VPN Gatewayのハブ機能により、大規模な企業は複数のオフィスを相互に接続し、仮想プライベートクラウド (VPC) に接続できます。 このトピックでは、VPN Gatewayのハブ機能を使用して、複数のオフィスを相互に、およびVPCに接続する方法について説明します。
ハブ機能の概要
VPNゲートウェイを作成すると、ハブ機能が自動的に有効になります。 各オフィスのカスタマーゲートウェイと、各オフィスからクラウドへのIPsec-VPN接続のみを設定する必要があります。 このようにして、オフィスは相互に、またVPCと通信できます。
サンプルシナリオ
このトピックでは、上記のシナリオを例として使用します。 大企業は上海、杭州、寧波にオフィスを構えています。 企業は中国 (杭州) リージョンにVPC1という名前のVPCをデプロイしました。 サービスはVPC1のElastic Compute Service (ECS) インスタンスにデプロイされます。 オフィスは互いに、またはVPC1と通信できません。 事業開発により、企業はVPN Gatewayのハブ機能を使用してオフィスをVPC1に接続したいと考えています。
前提条件
オフィス内のオンプレミスゲートウェイ装置のパブリックIPアドレスが取得される。
VPC1は中国 (杭州) リージョンで作成されます。 サービスはVPC1のECSインスタンスにデプロイされます。 詳細については、「」をご参照ください。IPv4 VPCの作成.
次の表に、この例のVPC1および各オフィスのCIDRブロックを示します。
説明ビジネス要件に基づいてCIDRブロックを計画できます。 CIDRブロックが互いに重ならないようにしてください。
サイト
VPC1
上海オフィス
杭州オフィス
ニンポーのオフィス
接続するCIDRブロック
192.168.0.0/16
10.10.10.0/24
10.10.20.0/24
10.10.30.0/24
ECSインスタンスのIPアドレス
192.168.20.121
非該当
非該当
非該当
オンプレミスゲートウェイデバイスのパブリックIPアドレス
非該当
1.XX.XX.1
2.XX.XX.2
3.XX.XX.3
VPC1のECSインスタンスに適用されるセキュリティグループルールと、各オフィスに適用されるアクセス制御ルールを認識しています。 セキュリティグループルールとアクセス制御ルールにより、オフィスは相互に、およびVPC1と通信できます。 詳細については、「」をご参照ください。セキュリティグループルールの表示とセキュリティグループルールの追加.
手順
手順 1: VPN ゲートウェイの作成
VPC1が属するリージョンにVPN gatewayを作成します。 上海オフィス、杭州オフィス、寧波オフィスは、VPNゲートウェイを使用して互いに通信し、VPC1と通信します。
上部のナビゲーションバーで、VPNゲートウェイを作成するリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
VPN Gatewayページをクリックします。VPN Gateway の作成.
購入ページで、次のパラメーターを設定し、今すぐ購入、そして支払いを完了します。
パラメーター
説明
名前
VPNゲートウェイの名前を入力します。 この例では、VPN Gateway 1が入力されています。
リージョン
VPNゲートウェイをデプロイするリージョンを選択します。 この例では、中国 (杭州) リージョンが選択されています。
ゲートウェイタイプ
VPNゲートウェイタイプを選択します。 この例では、[標準] が選択されています。
ネットワークタイプ
VPN gatewayのネットワークタイプを選択します。 この例では、[公開] が選択されています。
トンネル
サポートされているトンネルモードが自動的に表示されます。
[VPC]
VPNゲートウェイを関連付けるVPCを選択します。 この例では、VPC 1が選択されています。
VSwitch
選択したVPCからvSwitchを選択します。
シングルトンネルを選択した場合、vSwitchを1つだけ指定する必要があります。
デュアルトンネルを選択した場合、2つのvSwitchを指定する必要があります。
IPsec-VPN機能を有効にすると、IPsec-VPN接続を介してVPCと通信するためのインターフェイスとして、2つのvSwitchのそれぞれにelastic network interface (ENI) が作成されます。 各ENIはvSwitchで1つのIPアドレスを占有します。
説明システムはデフォルトでvSwitchを選択します。 デフォルトのvSwitchを変更または使用できます。
VPNゲートウェイの作成後、VPNゲートウェイに関連付けられているvSwitchを変更することはできません。 VPN gatewayの詳細ページで、VPN gatewayに関連付けられているvSwitch、vSwitchが属するゾーン、およびENIをvSwitchで表示できます。
vSwitch 2
選択したVPCから別のvSwitchを選択します。
Single-tunnelを選択した場合は、このパラメーターを無視します。
最大帯域幅
VPN gatewayの最大帯域幅値を指定します。 単位: Mbit/s。
トラフィック
VPNゲートウェイの計測方法を選択します。 デフォルト値: Pay-by-data-transfer
詳細については、「課金」をご参照ください。
IPsec-VPN
IPsec-VPNを有効にするかどうかを指定します。 この例では、[有効化] が選択されています。
SSL-VPN
SSL-VPNを有効にするかどうかを指定します。 この例では、[無効] が選択されています。
有効期間
課金サイクルを選択します。 デフォルト値:時間単位
サービスにリンクされたロール
[サービスにリンクされたロールの作成] をクリックします。 その後、システムは自動的にサービスにリンクされたロールAliyunServiceRoleForVpnを作成します。
VPN gatewayは、他のクラウドリソースにアクセスするためにこの役割を引き受けます。 詳細については、「AliyunServiceRoleForVpn」をご参照ください。
[作成済み] が表示されている場合は、サービスにリンクされたロールが作成され、再度作成する必要がないことを示します。
パラメーターの詳細については、「VPNゲートウェイの作成」をご参照ください。
VPN gatewayページに戻り、VPN gatewayを表示します。
VPNゲートウェイを作成すると、準備中 状態になります。 1〜5分後、VPN gatewayは 正常 状態に変わります。 VPNゲートウェイが 正常 状態に変わると、VPNゲートウェイは使用できる状態になります。
ステップ2: 各オフィスのカスタマーゲートウェイを作成する
VPNゲートウェイを使用してオフィスが相互に通信できるようにするには、オフィスごとにカスタマーゲートウェイを作成する必要があります。
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。
説明接続するカスタマーゲートウェイとVPNゲートウェイは、同じリージョンにデプロイする必要があります。
カスタマーゲートウェイページをクリックします。カスタマーゲートウェイの作成.
カスタマーゲートウェイの作成パネル、次のパラメータを設定し、OK.
オフィスごとにカスタマーゲートウェイを作成する必要があります。 詳細については、次の表を参照してください。
パラメーター
説明
上海オフィス
杭州オフィス
ニンポーのオフィス
名前
カスタマーゲートウェイの名前を入力します。
上海-customer1
杭州-customer2
ニンポー-customer3
IPアドレス
カスタマーゲートウェイのパブリックIPアドレスを入力します。
この例では、1.XX. XX.1を入力します。 これは、上海オフィスのオンプレミスゲートウェイデバイスのパブリックIPアドレスです。
この例では、2.XX. XX.2が入力されます。 これは、杭州オフィスのオンプレミスゲートウェイデバイスのパブリックIPアドレスです。
この例では、3.XX. XX.3が入力されます。 これは、寧波オフィスのオンプレミスゲートウェイデバイスのパブリックIPアドレスです。
パラメーターの詳細については、「カスタマーゲートウェイの作成」をご参照ください。
ステップ3: 各オフィスのIPsec-VPN接続を作成する
各オフィスにIPsec-VPN接続を作成して、オフィスをAlibaba Cloudに接続します。
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、IPsec-VPN接続が存在するリージョンを選択します。
IPsec 接続ページをクリックします。VPN 接続の作成.
VPN 接続の作成ページ、パラメーターを設定し、OK.
各オフィスのIPsec-VPN接続の設定を次の表に示します。
パラメーター
説明
上海オフィス
杭州オフィス
ニンポーのオフィス
名前
IPsec-VPN接続の名前を入力します。
IPsec-VPN接続1
IPsec-VPN接続2
IPsec-VPN接続3
VPNゲートウェイ
作成したVPNゲートウェイを選択します。
VPN Gateway 1
カスタマーゲートウェイ
作成したカスタマーゲートウェイを選択します。
Shanghai-customer1
Hangzhou-customer2
Ningbo-customer3
ルーティングモード
ルーティングモードを選択します。
宛先ルーティングモード
宛先ルーティングモード
保護されたデータフロー
ローカルネットワーク
オフィスに接続するCIDRブロックを入力します。 CIDRブロックはフェーズ2ネゴシエーションで使用されます。
非該当
非該当
192.168.0.0/16
リモートネットワーク
VPCに接続するCIDRブロックを入力します。 このCIDRブロックはフェーズ2ネゴシエーションで使用されます。
10.10.30.0/24
すぐに有効
接続ネゴシエーションをすぐに開始するかどうかを指定します。
はい: 設定完了後にネゴシエーションを開始します。
No: インバウンドトラフィックが検出されると、ネゴシエーションを開始します。
はい
はい
はい
事前共有キー
事前共有キーを入力します。
値を入力しない場合、システムは事前共有キーとしてランダムな16ビット文字列を生成します。
重要オンプレミスのデバイスとIPsec-VPN接続が同じ事前共有キーを使用していることを確認します。
fddsFF123 ****
TTTdd321 ****
PPPttt456 ****
暗号化設定
IKE、IPsec、DPD、およびNATトラバーサル機能を設定します。
この例では、IKEv1が使用され、他のパラメータはデフォルト値を使用します。
この例では、IKEv1が使用され、他のパラメータはデフォルト値を使用します。
この例では、IKEv1が使用され、他のパラメータはデフォルト値を使用します。
その他のパラメーターにはデフォルト設定を使用します。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
[作成済み] メッセージで、[OK] をクリックします。
ステップ4: VPN gatewayのルートを設定する
IPsec-VPN接続を作成した後、上海と杭州のオフィスのCIDRブロックをVPNゲートウェイの宛先ベースのルートテーブルに追加し、上海、杭州、寧波の各オフィスのCIDRブロックを1にアドバタイズする必要があります。
寧波局用に作成したIPsec-VPN接続のルーティングモードは、保護されたデータフローに設定されています。 IPsec-VPN接続が作成されると、システムはVPNゲートウェイのポリシーベースのルートテーブルにローカルルートとピアルートを自動的に追加します。 したがって、NingboオフィスのCIDRブロックをポリシーベースのルートテーブルでVPC1にアドバタイズするだけで済みます。 ルートを追加する必要はありません。
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。
[VPN Gateway] ページで、管理するVPN gatewayを見つけ、そのIDをクリックします。
上海および杭州のオフィスのCIDRブロックを追加し、広告します。宛先ベースのルートテーブルVPNゲートウェイのタブ。
宛先ベースルーティングタブをクリックします。ルートエントリの追加.
ルートエントリの追加パネル、次のパラメータを設定し、OK.
パラメーター
説明
ルート1
ルート2
宛先CIDRブロック
接続先CIDRブロックを入力します。
上海オフィスのプライベートCIDRブロックである10.10.10.0/24を入力します。
杭州オフィスのプライベートCIDRブロックである10.10.20.0/24を入力します。
ネクストホップタイプ
ネクストホップタイプを選択します。
[IPsec-VPN接続] を選択します。
[IPsec-VPN接続] を選択します。
次ホップ
次のホップを選択します。
この例では、IPsec − VPN接続1が選択される。
この例では、IPsec − VPN接続2が選択される。
VPCへの広告
VPNゲートウェイに関連付けられているVPCであるVPC1のルートテーブルにルートをアドバタイズするかどうかを指定します。
はい
はい
重量
ルートの重みを選択します。 有効な値:
100: ルートの高い優先度を指定します。
0: ルートの優先度を低く指定します。
この例では、デフォルト値100が使用されます。
この例では、デフォルト値100が使用されます。
詳細については、「宛先ベースのルートの追加」をご参照ください。
ニンポーのオフィスのCIDRブロックを広告して下さいポリシーベースのルートテーブルVPNゲートウェイのタブ。
ポリシーベースのルートテーブルタブで、ルートを見つけます。宛先CIDRブロックは寧波事務所のCIDRブロックで、広告で、アクション列を作成します。
広告ルートメッセージ, クリックOK.
手順5: オンプレミスゲートウェイデバイスの設定
VPNゲートウェイを設定した後、各オフィスのオンプレミスゲートウェイデバイスを設定する必要があります。 IPsec 接続 ページでオンプレミスゲートウェイデバイスの設定をダウンロードし、オンプレミスゲートウェイデバイスに設定を追加する必要があります。 このようにして、オフィスは互いに通信し、VPC1と通信できます。
左側のナビゲーションウィンドウで、.
IPsec 接続ページで、管理するIPsec-VPN接続を見つけて、ピア構成の生成で、アクション列を作成します。
IPsec-VPN接続1、IPsec-VPN接続2、およびIPsec-VPN接続3のピア設定をダウンロードします。
設定をオンプレミスゲートウェイデバイスにロードします。 詳細については、「」をご参照ください。オンプレミスゲートウェイデバイスの設定.
IPsec-VPN Connection 1からダウンロードした設定を上海オフィスのオンプレミスゲートウェイデバイスに追加します。
IPsec-VPN Connection 2からダウンロードした設定を杭州オフィスのオンプレミスゲートウェイデバイスに追加します。
IPsec-VPN Connection 3からダウンロードした設定を、寧波オフィスのオンプレミスゲートウェイデバイスに追加します。
手順 6:ネットワーク接続のテスト
上記の構成を完了すると、上海オフィス、杭州オフィス、寧波オフィス、およびVPC1は互いに通信できます。 次のコンテンツでは、ネットワーク接続をテストする方法について説明します。
オフィスとVPC1間のネットワーク接続をテストします。
VPC1にデプロイされているECSインスタンスにログインします。
ECSインスタンスへのログイン方法の詳細については、「ECSインスタンスへの接続方法」をご参照ください。
を実行します。Run theping上海のオフィス、杭州のオフィスおよびニンポーのオフィスのそれぞれの顧客をpingに命令して下さい。
ping <the IP address of a client>オフィスからエコー応答パケットを受信できる場合、オフィスはVPC1と通信できます。
オフィス間のネットワーク接続をテストします。
上海オフィスのクライアントでCLIを開きます。
pingコマンドを実行して、杭州オフィスと寧波オフィスのそれぞれのクライアントにpingを実行します。
ping <the IP address of a client>オフィスからエコーの応答パケットを受け取ることができれば上海のオフィスは杭州のオフィスおよびニンポーのオフィスと伝达し合うことができます。
杭州オフィスのクライアントでCLIを開きます。
pingコマンドを実行して、寧波オフィスのクライアントにpingを実行します。
ping <the IP address of a client>ニンポーのオフィスからエコー応答パケットを受け取ることができれば杭州のオフィスはニンポーのオフィスと伝达し合うことができます。