GA を使用した SSL-VPN の高速化
リモートワークや、異なるリージョンにまたがるエンタープライズアプリケーションにアクセスする際、SSL-VPN を使用して GA 内のアプリケーションに安全にアクセスできます。しかし、これらのクロスリージョン接続は、不安定性や高遅延といった問題が発生しやすく、生産性に影響を与える可能性があります。Global Accelerator (GA) を使用することで、SSL-VPN 接続を最適化できます。GA は、Alibaba Cloud の高品質な BGP 帯域幅とグローバル伝送ネットワークを活用して、クロスリージョンアクセスにおける遅延や不安定性を解決し、リモートワークの効率とセキュリティを向上させます。
はじめに
SSL-VPN は、OpenVPN に基づくネットワーク接続技術です。証明書を使用してクライアント認証とデータ暗号化を行い、インターネットクライアントと Virtual Private Cloud (VPC) の間に安全で信頼性の高いネットワーク接続を確立します。
Global Accelerator (GA) は、Alibaba Cloud の高品質な BGP 帯域幅とグローバル伝送ネットワークを活用したグローバルネットワーク高速化サービスです。最寄りのネットワークアクセスとクロスリージョンデプロイメントを提供し、遅延、ジッター、パケット損失を削減することで、高可用性かつ高性能なネットワーク高速化サービスを実現します。
SSL-VPN と GA を併用することで、データセキュリティを確保しつつ、リモート接続の品質と速度を大幅に向上させ、ユーザーエクスペリエンスを強化できます。
主な特徴
-
安全な暗号化:SSL-VPN は SSL プロトコルを使用してデータを暗号化し、リモート接続のセキュリティを確保します。
-
GA は、世界中の複数のリージョンにまたがる高速接続を提供し、遅延を削減してアクセス速度を向上させます。
-
安定性と信頼性:GA は Alibaba Cloud のグローバル伝送ネットワークに依存し、安定した接続品質を提供します。
利用シーン
-
多国籍企業のリモートワーク:従業員は SSL-VPN を通じて会社の内部ネットワークリソースに安全にアクセスでき、GA を使用して接続速度を向上させ、生産性を確保します。
-
ゲームおよびビデオアプリケーション:安全な接続を必要とするエンドユーザーに高速アクセスを提供し、ユーザーのサインインとデータ転送を高速化します。
-
データ機密性の高い業界:金融や医療など、データセキュリティが求められる業界では、SSL-VPN を使用してデータセキュリティを確保し、GA を使用してアクセスエクスペリエンスを向上させることができます。
シナリオ例
中国 (香港) リージョンの従業員は、Alibaba Cloud VPN Gateway を介した SSL-VPN 接続を使用して、米国 (シリコンバレー) リージョンにある社内アプリケーションに安全にアクセスします。国をまたぐパブリックインターネットの不安定性により、ラグや高遅延が頻繁に発生し、リモートでの生産性に影響を与えています。
この問題を解決するため、同社は GA をデプロイし、リモートチームからのアクセスリクエストを最寄りの Alibaba Cloud の POP (Point of Presence) にルーティングしてネットワークを高速化します。これにより、従業員はよりスムーズで効率的な業務体験を得ることができます。
前提条件
-
VPC 内の Elastic Compute Service (ECS) インスタンスにアプリケーションをデプロイ済みであること。
このトピックでは、Alibaba Cloud Linux 3 を実行し、Nginx を使用して HTTP ポート 80 でバックエンドアプリケーションを提供する ECS インスタンスを使用します。
操作手順
ステップ 1: インスタンスの基本情報の設定
この例では、従量課金の標準 GA インスタンスを使用します。
Global Accelerator コンソールの ページで、[標準従量課金インスタンスの作成] をクリックします。
[インスタンスの基本設定] ステップで、基本情報を設定し、[次へ] をクリックします。

ステップ 2: 加速エリアの設定
[加速エリアの設定] ステップで、加速リージョンを追加し、そのリージョンに帯域幅を割り当ててから、[次へ] をクリックします。
この例では、中国 (香港) リージョンを使用します。[加速リージョン] パラメーターを [中国 (香港)] に、[ISP 回線タイプ] パラメーターを [BGP (マルチ ISP)] に設定します。他のパラメーターはデフォルト値を使用するか、必要に応じて変更できます。詳細については、「加速エリアの追加と管理」をご参照ください。
加速リージョンに中国本土のリージョンが含まれる場合、サービスを提供するためにはドメイン名の ICP 登録 を申請する必要があります。
最大帯域幅に小さい値を指定すると、スロットリングが発生し、パケットがドロップされる可能性があります。必要に応じて最大帯域幅を指定してください。

ステップ 3: リスナーの設定
リスナーの設定 ページでリスナーを設定し、次へ をクリックします。
このシナリオでは、プロトコル を [TCP] に、ポート を SSL サーバーが使用するポートである [1194] に設定します。他のパラメーターはデフォルト値を使用するか、必要に応じて変更できます。リスナーの設定に関する詳細については、「インテリジェントルーティングのリスナーの追加と管理」をご参照ください。
ステップ 4: エンドポイントグループとエンドポイントの設定
-
エンドポイントノードグループの設定 ページでバックエンドサービスを設定し、次へ をクリックします。
このシナリオでは、リージョン を [米国 (シリコンバレー)] に、バックエンドサービスタイプ を カスタムIP に設定します。バックエンドサービス には、SSL サーバーのパブリック IP アドレスを入力します。これは、VPN Gateway インスタンスの詳細ページの IP アドレス 列にある VPN Gateway の [ゲートウェイ IP アドレス] です。次に、データのクロスボーダー運用に関するコンプライアンス誓約書 を読み、選択します。他のパラメーターはデフォルト値を使用するか、必要に応じて変更できます。エンドポイントグループの設定に関する詳細については、「インテリジェントルーティングリスナーのエンドポイントグループの追加と管理」をご参照ください。

-
設定監査 ページで GA インスタンスの設定を確認し、送信する をクリックします。
-
インスタンスが作成されたら、インスタンスの詳細に移動する をクリックします。インスタンス詳細ページでは、インスタンス情報、リスナー、アクセラレーションエリア タブをクリックしてインスタンスの設定を表示できます。
たとえば、アクセラレーションエリア タブで GA の高速化 IP アドレスを確認できます。
ステップ 5: クライアントの config.ovpn ファイルの設定
`config.ovpn` ファイルは、OpenVPN クライアントと特定の SSL サーバー間の接続を確立するための基本パラメーターや証明書などの情報を設定するために使用されます。このファイルの remote フィールドは、クライアントが接続するサーバーの IP アドレスを指定します。Global Accelerator (GA) を使用しない場合、remote フィールドは SSL サーバーの IP アドレスです。GA を使用する場合、クライアントが Alibaba Cloud の高速化ネットワークを介して接続するように、このフィールドを GA の高速化 IP アドレスに変更する必要があります。
このトピックでは、Windows クライアントを例として使用します。具体的な手順は、クライアントのオペレーティングシステムによって異なる場合があります。詳細については、「クライアントの設定」をご参照ください。
-
デスクトップの右下隅にある VPN アイコンを右クリックし、[設定の編集] をクリックして `config.ovpn` ファイルを開きます。
remoteフィールドを SSL サーバーの IP アドレスから GA インスタンスの高速化 IP アドレスに変更し、ファイルを保存します。 -
デスクトップの右下隅にある VPN アイコンを再度右クリックし、[再接続] をクリックして SSL-VPN 接続を再開します。
ステップ 6: 接続のテスト
開始する前に、ご利用の ECS インスタンスの セキュリティグループルールで、エンドポイントのパブリック IP アドレスからのトラフィックが許可されていることを確認してください。
設定の確認
-
加速リージョン (この例では中国 (香港)) のコンピューターから Web ブラウザーを開き、
http://<ECS インスタンスのプライベート IP アドレス>にアクセスします。バックエンドサービスにアクセスできる場合、ページには次の内容が表示されます:Hello World ! This is ECS. -
VPN ゲートウェイコンソールで、[SSL サーバー] ページに移動します。送信先 SSL サーバーを見つけ、その ID をクリックします。詳細ページで、接続されているクライアントの情報を確認します。
実際の IP 列に表示される IP アドレスが GA の場合、SSL 接続は GA によって高速化されています。
高速化パフォーマンスのテスト
GA を使用する前と後で、curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total}\n" "http://<ECS インスタンスのプライベート IP アドレス>" コマンドを実行して遅延を測定します。
-
GA を設定する前のネットワーク遅延をテストします。
このテストを実行する前に、クライアントの `config.ovpn` ファイルの
remoteフィールドが SSL サーバーのパブリック IP アドレスに設定されており、SSL サーバーが報告する [クライアント IP] がクライアントのパブリック IP アドレスであることを確認してください。C:\Users\Administrator>curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total}\n" "http://172.20.122.236" time_connect: 0.163520 time_starttransfer: 0.715961 time_total: 0.716210 -
GA を設定した後のネットワーク遅延をテストします。
このテストを実行する前に、クライアントの
config.ovpnファイル内のremoteフィールドが GA の高速化 IP に設定されていること、および SSL サーバーが [クライアント IP] を GA として報告することを確認してください。C:\Users\Administrator>curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total} \n" "http://172.20.122.236" time_connect: 0.149367 time_starttransfer: 0.299847 time_total: 0.300105 -
加速性能を比較します。
パラメーターの説明:
-
connection time:プロセスの開始から TCP 接続が確立されるまでの接続時間 (秒)。
-
time to first byte (TTFB):最初のバイトまでの時間 (TTFB)。クライアントがリクエストを送信してから、バックエンドサービスからレスポンスの最初のバイトを受信するまでの時間 (秒)。
-
total time:クライアントがリクエストを送信してから、バックエンドサービスとのセッションが完了するまでの合計時間 (秒)。
パラメーター
高速化前 (秒)
高速化後 (秒)
改善
改善率 (%)
接続時間
0.163520
0.149367
0.014153
8.66%
最初のバイトまでの時間 (TTFB)
0.715961
0.299847
0.416114
58.12%
合計時間
0.716210
0.300105
0.416105
58.10%
説明このトピックの例とデータは参考用です。実際の高速化パフォーマンスは、お客様のビジネステストによって異なります。
-
よくある質問
GA がサポートしていないオリジンリージョンでの使用
クライアントのアクセス障害のトラブルシューティング
関連ドキュメント
-
SSL-VPN 接続用に GA をデプロイすると、追加の GA 関連の料金が発生します。これらの料金には、GA インスタンス料金、CU 料金、トラフィック料金が含まれます。詳細については、「従量課金 Global Accelerator インスタンスの課金」をご参照ください。
-
クロスボーダーシナリオでは、高速化はデフォルトで BGP (マルチ ISP) Pro 回線 を使用します。より高いネットワーク品質が必要な場合は、クロスボーダー Express Connect 回線 を使用できます。詳細については、「高速化設定の選択」をご参照ください。