このトピックでは、プライベートVPNゲートウェイ (以下「VPNゲートウェイ」と呼びます) を使用して、データセンターと仮想プライベートクラウド (VPC) 間のプライベート接続を暗号化する方法について説明します。 データセンターとVPC間のプライベート接続を暗号化するには、VPNゲートウェイと、データセンターをVPCに接続する仮想ボーダールーター (VBR) の静的ルートを設定します。
背景情報
静的ルーティングとBGPルーティングを使用してプライベート接続を暗号化する前に、プライベート接続の暗号化方法と構成方法を理解することをお勧めします。 詳細については、「設定方法の概要」をご参照ください。
サンプルシナリオ
このトピックでは、上記のシナリオを例として使用します。 企業は杭州にデータセンターを所有し、中国 (杭州) リージョンにVPC (VPC1) がデプロイされています。 アプリケーションは、VPC1のElastic Compute Service (ECS) インスタンスにデプロイされます。 ビジネスの成長により、企業はExpress connect回線とCloud enterprise Network (CEN) を介してVPC1をデータセンターに接続したいと考えています。 さらに、セキュリティ上の懸念から、企業はデータセンターとVPC1間の接続を暗号化したいと考えています。
VPC1がCENおよびExpress Connect回線を介してデータセンターに接続された後、企業はVPC1にVPNゲートウェイを作成し、VPNゲートウェイとオンプレミスのゲートウェイデバイスとの間にIPsec-VPN接続を確立できます。 次に、企業は、プライベート接続を暗号化するために、VBRおよびVPNゲートウェイの静的ルートを構成することができる。
準備
プライベートVPNゲートウェイを使用する前に、アカウントマネージャーまたはから必要な権限を申請する必要がありますチケットを起票して権限を取得します。
データセンターとネットワークインスタンスのネットワークを計画する必要があります。 データセンターのCIDRブロックがネットワークインスタンスのCIDRブロックと重複しないようにします。 次の表に、この例のCIDRブロックを示します。
項目
CIDRブロック
IPアドレス
VPC1
プライマリCIDRブロック: 10.0.0.0/16
vSwitch1のCIDRブロック: 10.0.0.0/24
vSwitch2のCIDRブロック: 10.0.1.0/24
ECS1: 10.0.1.1
ECS2: 10.0.1.2
VBR
10.0.0.0/30
VLAN ID: 0
Alibaba Cloud側のIPv4アドレス: 10.0.0.2/30
ユーザー側のIPv4アドレス: 10.0.0.1/30
この例では、ユーザ側のIPv4アドレスは、データセンタ内のゲートウェイデバイスのIPv4アドレスである。
データセンター
プライマリCIDRブロック: 192.168.0.0/16
サブネット1: 192.168.0.0/24
サブ2:192.168.1.0/24
クライアント: 192.168.1.1
オンプレミスゲートウェイデバイス
10.0.0.0/30
192.168.0.0/24
VPN IPアドレス: 192.168.0.251
VPN IPアドレスは、VPNゲートウェイに接続されるオンプレミスゲートウェイ装置のインタフェースのIPアドレスを指す。
Express Connect回路に接続されたインターフェイスのIPアドレス: 10.0.0.1
VPC1は中国 (杭州) リージョンにデプロイされ、アプリケーションはVPC1のECSインスタンスにデプロイされます。 詳細については、「VPC の作成と管理」をご参照ください。
中国 (杭州) リージョンのVPC1に、Enterprise Editionトランジットルーターをサポートする異なるゾーンに少なくとも2つのvSwitchが含まれていることを確認します。 さらに、各vSwitchには少なくとも1つのアイドルIPアドレスが必要です。 これにより、VPC1をCENインスタンスにアタッチできます。 詳細については、「VPCの接続」をご参照ください。
この例では、VPC1には2つのvSwitch (vSwitch1とvSwitch2) が含まれています。 vSwitch1はゾーンHにデプロイされ、vSwitch2はゾーンIにデプロイされます。ECSインスタンスはvSwitch2にデプロイされます。 vSwitch1は、VPNゲートウェイを関連付けるためにのみ使用されます。
説明VPCを作成するときは、VPNゲートウェイ用の専用vSwitchをVPCに作成することを推奨します。 これにより、vSwitchはVPNゲートウェイにプライベートIPアドレスを割り当てることができます。
データセンターのゲートウェイデバイスを確認します。 標準のIKEv1およびIKEv2プロトコルをサポートしていることを確認します。 ゲートウェイデバイスがIKEv1およびIKEv2プロトコルをサポートしているかどうかを確認するには、ゲートウェイベンダーに連絡してください。
VPC1のECSインスタンスに適用されるセキュリティグループルールと、データセンターのクライアントに適用されるアクセスコントロールリスト (ACL) ルールに注意してください。 ルールにより、VPC1のECSインスタンスがデータセンターのクライアントと通信できるようにします。 詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。
手順
ステップ1: Express Connect回路のデプロイ
データセンターをAlibaba Cloudに接続するには、Express Connect回路をデプロイする必要があります。
Express Connect回路を作成します。
中国 (杭州) リージョンのExpress Connect回線を申請する必要があります。 詳細については、「Express Connect回線を介した専用接続の作成と管理」または「ホスト接続の概要」をご参照ください。
この例では、Express Connect回路を介した専用接続が作成されます。
VBRを作成します。
左側のナビゲーションウィンドウで、仮想ボーダールーター (VBR).
上部のナビゲーションバーで、VBRを作成するリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
仮想ボーダールーター (VBR)ページをクリックします。VBRの作成.
VBRの作成パネル、次のパラメータを設定し、OK.
次の表に、主要なパラメーターのみを示します。 詳細については、「VBRの作成と管理」をご参照ください。
パラメーター
説明
[アカウント]
この例では、[現在のアカウント] が選択されています。
名前
この例では、VBRが使用されます。
物理接続情報
この例では、Dedicated Physical Connectionが選択され、ステップ1で作成されたExpress Connect回路が選択されています。
VLAN ID
この例では、0が使用されます。
VBR帯域幅の値の設定
VBRの最大帯域幅値を選択します。
IPv4アドレス (Alibaba Cloud Gateway)
この例では、10.0.0.2が入力されます。
IPv4アドレス (データセンターゲートウェイ)
この例では、10.0.0.1が入力されます。
サブネットマスク (IPv4)
この例では、255.255.255.252が入力されます。
VBRにカスタムルートを追加します。
オンプレミスCIDRブロックをAlibaba Cloudにアドバタイズするカスタムルートを追加します。
[仮想ボーダールーター (VBR)] ページで、VBRのIDをクリックします。
ルートタブをクリックし、ルートを追加.
ルートを追加パネル、次のパラメータを設定し、OK.
オンプレミスゲートウェイデバイスを設定します。
VPC1宛てのトラフィックをデータセンターからExpress Connect回路にルーティングするには、次のルートをオンプレミスゲートウェイに追加する必要があります。
次の構成は参照だけのためです。 コマンドは、ネットワークデバイスベンダーに基づいて変化し得る。 ベンダーに連絡して、特定のコマンドに関する情報を入手してください。
ip route 10.0.0.0 255.255.0.0 10.0.0.2
手順2: CENインスタンスの設定
VPC1とVBRをCENインスタンスにアタッチする必要があります。 その後、データセンターとVPC1はCENを介して相互に通信できます。
CENインスタンスを作成します。
インスタンスページをクリックします。CENインスタンスの作成.
CENインスタンスの作成ダイアログボックスで、以下のパラメーターを設定し、OK.
名前: CENインスタンスの名前を入力します。
この例では、CENが使用されています。
説明: CENインスタンスの説明を入力します。
この例では、CEN-for-test-private-VPN-Gatewayが使用されています。
VPC1をCENインスタンスにアタッチします。
VPCのセクション基本設定タブをクリックし、
アイコンが表示されます。 
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
ネットワークタイプ
アタッチするネットワークインスタンスのタイプを選択します。
この例では、VPCが選択されています。
リージョン
ネットワークインスタンスがデプロイされているリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
トランジットルーター
選択したリージョンにトランジットルーターが自動的に作成されます。
リソース所有者ID
ネットワークインスタンスが属するAlibaba Cloudアカウントを選択します。
この例では、[現在のアカウント] が選択されています。
課金方法
この例では、デフォルト値 [従量課金] が選択されています。
詳細については、「課金」をご参照ください。
添付ファイル名
ネットワーク接続の名前を入力します。
この例では、VPC1-testが使用されます。
ネットワークインスタンス
接続するネットワークインスタンスのIDを選択します。
この例では、VPC1が選択されています。
VSwitch
トランジットルーターでサポートされているゾーンにデプロイされているvSwitchを選択します。
Enterprise Editionトランジットルーターが1つのゾーンのみをサポートするリージョンにデプロイされている場合は、そのゾーンでvSwitchを選択します。
Enterprise Editionトランジットルーターが複数のゾーンをサポートするリージョンにデプロイされている場合は、少なくとも2つのvSwitchを選択します。 2つのvSwitchは異なるゾーンにある必要があります。 2つのvSwitchはゾーンディザスタリカバリをサポートしており、VPCとトランジットルーター間の中断のないデータ伝送を保証します。
データをより短い距離で送信できるため、ネットワークの待ち時間を短縮し、ネットワークパフォーマンスを向上させるために、各ゾーンでvSwitchを選択することをお勧めします。
詳細については、「VPC接続の作成」をご参照ください。
詳細設定
デフォルトでは、システムは次の高度な機能を自動的に有効にします。
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、VPC接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトルートテーブルに基づいてVPCのトラフィックを転送します。
システムルートをトランジットルーターのデフォルトルートテーブルに伝播する
この機能を有効にすると、VPCのシステムルートがトランジットルーターのデフォルトルートテーブルにアドバタイズされます。 これにより、VPCはトランジットルーターに接続されている他のネットワークインスタンスと通信できます。
トランジットルーターへのルートを自動的に作成し、現在の VPC のすべてのルートテーブルに追加する
この機能を有効にすると、VPCのすべてのルートテーブルに10.0.0.0/8、172.16.0.0/12、192.168.0.0/16の3つのルートが自動的に追加されます。 ルートの次のホップはVPCを指します。 ルートは、VPCからトランジットルーターにIPv4トラフィックを転送するために使用されます。 デフォルトでは、トランジットルーターはVPCへのルートをアドバタイズしません。
重要そのようなルートが既にVPCのルートテーブルにある場合、システムはこのルートをアドバタイズできません。 VPC接続を指すルートをVPCのルートテーブルに手動で追加する必要があります。 そうしないと、VPCとトランジットルーター間でネットワーク通信を確立できません。 そのようなルートが存在するかどうかを確認するには、[詳細設定] の下にある [ルートの確認] をクリックします。
VPCがIPv6トラフィックを入力して転送するには、VPC接続のルート同期を有効にするか、接続の作成後にルートテーブルにVPC接続を指すIPv6ルートエントリを手動で追加する必要があります。
この例では、デフォルト設定が使用されています。
より多くの接続を作成するに戻ります。ピアネットワークインスタンスとの接続ページに移動します。
VBRをCENインスタンスにアタッチします。
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
ネットワークタイプ
アタッチするネットワークインスタンスのタイプを選択します。
この例では、仮想ボーダールーター (VBR) が選択されています。
リージョン
ネットワークインスタンスがデプロイされているリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
トランジットルーター
選択したリージョンのトランジットルーターが表示されます。
リソース所有者ID
ネットワークインスタンスが属するAlibaba Cloudアカウントを選択します。
この例では、[現在のアカウント] が選択されています。
添付ファイル名
ネットワーク接続の名前を入力します。
この例では、VBR-testが使用されます。
ネットワークインスタンス
接続するネットワークインスタンスのIDを選択します。
この例では、ステップ1で作成されたVBRが選択されます。
詳細設定
デフォルトでは、システムは次の高度な機能を自動的に有効にします。
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、VBR接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトのルートテーブルに基づいてVBRのトラフィックを転送します。
トランジットルーターのデフォルトルートテーブルへのシステムルートの伝播
この機能を有効にすると、VBRのシステムルートがトランジットルーターのデフォルトルートテーブルに通知されます。 このようにして、VBRはトランジットルーターに接続されている他のネットワークインスタンスと通信できます。
VBRへのルートの伝播
この機能を有効にすると、VBRへのVBR接続に関連付けられているトランジットルータールートテーブルのルートが自動的にアドバタイズされます。
この例では、デフォルト設定が使用されています。
ステップ3: VPNゲートウェイのデプロイ
上記の手順を完了すると、データセンターはプライベート接続でVPC1に接続されます。 ただし、プライベート接続は暗号化されません。 プライベート接続を暗号化するには、VPC1にVPNゲートウェイをデプロイする必要があります。
VPNゲートウェイを作成します。
上部のナビゲーションバーで、VPNゲートウェイを作成するリージョンを選択します。
VPNゲートウェイと関連付けられるVPCは、同じリージョンに属している必要があります。 この例では、中国 (杭州) リージョンが選択されています。
VPN Gatewayページをクリックします。VPN Gateway の作成.
購入ページで、次のパラメーターを設定し、今すぐ購入、そして支払いを完了します。
パラメーター
説明
名前
VPNゲートウェイの名前を入力します。
この例では、VPNGateway1が入力されます。
リージョン
VPNゲートウェイをデプロイするリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
ゲートウェイタイプ
VPNゲートウェイのタイプを選択します。
この例では、[標準] が選択されています。
ネットワークタイプ
VPN gatewayのネットワークタイプを選択します。
この例では、[プライベート] が選択されています。
トンネル
リージョン内のIPsec-VPN接続でサポートされているトンネルモードが表示されます。
[VPC]
VPNゲートウェイを関連付けるVPCを選択します。
この例では、VPC1が選択されています。
VSwitch
VPC1からvSwitchを選択します。
シングルトンネルを選択した場合、vSwitchを1つだけ指定する必要があります。
デュアルトンネルを選択した場合、2つのvSwitchを指定する必要があります。
IPsec-VPN機能を有効にすると、IPsec-VPN接続を介してVPCと通信するためのインターフェイスとして、2つのvSwitchのそれぞれにelastic network interface (ENI) が作成されます。 各ENIはvSwitchで1つのIPアドレスを占有します。
説明システムはデフォルトでvSwitchを選択します。 デフォルトのvSwitchを変更または使用できます。
VPNゲートウェイの作成後、VPNゲートウェイに関連付けられているvSwitchを変更することはできません。 VPN gatewayの詳細ページで、VPN gatewayに関連付けられているvSwitch、vSwitchが属するゾーン、およびENIをvSwitchで表示できます。
vSwitch 2
VPC1から別のvSwitchを選択します。
Single-tunnelを選択した場合は、このパラメーターを無視します。
最大帯域幅
VPNゲートウェイの最大帯域幅値を選択します。 単位は、Mbit/s です。
トラフィック
VPN gatewayの課金方法を選択します。 デフォルト値: Pay-by-data-transfer
詳細については、「課金」をご参照ください。
IPsec-VPN
プライベートVPNゲートウェイはIPsec-VPN機能のみをサポートします。
この例では、IPsec-VPN機能にデフォルト値Enableが選択されています。
有効期間
課金サイクルを選択します。 デフォルト値:時間単位
サービスにリンクされたロール
[サービスにリンクされたロールの作成] をクリックします。 その後、システムは自動的にサービスにリンクされたロールAliyunServiceRoleForVpnを作成します。
VPN gatewayは、他のクラウドリソースにアクセスするためにこの役割を引き受けます。 詳細については、「AliyunServiceRoleForVpn」をご参照ください。
[作成済み] が表示されている場合、サービスにリンクされたロールが作成され、再度作成する必要はありません。
VPN gatewayページに戻り、作成したVPN gatewayのプライベートIPアドレスを確認して記録します。 IPアドレスは、IPsec-VPN接続を構成するときに使用されます。
新しく作成されたVPN gatewayは [準備中] 状態です。 約1〜5分後、アクティブ状態に入る。 Active状態は、VPNゲートウェイが初期化され、使用可能な状態であることを示します。
カスタマーゲートウェイを作成します。
左側のナビゲーションウィンドウで、.
カスタマーゲートウェイページをクリックします。カスタマーゲートウェイの作成.
カスタマーゲートウェイの作成パネル、次のパラメータを設定し、OK.
以下のコンテンツは、主要なパラメータのみを説明します。 詳細については、「カスタマーゲートウェイの作成」をご参照ください。
名前:カスタマーゲートウェイの名前を入力します。
この例では、Customer-Gatewayが使用されています。
IPアドレス: VPN gatewayに接続するオンプレミスゲートウェイデバイスのVPN IPアドレスを入力します。
この例では、192.168.0.251が使用されます。
IPsec-VPN接続を作成します。
左側のナビゲーションウィンドウで、.
VPN 接続ページをクリックします。VPN 接続の作成.
IPsec-VPN接続の作成ページ、パラメーターを設定し、OK.
以下のコンテンツは、主要なパラメータのみを説明します。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
パラメーター
説明
パラメーター
IPsec-VPN接続の名前を入力します。
この例では、IPsecConnection1が使用されています。
VPNゲートウェイ
作成したVPNゲートウェイを選択します。
この例では、VPNGateway1が選択されている。
カスタマーゲートウェイ
作成したカスタマーゲートウェイを選択します。
この例では、Customer-Gatewayが選択されています。
ルーティングモード
ルーティングモードを選択します。
この例では、宛先ルーティングモードが選択されています。
すぐに有効
接続ネゴシエーションをすぐに開始するかどうかを指定します。 有効な値:
はい: 設定が有効になった後、すぐにIPsecネゴシエーションを開始します。
No: インバウンドトラフィックが検出されると、ネゴシエーションを開始します。
この例では、はいが選択されています。
事前共有キー
事前共有キーを入力します。
値を入力しない場合、システムは事前共有キーとしてランダムな16ビット文字列を生成します。
重要オンプレミスのゲートウェイデバイスとIPsec-VPN接続が同じ事前共有キーを使用していることを確認します。
この例では、fddsFF123 **** が使用されます。
暗号化設定
IKE、IPsec、DPD、およびNATトラバーサル機能を設定します。
この例では、IKEv1が使用され、他のパラメータはデフォルト値を使用します。
他のパラメーターについてはデフォルト値を使用します。
IPsec-VPN接続を作成したら、OKで、作成済みメッセージを表示します。
オンプレミスのゲートウェイデバイスにVPN設定を追加します。
左側のナビゲーションウィンドウで、.
IPsec接続ページで、管理するIPsec-VPN接続を見つけて、ピア構成の生成で、アクション列を作成します。
IPsec-VPN接続のピア設定をデータセンターのゲートウェイデバイスにロードします。 詳細については、「オンプレミスゲートウェイデバイスの設定」をご参照ください。
ステップ4: VPC、VBR、およびVPNゲートウェイのルートを設定する
上記の手順を完了すると、オンプレミスゲートウェイデバイスとVPNゲートウェイの間に暗号化されたトンネルを確立できます。 データセンターがAlibaba Cloudと通信するときに、VPC、VBR、およびVPNゲートウェイのルートを設定して、トラフィックを暗号化されたトンネルにルーティングする必要があります。
VPC1にカスタムルートを追加します。
左側のナビゲーションウィンドウで、ルートテーブル.
上部のナビゲーションバーで、ルートテーブルが属するリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
[ルートテーブル] ページで、管理するルートテーブルを見つけ、そのIDをクリックします。
この例では、VPC1のシステムルートテーブルのIDがクリックされています。
ルートエントリ一覧タブをクリックし、カスタムルートタブをクリックし、ルートエントリの追加.
ルートエントリの追加パネル、次のパラメータを設定し、OK.
パラメーター
説明
名前
カスタムルートの名前を入力します。
宛先CIDRブロック
カスタムルートの宛先CIDRブロックを入力します。
この例では、IPv4 CIDRブロックが選択され、オンプレミスゲートウェイデバイスのVPN IPアドレス (192.168.0.251/32) が使用されます。
ネクストホップタイプ
ネクストホップのタイプを選択します。
この例では、トランジットルーターが選択されています。
トランジットルーター
カスタムルートのネクストホップを選択します。
この例では、VPC1-testが選択されています。
VBRにカスタムルートを追加します。
左側のナビゲーションウィンドウで、仮想ボーダールーター (VBR).
上部のナビゲーションバーで、VBRがデプロイされているリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
仮想ボーダールーター (VBR)ページで、管理するVBRのIDをクリックします。
ルートタブをクリックし、ルートを追加.
ルートを追加パネル、次のパラメータを設定し、OK.
VPNゲートウェイにルートを追加します。
重要データセンター宛てのトラフィックをVPC1から暗号化されたトンネルにルーティングするには、宛先CIDRブロックがデータセンターのCIDRブロックよりも具体的なルートを追加する必要があります。 これは、宛先CIDRブロックがデータセンターのCIDRブロックのサブセットでなければならないことを意味します。 次に、VPC1へのルートを宣伝する必要があります。
この例では、データセンターのCIDRブロックは192.168.0.0/16です。 VPNゲートウェイに設定されたルートの宛先CIDRブロックは192.168.1.0/24で、これは192.168.0.0/16よりも具体的です。
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、VPN gatewayがデプロイされているリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
[VPN gateway] ページで、作成したVPN gatewayを見つけ、IDをクリックします。
宛先ベースのルートテーブルタブをクリックします。ルートエントリの追加.
ルートエントリの追加パネル、次のパラメータを設定し、OK.
ステップ5: ネットワーク接続を確認する
上記の手順を完了すると、データセンターはプライベート接続と暗号化接続を介してVPC1と通信できます。 次のコンテンツでは、データセンターとVPC1間の接続を確認し、プライベート接続がVPNゲートウェイによって暗号化されているかどうかを確認する方法について説明します。
ネットワーク接続を確認します。
ECS 1にログインします。 詳細については、「ECSインスタンスへの接続」をご参照ください。
pingコマンドを実行してデータセンターのクライアントにpingを実行し、データセンターとVPC1間のネットワーク接続を確認します。
ping <the IP address of a client in the data center>エコー応答パケットが返された場合、データセンターはVPC1に接続されています。
プライベート接続が暗号化されているかどうかを確認します。
IPsec-VPN接続の詳細ページでデータ転送の監視データを表示できる場合、プライベート接続は暗号化されます。