IPsec-VPN接続を作成した後、IPsec-VPN接続に関連付けられているVPNゲートウェイのデータセンターのルートを設定する必要があります。 関連する仮想プライベートクラウド (VPC) からデータセンター宛てのトラフィックがVPNゲートウェイに転送された後、VPNゲートウェイはルーティング情報を照会することによってトラフィックをデータセンターに転送します。
背景情報
IPsec-VPN接続を使用してデータセンターをVPCに接続する場合、データセンターとVPC間のデータ伝送を可能にするために、VPC、VPNゲートウェイ、およびデータセンターのルートを追加する必要があります。
ルートを設定するときは、静的ルートを設定したり、Border Gateway Protocol (BGP) 動的ルーティングを使用して自動ルート学習を有効にしたりできます。 次の表に、さまざまなシナリオでのルーティング設定を示します。
ルーティング方法 | トラフィック方向 | [VPC] | VPNゲートウェイ | データセンター |
静的ルーティング | データセンター向け | データセンターでルートを指定する必要があります。 手動設定と自動広告の両方がサポートされています。
| データセンター宛てのルートを追加する必要があります。 次の管理方法がサポートされています。
| 設定は必要ありません。 |
VPCの宛先 | 設定は必要ありません。 | 設定は必要ありません。 VPNゲートウェイは、関連するVPC宛てのルートを自動的に学習します。 追加の操作は必要ありません。 | ネクストホップがVPCからIPsec-VPN接続を指すルートを追加する必要があります。 | |
BGP動的ルーティング | データセンター向け | 設定は必要ありません。 VPNゲートウェイの自動ルート広告を有効にすると、VPNゲートウェイはデータセンターからVPCへのルートを自動的に広告します。 | BGP動的ルーティングを設定する必要があります。 BGP動的ルーティングが設定されると、VPNゲートウェイはデータセンターとVPC宛てのルートを自動的に学習します。 また、VPCからデータセンターへのルートを自動的にアドバタイズします。 | BGP動的ルーティングを設定する必要があります。 BGP動的ルーティングが設定されると、データセンターはデータセンター内のルートをVPNゲートウェイにアドバタイズし、VPC宛てのルートを自動的に学習することもできます。 |
VPCの宛先 | 設定は必要ありません。 |
VPN gatewayルーティングの設定
このトピックでは、VPN Gatewayのルーティング設定について説明します。VPCまたはデータセンターのルーティング設定については説明しません。
静的ルーティング
宛先ベースのルート
宛先ベースのルートを設定するときは、宛先CIDRブロックとネクストホップを指定する必要があります。 VPNゲートウェイは、トラフィックの宛先IPアドレスと一致する宛先ベースのルートを識別し、次いで、一致した宛先ベースのルートのネクストホップに基づいてトラフィックを転送する。 詳細については、「宛先ベースのルートの設定」をご参照ください。
ポリシーベースのルート
ポリシーベースのルートを設定するときは、ソースCIDRブロック、宛先CIDRブロック、およびネクストホップを指定する必要があります。 VPNゲートウェイは、トラフィックの送信元IPアドレスと宛先IPアドレスとに一致するポリシーベースのルートを識別し、一致したポリシーベースのルートのネクストホップに基づいてトラフィックを転送します。 詳細については、「ポリシーベースのルートの管理」をご参照ください。
BGP動的ルーティング
BGP は、TCP (Transmission Control Protocol) に基づく動的ルーティングプロトコルです。 BGPは、自律システム (AS) 間でルーティングおよびネットワークアクセシビリティ情報を交換するために使用されます。 VPNゲートウェイとデータセンターをBGPピアとして指定するには、VPNゲートウェイとデータセンターにBGP設定を追加する必要があります。 その後、構成されたルートを相互に学習できるため、ネットワークのメンテナンスコストとネットワーク構成エラーが削減されます。 詳細については、「BGP動的ルーティングの設定」をご参照ください。
ルーティング方法を選択します。
VPNゲートウェイが存在するリージョンがBGP動的ルーティングをサポートしているかどうかを確認します。 いいえの場合は、静的ルーティングを選択する必要があります。
データセンターのゲートウェイデバイスがBGP動的ルーティングをサポートしているかどうかを確認します。 そうである場合、BGP動的ルーティングを選択できます。 いいえの場合は、静的ルーティングを選択する必要があります。
シナリオで静的ルーティングとBGP動的ルーティングの両方がサポートされている場合は、次の表の情報に基づいてルーティング方法を選択できます。
ルーティング方法
シナリオ
設定の難しさ
ルートのメンテナンスコスト
高可用性モード
静的ルーティング
データセンター内のルートの数は少なく、ルートの変更はまれです。
簡単
Medium
VPC、データセンター、およびVPNゲートウェイのルーティング設定を完了する必要があります。 データセンターのルートが変更された場合は、VPNゲートウェイのルーティング設定を手動で変更する必要があります。
1つのVPNゲートウェイを使用してデータセンターとAlibaba Cloudの間に複数のIPsec-VPN接続が確立されている場合、これらの接続は静的ルーティングを介してアクティブ /スタンバイモードにすることができます。 これにより、高い可用性が保証されます。
BGP動的ルーティング
データセンター内のルートの数は多く、ルートの変更は頻繁に行われます。
簡単
低い
VPNゲートウェイとデータセンターにBGP設定を追加する必要があります。 データセンターのルートが変更された場合、VPNゲートウェイでの操作は必要ありません。 自動ルート広告および学習は、BGP動的ルーティングの広告原則に基づくBGP動的ルーティングを使用することによって可能になります。
1つのVPNゲートウェイを使用してデータセンターとAlibaba Cloudの間に複数のIPsec-VPN接続が確立されている場合、これらの接続を使用して、BGP動的ルーティングを介した等価コストマルチパス (ECMP) ルーティングを設定できます。 IPsec-VPN接続の1つに障害が発生した場合、BGP動的ルーティングを使用してルート切り替えが自動的に実装されます。 これにより、高い可用性が保証されます。
ルーティング設定に関する推奨事項
VPNゲートウェイで複数のIPsec-VPN接続が作成されている場合は、これらすべての接続に同じルーティング方法を使用することをお勧めします。 宛先ベースのルーティング、ポリシーベースのルーティング、およびBGP動的ルーティングを同時に使用することは推奨されません。
ルート優先度
次の表に、VPN gatewayルートテーブルまたはVPCルートテーブルでルート競合が発生した場合のルート優先度を示します。
降順のルート優先度は、P0 > P1 > P2 > P3である。
ルートタイプ | VPNゲートウェイのルート優先度 | VPC内のルート優先度 |
特定のルート | P0 | P0 |
システムルート | P1 | P1 |
静的ルート | P2 説明 ポリシーベースのルートは、宛先ベースのルートよりも優先されます。 | P2 |
動的ルート | P3 | P3 |