本ページでは、VPN Gateway の SSL-VPN 機能を使用して、Linux クライアントからクラシックネットワークにデプロイされたクラウドリソースにアクセスする方法について説明します。

SSL-VPN を設定している場合は、手順 5 のみを完了する必要があることに注意してください。

前提条件

開始する前に、次の条件を満たしている必要があります。

  • Linux クライアントはインターネットにアクセスできる。

  • VPC が作成され、VPC の CIDR ブロックが 172.16.0.0/12 に設定されている。 既存の VPC を使用する場合、VPC は次の条件を満たす必要があります。
    VPC CIDR ブロック 説明
    172.16.0.0/12 VPC には、宛先 CIDR ブロックが 10.0.0.0/8 であるカスタムルートエントリがありません。

    追加されたルートエントリは、VPC コンソールのルートテーブルの詳細ページで表示できます。

    192.168.0.0/16
    • VPC には、宛先 CIDR ブロックが 10.0.0.0/8 であるカスタムルートエントリがありません。

    • クラシックネットワークの ECS インスタンスにルートが追加され、ルートは 192.168.0.0/16 からプライベート NIC に向けられます。 ユーザーはスクリプトをダウンロードすることで、ルートを追加することができます。

      スクリプトを実行する前に、スクリプトの readme ファイルを注意深く読んでください。

手順 1: VPN Gateway の作成

クラシックネットワークを使用する場合、VPC で購入した VPN Gateway は、ClassicLink 機能を介して VPC でも使用できます。

VPN Gateway を作成するには、次の手順を実行します。
  1. VPC コンソールにログインします。
  2. 左側のナビゲーションウインドウで、[VPN] > [VPN Gateway] をクリックします。
  3. 表示された ページで、[VPN Gateway の作成] をクリックします。
  4. 購入ページで、VPN Gateway を設定し、支払いを完了させます。 この例では、VPN Gateway を次のように設定します。
    • リージョン: VPN Gateway が属するリージョンを選択します。 この例では、[中国 (杭州)] を選択します。
      VPN Gateway は、VPC と同じリージョンに存在する必要があります。
    • VPC: ターゲット VPC を選択します。

    • ピーク帯域幅: ピーク帯域幅を選択します。 帯域幅仕様は、VPN Gateway のインターネット帯域幅です。

    • IPsec-VPN : サイト間接続に適用される IPsec-VPN 機能を有効にするかどうかを選択します。

    • SSL-VPN: SSL-VPN 機能を有効にするかどうかを選択します。 この例では、[有効化] をクリックします。

    • SSL 接続: 同時に接続するクライアントの最大数を選択します。

  5. VPN Gateway ページへ戻り、作成された VPN Gateway を確認します。
    VPN Gateway の初期状態は、[準備中] です。 約 2 分でステータスが [正常] に変わり、VPN Gateway を使用する準備が整います。
    VPN Gateway の作成には 1 〜 5 分かかります。

手順 2: SSL サーバーの作成

SSL サーバーを作成するには、次の手順を実行します。

  1. 左側のナビゲーションウィンドウで、[VPN] > [SSL サーバー] を選択します。
  2. [SSL サーバーの作成] をクリックします。 この例では、SSL サーバーを次のように設定します。
    • 名前: SSL サーバーの名前を入力します。

    • VPN Gateway: 手順 1 で作成した VPN Gateway を選択します。

    • ローカルネットワーク: ターゲットクラシックネットワークの ECS インスタンスのイントラネット CIDR ブロックを入力します[ローカルネットワークの追加] をクリックし、イントラネット CIDR ブロックを追加します。

      この例では、イントラネット CIDR ブロックは 10.1.0.0/16 と 10.2.0.0/16 です。
      新しく作成された ECS インスタンスの IP アドレスがイントラネット CIDR ブロックにない場合、対応するイントラネット CIDR ブロックを追加する必要があります。
    • クライアントサブネット: クライアントとサーバーを結ぶ IP アドレスを、CIDR ブロックの形式で入力します。 クライアント CIDR ブロックは、VPN Gateway が属する VPC の CIDR ブロックのサブネットである必要があります。

      この例では、クライアント CIDR ブロックは 172.16.10.0/24 です。
      クライアント CIDR ブロックは、ローカルクライアントの既存 IP アドレスではなく、SSL VPN を介してアクセスするためにクライアントに割り当てられた IP アドレスです。
    • 高度な設定: デフォルトの高度な設定を使用します。

手順 3: クライアント証明書の作成

クライアント証明書を作成するには、次の手順を実行します。

  1. 左側のナビゲーションウィンドウで、[VPN] > [SSL クライアント] を選択します。
  2. [クライアント証明書の作成] をクリックします。
  3. [クライアント証明書の作成] ダイアログボックスで、クライアント証明書名を入力し、対応する SSL サーバーを選択した後、[OK] をクリックします。
  4. SSL クライアントページで、作成されたクライアント証明書を見つけて、[ダウンロード] をクリックしてクライアント証明書をダウンロードします。

手順 4: クライアントの設定

クライアントを設定するには、次の手順を実行します。

  1. 次のコマンドを実行して OpenVPN クライアントをインストールします。
    yum install -y openvpn
  2. 手順 3 でダウンロードした証明書を解凍し、/etc/openvpn/conf/ ディレクトリにコピーします。
  3. 次のコマンドを実行して OpenVPN クライアントを開始します。
    openvpn --config /etc/openvpn/conf/config.ovpn –daemon

手順 5: ClassicLink 接続の確立

ClassicLink 接続を確立するには、次の手順を実行します。

  1. VPC コンソールにログインします。
  2. ターゲット VPC が属するリージョンを選択し、ターゲット VPC の ID をクリックします。
  3. VPC の詳細ページで、[ClassicLink の有効化] をクリックします。
  4. 表示されたダイアログボックスで、[OK] をクリックします。
  5. ECS コンソールにログインします。
  6. 左側のナビゲーションウィンドウで、[インスタンス] をクリックします。
  7. ターゲットクラシックネットワークで 1 つ以上の ECS インスタンスを選択し、[詳細] > [VPC へのリンク] をクリックします。
  8. 表示されたダイアログボックスで、ターゲット VPC を選択して [OK] をクリックします。
  9. 左側のナビゲーションウィンドウで、[ネットワーク & セキュリティ] > [セキュリティグループ] をクリックします。
  10. セキュリティグループのページで、[内部ネットワークイングレス] タブをクリックして、[セキュリティグループルールの追加] をクリックします。 セキュリティグループルールを次のように設定します。
    • ルールの方向: [受信] を選択します。

    • アクション: [許可] を選択します。

    • プロトコルタイプ: [すべて] を選択します。

    • 権限付与タイプ: [IPv4 CIDR ブロック] を選択します。

    • 権限付与オブジェクト: VPN Gateway を介して ECS インスタンスにアクセスするため、プライベート IP アドレス (たとえば、172.16.3.44/32) を入力します。

      Linux クライアントで ifconfig コマンドを実行し、inet 172.16.10.6 --> 172.16.10.5 netmask 0xffffffff と同様のメッセージを見つけます。ここで 172.16.10.6 はクライアントの IP アドレス (セキュリティグループ用に構成された権限付与オブジェクト) です。
      VPN Gateway を介して ECS インスタンスにアクセスできない場合、クライアント IP アドレスが変更されているため、新しいセキュリティグループルールを追加する必要があります。
  11. ECS コンソールに戻り、右側の列フィルターアイコンをクリックして、 表示されたダイアログボックスの [リンクステータス] を選択し、[OK] をクリックします 。
  12. ECS インスタンスのリンクステータスを確認します。

    設定完了後、クラシックネットワークに接続された ECS インスタンスにデプロイされたアプリケーションに、Linux クライアントからアクセスできます。