このトピックでは、IPsec-VPNとExpress Connect回路を使用して、データセンターと仮想プライベートクラウド (VPC) 間のアクティブ /スタンバイ接続を設定する方法について説明します。
シナリオ
このトピックでは、次のシナリオを使用して、IPsec-VPNとExpress Connect回路の両方を使用してデータセンターをVPCに接続する方法を示します。 ある企業は杭州にデータセンターを持ち、中国 (杭州) リージョンにVPC 1をデプロイしています。 VPC 1では、相互作用とデータ分析のためにElastic Compute Service (ECS) などのクラウドサービスがデプロイされています。 同社は、データセンターとVPC 1の間にアクティブ /スタンバイ接続を確立したいと考えています。 次のセクションでは、接続について説明します。
- VPNゲートウェイは、独立したVPC (VPC 2) に関連付けられています。 この例では、VPC 2にはサービスがデプロイされていません。 VPC 2は、データセンターとVPC 1の間にIPsec-VPN接続を確立するためのトランジットVPCとして機能します。
- Express Connect回路とIPsec-VPN接続が期待どおりに機能している場合、データセンターとVPC 1間のすべてのトラフィックはExpress Connect回路を介して転送されます。 Express Connect回路が期待どおりに機能していない場合、IPsec-VPN接続が引き継ぎます。
前提条件
- データセンターとネットワークインスタンスのルーティングプロトコルを計画する必要があります。 このトピックでは、次のルーティングプロトコルを使用します。
- 静的ルーティングは、データセンターのゲートウェイデバイスとVPNゲートウェイの間で使用されます。
- データセンターのゲートウェイデバイスと仮想ボーダールータ (VBR) の間では、ボーダゲートウェイプロトコル (BGP) の動的ルーティングが使用されます。 説明 VPNゲートウェイがスタンバイ接続として機能し、Express Connect回路がアクティブ接続として機能するシナリオでは、次のようになります。
- VPNゲートウェイが独立したVPC (たとえば、このトピックのVPC 2) に関連付けられている場合、VBRはBGP動的ルーティングを使用する必要があります。 VPNゲートウェイは、静的ルーティングまたはBGP動的ルーティングを使用できます。
- VPNゲートウェイがサービスがデプロイされているVPC (このトピックのVPC 1など) に関連付けられている場合、VBRゲートウェイとVPNゲートウェイの両方でBGP動的ルーティングを使用する必要があります。
- データセンターとネットワークインスタンスのネットワークを計画する必要があります。 データセンターのCIDRブロックがネットワークインスタンスのCIDRブロックと重複しないようにしてください。 このトピックでは、次のCIDRブロックが使用されます。
項目 CIDRブロック パブリック IP アドレス VPC1 192.168.0.0/16 ECSインスタンスのIPアドレス: 192.168.20.161 VPC2 10.0.0.0/16 N/A VBR 10.1.0.0/30 - VLAN ID: 0
- Alibaba Cloud側のピアIPv4アドレス: 10.1.0.1/30
- お客様側のピアIPv4アドレス: 10.1.0.2/30
このトピックでは、顧客側のデバイスはデータセンターのゲートウェイデバイスを指します。
データセンター 172.16.0.0/16 クライアントのIPアドレス: 172.16.1.188 データセンターのゲートウェイデバイス 10.1.0.0/30 - パブリックIPアドレス: 211.XX. XX.68
- Express Connect回路に接続されたインターフェイスのIPアドレス: 10.1.0.2/30
- BGP自律システム番号 (ASN): 65530
- VPC 1とVPC 2は中国 (杭州) リージョンに作成されます。 ビジネスインタラクションとデータ分析に使用されるクラウドサービスは、VPC 1にデプロイされます。 VPC 2にはサービスがデプロイされていません。 VPC 2はVPNゲートウェイに関連付けられており、データセンターとVPC 1間の中継VPCとして機能します。 詳細については、「VPCの作成と管理」をご参照ください。
- データセンターのゲートウェイデバイスを確認します。 標準のIKEv1およびIKEv2プロトコルをサポートしていることを確認します。 ゲートウェイデバイスがIKEv1およびIKEv2プロトコルをサポートしているかどうかについては、ゲートウェイデバイスの製造元を参照してください。
- 静的IPアドレスは、データセンタ内のゲートウェイデバイスに割り当てられる。
- VPC 1のECSインスタンスのセキュリティグループルールを理解しています。 ルールにより、データセンターがVPC 1のECSインスタンスにアクセスできるようにします。 詳細については、「セキュリティグループルールの照会」および「セキュリティグループルールを追加」をご参照ください。
手順
ステップ1: Express Connect回路のデプロイ
- Express Connect回路をデプロイします。 中国 (杭州) リージョンのExpress Connect回線を申請する必要があります。 詳細については、「セルフサービスによる専用回線アクセスの申請」または「t1848784.html#task_2359306」をご参照ください。
- VBRを作成します。
- BGP グループを削除します。
- BGPピアを作成します。
ステップ2: VPNゲートウェイのデプロイ
- VPN ゲートウェイを作成します。
- カスタマーゲートウェイを作成します。
- IPsec-VPN 接続を作成します。
- VPNゲートウェイでルートを設定します。 VPNゲートウェイを使用して、データセンターの経路をVPC2にアドバタイズする必要があります。
- VPN設定をデータセンターのゲートウェイデバイスにロードします。
- 左側のナビゲーションウィンドウで、 を選択します。
- [IPsec接続] ページで、作成したIPsec-VPN接続を見つけます。 [操作] 列で、 を選択します。
- IPsec-VPN接続の設定をデータセンターのゲートウェイデバイスにロードします。 詳細については、「データセンターでのゲートウェイデバイスの設定」をご参照ください。
手順3: CENインスタンスの作成と設定
Express Connect回路とVPNゲートウェイを設定した後、VPC 1、VPC 2、およびVBRをCloud Enterprise Network (CEN) インスタンスに接続する必要があります。 CENインスタンスは、データセンターをVPC 1に接続できます。
- CEN インスタンスを作成します。
- VPC 1とVBRをCENインスタンスにアタッチします。
- VPC 2からCENへのデータセンターのルートをアドバタイズします。 VPNゲートウェイを使用してデータセンターのルートをVPC 2にアドバタイズした後、VPC 2のルートはデフォルトで非公開状態になります。 VPC 2からCENへのデータセンターのルートを手動でアドバタイズする必要があります。 これにより、VPC 1はVPC 2からデータセンターのルートを学習できます。
- CEN コンソールにログインします。
- [インスタンス] ページで、管理するCENインスタンスを見つけ、そのIDをクリックします。
- CENインスタンスの詳細ページで、[ルート] タブをクリックします。
- [ルート] タブで、VPC 2のルートを表示し、データセンターのルートを見つけて、[公開の進行状況] 列の [公開] をクリックします。
- [PublishRoute] メッセージで、[OK] をクリックします。
- Express Connect回路のヘルスチェックを設定します。 Express Connect回路のヘルスチェックを設定する必要があります。 ヘルスチェックは、指定したプローブパケットの時間間隔と数に基づいてプローブパケットを送信します。 プローブパケットが連続して失われた場合、CENインスタンスはトラフィックをIPsec-VPN接続にルーティングします。
手順4: データセンターでゲートウェイデバイスを設定する
次のサンプルコードは参考用です。 コマンドはベンダーによって異なる場合があります。 特定のコマンドについてはベンダーに相談してください。
# BGP動的ルーティングを設定し、VBRへのBGPピアリング接続を確立し、データセンターのルートをAlibaba Cloudにアドバタイズします。
インターフェイスGigabitEthernet 0/12# ポートは、データセンターのゲートウェイデバイスをExpress connect回路に接続するために使用されます。
no switchport
ip address 10.1.0.2 255.255.255.252 #The IP address of the port. IPアドレスは、顧客側のVBRのIPv4アドレスと同じである必要があります。
ルーターbgp 65530
bgpルーターid 10.1.0.2
ネットワーク172.16.0.0マスク255.255.0.0# データセンターのルートをAlibaba Cloudにアドバタイズします。
neighbor 10.1.0.1 remote-45104として# VBRへのピアリング接続を確立します。
終了
# VPNゲートウェイを介してVPC 1を指すルートの優先度を設定します。 優先度はBGPルートの優先度より低くする必要があります。
ip route 192.168.0.0 255.255.0.0 <VPN gatewayのパブリックIPアドレス> 設定255
# プローブパケットの戻りルートを設定します。
ip route <ヘルスチェックの送信元IPアドレス> 255.255.255.255 10.1.0.1
ステップ5: 接続をテストする
- データセンターのコンピューターでコマンドラインインターフェイス (CLI) を開きます。
- CLIで、
ping
コマンドを実行して、VPC1のECSインスタンスのIPアドレスをpingします。 ECSインスタンスのIPアドレスは、192.168.0.0/16のCIDRブロックに含まれます。 クライアントが応答パケットを受信すると、データセンターがVPC 1に接続されていることを示します。 - データセンターのゲートウェイデバイスで、Express Connect回路ポートを無効にして接続を閉じます。 CLIで
ping
コマンドを再度実行して、データセンターとVPC 1間の接続をテストします。 応答パケットを受信した場合、待機系IPsec-VPN接続が期待通りに動作していることを示しています。