ここでは例を使用して、VPN Gateway と Cloud Enterprise Network (CEN) を使用してグローバルネットワークを確立する方法を説明します。 そうすることで、グローバル企業はオンプレミスのビジネス運用をクラウドに移行し、費用対効果の高い方法で高品質なグローバルネットワークを構築することができます。

始める前に

開始する前に、下記の条件が満たされていることをご確認ください。
  • 2 つの Virtual Private Cloud (VPC) インスタンスが作成され、関連するアプリケーションがデプロイされていること。 詳細については、「VPC の作成」をご参照ください。
  • ローカルゲートウェイデバイスと静的パブリック IP アドレスが各オフィスにデプロイされていること。
  • CEN インスタンスが作成されていること。 詳細については、「CEN インスタンス」をご参照ください。
  • CEN 帯域幅パッケージが購入され、クロスリージョン相互接続帯域幅が設定されていること。 詳細については、「帯域パッケージの管理」と「異なるリージョン間の相互接続帯域幅」をご参照ください。
  • 接続されるネットワークの CIDR ブロックが、互いに競合していないこと。

このタスクについて

背景情報あるグローバル企業が、シリコンバレーに 2 つのオフィスを、上海に 2 つのオフィスを構えています。 VPC 1 を米国 (シリコンバレー) リージョンに、VPC 2 を中国 (上海) リージョンに作成しました。 各 VPC には個別のアプリケーションがデプロイされています。 事業の発展のため、同社は現在、シリコンバレーの 2 つのオフィス、上海の 2 つのオフィス、VPC 1、および VPC 2 を接続する必要があります。 次の表に、ネットワークの CIDR ブロックを記載します。
ネットワーク CIDR ブロック
米国 (シリコンバレー) オフィス 1 10.10.10.0/24
米国 (シリコンバレー) オフィス 2 10.10.20.0/24
米国 (シリコンバレー) VPC 1 172.16.0.0/16
中国 (上海) オフィス 3 10.20.10.0/24
中国 (上海) オフィス 4 10.20.20.0/24
中国 (上海) VPC 2 192.168.0.0/16
IPsec

上の図に示すように、シリコンバレーのオフィス 1 と 2 を VPN ゲートウェイ 1 を介して VPC 1 に接続し、上海のオフィス 3 と 4 を VPC 2 に接続することができます。 VPC 1 と VPC 2 を同じ CEN インスタンスに接続して、グローバルネットワーク相互接続を実現することができます。

操作手順: 設定フローチャート

ステップ 1:シリコンバレーのオフィスと VPC の間に IPsec-VPN 接続を作成

オフィス 1 とオフィス 2 を VPC 1 に接続する IPsec-VPN 接続を確立するには、下記の手順を実行します。

  1. 米国 (シリコンバレー) リージョンの VPC のために VPN ゲートウェイを作成します。
    VPN Gateway のパラメーターは下記のとおりです。
    • 名前:VPN ゲートウェイ 1。
    • リージョン:米国 (シリコンバレー) を選択します。
    • VPC:米国 (シリコンバレー) リージョンの VPC を選択します。
    • ピーク帯域幅:5 Mbps。
    • IPsec-VPN:[有効化] を選択します。
    • SSL-VPN:[無効化] を選択します。

    詳細については、「VPN Gateway の管理」をご参照ください。

  2. 2 つのカスタマーゲートウェイを作成し、オフィス 1 とオフィス 2 のパブリック IP アドレスをカスタマーゲートウェイに登録します。
    オフィス 1 のカスタマーゲートウェイのパラメーターは下記のとおりです。
    • 名前:カスタマーゲートウェイ 1。
    • IP アドレス:オフィス 1 のローカルゲートウェイデバイスの静的パブリック IP アドレスを入力します。 この例では、1.1.1.1 と入力します。
    オフィス 2 のカスタマーゲートウェイのパラメーターは下記のとおりです。
    • 名前:カスタマーゲートウェイ 2。
    • IP アドレス:オフィス 2 のローカルゲートウェイデバイスの静的パブリック IP アドレスを入力します。 この例では、2.2.2.2 と入力します。

    詳細については、「カスタマーゲートウェイの管理」をご参照ください。

  3. 2 つの IPsec-VPN 接続を作成して、オフィス 1 とオフィス 2 のカスタマーゲートウェイを VPN ゲートウェイに接続します。
    オフィス 1 と VPN ゲートウェイ間の IPsec-VPN 接続は、下記のように設定されています。
    • 名前:IPsec-VPN 接続 1。
    • VPN Gateway:米国 (シリコンバレー) リージョンで VPC 用に設定された VPN ゲートウェイを選択します。 この例では、VPN ゲートウェイ1 を選択します。
    • カスタマーゲートウェイ:接続するカスタマーゲートウェイを選択します。 この例では、カスタマーゲートウェイ 1 を選択します。
    • ローカルネットワーク:オフィスに接続する VPC の CIDR ブロックを入力します。 この例では、172.16.0.0/16 と入力します。
    • リモートネットワーク:VPC と接続するオフィスの CIDR ブロックを入力します。 この例では、10.10.10.0/24 と入力します。
    • 今すぐ有効化:すぐにネゴシエーションするかどうかを選択します。 この例では、[はい] を選択します。
      • はい:設定完了後、すぐにネゴシエーションを開始します。
      • いいえ:トラフィックが検出された場合にのみネゴシエーションを開始します。
    • 事前共有鍵:IPsec-VPN ゲートウェイとカスタマーゲートウェイとの間の ID 認証用の事前共有鍵を入力します。 この例では、123456 と入力します。

    他のパラメーターにはデフォルト値を使用します。

    オフィス 2 と VPN ゲートウェイ間の IPsec-VPN 接続は、下記のように設定されます。
    • 名前:IPsec-VPN 接続 2。
    • VPN Gateway:米国 (シリコンバレー) リージョンで VPC 用に設定された VPN ゲートウェイを選択します。 この例では、VPN ゲートウェイ 1 を選択します。
    • カスタマーゲートウェイ:接続するカスタマーゲートウェイを選択します。 この例では、カスタマーゲートウェイ 2 を選択します。
    • ローカルネットワーク:オフィスに接続する VPC の CIDR ブロックを入力します。 この例では、172.16.0.0/16 と入力します。
    • リモートネットワーク:VPC に接続するオフィスの CIDR ブロックを入力します。 この例では、10.10.20.0/24 と入力します。
    • 今すぐ有効化:すぐにネゴシエーションするかどうかを選択します。 この例では、[はい] を選択します。
      • はい:設定完了後、すぐにネゴシエーションを開始します。
      • いいえ:トラフィックが検出されたときにのみネゴシエーションを開始します。
    • 事前共有鍵:IPsec-VPN ゲートウェイとカスタマーゲートウェイとの間の ID 認証用の事前共有鍵を入力します。 この例では、654321 を入力します。

    他のパラメーターにはデフォルト値を使用します。

    詳細については、「IPsec-VPN 接続の作成」をご参照ください。

  4. VPN 設定をオフィス 1 とオフィス 2 のゲートウェイデバイスにロードします。
    詳細については、「 ローカルゲートウェイの設定」をご参照ください。
  5. VPN Gateway のルートを設定します。
    VPN ゲートウェイ 1 からオフィス 1 を指すルートエントリを下記のように設定します。
    • 宛先 CIDR ブロック:カスタマーゲートウェイの CIDR ブロックを入力します。 この例では、10.10.10.0/24 と入力します。
    • ネクストホップタイプ:[IPsec 接続] を選択します。
    • ネクストホップ:ターゲット IPsec-VPN 接続インスタンスを選択します。 この例では、IPsec-VPN 接続 1 を選択します。
    • VPC に公開:新しいルートを VPC ルートテーブルに公開するかどうかを選択します。 この例では、[はい] を選択します。
      • はい (推奨):新しいルートエントリを VPC ルートテーブルに公開します。
      • いいえ:新しいルートエントリを VPC ルートテーブルに公開しません。
    • 重み:重みを選択します。 この例では、0 を選択します。
    下記のように、VPN ゲートウェイ 1 からオフィス 2 を指すルートエントリを設定します。
    • 宛先 CIDR ブロック:オフィスカスタマーゲートウェイの プライベート CIDR ブロックを入力します。 この例では、10.10.20.0/24 と入力します。
    • ネクストホップタイプ:[IPsec 接続] を選択します。
    • ネクストホップ:ターゲット IPsec-VPN 接続インスタンスを選択します。 この例では、IPsec-VPN 接続 2 を選択します。
    • VPC に公開:新しいルートを VPC ルートテーブルに公開するかどうかを選択します。 この例では、[はい] を選択します。
      • はい (推奨):新しいルートエントリを VPC ルートテーブルに公開します。
      • いいえ:新しいルートエントリを VPC ルートテーブルに公開しません。
    • 重み:重みを選択します。 この例では、0 を選択します。
    下記の図は、オフィス 1、オフィス 2、VPN ゲートウェイ 1、および VPC 1 のルートテーブルを示しています。 US ルートテーブル

ステップ 2:上海のオフィスと VPC の間に IPsec-VPN 接続を作成

IPsec-VPN 接続を確立して、オフィス 3 とオフィス 4 を VPC 2 に接続するには下記の手順を実行します。

  1. 米国 (バージニア) リージョンでの VPC 用 VPN ゲートウェイを作成します。
    VPN Gateway のパラメーターは下記のとおりです。
    • 名前:VPN ゲートウェイ 2。
    • リージョン:中国 (上海)。
    • VPC:中国 (上海) リージョンの VPC を選択します。
    • ピーク帯域幅:5 Mbps。
    • IPsec-VPN:[有効化] を選択します。
    • SSL-VPN:[無効化] を選択します。

    詳細については、「VPN Gateway の管理」をご参照ください。

  2. 2 つのカスタマーゲートウェイを作成し、オフィス 3 およびオフィス 4 のパブリック IP アドレスをカスタマーゲートウェイに登録します。
    オフィス 3 のカスタマーゲートウェイのパラメーターは下記のとおりです。
    • 名前:カスタマーゲートウェイ 3。
    • IP アドレス:オフィス 3 のローカルゲートウェイの静的パブリック IP アドレスを入力します。 この例では、3.3.3.3 と入力します。
    オフィス 4 のカスタマーゲートウェイのパラメーターは下記のとおりです。
    • 名前:カスタマーゲートウェイ 4。
    • IP アドレス:オフィス 4 のローカルゲートウェイの静的パブリック IP アドレスを入力します。 この例では、4.4.4.4 と入力します。

    詳細については、「カスタマーゲートウェイの管理」をご参照ください。

  3. 2 つの IPsec-VPN 接続を作成して、オフィス 3 およびオフィス 4 のカスタマーゲートウェイを VPN ゲートウェイに接続します。
    オフィス 3 と VPN ゲートウェイ間の IPsec-VPN 接続は、下記のように設定します。
    • 名前:IPsec-VPN 接続 3。
    • VPN Gateway: 中国 (上海) リージョンの VPC 用に設定された VPN ゲートウェイを選択します。 この例では、VPN ゲートウェイ 2 を選択します。
    • カスタマーゲートウェイ:接続するカスタマーゲートウェイを選択します。 この例では、カスタマーゲートウェイ 3 を選択します。
    • ローカルネットワーク:オフィスに接続する VPC の CIDR ブロックを入力します。 この例では、192.168.0.0/16 と入力します。
    • リモートネットワーク:VPC に接続するオフィスの CIDR ブロックを入力します。 この例では、10.20.10.0/24 と入力します。
    • 今すぐ有効化:すぐにネゴシエーションするかどうかを選択します。 この例では、[はい] を選択します。
      • はい:設定完了後、すぐにネゴシエーションを開始します。
      • いいえ:トラフィックが検出された場合にのみネゴシエーションを開始します。
    • 事前共有鍵:IPsec-VPN ゲートウェイとカスタマーゲートウェイとの間の ID 認証用の事前共有鍵を入力します。 この例では、123456 と入力します。

    他のパラメーターにはデフォルト値を使用します。

    オフィス 4 と VPN ゲートウェイ間の IPsec-VPN 接続は、下記のように設定します。
    • 名前:IPsec-VPN 接続 4。
    • VPN Gateway:中国 (上海) リージョンの VPC 用に構成された VPN ゲートウェイを選択します。 この例では、VPN ゲートウェイ 2 を選択します。
    • カスタマーゲートウェイ:接続するカスタマーゲートウェイを選択します。 この例では、カスタマーゲートウェイ 4 を選択します。
    • ローカルネットワーク:オフィスに接続する VPC の CIDR ブロックを入力します。 この例では、192.168.0.0/16 と入力します。
    • リモートネットワーク:VPC に接続するオフィスの CIDR ブロックを入力します。 この例では、10.20.20.0/24 と入力します。
    • 今すぐ有効化:すぐにネゴシエーションするかどうかを選択します。 この例では、[はい] をクリックします。
      • はい:設定完了後、すぐにネゴシエーションを開始します。
      • いいえ:トラフィックが検出された場合にのみネゴシエーションを開始します。
    • 事前共有鍵:IPsec-VPN ゲートウェイとカスタマーゲートウェイとの間の ID 認証用の事前共有鍵を入力します。 この例では、654321 を入力します。

    他のパラメーターにはデフォルト値を使用します。

    詳細については、「IPsec-VPN 接続の作成」をご参照ください。

  4. VPN 設定をオフィス 3 およびオフィス 4 のゲートウェイデバイスにロードします。
    詳細については、「 ローカルゲートウェイの設定」をご参照ください。
  5. VPN ゲートウェイのルートを設定します。
    下記のように、VPN ゲートウェイ 2 からオフィス 3 を指すルートエントリを設定します。
    • 宛先 CIDR ブロック:オフィスカスタマーゲートウェイの プライベート CIDR ブロックを入力します。 この例では、10.20.10.0/24 と入力します。
    • ネクストホップタイプ:[IPsec 接続] を選択します。
    • ネクストホップ:ターゲット IPsec-VPN 接続インスタンスを選択します。 この例では、IPsec-VPN 接続 3 を選択します。
    • VPC に公開:新しいルートを VPC ルートテーブルに公開するかどうかを選択します。 この例では、[はい] を選択します。
      • はい (推奨):新しいルートエントリを VPC ルートテーブルに公開します。
      • いいえ:新しいルートエントリを VPC ルートテーブルに公開しません。
    • 重み:重みを選択します。 この例では、0 を選択します。
    下記のように、VPN ゲートウェイ 2 からオフィス 4 を指すルートエントリを設定します。
    • 宛先 CIDR ブロック:オフィスカスタマーゲートウェイの プライベート CIDR ブロックを入力します。 この例では、10.20.20.0/24 と入力します。
    • ネクストホップタイプ:[IPsec 接続] を選択します。
    • ネクストホップ:ターゲット IPsec-VPN 接続インスタンスを選択します。 この例では、IPsec-VPN 接続 4 を選択します。
    • VPCに公開:新しいルートを VPC ルートテーブルに公開するかどうかを選択します。 この例では、[はい] を選択します。
      • はい (推奨):新しいルートエントリを VPC ルートテーブルに公開します。
      • いいえ:新しいルートエントリを VPC ルートテーブルに公開しません。
    • 重み:重みを選択します。 この例では、0 を選択します。
    下記の図は、オフィス 3、オフィス 4、VPN ゲートウェイ 2、および VPC 2 のルートテーブルを示しています。 上海ルートテーブル

ステップ3:VPC を CEN インスタンスに追加

ローカルオフィスを Aibaba Cloud に接続した後、相互接続のために VPC 1 と VPC 2 を同じ CEN インスタンスに追加する必要があります。

  1. CEN コンソールにログインします。
  2. [インスタンス] ページで、対象 CEN インスタンスを見つけ、インスタンス ID をクリックします。
  3. [ネットワーク] タブをクリックして、[ネットワークのアタッチ] をクリックします。
  4. [アカウント] タブをクリックします。
  5. 下記の情報に従って VPC を追加し、[OK] をクリックします。
    • ネットワークタイプVPC を選択します。
    • リージョン米国 (シリコンバレー)を選択します。
    • ネットワーク:VPC 1を選択します。
  6. 前のステップを繰り返して、VPC 2 を同じ CEN インスタンスに追加します。

ステップ4:CEN インスタンスにルートをアドバタイズ

CEN インスタンスの他の VPC にローカルオフィスを指すルートを知らせるには、CEN インスタンスへの VPN ゲートウェイを指す米国 (シリコンバレー) および中国 (上海) リージョンの VPC のルートを公開する必要があります。 詳細については、「ネットワークルート管理」をご参照ください。

ルートが公開されると、CEN のルートテーブルは下記の図のようになります。 CEN ルートテーブル

ステップ 5:ローカルゲートウェイデバイスでルートの設定

ルートを CEN に公開したら、シリコンバレーオフィスのゲートウェイデバイスで上海オフィスを指すルートを設定する必要があります。 同様に、上海オフィスのゲートウェイデバイスでシリコンバレーオフィスを指すルートを設定する必要もあります。

下記のルートエントリは単なる参考です。 メーカーが違えばデバイスの設定は変わります。
オフィス ルート
オフィス 1
ip route 192.168.0.0/16 5.5.5.5
ip route 10.20.10.0/24 5.5.5.5
ip route 10.20.20.0/24 5.5.5.5
ip route 10.10.20.0/24 5.5.5.5   #5.5.5 is the public IP address of VPN Gateway 1.
オフィス 2
ip route 192.168.0.0/16 5.5.5.5
ip route 10.20.10.0/24 5.5.5.5
ip route 10.20.20.0/24 5.5.5.5
ip route 10.10.10.0/24 5.5.5.5   #5.5.5 is the public IP address of VPN Gateway 1.
オフィス 3
ip route 172.16.0.0/16 6.6.6.6
ip route 10.10.10.0/24 6.6.6.6
ip route 10.10.20.0/24 6.6.6.6
ip route 10.20.20.0/24 6.6.6.6   #6.6.6 is the public IP address of VPN Gateway 2.
オフィス 4
ip route 172.16.0.0/16 6.6.6.6
ip route 10.10.10.0/24 6.6.6.6
ip route 10.10.20.0/24 6.6.6.6
ip route 10.20.10.0/24 6.6.6.6   #6.6.6 is the public IP address of VPN Gateway 2.
ローカルオフィスのルートテーブルを下記の図に示します。 ローカルオフィスのルートテーブル

ステップ 6:接続テスト

下記の例は、オフィス 1 の PC を使用して、オフィス 2、オフィス 3、およびオフィス 4 の PC にアクセスして、ローカルオフィス間の接続をテストする方法を示しています。

  1. オフィス 1 の PC でコマンドプロンプトを開きます。
  2. ping コマンドを実行し、オフィス 2、オフィス 3、およびオフィス 4 の PC を ping します。 ping コマンドが正常終了すれば、接続が確立されています。