このトピックでは、IPsec-VPNを使用して2つの仮想プライベートクラウド (VPC) 間に安全な接続を確立する方法について説明します。 これにより、一方のVPCのクラウドリソースは、もう一方のVPCのクラウドリソースにアクセスできます。
シナリオ
VPN Gatewayは、クロスボーダー接続をサポートしていません。 2つのVPC間にIPsec-VPN接続を作成する場合、両方のVPCが中国本土または中国本土の外部にある必要があります。 中国本土内または中国本土外のリージョンの詳細については、をしてください。
中国本土のVPCと中国本土以外のVPCとの間に接続を作成する場合は、Cloud Enterprise Network (CEN) サービスを使用することを推奨します。 詳細については、「」をご参照ください。CENとは何ですか?
異なるリージョンにある2つのVPC間でIPsec-VPN接続を作成する場合、IPsec-VPN接続の品質はインターネット接続の品質によって決まります。 この場合、VPCを接続するためにCENを使用することを推奨します。 詳細については、「Enterprise Editionトランジットルーターを使用してリージョンおよびアカウント間でVPCを接続する」をご参照ください。
このトピックの例として、次のシナリオを使用します。企業が中国 (杭州) リージョンにVPC 1という名前のVPCを作成し、中国 (青島) リージョンにVPC 2という名前の別のVPCを作成しました。 ECS (Elastic Compute Service) インスタンスはVPCにデプロイされ、サービスはECSインスタンスにデプロイされます。 ビジネス開発により、VPC 1とVPC 2のサービスは互いに通信する必要があります。
ネットワークセキュリティを確保するために、企業はVPNゲートウェイを使用してVPC 1とVPC 2の間にIPsec-VPN接続を確立することを決定します。 このようにして、VPC間のデータ伝送は暗号化され、クラウドリソースは安全な接続を介して相互に通信できます。
前提条件
このトピックの例として、次のシナリオを使用します。企業が中国 (杭州) リージョンにVPC 1という名前のVPCを作成し、中国 (青島) リージョンにVPC 2という名前の別のVPCを作成しました。 ECS (Elastic Compute Service) インスタンスはVPCにデプロイされ、サービスはECSインスタンスにデプロイされます。 詳細については、「」をご参照ください。IPv4 VPCの作成.
次の表に、この例のVPC 1とVPC 2の設定を示します。
重要ビジネス要件に基づいてCIDRブロックを指定できます。 通信する必要があるCIDRブロックが重複しないようにしてください。
VPC名
リージョン
VPC CIDRブロック
VPC ID
ECSインスタンス名
ECSインスタンスのIPアドレス
VPC1
中国 (杭州)
192.168.0.0/16
vpc-bp1e0yx3nsosmitth ****
ECS1
192.168.20.161
VPC2
中国 (青島)
10.0.0.0/16
vpc-m5e83sapxp88cgp5f ****
ECS2
10.0.1.110
VPCのECSインスタンスに適用されるセキュリティグループルールを理解しています。 セキュリティグループルールでECSインスタンスが相互に通信できるようにしてください。 詳細については、「」をご参照ください。セキュリティグループルールの表示とセキュリティグループルールの追加.
手順
手順 1: VPN ゲートウェイの作成
上部のナビゲーションバーで、VPNゲートウェイを作成するリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
説明VPN gatewayは、VPN gatewayに関連付けるVPCと同じリージョンに属している必要があります。
VPN Gatewayページをクリックします。VPN Gateway の作成.
購入ページで、次のパラメーターを設定し、今すぐ購入、そして支払いを完了します。
パラメーター
説明
名前
VPNゲートウェイの名前を入力します。 この例では、VPN Gateway 1が入力されています。
リージョン
VPNゲートウェイをデプロイするリージョンを選択します。 この例では、中国 (杭州) リージョンが選択されています。
ゲートウェイタイプ
VPNゲートウェイタイプを選択します。 この例では、[標準] が選択されています。
ネットワークタイプ
VPN gatewayのネットワークタイプを選択します。 この例では、[公開] が選択されています。
トンネル
サポートされているトンネルモードが自動的に表示されます。
[VPC]
VPNゲートウェイを関連付けるVPCを選択します。 この例では、VPC 1が選択されています。
VSwitch
選択したVPCからvSwitchを選択します。
シングルトンネルを選択した場合、vSwitchを1つだけ指定する必要があります。
デュアルトンネルを選択した場合、2つのvSwitchを指定する必要があります。
IPsec-VPN機能を有効にすると、IPsec-VPN接続を介してVPCと通信するためのインターフェイスとして、2つのvSwitchのそれぞれにelastic network interface (ENI) が作成されます。 各ENIはvSwitchで1つのIPアドレスを占有します。
説明システムはデフォルトでvSwitchを選択します。 デフォルトのvSwitchを変更または使用できます。
VPNゲートウェイの作成後、VPNゲートウェイに関連付けられているvSwitchを変更することはできません。 VPN gatewayの詳細ページで、VPN gatewayに関連付けられているvSwitch、vSwitchが属するゾーン、およびENIをvSwitchで表示できます。
vSwitch 2
選択したVPCから別のvSwitchを選択します。
Single-tunnelを選択した場合は、このパラメーターを無視します。
最大帯域幅
VPN gatewayの最大帯域幅値を指定します。 単位: Mbit/s。
トラフィック
VPNゲートウェイの計測方法を選択します。 デフォルト値: Pay-by-data-transfer
詳細については、「課金」をご参照ください。
IPsec-VPN
IPsec-VPNを有効にするかどうかを指定します。 この例では、[有効化] が選択されています。
SSL-VPN
SSL-VPNを有効にするかどうかを指定します。 この例では、[無効] が選択されています。
有効期間
課金サイクルを選択します。 デフォルト値:時間単位
サービスにリンクされたロール
[サービスにリンクされたロールの作成] をクリックします。 その後、システムは自動的にサービスにリンクされたロールAliyunServiceRoleForVpnを作成します。
VPN gatewayは、他のクラウドリソースにアクセスするためにこの役割を引き受けます。 詳細については、「AliyunServiceRoleForVpn」をご参照ください。
[作成済み] が表示されている場合は、サービスにリンクされたロールが作成され、再度作成する必要がないことを示します。
詳細については、「VPN gatewayの作成」をご参照ください。
VPN gatewayページに戻り、VPN gatewayを表示します。
VPNゲートウェイを作成すると、準備中 状態になります。 1〜5分後、VPN gatewayは 正常 状態に変わります。 VPNゲートウェイが 正常 状態に変わると、VPNゲートウェイは使用できる状態になります。
[サブステップ] 2 [サブステップ] の4を繰り返して、中国 (青島) リージョンにVPN gateway 2という名前のVPNゲートウェイを作成します。 VPCパラメーターにVPC 2を指定します。 その他のパラメーターには、VPN Gateway 1と同じ値を指定します。
この例で作成されるVPN Gatewayの情報を次の表に示します。
リージョン
VPNゲートウェイ名
VPC名
VPNゲートウェイID
VPNゲートウェイIPアドレス
中国 (杭州)
VPN Gateway 1
VPC1
vpn-bp1l5zihic47jprwa ****
120.XX.XX.40
中国 (青島)
VPN Gateway 2
VPC2
vpn-m5eqjnr4ii6jajpms ****
118.XX.XX.20
手順 2 : カスタマーゲートウェイの作成
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、カスタマーゲートウェイのリージョンを選択します。
説明接続するカスタマーゲートウェイとVPNゲートウェイが同じリージョンにデプロイされていることを確認してください。
カスタマーゲートウェイページをクリックします。カスタマーゲートウェイの作成.
カスタマーゲートウェイの作成パネル、次のパラメータを設定し、OK.
中国 (杭州) リージョンと中国 (青島) リージョンにカスタマーゲートウェイを作成する必要があります。 次の表に、カスタマーゲートウェイのパラメーターを示します。
パラメーター
説明
中国 (杭州)
中国 (青島)
名前
カスタマーゲートウェイの名前を入力します。
Customer1
Customer2
IPアドレス
カスタマーゲートウェイのパブリックIPアドレスを入力します。
この例では、VPN Gateway 2のIPアドレス、118.XX. XX.XX. 20は、入ります
説明この例では、VPN Gateway 1はVPC 2のカスタマーゲートウェイであり、VPN gateway 2はVPC 1のカスタマーゲートウェイです。
この例では、VPN Gateway 1のIPアドレス120.XX. XX.40を入力します。
詳細については、「カスタマーゲートウェイの作成」をご参照ください。
次の表に、各リージョンのVPNゲートウェイ、カスタマーゲートウェイ、およびVPCに関する情報を示します。
リージョン
VPC名
VPNゲートウェイ名
カスタマーゲートウェイ名
カスタマーゲートウェイID
カスタマーゲートウェイのIPアドレス
中国 (杭州)
VPC1
VPN Gateway 1
Customer1
cgw-bp1er5cw26c2b35vm ****
118.XX.XX.20
中国 (青島)
VPC2
VPN Gateway 2
Customer2
cgw-m5e6qdvuxquse3fvm ****
120.XX.XX.40
手順 3:IPsec-VPN 接続を作成する
VPNゲートウェイとカスタマーゲートウェイを作成した後、IPsec-VPN接続を作成してVPNゲートウェイをカスタマーゲートウェイに接続できます。
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、IPsec-VPN接続が存在するリージョンを選択します。
IPsec 接続ページをクリックします。IPsec-VPN接続の作成.
VPN 接続の作成ページで、IPsec-VPN接続のパラメーターを設定し、OK.
IPsec-VPN接続を中国 (杭州) リージョンで作成し、別のIPsec-VPN接続を中国 (青島) リージョンで作成する必要があります。 IPsec-VPN接続のパラメーターを次の表に示します。
パラメーター
説明
中国 (杭州)
中国 (青島)
名前
IPsec-VPN接続の名前を入力します。
IPsec-VPN接続1
IPsec-VPN接続2
VPNゲートウェイ
作成したVPNゲートウェイを選択します。
VPN Gateway 1
VPN Gateway 2
カスタマーゲートウェイ
作成したカスタマーゲートウェイを選択します。
Customer1
Customer2
ルーティングモード
ルーティングモードを選択します。
[宛先ルーティングモード] を選択します。
[宛先ルーティングモード] を選択します。
すぐに有効
すぐに交渉を開始するかどうかを指定します。
IPsec-VPN接続を作成するときに [有効な即時] パラメーターを はい に設定すると、設定が完了した直後にネゴシエーションが開始されます。
IPsec-VPN接続を作成するときに [有効な即時] パラメーターを いいえ に設定すると、インバウンドトラフィックが検出されたときにネゴシエーションが開始されます。
説明VPNゲートウェイを使用して2つのVPC間にIPsec-VPN接続を作成する場合、1つのIPsec-VPN接続に対して [有効] を [有効] に設定することを推奨します。 このようにして、IPsecネゴシエーションを直ちに開始することができる。
この例では、いいえ が選択されています。
この例では、はいが選択されています。
事前共有キー
事前共有キーを入力します。
キーの長さは1〜100文字である必要があり、数字、文字、および次の特殊文字を含めることができます。
~ '! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ?事前共有キーを指定しない場合、システムは事前共有キーとしてランダムな16文字の文字列を生成します。 IPsec-VPN接続の作成後、[操作] 列の [編集] をクリックして、IPsec-VPN接続用に生成された事前共有キーを表示できます。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」の「IPsec-VPN接続の変更」セクションをご参照ください。
重要IPsec-VPN接続用に設定された事前共有キーとピアゲートウェイデバイスは同じである必要があります。 そうしないと、システムはIPsec-VPN接続を確立できません。
fddsFF123 ****
その他のパラメーターにはデフォルト設定を使用します。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
作成済みダイアログボックスで、OK.
手順 4: ルートの設定
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。
[VPN Gateway] ページで、管理するVPN gatewayを見つけ、そのIDをクリックします。
宛先ベースルーティングタブをクリックします。ルートエントリの追加.
ルートエントリの追加パネル、次のパラメータを設定し、OK.
VPN Gateway 1およびVPN Gateway 2へのルートを追加する必要があります。 次の表に、ルートのパラメーターを示します。
パラメーター
説明
VPN Gateway1
VPNゲートウェイ2
宛先CIDRブロック
宛先CIDRブロックを入力します。
VPC 2のプライベートCIDRブロックである10.0.0.0/16を入力します。
VPC 1のプライベートCIDRブロックである192.168.0.0/16を入力します。
ネクストホップタイプ
ネクストホップタイプを選択します。
[IPsec接続] を選択します。
[IPsec接続] を選択します。
次ホップ
次のホップを選択します。
この例では、IPsec − VPN接続1が選択される。
この例では、IPsec − VPN接続2が選択される。
VPCへの公開
VPNゲートウェイに関連付けられているVPCへのルートをアドバタイズするかどうかを指定します。
この例では、はいが選択されています。
この例では、はいが選択されています。
重量
ルートの重みを選択します。
100: ルートの高い優先度を指定します。
0: ルートの優先度を低く指定します。
この例では、デフォルト値100が使用されます。
この例では、デフォルト値100が使用されます。
詳細については、「宛先ベースのルートの追加」をご参照ください。
手順 5:ネットワーク接続のテスト
VPC1でECS1にログインします。
ECSインスタンスへのログイン方法の詳細については、「インスタンス接続のガイドライン」をご参照ください。
pingコマンドを実行してECS 2のIPアドレスをpingし、ネットワーク接続をテストします。
ping <IP address of ECS 2>次の図に示すように、エコー応答パケットを受信できる場合、VPCは相互に通信できます。
