SAG vCPE を使用して Microsoft Azure リソースを Alibaba Cloud リソースに接続する方法 - Smart Access Gateway

このトピックでは、Smart Access Gateway (SAG) vCPE インスタンスを使用して Microsoft Azure リソースを Alibaba Cloud リソースに接続する方法について説明します。

前提条件

クラウドリソースは Microsoft Azure にデプロイされています。詳細については、「Microsoft Azure」をご参照ください。
VPC が作成され、クラウドサービスが VPC にデプロイされます。詳細については、「IPv4 CIDR ブロックを使用して VPC を作成する」をご参照ください。
Alibaba Cloud 仮想プライベートクラウド (VPC) に適用されるセキュリティグループルールを学習し、理解しています。セキュリティグループルールで Azure リソースが Alibaba Cloud VPC にアクセスできるようにしてください。詳細については、「セキュリティグループルールを表示する」および「セキュリティグループルールを追加する」をご参照ください。
Elastic Compute Service (ECS) インスタンスは Alibaba Cloud VPC に作成されます。詳細については、「カスタム起動タブでインスタンスを作成する」をご参照ください。

サンプルシナリオ

次の図は、Alibaba Cloud と Azure にデプロイされたクラウドリソース間でネットワーク通信を確立する方法を示しています。企業は、Azure 中欧ヨーロッパリージョンにある Azure と中国 (杭州) リージョンにある Alibaba Cloud にクラウドリソースをデプロイしました。企業は、Alibaba Cloud と Azure にデプロイされたクラウドリソース間でネットワーク通信を確立したいと考えています。

Azure 仮想ネットワーク (VNet) 内の Azure 仮想マシン (VM) に SAG vCPE イメージをデプロイできます。その後、VM は SAG vCPE デバイスとして機能し、Alibaba Cloud に接続できます。 SAG vCPE デバイスが Alibaba Cloud に接続されると、Alibaba Cloud VPC と Azure VNet のリソースは、Cloud Connect Network (CCN) と Cloud Enterprise Network (CEN) を介して相互に通信できます。

Azure流程图

手順

Azure

説明

接続する Azure リソースと Alibaba Cloud リソースが同じリージョンにある場合は、手順 5 をスキップします。この例では、接続する Azure リソースと Alibaba Cloud リソースは異なるリージョンにあります。

手順 1：SAG vCPE インスタンスを作成する

SAG コンソールで SAG vCPE インスタンスを作成します。その後、SAG vCPE インスタンスを使用して SAG vCPE デバイスを管理できます。

[SAG コンソール] にログオンします。
SAG ページで、Purchase SAG > Create SAG (vCPE) を選択します。

[SmartAG VCPE ソフトウェア] ページで、パラメータを設定し、[今すぐ購入] をクリックして、支払いを完了します。

パラメーター	説明
リージョン	SAG vCPE インスタンスをデプロイするリージョンを選択します。この例では、[ドイツ (フランクフルト)] が選択されています。
インスタンス名	SAG vCPE インスタンスの名前を入力します。
インスタンスタイプ	デフォルトでは、[SAG-vCPE] が選択されています。
エディション	デフォルトでは、[Basic Edition] が選択されています。
デプロイモード	デプロイメントモードを選択します。デフォルトでは、アクティブ - アクティブが選択されています。 [アクティブ/スタンバイ] モードでは、1 つの SAG vCPE インスタンスをデフォルトで 2 つの SAG vCPE デバイスに関連付けることができます。アクティブ/スタンバイモードで 2 つの SAG vCPE デバイスをデプロイし、オンプレミスネットワークを Alibaba Cloud に接続できます。これにより、ネットワークの可用性が向上します。この例では、1 つのデバイスのみを使用します。
ピーク帯域幅	ネットワーク通信の最大帯域幅値を選択します。単位：Mbit/s。
数量	作成する SAG vCPE インスタンスの数を指定します。この例では、1 が選択されています。
期間	サブスクリプション期間を選択します。

SAG コンソールに戻ります。上部のナビゲーションバーで、SAG vCPE インスタンスがデプロイされているリージョンを選択します。
左側のナビゲーションウィンドウで、[Smart Access Gateway] > [インスタンス] を選択します。
SAG ページで、SAG vCPE インスタンスの ID をクリックします。
SAG vCPE インスタンスの詳細ページで、[デバイス管理] タブをクリックし、アクティブな SAG vCPE デバイスのシリアル番号とキーを表示して記録します。シリアル番号とキーは、SAG vCPE インスタンスを SAG vCPE デバイスに関連付けるために使用されます。

手順 2：SAG vCPE イメージをデプロイする

Azure リソースを Alibaba Cloud リソースに接続するには、Azure VNet に Azure VM を作成し、Azure VM に SAG vCPE イメージをデプロイする必要があります。 SAG vCPE イメージをデプロイすると、Azure VM は SAG vCPE デバイスとして機能し、Azure リソースを Alibaba Cloud リソースに接続できます。

Azure VNet に Azure VM を作成します。
Azure VM の作成方法の詳細については、Azure が提供する関連ドキュメントを参照してください。 Azure VM が次の要件を満たしていることを確認してください。
- Azure VM のオペレーティングシステムは 64 ビット Ubuntu 18.04 です。
- Azure VM のカーネルバージョンは 3.10.0-957.21.3.el7.x86_64 以降です。
- Azure VM には、Azure VM がインターネットに接続できるようにする独立したネットワークインターフェースコントローラー (NIC) があります。
- Azure VM でリモートログインが許可されています。
- Azure VM で業務システムは実行されていません。
- Azure VM には、少なくとも 1 つの vCPU コアと少なくとも 2 GB のメモリが必要です。
  Azure VM には 2 コア vCPU と 4 GB のメモリを選択することをお勧めします。この場合、プライベートネットワークでの暗号化接続の帯域幅は 350 Mbit/s 以上に達する可能性があります (パフォーマンステストのパケット長は 1,024 バイトです)。
Azure VM にログオンし、次のスクリプトを /root ディレクトリにダウンロードします。詳細については、「Azure が提供する関連ドキュメント」をご参照ください。
重要
- カスタムパスを指定して、スクリプトを対応するディレクトリにダウンロードすることもできます。この場合は、スクリプトを実行するときにカスタムパスを選択してください。
- スクリプトをダウンロードした後、その内容や名前を変更しないでください。
- Azure VM が中国本土にデプロイされている場合は、次のコマンドを実行してスクリプトをダウンロードします。
```
wget -O /root/sag_vcpe_v2.3.0_deployment.sh https://sdwan-oss-shanghai.oss-cn-shanghai.aliyuncs.com/vcpe_vm/sag_vcpe_v2.3.0_deployment.sh
```
- Azure VM が中国本土以外にデプロイされている場合は、次のコマンドを実行してスクリプトをダウンロードします。
```
wget -O /root/sag_vcpe_v2.3.0_deployment.sh https://sdwan-oss-shanghai.oss-accelerate.aliyuncs.com/vcpe_vm/sag_vcpe_v2.3.0_deployment.sh
```
次のコマンドを実行して、スクリプトを実行可能にします。
```
chmod +x /root/sag_vcpe_v2.3.0_deployment.sh
```

スクリプトを実行します。

/root/sag_vcpe_v2.3.0_deployment.sh -n sage6nniq3**** -k **** -t azure  -w eth0

次の表は、スクリプトのパラメータについて説明しています。スクリプトの詳細については、「スクリプトパラメータの説明」をご参照ください。

パラメーター	説明
-n	SAG vCPE デバイスのシリアル番号。
-k	SAG vCPE デバイスのキー。
-t	SAG vCPE イメージをインストールするホストのサービスプロバイダー。有効な値： aliyun (デフォルト)：Alibaba Cloud Elastic Compute Service (ECS) インスタンスに SAG vCPE イメージをデプロイします。 aws：Amazon Elastic Compute Cloud (EC2) インスタンスに SAG vCPE イメージをデプロイします。 azure：Microsoft Azure 仮想マシン (VM) に SAG vCPE イメージをデプロイします。オンプレミスサーバーに SAG vCPE イメージをデプロイする場合は、値を aliyun、ens、aws、または azure 以外の文字列に設定します。
-w	WAN ポートの NIC の名前。 `ifconfig` または `ip -br address` コマンドを実行して、ホストの NIC 名を照会できます。

スクリプトを実行すると、デプロイ環境が要件を満たしているかどうかが自動的にチェックされます。デプロイ環境でさらにコンポーネントが必要な場合は、次のプロンプトが表示されます。この場合は、yes と入力すると、必要なコンポーネントが自動的にインストールされます。
デプロイ環境が要件を満たしている場合、システムは自動的に SAG vCPE イメージのデプロイを開始します。イメージがデプロイされると、次のプロンプトが表示されます。
デプロイ結果を照会します。
SAG vCPE イメージをデプロイした後、docker ps コマンドを実行して、次のコンテナーがシステムにインストールされているかどうかを確認します。
システムに vsag-core コンテナーと vsag-manager-base コンテナーが含まれている場合、SAG vCPE イメージはデプロイされています。

手順 3：Alibaba Cloud 側でネットワークを設定する

SAG vCPE イメージをデプロイした後、SAG コンソールで SAG vCPE デバイスのネットワーク設定を行う必要があります。これにより、SAG vCPE デバイスを Alibaba Cloud に接続できます。

ルートを Alibaba Cloud にアドバタイズする方法を選択します。
1. [SAG コンソール] にログオンします。
2. 上部のナビゲーションバーで、SAG vCPE インスタンスがデプロイされているリージョンを選択します。
3. [Smart Access Gateway] ページで、SAG vCPE インスタンスを見つけ、[アクション] 列の [ネットワーク設定] をクリックします。
4. [ネットワーク設定] > [オンプレミスルートと同期する方法] を選択し、[静的ルートの追加] をクリックします。
5. Add Static Route ダイアログボックスで、Azure サービスのプライベート CIDR ブロックを入力し、[OK] をクリックします。
SAG インスタンスを CCN インスタンスに関連付けます。
CCN は SAG の重要なコンポーネントです。 SAG は CCN を介してオンプレミスネットワークを Alibaba Cloud に接続します。
1. CCN インスタンスを作成します。詳細については、「CCN インスタンスを作成する」をご参照ください。
  SAG vCPE インスタンスと CCN インスタンスは同じリージョンにデプロイする必要があります。
2. 左側のナビゲーションウィンドウで、[Smart Access Gateway アプリ] > [SAG アプリインスタンス] を選択します。
3. [Smart Access Gateway] ページで、インスタンスを見つけ、[アクション] 列の [ネットワーク設定] をクリックします。
4. SAG vCPE インスタンスの詳細ページで、Network Configuration > [ネットワークインスタンスの詳細] を選択します。
5. Associated Instances Under Current Account セクションで、[ネットワークのアタッチ] をクリックし、CCN インスタンスを選択して、[OK] をクリックします。
6. SAG vCPE インスタンスを CCN インスタンスに関連付けた後、[デバイス管理] タブをクリックします。 SAG vCPE デバイスの VPN Status と Controller Status が Normal の場合、SAG vCPE デバイスが Alibaba Cloud に接続されていることを示します。
Cloud Enterprise Network (CEN) インスタンスを作成して設定します。
SAG vCPE インスタンスを CEN インスタンスに接続し、Alibaba Cloud VPC を CEN インスタンスにアタッチするには、次の操作を実行する必要があります。その後、SAG vCPE インスタンスと Alibaba Cloud VPC は相互にルートを学習できます。 SAG vCPE デバイスは Alibaba Cloud VPC のリソースと通信できます。
1. 左側のナビゲーションウィンドウで、[CCN] をクリックします。
2. [CCN] ページで、CCN インスタンスを見つけ、[アクション] 列の [CEN インスタンスのバインド] をクリックします。
3. CEN Instance パネルで、関連付ける CEN インスタンスを選択し、[OK] をクリックします。
  次のいずれかの方法を使用して、CEN インスタンスを選択できます。この例では、[CEN の作成] が選択されています。
  - [既存の CEN]：CEN インスタンスをすでに作成している場合は、ドロップダウンリストから既存の CEN インスタンスを選択できます。
  - [CEN の作成]：CEN インスタンスを作成していない場合は、インスタンス名を入力します。システムは自動的に CEN インスタンスを作成し、CEN インスタンスを CCN インスタンスに関連付けます。
4. Alibaba Cloud VPC を CEN インスタンスにアタッチします。詳細については、「VPC 接続を作成する」をご参照ください。

手順 4：Azure 側でネットワークを設定する

Azure リソースと Alibaba Cloud リソース間の通信を確立するには、Azure 側でネットワークを設定する必要があります。特定のコマンドまたは操作の詳細については、Azure が提供する関連ドキュメントを参照してください。

Azure でルートテーブルを作成します。
ルートテーブルを Azure サービスがデプロイされているサブネットに関連付けます。
Alibaba Cloud を指すルートを Azure ルートテーブルに追加します。
- アドレスプレフィックス：Alibaba Cloud サービスがデプロイされているプライベート CIDR ブロックを入力します。
- ネクストホップタイプ：[仮想アプライアンス] を選択します。
- ネクストホップアドレス：SAG vCPE イメージがデプロイされている Azure VM のプライベート IP アドレスを入力します。
SAG vCPE イメージがデプロイされている Azure VM のプライベートネットワークインターフェースを見つけ、ネットワークインターフェースの [IP 転送] 機能を有効にします。

手順 5：ネットワーク通信を確立する

Azure でネットワークを設定した後、CEN インスタンスの帯域幅プランを購入し、クロスリージョン接続を作成する必要があります。これにより、中国 (杭州) リージョンの Alibaba Cloud リソースと中欧ヨーロッパリージョンの Azure リソース間の通信が確立されます。

説明

接続する Azure リソースと Alibaba Cloud リソースが同じリージョンにある場合は、この手順をスキップします。

帯域幅プランを購入します。

CEN コンソールにログオンします。
[インスタンス] ページで、管理する CEN インスタンスの ID をクリックします。
CEN インスタンスの詳細ページで、[基本情報] > [帯域幅プラン] を選択し、[帯域幅プランの購入 (サブスクリプション)] をクリックします。

購入ページで、パラメータを設定し、[今すぐ購入] をクリックして、支払いを完了します。次の表は、パラメータについて説明しています。

パラメーター	説明
CEN ID	帯域幅プランを購入する CEN インスタンスを選択します。この例では、手順 3 で作成した CEN インスタンスが選択されています。
リージョン A	クロスリージョン通信を有効にするリージョンの 1 つを選択します。この例では、Mainland China が選択されています。
リージョン B	クロスリージョン通信を有効にするもう一方のリージョンを選択します。この例では、[ヨーロッパ] が選択されています。
課金方法	帯域幅プランの課金方法が表示されます。デフォルトでは、[帯域幅別従量課金] が選択されています。
帯域幅	帯域幅プランの最大帯域幅値を選択します。単位：Mbit/s。
帯域幅パッケージ名	帯域幅プランの名前を入力します。
注文時間	帯域幅プランのサブスクリプション期間を選択します。この例では、[1 か月] が選択されています。 [自動更新] を選択して、帯域幅プランの自動更新を有効にすることができます。

クロスリージョン接続を作成します。

[インスタンス] ページで、管理する CEN インスタンスの ID をクリックします。
CEN インスタンスの詳細ページで、[基本情報] > [帯域幅プラン] を選択し、[帯域幅プランの購入 (サブスクリプション)] をクリックします。

[ピアネットワークインスタンスとの接続] ページで、パラメータを設定し、[OK] をクリックします。次の表は、パラメータについて説明しています。

パラメーター	説明
インスタンスタイプ	インスタンスタイプを選択します。この例では、[クロスリージョン接続] が選択されています。
リージョン	接続するリージョンの 1 つを選択します。この例では、[中国 (杭州)] が選択されています。
転送ルータ	選択したリージョンの転送ルータの ID が自動的に表示されます。
アタッチメント名	クロスリージョン接続の名前を入力します。
ピアリージョン	接続するもう一方のリージョンを選択します。この例では、[ドイツ (フランクフルト)] が選択されています。
転送ルータ	選択したリージョンの転送ルータの ID が自動的に表示されます。
帯域幅割り当てモード	クロスリージョン接続では、[帯域幅プランから割り当てる] 割り当てモードと [データ転送別従量課金] 割り当てモードがサポートされています。この例では、[帯域幅プランから割り当てる] が選択されています。
帯域幅プラン	CEN インスタンスに関連付けられている帯域幅プランを選択します。この例では、前の手順で作成した帯域幅プランが選択されています。
帯域幅	クロスリージョン接続の帯域幅値を指定します。単位：Mbit/s。
デフォルト回線タイプ	クロスリージョン接続では、複数の回線タイプがサポートされています。ネットワークパフォーマンスは回線タイプによって異なります。
詳細設定	デフォルト設定を使用します。すべての高度な機能が有効になっています。

手順 6：ネットワーク接続をテストする

上記の手順を完了すると、Alibaba Cloud VPC リソースは Azure リソースと通信できます。次のセクションでは、ネットワーク接続をテストする方法について説明します。

説明

この例では、Alibaba Cloud VPC の ECS インスタンスは Alibaba Cloud Linux オペレーティングシステムを実行しています。別のオペレーティングシステムで ping コマンドを使用する方法の詳細については、使用するオペレーティングシステムのマニュアルを参照してください。

VPC の ECS インスタンスにログオンします。詳細については、「接続方法」をご参照ください。
ping コマンドを実行して Azure VNet 内の Azure VM に ping を実行し、Alibaba Cloud VPC が Azure VNet に接続されているかどうかをテストします。
次の図は、Alibaba Cloud VPC と Azure VNet のリソースが相互に通信できることを示しています。