このトピックでは、データセンターと仮想プライベートクラウド (VPC) 間にインターネット経由で複数のIPsec-VPN接続を作成し、その接続を使用して等価マルチパス (ECMP) ルーティングに基づく負荷分散を実装する方法について説明します。
シナリオ
このトピックでは、上記のシナリオを例として使用します。 企業は杭州にデータセンターを所有し、中国 (上海) リージョンにVPCを作成しました。 アプリケーションは、VPCのECS (Elastic Compute Service) インスタンスにデプロイされます。 企業では、VPN Gatewayを使用して、データセンターとVPCが暗号化された接続を介して通信できるようにします。 また、ECMPルーティングに基づく負荷分散を実装するために、データセンターとVPCの間に複数の暗号化接続を作成したいと考えています。
これを行うには、企業はデータセンターとAlibaba Cloudの間に複数のIPsec-VPN接続を作成し、IPsec-VPN接続とVPCを同じCloud enterprise Network (CEN) インスタンスに接続する必要があります。 このようにして、データセンターとVPCは暗号化された接続を介して通信でき、ECMPルーティングに基づく負荷分散を実装できます。
ネットワーク設計
ネットワーク設定
このトピックでは、次のネットワーク設定を使用します。
IPsec-VPN接続の ゲートウェイタイプ パラメーターを [パブリック] に設定します。 これにより、データセンターとAlibaba Cloud間のIPsec-VPN接続がインターネット経由で作成されます。
IPsec-VPN接続に関連付けられているリソースは、CENタイプである必要があります。 このように、IPsec − VPN接続は、ECMP接続を形成することができる。
IPsec経由のBGP動的ルーティングを設定します。
CIDR ブロック
CIDRブロックを計画するときは、データセンターとVPCのCIDRブロックが重複しないようにしてください。
リソース | CIDRブロックとIPアドレス |
VPC | プライマリCIDRブロック: 10.0.0.0/16。
|
IPsec-VPN接続 | BGP設定:
|
オンプレミスゲートウェイデバイスOn-premises gateway devices | オンプレミスゲートウェイデバイスのパブリックIPアドレス
|
オンプレミスゲートウェイデバイスのBGP設定:
| |
データセンター | VPCに接続するCIDRブロック:
|
準備
開始する前に、次の操作を実行します。
中国 (上海) リージョンにVPCが作成されます。 アプリケーションはVPCのECSインスタンスにデプロイされます。 詳細については、「」をご参照ください。IPv4 CIDRブロックを持つVPCの作成.
CEN インスタンスが作成されていること。 Enterprise Editionトランジットルーターは、中国 (杭州) および中国 (上海) リージョンに作成されます。 詳細については、「CENインスタンスの作成」および「トランジットルーターの作成」をご参照ください。
重要トランジットルーターを作成するときは、トランジットルーターのCIDRブロックを設定する必要があります。 それ以外の場合、IPsec接続をトランジットルーターに関連付けることはできません。
トランジットルーターを作成した場合は、トランジットルーターのCIDRブロックを設定できます。 詳細については、「トランジットルーターCIDRブロック」をご参照ください。
VPC内のECSインスタンスのセキュリティグループルールを理解しています。 ルールにより、ECSインスタンスがデータセンターと通信できるようにします。 詳細については、「」をご参照ください。セキュリティグループルールの表示とセキュリティグループルールの追加.
手順
ステップ1: カスタマーゲートウェイの作成
IPsec-VPN接続を作成する前に、オンプレミスのゲートウェイデバイスに関する情報をAlibaba Cloudに提供するカスタマーゲートウェイを作成する必要があります。
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。
VPN Gatewayは、クロスボーダーIPsec-VPN接続をサポートしていません。 したがって、カスタマーゲートウェイがデプロイされているリージョンを選択するときは、近くのアクセスの原則に従って、データセンターに最も近いリージョンを選択する必要があります。 この例では、中国 (杭州) が選択されています。
クロスボーダー接続の詳細については、VPNゲートウェイとは.
カスタマーゲートウェイページをクリックします。カスタマーゲートウェイの作成.
カスタマーゲートウェイの作成 パネルで、次のパラメーターを設定し、OK をクリックします。
中国 (杭州) リージョンで次の設定を使用する3つのカスタマーゲートウェイを作成します。 他のパラメーターにはデフォルト値を使用します。 詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。
パラメーター
説明
カスタマーゲートウェイ1
カスタマーゲートウェイ2
カスタマーゲートウェイ3
名前
各カスタマーゲートウェイの名前を入力します。
Customer-Gateway1を入力します。
Customer-Gateway2を入力します。
Customer-Gateway3を入力します。
IP アドレス
Alibaba Cloudに接続するオンプレミスゲートウェイデバイスのパブリックIPアドレスを入力します。
オンプレミスゲートウェイデバイス1のパブリックIPアドレスを入力します: 11.XX. XX.1。
オンプレミスゲートウェイデバイス2のパブリックIPアドレス (11.XX. XX.2) を入力します。
オンプレミスゲートウェイデバイス3のパブリックIPアドレス: 11.XX. XX.3を入力します。
ASN
オンプレミスゲートウェイデバイスのBGP ASNを入力します。
65530を入力します。
ステップ2: IPsec-VPN接続の作成
カスタマーゲートウェイを作成した後、Alibaba CloudからオンプレミスゲートウェイデバイスへのIPsec-VPN接続を作成する必要があります。
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。
IPsec-VPN接続とカスタマーゲートウェイは、同じリージョンに作成する必要があります。 この例では、中国 (杭州) が選択されています。
IPsec 接続ページをクリックします。VPN 接続の作成.
VPN 接続の作成 ページで、次の情報に基づいてIPsec-VPN接続を設定し、OK をクリックします。
中国 (杭州) リージョンで次の設定を使用する3つのIPsec-VPN接続を作成します。 IPsec-VPN接続の使用に対して課金されます。 詳細については、次をご参照ください: 請求。
パラメーター
説明
IPsec-VPN接続1
IPsec-VPN接続2
IPsec-VPN接続3
名前
各IPsec-VPN接続の名前を入力します。
IPsec-VPN接続1を入力します。
IPsec-VPN接続2を入力します。
IPsec-VPN接続3を入力します。
リソースの関連付け
IPsec-VPN接続に関連付けるネットワークリソースのタイプを選択します。
この例では、CENが選択されています。
ゲートウェイタイプ
IPsec-VPN接続のネットワークタイプを選択します。
この例では、パブリック が選択されています。
CEN インスタンス ID
CENインスタンスを選択します。
この例では、準備セクションで作成されたCENインスタンスが選択されています。
トランジットルーター
IPsec-VPN接続に関連付けるトランジットルーター。
システムは、IPsec-VPN接続が作成されているリージョンでトランジットルーターを自動的に選択します。
ゾーン
IPsec-VPN接続を作成するゾーンを選択します。 IPsec-VPN接続がトランジットルーターをサポートするゾーンに作成されていることを確認します。
この例では、杭州ゾーンHが選択されています。
カスタマーゲートウェイ
IPsec-VPN接続に関連付けるカスタマーゲートウェイを選択します。
Customer-Gateway1を選択します。
Customer-Gateway2を選択します。
Customer-Gateway3を選択します。
ルーティングモード
ルーティングモードを選択します。
この例では、宛先ルーティングモードが選択されています。
今すぐ有効化有効
設定が有効になった後、IPsecネゴシエーションをすぐに開始するかどうかを指定します。 有効な値:
IPsec-VPN接続を作成するときに [有効な即時] パラメーターを はい に設定すると、設定が完了した直後にネゴシエーションが開始されます。
IPsec-VPN接続を作成するときに [有効な即時] パラメーターを いいえ に設定すると、インバウンドトラフィックが検出されたときにネゴシエーションが開始されます。
この例では、はいが選択されています。
事前共有鍵
オンプレミスのゲートウェイデバイスの認証に使用される事前共有キーを入力します。
キーの長さは1〜100文字である必要があり、数字、文字、および次の特殊文字を含めることができます。
~ '! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ?
事前共有キーを指定しない場合、システムは事前共有キーとしてランダムな16文字の文字列を生成します。 IPsec-VPN接続の作成後、[操作] 列の [編集] をクリックして、IPsec-VPN接続用に生成された事前共有キーを表示できます。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」の「IPsec-VPN接続の変更」セクションをご参照ください。
重要IPsec-VPN接続とピアゲートウェイデバイスは、同じ事前共有キーを使用する必要があります。 そうしないと、システムはIPsec-VPN接続を確立できません。
fddsFF123 **** と入力します。
fddsFF456 **** と入力します。
fddsFF789 **** と入力します。
暗号化設定
IKE設定とIPsec設定を含む暗号化設定を設定します。
この例では、IKE 構成セクションのバージョンパラメーターにikev2が選択されています。 デフォルト値は他のパラメータに使用されます。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
BGP 設定
BGPを有効にするかどうかを指定します。 デフォルトでは、BGPは無効になっています。
この例では、BGPは有効です。
トンネル CIDR ブロック
IPsecトンネリングに使用されるCIDRブロックを指定します。
CIDRブロックは169.254.0.0/16に収まる必要があります。 CIDRブロックのサブネットマスクの長さは30ビットである必要があります。
169.254.10.0/30と入力します。
169.254.11.0/30と入力します。
169.254.12.0/30と入力します。
ローカル BGP IP アドレス
IPsec-VPN接続のBGP IPアドレスを入力します。
このIPアドレスは、IPsecトンネリングのCIDRブロック内にある必要があります。
169.254.10.1を入力します。
169.254.11.1を入力します。
169.254.12.1を入力します。
ローカル ASN
IPsec-VPN接続のASNを入力します。
65531を入力します。
65531を入力します。
65531を入力します。
ヘルスチェック
ヘルスチェック機能を有効にするかどうかを指定します。 ヘルスチェック機能はデフォルトで無効になっています。
この例では、ヘルスチェック機能は無効です。
IPsec-VPN接続が作成された後、システムは各IPsec-VPN接続にゲートウェイIPアドレスを割り当てます。 ゲートウェイIPアドレスは、IPsec-VPN接続のAlibaba Cloud側のエンドポイントです。 次の図に示すように、詳細ページでIPsec-VPN接続のゲートウェイIPアドレスを確認できます。
次の表に、IPsec-VPN接続1、IPsec-VPN接続2、およびIPsec-VPN接続3に割り当てられるゲートウェイIPアドレスを示します。
IPsec-VPN接続
ゲートウェイIPアドレス
IPsec-VPN 接続 1
120.XX.XX.191
IPsec-VPN接続2
47.XX.XX.213
IPsec-VPN接続3
47.XX。XX.161
説明IPsec-VPN接続をトランジットルーターに関連付けた後にのみ、ゲートウェイIPアドレスがIPsec-VPN接続に割り当てられます。 IPsec-VPN接続を作成するときに、リソースの関連付け を 関連付け禁止 または VPN Gateway に設定した場合、システムはIPsec-VPN接続にゲートウェイIPアドレスを割り当てません。
IPsec 接続 ページに移動し、作成したIPsec-VPN接続を見つけて、操作 列の [ピア構成の生成] をクリックします。
3つのIPsec-VPN接続の構成をオンプレミスマシンにダウンロードして、オンプレミスゲートウェイデバイスにVPN構成を追加するときに構成を使用できるようにします。
手順3: オンプレミスゲートウェイデバイスの設定
IPsec-VPN接続が作成されたら、次の手順を実行して、オンプレミスのゲートウェイデバイスにダウンロードしたIPsec-VPN接続設定にVPN設定とBGP設定を追加します。 これにより、データセンターはIPsec-VPN接続を介してAlibaba Cloudと通信できます。
次の構成は参照だけのためです。 コマンドは、ネットワークデバイスベンダーに基づいて変化し得る。 ベンダーに連絡して、特定のコマンドに関する情報を入手してください。
オンプレミスゲートウェイデバイスのCLIを開きます。
次のコマンドを実行して、IKEv2の提案とポリシーを設定します。
//Add the following configuration to the three on-premises gateway devices: crypto ikev2 proposal alicloud encryption aes-cbc-128 //Configure the encryption algorithm. In this example, aes-cbc-128 is used. integrity sha1 //Configure the authentication algorithm. In this example, sha1 is used. group 2 //Configure the DH group. In this example, group 2 is used. exit ! crypto ikev2 policy Pureport_Pol_ikev2 proposal alicloud exit !
次のコマンドを実行して、IKEv2キーリングを設定します。
//Add the following configuration to On-premises Gateway Device 1: crypto ikev2 keyring alicloud peer alicloud address 120.XX.XX.191 //Specify the public IP address of the gateway on the Alibaba Cloud side of IPsec-VPN Connection 1. In this example, 120.XX.XX.191 is specified. pre-shared-key fddsFF123**** //Configure the pre-shared key. In this example, fddsFF123**** is used. exit ! //Add the following configuration to On-premises Gateway Device 2: crypto ikev2 keyring alicloud peer alicloud address 47.XX.XX.213 //Specify the public IP address of the gateway on the Alibaba Cloud side of IPsec-VPN Connection 2. In this example, 47.XX.XX.213 is specified. pre-shared-key fddsFF456**** //Configure the pre-shared key. In this example, fddsFF456**** is used. exit ! //Add the following configuration to On-premises Gateway Device 3: crypto ikev2 keyring alicloud peer alicloud address 47.XX.XX.161 //Specify the public IP address of the gateway on the Alibaba Cloud side of IPsec-VPN Connection 3. In this example, 47.XX.XX.161 is specified. pre-shared-key fddsFF789**** //Configure the pre-shared key. In this example, fddsFF789**** is used. exit !
次のコマンドを実行してIKEv2プロファイルを設定します。
//Add the following configuration to On-premises Gateway Device 1: crypto ikev2 profile alicloud match identity remote address 120.XX.XX.191 255.255.255.255 //Match the public IP address of the gateway on the Alibaba Cloud side of IPsec-VPN Connection 1. In this example, 120.XX.XX.191 is matched. identity local address 11.XX.XX.1 //Specify the public IP address of On-premises Gateway Device 1. In this example, 11.XX.XX.1 is used. authentication remote pre-share //Set the authentication mode of the remote side to PSK. authentication local pre-share //Set the authentication mode of the local side to PSK. keyring local alicloud //Use the IKEv2 keyring. exit ! //Add the following configuration to On-premises Gateway Device 2: crypto ikev2 profile alicloud match identity remote address 47.XX.XX.213 255.255.255.255 //Match the public IP address of the gateway on the Alibaba Cloud side of IPsec-VPN Connection 2. In this example, 47.XX.XX.213 is matched. identity local address 11.XX.XX.2 //Specify the public IP address of On-premises Gateway Device 2. In this example, 11.XX.XX.2 is used. authentication remote pre-share //Set the authentication mode of the remote side to PSK. authentication local pre-share //Set the authentication mode of the local side to PSK. keyring local alicloud //Use the IKEv2 keyring. exit ! //Add the following configuration to On-premises Gateway Device 3: crypto ikev2 profile alicloud match identity remote address 47.XX.XX.161 255.255.255.255 //Match the public IP address of the gateway on the Alibaba Cloud side of IPsec-VPN Connection 3. In this example, 47.XX.XX.161 is matched. identity local address 11.XX.XX.3 //Specify the public IP address of On-premises Gateway Device 3. In this example, 11.XX.XX.3 is used. authentication remote pre-share //Set the authentication mode of the remote side to PSK. authentication local pre-share //Set the authentication mode of the local side to PSK. keyring local alicloud //Use the IKEv2 keyring. exit !
次のコマンドを実行して変換を設定します。
//Add the following configuration to the three on-premises gateway devices: crypto ipsec transform-set TSET esp-aes esp-sha-hmac mode tunnel exit !
次のコマンドを実行してIPsecプロファイルを設定し、変換、PFS、およびIKEv2プロファイルを設定します。
//Add the following configuration to the three on-premises gateway devices: crypto ipsec profile alicloud set transform-set TSET set pfs group2 set ikev2-profile alicloud exit !
次のコマンドを実行してIPsecトンネリングを設定します。
//Add the following configuration to On-premises Gateway Device 1: interface Tunnel100 ip address 169.254.10.2 255.255.255.252 //Specify the IP address of the tunnel on the On-premises Gateway Device 1 side. In this example, 169.254.10.2 is used. tunnel source GigabitEthernet1 tunnel mode ipsec ipv4 tunnel destination 120.XX.XX.191 //Specify the IP address of the tunnel on the Alibaba Cloud side. In this example, 120.XX.XX.191 is used. tunnel protection ipsec profile alicloud no shutdown exit ! interface GigabitEthernet1 //Configure the IP address of the interface that is used to connect to the VPN gateway. ip address 11.XX.XX.1 255.255.255.0 negotiation auto ! //Add the following configuration to On-premises Gateway Device 2: interface Tunnel100 ip address 169.254.11.2 255.255.255.252 //Specify the IP address of the tunnel on the On-premises Gateway Device 2 side. In this example, 169.254.11.2 is used. tunnel source GigabitEthernet1 tunnel mode ipsec ipv4 tunnel destination 47.XX.XX.213 //Specify the IP address of the tunnel on the Alibaba Cloud side. In this example, 47.XX.XX.213 is used. tunnel protection ipsec profile alicloud no shutdown exit ! interface GigabitEthernet1 //Configure the IP address of the interface that is used to connect to the VPN gateway. ip address 11.XX.XX.2 255.255.255.0 negotiation auto ! //Add the following configuration to On-premises Gateway Device 3: interface Tunnel100 ip address 169.254.12.2 255.255.255.252 //Specify the IP address of the tunnel on the On-premises Gateway Device 3 side. In this example, 169.254.12.2 is used. tunnel source GigabitEthernet1 tunnel mode ipsec ipv4 tunnel destination 47.XX.XX.161 //Specify the IP address of the tunnel on the Alibaba Cloud side. In this example, 47.XX.XX.161 is used. tunnel protection ipsec profile alicloud no shutdown exit ! interface GigabitEthernet1 //Configure the IP address of the interface that is used to connect to the VPN gateway. ip address 11.XX.XX.3 255.255.255.0 negotiation auto !
次のコマンドを実行してBGPを設定します。
//Add the following configuration to On-premises Gateway Device 1: router bgp 65531 //Enable BGP and configure the BGP ASN of the data center. In this example, 65531 is used. bgp router-id 169.254.10.2 //Specify the ID of the BGP router. In this example, 169.254.10.2 is used. bgp log-neighbor-changes neighbor 169.254.10.1 remote-as 65530 //Configure the ASN of the BGP peer. In this example, the BGP ASN of IPsec-VPN Connection 1 is used, which is 65530. neighbor 169.254.10.1 ebgp-multihop 10 //Set the eBGP hop-count to 10. ! address-family ipv4 network 192.168.0.0 mask 255.255.255.0 //Advertise the CIDR blocks of the data center. In this example, the CIDR blocks 192.168.0.0/24, 192.168.1.0/24, and 192.168.2.0/24 are advertised. network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 neighbor 169.254.10.1 activate //Activate the BGP peer. exit-address-family ! //Add the following configuration to On-premises Gateway Device 2: router bgp 65531 //Enable BGP and configure the BGP ASN of the data center. In this example, 65531 is used. bgp router-id 169.254.11.2 //Specify the ID of the BGP router. In this example, 169.254.11.2 is used. bgp log-neighbor-changes neighbor 169.254.11.1 remote-as 65530 //Configure the ASN of the BGP peer. In this example, the BGP ASN of IPsec-VPN Connection 2 is used, which is 65530. neighbor 169.254.11.1 ebgp-multihop 10 //Set the eBGP hop-count to 10. ! address-family ipv4 network 192.168.0.0 mask 255.255.255.0 //Advertise the CIDR blocks of the data center. In this example, the CIDR blocks 192.168.0.0/24, 192.168.1.0/24, and 192.168.2.0/24 are advertised. network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 neighbor 169.254.11.1 activate //Activate the BGP peer. exit-address-family ! //Add the following configuration to On-premises Gateway Device 3: router bgp 65531 //Enable BGP and configure the BGP ASN of the data center. In this example, 65531 is used. bgp router-id 169.254.12.2 //Specify the ID of the BGP router. In this example, 169.254.12.2 is used. bgp log-neighbor-changes neighbor 169.254.12.1 remote-as 65530 //Configure the ASN of the BGP peer. In this example, the BGP ASN of IPsec-VPN Connection 3 is used, which is 65530. neighbor 169.254.12.1 ebgp-multihop 10 //Set the eBGP hop-count to 10. ! address-family ipv4 network 192.168.0.0 mask 255.255.255.0 //Advertise the CIDR blocks of the data center. In this example, the CIDR blocks 192.168.0.0/24, 192.168.1.0/24, and 192.168.2.0/24 are advertised. network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 neighbor 169.254.12.1 activate //Activate the BGP peer. exit-address-family !
ステップ4: VPC接続の作成
IPsec-VPN接続をトランジットルーターに関連付けた後、CENコンソールにログインし、VPC接続を作成し、VPCをトランジットルーターに関連付ける必要があります。 これにより、データセンターはVPCと通信できます。
CENコンソールにログインします。
インスタンス ページで、管理するCENインスタンスのIDをクリックします。
タブで、中国 (上海) リージョンのトランジットルーターを見つけ、[操作] 列の [接続の作成] をクリックします。
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
VPC接続
[インスタンスタイプ]
ネットワークインスタンスのタイプを指定します。
この例では、VPCが選択されています。
リージョン
ネットワークインスタンスのリージョンを選択します。
トランジットルーター
現在のリージョンのトランジットルーターが自動的に表示されます。
リソース所有者ID
ネットワークインスタンスが現在のAlibaba Cloudアカウントに属するかどうかを指定します。
この例では、[アカウント] が選択されています。
課金方法
VPC接続の課金方法を選択します。 デフォルト値: 従量課金 トランジットルーターの課金ルールの詳細については、「課金ルール」をご参照ください。
添付ファイル名
VPC接続の名前を入力します。
この例では、VPCテストが使用されています。
ネットワークインスタンス
ネットワークインスタンスを選択します。
この例では、準備セクションで作成されたVPCが選択されています。
vSwitch
トランジットルーターのゾーンにデプロイされているvSwitchを選択します。
トランジットルーター (TR) が現在のリージョンで1つのゾーンのみをサポートしている場合、ゾーンでvSwitchを選択する必要があります。
TRが現在のリージョンで複数のゾーンをサポートしている場合は、異なるゾーンにあるvSwitchを少なくとも2つ選択する必要があります。 VPCとTRが通信するとき、vSwitchはゾーンディザスタリカバリを実装するために使用されます。
データをより短い距離で送信できるため、ネットワークの待ち時間を短縮し、ネットワークパフォーマンスを向上させるために、各ゾーンでvSwitchを選択することをお勧めします。
選択した各vSwitchに少なくとも1つのアイドルIPアドレスがあることを確認します。 VPCにTRがサポートするゾーンにvSwitchがない場合、またはvSwitchにアイドルIPアドレスがない場合は、ゾーンに新しいvSwitchを作成します。 詳細については、「vSwitchの作成と管理」をご参照ください。
詳細については、「VPC接続の作成」をご参照ください。
この例では、vSwitch 1がゾーンFで選択され、vSwitch 2がゾーンGで選択されています。
詳細設定
高度な機能を有効にするかどうかを指定します。 デフォルトでは、すべての高度な機能が有効になります。
この例では、デフォルト設定が使用されています。
ステップ5: リージョン間接続の作成
IPsec-VPN接続に関連付けられているトランジットルーターとVPCに関連付けられているトランジットルーターは、異なるリージョンにデプロイされています。 デフォルトでは、このシナリオではデータセンターはVPCと通信できません。 データセンターがリージョン間でVPCと通信できるようにするには、中国 (杭州) リージョンのトランジットルーターと中国 (上海) リージョンのトランジットルーターの間にリージョン間接続を作成する必要があります。
帯域幅プランからリージョン間接続に帯域幅を割り当てることも、リージョン間接続の帯域幅使用量をデータ転送課金で支払うこともできます。 この例では、帯域幅プランが使用される。
CENコンソールにログインします。
帯域幅プランを購入します。
リージョン間接続を作成する前に、リージョン間通信用の帯域幅を割り当てる帯域幅プランを購入します。
[インスタンス] ページで、管理するCENインスタンスを見つけ、そのIDをクリックします。
CENインスタンスの詳細ページで、 タブを選択し、[帯域幅プラン (サブスクリプション) の購入] をクリックします。
購入ページで、次のパラメーターを設定し、[今すぐ購入] をクリックして、支払いを完了します。
パラメーター
説明
CEN ID
帯域幅プランを購入するCENインスタンスを選択します。
支払いが完了すると、帯域幅プランは自動的にCENインスタンスに関連付けられます。
この例では、準備セクションで作成されたCENインスタンスが選択されています。
エリア A
リージョン間通信を有効にするエリアの1つを選択します。
中国本土が選択されています。
説明帯域幅プランを購入した後、帯域幅プラン用に選択したエリアを変更することはできません。
帯域幅プランをサポートするリージョンとエリアの詳細については、「帯域幅プランの操作」をご参照ください。
エリア B
リージョン間通信を有効にする他のエリアを選択します。
中国本土が選択されています。
課金方法
帯域幅プランの課金方法を表示します。 デフォルトの課金方法は 帯域幅課金。
帯域幅プランの課金の詳細については、「課金ルール」をご参照ください。
帯域幅
ビジネス要件に基づいて帯域幅の値を選択します。 単位は、Mbit/s です。
Bandwidth_package_name
帯域幅プランの名前を入力します。
注文時間
帯域幅プランのサブスクリプション期間を選択します。
[自動更新] を選択すると、システムが帯域幅プランを自動的に更新できるようになります。
リージョン間接続を作成します。
[インスタンス] ページで、管理するCENインスタンスを見つけ、そのIDをクリックします。
タブに移動し、[リージョン接続の設定] をクリックします。
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
インスタンスタイプ
この例では、リージョン間接続が選択されています。
リージョン
接続するリージョンを選択します。
この例では、中国 (杭州) が選択されています。
トランジットルーター
選択したリージョンのトランジットルーターのIDが自動的に表示されます。
添付ファイル名
リージョン間接続の名前を入力します。
この例では、Cross-Region-testが使用されています。
ピアリージョン
接続する他のリージョンを選択します。
この例では、中国 (上海) が選択されています。
トランジットルーター
選択したリージョンのトランジットルーターのIDが自動的に表示されます。
帯域幅割り当てモード
次のモードがサポートされています。
帯域幅プランからの割り当て: 帯域幅リソースは、購入した帯域幅プランから割り当てられます。
ペイバイデータ転送: リージョン間接続を介したデータ転送に対して課金されます。
この例では、[帯域幅プランからの割り当て] が選択されています。
帯域幅プラン
CENインスタンスに関連付けられている帯域幅プランを選択します。
帯域幅
リージョン間接続の帯域幅の値を指定します。 単位は、Mbit/s です。
詳細設定
デフォルトでは、すべての高度な機能が有効になります。 この例では、デフォルト設定が使用されています。
ステップ6: 接続をテストする
リージョン間接続を作成すると、データセンターはVPCと通信できます。 データセンターとVPC間のトラフィックは、3つのIPsec-VPN接続を使用して、ECMPルーティングに基づいて負荷分散されます。 このセクションでは、ネットワーク接続をテストする方法と、トラフィックの負荷分散に3つのIPsec-VPN接続が使用されているかどうかを確認する方法について説明します。
ネットワーク接続をテストします。
VPCのECSインスタンスにログインします。 詳細については、「ECSインスタンス接続のガイドライン」をご参照ください。
ECSインスタンスでpingコマンドを実行し、データセンターのクライアントにアクセスします。
ping <IP address of the client in the data center>
ECSインスタンスがエコー応答メッセージを受信した場合、データセンターはVPCと通信できます。
トラフィックが負荷分散されているかどうかを確認します。
データセンターの複数のクライアントを使用して、VPCのECSインスタンスにリクエストを継続的に送信します。 次に、3つのIPsec-VPN接続の詳細ページに移動して、トラフィック監視データを表示します。 すべての詳細ページにトラフィック監視データが表示されている場合、3つのIPsec-VPN接続を使用してトラフィックの負荷分散が行われます。
VPN Gatewayコンソールにログインします。
上部のナビゲーションバーで、IPsec-VPN接続が作成されているリージョンを選択します。
左側のナビゲーションウィンドウで、 を選択します。
IPsec 接続 ページで、管理するIPsec-VPN接続のIDをクリックします。
IPsec-VPN接続の詳細ページに移動し、モニター タブでデータ転送のモニタリングデータを表示します。
ルーティング設定
このトピックでは、デフォルトのルーティング設定を使用して、IPsec-VPN接続、VPC接続、およびリージョン間接続を作成します。 デフォルトのルーティング設定を使用すると、CENは自動的にルートを学習して配布し、データセンターがVPCと通信できるようにします。 次のセクションでは、デフォルトのルーティング設定について説明します。
IPsec-VPN接続
IPsec-VPN接続を作成するときにIPsec-VPN接続をトランジットルーターに関連付けると、システムは自動的に次のルーティング設定をIPsec-VPN接続に適用します。
IPsec-VPN接続は、トランジットルーターのデフォルトルートテーブルに関連付けられています。 トランジットルーターは、デフォルトのルートテーブルに基づいてIPsec-VPN接続からトラフィックを転送します。
IPsec-VPN接続用に構成した宛先ベースのルートと、BGP動的ルーティングを使用してIPsec-VPN接続を介してデータセンターから学習したルートは、トランジットルーターの既定のルートテーブルに自動的に反映されます。
トランジットルーターは、デフォルトのルートテーブル内のルートをIPsec-VPN接続に関連付けられたBGPルートテーブルに自動的に伝播します。
BGP動的ルーティングを使用してIPsec-VPN接続を介してVPCから学習されたルートは、自動的にデータセンターに伝播されます。
VPC
VPCの作成時にデフォルトのルーティング設定 (すべての高度な機能が有効) を使用すると、システムは自動的に次のルーティング設定をVPCに適用します。
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、VPC接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトルートテーブルに基づいてVPCのトラフィックを転送します。
トランジットルーターのデフォルトルートテーブルへのシステムルートの伝播
この機能を有効にすると、VPCのシステムルートがトランジットルーターのデフォルトルートテーブルにアドバタイズされます。 これにより、VPCはトランジットルーターに接続されている他のネットワークインスタンスと通信できます。
トランジットルーターをポイントし、現在のVPCのすべてのルートテーブルに追加するルートを自動的に作成します
この機能を有効にすると、VPCのすべてのルートテーブルに10.0.0.0/8、172.16.0.0/12、192.168.0.0/16の3つのルートが自動的に追加されます。 ルートはVPC接続を指しています。
リージョン間接続
リージョン間接続を作成するときにデフォルトのルーティング設定 (すべての高度な機能が有効になっている) を使用すると、システムは自動的に次のルーティング設定をリージョン間接続に適用します。
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、リージョン間接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトのルートテーブルを使用して、ネットワークトラフィックをリージョン間で転送します。
システムルートをトランジットルーターのデフォルトルートテーブルに伝播する
この機能が有効になった後、リージョン間接続は、接続されたリージョン内のトランジットルーターのデフォルトルートテーブルに関連付けられます。
ピアリージョンへルートを自動的にアドバタイズする
この機能を有効にすると、現在のリージョンのトランジットルーターのルートテーブルのルートが、リージョン間通信のためにピアのトランジットルーターのルートテーブルに自動的に通知されます。 トランジットルータのルートテーブルは、リージョン間接続に関連付けられたルートテーブルを参照する。
ルートエントリ
このセクションでは、トランジットルーター、IPsec-VPN接続、VPC、およびオンプレミスゲートウェイデバイスで使用されるルートエントリについて説明します。 ルートエントリは、Alibaba Cloud管理コンソールで確認できます。
トランジットルーターのルートエントリを表示する方法の詳細については、「Enterprise Editionトランジットルーターのルートの表示」をご参照ください。
VPCのルートエントリを表示する方法の詳細については、「ルートテーブルの作成と管理」をご参照ください。
IPsec-VPN接続のルートエントリを表示するには、IPsec-VPN接続の詳細ページに移動します。
VPN Gatewayコンソールにログインします。
上部のナビゲーションバーで、IPsec-VPN接続が作成されているリージョンを選択します。
左側のナビゲーションウィンドウで、
を選択します。IPsec 接続 ページで、管理するIPsec-VPN接続のIDをクリックします。
IPsec-VPN接続の詳細ページに移動し、BGP ルートテーブルタブでルート情報を表示します。
表 1. 中国 (杭州) のトランジットルーターのデフォルトルートエントリ
宛先CIDRブロック | 次のホップ | ルートタイプ |
10.0.0.0/24 | リージョン間接続 | 自動学習ルート |
10.0.1.0/24 | リージョン間接続 | 自動学習ルート |
192.168.0.0/24 | IPsec-VPN 接続 1 | 自動学習ルート |
192.168.0.0/24 | IPsec-VPN接続2 | 自動学習ルート |
192.168.0.0/24 | IPsec-VPN接続3 | 自動学習ルート |
192.168.1.0/24 | IPsec-VPN 接続 1 | 自動学習ルート |
192.168.1.0/24 | IPsec-VPN接続2 | 自動学習ルート |
192.168.1.0/24 | IPsec-VPN接続3 | 自動学習ルート |
192.168.2.0/24 | IPsec-VPN 接続 1 | 自動学習ルート |
192.168.2.0/24 | IPsec-VPN接続2 | 自動学習ルート |
192.168.2.0/24 | IPsec-VPN接続3 | 自動学習ルート |
表 2. デフォルトルートエントリのトランジットルーターで中国 (上海)
宛先CIDRブロック | 次のホップ | ルートタイプ |
10.0.0.0/24 | VPC 接続 | 自動学習ルート |
10.0.1.0/24 | VPC 接続 | 自動学習ルート |
192.168.0.0/24 | リージョン間接続 | 自動学習ルート |
192.168.0.0/24 | リージョン間接続 | 自動学習ルート |
192.168.0.0/24 | リージョン間接続 | 自動学習ルート |
192.168.1.0/24 | リージョン間接続 | 自動学習ルート |
192.168.1.0/24 | リージョン間接続 | 自動学習ルート |
192.168.1.0/24 | リージョン間接続 | 自動学習ルート |
192.168.2.0/24 | リージョン間接続 | 自動学習ルート |
192.168.2.0/24 | リージョン間接続 | 自動学習ルート |
192.168.2.0/24 | リージョン間接続 | 自動学習ルート |
表 3. VPCのシステムルートテーブルのルートエントリ
宛先CIDRブロック | 次のホップ | ルートタイプ |
10.0.0.0/24 | データセンター | システムルート |
10.0.1.0/24 | データセンター | システムルート |
10.0.0.0/8 | VPC 接続 | カスタムルート |
172.16.0.0/12 | VPC 接続 | カスタムルート |
192.168.0.0/16 | VPC 接続 | カスタムルート |
表 4. IPsec-VPN接続のBGPルートテーブルのルートエントリ
宛先CIDRブロック | ソース |
IPsec-VPN接続1のBGPルートテーブルのルートエントリ | |
10.0.0.0/24 | Alibaba Cloudから学習 |
10.0.1.0/24 | Alibaba Cloudから学習 |
192.168.0.0/24 | データセンターから学習 |
192.168.1.0/24 | データセンターから学習 |
192.168.2.0/24 | データセンターから学習 |
IPsec-VPN接続2のBGPルートテーブルのルートエントリ | |
10.0.0.0/24 | Alibaba Cloudから学習 |
10.0.1.0/24 | Alibaba Cloudから学習 |
192.168.0.0/24 | データセンターから学習 |
192.168.1.0/24 | データセンターから学習 |
192.168.2.0/24 | データセンターから学習 |
IPsec-VPN接続3のBGPルートテーブルのルートエントリ | |
10.0.0.0/24 | Alibaba Cloudから学習 |
10.0.1.0/24 | Alibaba Cloudから学習 |
192.168.0.0/24 | データセンターから学習 |
192.168.1.0/24 | データセンターから学習 |
192.168.2.0/24 | データセンターから学習 |
表 5. オンプレミスゲートウェイデバイスがAlibaba Cloudから学習したルートエントリ
宛先CIDRブロック | 次のホップ |
オンプレミスゲートウェイデバイス1がAlibaba Cloudから学習したルートエントリ | |
10.0.0.0/24 | IPsec-VPN 接続 1 |
10.0.1.0/24 | IPsec-VPN 接続 1 |
オンプレミスゲートウェイデバイス2がAlibaba Cloudから学習したルートエントリ | |
10.0.0.0/24 | IPsec-VPN接続2 |
10.0.1.0/24 | IPsec-VPN接続2 |
オンプレミスゲートウェイデバイス3がAlibaba Cloudから学習したルートエントリ | |
10.0.0.0/24 | IPsec-VPN接続3 |
10.0.1.0/24 | IPsec-VPN接続3 |