Express Connect回線とcloud Enterprise Network (CEN) を介してデータセンターと仮想プライベートクラウド (VPC) 間にプライベート接続を確立した後、プライベート接続は暗号化されません。 これは、セキュリティリスクを引き起こす。 ネットワークセキュリティを向上させるために、プライベートVPNゲートウェイを使用して、Express Connect回線を介したプライベート接続 (以下、プライベート接続と呼びます) を暗号化できます。 このトピックでは、暗号化されたプライベート接続の原理と設定方法について説明します。
プライベートネットワーク上で暗号化されたトンネルを確立する場合は、プライベートIPsec-VPN接続をトランジットルーター (TR) に関連付けることをお勧めします。 詳細については、「複数のプライベートIPsec-VPN接続を作成して負荷分散を実装する」をご参照ください。
制御ポリシー機能の動作
Express Connect回線とCENを介してデータセンターとVPCの間にプライベート接続を確立すると、プライベートVPNゲートウェイとオンプレミスゲートウェイデバイスの間に暗号化されたトンネルを確立できます。 データセンターとVPC間のネットワークトラフィックを暗号化されたトンネルにルーティングするルートを設定できます。 このように、トンネルを介して送信されるネットワークトラフィックは暗号化される。
次の例では、プライベート接続の暗号化方法について説明します。 この例では、プライベート接続を使用して、データセンターのクライアントがVPCのElastic Compute Service (ECS) インスタンスにアクセスします。
いいえ | ノード | 説明 |
1 | クライアント |
|
2 | オンプレミスゲートウェイデバイス |
|
3 | VBR | VBRがリクエストパケットを受信した後、VBRはルートテーブルを照会し、リクエストパケットをCENインスタンスに転送します。 |
4 | CENインスタンス | CENインスタンスがリクエストパケットを受信すると、CENインスタンスはルートテーブルを照会し、リクエストパケットをVPCに転送します。 |
5 | VPC | VPCがリクエストパケットを受信すると、VPCはルートテーブルにクエリを実行し、リクエストパケットをVPNゲートウェイに転送します。 |
エリア6 | VPN ゲートウェイ |
|
7 | ECS インスタンス |
|
8 | VPN ゲートウェイ |
|
9 | VPC | VPC が反応パケットを受信した後, VPCはルートテーブルを検索し, 回答パケットを CENインスタンスに向上する. |
10 | CEN | CENインスタンスが反応パケットを受信した後, CENインスタンスがルートテーブルを検出する. |
11 | VBR | VBR が回答パケットを受信した後, VBRはルートテーブルを検討し, 回答パケットをオンアプリケーションゲートデバイスに向上する. |
12 | オンプレミスゲートウェイデバイス |
|
設定方法
プライベートVPNゲートウェイを使用してプライベート接続を暗号化するには、VPNゲートウェイと、VPNゲートウェイに接続されているVBRをさまざまな方法で設定できます。 下記の表は, 設定方法の間の差異を記述し, タリオルへのリンクを提供する.
設定方法 | 説明 | チュートリアル | VPN 接続の後で通信に対応する |
方法 1 | VBRおよびVPNゲートウェイの静的ルーティングを設定します。 | 正定的なルートを使うためのインタビュー |
|
方法 2 |
説明 静的ルーティングがVPNゲートウェイに設定されている場合、VBRのBGP動的ルーティングを設定できません。 |
| |
方法 3 | VBRおよびVPNゲートウェイのBGP動的ルーティングを設定します。 |
|