sag vcpe を使用して aws を alibaba cloud に接続する - Smart Access Gateway

このトピックでは、Smart Access Gateway (SAG) vCPE を使用して Amazon Web Services (AWS) リソースを Alibaba Cloud リソースに接続する方法について説明します。

前提条件

クラウドサービスが AWS にデプロイされていること。詳細については、「AWS」をご参照ください。
VPC が作成され、クラウドサービスが VPC にデプロイされていること。詳細については、「IPv4 CIDR ブロックで VPC を作成する」をご参照ください。
Alibaba Cloud Virtual Private Cloud (VPC) に適用されるセキュリティグループルールを理解していること。セキュリティグループルールにより、AWS リソースは Alibaba Cloud VPC リソースにアクセスできます。詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。
Elastic Compute Service (ECS) インスタンスが Alibaba Cloud VPC にデプロイされていること。詳細については、「カスタム起動タブでインスタンスを作成する」をご参照ください。

シナリオ例

次の図は、Alibaba Cloud と AWS にデプロイされたクラウドリソース間のネットワーク通信を確立する方法を示しています。たとえば、ある企業がシンガポールリージョンの Alibaba Cloud と AWS にクラウドサービスをデプロイしたとします。この企業は、Alibaba Cloud と AWS にデプロイされたクラウドリソース間のネットワーク通信を確立したいと考えています。

Amazon VPC のインスタンスに SAG vCPE イメージをデプロイできます。その後、インスタンスは SAG vCPE デバイスとして機能し、Alibaba Cloud に接続します。デバイスが Alibaba Cloud に接続されると、クラウド相互接続ネットワーク (CCN) と Cloud Enterprise Network (CEN) を使用して、Amazon VPC のリソースと Alibaba Cloud VPC のリソース間の通信を有効にできます。

流程图

ステップ 1: SAG vCPE インスタンスの作成

SAG コンソールで SAG vCPE インスタンスを作成する必要があります。その後、SAG vCPE インスタンスを使用して SAG vCPE デバイスを管理できます。

SAG コンソールにログインします。
SAG ページで、Purchase SAG > Create SAG (vCPE)を選択します。

[SmartAG VCPE ソフトウェア] ページで、パラメーターを設定し、[今すぐ購入] をクリックして、支払いを完了します。次の表にパラメーターを示します。

設定	説明
エリア	SAG vCPE インスタンスをデプロイするエリアを選択します。この例では、[シンガポール] が選択されています。
インスタンス名	SAG vCPE インスタンスの名前を入力します。
インスタンスタイプ	[SAG-vCPE] がデフォルトで選択されています。
エディション	[Basic Edition] がデフォルトで選択されています。
使用量	SAG vCPE デバイスのデプロイメントモードを選択します。デフォルト値は [アクティブ/スタンバイ] です。 [アクティブ/スタンバイ] モードでは、1 つの SAG vCPE インスタンスがデフォルトで 2 つの SAG vCPE デバイスに接続できます。 2 つの SAG vCPE デバイスをアクティブ/スタンバイモードで設定して、オンプレミスネットワークを Alibaba Cloud に接続できます。これにより、ネットワークの可用性が向上します。このトピックでは、アクティブなデバイスのみを使用します。
ピーク帯域幅	ネットワーク通信の最大帯域幅を選択します。単位: Mbit/s。
数量	作成する SAG vCPE インスタンスの数を指定します。この例では、1 が選択されています。
期間	サブスクリプション期間を選択します。

SAG コンソールに戻ります。上部のナビゲーションバーで、SAG vCPE インスタンスがデプロイされているエリアを選択します。
左側のナビゲーションウィンドウで、Smart Access Gateway > インスタンスを選択します。
SAG ページで、SAG vCPE インスタンスの ID をクリックします。
SAG vCPE インスタンスの詳細ページで、[デバイス管理] タブをクリックし、アクティブな SAG vCPE デバイスのシリアル番号とキーを表示して記録します。シリアル番号とキーは、SAG vCPE インスタンスを SAG vCPE デバイスに関連付けるために使用されます。

ステップ 2: SAG vCPE イメージのデプロイ

Alibaba Cloud と AWS にデプロイされたクラウドリソース間のネットワーク通信を確立するには、AWS VPC にインスタンスを作成する必要があります。次に、AWS VPC のインスタンスに SAG vCPE イメージをデプロイできます。 SAG vCPE イメージをデプロイすると、AWS インスタンスは SAG vCPE デバイスとして機能し、AWS リソースを Alibaba Cloud リソースに接続できます。

Amazon VPC にインスタンスを作成します。
AWS VPC でインスタンスを作成する方法の詳細については、関連する AWS ドキュメントをご参照ください。 AWS インスタンスが次の要件を満たしていることを確認してください:
- オペレーティングシステム: Ubuntu 18.04 (64 ビット)。
- インスタンスには、カーネルバージョン 3.10.0-957.21.3.el7.x86_64 以降が必要です。
- インスタンスは、別のネットワークインターフェイスカードを介してインターネットに接続します。
- インスタンスにリモート接続できます。
- インスタンスでビジネスアプリケーションが実行されていません。
- ホストが ECS インスタンスまたは Edge Node Service (ENS) インスタンスの場合、vCPU コアの数は 1 以上、メモリは 2 GB 以上である必要があります。
  インスタンスには 2 コア vCPU と 4 GB のメモリを選択することをお勧めします。この場合、暗号化されたプライベート接続の帯域幅は 350 Mbit/s 以上に達する可能性があります (パフォーマンステストのパケット長は 1,024 バイトです)。
AWS インスタンスにログインし、スクリプトをインスタンスの /root ディレクトリにダウンロードします。詳細については、関連する AWS ドキュメントをご参照ください。
重要
- カスタムパスを指定して、対応するディレクトリにスクリプトをダウンロードすることもできます。この場合、スクリプトを実行するときにカスタムパスを選択してください。
- スクリプトをダウンロードした後は、その内容や名前を変更しないでください。
- ホストが中国本土にデプロイされている場合は、次のコマンドを実行してスクリプトをダウンロードします:
```
wget -O /root/sag_vcpe_v2.3.0_deployment.sh https://sdwan-oss-shanghai.oss-cn-shanghai.aliyuncs.com/vcpe_vm/sag_vcpe_v2.3.0_deployment.sh
```
- ホストが中国本土以外にデプロイされている場合は、次のコマンドを実行してスクリプトをダウンロードします:
```
wget -O /root/sag_vcpe_v2.3.0_deployment.sh https://sdwan-oss-shanghai.oss-accelerate.aliyuncs.com/vcpe_vm/sag_vcpe_v2.3.0_deployment.sh
```
スクリプトに実行権限を付与します。
```
chmod +x /root/sag_vcpe_v2.3.0_deployment.sh
```

スクリプトを実行します。

/root/sag_vcpe_v2.3.0_deployment.sh -n sage6nniq3**** -k **** -t aws  -w eth0

次の表に、スクリプトのパラメーターを示します。スクリプトの詳細については、「スクリプトパラメーターの説明」をご参照ください。

パラメーター	説明
-n	SAG vCPE デバイスのシリアル番号。
-k	SAG vCPE デバイスのキー。
-t	SAG vCPE イメージをインストールするホストのサービスプロバイダー。有効な値: [aliyun] (デフォルト): Alibaba Cloud Elastic Compute Service (ECS) インスタンスに SAG vCPE イメージをデプロイします。 [aws]: Amazon Elastic Compute Cloud (EC2) インスタンスに SAG vCPE イメージをデプロイします。 [azure]: Microsoft Azure 仮想マシン (VM) に SAG vCPE イメージをデプロイします。オンプレミスサーバーに SAG vCPE イメージをデプロイする場合は、値を [aliyun]、[ens]、[aws]、または [azure] 以外の文字列に設定します。
-w	WAN ポートの NIC の名前。 `ifconfig` コマンドを実行して、ホストの NIC 名を表示できます。

スクリプトを実行すると、システムはデプロイメント環境が要件を満たしているかどうかを自動的にチェックします。デプロイメント環境にさらにコンポーネントが必要な場合は、次のプロンプトが表示されます。この場合、yes と入力すると、システムは必要なコンポーネントを自動的にインストールします。
デプロイメント環境が要件を満たしている場合、システムは SAG vCPE イメージのデプロイを自動的に開始します。イメージがデプロイされると、次のプロンプトが表示されます。
デプロイ結果を確認します。
デプロイが完了したら、docker ps コマンドを実行して、次の 2 つのコンテナーが存在するかどうかを確認します:
システムに [vsag-core] コンテナーと [vsag-manager-base] コンテナーが含まれている場合、SAG vCPE イメージはデプロイされています。

ステップ 3: Alibaba Cloud でのネットワーク設定の構成

SAG vCPE イメージがデプロイされた後、SAG コンソールで SAG vCPE デバイスのネットワーク設定を構成する必要があります。これにより、SAG vCPE デバイスが Alibaba Cloud に接続できるようになります。

オンプレミスルート同期を設定します。
1. SAG コンソールにログインします。
2. 上部のナビゲーションバーで、リージョンを選択します。
3. [Smart Access Gateway] ページで、インスタンスを見つけ、[アクション] 列の [ネットワーク設定] をクリックします。
4. ネットワーク設定 > オンプレミスルートとの同期方法 を選択し、[静的ルートの追加] をクリックします。
5. Add Static Route ダイアログボックスで、AWS サービスのプライベート CIDR ブロックを入力し、[OK] をクリックします。
SAG インスタンスを CCN インスタンスに関連付けます。
CCN は SAG の重要なコンポーネントです。 SAG は、CCN を介してオンプレミスネットワークを Alibaba Cloud に接続します。
1. CCN インスタンスを作成します。詳細については、「CCN インスタンスの作成」をご参照ください。
  SAG vCPE インスタンスと CCN インスタンスは、同じリージョンにデプロイする必要があります。
2. 左側のナビゲーションウィンドウで、Smart Access Gateway APP > SAG APP インスタンスを選択します。
3. [Smart Access Gateway] ページで、インスタンスを見つけ、[アクション] 列の [ネットワーク設定] をクリックします。
4. SAG vCPE インスタンスの詳細ページで、Network Configuration > ネットワークインスタンスの詳細を選択します。
5. Associated Instances Under Current Account セクションで、[ネットワークのアタッチ] をクリックし、CCN インスタンスを選択して、[OK] をクリックします。
6. SAG vCPE インスタンスを CCN インスタンスに関連付けた後、[デバイス管理] タブをクリックします。 SAG vCPE デバイスの VPN Status と Controller Status が Normal の場合、SAG vCPE デバイスが Alibaba Cloud に接続されていることを示します。
Cloud Enterprise Network (CEN) インスタンスを作成して設定します。
SAG vCPE インスタンスを CEN インスタンスに接続し、Alibaba Cloud VPC を CEN インスタンスにアタッチするには、次の操作を実行する必要があります。これにより、SAG vCPE インスタンスと Alibaba Cloud VPC は互いにルートを学習できます。 SAG vCPE デバイスは、Alibaba Cloud VPC のリソースと通信できます。
1. 左側のナビゲーションウィンドウで、[CCN] をクリックします。
2. [CCN] ページで、CCN インスタンスを見つけ、[アクション] 列の [CEN インスタンスのバインド] をクリックします。
3. CEN Instance パネルで、関連付ける CEN インスタンスを選択し、[OK] をクリックします。
  次のいずれかの方法を使用して CEN インスタンスを選択できます。この例では、[CEN の作成] が選択されています。
  - 既存の CEN: すでに CEN インスタンスを作成している場合は、ドロップダウンリストから既存の CEN インスタンスを選択できます。
  - CEN の作成: CEN インスタンスを作成していない場合は、インスタンス名を入力します。すると、システムは自動的に CEN インスタンスを作成し、CEN インスタンスを CCN インスタンスに関連付けます。
4. Alibaba Cloud VPC を CEN インスタンスにアタッチします。詳細については、「VPC 接続の作成」をご参照ください。

ステップ 4: AWS でのネットワーク設定の構成

AWS リソースと Alibaba Cloud リソース間の通信を有効にするには、AWS VPC のネットワーク設定を構成する必要があります。特定のコマンドの詳細については、AWS にお問い合わせください。

クラウドサービスのルーティングを設定できます。
次のルートエントリを AWS VPC に追加します: ルートエントリの宛先 CIDR ブロックは Alibaba Cloud VPC の CIDR ブロックであり、ネクストホップは AWS インスタンスを指します。 AWS インスタンスは、AWS リソースと Alibaba Cloud リソース間の通信を有効にするために使用されます。
AWS サービスのセキュリティグループを設定します。
Alibaba Cloud と AWS サービスのプライベート CIDR ブロックが相互に通信できるようにします。
AWS インスタンスのソースチェックと宛先チェックを無効にします。

ステップ 5: クラウド上のネットワークの相互接続

AWS でネットワーク設定を構成した後、CEN インスタンスのリージョン間接続をサポートする帯域幅プランを購入する必要があります。帯域幅プランを使用すると、中国 (杭州) リージョンの Alibaba Cloud リソースをシンガポール (シンガポール) リージョンの AWS リソースに接続できます。

説明

AWS リソースと Alibaba Cloud リソースが同じリージョンにデプロイされている場合は、このステップをスキップしてください。

帯域幅プランを購入します。

CEN コンソールにログインします。
[インスタンス] ページで、管理する CEN インスタンスの ID をクリックします。
CEN インスタンスの詳細ページの 基本情報 > 帯域幅プラン タブで、[帯域幅プランの購入 (サブスクリプション)] をクリックします。

購入ページで、パラメーターを設定し、[今すぐ購入] をクリックして、支払いを完了します。次の表にパラメーターを示します。

設定	説明
Cloud Enterprise Network	帯域幅プランを購入する CEN インスタンスを選択します。この例では、ステップ 3 で作成された CEN インスタンスが選択されています。
エリア A	接続するネットワークインスタンスのいずれかのリージョンを選択します。このトピックでは、例として [中国本土] を使用します。
エリア B	リージョン間通信を有効にする他のエリアを選択します。この例では、[アジア太平洋] が選択されています。
課金方法	帯域幅プランの課金方法を選択します。 [帯域幅による支払い] がデフォルトで選択されています。
帯域幅	帯域幅プランの最大帯域幅値を選択します。単位: Mbit/s。
帯域幅パッケージ名	帯域幅プランの名前を入力します。
サブスクリプション期間	帯域幅プランのサブスクリプション期間を選択します。 [1 か月] がデフォルトで選択されています。 [自動更新] を選択して、帯域幅プランの自動更新を有効にできます。

リージョン間接続を作成します

[インスタンス] ページで、管理する CEN インスタンスの ID をクリックします。
CEN インスタンスの詳細ページで、基本情報 > 帯域幅プラン を選択し、[リージョン間通信の帯域幅を割り当てる] をクリックします。

[ネットワークインスタンスの接続] ページで、リージョン間接続を設定し、[作成] をクリックします。

設定	説明
インスタンスタイプ	ネットワークタイプを選択します。この例では、[リージョン間接続] が選択されています。
リージョン	接続するリージョンの 1 つを選択します。この例では、[中国 (杭州)] が選択されています。
トランジットルーター	選択したリージョンのトランジットルーターの ID が自動的に表示されます。
アタッチメント名	リージョン間接続の名前を入力します。
ピアリージョン	接続する他のリージョンを選択します。この例では、[シンガポール] が選択されています。
トランジットルーター	選択したリージョンのトランジットルーターの ID が自動的に表示されます。
帯域幅割り当てモード	リージョン間接続は、[帯域幅プランから割り当て] および [データ転送量による支払い] の割り当てモードをサポートします。この例では、[帯域幅プランから割り当て] が選択されています。
帯域幅プラン	CEN インスタンスに関連付けられている帯域幅プランを選択します。この例では、前のステップで購入した帯域幅プランが選択されています。
帯域幅	リージョン間接続の帯域幅値を指定します。単位: Mbit/s。
デフォルトの回線タイプ	リージョン間接続は、複数の回線タイプをサポートします。ネットワークパフォーマンスは、回線タイプによって異なります。
詳細設定	デフォルト設定を使用します。すべての高度な機能が有効になっています。

ステップ 6: ネットワーク接続性のテスト

上記の手順を完了すると、Alibaba Cloud VPC と Amazon VPC にデプロイされたサービスが相互に通信できるようになります。このトピックでは、2 つの VPC 間の接続性をテストする方法について説明します。

説明

この例では、Alibaba Cloud VPC の ECS インスタンスは Alibaba Cloud Linux オペレーティングシステムを実行します。他のオペレーティングシステムで ping コマンドを使用する方法の詳細については、使用するオペレーティングシステムのマニュアルをご参照ください。

Alibaba Cloud VPC の ECS インスタンスにログインします。詳細については、「接続方法の概要」をご参照ください。
Amazon VPC のクラウドサービスインスタンスで ping コマンドを使用して、2 つの VPC 間の接続性をテストします。
テストにより、Alibaba Cloud VPC の ECS インスタンスが Amazon VPC のクラウドサービスインスタンスと通信できることが確認されます。

Smart Access Gateway:SAG vCPE インスタンスを使用して AWS ネットワークを Alibaba Cloud に接続する