Express Connect回線とcloud Enterprise Network (CEN) を介してデータセンターと仮想プライベートクラウド (VPC) 間にプライベート接続を確立した後、プライベート接続は暗号化されません。 これは、セキュリティリスクを引き起こす。 ネットワークセキュリティを向上させるために、プライベートVPNゲートウェイを使用して、Express Connect回線を介したプライベート接続 (以下、プライベート接続と呼びます) を暗号化できます。 このトピックでは、暗号化されたプライベート接続の原理と設定方法について説明します。
プライベートネットワーク上で暗号化されたトンネルを確立する場合は、プライベートIPsec-VPN接続をトランジットルーター (TR) に関連付けることをお勧めします。 詳細については、「複数のプライベートIPsec-VPN接続を作成して負荷分散を実装する」をご参照ください。
制御ポリシー機能の動作
Express Connect回線とCENを介してデータセンターとVPCの間にプライベート接続を確立すると、プライベートVPNゲートウェイとオンプレミスゲートウェイデバイスの間に暗号化されたトンネルを確立できます。 データセンターとVPC間のネットワークトラフィックを暗号化されたトンネルにルーティングするルートを設定できます。 このように、トンネルを介して送信されるネットワークトラフィックは暗号化される。
次の例では、プライベート接続の暗号化方法について説明します。 この例では、プライベート接続を使用して、データセンターのクライアントがVPCのElastic Compute Service (ECS) インスタンスにアクセスします。
いいえ | ノード | 説明 |
1 | クライアント |
|
2 | オンプレミスゲートウェイデバイス |
|
3 | VBR | VBRがリクエストパケットを受信した後、VBRはルートテーブルを照会し、リクエストパケットをCENインスタンスに転送します。 |
4 | CENインスタンス | CENインスタンスがリクエストパケットを受信すると、CENインスタンスはルートテーブルを照会し、リクエストパケットをVPCに転送します。 |
5 | VPC | VPCがリクエストパケットを受信すると、VPCはルートテーブルにクエリを実行し、リクエストパケットをVPNゲートウェイに転送します。 |
6 | VPN ゲートウェイ |
|
7 | ECS インスタンス |
|
8 | VPN ゲートウェイ |
|
9 | VPC | VPCが応答パケットを受信すると、VPCはルートテーブルを照会し、応答パケットをCENインスタンスに転送します。 |
10 | CENインスタンス | CENインスタンスが応答パケットを受信した後、CENインスタンスはルートテーブルを照会し、応答パケットをVBRに転送します。 |
11 | VBR | VBRが応答パケットを受信した後、VBRはルートテーブルに問い合わせ、応答パケットをオンプレミスゲートウェイデバイスに転送する。 |
12 | オンプレミスゲートウェイデバイス |
|
設定方法
プライベートVPNゲートウェイを使用してプライベート接続を暗号化するには、VPNゲートウェイと、VPNゲートウェイに接続されているVBRをさまざまな方法で設定できます。 次の表では、設定方法の違いを説明し、チュートリアルへのリンクを示します。
設定方法 | 説明 | チュートリアル | VPN接続中断後の通信への影響 |
方法 1 | VBRおよびVPNゲートウェイの静的ルーティングを設定します。 |
| |
方法 2 |
説明 静的ルーティングがVPNゲートウェイに設定されている場合、VBRのBGP動的ルーティングを設定できません。 |
| |
方法 3 | VBRおよびVPNゲートウェイのBGP動的ルーティングを設定します。 |
|