VPNゲートウェイは、インターネットを介してIPsec-VPN接続を確立するために一般的に使用されます。 金融やヘルスケアなど、一部の企業や機関のセキュリティコンプライアンス要件により、クラウドに接続する際にはより高いデータセキュリティが必要になる場合があります。 たとえば、これらの企業は、専用回線を使用してクラウドに接続したり、送信前に機密データを暗号化したり、パブリックIPアドレスを使用して作成されたIPsec-VPN接続を禁止したいと考えています。 このシナリオでは、これらの企業または機関はプライベートIPsec-VPN接続を使用して、Express connect回線とトランジットルーターを介してAlibaba Cloud上のVPCに接続できます。 プライベートIPアドレスを使用して、カスタマーゲートウェイデバイスとトランジットルーターの間にプライベートIPsec-VPN接続を作成し、Express Connect回線を介してプライベートトラフィックを暗号化して送信できます。
仕組み
プライベートIPsec-VPN接続は、Express Connect回線とトランジットルーターに基づいています。 たとえば、データセンターをクラウドに接続する場合は、Express connect回線とトランジットルーターをデプロイして、データセンターをVPCに接続できます。 次に、カスタマーゲートウェイデバイスに1つまたは2つのプライベートIPアドレスを割り当て、トランジットルーターCIDRブロックを指定し、IPsec-VPN接続を作成するためのVPNゲートウェイIPアドレスを指定できます。 プライベートIPアドレスが、カスタマーゲートウェイデバイスとトランジットルーター間のプライベート通信に使用できることを確認する必要があります。 これらのプライベートIPアドレスを使用してカスタマーゲートウェイデバイスとトランジットルーターの間に作成された各プライベートIPsec-VPN接続には、2つのトンネルがあります。 複数のゾーンがあるリージョンでは、IPsec-VPN接続の高可用性を確保するために、2つのトンネルが異なるゾーンに展開されます。 プライベートIPsec-VPN接続が作成された後、プライベートIPsec-VPN接続を介してデータセンターとVPC間でプライベートトラフィックを送信するようにルートを設定できます。 このようにして、プライベートトラフィックを暗号化してExpress Connect回線を介して送信し、セキュリティコンプライアンスの要件を満たすことができます。
次の図では、データセンターのクライアントがVPCのECSインスタンスにアクセスする必要があります。 この図は、Express Connect回線を介してプライベートトラフィックを暗号化して送信する手順を示しています。
適用シナリオ
プライベートIPsec-VPN接続とトランジットルーターのルーティング制御機能を組み合わせて使用することで、プライベートトラフィックの暗号化と送信を行う接続を柔軟に制御できます。
すべてのプライベートトラフィックの暗号化と送信
異なる環境からのプライベートトラフィックの暗号化と送信
部分プライベートトラフィックの暗号化と送信
関連ドキュメント
カスタマーゲートウェイデバイスがBGP動的ルーティングをサポートしている場合は、BGP動的ルーティングを使用してExpress Connect回線経由でデータを暗号化および送信することを推奨します。
BGP動的ルーティングの詳細については、以下のトピックを参照してください。
カスタマーゲートウェイデバイスがBGP動的ルーティングをサポートしていない場合は、「静的ルーティングを使用してExpress Connect回線経由でプライベートトラフィックを暗号化および送信する」をご参照ください。