VPN Gateway:シングルトンネルモードでVPCをデータセンターに接続する

前提条件

• IPsec-VPN接続をパブリックVPNゲートウェイに関連付ける前に、データセンターのゲートウェイデバイスにパブリックIPアドレスが割り当てられていることを確認してください。

• データセンターのゲートウェイデバイスは、トランジットルーターとのIPsec-VPN接続を確立するために、IKEv1またはIKEv2プロトコルをサポートする必要があります。

• データセンターのCIDRブロックは、アクセスするネットワークのCIDRブロックと重複しません。

例:

この例では、以下のシナリオが使用される。 企業がAlibaba Cloud上にVPCを作成しました。 VPC の CIDR ブロックは 192.168.0.0/16 です。 データセンターのCIDRブロックは172.16.0.0/12です。 データセンターのゲートウェイデバイスの静的パブリックIPアドレスは、211.XX. XX.68です。 ビジネス要件を満たすには、企業はデータセンターをVPCに接続する必要があります。 IPsec-VPN接続を作成して、VPCとデータセンター間の暗号化通信を有効にすることができます。

準備

• VPCが作成され、アプリケーションがVPCのElastic Compute Service (ECS) インスタンスにデプロイされます。 詳細については、「」をご参照ください。IPv4 CIDRブロックを持つVPCの作成.

• VPN Gatewayを使用する前に、VPCのECSインスタンスに適用されるセキュリティグループルールを読んで理解する必要があります。 セキュリティグループルールで、データセンターのゲートウェイデバイスがクラウドリソースにアクセスできるようにします。 詳細については、「」をご参照ください。セキュリティグループルールの表示とセキュリティグループルールの追加.

手順 1: VPN ゲートウェイの作成

1. VPN gatewayコンソール.

2. 上部のナビゲーションバーで、VPNゲートウェイを作成するリージョンを選択します。

   VPNゲートウェイと関連付けられるVPCは、同じリージョンに属している必要があります。

3. VPN Gatewayページをクリックします。VPN Gateway の作成.

4. 購入ページで、次のパラメーターを設定し、今すぐ購入、そして支払いを完了します。

   パラメーター	説明
   名前	VPNゲートウェイの名前を入力します。 この例では、VPN Gateway 1が使用されています。
   リソースグループ	VPN gatewayが属するリソースグループを選択します。 このパラメーターを空のままにすると、VPN gatewayはデフォルトのリソースグループに属します。 この例では、このパラメータは空のままです。
   リージョン	VPNゲートウェイを作成するリージョンを選択します。 説明 VPNゲートウェイはVPCと同じリージョンに属している必要があります。
   ゲートウェイタイプ	ゲートウェイタイプを選択します。 デフォルトでは標準が選択されています。
   ネットワークタイプ	VPNゲートウェイのネットワークタイプを選択します。 この例では、[公開] が選択されています。
   トンネル	このリージョンでサポートされているトンネルモードが表示されます。 有効な値： シングルトンネル デュアルトンネル 詳細については、「 [アップグレード通知] IPsec-VPN接続がデュアルトンネルモードをサポート」をご参照ください。
   [VPC]	VPNゲートウェイを関連付けるVPCを選択します。
   VSwitch	選択したVPCからvSwitchを選択します。 シングルトンネルを選択した場合、vSwitchを1つだけ指定する必要があります。 デュアルトンネルを選択した場合、2つのvSwitchを指定する必要があります。 IPsec-VPN機能を有効にすると、IPsec-VPN接続を介してVPCと通信するためのインターフェイスとして、2つのvSwitchのそれぞれにelastic network interface (ENI) が作成されます。 各ENIはvSwitchで1つのIPアドレスを占有します。 説明 システムはデフォルトでvSwitchを選択します。 デフォルトのvSwitchを変更または使用できます。 VPNゲートウェイの作成後、VPNゲートウェイに関連付けられているvSwitchを変更することはできません。 VPN gatewayの詳細ページで、VPN gatewayに関連付けられているvSwitch、vSwitchが属するゾーン、およびENIをvSwitchで表示できます。
   vSwitch 2	TunnelsパラメーターにSingle-tunnelを選択した場合は、このパラメーターを無視します。
   最大帯域幅	VPN gatewayの最大帯域幅値を指定します。 単位: Mbit/s。
   トラフィック	VPNゲートウェイの計測方法を選択します。 デフォルト値: Pay-by-data-transfer 詳細については、「課金ルール」をご参照ください。
   IPsec-VPN	IPsec-VPNを有効にするかどうかを指定します。 この例では、[有効化] が選択されています。
   SSL-VPN	SSL-VPNを有効にするかどうかを指定します。 この例では、[無効] が選択されています。
   有効期間	VPN gatewayの課金サイクルを選択します。 デフォルトでは [時間] が選択されています。
   サービスにリンクされたロール	[サービスにリンクされたロールの作成] をクリックします。 サービスにリンクされたロールAliyunServiceRoleForVpnが自動的に作成されます。 VPN gatewayは、他のクラウドリソースにアクセスするためにこの役割を引き受けます。 詳細については、「AliyunServiceRoleForVpn」をご参照ください。 [作成済み] が表示されている場合、サービスにリンクされたロールが作成され、再度作成する必要はありません。

   パラメーターの詳細については、「VPNゲートウェイの作成と管理」トピックの「VPNゲートウェイの作成」セクションをご参照ください。

5. VPN gatewayページに戻り、作成したVPN gatewayを表示します。

   新しく作成されたVPN gatewayは 準備中 状態で、約1〜5分で 正常 状態に変わります。 ステータスが 正常 に変更されると、VPN gatewayは使用可能になります。

手順 2 : カスタマーゲートウェイの作成

1. 左側のナビゲーションウィンドウで、相互接続 > VPN > カスタマーゲートウェイ.

2. 上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。

   説明

   接続するカスタマーゲートウェイとVPNゲートウェイが同じリージョンにデプロイされていることを確認してください。

3. カスタマーゲートウェイページをクリックします。カスタマーゲートウェイの作成.

4. カスタマーゲートウェイの作成パネル、次のパラメータを設定し、OK.

   このトピックでは、次の必須パラメーターのみについて説明します。 他のパラメータにデフォルト値を使用するか、空のままにすることができます。 詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。

   • 名前：カスタマーゲートウェイの名前を入力します。

     この例では、Customer Gateway 1が使用されています。

   • IPアドレス: VPCに接続するデータセンターのゲートウェイデバイスのパブリックIPアドレスを入力します。

     この例では、211.XX. XX.68が使用されます。

手順 3：IPsec-VPN 接続を作成する

1. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続.

2. 上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。

   説明

   IPsec-VPN接続と接続するVPN gatewayが同じリージョンにデプロイされていることを確認してください。

3. IPsec 接続ページをクリックします。VPN 接続の作成.

4. VPN 接続の作成ページで、次の表に記載されているパラメーターを設定し、OK.

   パラメーター	説明
   名前	IPsec-VPN接続の名前を入力します。 この例では、IPsec-VPN接続1が使用されています。
   リソースグループ	VPN gatewayが属するリソースグループを選択します。 この例では、デフォルトのリソースグループが選択されています。
   リソースの関連付け	IPsec-VPN接続に関連付けるネットワークリソースのタイプを選択します。 この例では、VPN Gatewayが選択されています。
   VPNゲートウェイ	作成したVPNゲートウェイを選択します。 この例では、VPN Gateway 1が選択されています。
   ルーティングモード	ルーティングモードを選択します。 この例では、宛先ルーティングモードが選択されています。
   すぐに有効	設定がすぐに有効になるかどうかを指定します。 IPsec-VPN接続を作成するときに [有効な即時] パラメーターを はい に設定すると、設定が完了した直後にネゴシエーションが開始されます。 IPsec-VPN接続を作成するときに [有効な即時] パラメーターを いいえ に設定すると、インバウンドトラフィックが検出されたときにネゴシエーションが開始されます。 この例では、はいが選択されています。
   カスタマーゲートウェイ	作成したカスタマーゲートウェイを選択します。 この例では、Customer Gateway 1が選択されています。
   BGPの有効化	Border Gateway Protocol (BGP) を有効にするかどうかを指定します。 IPsec-VPN接続にBGPルーティングを使用する場合は、[BGPの有効化] をオンにします。 デフォルトでは、Enable BGPはオフになっています。 この例では、BGPは無効です。
   事前共有キー	事前共有キーを入力します。 キーの長さは1〜100文字である必要があり、数字、文字、および次の特殊文字を含めることができます。~ '! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ? 事前共有キーを指定しない場合、システムは事前共有キーとしてランダムな16文字の文字列を生成します。 IPsec-VPN接続の作成後、[操作] 列の [編集] をクリックして、IPsec-VPN接続用に生成された事前共有キーを表示できます。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」の「IPsec-VPN接続の変更」セクションをご参照ください。 重要 IPsec-VPN接続とピアゲートウェイデバイスは、同じ事前共有キーを使用する必要があります。 そうしないと、システムはIPsec-VPN接続を確立できません。
   暗号化設定	この例では、Versionパラメーターはikev1に設定され、その他のパラメーターはデフォルト値を使用します。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
   ヘルスチェック	この例では、デフォルト値が使用され、IPsec-VPN接続にヘルスチェックは設定されていません。
   [タグ]	IPsec-VPN接続にタグとキーのペアを追加します。 この例では、このパラメータは空のままです。

5. [作成済み] メッセージで、[OK] をクリックします。

手順4: IPsec-VPN接続の設定をデータセンターのゲートウェイデバイスに読み込む

1. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続.

2. IPsec 接続ページで、管理するIPsec-VPN接続を見つけて、ピア構成の生成で、アクション列を作成します。

3. IPsec-VPN接続の設定をデータセンターのゲートウェイデバイスに読み込みます。 詳細については、「」をご参照ください。ローカルゲートウェイの設定.

ステップ5: VPNゲートウェイのルートを設定する

1. 左側のナビゲーションウィンドウで、相互接続 > VPN > VPN Gateway.

2. VPN Gatewayページで、管理するVPN gatewayを見つけ、VPN gatewayのIDをクリックします。

3. 宛先ベースルーティングタブをクリックします。ルートエントリの追加.

4. ルートエントリの追加パネル、次のパラメータを設定し、OK.

   パラメーター	説明
   宛先CIDRブロック	ルートの宛先CIDRブロックを入力します。 この例では、172.16.0.0/12が使用されます。
   ネクストホップタイプ	ネクストホップのタイプを選択します。 この例では、IPsec-VPN接続が選択されています。
   次ホップ	作成したIPsec-VPN接続を選択します。
   VPCへの広告	VPNゲートウェイに関連付けられているVPCへのルートをアドバタイズするかどうかを指定します。 この例では、はいが選択されています。
   重量	ルートの重みを選択します。 有効な値： 100: ルートの高い優先度を指定します。 0: ルートの優先度を低く指定します。 この例では、デフォルト値100が使用されます。

手順 6：ネットワーク接続のテスト

1. VPCでパブリックIPアドレスが割り当てられていないECSインスタンスにログインします。 詳細については、「接続方法の概要」をご参照ください。

2. pingコマンドを実行して、データセンターのサーバーにpingを実行し、ネットワーク接続をテストします。

   エコー応答パケットを受信できる場合は、接続が確立されます。