転送中のデータのセキュリティを強化する必要がある場合、また、インターネット経由でファイルストレージ NAS(NAS)に直接アクセスすることを避けるために、安定した安全な非公開接続を確立する必要がある場合は、VPN ゲートウェイ サービスを使用できます。 この Topic では、オンプレミス サーバーに NAS ファイルシステムをマウントする方法と、VPN ゲートウェイを使用してリージョンをまたがって Elastic Compute Service (ECS) インスタンスに NAS ファイルシステムをマウントする方法について説明します。
シナリオ
VPN ゲートウェイを使用して、データセンターと VPC 間、または異なるリージョンにある VPC 間の通信を有効にすることができます。 次のシナリオで VPN ゲートウェイを使用してファイルシステムをマウントできます。
リージョンをまたがって ECS インスタンスにファイルシステムをマウントする
1 つの VPC の ECS インスタンスに VPN ゲートウェイを作成済みの場合は、もう一方の VPC に別の VPN ゲートウェイを作成する必要があります。 その後、2 つの VPN ゲートウェイ間の接続を確立する必要があります。 詳細については、「リージョンをまたがってファイルシステムをマウントする(VPN ゲートウェイが 1 つ利用可能な場合)」をご参照ください。
環境に VPN ゲートウェイが存在しない場合は、2 つの VPC に VPN ゲートウェイを作成し、ゲートウェイを接続することをお勧めします。 詳細については、「リージョンをまたがってファイルシステムをマウントする(VPN ゲートウェイが利用できない場合)」をご参照ください。
オンプレミス サーバーにファイルシステムをマウントする
ファイルシステムとマウント ターゲットを作成します。
NAS コンソール にログインします。
ファイルシステムを作成します。 詳細については、「NAS コンソールでパフォーマンス汎用型 NAS ファイルシステムを作成する」をご参照ください。
VPC にマウント ターゲットを作成します。 詳細については、「マウント ターゲットを作成する」をご参照ください。
VPC とデータセンター間の接続を作成します。 詳細については、「データセンターを VPC に接続する」をご参照ください。
オンプレミス サーバーと、VPC 内にある ECS インスタンスまたはマウント ターゲット間の接続を確認します。
パブリック IP アドレスを持たない ECS インスタンスにログインします。 ECS インスタンスで、ping コマンドを使用して、オンプレミス サーバーのプライベート IP アドレスを ping し、接続を確認します。
ping コマンドを使用して接続を確認したら、VPC 内にあるファイルシステムをオンプレミス サーバーにマウントできます。 詳細については、「使用上の注意」をご参照ください。
リージョンをまたがって ECS インスタンスにファイルシステムをマウントする
リージョンをまたがってファイルシステムをマウントする(VPN ゲートウェイが 1 つ利用可能な場合)
次の例は、異なるリージョンにある VPC 1 と VPC 2 という名前の 2 つの VPC の実際のシナリオを示しています。
ファイルシステムとマウント ターゲットを作成します。
NAS コンソール にログインします。
ファイルシステムを作成します。 詳細については、「NAS コンソールでパフォーマンス汎用型 NAS ファイルシステムを作成する」をご参照ください。
VPC にマウント ターゲットを作成します。 詳細については、「マウント ターゲットを作成する」をご参照ください。
VPC 1 にマウント ターゲットを作成します。
VPC 2 で、ECS インスタンスにカスタマー ゲートウェイとして VPN ゲートウェイを作成します。
説明VPC 1 にある VPN ゲートウェイに接続するには、ECS インスタンスのパブリック IP アドレスを指定する必要があります。
ECS インスタンスに VPN ゲートウェイを作成する方法の詳細については、「CentOS 7 に strongSwan IPSec VPN サーバーをインストールする」などのチュートリアルをご参照ください。
それぞれ VPC 1 と VPC 2 にある VPN ゲートウェイ間の接続を確立します。
VPC コンソール にログインします。
ステップ 2 で作成した、VPC 1 と VPC 2 にある VPN ゲートウェイ間の通信を有効にする VPN 接続を作成します。 詳細については、「ステップ 3: IPsec-VPN 接続を作成する」をご参照ください。
VPC 2 にある他の ECS インスタンスにスタティック ルートを設定します。 詳細については、「ステップ 5: VPN ゲートウェイのルートを設定する」をご参照ください。
[接続先 CIDR ブロック] を VPC 1 のプライベート CIDR ブロックに設定し、[ネクストホップ] を VPC 2 にあるカスタマー ゲートウェイに設定します。
VPC 1 と、VPC 2 にある ECS インスタンスまたはマウント ターゲット間の接続を確認します。
VPC 1 にある ECS インスタンスにログインし、ping コマンドを実行して、VPC 2 にある ECS インスタンスの IP アドレスを ping します。
ping コマンドを使用して接続を確認したら、VPC 1 にあるファイルシステムを、VPC 2 にある ECS インスタンスにマウントできます。 詳細については、「使用上の注意」をご参照ください。
リージョンをまたがってファイルシステムをマウントする(VPN ゲートウェイが利用できない場合)
次の例は、異なるリージョンにある VPC 1 と VPC 2 という名前の 2 つの VPC の実際のシナリオを示しています。
ファイルシステムとマウント ターゲットを作成します。
NAS コンソール にログインします。
ファイルシステムを作成します。 詳細については、「NAS コンソールでパフォーマンス汎用型 NAS ファイルシステムを作成する」をご参照ください。
VPC にマウント ターゲットを作成します。 詳細については、「マウント ターゲットを作成する」をご参照ください。
VPC 1 にマウント ターゲットを作成します。
それぞれ VPC 1 と VPC 2 にある VPN ゲートウェイ間の接続を確立します。
VPC コンソール にログインします。
VPC 1 と VPC 2 にそれぞれ VPN ゲートウェイを作成します。 詳細については、「ステップ 1: VPN ゲートウェイを作成する」をご参照ください。
VPC 1 と VPC 2 にそれぞれカスタマー ゲートウェイを作成します。 詳細については、「ステップ 2: カスタマー ゲートウェイを作成する」をご参照ください。
VPC 1 にカスタマー ゲートウェイを作成する場合は、[IP アドレス] を VPC 1 にある VPN ゲートウェイの IP アドレスに設定します。 VPC 2 にカスタマー ゲートウェイを作成する場合は、IP アドレスを VPC 2 にある VPN ゲートウェイの IP アドレスに設定します。
VPC 1 と VPC 2 にある VPN ゲートウェイのルートをそれぞれ設定します。 詳細については、「ステップ 5: VPN ゲートウェイのルートを設定する」をご参照ください。
VPC 1 にある VPN ゲートウェイのルートを設定する場合は、[接続先 CIDR ブロック] を VPC 2 のプライベート CIDR ブロックに設定し、[ネクストホップ] を VPC 1 にあるカスタマー ゲートウェイの名前に設定します。
VPC 2 にある VPN ゲートウェイのルートを設定する場合は、[接続先 CIDR ブロック] を VPC 1 のプライベート CIDR ブロックに設定し、[ネクストホップ] を VPC 2 にあるカスタマー ゲートウェイの名前に設定します。
VPC 1 と、VPC 2 にある ECS インスタンスまたはマウント ターゲット間の接続を確認します。
VPC 1 にある ECS インスタンスにログインし、ping コマンドを実行して、VPC 2 にある ECS インスタンスの IP アドレスを ping します。
ping コマンドを使用して接続を確認したら、VPC 1 にあるファイルシステムを、VPC 2 にある ECS インスタンスにマウントできます。 詳細については、「使用上の注意」をご参照ください。