VPN Gateway:IPsec-VPN を使用した AWS VPC と Alibaba Cloud VPC の接続

本手順は両プラットフォームで課金対象となります。Alibaba Cloud 側では、VPN Gateway インスタンスおよびデータ転送に対して課金されます。AWS 側では、サイト間 VPN 接続およびデータ転送に対して課金されます。

シナリオ例

ある企業が、Alibaba Cloud ドイツ (フランクフルト) リージョンに VPC を、AWS ヨーロッパ (フランクフルト) リージョンに VPC をそれぞれ保有しており、IPsec-VPN を通じて両 VPC 間の暗号化通信を実現したいというシナリオを想定しています。

ネットワーク計画

事前準備

• Alibaba Cloud ドイツ (フランクフルト) リージョンに VPC を作成し、Elastic Compute Service (ECS) を使用してリソースを展開します。詳細については、「IPv4 CIDR ブロックを指定した VPC の作成」をご参照ください。

• AWS ヨーロッパ (フランクフルト) リージョンに VPC を作成し、EC2 を使用してリソースを展開済みである必要があります。詳細については、AWS プラットフォームをご参照ください。

ステップ 1：Alibaba Cloud での VPN Gateway インスタンスの作成

まず、Alibaba Cloud で VPN Gateway インスタンスを作成する必要があります。インスタンスが作成されると、システムにより 2 つの IP アドレスが割り当てられます。これらの IP アドレスは、AWS プラットフォームとの IPsec-VPN 接続を確立するために使用されます。

1. VPN Gateway コンソールにログインします。

2. 上部ナビゲーションバーで、VPN ゲートウェイを作成するリージョンを選択します。

   VPN ゲートウェイは、接続対象の VPC と同じリージョンに配置する必要があります。

3. VPN Gateway ページで、VPN Gateway の作成 をクリックします。

4. 購入ページで、以下の設定を用いて VPN Gateway を構成します。その後、今すぐ購入 をクリックし、支払いを完了します。

   本トピックに関連するパラメーターのみを記載しています。その他のパラメーターはデフォルト設定のままとします。詳細については、「VPN Gateway インスタンスの作成と管理」をご参照ください。

   構成	説明	例
   インスタンス名	VPN Gateway インスタンスの名前を入力します。	VPN Gateway を入力します。
   リージョン	VPN Gateway インスタンスを配置するリージョンを選択します。	ドイツ (フランクフルト) を選択します。
   ゲートウェイタイプ	VPN Gateway インスタンスのゲートウェイタイプを選択します。	標準 を選択します。
   ネットワークタイプ	VPN Gateway インスタンスのネットワークタイプを選択します。	パブリック を選択します。
   トンネル	システムが、現在のリージョンで IPsec-VPN 接続がサポートするトンネルモードを表示します。 デュアルトンネル シングル トンネル シングルトンネルおよびデュアルトンネルモードの詳細については、「IPsec-VPN 接続の作成」をご参照ください。	本トピックでは、デフォルト値として デュアルトンネル が使用されます。
   VPC	VPN Gateway インスタンスに関連付ける VPC を選択します。	Alibaba Cloud ドイツ (フランクフルト) リージョンの VPC インスタンスを選択します。
   vSwitch	VPC 内の vSwitch を選択します。 トンネルモードがシングルトンネルの場合、1 つの vSwitch のみを指定する必要があります。 トンネルモードがデュアルトンネルの場合、2 つの vSwitch を指定する必要があります。 IPsec-VPN 機能が有効になると、システムは各 vSwitch に弾性ネットワークインターフェース（ENI）を作成します。これらの ENI は、VPC と IPsec-VPN 接続間のトラフィックのインターフェースとして使用されます。各 ENI は、その vSwitch 内で 1 つの IP アドレスを占有します。 説明 システムはデフォルトで最初の vSwitch を選択します。vSwitch を変更するか、デフォルトの vSwitch をそのまま使用できます。 VPN Gateway インスタンスが作成された後は、関連付けられた vSwitch を変更できません。関連付けられた vSwitch、それらが配置されているゾーン、および ENI の情報は、インスタンスの詳細ページで確認できます。	VPC 内の vSwitch を選択します。
   vSwitch 2	VPC 内の 2 番目の vSwitch を選択します。 VPN Gateway インスタンスに関連付けられた VPC 内で、異なるゾーンに配置された 2 つの vSwitch を指定する必要があります。この構成により、IPsec-VPN 接続のゾーンディザスタリカバリが実現されます。 1 つのゾーンのみを持つリージョンでは、ゾーンディザスタリカバリはサポートされていません。そのようなリージョンでは、IPsec-VPN 接続の高可用性を確保するために、同一ゾーン内の異なる 2 つの vSwitch を指定することを推奨します。同一の vSwitch を両方とも選択することも可能です。 説明 VPC 内に 2 番目の vSwitch が存在しない場合は、作成できます。詳細については、「vSwitch の作成と管理」をご参照ください。	VPC 内の 2 番目の vSwitch を選択します。
   IPsec-VPN	IPsec-VPN 機能を有効にするかどうかを指定します。デフォルト値は 有効 です。	IPsec-VPN 機能を有効にします。
   SSL-VPN	SSL-VPN 機能を有効または無効にするかを選択します。デフォルト値は 無効 です。	SSL-VPN 機能を無効にします。

5. VPN Gateway ページに戻り、作成した VPN Gateway インスタンスを確認します。

   新規の VPN Gateway インスタンスの初期ステータスは 準備中 です。約 1～5 分後にステータスが アクティブ に変わります。アクティブ ステータスは、VPN Gateway が初期化され、使用可能になったことを示します。

   以下の表は、VPN Gateway インスタンスにシステムが割り当てる 2 つの IP アドレスを示しています：

   VPN Gateway インスタンス名	VPN Gateway インスタンス ID	IP アドレス
   VPN Gateway	vpn-gw8dickm386d2qi2g****	IPsec アドレス 1（デフォルトでアクティブトンネルアドレス）：8.XX.XX.146
   		IPsec アドレス 2（デフォルトでスタンバイトンネルアドレス）：8.XX.XX.74

ステップ 2：AWS プラットフォーム上での VPN の展開

IPsec-VPN 接続を確立するには、以下の情報をもとに AWS プラットフォーム上で VPN を展開する必要があります。具体的なコマンドや操作については、AWS 公式ドキュメントをご参照ください。

ステップ 3：Alibaba Cloud での VPN Gateway の展開

AWS プラットフォームでの VPN 構成が完了したら、以下の情報をもとに Alibaba Cloud 側で VPN Gateway を展開する必要があります。これにより、AWS VPC と Alibaba Cloud VPC 間の IPsec-VPN 接続が確立されます。

1. カスタマーゲートウェイを作成します。

   1. VPN Gateway コンソールにログインします。

   2. 左側ナビゲーションウィンドウで、相互接続 > VPN > カスタマーゲートウェイ を選択します。

   3. 上部ナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。

      カスタマーゲートウェイと接続対象の VPN ゲートウェイは、同一リージョンに配置されていることを確認してください。

   4. カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。

   5. カスタマーゲートウェイの作成 パネルで、以下のパラメーターを設定し、OK をクリックします。

      2 つのカスタマーゲートウェイを作成し、AWS のサイト間 VPN 接続のトンネルの外部 IP アドレスをカスタマーゲートウェイの IP アドレスとして使用する必要があります。これにより、2 つの暗号化トンネルが確立されます。本トピックに関連するパラメーターのみを記載しています。その他のパラメーターはデフォルト設定のままとします。詳細については、「カスタマーゲートウェイ」をご参照ください。

      重要

      各サイト間 VPN 接続のトンネル 1 の外部 IP アドレスのみをカスタマーゲートウェイアドレスとして使用します。各サイト間 VPN 接続のトンネル 2 の外部 IP アドレスはデフォルトでは使用されません。IPsec-VPN 接続が作成された後、各サイト間 VPN 接続のトンネル 2 はデフォルトで接続されません。

      構成	説明	カスタマーゲートウェイ 1	カスタマーゲートウェイ 2
      名前	カスタマーゲートウェイの名前を入力します。	カスタマーゲートウェイ 1 を入力します。	カスタマーゲートウェイ 2 を入力します。
      IP アドレス	AWS プラットフォーム上のトンネルの外部 IP アドレスを入力します。	3.XX.XX.52 を入力します。	3.XX.XX.56 を入力します。
      ASN	AWS の仮想プライベートゲートウェイの BGP ASN を入力します。 説明 BGP 動的ルーティングを使用する場合、このパラメーターは必須です。	64512 を入力します。	64512 を入力します。

2. IPsec-VPN 接続を作成します。

   1. 左側ナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続 を選択します。

   2. IPsec 接続 ページで、VPN Gateway のバインド をクリックします。

   3. IPsec-VPN 接続の作成 ページで、IPsec-VPN 接続のパラメーターを設定し、OK をクリックします。

      構成	説明	例
      IPsec-VPN 接続名	IPsec-VPN 接続の名前を入力します。	IPsec-VPN 接続 を入力します。
      リージョン	IPsec-VPN 接続に関連付ける VPN ゲートウェイが配置されているリージョンを選択します。 IPsec-VPN 接続は、VPN ゲートウェイと同じリージョンに作成されます。	ドイツ (フランクフルト) を選択します。
      VPN ゲートウェイのアタッチ	IPsec-VPN 接続に関連付ける VPN ゲートウェイインスタンスを選択します。	作成済みの VPN Gateway を選択します。
      ルーティングモード	ルーティングモードを選択します。 宛先ベースルーティング：宛先 IP アドレスに基づいてトラフィックをルーティングします。 興味のあるストリームパターン：送信元および宛先 IP アドレスに基づいて、トラフィックのルーティングおよび転送を精密に行います。	本トピックで静的ルート方式を使用する場合、興味のあるストリームパターン（推奨）を選択します。 ローカルネットワーク を 10.0.0.0/16 に設定します。 リモートネットワーク を 192.168.0.0/16 に設定します。 本トピックで BGP 動的ルーティングを使用する場合、宛先ベースルーティング（推奨）を選択します。
      今すぐ有効化	IPsec-VPN 接続の構成を即時に適用するかどうかを選択します。有効な値は以下のとおりです。 はい：構成完了直後にネゴシエーションが開始されます。 いいえ：トラフィックによってネゴシエーションがトリガーされます。	はい を選択します。
      BGP の有効化	IPsec-VPN 接続で BGP を使用する必要がある場合は、BGP を有効化します。BGP 機能はデフォルトで無効です。	デフォルト設定を保持し、BGP を有効化しません。これにより、静的ルートがデフォルトで使用されます。IPsec-VPN 接続作成後に BGP 動的ルーティングを使用する場合は、別途 BGP 構成を追加する必要があります。
      トンネル 1	トンネル 1（アクティブトンネル）の VPN 構成を追加します。 デフォルトでは、システムがトンネル 1 をアクティブトンネル、トンネル 2 をスタンバイトンネルとして設定します。この設定は変更できません。
      カスタマーゲートウェイ	アクティブトンネルに関連付けるカスタマーゲートウェイを追加します。	カスタマーゲートウェイ 1 を選択します。
      事前共有鍵	アクティブトンネルの認証キーを入力します。このキーは身分認証に使用されます。 キーは 1～100 文字で、数字、英大文字・小文字、および以下の特殊文字：~`!@#$%^&*()_-+={}[]\|;:',.<>/? を含めることができます。 事前共有鍵を指定しない場合、システムが 16 文字のランダム文字列を事前共有鍵として生成します。 重要 トンネルおよびそのピアゲートウェイデバイスで設定された事前共有鍵は同一である必要があります。そうでない場合、システムは IPsec-VPN 接続を確立できません。	このトンネルの認証キーは、接続された AWS のトンネルのキーと同一である必要があります。
      暗号化構成	IKE、IPsec、DPD、NAT 越えを構成します。	IKE 構成 において、SA ライフサイクル (秒) は AWS プラットフォームの値と一致させる必要があります。本トピックでは、値を 28800 に設定します。 IPsec 構成 において、SA ライフサイクル (秒) は AWS プラットフォームの値と一致させる必要があります。本トピックでは、値を 3600 に設定します。 その他のパラメーターはデフォルト値を使用します。デフォルト値の詳細については、「IPsec-VPN 接続（VPN Gateway）」をご参照ください。
      トンネル 2	トンネル 2（スタンバイトンネル）の VPN 構成を追加します。
      カスタマーゲートウェイ	スタンバイトンネルに関連付けるカスタマーゲートウェイを追加します。	カスタマーゲートウェイ 2 を選択します。
      事前共有鍵	スタンバイトンネルの認証キーを入力します。このキーは身分認証に使用されます。	このトンネルの認証キーは、接続された AWS のトンネルのキーと同一である必要があります。
      暗号化構成	IKE、IPsec、DPD、NAT 越えを構成します。	IKE 構成 において、SA ライフサイクル (秒) は AWS プラットフォームの値と一致させる必要があります。本トピックでは、例として 28800 を使用します。 IPsec 構成 において、SA ライフサイクル (秒) は AWS プラットフォームの値と一致させる必要があります。本トピックでは、値を 3600 に設定します。 その他のパラメーターはデフォルト値を使用します。デフォルト値の詳細については、「IPsec-VPN 接続（VPN Gateway）」をご参照ください。

   4. 作成済み メッセージで、キャンセル をクリックします。

3. VPN ゲートウェイのルートを設定します。

   静的ルートの使用

   IPsec-VPN 接続を作成した後、VPN Gateway インスタンスのルートを設定する必要があります。IPsec-VPN 接続の作成時に ルーティングモード として ポリシーに基づくルーティング を選択した場合、システムは VPN Gateway インスタンスにポリシーに基づくルートを自動的に作成します。このルートは 未公開 状態で作成されます。その後、VPN Gateway インスタンスから VPC へルートを公開する必要があります。

   1. 左側ナビゲーションウィンドウで、相互接続 > VPN > VPN Gateway を選択します。

   2. 上部ナビゲーションバーで、VPN ゲートウェイインスタンスが配置されているリージョンを選択します。

   3. VPN Gateways ページで、対象の VPN ゲートウェイの ID をクリックします。

   4. VPN ゲートウェイの詳細ページで、ポリシーに基づくルートテーブル タブをクリックし、管理対象のルートを検索して、操作 列の アドバタイズ をクリックします。

   5. ルートエントリの公開 ダイアログボックスで、OK をクリックします。

   BGP 動的ルーティングの使用

   1. IPsec-VPN 接続に BGP 構成を追加します。

      1. 左側ナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続 に移動します。

      2. IPsec 接続 ページで、IPsec-VPN 接続の ID をクリックします。

      3. IPsec 接続 セクションで、BGP の有効化 をオンにします。開いた BGP 設定 ダイアログボックスで、必要な設定を行い、OK をクリックします。

         構成	説明	IPsec-VPN 接続の構成
         ローカル ASN	IPsec-VPN 接続の自律システム番号を入力します。	65530 を入力します。
         トンネル 1	アクティブトンネルの BGP 構成を追加します。	IPsec-VPN 接続のアクティブトンネルの BGP 構成を追加します。
         トンネル CIDR ブロック	暗号化トンネルを確立するために使用される CIDR ブロックを入力します。	169.254.116.208/30 を入力します。
         ローカル BGP IP アドレス	IPsec-VPN 接続の BGP IP アドレスを入力します。 このアドレスは、トンネル CIDR ブロック内の IP アドレスです。	169.254.116.210 を入力します。
         トンネル 2	スタンバイトンネルの BGP 構成を追加します。	IPsec-VPN 接続のスタンバイトンネルの BGP 構成を追加します。
         トンネル CIDR ブロック	暗号化トンネルを確立するために使用される CIDR ブロックを入力します。	169.254.214.96/30 を入力します。
         ローカル BGP IP アドレス	IPsec-VPN 接続の BGP IP アドレスを入力します。 このアドレスは、トンネル CIDR ブロック内の IP アドレスです。	169.254.214.98 を入力します。

   2. VPN Gateway インスタンスの自動 BGP ルート伝播を有効化します。

      1. 左側ナビゲーションウィンドウで、相互接続 > VPN > VPN Gateway を選択します。

      2. VPN Gateway ページで、対象の VPN ゲートウェイインスタンスを検索します。操作 列で、 > 自動 BGP 伝播を有効にする を選択します。

      3. 自動 BGP 伝播を有効にする ダイアログボックスで、OK をクリックします。

ステップ 4：接続性のテスト

構成が完了すると、Alibaba Cloud VPC と AWS VPC 間に IPsec-VPN 接続が確立されます。以下の手順では、Alibaba Cloud の ECS インスタンスから AWS の EC2 インスタンスにアクセスすることで、VPC 間の接続性をテストする方法について説明します。

1. Alibaba Cloud VPC 内の ECS インスタンスにログインします。ECS インスタンスへのログイン方法の詳細については、「ECS インスタンスへのリモート接続方法の選択」をご参照ください。

2. ECS インスタンス上で、ping コマンドを実行して AWS の EC2 インスタンスにアクセスし、2 つのインスタンスが相互に通信できることを確認します。

   ECS インスタンスが AWS の EC2 インスタンスから応答メッセージを受信した場合、VPC 間の通信が可能であることを意味します。

   ping <AWS EC2 インスタンスのプライベート IP アドレス>

   

3. IPsec-VPN 接続の高可用性をテストします。

   デュアルトンネル IPsec-VPN 接続は高可用性を提供します。アクティブトンネルが切断された場合、トラフィックは自動的にスタンバイトンネルを経由してルーティングされます。以下の手順では、デュアルトンネル IPsec-VPN 接続の高可用性を検証する方法について説明します。

   1. Alibaba Cloud VPC 内の ECS インスタンスにログインした状態を維持します。

   2. 以下のコマンドを実行して、Alibaba Cloud の ECS インスタンスが AWS の EC2 インスタンスに継続的にアクセスできるようにします。

      ping <AWS EC2 インスタンスのプライベート IP アドレス> -c 10000

   3. IPsec-VPN 接続のアクティブトンネルを切断します。

      本トピックでは、Alibaba Cloud 側でアクティブトンネルの事前共有鍵を変更することでアクティブトンネルを切断します。アクティブトンネルの両端の事前共有鍵が一致しない場合、トンネルは切断されます。

   4. Alibaba Cloud の ECS インスタンスで通信状況を確認します。短時間の中断の後、通信が再開されることを確認できます。これは、アクティブトンネルが切断された後、トラフィックが自動的にスタンバイトンネルを経由してルーティングされることを示しています。

      Alibaba Cloud コンソールの モニタリング タブで、各トンネルのトラフィックを監視できます。詳細については、「IPsec-VPN 接続のモニタリング」をご参照ください。