Edge Node Service (ENS) インスタンスは、Elastic Network Adapter (ENA) またはサードパーティ製の FortiGate アプライアンスと接続できます。このチュートリアルでは、FortiGate を使用してサイト間 VPN 接続を確立する方法を説明します。同様のソリューションを使用して、ENS ノードを IDC または Elastic Compute Service (ECS) インスタンスに接続することもできます。
概要
このチュートリアルでは、ENS 上に FortiGate 仮想アプライアンスをインストールおよびデプロイし、2 つの独立した ENS ノードのプライベートネットワーク間にサイト間 VPN 接続を構築する方法について説明します。このプロセスは、主に 4 つの段階で構成されています。
-
シナリオの概要
-
FortiGate アプライアンスのデプロイ
-
FortiGate アプライアンスの設定
-
接続の確認
シナリオの概要
-
複数の ENS ノードを使用する場合、専用線接続または VPN を使用して広域ネットワーク (WAN) 経由で接続できます。このチュートリアルでは、VPN 接続の方法に焦点を当てます。
-
開始する前に、IP アドレスの計画が必要です。最終的な接続を確認するには、ping を使用して VM1 と VM4 間の接続性をテストします。
1. IP アドレスの計画
|
ENS VPC |
CIDR ブロック |
インスタンス |
プライベート IP アドレス |
パブリック IP アドレス |
|
ENS VPC1 |
10.0.100.0/24 |
VM2 (FortiGate アプライアンス) |
10.0.100.2 |
インスタンス作成時に割り当てるか、Elastic IP アドレス (EIP) を使用します |
|
VM1 |
10.0.100.3 |
|||
|
ENS VPC2 |
172.16.100.0/24 |
VM3 (FortiGate アプライアンス) |
172.16.100.2 |
インスタンス作成時に割り当てるか、EIP を使用します |
|
VM4 |
172.16.100.3 |
2. ネットワークトポロジー
次の図は、ネットワークトポロジーを示しています。ENS ノード 1 と ENS ノード 2 にそれぞれ VPC があり、各 VPC には独立した VM が含まれています。目標は、「ENS VM1」と「ENS VM4」の間にプライベートネットワーク接続を確立することです。

FortiGate のインストール
このセクションでは、FortiGate をデプロイするために、ENS コンソールで必要な VPC、vSwitch、セキュリティグループ、およびインスタンスを作成する方法について説明します。このプロセスには、主に 4 つのステップが含まれます。
-
VPC と vSwitch の作成
-
セキュリティグループの設定
-
FortiGate インスタンスのデプロイ
-
トラフィックルーティングの設定
1. ENS での VPC と vSwitch の作成
-
ENS コンソール にログインします。 [ の順に移動します。[Node] を選択し、[Name] と [IPv4 CIDR block] を入力し、サブネットの CIDR ブロックを入力して [vSwitch] を設定します。
VPC に推奨される [IPv4 CIDR block] は
10.0.0.0/8です。作成後に CIDR ブロックを変更することはできません。vSwitch のデフォルトの CIDR ブロックは10.0.0.0/24で、これにより 253 個の IP アドレスが利用可能になります。ネットワークごとに最大 3 つの vSwitch を作成できます。 -
[Create] をクリックした後、[Network] および [vSwitch] ページに移動して、新しい VPC と vSwitch が作成されたことを確認します。
2. セキュリティグループの設定
デフォルトでは、セキュリティグループはトラフィックをフィルタリングします。必要なトラフィックを許可するには、カスタムルールを設定する必要があります。テスト目的のため、このガイドではすべての受信トラフィックを許可します。本番環境では、ベストプラクティスとして、SSH、ICMP、HTTPS、UDP などの特定のプロトコルのみを許可することを推奨します。
-
[ の順に移動します。
[Create Security Group] ページで、セキュリティグループの [Name] (必須) と [Description] を入力します。[Access Rules] エリアで、[Inbound] または [Outbound] タブでルールを設定します。各ルールには、[Authorization Policy]、[Priority]、[Protocol Type]、[Port Range]、[Authorization Object]、および [Description] が含まれます。デフォルトでは、システムは優先度 1、承認オブジェクト
0.0.0.0/0の 4 つの受信許可ルール (Custom UDP、Custom TCP (HTTPS/443)、Custom TCP (SSH/22)、および ICMP) を追加します。[+ Add] をクリックして新しいルールを追加するか、既存のルールを [Copy] または [Delete] できます。完了したら、[Create] をクリックします。 -
[Outbound] ルールを設定します。デフォルトでは、すべてのアウトバウンドトラフィックが許可されます。
3. FortiGate インスタンスのデプロイ
このステップでは、ENS コンソールで FortiGate インスタンスを作成します。これらのインスタンスは VPN トラフィックを処理し、ネットワークトポロジー図の VM2 に対応します。
-
[ に移動し、[Create Instance] をクリックします。
-
[Basic Configurations] セクションで、[Instance Type] を [X86 Compute Type] に設定します。[インスタンス仕様] については、「FortiGate の仕様リファレンス」をご参照ください。 [Image] を [Custom Image] に設定し、事前に準備した FortiGate イメージを選択します。ENS でカスタムイメージを作成する方法については、「カスタムイメージの作成」をご参照ください。
[Billing Method] を [サブスクリプション] に設定し、要件に基づいて [Subscription Duration] を設定します。
-
[Network and Storage] を設定します。[Network] を [Custom Network] に設定します。[Region] で、VPC が配置されているノードを選択します。次に、ノードの [Network]、[vSwitch]、および [Security Group] を設定します。[Create a Public NIC] を選択し、[Max Bandwidth] を設定します。
[Number of Instances] を [1] に設定します。[Bandwidth Billing Method] で、[帯域幅課金] を選択します。[Instance Billing Cycle] で、[時間単位課金] を選択します。デフォルトの [システムディスク] タイプを維持し、容量を [20 GB] に設定します。[データディスク] は必要ありません。
-
[System Settings] を設定します。キーペアとインスタンス名を設定します。デフォルトのパスワードについては、FortiGate の公式ドキュメントをご参照ください。
[System Settings] ページでは、デフォルトのユーザー名は [root] です。[Custom Password] または [key pair] でログインすることを選択できます。[Host Name] を設定し、オプションで [Ordered Suffix] を選択して、インスタンス名とホスト名に連番のサフィックスを追加します。また、[Tags] を設定することもできます。
-
注文を確認します。[Basic configuration]、[ネットワークとストレージ]、および [System Configurations] を確認します。[Subscription Duration] を選択し、[Confirm Order] をクリックします。
-
インスタンスが作成された後、インスタンスリストでそのステータスを確認します。
新しく作成された FortiGate インスタンスがインスタンスリストに表示されます。[Status] が [Running] の場合、インスタンスが正常にデプロイされたことを示します。
-
これらの手順は、VM2 の作成方法を説明しています。同じ VPC 内にテストインスタンス (VM1) を作成するには、このプロセスを繰り返しますが、FortiGate イメージの代わりに標準の OS イメージを選択します。
4. トラフィックルーティングの設定
左側の ENS ノードを例として、VM1 を作成し、VM2 が FortiGate イメージを実行している場合、VM4 宛ての VM1 からのトラフィックを VM2 の FortiGate アプライアンスにルーティングする必要があります。これにより、トラフィックが VPN トンネルに確実に入るようになります。
-
[ に移動します。ネットワークリストで、作成したネットワークを選択し、関連付けられたルートテーブルをクリックします。
-
ルートテーブル ID をクリックします。ルートテーブルの詳細ページで、[ に移動します。リモートサイトの宛先 IPv4 CIDR ブロックを設定し、ネクストホップを先ほど作成した FortiGate インスタンスに設定します。
[Add Route Entry] ダイアログボックスで、ルートエントリの [Name] を入力し、オプションの [Description] を追加して、[OK] をクリックします。
-
設定後、インターフェイスには新しいルートが表示され、トラフィックが FortiGate アプライアンスに転送されることを確認できます。
VPC ルートテーブルの [Custom Route Entry] タブに、ステータスが [Available] のカスタムルートエントリが表示され、そのネクストホップが FortiGate インスタンスリソースになります。
5. サイト 2 の VPC と FortiGate の設定
-
2 番目の VPC を作成し、サブネットの CIDR ブロックを割り当てます。
-
サイト 2 用の FortiGate インスタンスを作成および設定します。
-
FortiGate インスタンスにトラフィックを転送するためのカスタムルートエントリを追加します。
FortiGate アプライアンスの設定
FortiGate の設定はバージョンによって若干異なる場合があります。詳細な手順については、公式ドキュメント https://handbook.fortinet.com.cn/ をご参照ください。
設定プロセスは、次のステップからなります。
-
注意事項
-
ライセンスのインポート
-
ネットワークの初期化
-
システムの初期化
-
ネットワーク接続の確認
-
IPsec の設定
1. 注意事項
中国本土では、HTTP および HTTPS 経由のインターネットアクセスには ICP 登録が必要です。登録がない場合、ポート 80 と 443 はブロックされます。
登録プロセスを完了する前に、FortiGate デバイスに SSH で接続して HTTPS ポート番号を変更できます。
次のコマンドは、ポートを 8443 に変更します。
config system global
set admin-sport 8443
end
2. ライセンスのインポートと初期化
ライセンスをインポートした後、初期設定を行い、IPsec を設定する前にネットワーク設定を確認します。
2.1 ライセンスのインポート
-
デフォルトのユーザー名は admin です。セキュリティリスクを軽減するため、初期設定後、できるだけ早くデフォルトのパスワードを変更してください。
FortiGate VM に SSH 経由でログインし、diagnose debug vm-print-license コマンドを実行して、現在のライセンスステータスを確認し、評価ライセンスであることを確認します。
tianhong@U-Y7T49NCJ-2218 ~ % ssh admin@112.13.209.140
admin@1xxx40's password:
FortiGate-VM64-KVM # diagnose debug vm-print-license
SerialNumber: FGVMEVO84K13L75D
CreateDate: Tue Jul 2 02:39:59 2024
Model: EVAL (1)
CPU: 1
MEM: 2048
VDOM license:
permanent: 2
subscription: 0
FortiGate-VM64-KVM #
-
FortiGate ライセンスの適用が必要です。このチュートリアルでは、ライセンス持ち込み (BYOL) 方式を使用します。
[FortiGate VM License] ダイアログボックスで、[Full license] を選択します。[Upload License File] エリアで、[Select file] をクリックしてライセンスファイルを選択し、[OK] をクリックします。
-
重要:ライセンスをインポートすると、デバイスは自動的に再起動します。IPsec を設定するには、再度ログインする必要があります。
2.2 システムの初期化
-
再起動後、Web ブラウザーでパブリック IP アドレスを HTTPS で入力して、FortiGate コンソールにアクセスします。
FortiGate 管理ログインページで、[Username] と [Password] を入力し、[Login] をクリックします。
-
初期設定ウィザードを完了します。
FortiGate 設定ウィザードでは、[Register with FortiCare]、[Automatic Patch Upgrades]、[Dashboard Setup]、[Change Your Password] の 4 つの初期化ステップが表示されます。[Begin] をクリックして開始します。
-
初回デプロイの場合、最新の安定バージョン (例:7.4.X) にアップグレードするか、ベンダーに相談することを推奨します。新しいバージョンでは、IPsec などの手動設定ステップを削減できます。コンソールにログインします。
ログイン後、[Dashboard] > [Status] ページには、[System Information] (ホスト名、シリアル番号、ファームウェアバージョン、動作モード、システム時刻、WAN IP)、[Licenses] (FortiCare Support、IPS、AntiVirus、Web Filtering のアクティベーションステータス)、[Virtual Machine] (vCPU 割り当てと RAM サイズ)、[FortiGate Cloud] (アクティベーションステータス)、[Security Fabric] (接続ステータス)、およびリアルタイムの [CPU] 使用率など、いくつかのパネルが表示されます。現在のファームウェアバージョン (例:v7.2.8) を確認し、必要に応じて推奨される 7.4.X バージョンにアップグレードします。
-
使用前にシステムの初期化が必要です。ナビゲーションペインで [Settings] を選択し、ホスト名やタイムゾーンなどのパラメーターを設定します。
[Host name] を
FortiGWENSTestに、[Time zone] を(GMT+8:00) Beijing, ChongQing, HongKongに設定します。
2.3 ネットワーク接続の確認
-
デバイス自体に ping を実行します:
ping 10.0.100.2。FortiGWENSTest # exec ping 10.0.100.2 PING 10.0.100.2 (10.0.100.2): 56 data bytes 64 bytes from 10.0.100.2: icmp_seq=0 ttl=255 time=0.0 ms 64 bytes from 10.0.100.2: icmp_seq=1 ttl=255 time=0.0 ms 64 bytes from 10.0.100.2: icmp_seq=2 ttl=255 time=0.0 ms 64 bytes from 10.0.100.2: icmp_seq=3 ttl=255 time=0.0 ms 64 bytes from 10.0.100.2: icmp_seq=4 ttl=255 time=0.0 ms --- 10.0.100.2 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0.0/0.0/0.0 ms -
同じ VPC 内のテスト VM に ping を実行します:
ping 10.0.100.3。FortiGWENSTest # exec ping 10.0.100.3 PING 10.0.100.3 (10.0.100.3): 56 data bytes 64 bytes from 10.0.100.3: icmp_seq=0 ttl=64 time=1.6 ms 64 bytes from 10.0.100.3: icmp_seq=1 ttl=64 time=0.1 ms 64 bytes from 10.0.100.3: icmp_seq=2 ttl=64 time=0.1 ms 64 bytes from 10.0.100.3: icmp_seq=3 ttl=64 time=0.1 ms 64 bytes from 10.0.100.3: icmp_seq=4 ttl=64 time=0.1 ms --- 10.0.100.3 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0.1/0.4/1.6 ms -
www.aliyun.comなどのパブリックドメインに ping を実行して、インターネット接続を確認します。FortiGWENSTest # FortiGWENSTest # exec ping www.aliyun.com PING www.a.shifen.com (153.x.x.x): 56 data bytes 64 bytes from 153.x.x.x: icmp_seq=0 ttl=46 time=13.6 ms 64 bytes from 153.x.x.x: icmp_seq=1 ttl=46 time=10.0 ms 64 bytes from 153.x.x.x: icmp_seq=2 ttl=46 time=10.4 ms 64 bytes from 153.x.x.x: icmp_seq=3 ttl=46 time=10.0 ms 64 bytes from 153.x.x.x: icmp_seq=4 ttl=46 time=10.0 ms --- www.aliyun.com ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 10.0/10.8/13.6 ms -
これらの手順を完了すると、ENS 上の FortiGate アプライアンスの基本設定が完了します。
3. IPsec の設定
IPsec はさまざまな方法で設定できます。このトポロジーでは、サイト間デプロイを使用して、VM1 と VM4 間の VPN 接続を有効にします。接続の両端をサイト 1 とサイト 2 として指定します。
3.1 サイト 1 の設定
以下に示すように、設定ウィザードの手順に従います。
-
ナビゲーションペインで、[VPN] > [IPsec Tunnels] > [Create New] に移動し、[IPsec Tunnel] をクリックします。
-
名前を入力し、[Site to Site] テンプレートを選択します。
[Name] には
toVPC2fortigateと入力します。[NAT Configuration] では、[No NAT between sites] を選択します。[Remote Device Type] では、[FortiGate] を選択します。 -
インターフェイスと事前共有キーを設定します。
[Remote device] を [IP Address] に設定し、リモートのパブリック IP アドレスを入力します。[Outgoing Interface] を [port2] に設定します。[Authentication method] で [Pre-shared Key] を選択し、事前共有キーを入力します。
-
トラフィックセレクター (VPN 接続のローカルおよびリモートサブネット) を設定します。
[Policy & Routing] ステップで、[Local Interface] を [port4] に設定します。[Local Subnets] を
10.0.100.0/24に、[Remote Subnets] を172.16.100.0/24に設定します。[Internet Access] では、[None] を選択します。 -
設定の概要を確認し、[Create] をクリックします。
[Review Settings] ページの [Object Summary] には、次の設定が表示されます:[Phase 1 interface] は
toVPC2fortigate、[Local address group] はtoVPC2fortigate_local、[Remote address group] はtoVPC2fortigate_remote、[Phase 2 interface] はtoVPC2fortigate、[Static route] と [Blackhole route] は両方ともstatic、[Local to remote policies] はvpn_toVPC2fortigate_local、[Remote to local policies] はvpn_toVPC2fortigate_remoteです。 -
ファイアウォールポリシーを設定します。[Policy & Objects] > [Firewall Policy] の下で、プライベートネットワークから IPsec トンネルへのトラフィック、およびトンネルからプライベートネットワークへのトラフィックを許可するポリシーを作成します。注:新しいバージョンでは、VPN 設定テンプレートによってこれらのポリシーが自動的に生成される場合があります。FortiGate の公式マニュアルをご参照ください。
この例では、2 つの VPN ポリシーが作成されます:[vpn_toVPC2fortigate_local] は [port4] から [toVPC2fortigate] へのトラフィック用 (送信元 [toVPC2fortigate_local]、宛先 [toVPC2fortigate_remote])、[vpn_toVPC2fortigate_remote] は [toVPC2fortigate] から [port4] へのトラフィック用 (送信元 [toVPC2fortigate_remote]、宛先 [toVPC2fortigate_local]) です。両方のポリシーで、[Service] は [ALL]、[Action] は [ACCEPT]、[Schedule] は [always]、[NAT] は [Disabled] に設定されています。
-
ビジネストラフィック用の静的ルートを設定します。ナビゲーションペインで、[Network] -> [Static Routes] に移動し、リモートサブネット宛てのトラフィックを IPsec VPN トンネル経由で転送するルートを手動で設定します。注:新しいバージョンでは、VPN 設定テンプレートによってこのステップが自動化される場合があります。
[New Static Route] フォームで、[Destination] を [Subnet] に設定し、値を
172.16.100.0/24とします。[Interface] を [toVPC2fortigate] に設定します。[Administrative Distance] を10に、[Status] を [Enabled] に設定します。静的ルートリストには、VPN ウィザードによって作成されたトンネルルートと対応するブラックホールルート (宛先 [toVPC2fortigate_remote]、インターフェイス [toVPC2fortigate]、コメント [VPN: toVPC2fortigate (Created by VPN wizard)])、および手動で追加されたその他のビジネスルートが含まれます。
-
テスト用にインターフェイスで ping を有効にします。デフォルトでは、インターフェイスアドレスへの ping は無効になっています。リスト内のポートをダブルクリックして設定を編集し、手動で有効にします。
[port4] インターフェイスを編集します。[Addressing mode] を [Manual] に設定し、[IP/Netmask] に
10.0.100.2/255.255.255.0を入力します。[Administrative Access] エリアで、[PING] のみを選択します。設定後、[port4] インターフェイスの IP アドレスは
10.0.100.2/255.255.255.0になり、[Administrative Access] の下で [PING] が有効になります。
3.2 サイト 2 の設定
-
[VPN] > [IPsec Tunnels] ページで、[Site to Site - FortiGate] グループの下に [toVPC1] という名前のトンネルが確立されています。その [Interface Binding] は [port2] で、[Status] は [Up] (緑色) です。
[Network] > [Static Routes] ページで、VPN ウィザードは自動的に 2 つの静的ルートを作成しました。1 つ目は宛先が [toVPC1_remote]、インターフェイスが [toVPC1] (VPN トンネル) で、ステータスは [Enabled] です。2 つ目は同じ宛先を持つ [Blackhole] ルートで、ステータスは [Enabled] です。両方のルートには [VPN: toVPC1 (Created by VPN wizard)] というコメントが付いています。
[Policy & Objects] > [Firewall Policy] ページで、VPN ウィザードは自動的に 2 つの双方向ファイアウォールポリシーを作成しました。ポリシー [vpn_toVPC1_local] (port4 → toVPC1) は、送信元 toVPC1_local、宛先 toVPC1_remote のトラフィックを許可します。ポリシー [vpn_toVPC1_remote] (toVPC1 → port4) は、送信元 toVPC1_remote、宛先 toVPC1_local のトラフィックを許可します。両方のポリシーで、[Service] は [ALL]、[Action] は [ACCEPT]、[Schedule] は [always]、[NAT] は [Disabled] に設定されています。
接続の確認
設定完了後、接続をテストできます。VM1 と VM4 間の ping が成功すれば、VPN トンネルが確立されたことを確認できます。以下のデータはテスト環境からのものです。
-
VM4 から VM1 への ping
[root@i-53at57icfbliwrbmzfjtlg1ha ~]# ping 10.0.100.3 PING 10.0.100.3 (10.0.100.3) 56(84) bytes of data. 64 bytes from 10.0.100.3: icmp_seq=1 ttl=62 time=0.377 ms 64 bytes from 10.0.100.3: icmp_seq=2 ttl=62 time=0.351 ms 64 bytes from 10.0.100.3: icmp_seq=3 ttl=62 time=0.329 ms 64 bytes from 10.0.100.3: icmp_seq=4 ttl=62 time=0.358 ms 64 bytes from 10.0.100.3: icmp_seq=5 ttl=62 time=0.349 ms 64 bytes from 10.0.100.3: icmp_seq=6 ttl=62 time=0.274 ms 64 bytes from 10.0.100.3: icmp_seq=7 ttl=62 time=0.333 ms 64 bytes from 10.0.100.3: icmp_seq=8 ttl=62 time=0.341 ms 64 bytes from 10.0.100.3: icmp_seq=9 ttl=62 time=0.335 ms 64 bytes from 10.0.100.3: icmp_seq=10 ttl=62 time=0.346 ms -
VM1 から VM4 への ping
64 bytes from 172.16.100.3: icmp_seq=1 ttl=62 time=0.795 ms 64 bytes from 172.16.100.3: icmp_seq=2 ttl=62 time=0.345 ms 64 bytes from 172.16.100.3: icmp_seq=3 ttl=62 time=0.350 ms 64 bytes from 172.16.100.3: icmp_seq=4 ttl=62 time=0.334 ms 64 bytes from 172.16.100.3: icmp_seq=5 ttl=62 time=0.352 ms 64 bytes from 172.16.100.3: icmp_seq=6 ttl=62 time=0.355 ms 64 bytes from 172.16.100.3: icmp_seq=7 ttl=62 time=0.357 ms 64 bytes from 172.16.100.3: icmp_seq=8 ttl=62 time=0.326 ms 64 bytes from 172.16.100.3: icmp_seq=9 ttl=62 time=0.331 ms 64 bytes from 172.16.100.3: icmp_seq=10 ttl=62 time=0.331 ms 64 bytes from 172.16.100.3: icmp_seq=11 ttl=62 time=0.374 ms 64 bytes from 172.16.100.3: icmp_seq=12 ttl=62 time=0.359 ms 64 bytes from 172.16.100.3: icmp_seq=13 ttl=62 time=0.355 ms 64 bytes from 172.16.100.3: icmp_seq=14 ttl=62 time=0.347 ms 64 bytes from 172.16.100.3: icmp_seq=15 ttl=62 time=0.353 ms
その他のユースケース
前述のセクションでは、FortiGate を使用して 2 つの ENS ノード間に VPN 接続を確立する方法について説明しました。ENS は、FortiGate にコンピューティング能力とインターネット機能を提供する基盤インフラストラクチャとして機能します。この基盤の上に、FortiGate は他の WAN VPN 接続シナリオも実装できます。例:
-
ENS と Alibaba Cloud ECS の VPN 接続
-
ENS とオフィスの VPN 接続
-
ENS と IDC の接続
これらのシナリオでは、ENS に FortiGate イメージをインストールするプロセスは前述の通りです。正しいイメージを使用し、ネットワークが正常に機能していれば、FortiGate の公式マニュアルに従って主要な設定タスクを完了できます。
-
FortiGate をサイト間構成で使用して ENS を Alibaba Cloud リージョンの VPC に接続することは、2 つの ENS ノードを接続することに似ています。

-
FortiGate と VPN Gateway 間の直接のサイト間接続を使用して、ENS を Alibaba Cloud リージョンの VPC に接続します。

-
サイト対顧客構内設備 (CPE) 構成で FortiGate を使用して、ENS を顧客のオフィスに接続します。

-
サイト間構成で FortiGate を使用して、ENS を顧客の IDC に接続します。
