VPN Gateway は、安全で安定したプライベート接続を提供するため、高いデータ伝送セキュリティを必要とし、NAS トラフィックをパブリックインターネットに公開することを避けなければならないシナリオに最適です。このトピックでは、VPN を使用して、オンプレミスサーバーおよび異なるリージョンにある Elastic Compute Service (ECS) インスタンスに File Storage NAS (NAS) ファイルシステムをマウントする方法について説明します。
ユースケース
Alibaba Cloud VPN Gateway サービスは、データセンターを Alibaba Cloud の Virtual Private Cloud (VPC) に接続し、異なるリージョンにある VPC 同士を接続します。VPN Gateway サービスを使用して、次の方法でファイルシステムをマウントします。
リージョンをまたいだ ECS インスタンスへのファイルシステムのマウント
ある VPC 内の ECS インスタンスに VPN ゲートウェイがすでにデプロイされている場合は、もう一方の VPC に別の VPN ゲートウェイを作成して接続する必要があります。詳細については、「VPN ゲートウェイが 1 つデプロイされている場合のリージョンをまたいだファイルシステムのマウント」をご参照ください。
既存の VPN ゲートウェイがない場合は、異なる VPC に VPN ゲートウェイを作成して接続する必要があります。詳細については、「VPN ゲートウェイがデプロイされていない場合のリージョンをまたいだファイルシステムのマウント」をご参照ください。
オンプレミスサーバーへのファイルシステムのマウント
ファイルシステムとマウントポイントを作成します。
NAS コンソールにログインします。
ファイルシステムを作成します。詳細については、「コンソールを使用した汎用 NAS ファイルシステムの作成」をご参照ください。
VPC にマウントポイントを作成します。詳細については、「マウントポイントの作成」をご参照ください。
VPC とデータセンター間の接続を確立します。詳細については、「VPC とデータセンター間の接続の確立」をご参照ください。
オンプレミスのデータセンター内のサーバーが、VPC 内の ECS インスタンスまたはファイルシステムのマウントポイントに接続できることを確認します。
パブリック IP アドレスを持たない Alibaba Cloud VPC 内の ECS インスタンスにログインします。ping コマンドを実行して、データセンター内のサーバーのプライベート IP アドレスに ping を実行し、接続を確認します。
接続が確認されたら、VPC 内のファイルシステムをオンプレミスサーバーにマウントします。詳細については、「ファイルシステムのマウント」をご参照ください。
リージョンをまたいだ ECS インスタンスへのファイルシステムのマウント
VPN ゲートウェイが 1 つデプロイされている場合のリージョンをまたいだファイルシステムのマウント
このセクションでは、異なるリージョンにある 2 つの VPC、VPC1 と VPC2 を例として使用します。
ファイルシステムとマウントポイントを作成します。
NAS コンソールにログインします。
ファイルシステムを作成します。詳細については、「コンソールを使用した汎用 NAS ファイルシステムの作成」をご参照ください。
VPC にマウントポイントを作成します。詳細については、「マウントポイントの作成」をご参照ください。
マウントポイントは VPC1 に追加されます。
VPC2 で、ECS インスタンス上に VPN ゲートウェイをセットアップします。このインスタンスはカスタマーゲートウェイとして機能します。
説明ECS インスタンスは、VPC1 の VPN ゲートウェイに接続するためにパブリック IP アドレスを持っている必要があります。
ECS サーバー上に VPN ゲートウェイをセットアップする方法の詳細については、「CentOS 7 への strongSwan IPsec-VPN サーバーのインストール」をご参照ください。
VPC1 と VPC2 の VPN ゲートウェイ間の接続を確立します。
VPC コンソールにログインします。
VPC1 と VPC2 の VPN ゲートウェイ (ステップ 2 で作成したカスタマーゲートウェイ) 間に VPN 接続を作成します。詳細については、「IPsec-VPN 接続の作成」をご参照ください。
VPC2 のルートテーブルにルートを追加します。詳細については、「VPN ゲートウェイのルート設定」をご参照ください。
宛先 CIDR ブロック を VPC1 のプライベート CIDR ブロックに設定し、ネクストホップ を VPN ゲートウェイとして機能する VPC2 内の ECS インスタンスに設定します。
VPC1 と VPC2 の ECS インスタンスまたはファイルシステムのマウントポイントの接続性を確認します。
VPC1 内の ECS インスタンスにログインし、ping コマンドを実行して VPC2 内の ECS インスタンスの IP アドレスに ping を実行し、接続を確認します。
接続が確認されたら、VPC1 のファイルシステムを VPC2 の ECS インスタンスにマウントします。詳細については、「ファイルシステムのマウント」をご参照ください。
VPN ゲートウェイがデプロイされていない場合のリージョンをまたいだファイルシステムのマウント
このセクションでは、異なるリージョンにある 2 つの VPC、VPC1 と VPC2 を例として使用します。
ファイルシステムとマウントポイントを作成します。
NAS コンソールにログインします。
ファイルシステムを作成します。詳細については、「コンソールを使用した汎用 NAS ファイルシステムの作成」をご参照ください。
VPC にマウントポイントを作成します。詳細については、「マウントポイントの作成」をご参照ください。
マウントポイントは VPC1 に追加されています。
VPC1 と VPC2 の VPN ゲートウェイ間の接続を確立します。
VPC コンソールにログインします。
VPC1 と VPC2 に VPN ゲートウェイを作成します。詳細については、「VPN ゲートウェイの作成」をご参照ください。
VPC1 と VPC2 にカスタマーゲートウェイを作成します。詳細については、「カスタマーゲートウェイの作成」をご参照ください。
IP アドレスは、VPC1 と VPC2 の VPN ゲートウェイの IP アドレスを指します。
VPC1 と VPC2 のルートテーブルにルートを追加します。詳細については、「VPN ゲートウェイのルート設定」をご参照ください。
VPC1 の VPN Gateway にルートを追加するときは、宛先 CIDR ブロック を VPC2 のプライベート CIDR ブロックに設定し、ネクストホップ を VPC1 のカスタマーゲートウェイに設定します。
VPC 2 の VPN Gateway にルートを追加する際、宛先 CIDR ブロック を VPC 1 のプライベート CIDR ブロックに設定し、ネクストホップ を VPC 2 のカスタマーゲートウェイに設定します。
VPC1 の ECS インスタンスまたはファイルシステムのマウントポイントと、VPC2 のそれらとの間の接続性を確認します。
VPC1 内の ECS インスタンスにログインし、ping コマンドを実行して VPC2 内の ECS インスタンスの IP アドレスに ping を実行し、接続を確認します。
接続が確認されたら、VPC1 のファイルシステムを VPC2 の ECS インスタンスにマウントします。詳細については、「ファイルシステムのマウント」をご参照ください。