このトピックでは、パブリック VPN ゲートウェイを使用して、仮想プライベートクラウド (VPC) とデータセンター間のシングルトンネルモードで IPsec 接続を作成する方法について説明します。 IPsec 接続により、VPC とデータセンター間のプライベート通信が可能になります。
前提条件
IPsec 接続をパブリック VPN ゲートウェイに関連付ける前に、データセンターのゲートウェイデバイスにパブリック IP アドレスが割り当てられていることを確認してください。
データセンターのゲートウェイデバイスは、転送ルータとの IPsec 接続を確立するために、IKEv1 または IKEv2 プロトコルをサポートしている必要があります。
データセンターの CIDR ブロックは、アクセス対象のネットワークの CIDR ブロックと重複していません。
例
この例では、次のシナリオを使用します。企業はAlibaba Cloud上に VPC を作成しました。 VPC の CIDR ブロックは 192.168.0.0/16 です。データセンターの CIDR ブロックは 172.16.0.0/12 です。データセンターのゲートウェイデバイスの固定パブリック IP アドレスは 211.XX.XX.68 です。ビジネス要件を満たすために、企業はデータセンターを VPC に接続する必要があります。 IPsec 接続を作成して、VPC とデータセンター間の暗号化された通信を有効にすることができます。
準備
VPC が作成され、アプリケーションが VPC 内の Elastic Compute Service (ECS) インスタンスにデプロイされています。詳細については、「IPv4 CIDR ブロックを使用して VPC を作成する」をご参照ください。
VPC 内の ECS インスタンスに適用されるセキュリティグループルールを読み、理解しており、セキュリティグループルールによってデータセンターのゲートウェイデバイスがクラウドリソースにアクセスできるようになっています。詳細については、「セキュリティグループルールを照会する」および「セキュリティグループルールを追加する」をご参照ください。
手順 1:VPN ゲートウェイを作成する
- VPN ゲートウェイコンソール にログオンします。
上部のナビゲーションバーで、VPN ゲートウェイを作成するリージョンを選択します。
VPN ゲートウェイと関連付ける VPC は、同じリージョンに属している必要があります。
VPN Gateway ページで、VPN Gateway の作成 をクリックします。
購入ページで、次のパラメータを構成し、[今すぐ購入] をクリックして、支払いを完了します。
パラメータ
説明
名前
VPN ゲートウェイの名前を入力します。
この例では、VPN Gateway 1 を使用します。
リソースグループ
VPN ゲートウェイが属するリソースグループを選択します。このパラメータを空のままにすると、VPN ゲートウェイはデフォルトのリソースグループに属します。
この例では、このパラメータは空のままにします。
リージョン
VPN ゲートウェイを作成するリージョンを選択します。
説明VPN ゲートウェイは、VPC と同じリージョンに属している必要があります。
ゲートウェイタイプ
ゲートウェイタイプを選択します。
標準 がデフォルトで選択されています。
ネットワークタイプ
VPN ゲートウェイのネットワークタイプを選択します。
この例では、パブリック を選択します。
トンネル
システムは、このリージョンでサポートされているトンネルモードを表示します。有効な値:
シングルトンネル
デュアルトンネル
詳細については、「[アップグレードのお知らせ] IPsec 接続がデュアルトンネルモードをサポートするようになりました」をご参照ください。
VPC
VPN ゲートウェイを関連付ける VPC を選択します。
VSwitch
選択した VPC から VSwitch を選択します。
シングルトンネルを選択した場合は、1 つの VSwitch のみ指定する必要があります。
デュアルトンネルを選択した場合は、2 つの VSwitch を指定する必要があります。
IPsec 機能が有効になると、システムは 2 つの VSwitch のそれぞれに、IPsec 接続を介して VPC と通信するためのインターフェースとして、ENI を作成します。各 ENI は、VSwitch 内の 1 つの IP アドレスを使用します。
説明システムはデフォルトで VSwitch を選択します。デフォルトの VSwitch を変更または使用できます。
VPN ゲートウェイの作成後、VPN ゲートウェイに関連付けられた VSwitch を変更することはできません。 VPN ゲートウェイの詳細ページで、VPN ゲートウェイに関連付けられた VSwitch、VSwitch が属するゾーン、および VSwitch 内の ENI を表示できます。
VSwitch 2
トンネルパラメータでシングルトンネルを選択した場合は、このパラメータは無視します。
最大帯域幅
VPN ゲートウェイの最大帯域幅値を指定します。単位:Mbit/s。
トラフィック
VPN ゲートウェイの課金方法を選択します。デフォルト値:データ転送ごとの支払い。
詳細については、「請求ルール」をご参照ください。
IPsec-VPN
IPsec-VPN を有効にするかどうかを指定します。
この例では、有効にする を選択します。
SSL-VPN
SSL-VPN を有効にするかどうかを指定します。
この例では、無効にする を選択します。
期間
VPN ゲートウェイの請求サイクルを選択します。時間ごと がデフォルトで選択されています。
サービスロール
[サービスロールの作成] をクリックします。システムは自動的にサービスロール AliyunServiceRoleForVpn を作成します。
VPN ゲートウェイは、このロールを担って他のクラウドリソースにアクセスします。詳細については、「AliyunServiceRoleForVpn」をご参照ください。
[作成済み] と表示されている場合は、サービスロールが作成されているため、再度作成する必要はありません。
パラメータの詳細については、「VPN ゲートウェイの作成と管理」トピックの「VPN ゲートウェイを作成する」セクションをご参照ください。
VPN ゲートウェイページに戻り、作成した VPN ゲートウェイを表示します。
新しく作成された VPN ゲートウェイは、準備中 状態になり、約 1 ~ 5 分で 正常 状態に変わります。状態が 正常 に変わると、VPN ゲートウェイを使用できるようになります。
手順 2:カスタマーゲートウェイを作成する
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。
説明接続するカスタマーゲートウェイと VPN ゲートウェイが同じリージョンにデプロイされていることを確認してください。
カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。
カスタマーゲートウェイの作成 パネルで、次のパラメータを構成し、[OK] をクリックします。
このトピックでは、次の必須パラメータのみ説明します。その他のパラメータにはデフォルト値を使用するか、空のままにすることができます。詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。
名前: カスタマーゲートウェイの名前を入力します。
この例では、Customer Gateway 1 を使用します。
IP アドレス: VPC に接続するデータセンターのゲートウェイデバイスのパブリック IP アドレスを入力します。
この例では、211.XX.XX.68 を使用します。
手順 3:IPsec 接続を作成する
左側のナビゲーションウィンドウで、 を選択します。
IPsec 接続 ページで、[VPN ゲートウェイのバインド] をクリックします。
[IPsec-VPN 接続 (VPN) の作成] ページで、次の表に示すパラメータを構成し、[OK] をクリックします。
パラメータ
説明
名前
IPsec 接続の名前を入力します。
この例では、IPsec-VPN Connection 1 を使用します。
リージョン
IPsec 接続に関連付ける VPN ゲートウェイがデプロイされているリージョンを選択します。
IPsec 接続は、VPN ゲートウェイと同じリージョンに作成されます。
リソースグループ
VPN ゲートウェイが属するリソースグループを選択します。
この例では、デフォルトのリソースグループが選択されています。
VPN ゲートウェイのバインド
作成した VPN ゲートウェイを選択します。
この例では、VPN Gateway 1 を選択します。
ルーティングモード
ルーティングモードを選択します。
この例では、宛先ルーティングモード を選択します。
すぐに有効にする
構成をすぐに有効にするかどうかを指定します。
はい: 構成が完了するとすぐにネゴシエーションが開始されます。
いいえ: トラフィックが入るとネゴシエーションが発生します。
この例では、はい を選択します。
カスタマーゲートウェイ
作成したカスタマーゲートウェイを選択します。
この例では、Customer Gateway 1 を選択します。
BGP を有効にする
Border Gateway Protocol (BGP) を有効にするかどうかを指定します。 IPsec 接続に BGP ルーティングを使用する場合は、[BGP を有効にする] をオンにします。デフォルトでは、[BGP を有効にする] はオフになっています。
この例では、BGP は無効になっています。
事前共有鍵
事前共有鍵を入力します。
キーは 1 ~ 100 文字で、数字、大文字、小文字、および次の特殊文字を含めることができます:
~`!@#$%^&*()_-+={}[]\|;:',.<>/?。事前共有鍵を指定しない場合、システムは 16 文字のランダムな文字列を事前共有鍵として生成します。 IPsec 接続を作成した後、[編集] ボタンをクリックすると、システムによって生成された事前共有鍵を表示できます。詳細については、「IPsec 接続を変更する」をご参照ください。
重要IPsec 接続とピアゲートウェイデバイスは、同じ事前共有鍵を使用する必要があります。そうしないと、システムは IPsec 接続を確立できません。
暗号化の構成
この例では、バージョンパラメータは ikev1 に設定され、その他のパラメータはデフォルト値を使用します。詳細については、「シングルトンネルモードで IPsec 接続を作成および管理する」をご参照ください。
ヘルスチェック
この例では、デフォルト値が使用され、IPsec 接続のヘルスチェックは構成されていません。
タグ
IPsec 接続にタグキーペアを追加します。
この例では、このパラメータは空のままにします。
[作成済み] メッセージで、[キャンセル] をクリックします。
手順 4:IPsec 接続の構成をデータセンターのゲートウェイデバイスにロードする
左側のナビゲーションウィンドウで、 を選択します。
IPsec 接続 ページで、管理する IPsec 接続を見つけ、[ピア構成の生成][アクション] 列の をクリックします。
IPsec 接続の構成をデータセンターのゲートウェイデバイスにロードします。詳細については、「ローカルゲートウェイを構成する」をご参照ください。
手順 5:VPN ゲートウェイのルートを構成する
左側のナビゲーションウィンドウで、 を選択します。
VPN Gateway ページで、管理する VPN ゲートウェイを見つけ、VPN ゲートウェイの ID をクリックします。
宛先ベースルーティング タブで、[ルートエントリの追加] をクリックします。
[ルートエントリの追加] パネルで、次のパラメータを構成し、[OK] をクリックします。
パラメータ
説明
宛先 CIDR ブロック
ルートの宛先 CIDR ブロックを入力します。
この例では、172.16.0.0/12 を使用します。
ネクストホップタイプ
ネクストホップのタイプを選択します。
この例では、IPsec 接続 を選択します。
ネクストホップ
作成した IPsec 接続を選択します。
VPC にアドバタイズする
ルートを VPN ゲートウェイに関連付けられた VPC にアドバタイズするかどうかを指定します。
この例では、はい を選択します。
重み
ルートの重みを選択します。有効な値:
100: ルートに高い優先度を指定します。
0: ルートに低い優先度を指定します。
この例では、デフォルト値 100 を使用します。
手順 6:ネットワーク接続をテストする
VPC 内でパブリック IP アドレスが割り当てられていない ECS インスタンスにログオンします。詳細については、「接続方法の概要」をご参照ください。
ping コマンドを実行して、データセンター内のサーバーに ping を送信し、ネットワーク接続をテストします。
エコー応答パケットを受信できる場合、接続は確立されています。