GAを使用したSSL-VPN接続の高速化 - Global Accelerator - Alibaba Cloud ドキュメントセンター

在宅勤務やエンタープライズアプリケーションへのクロスリージョンアクセスなどのシナリオでは、SSL-VPNは仮想プライベートクラウド (VPC) のアプリケーションに安全にアクセスするために使用されます。ただし、不安定な接続や高いレイテンシなどの問題が発生し、作業効率に影響します。 Global Accelerator (GA) を使用して、SSL-VPN接続を最適化できます。 GAは、Alibaba Cloudの高品質のBGP帯域幅とグローバル伝送ネットワークを使用して、不安定な接続や高遅延などの問題を解決し、在宅勤務の効率とセキュリティを向上させます。

機能

SSL-VPNは、OpenVPNベースのネットワーク接続テクノロジーです。 SSL-VPNには、インターネットクライアントの認証とデータ送信の暗号化に証明書のインストールが必要です。 SSL-VPNを使用して、インターネットクライアントとVPC間に安全で信頼性の高いネットワーク接続を確立できます。

GAは、安定したBGP回線とAlibaba Cloudの混雑のないグローバルネットワークを使用して、インターネット向けアプリケーションを高速化します。 GAは、ビジネスシステムがリージョンをまたいでデプロイされている場合や、グローバルユーザーがアクセスできる場合に、ネットワークの待ち時間、ネットワークのジッター、パケット損失を削減できます。ユーザーは、世界中の最も近いアクセスポイントに接続することで、ビジネスシステムにアクセスできます。 GAは、webアプリケーションの高可用性と高性能を保証します。

SSL-VPNとGAを併用することで、リモート接続の品質と速度を向上させ、データのセキュリティを確保し、ユーザーエクスペリエンスを向上させることができます。

主な機能

セキュリティのためのデータ暗号化: SSL-VPNはSSLプロトコルを使用してデータを暗号化し、リモート接続のセキュリティを確保します。
アクセスの高速化: GAを使用して、世界中の複数のリージョンに接続できます。これは待ち時間を減らし、アクセスを加速します。
安定性と信頼性: GAは、安定した接続を提供するためにAlibaba Cloudのグローバル伝送ネットワークに依存しています。

シナリオ

多国籍企業向けの在宅勤務: 企業の従業員は、SSL-VPNを通じて内部リソースに安全にアクセスし、GAを使用して接続速度を向上させ、作業効率を確保できます。
ゲームおよびビデオアプリケーション: GAは、安全な接続を必要とするエンドユーザーに高速アクセスを提供し、ユーザーログオンとデータ送信を高速化します。
データに敏感な業界: 金融やヘルスケアなど、データセキュリティを必要とする業界は、SSL-VPNを使用してデータセキュリティを確保し、GAを使用してアクセス速度を向上させることができます。

例

中国 (香港) の従業員は、VPN GatewayのSSL-VPN機能を使用して、米国 (シリコンバレー) の内部アプリケーションに安全にアクセスします。国境を越えたインターネット接続が不安定であるため、高いレイテンシが発生し、在宅勤務の効率に影響を与えます。

この問題を解決するために、同社はGAを使用して、Alibaba Cloudグローバル伝送ネットワークの最も近いアクセスポイントにリクエストをルーティングします。これにより、アクセスが加速され、作業効率が向上します。

前提条件

ECS (Elastic Compute Service) インスタンスがVPCにデプロイされ、アプリケーションがECSインスタンスにデプロイされます。
この例では、Alibaba Cloud Linux 3オペレーティングシステムが使用されています。 NGINXは、ポート80を使用するバックエンドHTTPサービスを設定するために使用されます。
ECSインスタンスにテストアプリケーションをデプロイするためのサンプルコマンド
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World !  This is ECS." > index.html
```
クライアントはVPCに接続されています。

手順

手順1: インスタンスに関する基本情報の設定

この例では、従量課金の標準GAインスタンスが使用されています。

GAコンソールの [標準インスタンス] > [インスタンス] ページで、[標準従量課金インスタンスの作成] をクリックします。
[基本インスタンス設定] ステップで、基本情報を設定し、[次へ] をクリックします。

ステップ2: アクセラレーションエリアの設定

[アクセラレーションエリアの設定] ステップで、アクセラレーションリージョンを追加し、帯域幅をリージョンに割り当て、[次へ] をクリックします。

この例では、中国 (香港) リージョンが使用されています。 アクセラレーションエリアパラメーターは中国 (香港) に設定され、ISP回線タイプパラメーターはBGP (マルチISP) に設定されます。他のパラメーターにデフォルト値を使用したり、ビジネス要件に基づいてパラメーターを変更したりできます。詳細については、「アクセラレーションエリアの追加と管理」をご参照ください。

GA加速区域.png

手順3: リスナーの設定

[リスナーの設定] ステップで、転送プロトコルとポートを設定し、[次へ] をクリックします。

この例では、ProtocolパラメーターはTCPに設定されています。 Portパラメーターは、SSLサーバーのポートである1194に設定されています。他のパラメーターにデフォルト値を使用したり、ビジネス要件に基づいてパラメーターを変更したりできます。リスナーの設定方法の詳細については、「インテリジェントルーティングリスナーの追加と管理」をご参照ください。

监听.png

手順4: エンドポイントグループとエンドポイントの設定

[エンドポイントグループの設定] ステップで、エンドポイントを設定し、[次へ] をクリックします。
この例では、[Region] は [US (Silicon Valley)] に設定され、[Backend Service Type] は [Custom Public IP Address] に設定され、[Backend Service] はSSLサーバーのIPアドレスに設定されます。 国境を越えたデータ転送に関するコンプライアンスコミットメントを読んで選択します。他のパラメーターにデフォルト値を使用したり、ビジネス要件に基づいてパラメーターを変更したりできます。 SSLサーバーのIPアドレスは、VPNゲートウェイのパブリックIPアドレスでもあり、クライアントとVPNゲートウェイの間にSSL-VPN接続を確立するために使用されます。 VPN gatewayの [IPアドレス] 列でIPアドレスを取得できます。エンドポイントグループを設定する方法の詳細については、「インテリジェントルーティングリスナーの追加と管理」をご参照ください。
[設定の確認] ステップで設定を確認し、[送信] をクリックします。
インスタンス作成ページで、[インスタンスの詳細に移動] をクリックします。インスタンスの詳細ページで、インスタンス情報 、リスナー 、アクセラレーションエリア などのタブをクリックして、詳細を表示できます。
たとえば、アクセラレーションエリア タブからGAインスタンスのアクセラレーションIPアドレスを表示できます。

手順5: クライアントでconfig.ovpnファイルを設定する

説明

config.ovpnファイルは、OpenVPNクライアントとSSLサーバー間の接続の基本パラメータと証明書を設定するために使用できます。 remoteフィールドは、クライアントが接続されているサーバーのIPアドレスを指定します。 GAを使用しない場合、remoteフィールドはSSLサーバーのIPアドレスになります。 GAを使用した後、クライアントがAlibaba Cloudアクセラレーションネットワークにアクセスできるように、フィールドをGAのアクセラレーションIPアドレスに設定する必要があります。

この例では、Windowsクライアントが使用されます。操作は、クライアントのオペレーティングシステムによって異なります。詳細については、「クライアントの設定」をご参照ください。

デスクトップの右下隅にあるVPNアイコンを右クリックし、[設定の編集] をクリックして、config.ovpnファイルを設定します。 remoteフィールドをSSLサーバーのIPアドレスからGAインスタンスの高速IPアドレスに変更し、ファイルを保存します。
デスクトップの右下隅にあるVPNアイコンをもう一度右クリックし、[再接続] をクリックしてSSL-VPN接続を再開します。

ステップ6: ネットワーク接続のテスト

重要

テストの前に、ECSインスタンスのセキュリティグループルールがGAエンドポイントのパブリックIPアドレスを許可するように設定されていることを確認してください。

設定が有効になることを確認

ブラウザを使用して、アクセラレーションリージョンのコンピューターからhttp:// <ECSインスタンスのプライベートIPアドレス> にアクセスします。この例では、中国 (香港) リージョンのコンピューターが使用されています。サービスにアクセスできます。
VPNコンソールのSSLサーバーページで、SSLサーバーを見つけます。 SSLサーバーIDをクリックして詳細ページに移動し、接続されているクライアントに関する情報を表示します。
[実際のIP] 列に表示されるIPアドレスがGAエンドポイントのパブリックIPアドレスである場合、SSL-VPN接続はGAによって高速化されます。

加速パフォーマンスのテスト

GAを使用する前後に、curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total}\n" "http//Private IP address of the ECS instance>"コマンドを実行してレイテンシを確認します。

GAを設定する前にネットワークの待ち時間をテストします。
この手順を実行する前に、クライアントのconfig.ovpnファイルのremoteフィールドがSSLサーバーのIPアドレスに設定され、SSLサーバーの [実際のIP] 列にクライアントのパブリックIPアドレスが表示されていることを確認してください。
GAを設定した後のネットワーク待ち時間をテストします。
この手順を実行する前に、クライアントのconfig.ovpnファイルのremoteフィールドがGAの高速IPアドレスに設定され、SSLサーバーの [実際のIP] 列がGAエンドポイントのパブリックIPアドレスであることを確認してください。

レイテンシを比較します。

パラメータの説明：

time_connect: TCP接続を確立するために必要な期間。単位は秒です。
time_starttransfer: データ転送の開始時刻。開始時間は、クライアントがバックエンドサーバーにリクエストを送信してから、最初のバイトがクライアントに送信されるまでの時間を指します。単位は秒です。
time_total: 合計接続時間。合計接続時間は、クライアントがリクエストを送信してから、クライアントがバックエンドサーバーから最後のバイトを受信するまでの期間を指します。単位は秒です。

パラメーター	GAアクセラレーション前 (単位: 秒)	后GA加速 (単位: 秒)	加速効果 (単位: 秒)	加速効果 (単位: パーセンテージ)
time_connect	0.163520	0.149367	0.014153削減	8.66% の増加速度
time_starttransfer	0.715961	0.299847	0.416114削減	58.12% の増加速度
time_total	0.716210	0.300105	0.416105削減	58.10% の増加速度

説明

このトピックの例とデータは参考用です。サービスに対する実際のアクセラレーション効果が優先されます。

よくある質問

オリジンサーバーが展開されているリージョンがGAでサポートされていない場合、GAを使用できますか?

はい。

エンドポイントグループを設定するときに、オリジンサーバーに最も近いリージョンを選択できます。 GAは、エンドポイントグループの最適なエンドポイントにリクエストを転送します。

標準のGAインスタンスが設定されると、クライアントはバックエンドサービスにアクセスできなくなります。この問題の考えられる原因は何ですか?

バックエンドサービスへのアクセスを高速化するために使用されるGAインスタンスの設定が完了している場合、次の原因を確認します。

バックエンドサービスが期待どおりに機能しているかどうかを確認します。
バックエンドサービスに直接リクエストを送信します。バックエンドサービスによってエラーがスローされた場合は、オリジンサーバーでエラーがないか確認します。
CNAMEレコードを使用してドメイン名をマップする場合は、クライアントのリージョンが高速化リージョンとしてGAインスタンスに追加されているかどうかを確認します。
GAによって割り当てられたCNAMEは、アクセラレーション領域にスコープされます。クロスリージョンシナリオでは、リクエストが失敗する可能性があります。たとえば、GAインスタンスのすべてのアクセラレーションリージョンが中国本土の外部にある場合、中国本土からのリクエストは、GAによって割り当てられたCNAMEにマッピングできないため、アクセラレーションドメイン名にアクセスできません。中国本土のリージョンを高速化リージョンとしてGAインスタンスに追加するか、AまたはAAAAレコードを使用することを推奨します。
バックエンドサーバーに対してセキュリティポリシーが有効になっているかどうかを確認します。
エンドポイントのパブリックIPアドレスがインターネットにアクセスできるかどうかを確認します。エンドポイントのパブリックIPアドレスを表示するには、リスナーの詳細 タブに移動します。
GAインスタンスがサービスドメイン名を指すサービスポートをリッスンするかどうかを確認します。
たとえば、サービスがポート80とポート443を使用する場合、GAインスタンスは両方のポートでリッスンする必要があります。そうしないと、ポート80またはポート443宛ての要求が失敗する可能性があります。
オリジンサーバーがAlibaba Cloudにデプロイされているかどうかを確認します。オリジンサーバーがAlibaba Cloudにデプロイされている場合は、クライアント IP の保持機能が有効になっているかどうかを確認します。
クライアント IP の保持機能では、配信元サーバーがプロキシプロトコルをサポートする必要があります。そうしないと、要求は失敗する。詳細については、「クライアントIPアドレスの保存」をご参照ください。 クライアント IP の保持機能を無効にすることを推奨します。詳細については、「クライアントIPアドレスの保存を無効にする方法? 」をご参照ください。
帯域幅がアクセラレーションリージョンの最大帯域幅を超えているかどうかを確認します。
- モニタリングチャート機能を使用して、接続数と帯域幅使用量を確認できます。高い帯域幅消費は、DDoS攻撃によって引き起こされ得る。インスタンスモニタリングの詳細については、「インスタンスのモニタリング情報の表示」をご参照ください。
- ビジネス要件を満たすように、アクセラレーションリージョンの最大帯域幅を変更できます。アクセラレーションリージョンの最大帯域幅を変更する方法の詳細については、「アクセラレーションリージョンの変更」をご参照ください。
GAインスタンスのアクセス制御が有効になっているかどうか、およびクライアントIPアドレスがホワイトリストにあるかどうかを確認します。
詳細は、「アクセス制御」をご参照ください。
DNSレコードが正しく設定されているかどうか、特に高速化ドメイン名またはIPアドレスがGAによって割り当てられたCNAMEまたはIPアドレスにマッピングされているかどうかを確認します。
digコマンドを実行して、マッピングを確認できます。 CNAMEレコードを設定する方法の詳細については、「ドメイン名にCNAMEレコードを追加する」をご参照ください。

Global Accelerator:GAを使用したSSL-VPN接続の高速化

機能

主な機能

シナリオ

例

前提条件