IPsec-VPN は、暗号化トンネルを確立して、企業のデータセンターやオフィスネットワークなどのオンプレミスネットワークと、クラウド上の VPC との間の安全な通信を可能にします。
Alibaba Cloud VPN Gateway は、関連する中国の国内政策および規制に準拠しています。サポートしているのは 非クロスボーダー接続 のみです。クロスボーダー接続が必要な場合は、TransitRouter を使用してください。
利用シーン
Alibaba Cloud IPsec-VPN は、サイト間の暗号化接続を確立します。以下の 2 種類があります。
VPN Gateway へのアタッチ:オンプレミスネットワークを単一の VPC に接続します。
TransitRouter (TR) へのアタッチ:オンプレミスネットワークを複数の VPC に接続します。
コンポーネント
VPN Gateway へのアタッチ
コンポーネント名 | 説明 |
オンプレミスネットワークをクラウド上の単一の VPC に接続する際、VPN Gateway インスタンスは通信のクラウド側の出入り口として機能します。 VPN Gateway には、拡張インスタンスファミリーと従来インスタンスファミリーの 2 種類があります。両者の違いに関する詳細については、「VPN Gateway の種類の選択」をご参照ください。 | |
Alibaba Cloud 側でオンプレミスゲートウェイデバイスのパブリック IP アドレスを記録する論理オブジェクトです。IPsec 接続を作成する際に使用します。 | |
VPN Gateway からオンプレミスゲートウェイデバイスへの暗号化トンネルを定義します。この接続で、暗号化アルゴリズム、認証アルゴリズム、事前共有鍵 (PSK) などのパラメーターを両端に設定します。 | |
データセンター内の物理デバイス (通常はゲートウェイデバイス) またはアプリケーションです。オンプレミスゲートウェイデバイスは、クラウド側のゲートウェイデバイスと IPsec 接続をネゴシエートして確立するために、VPN 機能をサポートしている必要があります。 簡潔にするため、このドキュメントでは、Alibaba Cloud との IPsec 接続を必要とする企業のデータセンター、企業のオフィスネットワーク、およびその他のネットワークやサイトを指す例としてデータセンターを使用します。 |
TransitRouter へのアタッチ
コンポーネント名 | 説明 |
オンプレミスネットワークをクラウド上の複数の VPC に接続する際、TransitRouter (TR) は通信のクラウド側の出入り口として機能します。TR を使用する際は、TR 上で VPN 接続を作成し、IPsec 接続インスタンスをアタッチします。 | |
Alibaba Cloud 側でオンプレミスゲートウェイデバイスのパブリック IP アドレスを記録する論理オブジェクトです。IPsec 接続を作成する際に使用します。 | |
TransitRouter からオンプレミスゲートウェイデバイスへの暗号化トンネルを定義します。この接続で、暗号化アルゴリズム、認証アルゴリズム、事前共有鍵 (PSK) などのパラメーターを両端に設定します。 | |
オンプレミスゲートウェイデバイス | データセンター内の物理デバイス (通常はゲートウェイデバイス) またはアプリケーションです。オンプレミスゲートウェイデバイスは、クラウド側のゲートウェイデバイスと IPsec 接続をネゴシエートして確立するために、VPN 機能をサポートしている必要があります。 簡潔にするため、このドキュメントでは、Alibaba Cloud との IPsec 接続を必要とする企業のデータセンター、企業のオフィスネットワーク、およびその他のネットワークやサイトを指す例としてデータセンターを使用します。 |
デュアルトンネルモード
IPsec 接続には、デフォルトで 2 つの暗号化トンネルが含まれます。複数ゾーンをサポートするリージョンでは、2 つのトンネルは異なるゾーンにデプロイされ、ゾーンレベルのディザスタリカバリを提供します。中国 (武漢 - ローカルリージョン) のように 1 つのゾーンしかサポートしないリージョンでは、両方のトンネルが同じゾーンにデプロイされます。この構成ではゾーンレベルのディザスタリカバリは提供されませんが、リンクの冗長性は確保されます。
VPN Gateway へのアタッチ:2 つの暗号化トンネルはアクティブ/スタンバイリンクとして機能します。デフォルトでは、トラフィックはアクティブトンネルのみを通過します。アクティブトンネルに障害が発生した場合、トラフィックはスタンバイトンネルを通過します。詳細については、「VPN Gateway へのアタッチ」をご参照ください。
TransitRouter へのアタッチ:2 つのトンネルは自動的に等コストマルチパス (ECMP) リンクを形成します。両方のトンネルがトラフィックを転送します。一方のトンネルに障害が発生した場合、そのトンネルからのトラフィックはもう一方のトンネルに切り替わります。詳細については、「TransitRouter へのアタッチ」をご参照ください。
IPsec 接続を作成する際は、両方のトンネルをアクティブとして設定する必要があります。トンネルを 1 つだけ設定または使用した場合、IPsec 接続のリンク冗長性やゾーンレベルのディザスタリカバリ機能を利用できません。さらに、VPN Gateway は SLA の対象外となります。
機能比較
比較項目 | VPN Gateway へのアタッチ | TransitRouter へのアタッチ |
利用シーン | オンプレミスネットワークをクラウド上の単一の VPC に接続します。 | オンプレミスネットワークをクラウド上の複数の VPC に接続します。 |
サポートされる暗号化アルゴリズム | 国際標準商用暗号アルゴリズム | 国際標準商用暗号アルゴリズム |
IPsec 接続トンネルモード | デュアルトンネルモード 一部の既存の VPN Gateway インスタンスは、シングル トンネルの IPsec 接続の作成のみをサポートしています。デュアルトンネルモードにアップグレードしてください。 | デュアルトンネルモード 既存のシングル トンネルの IPsec 接続は、本質的に高可用性を提供しません。ネットワーク接続に影響を与えることなく、IPsec 接続を削除して再作成してください。新しく作成された IPsec 接続は、デフォルトでデュアルトンネルモードになります。 |
高可用性メカニズム | アクティブ/スタンバイ トンネル:トラフィックはデフォルトでアクティブトンネルを通過します。アクティブトンネルに障害が発生した場合、自動的にスタンバイトンネルに切り替わります。 | ECMP (等コストマルチパス):両方のトンネルが負荷を分散し、相互に冗長性を提供します。 |
単一の IPsec 接続でサポートされる帯域幅仕様 |
|
既存のシングル トンネルモードの場合、IPsec 接続は最大 1000 Mbps の帯域幅をサポートします。 |
サポートされるパケット/秒 (PPS) | VPN Gateway インスタンスは、双方向で合計 120,000 PPS (パケットあたり 256 バイト) をサポートします。 VPN Gateway インスタンスに複数の IPsec 接続がある場合、すべての接続の双方向の合計 PPS は 120,000 PPS (パケットあたり 256 バイト) を超えることはできません。 | デュアルトンネルモードでは、各トンネルが双方向で合計 120,000 PPS (パケットあたり 256 バイト) をサポートします。 既存のシングル トンネルモードの場合、IPsec 接続は双方向で合計 120,000 PPS (パケットあたり 256 バイト) をサポートします。 |
課金
詳細については、「IPsec-VPN の課金ドキュメント」をご参照ください。