VPNゲートウェイをアップグレードしてデュアルトンネルモードを有効にする - VPN Gateway

デュアルトンネルモードのIPsec-VPN接続には、アクティブトンネルとスタンバイトンネルがあります。アクティブトンネルがダウンしている場合、スタンバイトンネルが引き継ぎ、サービスの可用性を確保します。このトピックでは、VPNゲートウェイをアップグレードしてデュアルトンネルモードを有効にする方法について説明します。

背景情報

VPNゲートウェイをアップグレードしてデュアルトンネルモードを有効にする前に、ネットワークトポロジやデータ転送パスなどのデュアルトンネルモードについて詳しく知っておくことをお勧めします。詳細については、「 [アップグレード通知] IPsec-VPN接続がデュアルトンネルモードをサポート」をご参照ください。

サポートされているリージョンとゾーン

次の表に、IPsec-VPN接続をアップグレードしてデュアルトンネルモードを有効にするリージョンとゾーンを示します。

リージョン	Zone
中国 (杭州)	ゾーンK、ゾーンJ、ゾーンI、ゾーンH、ゾーンG
中国 (上海)	ゾーンK、ゾーンL、ゾーンM、ゾーンN、ゾーンB、ゾーンD、ゾーンE、ゾーンF、ゾーンG
中国 (南京 - ローカルリージョン)	ゾーン A
中国 (深セン)	ゾーンA、ゾーンE、ゾーンD、ゾーンF
中国 (河源)	ゾーン A およびゾーン B
中国 (広州)	ゾーン A およびゾーン B
中国 (青島)	ゾーン B およびゾーン C
中国 (北京)	ゾーンF、ゾーンE、ゾーンH、ゾーンG、ゾーンA、ゾーンC、ゾーンJ、ゾーンI、ゾーンL、ゾーンK
中国 (張家口)	ゾーンA、ゾーンB、ゾーンC
中国 (フフホト)	ゾーン A およびゾーン B
中国 (ウランチャブ)	ゾーンA、ゾーンB、ゾーンC
中国 (成都)	ゾーン A およびゾーン B
中国 (香港)	ゾーンB、ゾーンC、ゾーンD
シンガポール	ゾーンA、ゾーンB、ゾーンC
タイ (バンコク)	ゾーン A
日本 (東京)	ゾーンA、ゾーンB、ゾーンC
韓国 (ソウル)	ゾーン A
フィリピン (マニラ)	ゾーン A
インドネシア (ジャカルタ)	ゾーンA、ゾーンB、ゾーンC
マレーシア (クアラルンプール)	ゾーン A およびゾーン B
インド (ムンバイ) サービス終了	ゾーン A およびゾーン B
イギリス (ロンドン)	ゾーン A およびゾーン B
ドイツ (フランクフルト)	ゾーンA、ゾーンB、ゾーンC
米国 (シリコンバレー)	ゾーン A およびゾーン B
米国 (バージニア)	ゾーン A およびゾーン B
オーストラリア (シドニー) (サービス終了)	ゾーンB
サウジアラビア (リヤド - パートナーリージョン)	ゾーン A およびゾーン B
UAE (ドバイ)	ゾーン A

前提条件

VPNゲートウェイをアップグレードする前に、次の要件が満たされていることを確認してください。

Alibaba Cloudアカウント内にAliyunServiceRoleForVpnサービスにリンクされたロールが作成されます。
アップグレードプロセス中、システムはAliyunServiceRoleForVpnの役割を引き受けて、VPN Gatewayリソースをデプロイします。節約プランがどのように適用されるか (割引額、プランの詳細、使用状況、対象範囲を含む) に関する詳細を表示するには、 VPN Gateway購入ページを使用して、AliyunServiceRoleForVpnサービスにリンクされたロールが現在のAlibaba Cloudアカウント内に作成されているかどうかを確認します。
- 購入ページに [作成済み] が表示されている場合、Alibaba Cloudアカウント内にAliyunServiceRoleForVpnサービスにリンクされたロールが作成されます。
- 購入ページに [サービスにリンクされたロールの作成] が表示されている場合は、[サービスにリンクされたロールの作成] をクリックします。その後、システムは自動的にAliyunServiceRoleForVpnサービスにリンクされたロールを作成します。詳細については、「AliyunServiceRoleForVpn」をご参照ください。
IPsec-VPNとSSL-VPNは同時に有効になりません。
IPsec-VPNとSSL-VPNの両方が有効になっている場合は、VPNゲートウェイをダウングレードしてIPsec-VPNまたはSSL-VPNを無効にできます。詳細については、「VPNゲートウェイのアップグレードまたはダウングレード」トピックのダウングレードセクションをご参照ください。
IPsec-VPNまたはSSL-VPNを無効にする前に、VPNゲートウェイにIPsec-VPN接続またはSSLサーバーが存在しないことを確認してください。詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」の「IPsec-VPN接続の削除」セクションまたは「SSLサーバーの削除」をご参照ください。

ポリシーベースまたは宛先ベースのルートテーブルで同じソースCIDRブロックと宛先CIDRブロックを持つルートは、異なるIPsec-VPN接続を指しません。

次の表に、シナリオとソリューションのサンプルを示します。

ルートテーブル	ソースCIDRブロック	宛先CIDRブロック	次のホップ	サポートのアップグレード	ソリューション
ポリシーベースのルートテーブル	10.10.10.0/24	172.16.10.0/24	IPsec-VPN 接続 1	いいえ。ポリシーベースのルートテーブルのルートは、送信元CIDRブロックと送信先CIDRブロックは同じですが、IPsec-VPN接続が異なるため、VPNゲートウェイをアップグレードすることはできません。	いずれかのルートを削除するか、いずれかのルートのソースCIDRブロックまたは宛先CIDRブロックを変更します。詳細については、「ポリシーベースのルートの設定」をご参照ください。
ポリシーベースのルートテーブル	10.10.10.0/24	172.16.10.0/24	IPsec-VPN接続2
宛先ベースのルートテーブル	非該当	192.168.10.0/24	IPsec-VPN接続3	いいえ。宛先ベースのルートテーブルのルートには同じ宛先CIDRブロックがありますが、IPsec-VPN接続が異なるため、VPNゲートウェイをアップグレードすることはできません。	いずれかのルートを削除するか、いずれかのルートの宛先CIDRブロックを変更します。詳細については、「宛先ベースのルートの管理」をご参照ください。
宛先ベースのルートテーブル	非該当	192.168.10.0/24	IPsec-VPN接続4

VPNゲートウェイに関連付けられている仮想プライベートクラウド (VPC) のルートテーブルには、次のルートは含まれません。宛先CIDRブロックは、SSLサーバーのクライアントサブネットのサブネット、またはIPsecサーバーのクライアントサブネットのサブネットであり、ネクストホップはVPNゲートウェイです。
たとえば、SSLサーバーのクライアントサブネットが192.168.10.0/24の場合、VPNゲートウェイに関連付けられているVPCのルートテーブルには、次のルートを含めることはできません。宛先CIDRブロックは192.168.10.0/25や192.168.10.0/26などの192.168.10.0/24のサブネットで、次のホップはVPNゲートウェイです。
VPCルートテーブルでカスタムルートを管理できます。詳細については、「ルートテーブルの作成と管理」をご参照ください。
VPNゲートウェイに複数のIPsec-VPN接続が存在し、すべてのIPsec-VPN接続がBGPを使用する場合、各IPsec-VPN接続のBorder Gateway Protocol (BGP) トンネルCIDRブロックは一意です。
BGPトンネルのCIDRブロックを変更できます。詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」の「IPsec-VPN接続の変更」セクションをご参照ください。
VPNゲートウェイに関連付けられているVPCには2つのvSwitchが指定されており、vSwitchには十分なアイドルIPアドレスがあります。
- vSwitchがデプロイされているゾーンがデュアルトンネルモードをサポートしていることを確認します。詳細については、このトピックの「サポートされているリージョンとゾーン」をご参照ください。
- 現在のリージョンの複数のゾーンがデュアルトンネルモードをサポートしている場合、IPsec-VPN接続のゾーン間でディザスタリカバリを実装するには、指定する2つのvSwitchが異なるゾーンに属している必要があります。各vSwitchには、少なくとも2つのアイドルIPアドレスが必要です。
- 現在のリージョンの1つのゾーンだけがデュアルトンネルモードをサポートしている場合、このゾーンに2つのvSwitchを指定する必要があります。
  - 同じvSwitchを指定する場合は、vSwitchに少なくとも4つのアイドルIPアドレスがあることを確認してください。
  - 2つの異なるvSwitchを指定する場合は、各vSwitchに少なくとも2つのアイドルIPアドレスがあることを確認してください。

アップグレードプロセスの使用状況に関する注意事項

警告

アップグレードプロセス中は、VPNゲートウェイを使用できません。既存の接続が中断されます。サービスの中断を防ぐため、ネットワークメンテナンス期間中にVPNゲートウェイをアップグレードすることを推奨します。

アップグレードには約10分かかります。この期間中、VPNゲートウェイはトラフィックを転送できません。
アップグレードプロセス中にVPN gatewayを管理することはできません。

手順

VPN gatewayコンソール.
上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。
VPN Gatewayページで、管理するVPN gatewayのIDをクリックします。
詳細ページの右上隅にある [ゾーン冗長性の有効化] をクリックします。
[ゾーン冗長性の有効化] ダイアログボックスで、vSwitchを指定し、環境検証を有効にします。要件が満たされていることを確認し、[有効化] をクリックします。
- 環境検証に失敗した場合、トラブルシューティングについては、このトピックの前提条件を参照してください。
- [有効化] をクリックすると、アップグレードが開始されます。

次に何をすべきか

VPNゲートウェイに関連付けられているVPCがCloud Enterprise Network (CEN) に接続されているシナリオでは、VPNゲートウェイを指すカスタムルートがVPCのルートテーブルに存在し、CENにアドバタイズされている場合、このルートはアップグレード完了後にアドバタイズされません。この場合、このルートをCENに再度アドバタイズする必要があります。詳細については、「トランジットルーターへのルートの通知」をご参照ください。
IPsec-VPN機能が有効なままの場合、アップグレードが完了した後、IPsec-VPN接続のスタンバイトンネルはデフォルトで使用できません。スタンバイトンネルを有効にするようにピアゲートウェイデバイスを設定する必要があります。詳細については、「デュアルトンネルモードでVPCをデータセンターに接続する」および「デュアルトンネルモードでVPCをデータセンターに接続し、BGP動的ルーティングを有効にする」をご参照ください。
- アップグレードが完了すると、VPNゲートウェイには2つのIPアドレスがあり、そのうちの1つはアップグレード前にVPNゲートウェイが所有していたIPアドレスです。もう1つはシステムによって割り当てられます。 2つのIPアドレスは、暗号化トンネルを確立するために使用される。
- アップグレードが完了すると、各IPsec-VPN接続にはアクティブトンネルとスタンバイトンネルがあります。デフォルトでは、トンネルは同じカスタマーゲートウェイに関連付けられています。デフォルトでは、アップグレード前に既に存在するトンネルはアクティブなトンネルとして機能し、その設定は変更されません。デフォルトでは、スタンバイトンネルは使用できません。
SSL-VPN機能が有効なままの場合、アップグレードが完了した後もSSL-VPN設定は変更されません。 IPsec-VPN機能を有効にして、デュアルトンネルモードでIPsec-VPN接続を作成できます。詳細については、「IPsec-VPNの有効化」トピックの手順セクションと「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
アップグレードが完了すると、VPNゲートウェイのIPアドレスはSSL-VPN機能によってのみ使用されます。 IPsec-VPN機能を有効にすると、システムは2つのIPアドレスをVPNゲートウェイに再割り当てし、デュアルトンネルモードでIPsec-VPN接続を確立できるようにします。