本ページでは、VPN Gateway の SSL-VPN 機能を使用して、Linux クライアントからクラシックネットワークにデプロイされたクラウドリソースにアクセスする方法について説明します。
SSL-VPN を設定している場合は、手順 5 のみを完了する必要があることに注意してください。
前提条件
開始する前に、次の条件を満たしている必要があります。
-
Linux クライアントはインターネットにアクセスできる。
-
VPC が作成され、VPC の CIDR ブロックが 172.16.0.0/12 に設定されている。 既存の VPC を使用する場合、VPC は次の条件を満たす必要があります。
VPC CIDR ブロック 説明 172.16.0.0/12 VPC には、宛先 CIDR ブロックが 10.0.0.0/8 であるカスタムルートエントリがありません。 追加されたルートエントリは、VPC コンソールのルートテーブルの詳細ページで表示できます。
192.168.0.0/16 -
VPC には、宛先 CIDR ブロックが 10.0.0.0/8 であるカスタムルートエントリがありません。
-
クラシックネットワークの ECS インスタンスにルートが追加され、ルートは 192.168.0.0/16 からプライベート NIC に向けられます。 ユーザーはスクリプトをダウンロードすることで、ルートを追加することができます。
注 スクリプトを実行する前に、スクリプトの readme ファイルを注意深く読んでください。
-
手順 1: VPN Gateway の作成
クラシックネットワークを使用する場合、VPC で購入した VPN Gateway は、ClassicLink 機能を介して VPC でも使用できます。
- VPC コンソールにログインします。
- 左側のナビゲーションウインドウで、 をクリックします。
- 表示された ページで、[VPN Gateway の作成] をクリックします。
- 購入ページで、VPN Gateway を設定し、支払いを完了させます。 この例では、VPN Gateway を次のように設定します。
-
リージョン: VPN Gateway が属するリージョンを選択します。 この例では、[中国 (杭州)] を選択します。注 VPN Gateway は、VPC と同じリージョンに存在する必要があります。
-
VPC: ターゲット VPC を選択します。
-
ピーク帯域幅: ピーク帯域幅を選択します。 帯域幅仕様は、VPN Gateway のインターネット帯域幅です。
-
IPsec-VPN : サイト間接続に適用される IPsec-VPN 機能を有効にするかどうかを選択します。
-
SSL-VPN: SSL-VPN 機能を有効にするかどうかを選択します。 この例では、[有効化] をクリックします。
-
SSL 接続: 同時に接続するクライアントの最大数を選択します。
-
- VPN Gateway ページへ戻り、作成された VPN Gateway を確認します。
VPN Gateway の初期状態は、[準備中] です。 約 2 分でステータスが [正常] に変わり、VPN Gateway を使用する準備が整います。注 VPN Gateway の作成には 1 〜 5 分かかります。
手順 2: SSL サーバーの作成
SSL サーバーを作成するには、次の手順を実行します。
- 左側のナビゲーションウィンドウで、 を選択します。
- [SSL サーバーの作成] をクリックします。 この例では、SSL サーバーを次のように設定します。
-
名前: SSL サーバーの名前を入力します。
-
VPN Gateway: 手順 1 で作成した VPN Gateway を選択します。
-
ローカルネットワーク: ターゲットクラシックネットワークの ECS インスタンスのイントラネット CIDR ブロックを入力します。 [ローカルネットワークの追加] をクリックし、イントラネット CIDR ブロックを追加します。
この例では、イントラネット CIDR ブロックは 10.1.0.0/16 と 10.2.0.0/16 です。注 新しく作成された ECS インスタンスの IP アドレスがイントラネット CIDR ブロックにない場合、対応するイントラネット CIDR ブロックを追加する必要があります。 -
クライアントサブネット: クライアントとサーバーを結ぶ IP アドレスを、CIDR ブロックの形式で入力します。 クライアント CIDR ブロックは、VPN Gateway が属する VPC の CIDR ブロックのサブネットである必要があります。
この例では、クライアント CIDR ブロックは 172.16.10.0/24 です。注 クライアント CIDR ブロックは、ローカルクライアントの既存 IP アドレスではなく、SSL VPN を介してアクセスするためにクライアントに割り当てられた IP アドレスです。 -
高度な設定: デフォルトの高度な設定を使用します。
-
手順 3: クライアント証明書の作成
クライアント証明書を作成するには、次の手順を実行します。
- 左側のナビゲーションウィンドウで、 を選択します。
- [クライアント証明書の作成] をクリックします。
- [クライアント証明書の作成] ダイアログボックスで、クライアント証明書名を入力し、対応する SSL サーバーを選択した後、[OK] をクリックします。
- SSL クライアントページで、作成されたクライアント証明書を見つけて、[ダウンロード] をクリックしてクライアント証明書をダウンロードします。
手順 4: クライアントの設定
クライアントを設定するには、次の手順を実行します。
- 次のコマンドを実行して OpenVPN クライアントをインストールします。
yum install -y openvpn - 手順 3 でダウンロードした証明書を解凍し、/etc/openvpn/conf/ ディレクトリにコピーします。
- 次のコマンドを実行して OpenVPN クライアントを開始します。
openvpn --config /etc/openvpn/conf/config.ovpn –daemon
手順 5: ClassicLink 接続の確立
ClassicLink 接続を確立するには、次の手順を実行します。
- VPC コンソールにログインします。
- ターゲット VPC が属するリージョンを選択し、ターゲット VPC の ID をクリックします。
- VPC の詳細ページで、[ClassicLink の有効化] をクリックします。
- 表示されたダイアログボックスで、[OK] をクリックします。
- ECS コンソールにログインします。
- 左側のナビゲーションウィンドウで、[インスタンス] をクリックします。
- ターゲットクラシックネットワークで 1 つ以上の ECS インスタンスを選択し、 をクリックします。
- 表示されたダイアログボックスで、ターゲット VPC を選択して [OK] をクリックします。
- 左側のナビゲーションウィンドウで、 をクリックします。
- セキュリティグループのページで、[内部ネットワークイングレス] タブをクリックして、[セキュリティグループルールの追加] をクリックします。 セキュリティグループルールを次のように設定します。
-
ルールの方向: [受信] を選択します。
-
アクション: [許可] を選択します。
-
プロトコルタイプ: [すべて] を選択します。
-
権限付与タイプ: [IPv4 CIDR ブロック] を選択します。
-
権限付与オブジェクト: VPN Gateway を介して ECS インスタンスにアクセスするため、プライベート IP アドレス (たとえば、172.16.3.44/32) を入力します。
Linux クライアントで ifconfig コマンドを実行し、inet 172.16.10.6 --> 172.16.10.5 netmask 0xffffffffと同様のメッセージを見つけます。ここで172.16.10.6はクライアントの IP アドレス (セキュリティグループ用に構成された権限付与オブジェクト) です。注 VPN Gateway を介して ECS インスタンスにアクセスできない場合、クライアント IP アドレスが変更されているため、新しいセキュリティグループルールを追加する必要があります。
-
- ECS コンソールに戻り、右側の列フィルターアイコンをクリックして、 表示されたダイアログボックスの [リンクステータス] を選択し、[OK] をクリックします 。
- ECS インスタンスのリンクステータスを確認します。
設定完了後、クラシックネットワークに接続された ECS インスタンスにデプロイされたアプリケーションに、Linux クライアントからアクセスできます。
