このドキュメントでは、SSL-VPN を使用して VPC を Mac オペレーティングシステムのクライアントから接続する方法を説明します。

前提条件

VPN ゲートウェイを展開する前に、次の条件が満たされていることをご確認ください。

  • VPC とリモートコンピュータの IP アドレス範囲が競合していない。

  • クライアントはインターネットにアクセスできること。

手順1: VPN Gateway の作成

  1. VPC コンソールにログインします。
  2. 左側のナビゲーションウインドウで、[VPN] > [VPN Gateways] の順にクリックします。
  3. VPN Gatewaysページで、[VPN Gateway の作成 ] をクリックします。
  4. 購入ページで、VPN ゲートウェイを設定し、支払いを完了させます。 このチュートリアルでは、 VPN Gateway は次の設定を使用します。
    • Region : VPN Gateway のリージョンをクリックします。 このチュートリアルでは、[中国 (杭州) ] をクリックします。
      VCP と VPN Gateway が同じリージョンであることをご確認ください。
    • VPC : 接続する VPC をクリックします。

    • Bandwidth specification : 帯域幅の仕様をクリックします。 帯域幅仕様は、VPN Gateway のインターネット帯域幅です。

    • IPsec-VPN : IPsec-VPN 機能を有効にするか選択します。 IPSec-VPN 機能は、サイト間接続に適用され、実際のニーズに応じて有効にできます。

    • SSL-VPN : SSL-VPN 機能を有効にするかどうかを選択します。 SSL-VPN 機能を使用すると、単一のコンピュータから VPC に接続できます。 このチュートリアルでは、[有効にする] をクリックします。

    • Concurrent SSL Connections: 同時に接続するクライアントの最大数を設定します。
      このオプションを設定できるのは、SSL-VPN 機能を有効にした後だけです。
  5. VPN Gatewaysページに戻り、[中国 (杭州) ] リージョンをクリックすると、作成した VPN Gateway が表示されます。
    VPN Gateway の初期状態は、"準備中" です。 約2分で "正常" に変わります。 状態が "正常" に変わると、VPN Gateway が使用可能になったことを示します。
    通常、VPN Gateway の作成には1〜5分かかります 。

手順2: SSL サーバーの作成

  1. 左側のナビゲーションウインドウで、[VPN] > [SSL サーバー ] の順にクリックします。
  2. [SSL サーバーの作成 ] をクリックします。 このチュートリアルでは、SSL サーバーの設定は次のとおりです。
    • Name : SSL サーバの名前を入力します。

    • VPN Gateway : 作成した VPN Gateway をクリックします。

    • Local Network : 接続するネットワークの CIDR ブロックを入力します。 [ローカルネットワークの追加] をクリックし、複数のローカルネットワークを追加します。 ローカルネットワークは、任意の VPC または VSwitch の CIDR ブロック、またはローカルネットワークの CIDR ブロックにすることができます。

    • Client Subnet: クライアントがサーバーに接続するために使用する IP アドレスを CIDR ブロックの形式で入力します。

    • Advanced Configuration: デフォルトの詳細設定を使用します。

手順3: クライアント証明書の作成

  1. 左側のナビゲーションペインで、[VPN] > [SSL クライアント ] の順にクリックします。
  2. [ クライアント証明書の作成 ] をクリックします。
  3. クライアント証明書の作成 ページで、名前を入力し、関連する SSL サーバーを選択します。 [確認] をクリックします。

  4. [SSL クライアント ] ページで、作成した SSL クライアント証明書を探し、[ダウンロード] をクリックします。

手順4: Mac クライアントの設定

  1. 次のコマンドを実行して OpenVPN クライアントをインストールします。
    brew install openvpn
    Homebrew がインストールされていることをご確認ください。
  2. デフォルトの設定をコピーしてから、次のコマンドを実行してデフォルトの設定を削除します。
    1. 次のコマンドを実行して、ダウンロードした証明書を設定フォルダにコピーします。
      rm /usr/local/etc/openvpn/*
    2. 次のコマンドを実行して、ファイルを設定ディレクトリにコピーします。
      cp cert_location /usr/local/etc/openvpn/

      cert_location は手順3でダウンロードした証明書のパスです。 たとえば: /Users/example/Downloads/certs6.zip

    3. 次のコマンドを実行して証明書を抽出します。
      cd  /usr/local/certificates 
      unzip /usr/local/etc/openvpn/certs6.zip
    4. 次のコマンドを実行して接続を開始します。
      sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn

手順5: 接続の確認

クライアントで、接続された VPC ネットワーク内の ECS インスタンスのプライベート IP アドレスに ping を実行して、接続を確認します。
ECS インスタンスのセキュリティルールで、リモートアクセスを許可するようにしてください。 詳細については、セキュリティグループルールの代表的な適用例をご参照ください。