このトピックでは、Virtual Private Cloud (VPC) 内のデータセンターとデータベース間でデータを同期する方法について説明します。 パブリックVPNゲートウェイ経由でData Transmission Service (DTS) を使用して同期を実行できます。
シナリオ
このトピックでは、次のシナリオを使用します。企業には中国 (フフホト) リージョンにVPCがあり、フホトにデータセンターがあります。 企業は、データセンターとVPCの両方にデータベースを作成しました。 企業は、データセンターからVPC内のデータベースにデータを同期したいと考えています。
企業は、パブリックVPNゲートウェイを使用して、データセンターとVPCの間にIPsec-VPN接続を作成できます。 これは、両端間の暗号化通信の実現に役立つ。 その後、企業はDTSを使用して、データセンターからVPC内のデータベースにデータを自動的に同期できます。
前提条件
VPCは中国 (フフホト) リージョンで作成されます。 データベースはVPCのElastic Compute Service (ECS) にデプロイされています。 詳細については、「」をご参照ください。IPv4 CIDRブロックを持つVPCの作成.
次の表に、データセンターとVPCのネットワーク設定を示します。
VPCのCIDRブロックを指定できます。 VPCのCIDRブロックがデータセンターのCIDRブロックと重複しないようにしてください。
リソース | CIDRブロック | IPアドレス | データベースアカウント |
データセンター | 172.16.0.0/12 |
|
|
VPC | 10.0.0.0/8 | データベースが実行されているECSインスタンスのIPアドレス: 10.0.0.252 |
|
手順
ステップ1: VPNゲートウェイの作成
VPN Gatewayコンソールにログインします。
上部のナビゲーションバーで、VPNゲートウェイを作成するリージョンを選択します。
VPNゲートウェイのリージョンは、関連付けられるVPCのリージョンと同じである必要があります。
VPN Gatewayページで、VPN Gateway の作成 をクリックします。
購入ページで、次のパラメーターを設定し、今すぐ購入 をクリックして、支払いを完了します。
パラメーター
説明
例
名前
VPN gatewayの名前を入力します。
この例では、VPNGWが使用される。
リソースグループ
VPN gatewayが属するリソースグループを選択します。
このパラメーターを空のままにすると、VPN gatewayはデフォルトのリソースグループに属します。
この例では、このパラメータは空のままです。
リージョン
VPNゲートウェイを作成するリージョンを選択します。
この例では、中国 (フフホト) が選択されています。
ゲートウェイタイプ
ゲートウェイタイプを選択します。
この例では、[標準] が選択されています。
ネットワークタイプ
VPNゲートウェイのネットワークタイプを選択します。
パブリック: VPNゲートウェイを使用して、インターネット経由でVPN接続を確立できます。
プライベート: VPNゲートウェイを使用して、プライベートネットワーク経由でVPN接続を確立できます。
この例では、[公開] が選択されています。
トンネル
トンネルモードを選択します。 有効な値:
デュアルトンネル
シングルトンネル
シングルトンネルモードとデュアルトンネルモードの詳細については、「 [アップグレード通知] IPsec-VPN接続がデュアルトンネルモードをサポート」をご参照ください。
この例では、デフォルト値Dual-tunnelが使用されています。
VPC
VPNゲートウェイに関連付けるVPCを選択します。
この例では、中国 (フフホト) リージョンにデプロイされたVPCが選択されています。
VSwitch
選択したVPCからvSwitchを選択します。
シングルトンネルを選択した場合、vSwitchを1つだけ指定する必要があります。
デュアルトンネルを選択した場合、2つのvSwitchを指定する必要があります。
IPsec-VPN機能を有効にすると、IPsec-VPN接続を介してVPCと通信するためのインターフェイスとして、2つのvSwitchのそれぞれにelastic network interface (ENI) が作成されます。 各ENIはvSwitchで1つのIPアドレスを占有します。
説明システムはデフォルトでvSwitchを選択します。 デフォルトのvSwitchを変更または使用できます。
VPNゲートウェイの作成後、VPNゲートウェイに関連付けられているvSwitchを変更することはできません。 VPN gatewayの詳細ページで、VPN gatewayに関連付けられているvSwitch、vSwitchが属するゾーン、およびENIをvSwitchで表示できます。
この例では、VPCのvSwitchが選択されています。
vSwitch 2
選択したVPCから別のvSwitchを選択します。
関連するVPCの異なるゾーンに2つのvSwitchを指定して、IPsec-VPN接続のゾーン間でディザスタリカバリを実装します。
1つのゾーンのみをサポートするリージョンの場合、ゾーン間のディザスタリカバリはサポートされません。 IPsec-VPN接続の高可用性を実装するには、ゾーンに2つのvSwitchを指定することを推奨します。 最初のものと同じvSwitchを選択することもできます。
説明VPCに1つのvSwitchのみがデプロイされている場合は、vSwitchを作成します。 詳細については、「vSwitchの作成と管理」をご参照ください。
この例では、VPC内の別のvSwitchが選択されています。
ピーク帯域幅
VPN gatewayの最大帯域幅値を選択します。 単位は Mbit/s です。
この例では、デフォルト値が使用されます。
トラフィック
VPNゲートウェイの計測方法を選択します。 デフォルト値: Pay-by-data-transfer
詳細については、「課金」をご参照ください。
この例では、デフォルト値が使用されます。
IPsec-VPN
IPsec-VPNを有効にするかどうかを指定します。 デフォルト値: 有効。
この例では、Enableが選択されています。
SSL-VPN
SSL-VPNを有効にするかどうかを指定します。 デフォルト値: 無効。
この例では、[無効] を選択します。
期間
VPN gatewayの課金サイクルを選択します。 デフォルト値: [時間単位] 。
この例では、デフォルト値が使用されます。
サービスにリンクされたロール
[サービスにリンクされたロールの作成] をクリックします。 サービスにリンクされたロールAliyunServiceRoleForVpnが自動的に作成されます。
VPN gatewayは、他のクラウドリソースにアクセスするためにこの役割を引き受けます。
[作成済み] が表示されている場合、サービスにリンクされたロールが作成され、再度作成する必要はありません。
実際の条件に基づいてこのパラメーターを設定します。
VPN gatewayページに戻り、VPN gatewayを表示します。
VPNゲートウェイを作成すると、準備中 状態になります。 1〜5分後、VPN gatewayは 正常 状態に変わります。 正常 状態は、VPNゲートウェイが初期化され、使用できることを示します。
2つの暗号化トンネルを確立するために、2つのパブリックIPアドレスがパブリックVPNゲートウェイに割り当てられます。 次の表に、VPN gatewayに割り当てられているパブリックIPアドレスを示します。
VPNゲートウェイ名
VPNゲートウェイID
パブリックIPアドレス
VPNGW
vpn-bp1ox1xu1jo8m1ph0 ****
47.XX.XX.3
47.XX.XX.169
手順2: カスタマーゲートウェイの作成
左側のナビゲーションウィンドウで、
を選択します。上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。
接続するカスタマーゲートウェイとVPNゲートウェイが同じリージョンにデプロイされていることを確認してください。
カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。
カスタマーゲートウェイの作成 パネルで、次のパラメーターを設定し、OK をクリックします。
2つの暗号化トンネルを作成するには、2つのカスタマーゲートウェイを作成する必要があります。 次の表に、このトピックに関連するパラメーターのみを示します。 他のパラメータにデフォルト値を使用するか、空のままにすることができます。 詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。
パラメーター
説明
カスタマーゲートウェイ1
カスタマーゲートウェイ2
名前
カスタマーゲートウェイの名前を入力します。
Customer Gateway 1の場合、CustomerGW1が使用されます。
Customer Gateway 2では、CustomerGW2が使用されます。
IP アドレス
データセンターのゲートウェイデバイスのパブリックIPアドレスを入力します。
Customer Gateway 1では、211.XX. XX.36が使用されます。
Customer Gateway 2では、211.XX. XX.71が使用されます。
ステップ3: IPsec-VPN接続の作成
VPN gatewayとカスタマーゲートウェイを作成したら、VPN gateway経由でIPsec接続を作成して、暗号化されたVPNトンネルを確立する必要があります。 手順は、IPsec-VPN接続に使用されるインターネット鍵交換 (IKE) のバージョンによって異なります。
IKEv2が使用されている場合の手順
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。
IPsec-VPN接続とVPN gatewayが同じリージョンにあることを確認してください。
IPsec 接続 ページで、[IPsec-VPN接続の作成] をクリックします。
VPN 接続の作成 ページで、パラメーターを設定し、[OK] をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
例
名前
IPsec-VPN接続の名前を入力します。
この例では、IPsec-Connectionが使用されています。
リソースの関連付け
IPsec-VPN接続に関連付けるネットワークリソースのタイプを選択します。
この例では、VPN Gatewayが選択されています。
VPNゲートウェイ
IPsec-VPN接続に関連付けるVPNゲートウェイを選択します。
この例では、VPNゲートウェイVPNGWが選択されています。
ルーティングモード
ルーティングモードを選択します。
宛先ルーティングモード: トラフィックは宛先IPアドレスに基づいて転送されます。
保護されたデータフロー: 送信元と送信先のIPアドレスに基づいてトラフィックを転送します。
この例では、保護されたデータフローが選択されています。
ローカルネットワーク
VPNゲートウェイインスタンスが関連付けられているVPCのCIDRブロックを入力します。
この例では、次の2つのCIDRブロックを入力します。
VPCのCIDRブロック: 10.0.0.0/8
DTSサーバのCIDRブロック: 100.104.0.0/16
重要DTSサーバーのCIDRブロックを [ローカルネットワーク] セクションに追加する必要があります。 これは、DTSがVPNゲートウェイを介してピアエンドのデータベースにアクセスするのに役立ちます。
DTSで使用されるCIDRブロックの詳細については、「DTSサーバーのCIDRブロックの追加」をご参照ください。
リモートネットワーク
データセンターのCIDRブロックを入力します。
この例では、172.16.0.0/12が使用されます。
今すぐ有効化有効
構成がすぐに有効になるかどうかを指定します。 有効値:
はい: 設定完了後にネゴシエーションを開始します。
いいえ: インバウンドトラフィックが検出されると、ネゴシエーションを開始します。
この例では、はいが選択されています。
BGP 設定
IPsec-VPN接続でBGPプロトコルを使用する場合は、BGPをオンにします。 BGPはデフォルトで無効になっています。
この例では、デフォルト値が使用されます。 BGPは無効です。
トンネル1
アクティブなトンネルのVPNパラメーターを設定します。
デフォルトでは、トンネル1はアクティブトンネルとして機能し、トンネル2はスタンバイトンネルとして機能します。 この設定は変更できません。
カスタマーゲートウェイ
アクティブなトンネルに関連付けるカスタマーゲートウェイを選択します。
この例では、CustomerGW1が選択されています。
事前共有鍵
IDの検証に使用されるアクティブなトンネルの事前共有キー。
事前共有キーは、長さが1〜100文字でなければならず、数字、文字、および次の文字
を含むことができます。 @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ?
事前共有キーを指定しない場合、事前共有キーとして16文字の文字列がランダムに生成されます。
重要IPsec-VPN接続とピアゲートウェイデバイスは、同じ事前共有キーを使用する必要があります。 そうしないと、システムはIPsec-VPN接続を確立できません。
この例では、fddsFF123 **** が使用されます。
暗号化設定
IKE、IPsec、デッドピア検出 (DPD) 、およびNATトラバーサル機能のパラメーターを設定します。
この例では、デフォルトの暗号化設定が使用されます。 詳細については、「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
トンネル2
スタンバイトンネルのVPNパラメーターを設定します。
カスタマーゲートウェイ
スタンバイトンネルに関連付けるカスタマーゲートウェイを選択します。
この例では、CustomerGW2が選択されています。
事前共有鍵
スタンバイトンネルの事前共有キーを入力して、IDを検証します。
この例では、fddsFF456 **** が使用されています。
暗号化設定
IKE、IPsec、デッドピア検出 (DPD) 、およびNATトラバーサル機能のパラメーターを設定します。
この例では、デフォルトの暗号化設定が使用されます。 詳細については、「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
[確立] ダイアログボックスで、[OK] をクリックします。
IPsec 接続 ページで、作成したIPsec-VPN接続を見つけ、操作 列の [ピア構成の生成] をクリックします。
IPsecピアの設定は、IPsec-VPN接続を作成するときに追加する必要があるVPN設定を参照します。 この例では、データセンターのゲートウェイデバイスにVPN設定を追加する必要があります。
VPN 接続の構成 ダイアログボックスで、設定をコピーしてオンプレミスのコンピューターに保存します。 設定は、データセンターのゲートウェイデバイスを設定するときに必要です。
IKEv1を使用する場合の手順
左側のナビゲーションウィンドウで、
を選択します。上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。
IPsec-VPN接続とVPN gatewayが同じリージョンにあることを確認してください。
IPsec 接続 ページで、[IPsec-VPN接続の作成] をクリックします。
VPN 接続の作成 ページで、パラメーターを設定し、[OK] をクリックします。 下表に、各パラメーターを説明します。
IKEv1を使用する場合、[ローカルネットワーク] セクションに複数のCIDRブロックを追加することはできません。 この場合、DTSとVPCのトラフィックを送信するには、2つのIPsec-VPN接続を作成する必要があります。
パラメーター
説明
IPsec-VPN接続1
IPsec-VPN接続2
名前
IPsec-VPN接続の名前。
この例では、IPsec − Connection1が使用される。
この例では、IPsec − Connection2が使用される。
リソースの関連付け
IPsec-VPN接続に関連付けるネットワークリソースのタイプを選択します。
この例では、VPN Gatewayが選択されています。
この例では、VPN Gatewayが選択されています。
VPNゲートウェイ
IPsec-VPN接続に関連付けるVPNゲートウェイを選択します。
この例では、VPNゲートウェイVPNGWが選択されています。
この例では、VPNゲートウェイVPNGWが選択されています。
ルーティングモード
ルーティングモードを選択します。
宛先ルーティングモード: トラフィックは宛先IPアドレスに基づいて転送されます。
保護されたデータフロー: 送信元と送信先のIPアドレスに基づいてトラフィックを転送します。
この例では、保護されたデータフローが選択されています。
この例では、保護されたデータフローが選択されています。
ローカルネットワーク
VPNゲートウェイインスタンスが関連付けられているVPCのCIDRブロックを入力します。
VPCのCIDRブロック: 10.0.0.0/8
DTSサーバのCIDRブロック: 100.104.0.0/16
重要DTSサーバーのCIDRブロックを [ローカルネットワーク] セクションに追加する必要があります。 これは、DTSがVPNゲートウェイを介してピアエンドのデータベースにアクセスするのに役立ちます。
DTSで使用されるCIDRブロックの詳細については、「DTSサーバーのCIDRブロックの追加」をご参照ください。
リモートネットワーク
データセンターのCIDRブロックを入力します。
この例では、172.16.0.0/12が使用されます。
この例では、172.16.0.0/12が使用されます。
今すぐ有効化有効
構成がすぐに有効になるかどうかを指定します。 有効値:
はい: 設定完了後にネゴシエーションを開始します。
いいえ: インバウンドトラフィックが検出されると、ネゴシエーションを開始します。
この例では、はいが選択されています。
この例では、はいが選択されています。
BGP 設定
IPsec-VPN接続でBGPプロトコルを使用する場合は、BGPをオンにします。 BGPはデフォルトで無効になっています。
この例では、デフォルト値が使用されます。 BGPは無効です。
この例では、デフォルト値が使用されます。 BGPは無効です。
トンネル1
アクティブなトンネルのVPNパラメーターを設定します。
デフォルトでは、トンネル1はアクティブトンネルとして機能し、トンネル2はスタンバイトンネルとして機能します。 この設定は変更できません。
カスタマーゲートウェイ
アクティブなトンネルに関連付けるカスタマーゲートウェイを選択します。
この例では、CustomerGW1が選択されています。
この例では、CustomerGW1が選択されています。
事前共有鍵
IDの検証に使用されるアクティブなトンネルの事前共有キー。
事前共有キーは、長さが1〜100文字でなければならず、数字、文字、および次の文字
を含むことができます。 @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ?
事前共有キーを指定しない場合、事前共有キーとして16文字の文字列がランダムに生成されます。
重要IPsec-VPN接続とピアゲートウェイデバイスは、同じ事前共有キーを使用する必要があります。 そうしないと、システムはIPsec-VPN接続を確立できません。
この例では、fddsFF123 **** が使用されます。
この例では、fddsFF123 **** が使用されます。
暗号化設定
IKE、IPsec、デッドピア検出 (DPD) 、およびNATトラバーサル機能のパラメーターを設定します。
IKEバージョンとしてIKEv1を選択し、他の機能のデフォルト設定を使用します。 詳細については、「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
IKEバージョンとしてIKEv1を選択し、他の機能のデフォルト設定を使用します。 詳細については、「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
トンネル2
スタンバイトンネルのVPNパラメーターを設定します。
カスタマーゲートウェイ
スタンバイトンネルに関連付けるカスタマーゲートウェイを選択します。
この例では、CustomerGW2が選択されています。
この例では、CustomerGW2が選択されています。
事前共有鍵
スタンバイトンネルの事前共有キーを入力して、IDを検証します。
この例では、fddsFF456 **** が使用されています。
この例では、fddsFF456 **** が使用されています。
暗号化設定
IKE、IPsec、デッドピア検出 (DPD) 、およびNATトラバーサル機能のパラメーターを設定します。
IKEバージョンとしてIKEv1を選択し、他の機能のデフォルト設定を使用します。 詳細については、「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
IKEバージョンとしてIKEv1を選択し、他の機能のデフォルト設定を使用します。 詳細については、「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
[確立] ダイアログボックスで、[OK] をクリックします。
IPsec 接続 ページで、作成したIPsec-VPN接続を見つけ、操作 列の [ピア構成の生成] をクリックします。
IPsecピアの設定は、IPsec-VPN接続を作成するときに追加する必要があるVPN設定を参照します。 この例では、データセンターのゲートウェイデバイスにVPN設定を追加する必要があります。
VPN 接続の構成 ダイアログボックスで、設定をコピーしてオンプレミスのコンピューターに保存します。 設定は、データセンターのゲートウェイデバイスを設定するときに必要です。
ステップ4: VPNゲートウェイにルートを追加する
IPsec-VPN接続を作成した後、VPNゲートウェイがトラフィックを送信するためのルートを設定する必要があります。 手順3で ルーティングモード として [保護されたデータフロー] を選択した場合、IPsec-VPN接続の作成後にポリシーベースのルートが作成されます。 ルートは未公開の状態です。 VPNゲートウェイのすべてのポリシーベースのルートをVPCに公開するには、次の操作を実行する必要があります。
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。
[VPN gateway] ページで、管理するVPN gatewayを見つけ、そのIDをクリックします。
VPNゲートウェイの詳細ページで、ポリシーベースルーティングタブで、管理するルートを見つけて、をクリックします。公開で、操作列を作成します。
ルートエントリの公開 メッセージで、[OK] をクリックします。
手順5: データセンターのゲートウェイデバイスの設定
Alibaba CloudでIPsec-VPN接続を作成した後、ゲートウェイデバイスをIPsec-VPN接続に接続するには、データセンターのゲートウェイデバイスにVPNとルーティングの設定を追加する必要があります。 その後、ネットワークトラフィックはデフォルトでアクティブなトンネルからVPCに送信されます。 アクティブなトンネルがダウンしている場合、スタンバイトンネルが自動的に引き継ぎます。
次のコンテンツには、サードパーティの製品情報が含まれています。 Alibaba Cloudは、サードパーティツールのパフォーマンスと信頼性、およびこれらのツールに対する運用の潜在的な影響について、保証やその他の形態のコミットメントを行っていません。
コマンドは、ベンダによって異なり得る。 ベンダーに連絡して、特定のコマンドに関する情報を入手してください。
IKEv2を使用する場合の手順
手順3でダウンロードしたVPN設定をデータセンターのゲートウェイデバイスに追加します。
ゲートウェイデバイスのCLIを開きます。
IKEv2の提案とポリシーを設定します。
// Add the following configurations to Gateway Device 1 and Gateway Device 2 in the data center: crypto ikev2 proposal alicloud encryption aes-cbc-128 //Configure the encryption algorithm. In this example, aes-cbc-128 is used. integrity sha1 //Configure the authentication algorithm. In this example, sha1 is used. group 2 //Configure the DH group. In this example, group 2 is used. exit ! crypto ikev2 policy Pureport_Pol_ikev2 proposal alicloud exit !
IKEv2キーリングを設定します。
// Add the following configurations to On-premises Gateway Device 1: crypto ikev2 keyring alicloud peer alicloud address 47.XX.XX.3 // Configure the public IP address of the active tunnel for the IPsec-VPN connection. In this example, 47.XX.XX.3 is used. pre-shared-key fddsFF123**** // Configure the pre-shared key. In this example, fddsFF123**** is used. exit ! // Add the following configurations to On-premises Gateway Device 2: crypto ikev2 keyring alicloud peer alicloud address 47.XX.XX.169 // Configure the public IP address of the standby tunnel for the IPsec-VPN connection. In this example, 47.XX.XX. 169. pre-shared-key fddsFF456**** // Configure the pre-shared key. In this example, fddsFF456**** is used. exit !
IKEv2プロファイルを設定します。
// Add the following configurations to On-premises Gateway Device 1: crypto ikev2 profile alicloud match identity remote address 47.XX.XX.3 255.255.255.255 // Match the public IP address of the active tunnel of the IPsec-VPN connection. In this example, 47.XX.XX.3 is used. identity local address 211.XX.XX.36 // Configure the public IP address of Gateway Device 1. In this example, 211.XX.XX.36 is used. authentication remote pre-share // Set the authentication mode of the VPN gateway to PSK. authentication local pre-share //Set the authentication mode of the data center to PSK. keyring local alicloud //Invoke the IKEv2 keyring. exit ! // Add the following configurations to On-premises Gateway Device 2: crypto ikev2 profile alicloud match identity remote address 47.XX.XX.169 255.255.255.255 // Match the public IP address of the standby tunnel of the IPsec-VPN connection. In this example, 47.XX.XX.169 is used. identity local address 211.XX.XX.71 // Configure the public IP address of Gateway Device 2. In this example, 211.XX.XX.71 is used. authentication remote pre-share // Set the authentication mode of the VPN gateway to PSK. authentication local pre-share //Set the authentication mode of the data center to PSK. keyring local alicloud //Invoke the IKEv2 keyring. exit !
変換を設定します。
// Add the following configurations to Gateway Device 1 and Gateway Device 2 in the data center: crypto ipsec transform-set TSET esp-aes esp-sha-hmac mode tunnel exit !
アクセス制御を実装するためのACLを作成します。
// Add the following configurations to Gateway Device 1 and Gateway Device 2 in the data center: access-list 100 permit ip 172.16.0.0 0.15.255.255 10.0.0.0 0.255.255.255
IPsecポリシーを作成します。
// Add the following configurations to On-premises Gateway Device 1: crypto map ipsecpro64 10 ipsec-isakmp set peer 47.XX.XX.3 set transform-set TSET set ikev2-profile alicloud set pfs group2 match address 100 // Add the following configurations to On-premises Gateway Device 2: crypto map ipsecpro64 10 ipsec-isakmp set peer 47.XX.XX.169 set transform-set TSET set ikev2-profile alicloud set pfs group2 match address 100
IPsecトンネルを設定します。
// Add the following configurations to On-premises Gateway Device 1: interface GigabitEthernet1 // Configure the IP address of the interface that is used for the active tunnel. ip address 211.XX.XX.36 255.255.255.0 crypto map ipsecpro64 // Apply the IPsec policy. negotiation auto ! // Add the following configurations to On-premises Gateway Device 2: interface GigabitEthernet1 // Configure the IP address of the interface that is used for the standby tunnel. ip address 211.XX.XX.71 255.255.255.0 crypto map ipsecpro64 // Apply the IPsec policy. negotiation auto !
データセンターのゲートウェイデバイス1とゲートウェイ2にルーティング設定を追加します。
VPCを指すルートをゲートウェイデバイス1とゲートウェイデバイス2に追加します。
// Add a route that points to the VPC to Gateway Device 1. ip route 10.0.0.0 255.0.0.0 47.XX.XX.3 ip route 100.104.0.0 255.255.0.0 47.XX.XX.3 // Add a route that points to the VPC to Gateway Device 2. ip route 10.0.0.0 255.0.0.0 47.XX.XX.169 ip route 100.104.0.0 255.255.0.0 47.XX.XX.169
ネットワーク環境に基づいてデータセンターにルートを追加します。 ルートは、ネットワークトラフィックがデータセンターからVPCに優先的にオンプレミスゲートウェイデバイス1を介して送信されることを許可する必要があります。 オンプレミスゲートウェイ装置1がダウンした場合、オンプレミスゲートウェイ装置2が自動的に引き継ぐ。 ベンダーに連絡して、特定のコマンドに関する情報を入手してください。
IKEv1を使用する場合の手順
手順3でダウンロードしたVPN設定をデータセンターのゲートウェイデバイスに追加します。
ゲートウェイデバイスのCLIを開きます。
ISAKMPポリシーを作成します。
// Add the following configurations to Gateway Device 1 and Gateway Device 2 in the data center: crypto isakmp policy 1 authentication pre-share encryption aes hash sha group 2 lifetime 86400
事前共有キーを設定します。
// Add the following configurations to Gateway Device 1 in the data center: crypto isakmp key fddsFF123**** address 47.XX.XX.3 // Add the following configurations to On-premises Gateway Device 2: crypto isakmp key fddsFF456**** address 47.XX.XX.169
IPsec プロトコルを設定します。
// Add the following configurations to Gateway Device 1 and Gateway Device 2 in the data center: crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac mode tunnel
アクセス制御を実装するためのACLを作成します。
// Add the following configurations to Gateway Device 1 and Gateway Device 2 in the data center: access-list 100 permit ip 172.16.0.0 0.15.255.255 10.0.0.0 0.255.255.255
IPsecポリシーを作成します。
// Add the following configurations to On-premises Gateway Device 1: crypto map ipsecpro64 10 ipsec-isakmp set peer 47.XX.XX.3 set transform-set ipsecpro64 set pfs group2 match address 100 // Add the following configurations to On-premises Gateway Device 2: crypto map ipsecpro64 10 ipsec-isakmp set peer 47.XX.XX.169 set transform-set ipsecpro64 set pfs group2 match address 100
IPsecポリシーを適用します。
// Add the following configurations to Gateway Device 1 in the data center: interface GigabitEthernet1 // Apply the IPsec policy to the interface that is assigned a public IP address. crypto map ipsecpro64 // Add the following configurations to Gateway Device 2 in the data center: interface GigabitEthernet1 // Apply the IPsec policy to the interface that is assigned a public IP address. crypto map ipsecpro64
データセンターのゲートウェイデバイス1とゲートウェイ2にルーティング設定を追加します。
VPCを指すルートをゲートウェイデバイス1とゲートウェイデバイス2に追加します。
// Add a route that points to the VPC to Gateway Device 1. ip route 10.0.0.0 255.0.0.0 47.XX.XX.3 ip route 100.104.0.0 255.255.0.0 47.XX.XX.3 // Add a route that points to the VPC to Gateway Device 2. ip route 10.0.0.0 255.0.0.0 47.XX.XX.169 ip route 100.104.0.0 255.255.0.0 47.XX.XX.169
ネットワーク環境に基づいてデータセンターにルートを追加します。 このルートでは、ネットワークトラフィックをデータセンターからVPCに優先的にオンプレミスゲートウェイデバイス1を介して送信できるようにする必要があります。 オンプレミスゲートウェイ装置1がダウンした場合、オンプレミスゲートウェイ装置2が自動的に引き継ぐ。 ベンダーに連絡して、特定のコマンドに関する情報を入手してください。
ステップ6: 接続をテストする
上記の設定を完了すると、データセンターとVPCは相互に通信できます。 次の操作を実行して、2つのエンド間のネットワーク接続を確認できます。
テストの前に、VPCのECSインスタンスに適用されるセキュリティグループルールとデータセンターに適用されるACLルールを理解していることを確認してください。 ルールがVPCとデータセンター間の相互アクセスを許可していることを確認してください。 セキュリティグループルールの詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。
VPC の ECS インスタンスにログインします。
ECSインスタンスへのログイン方法の詳細については、「インスタンスへの接続」をご参照ください。
ECSインスタンスで
ping
コマンドを実行し、データセンターのデータベースサーバーにアクセスします。ECSインスタンスがエコー応答パケットを受信できる場合、データセンターとVPCは相互に通信できます。
ping <IP address of the database server in the data center>
手順7: DTSタスクを作成してデータを同期する
テストに合格すると、DTSデータ同期タスクを作成できます。 タスクが設定されると、データはデータセンターからVPCのデータベースに自動的に同期されます。
この例では、データはMySQLインスタンスに同期されます。 DTSでのデータ同期の詳細については、「データ同期シナリオの概要」をご参照ください。
次のいずれかの方法を使用して、[データ同期] ページに移動し、データ同期インスタンスが存在するリージョンを選択します。
DTSコンソール
最初に
DTSコンソール。左側のナビゲーションウィンドウで、データ同期 を選択します。
ページの左上隅で、データ同期インスタンスが存在するリージョンを選択します。
DMSコンソール
説明実際の操作は、DMSコンソールのモードとレイアウトによって異なります。 詳細については、「シンプルモード」および「DMSコンソールのレイアウトとスタイルのカスタマイズ」をご参照ください。
最初に
DMSコンソールを使用します。上部のナビゲーションバーで、ポインタを [データ開発] に移動し、
を選択します。データ同期タスク の右側にあるドロップダウンリストから、データ同期インスタンスが存在するリージョンを選択します。
タスクの作成 をクリックして、タスク設定ページに移動します。
(オプションの手順) ページの右上隅にある 新バージョンの設定ページを試してみる をクリックします。
説明ページの右上隅に 旧バージョンの設定ページに戻る ボタンが表示されている場合は、この手順をスキップします。
構成ページの新しいバージョンと以前のバージョンの特定のパラメータは異なる場合があります。 設定ページの新しいバージョンを使用することを推奨します。
ソースデータベースとターゲットデータベースを設定します。 下表に、各パラメーターを説明します。
セクション
パラメーター
説明
非該当
タスク名
DTSタスクの名前。 タスク名は自動生成されます。 タスクを簡単に識別できるように、わかりやすい名前を指定することをお勧めします。 一意のタスク名を指定する必要はありません。
ソースデータベース
データベースタイプ
移行先インスタンスの ID を設定します。 [MySQL] を選択します。
アクセス方法
ソースデータベースのアクセス方法。 Express Connect、VPN Gateway、またはSmart Access Gatewayを選択します。
インスタンスリージョン
ソースデータベースが存在するリージョン。
この例では、中国 (フフホト) が選択されています。
Alibaba Cloudアカウント全体でのデータの複製は、異なるAlibaba Cloudアカウントに属するインスタンス間でデータを同期します
Alibaba Cloudアカウント間でデータを移行するかどうかを指定します。 [いいえ] を選択します。
接続済みVPC
中国 (フフホト) リージョンでVPCを選択します。
DTSは、VPCとVPNゲートウェイを介してデータセンターのデータベースにアクセスします。
ドメイン名または IP アドレス
ソースMySQLデータベースのホストIPアドレス。
この例では、172.16.0.228を入力します。
ポート番号
ソースデータベースのサービスポート。 ポートにはインターネット経由でアクセスできる必要があります。 デフォルト値: 3306
データベースアカウント
ソースデータベースへのアクセスに使用されるユーザー名。
データベースパスワード
ターゲットデータベースへのアクセスに使用されるパスワード。
宛先データベース
データベースタイプ
移行先インスタンスの ID を設定します。 [MySQL] を選択します。
アクセス方法
ソースデータベースのアクセス方法。 Express Connect、VPN Gateway、またはSmart Access Gatewayを選択します。
インスタンスリージョン
ターゲットデータベースが存在するリージョン。
この例では、中国 (フフホト) が選択されています。
接続済みVPC
中国 (フフホト) リージョンでVPCを選択します。
ドメイン名または IP アドレス
ターゲットMySQLデータベースのホストIPアドレス。
この例では、10.0.0.252を入力します。
ポート番号
ターゲットデータベースのサービスポート。 ポートにはインターネット経由でアクセスできる必要があります。 デフォルト値: 3306
データベースアカウント
ターゲットデータベースへのアクセスに使用されるユーザー名。
データベースパスワード
ターゲットデータベースへのアクセスに使用されるパスワード。
ページの下部で、[接続をテストして続行] をクリックします。
ECSインスタンスに適用されるセキュリティグループルールとデータセンターに適用されるACLルールがDTSからのアクセスを許可していることを確認してください。 DTSで使用されるCIDRブロックの詳細については、「DTSサーバーのCIDRブロックの追加」をご参照ください。
警告DTSサーバーのCIDRブロックがデータベースのホワイトリストまたはECSセキュリティグループルールに自動的または手動で追加されると、セキュリティリスクが発生する可能性があります。 したがって、DTSを使用してデータを同期する前に、潜在的なリスクを理解して認識し、ユーザー名とパスワードのセキュリティの強化、公開されるポートの制限、API呼び出しの認証、ホワイトリストまたはECSセキュリティグループルールの定期的なチェック、不正なCIDRブロックの禁止、Express Connect、VPN Gateway、またはSmart Access Gatewayを使用してデータベースをDTSに接続するなどの予防策を講じる必要があります。
データセンターとVPC内のデータベースを接続できる場合、データベース間のネットワーク接続は正常です。 この場合、システムは [オブジェクトの構成と詳細設定] ステップにリダイレクトします。 DTSデータ同期タスクを引き続き設定できます。 タスクの設定後、データの同期を開始できます。 DTSデータ同期タスクを設定する方法の詳細については、「MySQLインスタンス間の双方向データ同期の設定」をご参照ください。
データセンターをVPCのデータベースに接続できないことをシステムが検出した場合、次のステップにリダイレクトされません。 この場合、プロンプトに従って問題のトラブルシューティングを行います。 詳細については、「」をご参照ください。データベースインスタンスをVPN経由でDTSに接続するときにエラーが報告された場合はどうすればよいですか?