 スイッチの Express Connect ポートを閉じて、VPC を指すルートが切り替わっているかどうかをテストします。 Express Connect 回線でエラーが発生した場合、ネクストホップの宛先は VPC から SAG デバイスに変更されます。ルートを表示するために使用されるコマンドの詳細については、プロバイダーが発行したマニュアルを参照してください。
接続性をテストするために、オンプレミスクライアントから接続された VPC 内のクラウド リソースにアクセスできます。