IPsec-VPNを使用して、プライベートネットワーク経由でAlibaba cloud Workspaceクライアントからクラウドコンピューターにアクセスするにはどうすればよいですか。 - Elastic Desktop Service

IPsec-VPNは、インターネットを介した安全な通信を可能にするルートベースのテクノロジーです。 IPsec-VPN接続が確立されると、オンプレミスのクライアントは、仮想プライベートネットワーク (VPN) を介して仮想プライベートクラウド (VPC) にデプロイされているサービスに接続できます。このトピックでは、IPsec-VPNを使用して、オンプレミスクライアントをElastic Desktop Service (EDS) EnterpriseのオフィスネットワークのVPCに接続する方法について説明します。

準備

開始する前に、Access cloud computers over VPCのトピックをよく確認し、次の準備を完了してください。

Cloud Enterprise Network (CEN) インスタンスを作成します。詳細については、「CENインスタンスの作成. 」をご参照ください。
VPCを作成し、VPCをCENインスタンスにアタッチします。詳細については、「VPCとvSwitchの作成」または「ネットワークインスタンスをCENインスタンスにアタッチする」をご参照ください。
オフィスネットワークを作成し、そのVPCをCENインスタンスに接続します。詳細については、「コンビニエンスオフィスネットワークの作成と管理」および「エンタープライズADオフィスネットワークの作成と管理」をご参照ください。
重要
- オフィスネットワークを作成する前に、オフィスネットワークとCENインスタンス間、またはオフィスネットワークとデータセンター間のCIDRブロックの競合を防ぐために、オフィスネットワークのIPv4 CIDRブロックを計画する必要があります。詳細については、「CIDRブロックの計画」をご参照ください。
- すでにオフィスネットワークを作成している場合は、コンビニエンスオフィスネットワークをCENインスタンスに接続します。
- Active Directory (AD) システムをElastic Compute Service (ECS) インスタンスにデプロイする場合、ADサーバーのVPCをCENインスタンスにアタッチする必要があります。 ADシステムをオンプレミスサーバーに展開する場合は、オンプレミスネットワークをクラウドネットワークに接続する必要があります。エンタープライズADオフィスネットワークを作成し、オンプレミスサーバーとクラウド間の接続を確立できます。次に、ADドメインを設定できます。

クラウドコンピュータとアカウントを作成します。次に、クラウドコンピューターをアカウントに割り当てます。
- アカウントの作成方法の詳細については、「コンビニエンスアカウントの作成」または「エンタープライズADアカウントの作成と管理」をご参照ください。
- クラウドコンピューターの作成方法と割り当て方法の詳細については、「クラウドコンピューターの作成」および「クラウドコンピューターのユーザーへの割り当て」をご参照ください。
クラウドコンピューターに接続できるAlibaba Cloud Workspaceクライアントを取得します。詳細については、「クライアントの使用」をご参照ください。
説明
このトピックで説明するソリューションは、次のAlibaba Cloud Workspaceクライアントをサポートしています。WindowsクライアントおよびmacOSクライアント
.

サンプルCIDRブロック

オンプレミスデバイスとクラウドインスタンスが使用するネットワーク間のCIDRブロックの競合を防ぐために、CIDRブロックを計画する必要があります。このセクションでは、次の表で説明するCIDRブロックを使用します。実際のCIDRブロックが優先されます。

設定アイテム	CIDRブロック /IPアドレス	説明
VPC Officeネットワーク	172.16.0.0/12	クラウドコンピューターが存在するオフィスネットワークで使用されるVPCのCIDRブロック。 Alibaba Cloud PrivateLink (エンドポイントサービス) はCIDRブロックを使用します。
ユーザーVPC	192.168.0.0/16	VPN接続を確立するために作成したVPC。
オンプレミスデータセンター	192.10.0.0/16	Alibaba Cloud Workspaceクライアントが使用するオンプレミスネットワークのCIDRブロック。 VPN接続はCIDRブロックから開始されます。
データセンターゲートウェイ	115.XX.XX.154	オンプレミスデータセンターのゲートウェイのパブリックIPアドレス。

説明

VPNゲートウェイに接続するには、データセンターゲートウェイが標準のIKEv1およびIKEv2プロトコルをサポートする必要があります。 IKEv2およびIKEv1は、2つのインターネット鍵交換 (IKE) 反復である。ゲートウェイがIKEv1およびIKEv2プロトコルをサポートしているかどうかを確認するには、ゲートウェイの製造元にお問い合わせください。

ステップ1: IPsec-VPNの設定

VPNゲートウェイを作成し、IPsec-VPNを有効にします。詳細については、「VPN gatewayの作成」をご参照ください。

Parameters

パラメーター	説明
[インスタンス名]	VPNゲートウェイの名前。
リソースグループ	VPN gatewayが属するリソースグループ。このパラメーターを空のままにすると、VPN gatewayはデフォルトのリソースグループに属します。 VPN gatewayが属するリソースグループと、他のクラウドリソースが属するリソースグループをリソース管理コンソールで管理できます。詳細については、「」をご参照ください。リソース管理とは
リージョンとゾーン	VPNゲートウェイを作成するリージョン。 VPNゲートウェイと、VPNゲートウェイを関連付けるVPCが同じリージョンにあることを確認します。
ゲートウェイタイプ	作成するVPNゲートウェイのタイプ。デフォルト値:標準.
ネットワークタイプ	VPNゲートウェイのネットワークタイプ。有効な値：パブリック: VPNゲートウェイを使用して、インターネット経由でVPN接続を確立できます。プライベート: VPNゲートウェイを使用して、プライベートネットワーク経由でVPN接続を確立できます。説明プライベートネットワーク経由でVPN接続を確立する場合は、ルータをプライベートIPsec-VPN接続に関連付けることを推奨します。詳細については、「複数のプライベートIPsec-VPN接続を作成して負荷分散を実装する」をご参照ください。
トンネル	VPN gatewayのトンネルモード。このリージョンでサポートされているトンネルモードが表示されます。有効な値：シングルトンネルデュアルトンネルトンネルモードの詳細については、「 [アップグレード通知] IPsec-VPN接続がデュアルトンネルモードをサポート」をご参照ください。
[VPC]	VPNゲートウェイを関連付けるVPC。
vSwitch	VPNゲートウェイを関連付けるvSwitch。選択したVPCからvSwitchを選択します。シングルトンネルを選択した場合、vSwitchを1つだけ指定する必要があります。デュアルトンネルを選択した場合、2つのvSwitchを指定する必要があります。 IPsec-VPN機能を有効にすると、IPsec-VPN接続を介してVPCと通信するためのインターフェイスとして、2つのvSwitchのそれぞれにelastic network interface (ENI) が作成されます。各ENIはvSwitchで1つのIPアドレスを占有します。説明システムはデフォルトでvSwitchを選択します。デフォルトのvSwitchを変更または使用できます。 VPNゲートウェイの作成後、VPNゲートウェイに関連付けられているvSwitchを変更することはできません。 VPN gatewayの詳細ページで、VPN gatewayに関連付けられているvSwitch、vSwitchが属するゾーン、およびENIをvSwitchで表示できます。
vSwitch 2	[デュアルトンネル] を選択した場合、関連付けられたVPCのVPNゲートウェイを関連付ける他のvSwitch。関連するVPCの異なるゾーンに2つのvSwitchを指定して、IPsec-VPN接続のゾーン間でディザスタリカバリを実装します。 1つのゾーンのみをサポートするリージョンの場合、ゾーン間のディザスタリカバリはサポートされません。 IPsec-VPN接続の高可用性を実装するには、ゾーンに2つのvSwitchを指定することを推奨します。最初のものと同じvSwitchを選択することもできます。 1つのゾーンのみをサポートするリージョン中国 (南京-地域) 、タイ (バンコク) 、韩国 (ソウル) 、フィリピン (マニラ) 、アラブ首长国连邦 (ドバイ)
ピーク帯域幅	VPNゲートウェイの最大帯域幅。単位：Mbit/s
トラフィック	VPNゲートウェイの計測方法。デフォルト値: Pay-by-data-transfer
IPsec-VPN	VPN gatewayのIPsec-VPN機能を有効にするかどうかを指定します。デフォルト値: 有効。 IPsec-VPN接続を確立する場合は、この機能を有効化する必要があります。
SSL-VPN	VPN gatewayのSSL-VPN機能を有効にするかどうかを指定します。デフォルト値: 無効。 VPN gatewayがIPsec-VPN接続を確立するためにこの機能を有効にする必要はありません。
課金サイクル	VPNゲートウェイの課金サイクル。デフォルト値：時間単位
サービスにリンクされたロール	[サービスにリンクされたロールの作成] をクリックすると、サービスにリンクされたロールAliyunServiceRoleForVpnが自動的に作成されます。 VPN gatewayは、他のクラウドリソースにアクセスするためにこの役割を引き受けます。詳細については、「AliyunServiceRoleForVpn」をご参照ください。 [作成済み] が表示されている場合、サービスにリンクされたロールが作成され、再度作成する必要はありません。

カスタマーゲートウェイを作成します。詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。

Parameters

パラメーター	説明
名前	カスタマーゲートウェイの名前。
IP アドレス	データセンターのゲートウェイデバイスの静的IPアドレス。パブリックIPsec-VPN接続を作成する場合は、パブリックIPアドレスを入力します。プライベートIPsec-VPN接続を作成する場合は、プライベートIPアドレスを入力します。 [IPアドレス] フィールドに次のIPアドレス範囲のIPアドレスを入力することはできません。そうでない場合、IPsec − VPN接続は確立できない。 100.64.0.0から100.127.255.255 127.0.0.0から127.255.255.255 169.254.0.0から169.254.255.255 224.0.0.0から239.255.255.255 255.0.0.0から255.255.255.255
ASN	データセンターのゲートウェイデバイスの自律システム番号 (ASN) 。このパラメーターは、IPsec-VPN接続にBorder Gateway Protocol (BGP) を使用する場合に必要です。有効な値: 1 ~ 4294967295 45104はサポートされていません。 ASNを2つのセグメントで入力し、最初の16ビットと次の16ビットをピリオド (.) で区切ることができます。各セグメントの数値を10進数形式で入力します。たとえば、123.456を入力すると、ASNは123 × 65536 + 456 = 8061384になります。説明 BGP経由でAlibaba Cloudへの接続を確立するには、プライベートASNを使用することを推奨します。プライベートASNの有効範囲については、関連ドキュメントを参照してください。 45104は、IANAによってAlibaba Cloudに割り当てられた一意の識別子です。これは、ルート選択およびインターネット経由のデータ送信中にAlibaba Cloudを識別するために使用されます。
説明	カスタマーゲートウェイの説明。
リソースグループ	カスタマーゲートウェイが属するリソースグループ。カスタマーゲートウェイやその他のクラウドサービスリソースが属するリソースグループは、[リソース管理] コンソールで管理できます。詳細については、「」をご参照ください。リソース管理とは
タグ	カスタマーゲートウェイに追加されるタグ。タグを使用してカスタマーゲートウェイをマークおよび分類し、リソースの検索と集約を容易にできます。詳細については、「」をご参照ください。タグとは Tag Key: カスタマーゲートウェイのタグキー。既存のタグキーを選択するか、新しいタグキーを入力できます。タグ値: カスタマーゲートウェイのタグ値。既存のタグキーを選択するか、または新しいタグキーを入力できます。タグ値パラメーターは空のままにすることができます。

IPsec-VPN 接続を作成します。詳細については、「IPsec-VPN接続の作成」をご参照ください。

Parameters

パラメーター	説明
名前	IPsec-VPN 接続の名前。
リソースグループ	VPN gatewayが属するリソースグループ。このパラメーターを空のままにすると、すべてのリソースグループのVPNゲートウェイが表示されます。
リソースの関連付け	IPsec-VPN接続に関連付けるネットワークリソースのタイプ。この例では、VPN Gatewayが選択されています。
VPNゲートウェイ	IPsec-VPN接続に関連付けるVPNゲートウェイ。
ルーティングモード	IPsec-VPN接続のルーティングモード。デフォルト値: 宛先ルーティングモード。有効な値：宛先ルーティングモード: 宛先IPアドレスに基づいてトラフィックをルーティングおよび転送します。保護されたデータフロー: 送信元と送信先のIPアドレスに基づいてトラフィックをルーティングおよび転送します。保護されたデータフローを選択した場合、ローカルネットワークおよびリモートネットワークパラメーターを設定する必要があります。 IPsec-VPN接続が設定されると、システムはVPNゲートウェイのルートテーブルにポリシーベースのルートを自動的に追加します。デフォルトでは、ポリシーベースのルートはアドバタイズされません。要件に基づいて、VPCのルートテーブルにルートをアドバタイズするかどうかを決定できます。詳細については、「ポリシーベースのルートの設定」トピックの「ポリシーベースのルートの広告」セクションをご参照ください。説明 IPsec-VPN接続がVPNゲートウェイに関連付けられており、VPNゲートウェイが最新バージョンでない場合は、ルーティングモードを指定する必要はありません。
ローカルネットワーク	データセンターに接続するVPCのCIDRブロック。このCIDRブロックはフェーズ2ネゴシエーションで使用されます。フィールドの横にあるをクリックして、VPC側に複数のCIDRブロックを追加します。説明複数のCIDRブロックを指定する場合は、IKEバージョンをikev2に設定する必要があります。
リモートネットワーク	VPCに接続するデータセンターのCIDRブロック。このCIDRブロックはフェーズ2ネゴシエーションで使用されます。フィールドの横にあるをクリックして、データセンター側に複数のCIDRブロックを追加します。説明複数のCIDRブロックを指定する場合は、IKEバージョンをikev2に設定する必要があります。
すぐに有効	IPsec-VPNネゴシエーションをすぐに開始するかどうかを指定します。デフォルト値: はい。有効な値：はい: IPsec-VPN接続が作成された後、すぐにIPsec-VPNネゴシエーションを開始します。 No: インバウンドトラフィックが検出されると、IPsec-VPNネゴシエーションを開始します。
カスタマーゲートウェイ	IPsec-VPN接続に関連付けるカスタマーゲートウェイ。
事前共有キー	VPNゲートウェイとデータセンター間の認証に使用される事前共有キー。事前共有キーの長さは1〜100文字でなければならず、数字、文字、および次の文字を含めることができます。`~! @ # $ % ^ & * ( ) _ - + = { } [ ] \ \| ; : , < > / ?`. 事前共有キーにスペースを含めることはできません。事前共有キーを指定しない場合、事前共有キーとして16文字の文字列がランダムに生成されます。 IPsec-VPN接続の作成後、IPsec-VPN接続の [操作] 列の [編集] をクリックして、IPsec-VPN接続用に生成された事前共有キーを表示できます。詳細については、このトピックの「IPsec-VPN接続の変更」をご参照ください。重要事前共有キーは、両側で同じでなければなりません。そうしないと、システムはIPsec-VPN接続を確立できません。
BGPの有効化	IPsec-VPN接続のBGP動的ルーティング機能を有効にするかどうかを指定します。デフォルトでは、Enable BGPはオフになっています。 BGP動的ルーティング機能を使用する前に、その機能とその制限を理解することをお勧めします。詳細については、「BGP動的ルーティングの設定」をご参照ください。
ローカル ASN	Alibaba Cloud側のIPsec-VPN接続の自律システム番号 (ASN) 。デフォルト値: 45104 有効な値: 1 ~ 4294967295 ASNを2つのセグメントで入力し、最初の16ビットと次の16ビットをピリオド (.) で区切ることができます。各セグメントの数値を10進数形式で入力します。たとえば、123.456を入力すると、ASNは123 × 65536 + 456 = 8061384になります。説明プライベートASNを使用して、BGP経由でAlibaba Cloudへの接続を確立することを推奨します。プライベートASNの有効な値の詳細については、関連するドキュメントを参照してください。

ピアCIDRブロックをCENに公開します。
1. VPCコンソールにログインします。
2. In the left-side navigation pane, click Route Tables.
3. [ルートテーブル] ページで、ユーザーVPCのルートテーブルを見つけ、ルートテーブルのIDをクリックします。
4. ルートテーブルの詳細ページで、[ルートエントリリスト] タブを選択し、[カスタムルート] タブをクリックします。
5. 設定したピアCIDRブロック (オンプレミスデータセンターで使用されるプライベートネットワークのCIDRブロック) を見つけ、[操作] 列の [発行] をクリックします。
  CIDRブロックの [ステータス] 列の値が [パブリッシュ] の場合、CIDRブロックはパブリッシュされます。

手順2: VPN設定をデータセンターゲートウェイにロードする

VPCコンソールにログインします。
左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [IPsec接続] を選択します。
上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
[IPsec接続] ページで、IPsec-VPN接続を見つけ、[操作] 列の [ピア構成の生成] をクリックします。
ダウンロードしたIPsec-VPN接続設定をデータセンターゲートウェイにロードします。
詳細については、「H3Cファイアウォールの設定」をご参照ください。

手順3: エンタープライズVPC IPアドレスまたはクラウドサービスルートの設定

ビジネス要件に基づいて、次のいずれかのソリューションを選択できます。ソリューション1とソリューション2では、エンタープライズVPCのIPアドレスを設定する方法について説明します。主な違いは、ソリューション1が静的IPアドレスを使用することです。これにより、エンドユーザーはカスタムIPアドレスを設定する必要がないため、プロセスが簡単になります。

解決策1: エンタープライズVPCの静的IPアドレスの設定

オフィスネットワークのプライベートゲートウェイアドレスを取得します。
1. EDS Enterpriseコンソールにログインします。
2. 左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [Officeネットワーク] を選択します。
3. [Officeネットワーク] ページで、目的のオフィスネットワークを見つけて、ネットワークIDをクリックします。
4. オフィスネットワークの詳細ページの [ネットワーク情報] セクションで、[Private Gateway Address] パラメーターを見つけ、パラメーター値をコピーします。プライベートゲートウェイアドレスは、後続のステップで必要とされる。
エンタープライズDNSサーバーでCNAMEレコードを設定し、private.wuying.comドメイン名をプライベートゲートウェイアドレスに指定します。
エンドユーザーとしてAlibaba Cloud Workspaceクライアントでネットワークアクセスモードを設定します。
1. Windowsクライアントを開きます。
2. ログインページの右上隅で、アイコンをクリックし、[接続設定] をクリックします。
3. [接続設定] ダイアログボックスで、次のパラメーターを設定します。
  重要
  Windowsクライアントのバージョンが7.7以降であることを確認します。そうしないと、エンタープライズVPC IPアドレスを設定できません。
  - 接続タイプ: 値をAlibaba Cloud VPCに設定します。
  - Alibaba Cloud VPCアドレス: 値をデフォルトアドレスに設定します。
4. [確認] をクリックします。

解決策2: エンタープライズVPCのカスタムIPアドレスの設定

オフィスネットワークのプライベートゲートウェイアドレスを取得し、エンドユーザーに転送します。
1. EDS Enterpriseコンソールにログインします。
2. 左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [Officeネットワーク] を選択します。
3. [Officeネットワーク] ページで、目的のオフィスネットワークを見つけて、ネットワークIDをクリックします。
4. オフィスネットワークの詳細ページの [ネットワーク情報] セクションで、[Private Gateway Address] パラメーターを見つけ、パラメーター値をコピーします。プライベートゲートウェイアドレスは、後続のステップで必要とされる。
エンドユーザーとしてAlibaba Cloud Workspaceクライアントでネットワークアクセスモードを設定します。
1. Windowsクライアントを開きます。
2. ログインページの右上隅で、アイコンをクリックし、[接続設定] をクリックします。
3. [接続設定] ダイアログボックスで、次のパラメーターを設定します。
  重要
  Windowsクライアントのバージョンが7.7以降であることを確認します。そうしないと、エンタープライズVPC IPアドレスを設定できません。
  - 接続タイプ: 値をAlibaba Cloud VPCに設定します。
  - Alibaba Cloud VPCアドレス: 値をカスタムアドレスに設定します。
  - カスタムアドレス: 取得したオフィスネットワークのプライベートゲートウェイアドレスを入力します。
4. [確認] をクリックします。

解決策3: クラウドサービスのルーティングとDNSの設定

クラウドサービスのルートを設定します。
VPC経由でアクセスできるAlibaba cloudのクラウドサービスのCIDRブロックは100.64.0.0/10です。これはRFC 6598で定義されている予約済みCIDRブロックです。想定どおりにAlibaba Cloud WorkspaceクライアントからEDS Enterprise APIを呼び出すには、VPNのオンプレミスネットワークの100.64.0.0/10 CIDRブロックを追加して、CIDRブロック宛てのリクエストをクラウドのVPCユーザーに転送します。
説明
- 100.xxx. xxx.xxx CIDRブロックが他のCIDRブロックと競合する場合は、ソリューション1またはソリューション2を使用することを推奨します。
- 複数のリージョンでクラウドコンピューターを使用する場合は、EDS EnterpriseのCIDRブロックとして100.64.0.0/10を指定します。高度なネットワークを設定する場合は、[ポートの概要] を参照して、クラウドサービスのCIDRブロックを指定します。なお、VPC制御サービスに対応するドメイン名のIPアドレスは、クラウドサービスのIPアドレスです。
(オプション) DNSを設定する前に、次のコマンドを実行して、ドメイン名が解決できるかどうかをテストします。
```
nslookup ecd-vpc.cn-hangzhou.aliyuncs.com
```
IPアドレスが返されると、ドメイン名を解決できます。この場合、次のステップをスキップできます。 IPアドレスが返されない場合は、次の手順を実行してDNSを設定します。
(オプション) DNSを設定します。
VPC経由でクラウドコンピューターにアクセスするには、EDS Enterprise APIに関連するドメイン名とVPCに存在するストリーミングゲートウェイを解決するDNSが必要です。この例では、DNSサーバーに次のIPアドレスが使用されています。
- 100.100.2.136
- 100.100.2.138
次のいずれかの方法を使用して、DNSアドレスを設定できます。
- 上記のDNSアドレスをデータセンターのDynamic Host Configuration Protocol (DHCP) サービスに追加します。
- オンプレミスデータセンターのDNSサーバー上のトランジットルーターを設定して、aliyuncs.comで終了するドメイン名解決リクエストを100.100.2.136または100.100.2.138にルーティングします。

手順4: クラウドコンピューターがVPC経由で接続できるかどうかを確認する

説明

このセクションでは、Alibaba Cloud Workspace V7.7のWindowsクライアントを例として、クラウドコンピューターがVPC経由で接続できるかどうかを確認します。使用するAlibaba Cloud Workspaceクライアントの実際のタイプが優先されます。

Windowsクライアントを開きます。
ログインページの右上隅で、アイコンをクリックし、[接続設定] をクリックします。
[接続設定] ダイアログボックスで、[接続タイプ] パラメーターを [Alibaba Cloud VPC] に設定します。
メールアドレスに送信されたログイン資格情報を入力します
これには、オフィスネットワークIDまたは組織ID、ユーザー名、およびパスワードが含まれます。次に、[次へ] アイコンをクリックして続行します。
リソースリストからクラウドコンピューターを見つけます。次に、クラウドコンピューターを起動して接続します。
説明
ネットワーク要求のタイムアウトなどのエラーが発生した場合、ネットワーク接続は確立されません。上記のネットワーク設定が正しく設定されているかどうかを確認します。次に、クライアントに再ログオンし、クラウドコンピューターに接続します。