IPsec-VPN接続がトランジットルーターに関連付けられており、IPsec接続に暗号化されたトンネルが1つしかない場合、トンネルがダウンしたときにIPsec-VPN接続が中断されます。 IPsec-VPN接続の可用性を向上させるために、デュアルトンネルモードが導入されました。 各IPsec − VPN接続は、等価コストマルチパスルーティング (ECMP) パスとして機能する2つのトンネルからなる。 トンネルがダウンしている場合、トラフィックは他のトンネルを介して転送されます。 複数のゾーンを含むリージョンでは、IPsec-VPN接続の2つのトンネルが自動的に異なるゾーンに拡散され、ゾーンディザスタリカバリが実装されます。
制限事項
IPsec-VPN接続がトランジットルーターに関連付けられているシナリオでデュアルトンネルモードを使用する機能は、パブリックプレビュー中です。 この機能を使用するには、アカウントマネージャーに連絡して権限を申請してください。
タイ (バンコク) のリージョンのみがデュアルトンネルモードでIPsec-VPN接続をサポートしています。 このリージョンで作成されたIPsec-VPN接続はデフォルトでデュアルトンネルを使用し、シングルトンネルモードでIPsec-VPN接続を作成することはできません。
説明このトピックで説明されているサポート対象リージョンは参考用です。 VPNゲートウェイコンソールの情報が優先されます。
デュアルトンネルモードをサポートしていないリージョンのIPsec-VPN接続は、シングルトンネルモードのみをサポートします。
デュアルトンネルモードでのネットワーキング
シングルトンネルモードのIPsec-VPN接続には、暗号化されたトンネルが1つしかありません。 トンネルがダウンしている場合、接続は中断されます。 デュアルトンネルモードのIPsec-VPN接続には2つの暗号化トンネルがあり、ECMPルーティングが適用されます。 2つのトンネルは両方ともデータ転送に使用できます。 一方のトンネルがダウンしている場合、もう一方のトンネルが引き継ぎます。
IPsec-VPN接続をデュアルトンネルモードで作成すると、システムは自動的に2つのトンネルを異なるゾーンに展開して、ゾーン間のディザスタリカバリを実装します。 リージョンにゾーンが1つしかない場合、2つのトンネルは同じゾーンに展開されます。 この場合、クロスゾーンディザスタリカバリはサポートされません。 ただし、1つのトンネルがダウンしている場合でも、他のトンネルを引き継ぐことができます。
デュアルトンネルIPsec-VPN接続を作成するときは、2つのトンネルを設定し、それらが使用可能であることを確認する必要があります。 トンネルの1つのみを設定または使用する場合、アクティブ /スタンバイトンネルおよびゾーンディザスタリカバリに基づくIPsec-VPN接続の冗長性はサポートされません。
说明のデータ転送
中継ルータからデータセンターへのデータ転送
IPsec-VPN接続の両方のトンネルが利用可能な場合、ECMPルーティングが適用されます。 トランジットルーターからデータセンターへのトラフィックは、トンネル内でランダムに分散されます。 一方のトンネルがダウンしている場合、もう一方のトンネルが自動的に引き継ぎます。
データセンターから中継ルータへのデータ転送
トラフィックパスは、データセンターのルート構成によって異なります。
Alibaba Cloudは2つのトンネルを使用してデータセンターにデータを転送し、トラフィックはトンネル内でランダムに分散されます。 したがって、両方のトンネルを使用してデータセンターからトランジットルーターにデータを転送するようにECMPルーティングを設定することをお勧めします。 アクティブ /スタンバイルーティングを設定するか、特定のトラフィックが1つのトンネルのみを介してクラウドに流れるようにルートを設定すると、データが期待どおりにデータセンターに転送されない場合があります。
デュアルトンネルモードのルート設定に関するガイド
次の提案に基づいて、デュアルトンネルIPsec-VPN接続のルートを設定することを推奨します。
静的ルーティングを使用する必要がある場合は、オンプレミスゲートウェイがECMPルーティングをサポートしていることを確認してください。 そうでない場合、データセンタからクラウドへのデータは、ECMPパスを介して転送することができないが、クラウドからのデータは、ECMPパスを介してデータセンタへ転送することができる。 その結果、トラフィックパスが要件を満たしていない場合があります。
IPsec-VPN接続の2つのトンネルに同じルーティングプロトコル (静的またはBGP) を設定することを推奨します。
IPsec-VPN接続がBorder Gateway Protocol (BGP) 動的ルーティングを使用する場合、2つのトンネルのローカル ASNは同じでなければなりません。 2つのトンネルのピアASNは異なる場合がありますが、同じピアASNを使用することをお勧めします。
デュアルトンネルモードとシングルトンネルモードの違い
シングルトンネルIPsec-VPN接続がデュアルトンネルIPsec-VPN接続にアップグレードされた後、課金方法は変更されず、追加料金は請求されません。
項目 | 単一トンネルモード | 二重トンネルモード |
各IPsec-VPN接続のトンネル数 | 1 | 2 |
各IPsec-VPN接続でサポートされる最大帯域幅 | 1000 Mbps | 2000 Mbps 各トンネルは最大1,000 Mbit/sをサポートします。 他の方法を使用して、IPsec-VPN接続の帯域幅を増やすことができます。 詳細については、「」をご参照ください。IPsec-VPN接続の帯域幅を増やすにはどうすればよいですか? |
関連付けることができるカスタマーゲートウェイの最大数 | 1 | 2 両方のトンネルは、同じカスタマーゲートウェイまたは異なるカスタマーゲートウェイに関連付けることができます。 |
High availability | 高可用性を実装するには、複数のIPsec-VPN接続を作成する必要があります。 | 1つのIPsec-VPN接続の2つのトンネルは、高可用性を実装できます。 |
ヘルスチェック | 対応 | 非対応 2つのトンネルが自動的にECMPパスを形成し、両方のトンネルを使用してデータを転送できます。 一方のトンネルがダウンしている場合、トンネル上のルートは自動的に撤回され、もう一方のトンネルはヘルスチェックを使用せずに自動的に引き継ぐことができます。 |
ゲートウェイIPアドレス | IPsec-VPN接続が作成されると、1つのゲートウェイIPアドレスが自動的に割り当てられます。 | IPsec-VPN接続が作成されると、2つのゲートウェイIPアドレスが自動的に割り当てられます。 |
オンプレミスゲートウェイデバイスのIPアドレスの必要数 | 1 | 1つまたは2つ デュアルトンネルIPsec-VPN接続を作成するには、オンプレミスのゲートウェイデバイスに2つのIPアドレスを設定することを推奨します。 または、それぞれに1つのIPアドレスが割り当てられた2つのオンプレミスゲートウェイデバイスを使用することもできます。 |
BGP動的ルーティングをサポートするリージョン | 一部のリージョンのみがBGP動的ルーティングをサポートしています。 詳細については、「BGP動的ルーティングをサポートするリージョン」をご参照ください。 | デュアルトンネルモードをサポートするリージョンは、デフォルトでBGP動的ルーティングをサポートします。 |