GA を使用した SSL-VPN の高速化

更新日時
Copy as MD

リモートワークや、異なるリージョンにまたがるエンタープライズアプリケーションにアクセスする際、SSL-VPN を使用して GA 内のアプリケーションに安全にアクセスできます。しかし、これらのクロスリージョン接続は、不安定性や高遅延といった問題が発生しやすく、生産性に影響を与える可能性があります。Global Accelerator (GA) を使用することで、SSL-VPN 接続を最適化できます。GA は、Alibaba Cloud の高品質な BGP 帯域幅とグローバル伝送ネットワークを活用して、クロスリージョンアクセスにおける遅延や不安定性を解決し、リモートワークの効率とセキュリティを向上させます。

はじめに

SSL-VPN は、OpenVPN に基づくネットワーク接続技術です。証明書を使用してクライアント認証とデータ暗号化を行い、インターネットクライアントと Virtual Private Cloud (VPC) の間に安全で信頼性の高いネットワーク接続を確立します。

Global Accelerator (GA) は、Alibaba Cloud の高品質な BGP 帯域幅とグローバル伝送ネットワークを活用したグローバルネットワーク高速化サービスです。最寄りのネットワークアクセスとクロスリージョンデプロイメントを提供し、遅延、ジッター、パケット損失を削減することで、高可用性かつ高性能なネットワーク高速化サービスを実現します。

SSL-VPN と GA を併用することで、データセキュリティを確保しつつ、リモート接続の品質と速度を大幅に向上させ、ユーザーエクスペリエンスを強化できます。

主な特徴

  • 安全な暗号化:SSL-VPN は SSL プロトコルを使用してデータを暗号化し、リモート接続のセキュリティを確保します。

  • GA は、世界中の複数のリージョンにまたがる高速接続を提供し、遅延を削減してアクセス速度を向上させます。

  • 安定性と信頼性:GA は Alibaba Cloud のグローバル伝送ネットワークに依存し、安定した接続品質を提供します。

利用シーン

  • 多国籍企業のリモートワーク:従業員は SSL-VPN を通じて会社の内部ネットワークリソースに安全にアクセスでき、GA を使用して接続速度を向上させ、生産性を確保します。

  • ゲームおよびビデオアプリケーション:安全な接続を必要とするエンドユーザーに高速アクセスを提供し、ユーザーのサインインとデータ転送を高速化します。

  • データ機密性の高い業界:金融や医療など、データセキュリティが求められる業界では、SSL-VPN を使用してデータセキュリティを確保し、GA を使用してアクセスエクスペリエンスを向上させることができます。

シナリオ例

中国 (香港) リージョンの従業員は、Alibaba Cloud VPN Gateway を介した SSL-VPN 接続を使用して、米国 (シリコンバレー) リージョンにある社内アプリケーションに安全にアクセスします。国をまたぐパブリックインターネットの不安定性により、ラグや高遅延が頻繁に発生し、リモートでの生産性に影響を与えています。

この問題を解決するため、同社は GA をデプロイし、リモートチームからのアクセスリクエストを最寄りの Alibaba Cloud の POP (Point of Presence) にルーティングしてネットワークを高速化します。これにより、従業員はよりスムーズで効率的な業務体験を得ることができます。

前提条件

  • VPC 内の Elastic Compute Service (ECS) インスタンスにアプリケーションをデプロイ済みであること。

    このトピックでは、Alibaba Cloud Linux 3 を実行し、Nginx を使用して HTTP ポート 80 でバックエンドアプリケーションを提供する ECS インスタンスを使用します。

    ECS インスタンスにテストサービスをデプロイするためのサンプルコマンド

    yum install -y nginx
    systemctl start nginx.service
    cd /usr/share/nginx/html/
    echo "Hello World ! This is ECS." > index.html
  • SSL-VPN 接続を介して VPC に接続するようにクライアントを設定済みであること

操作手順

ステップ 1: インスタンスの基本情報の設定

この例では、従量課金の標準 GA インスタンスを使用します。

  1. Global Accelerator コンソール[標準インスタンス] > [インスタンス] ページで、[標準従量課金インスタンスの作成] をクリックします。

  2. [インスタンスの基本設定] ステップで、基本情報を設定し、[次へ] をクリックします。

    GA基础配置.png

ステップ 2: 加速エリアの設定

[加速エリアの設定] ステップで、加速リージョンを追加し、そのリージョンに帯域幅を割り当ててから、[次へ] をクリックします。

この例では、中国 (香港) リージョンを使用します。[加速リージョン] パラメーターを [中国 (香港)] に、[ISP 回線タイプ] パラメーターを [BGP (マルチ ISP)] に設定します。他のパラメーターはデフォルト値を使用するか、必要に応じて変更できます。詳細については、「加速エリアの追加と管理」をご参照ください。

重要
  • 加速リージョンに中国本土のリージョンが含まれる場合、サービスを提供するためにはドメイン名の ICP 登録 を申請する必要があります。

  • 最大帯域幅に小さい値を指定すると、スロットリングが発生し、パケットがドロップされる可能性があります。必要に応じて最大帯域幅を指定してください。

GA加速区域.png

ステップ 3: リスナーの設定

リスナーの設定 ページでリスナーを設定し、次へ をクリックします。

このシナリオでは、プロトコル[TCP] に、ポート を SSL サーバーが使用するポートである [1194] に設定します。他のパラメーターはデフォルト値を使用するか、必要に応じて変更できます。リスナーの設定に関する詳細については、「インテリジェントルーティングのリスナーの追加と管理」をご参照ください。

ステップ 4: エンドポイントグループとエンドポイントの設定

  1. エンドポイントノードグループの設定 ページでバックエンドサービスを設定し、次へ をクリックします。

    このシナリオでは、リージョン[米国 (シリコンバレー)] に、バックエンドサービスタイプカスタムIP に設定します。バックエンドサービス には、SSL サーバーのパブリック IP アドレスを入力します。これは、VPN Gateway インスタンスの詳細ページの IP アドレス 列にある VPN Gateway の [ゲートウェイ IP アドレス] です。次に、データのクロスボーダー運用に関するコンプライアンス誓約書 を読み、選択します。他のパラメーターはデフォルト値を使用するか、必要に応じて変更できます。エンドポイントグループの設定に関する詳細については、「インテリジェントルーティングリスナーのエンドポイントグループの追加と管理」をご参照ください。

    GA 跨境合规 INTL.png

  2. 設定監査 ページで GA インスタンスの設定を確認し、送信する をクリックします。

  3. インスタンスが作成されたら、インスタンスの詳細に移動する をクリックします。インスタンス詳細ページでは、インスタンス情報リスナーアクセラレーションエリア タブをクリックしてインスタンスの設定を表示できます。

    たとえば、アクセラレーションエリア タブで GA の高速化 IP アドレスを確認できます。

ステップ 5: クライアントの config.ovpn ファイルの設定

説明

`config.ovpn` ファイルは、OpenVPN クライアントと特定の SSL サーバー間の接続を確立するための基本パラメーターや証明書などの情報を設定するために使用されます。このファイルの remote フィールドは、クライアントが接続するサーバーの IP アドレスを指定します。Global Accelerator (GA) を使用しない場合、remote フィールドは SSL サーバーの IP アドレスです。GA を使用する場合、クライアントが Alibaba Cloud の高速化ネットワークを介して接続するように、このフィールドを GA の高速化 IP アドレスに変更する必要があります。

このトピックでは、Windows クライアントを例として使用します。具体的な手順は、クライアントのオペレーティングシステムによって異なる場合があります。詳細については、「クライアントの設定」をご参照ください。

  1. デスクトップの右下隅にある VPN アイコンを右クリックし、[設定の編集] をクリックして `config.ovpn` ファイルを開きます。remote フィールドを SSL サーバーの IP アドレスから GA インスタンスの高速化 IP アドレスに変更し、ファイルを保存します。

  2. デスクトップの右下隅にある VPN アイコンを再度右クリックし、[再接続] をクリックして SSL-VPN 接続を再開します。

ステップ 6: 接続のテスト

重要

開始する前に、ご利用の ECS インスタンスの セキュリティグループルールで、エンドポイントのパブリック IP アドレスからのトラフィックが許可されていることを確認してください。

設定の確認

  1. 加速リージョン (この例では中国 (香港)) のコンピューターから Web ブラウザーを開き、http://<ECS インスタンスのプライベート IP アドレス> にアクセスします。バックエンドサービスにアクセスできる場合、ページには次の内容が表示されます:

    Hello World ! This is ECS.
  2. VPN ゲートウェイコンソールで、[SSL サーバー] ページに移動します。送信先 SSL サーバーを見つけ、その ID をクリックします。詳細ページで、接続されているクライアントの情報を確認します。

    実際の IP 列に表示される IP アドレスが GA の場合、SSL 接続は GA によって高速化されています。

高速化パフォーマンスのテスト

GA を使用する前と後で、curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total}\n" "http://<ECS インスタンスのプライベート IP アドレス>" コマンドを実行して遅延を測定します。

  1. GA を設定する前のネットワーク遅延をテストします。

    このテストを実行する前に、クライアントの `config.ovpn` ファイルの remote フィールドが SSL サーバーのパブリック IP アドレスに設定されており、SSL サーバーが報告する [クライアント IP] がクライアントのパブリック IP アドレスであることを確認してください。

    C:\Users\Administrator>curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total}\n" "http://172.20.122.236"
    time_connect: 0.163520
    time_starttransfer: 0.715961
    time_total: 0.716210
  2. GA を設定した後のネットワーク遅延をテストします。

    このテストを実行する前に、クライアントの config.ovpn ファイル内の remote フィールドが GA の高速化 IP に設定されていること、および SSL サーバーが [クライアント IP]GA として報告することを確認してください。

    C:\Users\Administrator>curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total} \n" "http://172.20.122.236"
    time_connect: 0.149367
    time_starttransfer: 0.299847
    time_total: 0.300105
  3. 加速性能を比較します。

    パラメーターの説明:

    • connection time:プロセスの開始から TCP 接続が確立されるまでの接続時間 (秒)。

    • time to first byte (TTFB):最初のバイトまでの時間 (TTFB)。クライアントがリクエストを送信してから、バックエンドサービスからレスポンスの最初のバイトを受信するまでの時間 (秒)。

    • total time:クライアントがリクエストを送信してから、バックエンドサービスとのセッションが完了するまでの合計時間 (秒)。

    パラメーター

    高速化前 (秒)

    高速化後 (秒)

    改善

    改善率 (%)

    接続時間

    0.163520

    0.149367

    0.014153

    8.66%

    最初のバイトまでの時間 (TTFB)

    0.715961

    0.299847

    0.416114

    58.12%

    合計時間

    0.716210

    0.300105

    0.416105

    58.10%

    説明

    このトピックの例とデータは参考用です。実際の高速化パフォーマンスは、お客様のビジネステストによって異なります。

よくある質問

GA がサポートしていないオリジンリージョンでの使用

はい。

エンドポイントグループのリージョンを設定する際、オリジンサーバーに最も近いリージョンを選択してください。Global Accelerator は、受信リクエストをエンドポイントグループ内の最適なエンドポイントに転送します。

クライアントのアクセス障害のトラブルシューティング

設定後にアプリケーションが GA を介してバックエンドサービスに接続できない場合は、以下を確認してください:

  • バックエンドサービスが正常に動作しているか確認します。

    バックエンドサービスに直接アクセスします。バックエンドサービスにアクセスできない場合は、オリジンサーバーのトラブルシューティングを行ってください。

  • DNS 解決に CNAME レコードを使用している場合、クライアントリージョンが GA の加速エリアとして追加されているか確認します。

    GA インスタンスの CNAME はリージョン固有であり、加速エリアの設定に依存します。クロスリージョンアクセスは失敗する可能性があります。

    たとえば、加速エリアに中国本土以外 (香港 (中国) を除く) のリージョンのみが含まれている場合、CNAME レコードは中国本土では有効にならず、中国本土のクライアントからのアクセスが失敗します。以下のいずれかのソリューションを使用できます:

    • ソリューション 1:クライアントの場所に基づいたインテリジェント DNS 解析を設定します。中国本土以外のトラフィックは GA CNAME に解決し、中国本土からのトラフィックは直接オリジンサーバーに解決します。

      この場合、中国本土以外のトラフィックは、中国本土以外の加速エリアの高速化 IP アドレスを介して GA に入ります。中国本土からのトラフィックは直接オリジンサーバーに接続するため、ISP や国際リンクの制限により遅延やパケット損失が発生する可能性があります。

    • ソリューション 2:GA インスタンスに中国本土の加速エリアを追加し、デフォルトの DNS 回線を使用してリクエストを GA CNAME に解決します。

      GA は、リクエストが開始されたリージョンに基づいて高速化 IP アドレスを自動的に割り当てます。中国本土以外のトラフィックは、中国本土以外の加速エリアの高速化 IP アドレスを介して GA にルーティングされ、中国本土からのトラフィックは、中国本土の加速エリアの高速化 IP アドレスを介して GA にルーティングされます。

      :加速エリアに中国本土が含まれ、サービストラフィックが HTTP または HTTPS の場合、ドメイン名の ICP 登録 を取得する必要があります。そうしないと、高速化は失敗します。

  • バックエンドサーバーにセキュリティポリシーがあるか確認します。

    エンドポイントのバックエンドへのパブリック IP アドレスからのトラフィックが許可されているか確認します。この IP アドレスは リスナーの詳細 タブで確認できます。オリジンサーバーが Sangfor SSL VPN やファイアウォールなどのサードパーティ製セキュリティデバイスで保護されている場合、GA エンドポイントのバックエンドへのパブリック IP アドレスをデバイスの許可リストに追加する必要があります。そうしないと、接続タイムアウトが発生する可能性があります。

  • 必要なサービスポートが GA リスナーに追加されているか確認します。

    たとえば、Web アプリケーションがポート 80 とポート 443 の両方を使用する場合、両方のポートを GA リスナーに追加する必要があります。そうしないと、リスナーにないポートを使用して GA インスタンスにアクセスしようとすると、アクセスは失敗します。

  • オリジンサーバーが Alibaba Cloud にデプロイされていない場合、[クライアント IP の保持] 機能が有効になっているか確認します。

    クライアントの配信元 IP アドレスの保持 機能は、オリジンサーバーが Proxy Protocol をサポートしている必要があります。そうしないと、アクセスは失敗します。[クライアント IP の保持] 機能を無効にして、再度サービスにアクセスしてみてください。

  • トラフィックが加速エリアの帯域幅ピークを超えていないか確認します。

    • モニタリングチャート タブで接続数と帯域幅使用量を確認できます。トラフィックの急増は DDoS 攻撃を示している可能性があります。インスタンスのメトリックを表示するには、「インスタンスのメトリックの表示」をご参照ください。

    • 加速エリアの帯域幅ピークを変更できます。詳細については、「加速エリアの変更」をご参照ください。

  • GA インスタンスで アクセス制御リスト (ACL) が有効になっており、クライアントの IP アドレスが ACL の許可リストに含まれているか確認します。

  • ドメイン名の DNS 解決が、GA の CNAME または高速化 IP アドレスに正しく解決されるように設定されているか確認します。

    dig などのコマンドを使用して確認できます。CNAME レコードの設定方法の詳細については、「CNAME レコードの設定」をご参照ください。

  • ヘルスチェックポートがバックエンドサービスのリッスンポートと一致しているか確認します。

    GA が CLB などのロードバランサーを介してバックエンドサービスにリクエストをルーティングする場合、ヘルスチェックポートはバックエンドサービスの実際のリッスンポートと同じである必要があります。ポートマッピングのシナリオでは、実際のバックエンドリッスンポートが GA のリスナーポートと異なる場合があります。この場合、実際のバックエンドリッスンポートに基づいてヘルスチェックを設定する必要があります。そうしないと、ヘルスチェックが失敗し、バックエンドサーバーが利用不可と見なされ、アクセス障害が発生します。

関連ドキュメント

  • SSL-VPN 接続用に GA をデプロイすると、追加の GA 関連の料金が発生します。これらの料金には、GA インスタンス料金、CU 料金、トラフィック料金が含まれます。詳細については、「従量課金 Global Accelerator インスタンスの課金」をご参照ください。

  • クロスボーダーシナリオでは、高速化はデフォルトで BGP (マルチ ISP) Pro 回線 を使用します。より高いネットワーク品質が必要な場合は、クロスボーダー Express Connect 回線 を使用できます。詳細については、「高速化設定の選択」をご参照ください。