すべてのプロダクト
Search
ドキュメントセンター

VPN Gateway:IPsec-VPNを使用してAlibaba Cloud VPCをAmazon VPCに接続する

最終更新日:Oct 22, 2024

このトピックでは、IPsec-VPN接続を確立して、Alibaba Cloud Virtual Private Cloud (VPC) とAmazon VPC間の通信を可能にする方法について説明します。

以下の図は一例です。 企業は、Alibaba Cloudのドイツ (フランクフルト) リージョンにVPCを作成し、Amazon Web Services (AWS) のヨーロッパ (フランクフルト) リージョンにVPCを作成します。 企業は、Alibaba Cloud VPCとAmazon VPCが相互に通信することを望んでいます。

企業は、Alibaba CloudとAWS VPNのパブリックVPNゲートウェイを使用してIPsec-VPN接続を確立し、2つのVPC間の暗号化通信を可能にします。

image

CIDRブロックプラン

重要

ビジネス要件に基づいてCIDRブロックを計画できます。 CIDRブロックが互いに重ならないようにしてください。

VPC CIDRブロックプラン

リソース

VPC CIDRブロック

インスタンスIPアドレス

Alibaba Cloud VPC

  • プライマリCIDRブロック: 10.0.0.0/16

  • vSwitch 1: ゾーンBの10.0.0.0/24

  • vSwitch 2: ゾーンCの10.0.10.0/24

Elastic Compute Service (ECS) インスタンスのIPアドレス: 10.0.0.223

AWS VPC

  • プライマリCIDRブロック: 192.168.0.0/16。

  • サブネットCIDRブロック: 192.168.10.0/24、アベイラビリティーゾーン (AZ) eu-central-1a

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのIPアドレス: 192.168.10.113

BGP設定

このトピックでは、静的ルーティングに加えて、BGP動的ルーティングを使用して、IPsec-VPN接続を介したAlibaba Cloud VPCとAmazon VPC間の通信を可能にする方法についても説明します。 BGP動的ルーティングを使用する必要がない場合は、このセクションをスキップしてください。 次の表に、BGP動的ルーティングのCIDRブロックプランを示します。

説明

IPsec-VPN接続のBGP動的ルーティングを設定するときは、Alibaba Cloud上の2つのトンネルでローカル ASNが同じであることを確認してください。 2つのトンネルのピアBGP ASNは異なることができる。 同じピアBGP ASNを使用することを推奨します。

リソース

IPsec-VPN接続名

トンネル

BGPトンネルCIDRブロック

BGP IPアドレス

BGPローカルASN

Alibaba Cloud VPNゲートウェイ

IPsec-VPN接続

アクティブトンネル

169.254.116.208/30

説明

VPNゲートウェイでは、各トンネルのCIDRブロックは一意である必要があります。

169.254.116.210

65530

スタンバイトンネル

169.254.214.96/30

169.254.214.98

AWS仮想プライベートゲートウェイ

サイト間VPN接続1

トンネル1

169.254.116.208/30

169.254.116.209

64512

トンネル2

スタンバイトンネルは使用されません。

サイト間VPN接続2

トンネル1

169.254.214.96/30

169.254.214.97

トンネル2

スタンバイトンネルは使用されません。

前提条件

  • VPCは、Alibaba Cloudのドイツ (フランクフルト) リージョンで作成されます。 リソースは、VPCのElastic Compute Service (ECS) インスタンスにデプロイされます。 詳細については、「」をご参照ください。IPv4 CIDRブロックを持つVPCの作成.

  • VPCはAWSのヨーロッパ (フランクフルト) リージョンで作成されます。 リソースは、VPCのAmazon Elastic Compute Cloud (Amazon EC2) インスタンスにデプロイされます。 詳細については、「AWS」をご参照ください。

手順

image

手順1: Alibaba CloudでのVPNゲートウェイの作成

まず、Alibaba CloudにVPNゲートウェイを作成する必要があります。 VPNゲートウェイが作成されると、システムはVPNゲートウェイに2つのIPアドレスを割り当てます。 IPアドレスは、AWSへのIPsec-VPN接続を確立するために使用されます。

  1. VPN Gatewayコンソールにログインします。

  2. 上部のナビゲーションバーで、VPNゲートウェイを作成するリージョンを選択します。

    VPNゲートウェイのリージョンは、関連付けられるVPCのリージョンと同じである必要があります。

  3. VPN Gatewayページで、VPN Gateway の作成 をクリックします。

  4. 購入ページで、次のパラメーターを設定し、今すぐ購入 をクリックして、支払いを完了します。

    次の表に、設定する必要がある主要なパラメーターのみを示します。 他のパラメーターについては、デフォルト値を使用するか、空のままにします。 詳細については、「VPN gatewayの作成と管理」をご参照ください。

    パラメーター

    説明

    名前

    VPNゲートウェイの名前。

    VPN Gatewayを入力します。

    リージョン

    VPNゲートウェイを作成するリージョン。

    ドイツ (フランクフルト) を選択します。

    ゲートウェイタイプ

    VPNゲートウェイのタイプ。

    [標準] を選択します。

    ネットワークタイプ

    VPNゲートウェイのネットワークタイプ。

    [公開] を選択します。

    トンネル

    VPN gatewayのトンネルモード。 このリージョンでサポートされているトンネルモードが表示されます。 有効な値:

    • デュアルトンネル

    • シングルトンネル

    シングルトンネルモードとデュアルトンネルモードの詳細については、「 [アップグレード通知] IPsec-VPN接続がデュアルトンネルモードをサポート」をご参照ください。

    デフォルト値Dual-tunnelを使用します。

    VPC

    VPNゲートウェイを関連付けるVPC。

    ドイツ (フランクフルト) リージョンのVPCを選択します。

    vSwitch 1

    関連付けられたVPCのVPNゲートウェイを関連付けるvSwitch。

    • シングルトンネルを選択した場合、vSwitchを1つだけ指定する必要があります。

    • デュアルトンネルを選択した場合、2つのvSwitchを指定する必要があります。

      IPsec-VPN機能を有効にすると、IPsec-VPN接続を介してVPCと通信するためのインターフェイスとして、2つのvSwitchのそれぞれにelastic network interface (ENI) が作成されます。 各ENIはvSwitchで1つのIPアドレスを占有します。

    説明
    • システムはデフォルトでvSwitchを選択します。 デフォルトのvSwitchを変更または使用できます。

    • VPNゲートウェイの作成後、VPNゲートウェイに関連付けられているvSwitchを変更することはできません。 VPN gatewayの詳細ページで、VPN gatewayに関連付けられているvSwitch、vSwitchが属するゾーン、およびENIをvSwitchで表示できます。

    関連付けられているVPCでvSwitchを選択します。

    vSwitch 2

    関連付けられたVPCのVPNゲートウェイを関連付ける他のvSwitch。

    • 関連するVPCの異なるゾーンに2つのvSwitchを指定して、IPsec-VPN接続のゾーン間でディザスタリカバリを実装します。

    • 1つのゾーンのみをサポートするリージョンの場合、ゾーン間のディザスタリカバリはサポートされません。 IPsec-VPN接続の高可用性を実装するには、ゾーンに2つのvSwitchを指定することを推奨します。 最初のものと同じvSwitchを選択することもできます。

    説明

    VPCに1つのvSwitchのみがデプロイされている場合は、vSwitchを作成します。 詳細については、「vSwitchの作成と管理」をご参照ください。

    関連するVPCで別のvSwitchを選択します。

    IPsec-VPN

    VPN gatewayのIPsec-VPNを有効にするかどうかを指定します。 デフォルト値: 有効

    [有効] を選択します。

    SSL-VPN

    VPN gatewayのSSL-VPNを有効にするかどうかを指定します。 デフォルト値: 無効

    [無効] を選択します。

  5. VPN gatewayを作成した後、VPN GatewayページでVPN Gatewayを表示できます。

    新しく作成されたVPN gatewayは 準備中 状態で、約1〜5分後に 正常 状態に変わります。 ステータスが 正常 に変更されると、VPN gatewayは使用可能になります。

    次の表に、システムによってVPNゲートウェイに割り当てられた2つのIPアドレスを示します。

    VPNゲートウェイ名

    VPNゲートウェイID

    IPアドレス

    VPN Gateway

    vpn-gw8dickm386d2qi2g ****

    IPsec Address 1: 8.XX. XX.146。デフォルトでは、アクティブなトンネルのIPアドレスです。

    IPsec Address 2: 8.XX. XX.74。デフォルトでは、スタンバイトンネルのIPアドレスです。

ステップ2: AWSにVPNリソースをデプロイする

Amazon VPCとAlibaba Cloud VPC間にIPsec-VPN接続を確立するには、次の情報に基づいてAWSにVPNリソースをデプロイする必要があります。 特定のコマンドや操作については、AWSを参照してください。

静的ルーティングの使用

  1. カスタマーゲートウェイを作成します。

    AWSに2つのカスタマーゲートウェイを作成し、Alibaba Cloud VPNゲートウェイのIPアドレスをカスタマーゲートウェイのIPアドレスとして使用する必要があります。AWS客户网关.png

  2. 仮想プライベートゲートウェイを作成します。

    AWSに仮想プライベートゲートウェイを作成し、Alibaba Cloudと通信する必要があるVPCに仮想プライベートゲートウェイを関連付ける必要があります。虚拟私有网关-静态

  3. サイト間VPN接続を作成します。

    重要

    Alibaba CloudとAWS IPsec-VPN接続は、デュアルトンネルモードをサポートしています。 デフォルトでは、AWS IPsec-VPN接続の2つのトンネルは同じゲートウェイに関連付けられ、Alibaba Cloud IPsec-VPN接続の2つのトンネルは異なるIPアドレスを持ちます。 したがって、AWSの2つのトンネルはAlibaba Cloudの1つのトンネルにのみ接続されます。 Alibaba Cloud IPsec-VPN接続の2つのトンネルが同時に有効になるようにするには、AWSで2つのサイト間VPN接続を作成し、サイト間VPN接続を異なるカスタマーゲートウェイに関連付ける必要があります。

    次の図は、サイト間VPN接続の1つの構成を示しています。 トンネル設定にはデフォルト値を使用することを推奨します。 他のサイト間VPN接続を設定するときに、別のカスタマーゲートウェイを指定します。 他のパラメーターにも同じ値を使用します。隧道配置-静态-EN

    説明

    上の図では、ローカルIPv4ネットワークCIDRパラメーターをAlibaba Cloud VPCのCIDRブロックに設定する必要があります。 リモートIPv4ネットワークCIDRパラメーターは、AWS VPCのCIDRブロックに設定する必要があります。

    サイト間VPN接続の作成後、Alibaba CloudへのIPsec-VPN接続の作成に使用される接続のトンネルアドレスを表示できます。隧道1-静态

    次の表に、2つのサイト間VPN接続のトンネル1の外部IPアドレスと、関連するカスタマーゲートウェイのIPアドレスを示します。

    サイト間VPN接続

    トンネル

    外部IPアドレス

    関連付けられたカスタマーゲートウェイIPアドレス

    サイト間VPN接続1

    トンネル1

    3.XX.XX.52

    8.XX.XX.146

    サイト間VPN接続2

    トンネル1

    3.XX.XX.56

    8.XX.XX.74

  4. ルート広告を設定します。

    仮想プライベートゲートウェイに関連付けられているVPCのルートテーブルのルート広告を有効にして、サイト間VPN接続のルートがVPCのルートテーブルに自動的に広告されるようにする必要があります。路由自动传播

BGP動的ルーティングの使用

  1. カスタマーゲートウェイを作成します。

    AWSに2つのカスタマーゲートウェイを作成し、Alibaba Cloud VPNゲートウェイの2つのIPアドレスをカスタマーゲートウェイのIPアドレスとして使用し、Alibaba Cloud IPsec-VPN接続のBGP ASNをAWSに登録する必要があります。客户网关

  2. 仮想プライベートゲートウェイを作成します。

    AWSに仮想プライベートゲートウェイを作成し、Alibaba Cloud VPCと通信する必要があるAmazon VPCに仮想プライベートゲートウェイを関連付ける必要があります。 仮想プライベートゲートウェイを作成するときは、AWSのBGP ASNを指定する必要があります。 虚拟私有网关

  3. サイト間VPN接続を作成します。

    重要

    Alibaba CloudとAWS IPsec-VPN接続は、デュアルトンネルモードをサポートしています。 デフォルトでは、AWS IPsec-VPN接続の2つのトンネルは同じゲートウェイに関連付けられ、Alibaba Cloud IPsec-VPN接続の2つのトンネルは異なるIPアドレスを持ちます。 したがって、AWSの2つのトンネルはAlibaba Cloudの1つのトンネルにのみ接続されます。 Alibaba Cloud IPsec-VPN接続の2つのトンネルが同時に有効になるようにするには、AWSで2つのサイト間VPN接続を作成し、サイト間VPN接続を異なるカスタマーゲートウェイに関連付ける必要があります。

    次の図は、サイト間VPN接続のいずれかの設定を示しています。 他のサイト間VPN接続を別のカスタマーゲートウェイに関連付けます。 Inside IPv4 CIDR for Tunnel 1パラメーターを169.254.214.96/30に設定します。 その他の設定は、現在のサイト間接続と同じです。 隧道配置

    説明

    上の図では、ローカルIPv4ネットワークCIDRパラメーターをAlibaba Cloud VPCのCIDRブロックに設定する必要があります。 リモートIPv4ネットワークCIDRパラメーターは、AWS VPCのCIDRブロックに設定する必要があります。

    サイト間VPN接続の作成後、サイト間VPN接続のトンネルアドレス情報を表示できます。隧道详细信息

  4. Alibaba Cloudで設定するトンネルの事前共有キーとBGP IPアドレスを表示します。

    サイト間VPN接続が作成されたら、Alibaba Cloud VPNゲートウェイであるピアデバイスのVPN設定ファイルをダウンロードする必要があります。 VPN設定ファイルでは、Alibaba Cloudで設定する事前共有キーとBGP IPアドレスを表示できます。 設定ファイルのダウンロード方法の詳細については、「手順6: 設定ファイルのダウンロード」をご参照ください。 この例では、VendorパラメーターをGenericに、IKE versionパラメーターをIKEv2に設定する必要があります。

    説明

    サイト間VPN接続を作成するときに事前共有キーを指定した場合、VPN構成ファイルで事前共有キーを表示する必要はありません。 システムによって自動的に生成される事前共有キーを使用する場合、システムによって生成された事前共有キーをVPN構成ファイルで表示できます。 Alibaba Cloud上のトンネルの事前共有キーは、AWS上のものと同じである必要があります。

    事前共有キーの表示

    预共享密钥

    Alibaba CloudのBGP IPアドレスの表示

    BGP IP地址

    次の表に、2つのサイト間VPN接続のトンネル1の外部IPアドレス、BGP IPアドレス、および関連するカスタマーゲートウェイのIPアドレスを示します。

    サイト間VPN接続

    トンネル

    外部IPアドレス

    AWSのBGP IPアドレス

    Alibaba CloudのBGP IPアドレス

    関連付けられたカスタマーゲートウェイIPアドレス

    サイト間VPN接続1

    トンネル1

    3.XX.XX.52

    169.254.116.209

    169.254.116.210

    8.XX.XX.146

    サイト間VPN接続2

    トンネル1

    3.XX.XX.56

    169.254.214.97

    169.254.214.98

    8.XX.XX.74

  5. ルート広告を設定します。

    仮想プライベートゲートウェイに関連付けられているAmazon VPCのルートテーブルのルート広告を有効にして、サイト間VPN接続のルートがAmazon VPCのルートテーブルに自動的に広告されるようにする必要があります。路由自动传播

手順3: VPN gatewayをAlibaba Cloudにデプロイする

AWSでVPNリソースを設定した後、次の情報に基づいてAlibaba CloudにVPNゲートウェイをデプロイし、Amazon VPCとAlibaba Cloud VPCの間にIPsec-VPN接続を確立します。

  1. カスタマーゲートウェイを作成します。

    1. VPN Gatewayコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [カスタマーゲートウェイ] を選択します。

    3. 上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。

      接続するカスタマーゲートウェイとVPNゲートウェイが同じリージョンにデプロイされていることを確認してください。

    4. カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。

    5. カスタマーゲートウェイの作成 パネルで、次のパラメーターを設定し、OK をクリックします。

      2つのカスタマーゲートウェイを作成し、AWS Site-to-Site VPN接続のトンネルの外部IPアドレスをカスタマーゲートウェイのIPアドレスとして使用する必要があります。 次の表に、このトピックに関連するパラメーターのみを示します。 他のパラメータのデフォルト値を使用することも、空のままにすることもできます。 詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。

      重要

      カスタマーゲートウェイのIPアドレスとして、各サイト間VPN接続のトンネル1の外部IPアドレスのみを使用します。 デフォルトでは、各サイト間VPN接続のトンネル2の外部IPアドレスは使用されません。 IPsec-VPN接続が作成された後、各サイト間VPN接続のトンネル2は使用できません。

      パラメーター

      説明

      カスタマーゲートウェイ1

      カスタマーゲートウェイ2

      名前

      カスタマーゲートウェイの名前。

      [Customer Gateway 1] を入力します。

      Customer Gateway 2を入力します。

      IP アドレス

      AWSトンネルの外部IPアドレスを入力します。

      3.XX. XX.52を入力します。

      3.XX. XX.56を入力します。

      ASN

      AWS仮想プライベートゲートウェイのBGP ASN。

      説明

      BGP動的ルーティングモードを使用する場合は、このパラメーターを設定する必要があります。

      64512を入力します。

      64512を入力します。

  2. IPsec-VPN 接続を作成します。

    1. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [IPsec接続] を選択します。

    2. 上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。

      IPsec-VPN接続とVPN gatewayが同じリージョンにあることを確認してください。

    3. IPsec 接続 ページで、VPN 接続の作成 をクリックします。

    4. VPN 接続の作成 ページで、次の情報に基づいてIPsec-VPN接続を設定し、[OK] をクリックします。

      パラメーター

      説明

      名前

      IPsec-VPN接続の名前。

      [IPsec接続] を入力します。

      リソースの関連付け

      IPsec-VPN接続に関連付けるネットワークリソースのタイプを選択します。

      この例では、VPN Gatewayが選択されています。

      VPNゲートウェイ

      IPsec-VPN接続に関連付けるVPNゲートウェイ。

      [VPN Gateway] を選択します。

      ルーティングモード

      ルーティングモードを選択します。

      • 宛先ルーティングモード: トラフィックは宛先IPアドレスに基づいて転送されます。

      • 保護されたデータフロー: トラフィックは、送信元と送信先のIPアドレスに基づいて転送されます。

      • 静的ルーティングモードを使用する場合は、[保護されたデータフロー] を選択することを推奨します。

        • ローカルネットワーク: 10.0.0.0/16と入力します。

        • リモートネットワーク: 192.168.0.0/16と入力します。

      • BGP動的ルーティングモードを使用する場合は、宛先ルーティングモードを選択することを推奨します。

      今すぐ有効化有効

      接続のネゴシエーションをすぐに開始するかどうかを指定します。 有効値:

      • はい: 設定完了後にネゴシエーションを開始します。

      • いいえ: インバウンドトラフィックが検出されると、ネゴシエーションを開始します。

      この例では、はいが選択されています。

      BGPの有効化

      Border Gateway Protocol (BGP) を有効にするかどうかを指定します。 IPsec-VPN接続にBGPルーティングを使用する場合は、[BGPの有効化] をオンにします。 デフォルトでは、Enable BGPはオフになっています。

      この例では、[BGPの有効化] をオフにして、デフォルトで静的ルーティングモードを使用します。 IPsec-VPN接続の作成後にBGP動的ルーティングを使用する場合は、BGP設定を個別に追加できます。

      トンネル1

      アクティブなトンネルのVPNパラメーターを設定します。

      デフォルトでは、トンネル1はアクティブトンネルとして機能し、トンネル2はスタンバイトンネルとして機能します。 この設定は変更できません。

      カスタマーゲートウェイ

      アクティブなトンネルに関連付けるカスタマーゲートウェイ。

      [カスタマーゲートウェイ1] を選択します。

      事前共有鍵

      IDの検証に使用されるアクティブなトンネルの事前共有キー。

      • 事前共有キーは、長さが1〜100文字でなければならず、数字、文字、および次の文字を含むことができます。 @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ?

      • 事前共有キーを指定しない場合、事前共有キーとして16文字の文字列がランダムに生成されます。

      重要

      トンネルおよびピアゲートウェイデバイスは、同じ事前共有鍵を使用しなければならない。 そうしないと、システムはIPsec-VPN接続を確立できません。

      現在のトンネルの事前共有キーは、接続するAWSトンネルのキーと同じである必要があります。

      暗号化設定

      IKE、IPsec、デッドピア検出 (DPD) 、およびNATトラバーサル機能のパラメーターを設定します。

      • IKE 構成SA ライフサイクル (秒) の値は、AWSで指定された値と同じである必要があります。 この例では、値は28800に設定されています。

      • IPsec 構成SA ライフサイクル (秒) の値は、AWSで指定された値と同じである必要があります。 この例では、値は3600に設定されています。

      他のパラメーターにはデフォルト値を使用します。 詳細については、「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。

      トンネル2

      スタンバイトンネルのVPNパラメーターを設定します。

      カスタマーゲートウェイ

      スタンバイトンネルに関連付けるカスタマーゲートウェイ。

      [カスタマーゲートウェイ2] を選択します。

      事前共有鍵

      IDの検証に使用されるスタンバイトンネルの事前共有キー。

      現在のトンネルの事前共有キーは、接続するAWSトンネルのキーと同じである必要があります。

      暗号化設定

      IKE、IPsec、デッドピア検出 (DPD) 、およびNATトラバーサル機能のパラメーターを設定します。

      • IKE 構成SA ライフサイクル (秒) の値は、AWSで指定された値と同じである必要があります。 この例では、値は28800に設定されています。

      • IPsec 構成SA ライフサイクル (秒) の値は、AWSで指定された値と同じである必要があります。 この例では、値は3600に設定されています。

      他のパラメーターにはデフォルト値を使用します。 詳細については、「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。

    5. [作成済み] メッセージで、[OK] をクリックします。

  3. VPNゲートウェイのルートをアドバタイズします。

    静的ルーティングの使用

    IPsec-VPN接続を作成した後、VPNゲートウェイのルートをアドバタイズする必要があります。 ルーティングモード として [保護されたデータフロー] を選択した場合、IPsec-VPN接続の作成後にVPNゲートウェイのポリシーベースのルートが作成されます。 ルートは未公開の状態です。 VPNゲートウェイのポリシーベースのルートをVPCにアドバタイズする必要があります。

    1. 左側のナビゲーションウィンドウで、相互接続 > VPN > VPN Gateway.

    2. 上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。

    3. [VPN gateway] ページで、管理するVPN gatewayを見つけ、そのIDをクリックします。

    4. VPNゲートウェイの詳細ページで、ポリシーベースルーティングタブで、管理するルートを見つけて、をクリックします。公開で、操作列を作成します。

    5. ルートエントリの公開 メッセージで、[OK] をクリックします。

    BGP動的ルーティングの使用

    1. IPsec-VPN接続のBGP動的ルーティングを設定します。

      1. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続.

      2. [IPsec 接続] ページで、IPsec-VPN接続を見つけ、そのIDをクリックします。

      3. IPsec 接続 セクションで、[BGPの有効化] の横にある [編集] をクリックします。 BGP 設定 ダイアログボックスで、次のパラメーターを設定し、OK をクリックします。

        パラメーター

        説明

        IPsec-VPN接続設定

        ローカル ASN

        IPsec-VPN接続のASN。

        65530を入力します。

        トンネル1

        アクティブなトンネルに追加されたBGP設定。

        IPsec-VPN接続のアクティブなトンネルのBGP設定を追加します。

        トンネル CIDR ブロック

        IPsecトンネリングに使用されるCIDRブロック。

        169.254.116.208/30を入力します。

        ローカル BGP IP アドレス

        IPsec-VPN接続のBGP IPアドレス。

        このIPアドレスは、IPsecトンネリングのCIDRブロック内にある必要があります。

        169.254.116.210を入力します。

        トンネル2

        スタンバイトンネル用に追加されたBGP設定。

        IPsec-VPN接続のスタンバイトンネルのBGP設定を追加します。

        トンネル CIDR ブロック

        IPsecトンネリングに使用されるCIDRブロック。

        169.254.214.96/30と入力します。

        ローカル BGP IP アドレス

        IPsec-VPN接続のBGP IPアドレス。

        このIPアドレスは、IPsecトンネリングのCIDRブロック内にある必要があります。

        169.254.214.98を入力します。

    2. VPNゲートウェイの自動BGPルート伝播を有効にするには、次の手順を実行します。

      1. 左側のナビゲーションウィンドウで、相互接続 > VPN > VPN Gateway.

      2. On theVPN GatewayページでVPNゲートウェイを見つけ、ポインタを更多アイコンをクリックし、自動 BGP 伝播を有効にするで、アクション列を作成します。

      3. では、自動 BGP 伝播を有効にするメッセージ, クリックOK.

ステップ4: ネットワーク接続のテスト

設定が完了すると、Alibaba Cloud VPCとAmazon VPCの間にIPsec-VPN接続が確立されます。 次の例では、ECSインスタンスを使用してAWS EC2インスタンスにアクセスし、VPC間の接続をテストします。

説明

接続をテストする前に、VPCのリソースに適用されているアクセス制御ポリシー (ネットワークアクセス制御リスト (ACL) やセキュリティグループルールなど) を確認してください。 アクセス制御ポリシーでVPC内のリソースが相互にアクセスできるようにします。

  1. Alibaba Cloud VPCのECSインスタンスにログインします。 ECSインスタンスにログインする方法の詳細については、接続方法の概要.

  2. ECSインスタンスでpingコマンドを実行し、Amazon EC2インスタンスにアクセスし、接続を確認します。

    ECSインスタンスがAmazon EC2インスタンスから応答を受信した場合、VPCは相互に通信できます。

    ping <Private IP address of the Amazon EC2 instance>

    AWS连通性.png

  3. IPsec-VPN接続の高可用性をテストします。

    デュアルトンネルモードのIPsec-VPN接続は、高いサービス可用性を提供します。 アクティブなトンネルがダウンしている場合、スタンバイトンネルが自動的に引き継ぎ、データ転送を保証します。 次のセクションでは、デュアルトンネルモードでIPsec-VPN接続の高可用性を確認する方法について説明します。

    1. Alibaba Cloud VPCのECSインスタンスにログインします。

    2. ECSインスタンスで次のコマンドを実行し、Amazon EC2インスタンスにアクセスします。

      ping <Private IP address of the Amazon EC2 instance> -c 10000
    3. IPsec-VPN接続のアクティブなトンネルを中断します。

      この例では、Alibaba Cloud側のアクティブなトンネルの事前共有キーが、アクティブなトンネルを終了するように変更されています。 アクティブトンネルの2つの側の事前共有鍵に一貫性がない場合、アクティブトンネルは中断されます。

    4. ECSインスタンスのトラフィックを確認します。 この例では、ECSインスタンスのトラフィックは一時的に終了してから復元されます。これは、アクティブなトンネルが終了したときにスタンバイトンネルが引き継ぐことを示しています。

      IPsec-VPN接続の [モニター] タブで、トンネルのモニタリングデータを表示できます。 詳細については、「IPsec-VPN接続の監視」をご参照ください。