ローカルデータセンターとVPN Gatewayに基づくVPC間のデータ同期の実装 (DTS)

このトピックでは、データセンターと Virtual Private Cloud (VPC) 内のデータベース間でデータを同期する方法について説明します。パブリック VPN Gateway 経由で Data Transmission Service (DTS) を使用して同期を実行できます。

シナリオ

このトピックでは、次のシナリオを使用します。企業は中国 (フフホト) リージョンに VPC を持ち、フフホトにデータセンターを持っています。企業はデータセンターと VPC の両方にデータベースを作成しました。企業はデータセンターから VPC 内のデータベースにデータを同期したいと考えています。

企業はパブリック VPN Gateway を使用して、データセンターと VPC の間に IPsec 接続を作成できます。これは、両端間の暗号化された通信を実装するのに役立ちます。その後、企業は DTS を使用して、データセンターから VPC 内のデータベースにデータを自動的に同期できます。

VPC互通+DTS.png

前提条件

中国 (フフホト) リージョンに VPC が作成されています。データベースは、VPC 内の Elastic Compute Service (ECS) にデプロイされています。詳細については、「IPv4 CIDR ブロックを持つ VPC を作成する」をご参照ください。

次の表は、データセンターと VPC のネットワーク構成を示しています。

重要

VPC の CIDR ブロックを指定できます。 VPC の CIDR ブロックがデータセンターの CIDR ブロックと重複していないことを確認してください。

リソース	CIDR ブロック	IP アドレス	データベースアカウント

リソース

CIDR ブロック

IP アドレス

データベースアカウント

データセンター

172.16.0.0/12

ゲートウェイデバイス 1 のパブリック IP アドレス: 211.XX.XX.36
ゲートウェイデバイス 2 のパブリック IP アドレス: 211.XX.XX.71
データベースが実行されているサーバーの IP アドレス: 172.16.0.228

ユーザー名: user
パスワード: Hello1234****
データベースのポート番号: 3306

VPC

10.0.0.0/8

データベースが実行されている ECS インスタンスの IP アドレス: 10.0.0.252

ユーザー名: user
パスワード: Hello5678****
データベースのポート番号: 3306

手順

DTS+VPC互通-配置流程.png

ステップ 1: VPN Gateway を作成する

VPN Gateway コンソールにログインします。
上部のナビゲーションバーで、VPN Gateway を作成するリージョンを選択します。
VPN Gateway のリージョンは、関連付ける VPC のリージョンと同じである必要があります。
VPN Gateway ページで、VPN Gateway の作成 をクリックします。

購入ページで、次のパラメータを構成し、今すぐ購入 をクリックして、支払いを完了します。

パラメータ	説明	例

パラメータ	説明	例
名前	VPN Gateway の名前を入力します。	この例では、VPNGW を使用します。
リソースグループ	VPN Gateway が属するリソースグループを選択します。このパラメータを空のままにすると、VPN Gateway はデフォルトのリソースグループに属します。	この例では、このパラメータは空のままにします。
リージョン	VPN Gateway を作成するリージョンを選択します。	この例では、中国 (フフホト) を選択します。
ゲートウェイタイプ	ゲートウェイタイプを選択します。	この例では、標準を選択します。
ネットワークタイプ	VPN Gateway のネットワークタイプを選択します。パブリック: VPN Gateway は、インターネット経由で VPN 接続を確立するために使用できます。プライベート: VPN Gateway は、プライベートネットワーク経由で VPN 接続を確立するために使用できます。	この例では、パブリックを選択します。
トンネル	トンネルモードを選択します。有効な値: デュアルトンネルシングルトンネルシングルトンネルモードとデュアルトンネルモードの詳細については、「[アップグレードのお知らせ] IPsec-VPN 接続はデュアルトンネルモードをサポート」をご参照ください。	この例では、デフォルト値のデュアルトンネルを使用します。
VPC	VPN Gateway に関連付ける VPC を選択します。	この例では、中国 (フフホト) リージョンにデプロイされた VPC を選択します。
VSwitch	選択した VPC から VSwitch を選択します。シングルトンネルを選択した場合は、1 つの VSwitch のみ指定する必要があります。デュアルトンネルを選択した場合は、2 つの VSwitch を指定する必要があります。 IPsec-VPN 機能が有効になると、システムは 2 つの VSwitch のそれぞれに Elastic Network Interface (ENI) を作成し、IPsec-VPN 接続を介して VPC と通信するためのインターフェースとして使用します。各 ENI は、VSwitch 内の 1 つの IP アドレスを占有します。説明システムはデフォルトで VSwitch を選択します。デフォルトの VSwitch を変更または使用できます。 VPN Gateway を作成した後、VPN Gateway に関連付けられた VSwitch を変更することはできません。 VPN Gateway に関連付けられた VSwitch、VSwitch が属するゾーン、および VSwitch 内の ENI は、VPN Gateway の詳細ページで確認できます。	この例では、VPC 内の VSwitch を選択します。
VSwitch 2	選択した VPC から別の VSwitch を選択します。関連付けられた VPC 内の異なるゾーンにある 2 つの VSwitch を指定して、IPsec-VPN 接続のゾーン間のディザスタリカバリを実装します。 1 つのゾーンのみをサポートするリージョンの場合、ゾーン間のディザスタリカバリはサポートされていません。 IPsec-VPN 接続の高可用性を実装するために、ゾーン内の 2 つの VSwitch を指定することをお勧めします。最初の VSwitch と同じ VSwitch を選択することもできます。説明 VPC に 1 つの VSwitch のみがデプロイされている場合は、VSwitch を作成します。詳細については、「VSwitch の作成と管理」をご参照ください。	この例では、VPC 内の別の VSwitch を選択します。
ピーク帯域幅	VPN Gateway の最大帯域幅値を選択します。単位: Mbit/s。	この例では、デフォルト値を使用します。
トラフィック	VPN Gateway の課金方法を選択します。デフォルト値: データ転送ごとの支払い。詳細については、「課金」をご参照ください。	この例では、デフォルト値を使用します。
IPsec-VPN	IPsec-VPN を有効にするかどうかを指定します。デフォルト値: 有効。	この例では、有効を選択します。
SSL-VPN	SSL-VPN を有効にするかどうかを指定します。デフォルト値: 無効。	この例では、無効を選択します。
期間	VPN Gateway の課金サイクルを選択します。デフォルト値: 時間ごと。	この例では、デフォルト値を使用します。
サービスロール	[サービスロールの作成] をクリックします。システムは自動的にサービスロール AliyunServiceRoleForVpn を作成します。 VPN Gateway はこのロールを担って他のクラウドリソースにアクセスします。作成済みと表示されている場合は、サービスロールが作成されているため、再度作成する必要はありません。	実際の状況に基づいてこのパラメータを構成します。

[VPN Gateway] ページに戻り、VPN Gateway を表示します。
VPN Gateway を作成した後、準備中 状態になります。 1 ～ 5 分後、VPN Gateway は正常状態に変わります。正常状態は、VPN Gateway が初期化され、使用できる状態にあることを示します。
2 つの暗号化トンネルを確立するために、パブリック VPN Gateway に 2 つのパブリック IP アドレスが割り当てられます。次の表は、VPN Gateway に割り当てられているパブリック IP アドレスを示しています。
VPN Gateway 名
VPN Gateway ID
パブリック IP アドレス
VPN Gateway 名
VPN Gateway ID
パブリック IP アドレス
VPNGW
vpn-bp1ox1xu1jo8m1ph0****
47.XX.XX.3
47.XX.XX.169

ステップ 2: カスタマーゲートウェイを作成する

左側のナビゲーションウィンドウで、相互接続 > VPN > カスタマーゲートウェイ を選択します。
上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。
接続するカスタマーゲートウェイと VPN Gateway が同じリージョンにデプロイされていることを確認してください。
カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。

カスタマーゲートウェイの作成 パネルで、次のパラメータを構成し、OK をクリックします。

2 つの暗号化トンネルを作成するには、2 つのカスタマーゲートウェイを作成する必要があります。次の表は、このトピックに関連するパラメータのみを示しています。他のパラメータにはデフォルト値を使用するか、空のままにすることができます。詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。

パラメータ	説明	カスタマーゲートウェイ 1	カスタマーゲートウェイ 2

パラメータ	説明	カスタマーゲートウェイ 1	カスタマーゲートウェイ 2
名前	カスタマーゲートウェイの名前を入力します。	カスタマーゲートウェイ 1 には、CustomerGW1 を使用します。	カスタマーゲートウェイ 2 には、CustomerGW2 を使用します。
IP アドレス	データセンター内のゲートウェイデバイスのパブリック IP アドレスを入力します。	カスタマーゲートウェイ 1 には、211.XX.XX.36 を使用します。	カスタマーゲートウェイ 2 には、211.XX.XX.71 を使用します。

ステップ 3: IPsec-VPN 接続を作成する

VPN Gateway とカスタマーゲートウェイを作成した後、VPN Gateway 経由で IPsec 接続を作成して、暗号化された VPN トンネルを確立する必要があります。手順は、IPsec-VPN 接続に使用されるインターネットキー交換 (IKE) のバージョンによって異なります。

IKEv2 を使用する手順

IKEv1 を使用する手順

左側のナビゲーションウィンドウで、ネットワーク相互接続 > VPN > IPsec 接続 を選択します。
IPsec 接続 ページで、[VPN Gateway のバインド] をクリックします。

[IPsec-VPN 接続 (VPN) の作成] ページで、接続パラメータを構成し、[OK] をクリックします。

パラメータ	説明	例
名前	IPsec-VPN 接続の名前を入力します。	この例では、IPsec-Connection を使用します。
リージョン	IPsec-VPN 接続に関連付ける VPN Gateway がデプロイされているリージョンを選択します。 IPsec-VPN 接続は、VPN Gateway と同じリージョンに作成されます。	この例では、中国 (フフホト) を選択します。
VPN Gateway のバインド	IPsec-VPN 接続に関連付ける VPN Gateway を選択します。	この例では、VPN Gateway VPNGW を選択します。
ルーティングモード	ルーティングモードを選択します。宛先ルーティングモード: トラフィックは宛先 IP アドレスに基づいて転送されます。保護されたデータフロー: 送信元 IP アドレスと宛先 IP アドレスに基づいてトラフィックを転送します。	この例では、保護されたデータフローを選択します。
ローカルネットワーク	VPN Gateway インスタンスが関連付けられている VPC の CIDR ブロックを入力します。	この例では、次の 2 つの CIDR ブロックを入力します。 VPC の CIDR ブロック: 10.0.0.0/8 DTS サーバーの CIDR ブロック: 100.104.0.0/16 重要 DTS サーバーの CIDR ブロックをローカルネットワークセクションに追加する必要があります。これにより、DTS は VPN Gateway 経由でピアエンドのデータベースにアクセスできます。 DTS で使用される CIDR ブロックの詳細については、「DTS サーバーの CIDR ブロックを追加する」をご参照ください。
リモートネットワーク	データセンターの CIDR ブロックを入力します。	この例では、172.16.0.0/12 を使用します。
今すぐ有効化	構成をすぐに有効にするかどうかを指定します。有効な値: はい: 構成が完了した後、ネゴシエーションを開始します。いいえ: インバウンドトラフィックが検出されたときにネゴシエーションを開始します。	この例では、はいを選択します。
BGP 設定	IPsec-VPN 接続で BGP プロトコルを使用する場合は、BGP を有効にします。 BGP はデフォルトで無効になっています。	この例では、デフォルト値を使用します。 BGP は無効になっています。
トンネル 1	アクティブトンネルの VPN パラメータを構成します。デフォルトでは、トンネル 1 がアクティブトンネル、トンネル 2 がスタンバイトンネルとして機能します。この構成は変更できません。
カスタマーゲートウェイ	アクティブトンネルに関連付けるカスタマーゲートウェイを選択します。	この例では、CustomerGW1 を選択します。
事前共有鍵	ID を検証するために使用されるアクティブトンネルの事前共有鍵。事前共有鍵は 1 ～ 100 文字で、数字、文字、および次の文字を含めることができます: ~ ` ! @ # $ % ^ & * ( ) _ - + = { } [ ] \ \| ; : ' , . < > / ? 事前共有鍵を指定しない場合、システムは 16 文字の文字列を事前共有鍵としてランダムに生成します。重要 IPsec-VPN 接続とピアゲートウェイデバイスは、同じ事前共有鍵を使用する必要があります。そうでない場合、システムは IPsec-VPN 接続を確立できません。	この例では、fddsFF123**** を使用します。
暗号化構成	IKE、IPsec、デッドピア検出 (DPD)、および NAT トラバーサル機能のパラメータを構成します。	この例では、デフォルトの暗号化設定を使用します。詳細については、「デュアルトンネルモードで IPsec-VPN 接続を作成および管理する」をご参照ください。
トンネル 2	スタンバイトンネルの VPN パラメータを構成します。
カスタマーゲートウェイ	スタンバイトンネルに関連付けるカスタマーゲートウェイを選択します。	この例では、CustomerGW2 を選択します。
事前共有鍵	ID を検証するために、スタンバイトンネルの事前共有鍵を入力します。	この例では、fddsFF456**** を使用します。
暗号化構成	IKE、IPsec、デッドピア検出 (DPD)、および NAT トラバーサル機能のパラメータを構成します。	この例では、デフォルトの暗号化設定を使用します。詳細については、「デュアルトンネルモードで IPsec-VPN 接続を作成および管理する」をご参照ください。

[確立済み] ダイアログボックスで、[OK] をクリックします。
IPsec 接続 ページで、作成した IPsec-VPN 接続を見つけ、操作列の [ピア構成の生成] をクリックします。
IPsec ピアの構成は、IPsec-VPN 接続を作成するときに追加する必要がある VPN 構成を指します。この例では、VPN 構成をデータセンターのゲートウェイデバイスに追加する必要があります。
IPsec-VPN 接続の設定 ダイアログボックスで、構成をコピーしてオンプレミスマシンに保存します。データセンターのゲートウェイデバイスを構成するときに、これらの構成が必要です。

上部のナビゲーションバーで、IPsec-VPN 接続を作成するリージョンを選択します。

IPsec-VPN 接続と VPN Gateway が同じリージョンにあることを確認してください。

左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続 を選択します。
IPsec 接続 ページで、[VPN Gateway のバインド] をクリックします。

[IPsec-VPN 接続 (VPN) の作成] ページで、接続パラメータを構成し、[OK] をクリックします。

IKEv1 を使用する場合、ローカルネットワークセクションに複数の CIDR ブロックを追加することはできません。この場合、DTS と VPC のトラフィックを送信するために 2 つの IPsec-VPN 接続を作成する必要があります。

パラメータ	説明	IPsec-VPN 接続 1	IPsec-VPN 接続 2
名前	IPsec-VPN 接続の名前。	この例では、IPsec-Connection1 を使用します。	この例では、IPsec-Connection2 を使用します。
リージョン	IPsec-VPN 接続に関連付ける VPN Gateway がデプロイされているリージョンを選択します。 IPsec-VPN 接続は、VPN Gateway と同じリージョンに作成されます。	この例では、VPN Gateway を選択します。	この例では、VPN Gateway を選択します。
VPN Gateway のバインド	IPsec-VPN 接続に関連付ける VPN Gateway を選択します。	この例では、VPN Gateway VPNGW を選択します。	この例では、VPN Gateway VPNGW を選択します。
ルーティングモード	ルーティングモードを選択します。宛先ルーティングモード: トラフィックは宛先 IP アドレスに基づいて転送されます。保護されたデータフロー: 送信元 IP アドレスと宛先 IP アドレスに基づいてトラフィックを転送します。	この例では、保護されたデータフローを選択します。	この例では、保護されたデータフローを選択します。
ローカルネットワーク	VPN Gateway インスタンスが関連付けられている VPC の CIDR ブロックを入力します。	VPC の CIDR ブロック: 10.0.0.0/8	DTS サーバーの CIDR ブロック: 100.104.0.0/16 重要 DTS サーバーの CIDR ブロックをローカルネットワークセクションに追加する必要があります。これにより、DTS は VPN Gateway 経由でピアエンドのデータベースにアクセスできます。 DTS で使用される CIDR ブロックの詳細については、「DTS サーバーの CIDR ブロックを追加する」をご参照ください。
リモートネットワーク	データセンターの CIDR ブロックを入力します。	この例では、172.16.0.0/12 を使用します。	この例では、172.16.0.0/12 を使用します。
今すぐ有効化	構成をすぐに有効にするかどうかを指定します。有効な値: はい: 構成が完了した後、ネゴシエーションを開始します。いいえ: インバウンドトラフィックが検出されたときにネゴシエーションを開始します。	この例では、はいを選択します。	この例では、はいを選択します。
BGP 設定	IPsec-VPN 接続で BGP プロトコルを使用する場合は、BGP を有効にします。 BGP はデフォルトで無効になっています。	この例では、デフォルト値を使用します。 BGP は無効になっています。	この例では、デフォルト値を使用します。 BGP は無効になっています。
トンネル 1	アクティブトンネルの VPN パラメータを構成します。デフォルトでは、トンネル 1 がアクティブトンネル、トンネル 2 がスタンバイトンネルとして機能します。この構成は変更できません。
カスタマーゲートウェイ	アクティブトンネルに関連付けるカスタマーゲートウェイを選択します。	この例では、CustomerGW1 を選択します。	この例では、CustomerGW1 を選択します。
事前共有鍵	ID を検証するために使用されるアクティブトンネルの事前共有鍵。事前共有鍵は 1 ～ 100 文字で、数字、文字、および次の文字を含めることができます: ~ ` ! @ # $ % ^ & * ( ) _ - + = { } [ ] \ \| ; : ' , . < > / ? 事前共有鍵を指定しない場合、システムは 16 文字の文字列を事前共有鍵としてランダムに生成します。重要 IPsec-VPN 接続とピアゲートウェイデバイスは、同じ事前共有鍵を使用する必要があります。そうでない場合、システムは IPsec-VPN 接続を確立できません。	この例では、fddsFF123**** を使用します。	この例では、fddsFF123**** を使用します。
暗号化構成	IKE、IPsec、デッドピア検出 (DPD)、および NAT トラバーサル機能のパラメータを構成します。	IKE バージョンとして IKEv1 を選択し、他の機能にはデフォルト設定を使用します。詳細については、「デュアルトンネルモードで IPsec-VPN 接続を作成および管理する」をご参照ください。	IKE バージョンとして IKEv1 を選択し、他の機能にはデフォルト設定を使用します。詳細については、「デュアルトンネルモードで IPsec-VPN 接続を作成および管理する」をご参照ください。
トンネル 2	スタンバイトンネルの VPN パラメータを構成します。
カスタマーゲートウェイ	スタンバイトンネルに関連付けるカスタマーゲートウェイを選択します。	この例では、CustomerGW2 を選択します。	この例では、CustomerGW2 を選択します。
事前共有鍵	ID を検証するために、スタンバイトンネルの事前共有鍵を入力します。	この例では、fddsFF456**** を使用します。	この例では、fddsFF456**** を使用します。
暗号化構成	IKE、IPsec、デッドピア検出 (DPD)、および NAT トラバーサル機能のパラメータを構成します。	IKE バージョンとして IKEv1 を選択し、他の機能にはデフォルト設定を使用します。詳細については、「デュアルトンネルモードで IPsec-VPN 接続を作成および管理する」をご参照ください。	IKE バージョンとして IKEv1 を選択し、他の機能にはデフォルト設定を使用します。詳細については、「デュアルトンネルモードで IPsec-VPN 接続を作成および管理する」をご参照ください。

[確立済み] ダイアログボックスで、[OK] をクリックします。
IPsec 接続 ページで、作成した IPsec-VPN 接続を見つけ、操作列の [ピア構成の生成] をクリックします。
IPsec ピアの構成は、IPsec-VPN 接続を作成するときに追加する必要がある VPN 構成を指します。この例では、VPN 構成をデータセンターのゲートウェイデバイスに追加する必要があります。
IPsec-VPN 接続の設定 ダイアログボックスで、構成をコピーしてオンプレミスマシンに保存します。データセンターのゲートウェイデバイスを構成するときに、これらの構成が必要です。

上部のナビゲーションバーで、IPsec-VPN 接続を作成するリージョンを選択します。

IPsec-VPN 接続と VPN Gateway が同じリージョンにあることを確認してください。

ステップ 4: VPN Gateway にルートを追加する

IPsec-VPN 接続を作成した後、トラフィックを送信するために VPN Gateway のルートを構成する必要があります。ステップ 3 で ルーティングモード として 保護されたデータフロー を選択した場合、IPsec-VPN 接続の作成後にシステムはポリシーベースのルートを作成します。ルートは 未公開 状態です。VPN Gateway のすべてのポリシーベースのルートを VPC に公開するには、次の操作を実行する必要があります。

左側のナビゲーションウィンドウで、ネットワーク相互接続 > VPN > VPN Gateway を選択します。
トップメニューバーで、VPN Gateway のリージョンを選択します。
[VPN Gateway] ページで、管理する VPN Gateway を見つけ、その ID をクリックします。
VPN ゲートウェイの詳細ページで、ポリシーベースルーティング タブをクリックし、管理するルートを見つけ、公開を操作列でクリックします。
ルートエントリの公開 メッセージで、[OK] をクリックします。

ステップ 5: データセンターのゲートウェイデバイスを構成する

Alibaba Cloud で IPsec-VPN 接続を作成した後、ゲートウェイデバイスを IPsec-VPN 接続に接続するために、データセンターのゲートウェイデバイスに VPN およびルーティング構成を追加する必要があります。その後、ネットワークトラフィックはデフォルトでアクティブトンネルから VPC に送信されます。アクティブトンネルがダウンした場合、スタンバイトンネルが自動的に引き継ぎます。

説明

以下の内容はサードパーティ製品の情報を含んでおり、参考情報としてのみ提供されています。Alibaba Cloud は、サードパーティツールの性能と信頼性、およびこれらのツールに対する操作の潜在的な影響について、保証またはその他の形式のコミットメントを行いません。

コマンドはベンダーによって異なる場合があります。特定のコマンドについては、ベンダーにお問い合わせください。

IKEv2 を使用する手順

IKEv1 を使用する手順

ステップ 3 でダウンロードした VPN 構成をデータセンターのゲートウェイデバイスに追加します。

ゲートウェイデバイスの CLI を開きます。

IKEv2 プロポーザルとポリシーを構成します。

// データセンターのゲートウェイデバイス 1 とゲートウェイデバイス 2 に次の構成を追加します。
crypto ikev2 proposal alicloud
encryption aes-cbc-128          // 暗号化アルゴリズムを構成します。この例では、aes-cbc-128 を使用します。
integrity sha1                  // 認証アルゴリズムを構成します。この例では、sha1 を使用します。
group 2                         // DH グループを構成します。この例では、グループ 2 を使用します。
exit
!
crypto ikev2 policy Pureport_Pol_ikev2
proposal alicloud
exit
!

IKEv2 キーリングを構成します。

// オンプレミスゲートウェイデバイス 1 に次の構成を追加します。
crypto ikev2 keyring alicloud
peer alicloud
address 47.XX.XX.3               // IPsec-VPN 接続のアクティブトンネルのパブリック IP アドレスを構成します。この例では、47.XX.XX.3 を使用します。
pre-shared-key fddsFF123****     // 事前共有鍵を構成します。この例では、fddsFF123**** を使用します。
exit
!
// オンプレミスゲートウェイデバイス 2 に次の構成を追加します。
crypto ikev2 keyring alicloud
peer alicloud
address 47.XX.XX.169             // IPsec-VPN 接続のスタンバイトンネルのパブリック IP アドレスを構成します。この例では、47.XX.XX.169 を使用します。
pre-shared-key fddsFF456****     // 事前共有鍵を構成します。この例では、fddsFF456**** を使用します。
exit
!

IKEv2 プロファイルを構成します。

// オンプレミスゲートウェイデバイス 1 に次の構成を追加します。
crypto ikev2 profile alicloud
match identity remote address 47.XX.XX.3 255.255.255.255  // IPsec-VPN 接続のアクティブトンネルのパブリック IP アドレスと一致します。この例では、47.XX.XX.3 を使用します。
identity local address 211.XX.XX.36  // ゲートウェイデバイス 1 のパブリック IP アドレスを構成します。この例では、211.XX.XX.36 を使用します。
authentication remote pre-share // VPN Gateway の認証モードを PSK に設定します。
authentication local pre-share  // データセンターの認証モードを PSK に設定します。
keyring local alicloud          // IKEv2 キーリングを呼び出します。
exit
!
// オンプレミスゲートウェイデバイス 2 に次の構成を追加します。
crypto ikev2 profile alicloud
match identity remote address 47.XX.XX.169 255.255.255.255  // IPsec-VPN 接続のスタンバイトンネルのパブリック IP アドレスと一致します。この例では、47.XX.XX.169 を使用します。
identity local address 211.XX.XX.71  // ゲートウェイデバイス 2 のパブリック IP アドレスを構成します。この例では、211.XX.XX.71 を使用します。
authentication remote pre-share // VPN Gateway の認証モードを PSK に設定します。
authentication local pre-share  // データセンターの認証モードを PSK に設定します。
keyring local alicloud          // IKEv2 キーリングを呼び出します。
exit
!

変換を設定します。

// データセンターのゲートウェイデバイス 1 とゲートウェイデバイス 2 に次の構成を追加します。
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
mode tunnel
exit
!

アクセス制御を実装するための ACL を作成します。

// データセンターのゲートウェイデバイス 1 とゲートウェイデバイス 2 に次の構成を追加します。
access-list 100 permit ip 172.16.0.0 0.15.255.255 10.0.0.0 0.255.255.255

IPsec ポリシーを作成します。

// オンプレミスゲートウェイデバイス 1 に次の構成を追加します。
crypto map ipsecpro64 10 ipsec-isakmp
set peer 47.XX.XX.3
set transform-set TSET
set ikev2-profile alicloud
set pfs group2
match address 100
// オンプレミスゲートウェイデバイス 2 に次の構成を追加します。
crypto map ipsecpro64 10 ipsec-isakmp
set peer 47.XX.XX.169
set transform-set TSET
set ikev2-profile alicloud
set pfs group2
match address 100

IPsec トンネルを設定します。

// オンプレミスゲートウェイデバイス 1 に次の構成を追加します。
interface GigabitEthernet1                 // アクティブトンネルに使用されるインターフェースの IP アドレスを構成します。
ip address 211.XX.XX.36 255.255.255.0
crypto map ipsecpro64			// IPsec ポリシーを適用します。
negotiation auto
!
// オンプレミスゲートウェイデバイス 2 に次の構成を追加します。
interface GigabitEthernet1                 // スタンバイトンネルに使用されるインターフェースの IP アドレスを構成します。
ip address 211.XX.XX.71 255.255.255.0
crypto map ipsecpro64		  // IPsec ポリシーを適用します。
negotiation auto
!

データセンターのゲートウェイデバイス 1 とゲートウェイデバイス 2 にルーティング構成を追加します。
1. ゲートウェイデバイス 1 とゲートウェイデバイス 2 に VPC を指すルートを追加します。
```
// ゲートウェイデバイス 1 に VPC を指すルートを追加します。
ip route 10.0.0.0 255.0.0.0  47.XX.XX.3
ip route 100.104.0.0 255.255.0.0  47.XX.XX.3
// ゲートウェイデバイス 2 に VPC を指すルートを追加します。
ip route 10.0.0.0 255.0.0.0  47.XX.XX.169
ip route 100.104.0.0 255.255.0.0  47.XX.XX.169
```
2. ネットワーク環境に基づいてデータセンターにルートを追加します。ルートは、ネットワークトラフィックがデータセンターから VPC に、オンプレミスゲートウェイデバイス 1 を優先して送信されるようにする必要があります。オンプレミスゲートウェイデバイス 1 がダウンした場合、オンプレミスゲートウェイデバイス 2 が自動的に引き継ぎます。特定のコマンドについては、ベンダーにお問い合わせください。

ステップ 3 でダウンロードした VPN 構成をデータセンターのゲートウェイデバイスに追加します。

ゲートウェイデバイスの CLI を開きます。

ISAKMP ポリシーを作成します。

// データセンターのゲートウェイデバイス 1 とゲートウェイデバイス 2 に次の構成を追加します。
crypto isakmp policy 1
authentication pre-share
encryption aes
hash sha
group  2
lifetime 86400

事前共有鍵を設定します。

// データセンターのゲートウェイデバイス 1 に次の構成を追加します。
crypto isakmp key fddsFF123**** address 47.XX.XX.3
// オンプレミスゲートウェイデバイス 2 に次の構成を追加します。
crypto isakmp key fddsFF456**** address 47.XX.XX.169

IPsec プロトコルを構成します。

// データセンターのゲートウェイデバイス 1 とゲートウェイデバイス 2 に次の構成を追加します。
crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac
mode tunnel

アクセス制御を実装するための ACL を作成します。

// データセンターのゲートウェイデバイス 1 とゲートウェイデバイス 2 に次の構成を追加します。
access-list 100 permit ip 172.16.0.0 0.15.255.255 10.0.0.0 0.255.255.255

IPsec ポリシーを作成します。

// オンプレミスゲートウェイデバイス 1 に次の構成を追加します。
crypto map ipsecpro64 10 ipsec-isakmp
set peer 47.XX.XX.3
set transform-set ipsecpro64
set pfs group2
match address 100
// オンプレミスゲートウェイデバイス 2 に次の構成を追加します。
crypto map ipsecpro64 10 ipsec-isakmp
set peer 47.XX.XX.169
set transform-set ipsecpro64
set pfs group2
match address 100

IPsec ポリシーを適用します。

// データセンターのゲートウェイデバイス 1 に次の構成を追加します。
interface GigabitEthernet1    // パブリック IP アドレスが割り当てられているインターフェースに IPsec ポリシーを適用します。
crypto map ipsecpro64
// データセンターのゲートウェイデバイス 2 に次の構成を追加します。
interface GigabitEthernet1    // パブリック IP アドレスが割り当てられているインターフェースに IPsec ポリシーを適用します。
crypto map ipsecpro64

データセンターのゲートウェイデバイス 1 とゲートウェイデバイス 2 にルーティング構成を追加します。
1. ゲートウェイデバイス 1 とゲートウェイデバイス 2 に VPC を指すルートを追加します。
```
// ゲートウェイデバイス 1 に VPC を指すルートを追加します。
ip route 10.0.0.0 255.0.0.0  47.XX.XX.3
ip route 100.104.0.0 255.255.0.0  47.XX.XX.3
// ゲートウェイデバイス 2 に VPC を指すルートを追加します。
ip route 10.0.0.0 255.0.0.0  47.XX.XX.169
ip route 100.104.0.0 255.255.0.0  47.XX.XX.169
```
2. ネットワーク環境に基づいてデータセンターにルートを追加します。ルートは、ネットワークトラフィックがデータセンターから VPC に、オンプレミスゲートウェイデバイス 1 を優先して送信されるようにする必要があります。オンプレミスゲートウェイデバイス 1 がダウンした場合、オンプレミスゲートウェイデバイス 2 が自動的に引き継ぎます。特定のコマンドについては、ベンダーにお問い合わせください。

ステップ 6: 接続をテストする

上記の構成が完了すると、データセンターと VPC は相互に通信できます。次の操作を実行して、両端間のネットワーク接続を確認できます。

重要

テストの前に、VPC 内の ECS インスタンスに適用されているセキュリティグループルールと、データセンターに適用されている ACL ルールを理解していることを確認してください。ルールによって VPC とデータセンター間の相互アクセスが許可されていることを確認してください。セキュリティグループルールの詳細については、「セキュリティグループルールを表示する」および「セキュリティグループルールを追加する」をご参照ください。

VPC 内の ECS インスタンスにログインします。
ECS インスタンスへのログイン方法の詳細については、「ECS インスタンスに接続する方法」をご参照ください。
ECS インスタンスで ping コマンドを実行して、データセンター内のデータベースサーバーにアクセスします。
ECS インスタンスがエコー応答パケットを受信できる場合、データセンターと VPC は相互に通信できます。
```
ping <データセンター内のデータベースサーバーの IP アドレス>
```

ステップ 7: データを同期するための DTS タスクを作成する

テストに合格した後、DTS データ同期タスクを作成できます。タスクが構成されると、データはデータセンターから VPC 内のデータベースに自動的に同期されます。

この例では、データは MySQL インスタンスに同期されます。 DTS でのデータ同期の詳細については、「データ同期シナリオの概要」をご参照ください。

次のいずれかの方法を使用して [データ同期] ページに移動し、データ同期インスタンスが存在するリージョンを選択します。
DTS コンソール
DMS コンソール
1. DTS コンソールにログインします。
2. 左側のナビゲーションウィンドウで、データ同期 をクリックします。
3. ページの左上隅で、データ同期インスタンスが存在するリージョンを選択します。
説明
実際の操作は、DMS コンソールのモードとレイアウトによって異なる場合があります。詳細については、「シンプルモード」および「DMS コンソールのレイアウトとスタイルをカスタマイズする」をご参照ください。
1. DMS コンソールにログインします。
2. 上部のナビゲーションバーで、ポインタを データ + AI に合わせ、DTS (DTS) > データ同期 を選択します。
3. データ同期タスク の右側にあるドロップダウンリストから、データ同期インスタンスが存在するリージョンを選択します。
タスクの作成 をクリックして、タスク構成ページに移動します。
オプション。 ページの右上隅にある 新バージョンの設定ページを試してみる をクリックします。
説明
- ページの右上隅に 旧バージョンの設定ページに戻る ボタンが表示されている場合は、この手順をスキップします。
- 新しいバージョンと以前のバージョンの構成ページの特定のパラメータは異なる場合があります。新しいバージョンの構成ページを使用することをお勧めします。

ソースデータベースと宛先データベースを構成します。次の表にパラメータを示します。

セクション	パラメータ	説明

セクション	パラメータ	説明
N/A	タスク名	DTS タスクの名前。 DTS は自動的にタスク名を生成します。タスクを簡単に識別できる説明的な名前を指定することをお勧めします。一意のタスク名を指定する必要はありません。
ソースデータベース	データベースタイプ	宛先インスタンスのタイプ。 MySQL を選択します。
	アクセス方法	ソースデータベースのアクセス方法。 Express Connect、VPN Gateway、または Smart Access Gateway を選択します。
	インスタンスリージョン	ソースデータベースが存在するリージョン。この例では、中国 (フフホト) を選択します。
	Alibaba Cloud アカウント間でデータを複製する	Alibaba Cloud アカウント間でデータを移行するかどうかを指定します。いいえを選択します。
	接続された VPC	中国 (フフホト) リージョンで VPC を選択します。 DTS は VPC と VPN Gateway を介してデータセンター内のデータベースにアクセスします。
	ドメイン名または IP アドレス	ソース MySQL データベースのホスト IP アドレス。この例では、172.16.0.228 と入力します。
	ポート番号	ソースデータベースのサービスポート。ポートはインターネット経由でアクセスできる必要があります。デフォルト値: 3306。
	データベースアカウント	ソースデータベースへのアクセスに使用されるユーザー名。
	データベースパスワード	宛先データベースへのアクセスに使用されるパスワード。
宛先データベース	データベースタイプ	宛先インスタンスのタイプ。 MySQL を選択します。
	アクセス方法	ソースデータベースのアクセス方法。 Express Connect、VPN Gateway、または Smart Access Gateway を選択します。
	インスタンスリージョン	宛先データベースが存在するリージョン。この例では、中国 (フフホト) を選択します。
	接続された VPC	中国 (フフホト) リージョンで VPC を選択します。
	ドメイン名または IP アドレス	宛先 MySQL データベースのホスト IP アドレス。この例では、10.0.0.252 と入力します。
	ポート番号	宛先データベースのサービスポート。ポートはインターネット経由でアクセスできる必要があります。デフォルト値: 3306。
	データベースアカウント	宛先データベースへのアクセスに使用されるユーザー名。
	データベースパスワード	宛先データベースへのアクセスに使用されるパスワード。

ページの下部にある [接続をテストして続行] をクリックします。
ECS インスタンスに適用されているセキュリティグループルールと、データセンターに適用されている ACL ルールによって、DTS からのアクセスが許可されていることを確認してください。 DTS で使用される CIDR ブロックの詳細については、「DTS サーバーの CIDR ブロックを追加する」をご参照ください。
警告
DTS サーバーの CIDR ブロックがデータベースのホワイトリストまたは ECS セキュリティグループルールに自動または手動で追加されている場合、セキュリティリスクが発生する可能性があります。したがって、DTS を使用してデータを同期する前に、潜在的なリスクを理解し、認識し、予防措置を講じる必要があります。これには、ユーザー名とパスワードのセキュリティ強化、公開されているポートの制限、API 呼び出しの認証、ホワイトリストまたは ECS セキュリティグループルールの定期的な確認、不正な CIDR ブロックの禁止、または Express Connect、VPN Gateway、Smart Access Gateway を使用したデータベースと DTS の接続が含まれます。
- データセンターと VPC 内のデータベースを接続できる場合、データベース間のネットワーク接続は正常です。この場合、システムは [オブジェクトと詳細設定の構成] ステップにリダイレクトします。 DTS データ同期タスクの構成を続行できます。タスクが構成されたら、データの同期を開始できます。 DTS データ同期タスクの構成方法の詳細については、「MySQL インスタンス間の双方向データ同期を構成する」をご参照ください。
- データセンターを VPC 内のデータベースに接続できないことがシステムによって検出された場合、次のステップにリダイレクトされません。この場合、プロンプトに従って問題のトラブルシューティングを行います。詳細については、「VPN 経由でデータベースインスタンスを DTS に接続するときにエラーが報告された場合はどうすればよいですか?」をご参照ください。