ALIYUN::VPC::IpsecServer は、IPsec-VPNサーバーを作成するために使用されます。
構文
{
"Type": "ALIYUN::VPC::IpsecServer",
"Properties": {
"LocalSubnet": String,
"EffectImmediately": Boolean,
"ClientIpPool": String,
"VpnGatewayId": String,
"IpsecConfig": Map,
"Psk": String,
"IkeConfig": Map,
"IpsecServerName": String,
"PskEnabled": Boolean
}
}プロパティ
| プロパティ | タイプ | 必須 | 編集可能 | 説明 | 制約 |
| LocalSubnet | String | はい | はい | ローカルCIDRブロック。クライアントとの接続に使用する仮想プライベートクラウド(VPC)のCIDRブロックを指します。 | 複数のCIDRブロックはカンマ(,)で区切ります。例:192.168.1.0/24,192.168.2.0/24。 |
| EffectImmediately | Boolean | いいえ | はい | 現在のIPsecトンネルを削除してネゴシエーションを再開するかどうかを指定します。 | デフォルト値:false。有効な値:
|
| VpnGatewayId | String | はい | いいえ | VPNゲートウェイのID。 | なし |
| IpsecConfig | Map | いいえ | はい | フェーズ2ネゴシエーションの構成。 | 詳細については、IpsecConfigプロパティをご参照ください。 |
| IkeConfig | Map | いいえ | はい | フェーズ1ネゴシエーションの構成。 | 詳細については、IkeConfigプロパティをご参照ください。 |
| ClientIpPool | String | はい | はい | クライアントの仮想ネットワークインターフェースに割り当てるCIDRブロック。クライアントが存在するCIDRブロックではありません。 | クライアントが SSL-VPN 接続を使用してサーバーにアクセスする場合、VPN ゲートウェイは指定された CIDR ブロックから IP アドレスを選択し、クライアントに割り当てます。 この CIDR ブロックは、LocalSubnet で指定された CIDR ブロックと競合することはできません。 |
| IpsecServerName | String | いいえ | はい | IPsec-VPN接続の名前。 | 名前は2~128文字で、英字、数字、ピリオド(.)、アンダースコア(_)、ハイフン(-)を含めることができます。http://またはhttps://で始めることはできません。 |
| Psk | String | いいえ | はい | 事前共有キー。 | このキーは、VPNゲートウェイとカスタマーゲートウェイ間の認証に使用されます。 キーを指定することも、システムによってランダムに生成されるデフォルトキーを使用することもできます。 キーは最大100文字までです。 |
| PskEnabled | Boolean | いいえ | はい | 事前共有キー認証を有効にするかどうかを指定します。 | 有効な値:
|
IpsecConfig構文
"IpsecConfig": {
"IpsecPfs": String,
"IpsecEncAlg": String,
"IpsecAuthAlg": String,
"IpsecLifetime": Integer
}IpsecConfigプロパティ
| プロパティ | タイプ | 必須 | 編集可能 | 説明 | 制約 |
| IpsecPfs | String | いいえ | はい | フェーズ 2 ネゴシエーションで使用される Diffie-Hellman 鍵交換アルゴリズム。このパラメーターを設定すると、システムはすべてのプロトコルのパケットを転送します。 | デフォルト値:group2。有効な値:
|
| IpsecEncAlg | String | いいえ | はい | フェーズ2ネゴシエーションで使用される暗号化アルゴリズム。 | デフォルト値:aes。有効な値:
|
| IpsecAuthAlg | String | いいえ | はい | フェーズ2ネゴシエーションで使用される認証アルゴリズム。 | デフォルト値:sha1。有効な値:
|
| IpsecLifetime | Integer | いいえ | はい | フェーズ2ネゴシエーションの結果としてのセキュリティアソシエーション(SA)のライフタイム。 | 有効な値:0~86400。 単位:秒。 デフォルト値:86400。 |
IkeConfig構文
"IkeConfig": {
"IkeAuthAlg": String,
"LocalId": String,
"IkeEncAlg": String,
"IkeVersion": String,
"IkeMode": String,
"IkeLifetime": Integer,
"RemoteId": String,
"IkePfs": String
}IkeConfigプロパティ
| プロパティ | タイプ | 必須 | 編集可能 | 説明 | 制約 |
| IkeAuthAlg | String | いいえ | はい | フェーズ1ネゴシエーションで使用される認証アルゴリズム。 | デフォルト値:sha1。有効な値:
|
| LocalId | String | いいえ | はい | VPNゲートウェイのID。 | IDは最大100文字までです。デフォルト値はVPNゲートウェイのパブリック IP アドレスです。 |
| IkeEncAlg | String | いいえ | はい | フェーズ1ネゴシエーションで使用される暗号化アルゴリズム。 | デフォルト値:aes。有効な値:
|
| IkeVersion | String | いいえ | はい | インターネットキー交換(IKE)プロトコルのバージョン。 | デフォルト値:ikev2。有効な値:
|
| IkeMode | String | いいえ | はい | IKEネゴシエーションモード。 | デフォルト値:main。有効な値:
|
| IkeLifetime | Integer | いいえ | はい | フェーズ1ネゴシエーションの結果としてのSAライフタイム。 | 有効な値:0~86400。 単位:秒。 デフォルト値:86400。 |
| RemoteId | String | いいえ | はい | カスタマーゲートウェイのID。 | ID は最大 100 文字まで入力できます。デフォルト値は、カスタマーゲートウェイのパブリック IP アドレスです。 |
| IkePfs | String | いいえ | はい | フェーズ1ネゴシエーションで使用されるDiffie-Hellman鍵交換アルゴリズム。 | デフォルト値:group2。有効な値:
|
レスポンスパラメータ
Fn::GetAtt
- IpsecServerId:IPsec-VPNサーバーのID。
- IpsecServerName:IPsec-VPNサーバーの名前。
例
JSON 形式
{
"ROSTemplateFormatVersion": "2015-09-01",
"Parameters": {
"LocalSubnet": {
"Type": "String",
"Description": "ローカルネットワークセグメントとは、クライアントネットワークセグメントと相互接続する必要がある VPC 側のネットワークセグメントを指します。複数のネットワークセグメントを区切るには、半角カンマ(,)を使用します。例:192.168.1.0/24,192.168.2.0/24。" // The local network segment refers to the network segment on the VPC side that needs to be interconnected with the client network segment. Use half-width commas (,) to separate multiple network segments, for example: 192.168.1.0/24,192.168.2.0/24.
},
"EffectImmediately": {
"Type": "Boolean",
"Description": "true:新しい構成を適用し、すぐに再接続をトリガーします。\nfalse:ネットワークトラフィックが発生した場合にのみ再接続をトリガーします。(再接続により、ネットワークが短時間利用できなくなる可能性があります)", // true: Apply the new configuration and trigger a reconnection immediately. \nfalse: Trigger a reconnection only when network traffic occurs. (The reconnection may cause the network to be unavailable for a brief moment)
"AllowedValues": [
"True",
"true",
"False",
"false"
]
},
"ClientIpPool": {
"Type": "String",
"Description": "クライアントネットワークセグメントとは、クライアントの仮想ネットワークカードにアクセスアドレスを割り当てるアドレスセグメントを指します。注:クライアントネットワークセグメントは VPC 側のネットワークセグメントと競合することはできません。" // Client network segment refers to the address segment that assigns access addresses to the virtual network card of the client. Note: The client network segment cannot conflict with the VPC side network segment.
},
"VpnGatewayId": {
"Type": "String",
"Description": "VPNゲートウェイインスタンスID。" // VPN gateway instance ID.
},
"IpsecConfig": {
"Type": "Json",
"Description": "第2フェーズでのネゴシエーションパラメータ構成。" // Negotiation parameter configuration in the second phase.
},
"Psk": {
"Type": "String",
"Description": "事前共有キー。VPNゲートウェイとクライアント間のID認証に使用されます。デフォルトでは16ビットのランダムな文字列がランダムに生成されます。または、手動でキーを指定することもできます。長さは100文字までに制限されています。" // Pre-Shared key. Used for identity authentication between the VPN gateway and the client. A 16-bit random string is randomly generated by default, or you can manually specify the key. The length is limited to 100 characters.
},
"IkeConfig": {
"Type": "Json",
"Description": "第1フェーズでのネゴシエーションパラメータ構成。" // Negotiation parameter configuration in the first phase.
},
"IpsecServerName": {
"Type": "String",
"Description": "値は2~128文字で、英字または漢字で始まる必要があります。数字、アンダースコア(_)、ハイフン(-)を含めることができます。" // The value must be 2 to 128 characters in length and start with a letter or Chinese character. It can contain digits, underscores (_), and hyphens (-).
},
"PskEnabled": {
"Type": "Boolean",
"Description": "事前共有キー認証方式を有効にするかどうか。値がtrueの場合のみ、事前共有キー認証モードが有効になります。" // Whether to enable the pre-shared key authentication method. Only the value is true, which means that the pre-shared key authentication mode is enabled.
"AllowedValues": [
"True",
"true",
"False",
"false"
]
}
},
"Resources": {
"IpsecServer": {
"Type": "ALIYUN::VPC::IpsecServer",
"Properties": {
"LocalSubnet": {
"Ref": "LocalSubnet"
},
"EffectImmediately": {
"Ref": "EffectImmediately"
},
"ClientIpPool": {
"Ref": "ClientIpPool"
},
"VpnGatewayId": {
"Ref": "VpnGatewayId"
},
"IpsecConfig": {
"Ref": "IpsecConfig"
},
"Psk": {
"Ref": "Psk"
},
"IkeConfig": {
"Ref": "IkeConfig"
},
"IpsecServerName": {
"Ref": "IpsecServerName"
},
"PskEnabled": {
"Ref": "PskEnabled"
}
}
}
},
"Outputs": {
"IpsecServerId": {
"Description": "IPsecサーバーID。", // IPsec server ID.
"Value": {
"Fn::GetAtt": [
"IpsecServer",
"IpsecServerId"
]
}
},
"IpsecServerName": {
"Description": "IPsecサーバー名。", // IPsec server name.
"Value": {
"Fn::GetAtt": [
"IpsecServer",
"IpsecServerName"
]
}
}
}
}YAML 形式
ROSTemplateFormatVersion: '2015-09-01'
Parameters:
ClientIpPool:
Description: 'クライアントネットワークセグメントとは、クライアントの仮想ネットワークカードにアクセスアドレスを割り当てるアドレスセグメントを指します。注:クライアントネットワークセグメントは VPC 側のネットワークセグメントと競合することはできません。'
Type: String
EffectImmediately:
AllowedValues:
- 'True'
- 'true'
- 'False'
- 'false'
Description: "true:新しい構成を適用し、すぐに再接続をトリガーします。 \nfalse:ネットワークトラフィックが発生した場合にのみ再接続をトリガーします。(再接続により、ネットワークが短時間利用できなくなる可能性があります)"
Type: Boolean
IkeConfig:
Description: 第1フェーズでのネゴシエーションパラメータ構成。
Type: Json
IpsecConfig:
Description: 第2フェーズでのネゴシエーションパラメータ構成。
Type: Json
IpsecServerName:
Description: 値は 2 ~ 128 文字で、英字または漢字で始まる必要があります。数字、アンダースコア(_)、ハイフン(-)を含めることができます。
Type: String
LocalSubnet:
Description: 'ローカルネットワークセグメントとは、クライアントネットワークセグメントと相互接続する必要がある VPC 側のネットワークセグメントを指します。複数のネットワークセグメントを区切るには、半角カンマ(,)を使用します。例:192.168.1.0/24,192.168.2.0/24。'
Type: String
Psk:
Description: 事前共有キー。VPN ゲートウェイとクライアント間の ID 認証に使用されます。デフォルトでは 16 ビットのランダムな文字列がランダムに生成されます。または、手動でキーを指定することもできます。長さは 100 文字までに制限されています。
Type: String
PskEnabled:
AllowedValues:
- 'True'
- 'true'
- 'False'
- 'false'
Description: 事前共有キー認証方式を有効にするかどうか。値が true の場合のみ、事前共有キー認証モードが有効になります。
Type: Boolean
VpnGatewayId:
Description: VPN ゲートウェイインスタンス ID。
Type: String
Resources:
IpsecServer:
Properties:
ClientIpPool:
Ref: ClientIpPool
EffectImmediately:
Ref: EffectImmediately
IkeConfig:
Ref: IkeConfig
IpsecConfig:
Ref: IpsecConfig
IpsecServerName:
Ref: IpsecServerName
LocalSubnet:
Ref: LocalSubnet
Psk:
Ref: Psk
PskEnabled:
Ref: PskEnabled
VpnGatewayId:
Ref: VpnGatewayId
Type: ALIYUN::VPC::IpsecServer
Outputs:
IpsecServerId:
Description: IPsec サーバー ID。
Value:
Fn::GetAtt:
- IpsecServer
- IpsecServerId
IpsecServerName:
Description: IPsec サーバー名。
Value:
Fn::GetAtt:
- IpsecServer
- IpsecServerName