このトピックでは、パブリック VPN ゲートウェイを使用して、Virtual Private Cloud(VPC)とデータセンター間にシングルトンネルモードの IPsec-VPN 接続を確立する方法、およびルートを自動的に学習するために VPC とデータセンターの Border Gateway Protocol(BGP)動的ルーティングを構成する方法について説明します。このようにして、VPC とデータセンターは相互にリソースを共有できます。これにより、ネットワーク メンテナンス コストとネットワーク構成エラーが削減されます。
前提条件
IPsec-VPN 接続をパブリック VPN ゲートウェイに関連付ける前に、データセンターのゲートウェイデバイスにパブリック IP アドレスが割り当てられています。
データセンターのゲートウェイデバイスは、転送ルータとの IPsec-VPN 接続を確立するために、IKEv1 または IKEv2 プロトコルをサポートしている必要があります。
データセンターの CIDR ブロックは、アクセスされるネットワークの CIDR ブロックと重複していません。
データセンターのゲートウェイデバイスは、BGP 動的ルーティングをサポートしています。
BGP 動的ルーティングをサポートするリージョン
地区 | リージョン |
地区 | リージョン |
アジアパシフィック | 中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (深セン)、中国 (香港)、日本 (東京)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ) |
ヨーロッパ & アメリカ | ドイツ (フランクフルト)、英国 (ロンドン)、米国 (バージニア)、米国 (シリコンバレー) |
中東 | UAE (ドバイ) |
シナリオ
例として、次のシナリオを使用します。企業はドイツ (フランクフルト) リージョンに VPC を作成しました。VPC のプライベート CIDR ブロックは 10.0.0.0/8、自律システム番号 (ASN) は 65530 です。企業はフランクフルトにデータセンターを持っています。データセンターのパブリック IP アドレスは 2.XX.XX.2、プライベート CIDR ブロックは 172.17.0.0/16、ASN は 65531 です。企業は事業開発のために VPC とデータセンター間の接続を確立したいと考えています。
IPsec-VPN を使用して VPC とデータセンター間の接続を確立し、BGP 動的ルーティングを構成できます。構成が完了すると、VPC とデータセンターは BGP 動的ルーティングを使用してルートを自動的に学習し、相互に通信できます。これにより、ネットワーク メンテナンス コストとネットワーク構成エラーが削減されます。
自律システム (AS) は、システム内で使用されるルーティングプロトコルを独自に決定する小さな単位です。この単位は、独立した管理可能なネットワーク単位です。単純なネットワーク、または 1 人以上のネットワーク管理者によって制御されるネットワークグループで構成される場合があります。各 AS には、ASN と呼ばれるグローバルに一意の識別子があります。
準備
ドイツ (フランクフルト) リージョンに VPC が作成され、クラウドサービスが VPC にデプロイされています。 詳細については、「IPv4 CIDR ブロックを持つ VPC を作成する」をご参照ください。
VPC 内の ECS インスタンスに適用されるセキュリティグループルールを読み、理解しています。また、セキュリティグループルールにより、データセンターのゲートウェイデバイスがクラウドリソースにアクセスできます。 詳細については、「セキュリティグループルールを照会する」および「セキュリティグループルールを追加する」をご参照ください。
手順
手順 1: VPN ゲートウェイを作成する
- VPN ゲートウェイコンソール にログインします。
VPN Gateway ページで、VPN Gateway の作成 をクリックします。
購入ページで、次の表に記載されているパラメータを構成し、[今すぐ購入] をクリックして、支払いを完了します。
次の表では、このトピックに関連するパラメータのみを説明しています。その他のパラメータはデフォルト値を使用するか、空のままにしておくことができます。詳細については、「VPN ゲートウェイを作成および管理する」をご参照ください。
パラメータ
説明
パラメータ
説明
リージョン
VPN ゲートウェイを作成するリージョン。
VPN ゲートウェイと VPC が同じリージョンにあることを確認してください。この例では、[ドイツ (フランクフルト)] が選択されています。
ゲートウェイタイプ
ゲートウェイタイプ。
デフォルト値: 標準。
ネットワークタイプ
ネットワークタイプ。この例では、[パブリック] が選択されています。
トンネル
システムは、このリージョンでサポートされているトンネルモードを表示します。有効な値:
[シングルトンネル]
[デュアルトンネル]
詳細については、「[アップグレードのお知らせ] IPsec-VPN 接続がデュアルトンネルモードをサポート」をご参照ください。
VPC
VPN ゲートウェイを作成する VPC。この例では、ドイツ (フランクフルト) リージョンに作成された VPC が選択されています。
VSwitch
選択した VPC から vSwitch を選択します。
シングルトンネルを選択した場合は、1 つの vSwitch のみ指定する必要があります。
デュアルトンネルを選択した場合は、2 つの vSwitch を指定する必要があります。
IPsec-VPN 機能が有効になると、システムは 2 つの vSwitch のそれぞれに Elastic Network Interface (ENI) を作成し、IPsec-VPN 接続を介して VPC と通信するためのインターフェースとして使用します。各 ENI は、vSwitch 内の 1 つの IP アドレスを占有します。
システムはデフォルトで vSwitch を選択します。デフォルトの vSwitch を変更または使用できます。
VPN ゲートウェイの作成後、VPN ゲートウェイに関連付けられた vSwitch を変更することはできません。VPN ゲートウェイの詳細ページで、VPN ゲートウェイに関連付けられた vSwitch、vSwitch が属するゾーン、および vSwitch 内の ENI を表示できます。
VSwitch 2
トンネルパラメータにシングルトンネルを選択した場合は、このパラメータは無視してください。
IPsec-VPN
IPsec-VPN を有効にするかどうかを指定します。この例では、[有効] が選択されています。
SSL-VPN
SSL-VPN を有効にするかどうかを指定します。この例では、[無効] が選択されています。
新しく作成された VPN ゲートウェイは 準備中 状態になり、約 1 ~ 5 分後に 正常 状態に変わります。VPN ゲートウェイの状態が 正常 に変わると、VPN ゲートウェイは使用できる状態になります。VPN ゲートウェイが作成されると、VPN 接続を確立するために、ゲートウェイにパブリック IP アドレスが自動的に割り当てられます。
既存の VPN ゲートウェイを使用する場合は、最新バージョンに更新されていることを確認してください。デフォルトでは、既存の VPN ゲートウェイが最新バージョンでない場合、BGP 動的ルーティング機能を使用できません。
[アップグレード] ボタンを使用して、VPN ゲートウェイが最新バージョンであるかどうかを確認できます。VPN ゲートウェイが最新バージョンでない場合は、[アップグレード] ボタンをクリックしてアップグレードできます。 詳細については、「VPN ゲートウェイをアップグレードする」をご参照ください。
手順 2: BGP 動的ルーティングを有効にする
BGP は、異なる AS 間でルーティング情報を交換するために使用されます。BGP 動的ルーティング機能を使用するには、VPN ゲートウェイの BGP 動的ルーティング機能を有効にする必要があります。
左側のナビゲーションウィンドウで、 を選択します。
トップメニューバーで、VPN ゲートウェイのリージョンを選択します。
[VPN ゲートウェイ] ページで、作成した VPN ゲートウェイを見つけ、[自動ルートアドバタイズメントを有効にする] 列のスイッチをオンにします。
BGP 動的ルーティング機能が有効になると、VPN ゲートウェイは BGP ルートを VPC に自動的にアドバタイズします。
手順 3: カスタマーゲートウェイを作成する
カスタマーゲートウェイを作成して、データセンターのパブリック IP アドレスと BGP AS を Alibaba Cloud に登録できます。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。
接続するカスタマーゲートウェイと VPN ゲートウェイは、同じリージョンにデプロイする必要があります。
カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。
[カスタマーゲートウェイの作成] パネルで、次の表に記載されているパラメータを構成し、[OK] をクリックします。
次の表では、このトピックに関連するパラメータのみを説明しています。その他のパラメータはデフォルト値を使用するか、空のままにしておくことができます。詳細については、「カスタマーゲートウェイを作成および管理する」をご参照ください。
パラメータ
説明
パラメータ
説明
IP アドレス
データセンターのゲートウェイデバイスのパブリック IP アドレス。この例では、2.XX.XX.2 が使用されています。
ASN
データセンターのゲートウェイデバイスの ASN。この例では、65531 が使用されています。
手順 4: IPsec-VPN 接続を作成する
左側のナビゲーションウィンドウで、 を選択します。
IPsec 接続 ページで、[VPN ゲートウェイのバインド] をクリックします。
[IPsec-VPN 接続 (VPN) の作成] ページで、次の表に記載されているパラメータを構成し、[OK] をクリックします。
次の表では、このトピックに関連するパラメータのみを説明しています。その他のパラメータはデフォルト値を使用するか、空のままにしておくことができます。詳細については、「シングルトンネルモードで IPsec-VPN 接続を作成および管理する」をご参照ください。
パラメータ
説明
パラメータ
説明
名前
IPsec-VPN 接続の名前。
リージョン
IPsec-VPN 接続に関連付ける VPN ゲートウェイがデプロイされているリージョンを選択します。
IPsec-VPN 接続は、VPN ゲートウェイと同じリージョンに作成されます。
VPN ゲートウェイのバインド
IPsec-VPN 接続に関連付ける VPN ゲートウェイ。
この例では、手順 1 で作成した VPN ゲートウェイが選択されています。
ルーティングモード
ルーティングモードを選択します。
有効な値: [宛先ルーティングモード] または [保護されたデータフロー]。IPsec-VPN 接続で BGP 動的ルーティングを使用する場合は、[宛先ルーティングモード] を選択することをお勧めします。この例では、[宛先ルーティングモード] が選択されています。
すぐに有効
接続のネゴシエーションをすぐに開始するかどうかを指定します。
[はい]: 構成が完了するとすぐにネゴシエーションを開始します。
[いいえ]: インバウンドトラフィックが検出されたときにネゴシエーションを開始します。
この例では、[はい] が選択されています。
カスタマーゲートウェイ
IPsec-VPN 接続に関連付けるカスタマーゲートウェイ。
この例では、手順 3 で作成したカスタマーゲートウェイが選択されています。
事前共有鍵
認証に使用される事前共有鍵。
事前共有鍵は、IPsec-VPN 接続に関連付けられた VPN ゲートウェイとデータセンターのゲートウェイデバイスの両方で同じである必要があります。この例では、123456**** が使用されています。
BGP を有効にする
Border Gateway Protocol (BGP) を有効にするかどうかを指定します。IPsec-VPN 接続に BGP ルーティングを使用する場合は、[BGP を有効にする] をオンにします。デフォルトでは、[BGP を有効にする] はオフになっています。
この例では、[BGP を有効にする] がオンになっています。
ローカル ASN
トンネルのローカル ASN。デフォルト値: 45104。
この例では、65530 が使用されています。
暗号化の構成
次のパラメータを除き、パラメータのデフォルト値を使用します。
[IKE の構成] セクションの [DH グループ] パラメータを [group14] に設定します。
[IPsec 設定] セクションの [DH グループ] パラメーターを [group14] に設定します。
データセンターのゲートウェイデバイスに基づいて [暗号化の構成] セクションのパラメーターを構成し、IPsec 接続の暗号化構成がデータセンターのゲートウェイデバイスの暗号化構成と一致するようにする必要があります。
BGP の構成
トンネル CIDR ブロック
IPsec トンネルの CIDR ブロック。この例では、169.254.10.0/30 が使用されています。
ローカル BGP IP アドレス
VPC 側の BGP IP アドレス。IP アドレスは、IPsec トンネルの CIDR ブロック内にある必要があります。この例では、169.254.10.1 が使用されています。
[作成済み] メッセージで、[OK] をクリックします。
IPsec 接続 ページで、管理する IPsec-VPN 接続を見つけ、操作 列の [構成のダウンロード] をクリックします。
IPsec-VPN 接続の設定 ダイアログボックスで、構成をコピーしてローカルパスに保存します。この構成を使用して、オンプレミスゲートウェイデバイスを構成できます。
手順 5: データセンターのゲートウェイデバイスに VPN 構成を追加する
IPsec-VPN 接続を作成した後、VPC とデータセンター間の VPN 接続を確立するために、データセンターのゲートウェイデバイスに VPN 構成を追加する必要があります。
カスタマーゲートウェイデバイスに VPN 構成を追加します。詳細については、「Cisco ファイアウォールを構成する」のシングルトンネル構成例をご参照ください。
データセンターのゲートウェイデバイスに追加する VPN 構成をダウンロードします。詳細については、「シングルトンネルモードで IPsec-VPN 接続を作成および管理する」トピックの「IPsec-VPN 接続の構成をダウンロードする」セクションをご参照ください。
データセンターのゲートウェイデバイスに VPN 構成を追加します。詳細については、「シングルトンネルモードで IPsec-VPN 構成を構成する」をご参照ください。
Cisco ファイアウォール デバイスに IPsec-VPN 構成を読み込む Topic の説明です。
IPsec-VPN 接続が作成されると、BGP 動的ルーティングに基づいてルートが自動的にアドバタイズされます。
データセンターのゲートウェイデバイスで BGP 動的ルーティングを使用してデータセンターの CIDR ブロックをアドバタイズすると、Alibaba Cloud の VPN ゲートウェイは、データセンターから学習したルートを VPC のシステムルートテーブルに自動的にアドバタイズします。[動的ルート] タブで、システムルートテーブルに関するルート情報を表示できます。
Alibaba Cloud の VPN ゲートウェイは、VPC のシステムルートテーブルからシステムルートを自動的に学習し、ルートをデータセンターのゲートウェイデバイスに自動的にアドバタイズします。
手順 6: 接続性をテストする
VPC 内の Elastic Compute Service (ECS) インスタンスにログインします。ECS インスタンスへのログイン方法の詳細については、「接続方法の概要」をご参照ください。
pingコマンドを実行して、データセンターのクライアントにアクセスし、接続性を確認します。結果は、VPC 内の ECS インスタンスがデータセンターのクライアントにアクセスできることを示しています。
データセンターのクライアントにログインします。
pingコマンドを実行して、VPC 内の ECS インスタンスにアクセスし、接続性を確認します。結果は、データセンターのクライアントが VPC 内の ECS インスタンスにアクセスできることを示しています。
