このトピックでは、仮想プライベートクラウド (VPC) NAT ゲートウェイと VPN ゲートウェイを使用してデータセンターと VPC を接続する方法について説明します。データセンターと VPC が相互に通信するためのプライベート IP アドレスを指定できます。
使用シナリオの例
次の図は、使用シナリオを示しています。中国 (青島) に VPC1 という名前の VPC と、中国 (北京) にデータセンターがあります。VPC1 を指定されたプライベート IP アドレスを介してデータセンターと通信させたいと考えています。
上記の要件を満たすために、VPC NAT ゲートウェイと VPN ゲートウェイを使用できます。
VPN ゲートウェイを使用して、データセンターと VPC の間に IPsec-VPN 接続を確立し、データセンターが指定されたプライベート IP アドレスを介して VPC と通信できるようにすることができます。次の表は、ネットワークの計画方法を示しています。ビジネス要件に基づいて CIDR ブロックを計画できます。CIDR ブロックが互いに重複していないことを確認してください。
パラメーター | IP アドレス/CIDR ブロック |
VPC1 | 10.0.0.0/16 |
仮想スイッチ |
|
Elastic Compute Service (ECS) インスタンス | ECS1: 10.0.0.81 |
データセンター | 172.16.0.0/12 |
オンプレミスサーバー | 172.16.0.124 |
データセンターのゲートウェイデバイス | 211.68.XX.XX |
前提条件
VPC1 は、中国 (青島) リージョンに作成されています。VSW1 と VSW2 という名前の 2 つの仮想スイッチが VPC1 にデプロイされています。VSW1 はゾーン B にデプロイされています。VSW2 はゾーン E にデプロイされています。詳細については、「VPC の作成と管理」をご参照ください。
ECS1 という名前の ECS インスタンスが VSW1 に作成され、アプリケーションが ECS1 にデプロイされています。詳細については、「カスタム起動タブでインスタンスを作成する」をご参照ください。
手順
手順 1: IPsec-VPN を構成する
VPC とデータセンターの間に IPsec-VPN 接続を作成できます。IPsec-VPN 接続を作成するには、まず VPN ゲートウェイとカスタマーゲートウェイを作成する必要があります。IPsec-VPN 機能の詳細については、「VPN ゲートウェイに関連付けられた IPsec-VPN 接続を構成する」をご参照ください。
VPN ゲートウェイコンソール にログインします。
VPN ゲートウェイを作成するには、次の操作を実行します。
VPN Gateway ページで、VPN Gateway の作成 をクリックします。
購入ページで、次のパラメーターを設定し、[今すぐ購入] をクリックして、支払いを完了します。
パラメーター
説明
名前
VPN ゲートウェイの名前を入力します。
リージョン
VPN ゲートウェイをデプロイするリージョンを選択します。この例では、中国 (青島) が選択されています。
ゲートウェイタイプ
標準 がデフォルトで選択されています。
VPC
接続する VPC を選択します。この例では、VPC1 が選択されています。
仮想スイッチ
VPC から仮想スイッチを選択します。この例では、VSW1 が選択されています。
仮想スイッチ 2
VPC から別の仮想スイッチを選択します。この例では、VSW2 が選択されています。
最大帯域幅
VPN ゲートウェイの最大帯域幅を指定します。単位: Mbit/s。
5 Mbit/s がこの例では選択されています。
トラフィック
デフォルトでは、VPN ゲートウェイはトラフィック課金方式を使用します。詳細については、「課金ルール」をご参照ください。
IPsec-VPN
IPsec-VPN 機能を有効にするかどうかを指定します。この例では、有効 が選択されています。
SSL-VPN
SSL-VPN 機能を有効にするかどうかを指定します。この例では、無効 が選択されています。
期間
デフォルトでは、VPN ゲートウェイは時間単位で課金されます。
VPN ゲートウェイを作成した後、[VPN ゲートウェイ] ページで VPN ゲートウェイを表示します。
新しく作成された VPN ゲートウェイは、準備中 状態です。1 ~ 5 分後、状態は 正常 に変わり、VPN ゲートウェイが初期化され、使用可能になったことを示します。
カスタマーゲートウェイを作成するには、次の操作を実行します。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。この例では、中国 (青島) が選択されています。
カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。
カスタマーゲートウェイの作成 パネルで、パラメーターを構成し、[OK] をクリックします。
パラメーター
説明
名前
カスタマーゲートウェイの名前を入力します。
IP アドレス
VPC1 に接続するデータセンター内のゲートウェイデバイスのパブリック IP アドレスを入力します。この例では、211.68.XX.XX が使用されています。
ASN
データセンター内のゲートウェイデバイスの自律システム番号 (ASN)。
説明
カスタマーゲートウェイの説明を入力します。
詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。
IPsec-VPN 接続を作成するには、次の操作を実行します。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、IPsec-VPN 接続を作成するリージョンを選択します。この例では、中国 (青島) が選択されています。
[ipsec 接続] ページで、VPN 接続の作成 をクリックします。
VPN 接続の作成 ページで、パラメーターを構成し、[OK] をクリックします。
パラメーター
説明
名前
IPsec-VPN 接続の名前を指定します。
関連付けるリソース
VPN ゲートウェイ を選択します。
VPN ゲートウェイ
作成した VPN ゲートウェイを選択します。
ルーティングモード
ルーティングモード。この例では、宛先ルーティングモード が選択されています。
すぐに有効
接続のネゴシエーションをすぐに開始するかどうかを指定します。有効な値:
はい: IPsec-VPN 接続が作成された後、すぐに IPsec-VPN ネゴシエーションを開始します。
いいえ: インバウンドトラフィックが検出されたときに IPsec-VPN ネゴシエーションを開始します。
デフォルトでは、[はい] が選択されています。
トンネル 1 > カスタマーゲートウェイ
IPsec-VPN 接続に関連付けるカスタマーゲートウェイを選択します。
トンネル 2 > カスタマーゲートウェイ
IPsec-VPN 接続に関連付けるカスタマーゲートウェイを選択します。
事前共有鍵
事前共有鍵を入力します。事前共有鍵は、データセンター内のゲートウェイデバイスの事前共有鍵と同じである必要があります。値を入力しない場合、システムはデフォルトで 16 ビットのランダムな文字列を生成します。
手順 2: VPN ゲートウェイの構成をデータセンターのゲートウェイデバイスにロードする
VPC とデータセンターの間に IPsec-VPN 接続を確立するには、VPN ゲートウェイの構成をデータセンターのゲートウェイデバイスにロードする必要があります。
左側のナビゲーションウィンドウで、 を選択します。
IPsec 接続 ページで、管理する IPsec-VPN 接続を見つけ、[ピア構成の生成][操作] 列の をクリックします。
IPsec-VPN 接続の構成をデータセンターのゲートウェイデバイスにロードします。 詳細については、「ローカルゲートウェイを構成する」をご参照ください。
手順 3: VPC NAT ゲートウェイを作成する
NAT ゲートウェイコンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
VPC NAT ゲートウェイ ページで、VPC NAT Gateway の作成 をクリックします。
[VPC NAT ゲートウェイ (従量課金)] ページで、次のパラメーターを設定し、[今すぐ購入] をクリックします。
パラメーター
説明
リージョン
VPC NAT ゲートウェイを作成するリージョンを選択します。この例では、中国 (青島) が選択されています。
VPC ID
VPC NAT ゲートウェイが属する VPC を選択します。VPC NAT ゲートウェイを作成した後、VPC NAT ゲートウェイが属する VPC を変更することはできません。この例では、VPC1 が選択されています。
ゾーン
VPC NAT ゲートウェイが属するゾーンを選択します。この例では、VSW2 のゾーンが選択されています。
vSwitch ID
VPC NAT ゲートウェイが属する仮想スイッチを選択します。独立した仮想スイッチを選択することをお勧めします。この例では、VSW2 が選択されています。
名前
VPC NAT ゲートウェイの名前を入力します。
サービスにリンクされたロール
VPC NAT ゲートウェイのサービスロールが作成されているかどうかが表示されます。
インターネット NAT ゲートウェイと VPC NAT ゲートウェイを含む NAT ゲートウェイを初めて使用する場合は、[サービスロールの作成] をクリックしてサービスロールを作成する必要があります。
VPC NAT ゲートウェイ ページに戻り、作成された VPC NAT ゲートウェイを表示します。
VPC NAT ゲートウェイの ID をクリックします。基本情報 タブで、VPC NAT ゲートウェイの VPC と仮想スイッチを表示します。
NAT IP アドレス タブをクリックして、デフォルトの NAT IP アドレスとデフォルトの NAT CIDR ブロックを表示します。
説明デフォルトの NAT CIDR ブロックは、VPC NAT ゲートウェイが接続されている仮想スイッチの CIDR ブロックです。デフォルトの NAT IP アドレスは、仮想スイッチの CIDR ブロックからランダムに割り当てられた IP アドレスです。デフォルトの NAT CIDR ブロックまたはデフォルトの NAT IP アドレスを削除することはできません。
手順 4: VPC1 のシステムルートテーブルにルートエントリを追加する
VPC1 のシステムルートテーブルにルートを追加します。ルートは VPC NAT ゲートウェイを指している必要があります。
VPC コンソール にログインします。
[VPC] ページで、VPC1 を見つけて ID をクリックします。
詳細ページで、[リソース管理] タブをクリックし、[ルートテーブル] の下の数字をクリックします。
[ルートテーブル] ページで、[ルートテーブルタイプ] が [システム] であるルートテーブルを見つけ、その ID をクリックします。
ルートテーブルの詳細ページで、 を選択し、[ルートエントリの追加] をクリックします。
[ルートエントリの追加] パネルで、パラメーターを構成し、[OK] をクリックします。次の表でパラメーターについて説明します。
パラメーター
説明
名前
ルートの名前を入力します。この例では、VPCENTRY が使用されています。
宛先 CIDR ブロック
宛先 CIDR ブロックを入力します。この例では、データセンターのサーバーの IP アドレスである 172.16.0.124/32 が使用されています。
ネクストホップタイプ
NAT ゲートウェイ を選択します。
NAT ゲートウェイ
NAT ゲートウェイを選択します。この例では、手順 3: VPC NAT ゲートウェイを作成する で作成した VPC NAT ゲートウェイが選択されています。
手順 5: カスタムルートテーブルを作成し、ルートを追加する
VSW2 のカスタムルートテーブルを作成し、VPN ゲートウェイを指すルートをカスタムルートテーブルに追加します。
カスタムルートテーブルをサポートするリージョンの詳細については、「ルートテーブル」をご参照ください。
VPC コンソール にログインします。
左側のナビゲーションウィンドウで、[ルートテーブル] をクリックします。
上部のナビゲーションバーで、ルートテーブルが属するリージョンを選択します。
[ルートテーブル] ページで、[ルートテーブルの作成] をクリックします。
[ルートテーブルの作成] ページで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
リソースグループ
ルートテーブルが属するリソースグループを選択します。この例では、[すべて] が選択されています。
VPC
ルートテーブルが属する VPC を選択します。この例では、VPC1 が選択されています。
名前
ルートテーブルの名前を入力します。この例では、VPNVTB が使用されています。
説明
ルートテーブルの説明を入力します。この例では、カスタム が使用されています。
[関連付けられた仮想スイッチ] タブをクリックし、[仮想スイッチの関連付け] をクリックします。
[仮想スイッチの関連付け] ダイアログボックスで、仮想スイッチを選択し、[OK] をクリックします。
この例では、VSW2 が選択されています。
ルートテーブルの詳細ページで、 を選択し、[ルートエントリの追加] をクリックします。
[ルートエントリの追加] パネルで、パラメーターを構成し、[OK] をクリックします。次の表でパラメーターについて説明します。
パラメーター
説明
名前
ルートの名前を入力します。この例では、VPCNATENTRY が使用されています。
宛先 CIDR ブロック
宛先 CIDR ブロックを入力します。この例では、データセンターのサーバーの IP アドレスである 172.16.0.124/32 が使用されています。
ネクストホップタイプ
VPN ゲートウェイ を選択します。
VPN ゲートウェイ
VPN ゲートウェイを選択します。この例では、手順 1: IPsec-VPN を構成する で作成した VPN ゲートウェイが選択されています。
手順 6: デフォルトの NAT IP アドレスを使用して SNAT エントリと DNAT エントリを作成する
NAT ゲートウェイコンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、インターネット NAT ゲートウェイを作成するリージョンを選択します。
SNAT エントリを作成するには、次の操作を実行します。
VPC NAT ゲートウェイ ページで、管理する VPC NAT ゲートウェイを見つけ、SNAT の管理[操作] 列の をクリックします。
SNAT の管理 タブで、SNAT エントリの作成 をクリックします。
SNAT エントリの作成 ページで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
SNAT エントリ
VPC、仮想スイッチ、ECS インスタンス、またはカスタム CIDR ブロックの SNAT エントリを作成するかどうかを指定します。この例では、[仮想スイッチを指定] が選択されています。次に、[仮想スイッチの選択] ドロップダウンリストから ECS1 が属する仮想スイッチを選択します。この例では、VSW1 が選択されています。[仮想スイッチ CIDR ブロック] セクションには、VSW1 の CIDR ブロックが表示されます。
NAT IP アドレスの選択
外部プライベートネットワークにアクセスするために使用される IP アドレスを選択します。この例では、デフォルトの NAT IP アドレスが選択されています。
エントリ名
SNAT エントリの名前。
名前は 2 ~ 128 文字で、数字、アンダースコア (_)、ハイフン (-) を使用できます。名前は文字で始める必要があります。
[VPC NAT ゲートウェイ] ページに戻り、次の操作を実行して DNAT エントリを作成します。
VPC NAT ゲートウェイ ページで、管理する VPC NAT ゲートウェイを見つけ、DNAT の管理[操作] 列の をクリックします。
DNAT の管理 タブで、DNAT エントリの作成 をクリックします。
DNAT エントリの作成 ページで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
NAT IP アドレスの選択
外部プライベートネットワークからのリクエストを受信するために使用される NAT IP アドレスを選択します。この例では、デフォルトの NAT IP アドレスが選択されています。
プライベート IP アドレスの選択
外部ネットワークと通信するために使用されるプライベート IP アドレスを指定します。この例では、[ECS または ENI で選択] が選択され、ECS1 のプライベート IP アドレスが選択されています。
ポート設定
DNAT マッピングメソッドを選択します。この例では、ポートマッピングメソッドを指定する [特定のポート] が選択されています。
22 を フロントエンドポート に、22 を バックエンドポート に、[TCP] を [プロトコル] に指定します。
エントリ名
DNAT エントリの名前。
名前は 2 ~ 128 文字で、数字、アンダースコア (_)、ハイフン (-) を使用できます。名前は文字で始める必要があります。
手順 7: VPN ゲートウェイのルートを構成する
VPN ゲートウェイにルートを追加し、そのルートを VPC ルートテーブルにアドバタイズする必要があります。これにより、VPC とデータセンターが相互に通信できるようになります。
VPN ゲートウェイコンソール にログインします。
上部のナビゲーションバーで、VPN ゲートウェイが存在するリージョンを選択します。
左側のナビゲーションウィンドウで、 を選択します。
VPN Gateway ページで、管理する VPN ゲートウェイを見つけ、VPN ゲートウェイの ID をクリックします。
宛先ベースルーティング タブで、[ルートエントリの追加] をクリックします。
[ルートの追加] パネルで、パラメーターを構成し、[OK] をクリックします。次の表でパラメーターについて説明します。
パラメーター
説明
宛先 CIDR ブロック
データセンターのプライベート CIDR ブロックを入力します。この例では、172.16.0.0/12 が使用されています。
ネクストホップタイプ
Ipsec-vpn 接続 を選択します。
ネクストホップ
IPsec-VPN 接続を選択します。この例では、手順 1: IPsec-VPN を構成する で作成した IPsec-VPC 接続が選択されています。
VPC にアドバタイズ
ルートを VPC のルートテーブルにアドバタイズするかどうかを指定します。この例では、はい が選択されています。
重み
ルートの重みを選択します。この例では、100 が選択されています。
100: 優先度が高い
0: 優先度が低い
手順 8: 接続性をテストする
VSW1 の ECS1 にログインします。 詳細については、「接続方法」をご参照ください。
データセンター内のサーバーの IP アドレスに ping を実行します。ECS1 がデータセンター内のサーバーにアクセスできるかどうかを確認します。この例では、次のコマンドが使用されています。
ping 172.16.0.124テスト結果から、ECS1 がデータセンター内のサーバーにアクセスできることがわかります。
データセンター内のサーバーにログインし、
ssh root@NAT IPコマンドを実行します。このコマンドを実行する前に、NAT IP を VPC NAT ゲートウェイで指定されたデフォルトの NAT IP アドレスに置き換えます。次に、ECS1 にログインするために使用されるパスワードを入力して、サーバーが ECS1 にアクセスできるかどうかを確認します。この例では、次のコマンドが使用されています。
ssh 10.0.1.43テスト結果から、データセンター内のサーバーが VPC NAT ゲートウェイの DNAT 機能を使用して ECS1 にアクセスできることがわかります。
