概要
まとめ
クラウドへの移行、クラウド リソースの使用、またはクラウド リソースの管理を行う際に、適切に機能するネットワークアーキテクチャをクラウドで維持することは、お客様にとって課題となっています。企業がクラウドに移行するための最初のステップは、クラウドサービスとテクノロジーを使用して、オンプレミスネットワークを Alibaba Cloud に接続することです。
このトピックでは、IPsec-VPN 接続を使用してブランチネットワークを Alibaba Cloud に接続する方法について説明します。このトピックでは、安定性、セキュリティ、パフォーマンス、スケーラビリティ、可観測性、セルフサービス機能など、Alibaba Cloud アーキテクチャ設計のベストプラクティスに基づいて要約された一連の方法と設計原則を提供します。 Alibaba Cloud Well-Architected Framework は、IPsec-VPN 接続を使用してブランチネットワークを Alibaba Cloud に接続するのに役立ちます。
用語
VPN Gateway:VPN Gateway は、暗号化されたプライベートトンネルを介して企業のデータセンター、オフィスネットワーク、インターネットクライアントを Alibaba Cloud に接続する、安全で信頼性の高いネットワーク接続を提供します。
IPsec-VPN:IPsec-VPN 接続は、主に企業のブランチネットワークをクラウドに接続するために使用されます。 IPsec-VPN 接続は、ネットワーク層での安全な IP 通信をサポートする、従来型の VPN 接続の一種です。 IPsec プロトコルは、すべてのデータパケットを暗号化および認証して、データのセキュリティと整合性を確保できます。 IPsec-VPN トンネルは通常、サイト間接続とリモートアクセスの確立に使用されます。 IPsec-VPN 接続を確立するには、デバイスまたはゲートウェイで設定を構成する必要があります。
SSL-VPN:SSL-VPN 接続は、主にモバイル端末をクラウドに接続するために使用されます。 SSL-VPN は、SSL または TLS プロトコルを使用して、セッション層での接続セキュリティを確保します。 IPsec-VPN とは異なり、SSL-VPN ではユーザーがソフトウェアをインストールする必要はありません。 SSL は最新のほとんどのブラウザでサポートされているため、ユーザーは Web ブラウザからクラウドリソースにアクセスできます。 SSL-VPN はより柔軟で、構成が簡単であり、特にユーザーが特定のアプリケーションまたはサービスにアクセスできるリモートアクセスシナリオに適しています。 Alibaba Cloud は、Windows、Linux、macOS、Android のオペレーティングシステムを使用するクライアントをサポートしています。
Cloud Enterprise Network (CEN):CEN は、Alibaba Cloud のグローバルプライベートネットワーク上で実行される高可用性ネットワークです。 CEN は転送ルータを使用して、VPC 間のリージョンを越えた接続を確立します。これにより、VPC はデータセンターと通信し、クラウドで柔軟で信頼性の高いエンタープライズクラスのネットワークを確立できます。
IPsec-VPN 接続を確立するために使用される方法は、IPsec-VPN 接続に関連付けられているリソースによって異なります。詳細については、次の図を参照してください。
VPN ゲートウェイとの関連付け:VPN ゲートウェイは、仮想プライベートクラウド (VPC) に直接関連付けて、VPC を他のネットワークに接続できます。
転送ルータとの関連付け:IPsec 接続は、VPC を他のネットワークに接続する転送ルータに直接接続できます。
VPN ゲートウェイと転送ルータの比較
項目 | VPN ゲートウェイ | 転送ルータ |
関連付けられたリソース | IPsec-VPN 接続を作成するには、VPN ゲートウェイを購入し、VPN ゲートウェイを VPC に関連付ける必要があります。 データセンターまたはブランチネットワークは、関連付けられた VPC または関連付けられた VPC を介して他のネットワークと通信できます。 | IPsec-VPN 接続を作成するために、VPN ゲートウェイを購入したり、VPN ゲートウェイを VPC に関連付ける必要はありません。 CEN インスタンスを作成し、CEN インスタンスに転送ルータを作成する必要があります。 データセンターまたはブランチネットワークは、転送ルータに接続されているすべての VPC と、または転送ルータを介して他のネットワークと通信できます。 |
[スケーラビリティ] 課金方法 | サブスクリプション リソースを毎月サブスクライブできます。リソースを使用するには、事前にリソースの料金を支払う必要があります。 この課金方法は、予算が限られているお客様に最適です | 従量課金 消費したリソースの量に対して課金されます。リソースの料金を支払う前にリソースを使用できます。 この課金方法は、ビジネスのトラフィック変動が大きいお客様に最適です。 |
[セキュリティ] サポートされている暗号化アルゴリズム |
|
|
[安定性] サポートされている IPsec-VPN トンネルモード |
|
複数の IPsec 接続を使用して高可用性を実装できます。 |
[スケーラビリティ] IPsec-VPN 接続あたりの最大帯域幅 | 最大:1,000 Mbit/s | 最大 (デフォルト):1,000 Mbit/s 複数の IPsec 接続を使用して帯域幅容量を増やすことができます。 この機能は、高帯域幅を必要とするお客様に最適です。 |
[パフォーマンス] 1 秒あたりに各 IPsec-VPN 接続を介して送信できる最大パケット数 | 120,000 | 120,000 |
サポートされているネットワークタイプ |
暗号化トンネルはインターネット経由で確立されます。
暗号化トンネルは、Express Connect 回線を介したプライベート接続を使用して確立されます。 |
暗号化トンネルはインターネット経由で確立されます。
暗号化トンネルは、Express Connect 回線を介したプライベート接続を使用して確立されます。 |
サポートされているアクセスモード |
|
|
[安定性] 高可用性方式 | アクティブ/スタンバイ接続 | 等コストマルチパス (ECMP) ルーティング |
設計原則
ブランチネットワークを IPsec-VPN 接続経由でクラウドに接続する場合、VPN Gateway は重要なサービスです。 VPN Gateway は、暗号化されたトンネルを使用して、企業のデータセンターまたはブランチネットワークと Alibaba Cloud VPC 間の安全で信頼性の高いプライベート接続を確立します。 IPsec-VPN は、ルートに基づくネットワーク接続テクノロジーです。 IPsec-VPN は柔軟なトラフィックルーティング方法を提供し、VPN ポリシーを効率的に構成および維持できます。 IPsec-VPN を使用して、VPC とデータセンター、ブランチネットワーク、およびクライアント間の接続を確立できます。
安定性:IPsec-VPN 接続は、データセンターを Alibaba Cloud に接続します。 IPsec-VPN 接続の安定性は、ハイブリッドクラウドネットワークの安定性を決定します。したがって、安定性設計を完全に評価する必要があります。
セキュリティ:IPsec-VPN 接続は、データセンターと Alibaba Cloud 間の通信を確立します。接続の暗号化とセキュリティは非常に重要です。一部の業界では、SM 証明書などの特別な暗号化要件がある場合があります。 IPsec-VPN 接続を設計する場合は、セキュリティと暗号化の設計を完全に評価する必要があります。
スケーラビリティ:IPsec-VPN 接続は、データセンターと Alibaba Cloud 間のトンネルです。多くの企業は、帯域幅使用率の低さとリソースの浪費の問題に悩まされています。ピーク時の帯域幅リソースを十分に割り当てると同時に、従量課金制を使用してコストを最適化するなど、オフピーク時のリソースの浪費を削減する必要があります。 専用回線に近い帯域幅容量をスケールアップすることもできます。
主要な設計
安定性
デバイスの高可用性:IPsec-VPN はホットスタンバイアーキテクチャを採用して、数秒以内にフェールオーバーを実装し、セッション維持を有効にし、サービスのダウンタイムをゼロにします。
接続の高可用性:デフォルトでは、すべての VPN ゲートウェイはデュアルトンネルモードをサポートしており、数秒以内にフェールオーバーが実装されます。 IPsec 接続を転送ルータに接続して、ECMP ルーティングに基づいて高可用性接続を確立できます。
シングルトンネル IPsec-VPN 接続をデュアルトンネル IPsec-VPN 接続にアップグレードできます。詳細については、「VPN ゲートウェイをアップグレードしてデュアルトンネルモードを有効にする」をご参照ください。デュアルトンネルモードの IPsec-VPN 接続には、アクティブトンネルとスタンバイトンネルがあります。アクティブトンネルがダウンした場合、スタンバイトンネルが引き継いでサービスの可用性を確保します。アップグレードプロセス中は VPN ゲートウェイは使用できません。既存の接続は中断されます。サービス中断を防ぐために、ネットワーク メンテナンスウィンドウ 中に VPN ゲートウェイをアップグレードすることをお勧めします。
ユーザーレベルの高可用性:カスタマー側では、複数のオンプレミス ゲートウェイ デバイスをデプロイしてフェールオーバーを実装します。
IPsec-VPN と Express Connect 回線を使用したアクティブ/スタンバイ接続:IPsec-VPN 接続を使用して安定性と高可用性を確保することに加えて、IPsec-VPN 接続と Express Connect 回線を組み合わせてアーキテクチャの安定性を向上させることができます。 静的ルートまたは BGP 動的ルーティング を使用して、データセンター内のオンプレミス ゲートウェイ デバイスを VPN ゲートウェイに接続できます。ただし、オンプレミス ゲートウェイ デバイスを VBR に接続するには、BGP 動的ルーティングを有効にする必要があります。
セキュリティとコンプライアンス
VPN Gateway は、インターネットキー交換 (IKE) プロトコルと IPsec プロトコルを使用して、データ送信を暗号化および保護します。
IKE バージョン:
SM VPN ゲートウェイを使用する場合、IKEv1 のみがサポートされます。標準 VPN ゲートウェイを使用する場合、IKEv1 と IKEv2 がサポートされます。
IKEv1 と比較して、IKEv2 はセキュリティアソシエーション (SA) ネゴシエーションを簡素化し、複数の CIDR ブロック間で通信が確立されるシナリオのサポートを強化します。デフォルトバージョンである IKEv2 を使用することをお勧めします。
暗号化アルゴリズム:
標準 VPN ゲートウェイを使用する場合、高度暗号化標準 (AES)-128、AES-192、AES-256、データ暗号化標準 (DES)、およびトリプル DES がサポートされます。
SM VPN ゲートウェイを使用する場合、デフォルトの暗号化アルゴリズムである SM4 がサポートされます。
説明VPN ゲートウェイの帯域幅が 200 Mbit/s 以上の場合は、AES、AES-192、または AES-256 暗号化アルゴリズムを選択することをお勧めします。トリプル DES 暗号化アルゴリズムはお勧めしません。 AES は、高強度の暗号化と復号化を提供する共通鍵暗号化アルゴリズムです。安全なデータ送信を保証し、ネットワーク遅延、スループット、および転送パフォーマンスへの影響は軽微です。 3des はトリプルデータ暗号化アルゴリズムです。時間と複雑さがかかるため、転送パフォーマンスが低下します。
認証アルゴリズム:
標準 VPN ゲートウェイを使用する場合、セキュアハッシュアルゴリズム 1 (SA-1)、MD5、SHA-256、SHA-384、および SHA-512 がサポートされます。デフォルトの認証アルゴリズムは SA-1 です。
SM VPN ゲートウェイを使用する場合、デフォルトの認証アルゴリズムである SM3 のみがサポートされます。
コンプライアンス:Alibaba Cloud VPN Gateway は、中国本土のポリシーと規制に準拠してサービスを提供します。 VPN Gateway を使用して、国境内の接続のみを確立できます。国境を越えた通信シナリオでは、CEN の国境を越えた回線を使用することをお勧めします。
パフォーマンス
高帯域幅:各 IPsec 接続は最大 1,000 Mbit/s の帯域幅をサポートします。帯域幅を増やす必要がある場合は、複数の IPsec 接続を転送ルータに接続できます。データセンターと VPN ゲートウェイは、複数の IPsec-VPN 接続を介して通信できます。
1 秒あたりのパケット数が多い:各 IPsec 接続は、256 バイトに相当する最大 120,000 パケット/秒をサポートします。
各転送ルータは、ECMP が有効になっている 16 のシングルトンネル IPsec-VPN 接続をサポートします。
スケーラビリティ
IPsec-VPN 接続は、アクティブ化後にすぐに使用できます。構成はすぐに有効になります。さらに、複数の IPsec 接続を転送ルータに接続して、帯域幅容量をスケールアップできます。
各転送ルータは、ECMP が有効になっている 16 の シングルトンネル IPsec-VPN 接続 をサポートします。
可観測性
CloudMonitor と Network Intelligence Service (NIS) を使用して、VPN ゲートウェイと IPsec 接続を監視し、VPN ゲートウェイのしきい値トリガーアラートルールを作成できます。これにより、データ転送の異常をできるだけ早く特定できます。
セルフサービス機能
診断とトラブルシューティング
VPN Gateway は複数の診断ツールをサポートしています。
VPN Gateway コンソールで、IPsec-VPN 接続と SSL-VPN 接続のログ、および IPsec-VPN 接続のエラーコードを表示できます。 VPN Gateway の NIS をアクティブ化すると、VPN ゲートウェイ診断や到達可能性アナライザなどの機能を使用して、VPN Gateway の問題をトラブルシューティングできます。
次の表に、診断ツールを示します。
診断ツールとリファレンス | 説明 |
この機能を使用して、IPsec ネゴシエーションの失敗、VPN ゲートウェイのルート構成の誤り、VPN ゲートウェイのステータスの異常など、VPN ゲートウェイの使用時に発生する問題をトラブルシューティングできます。システムは、検出された問題に基づいて提案を提供します。 | |
この機能を使用して、VPN ゲートウェイを使用するリソース間の接続性を確認できます。これにより、データ転送の問題をトラブルシューティングできます。 | |
このトピックでは、IPsec-VPN 接続に関するよくある質問 (FAQ) への回答を提供します。 VPN Gateway コンソールに表示される IPsec-VPN 接続のエラーコードとログデータに基づいて、IPsec-VPN 接続の問題をトラブルシューティングできます。詳細については、「IPsec-VPN 接続の問題をトラブルシューティングする」トピックの「一般的な IPsec-VPN 接続の問題と解決策」セクションをご参照ください。 | |
このトピックでは、IPsec-VPN 接続の一般的なネゴシエーションの問題と接続の問題について説明し、解決策を提供します。 | |
IPsec-VPN 接続の使用時に問題が発生した場合は、このトピックに基づいて問題をトラブルシューティングできます。 |
ベストプラクティス
VPN ゲートウェイを介して DMZ VPC に接続する (アクティブ/スタンバイトンネル)
シナリオ:ブランチオフィスまたは従業員が相互またはクラウドリソースにアクセスする必要がある場合は、VPN ゲートウェイをデプロイして通信を確立できます。複数のサービス VPC は、非武装地帯 (DMZ) VPC の VPN ゲートウェイを使用して、暗号化された接続を介してクラウドリソースにアクセスできます。
DMZ VPC の主要な設計:DMZ VPC に VPN ゲートウェイをデプロイし、VPN ゲートウェイを使用してブランチネットワークを接続します。 DMZ VPC がリージョン内の転送ルータに接続されると、DMZ VPC は現在または他のリージョン内の VPC、VBR、および VPN ゲートウェイにアクセスできます。
VPN ゲートウェイの主要な設計
VPN ゲートウェイタイプ:標準または SM VPN ゲートウェイを選択します。ゲートウェイタイプは、VPN ゲートウェイの作成後には変更できません。注意して進めてください。
トンネルモード:アクティブスタンバイトンネル、デュアルゾーン、およびデュアル vSwitch をサポートするデュアルトンネルモードを選択することをお勧めします。デュアルトンネル VPN ゲートウェイは、2 つのパブリック IP アドレスと 2 つのゾーンに基づくディザスタリカバリをサポートします。
アクセスサービス:
ブランチネットワークをクラウドに接続する場合は、IPsec-VPN 機能を有効にして IPsec トンネルを作成します。
iOS 以外のクライアントをクラウドに接続する場合は、SSL-VPN 機能を有効にして SSL-VPN サーバーを構成します。
iOS クライアントをクラウドに接続する場合は、SSL-VPN 機能を有効にして IPsec サーバーを構成します。
IPsec トンネルを介して転送ルータに接続する (ECMP ルーティング)
シナリオ:ブランチネットワークが相互またはクラウドリソースにアクセスする場合、IPsec トンネルを使用してブランチネットワークを転送ルータに接続できます。複数の IPsec 接続を転送ルータに接続できます。データセンターは、複数の IPsec-VPN 接続を介して VPC に接続できます。これにより、ネットワークトラフィックのバランスを取り、データセンターと VPC 間のプライベート接続により高い帯域幅容量を提供できます。
複数の IPsec 接続に基づく ECMP ルーティングの主要な設計:
Alibaba Cloud:複数の IPsec-VPN 接続を構成し、転送ルータに接続します。転送ルートのルートテーブルにルートを追加して、ECMP ルーティングのためにトラフィックを IPsec-VPN 接続にルーティングします。これにより、ゾーンを越えた IPsec-VPN 接続の冗長性が保証され、IPsec-VPN トンネルの合計帯域幅が増加します (トンネルあたり 1 Gbit/s × トンネル数)。
ブランチネットワーク:複数のゲートウェイデバイスを準備し、各ゲートウェイデバイスにトンネルを作成することをお勧めします。 ECMP ルーティングのネクストホップとしてゲートウェイデバイスを指定します。これにより、マルチゲートウェイデバイス (マルチトンネル) ディザスタリカバリが実装され、IPsec-VPN トンネルの合計帯域幅が増加します (トンネルあたり 1 Gbit/s × トンネル数)。
説明1 つのデバイスに複数の IPsec トンネルを作成することもできます。ただし、このデバイスに障害が発生した場合、単一障害点 (SPOF) が発生します。
プライベート VPN ゲートウェイを使用して Express Connect 回線を介した接続を暗号化する
シナリオ:Express Connect は暗号化をサポートしていません。ネットワークセキュリティを向上させるために、IPsec-VPN 接続を使用して、Express Connect 回線を介したデータセンターと VPC 間のプライベート接続を暗号化できます。
プライベート接続の暗号化:Express Connect 回線と CEN を介してデータセンターと VPC 間のプライベート接続を確立した後、プライベート VPN ゲートウェイとオンプレミス ゲートウェイ デバイス間に暗号化トンネルを確立できます。ルートを構成して、データセンターと VPC 間のネットワークトラフィックを暗号化トンネルにルーティングできます。これにより、トンネルを介して送信されるネットワークトラフィックが暗号化されます。
ルーティングの主要な設計:VBR と VPN ゲートウェイは異なるプロトコルを使用します。次のルーティング方法を使用できます。VBR と VPN ゲートウェイの静的ルート、VBR の静的ルートと VPN ゲートウェイの BGP 動的ルーティング、VBR と VPN ゲートウェイの BGP 動的ルーティング。
シナリオ
テレワーク:従業員は、暗号化されたプライベート接続を介してリモート端末から企業内部ネットワークにアクセスできます。 VPN ゲートウェイを使用すると、従業員はオフィスにいるのと同じ方法でファイルやアプリケーションにリモートアクセスできます。これにより、データ送信のセキュリティが向上し、データ漏洩を防ぎます。多国籍企業にとって、VPN ゲートウェイは日常業務を維持するための重要なツールです。たとえば、頻繁に出張する国際的なコンサルティング会社のコンサルタントは、VPN ゲートウェイを使用して企業内部ネットワークにアクセスできます。
安全なデータ送信:データ送信のセキュリティに敏感な企業の場合、VPN ゲートウェイは安全なトンネルを確立できます。接続の暗号化により、インターネットデータ送信を傍受から保護します。これは、金融機関や法律相談機関にとってビジネスに不可欠な機能です。たとえば、法律相談機関は VPN ゲートウェイを介して顧客と機密ファイルを交換して、顧客のプライバシーと機密情報を保護します。
クラウドへの接続のディザスタリカバリ:IPsec-VPN 接続と Express Connect 回線を同時に作成して、ディザスタリカバリを実装できます。 IPsec-VPN 接続と Express Connect 回線は、データセンターと Alibaba Cloud 間のアクティブ/スタンバイ接続を提供します。