このトピックでは、VPN Gateway と Express Connect の物理接続を使用して、アクティブ/スタンバイ設定を実装し、アプリケーションの可用性を向上させる方法について説明します。

オンプレミスデータセンターと Alibaba Cloud VPC を、物理接続と IPsec-VPN 接続の両方を使用して接続できます。
  • 物理接続が正常に機能している場合、オンプレミスデータセンターと VPC 間のトラフィックは物理接続を使用して転送されます。
  • 物理接続に異常が発生した場合、オンプレミスデータセンターと VPC 間のトラフィックは IPsec-VPN トンネルを使用して転送されます。

前提条件

物理接続が作成され、オンプレミスデータセンターと VPC 間の相互通信が可能であること。

詳細については、「専用回線接続の申請」をご参照ください。

手順 1 : VPN Gateway の作成

  1. VPC コンソールにログインします。
  2. 左側のナビゲーションウインドウで、[VPN] > [VPN Gateways] をクリックします。
  3. VPN Gateway ページで、[VPN Gateway の作成] をクリックします。
  4. 購入ページで、VPN Gateway を設定して支払いを完了させます。 このチュートリアルでは、VPN Gateway は次の設定を使用します。
    • <p data-spm-anchor-id="a2762.11472859.0.i12.7588203beUXIor">Region: VPN Gateway のリージョンをクリックします。 このチュートリアルでは、[中国 (杭州) ]をクリックします。
      VCP とVPN ゲートウェイが同じリージョンであることをご確認ください。

    • VPC : 接続する VPC をクリックします。

    • Bandwidth specification : 帯域幅指定をクリックします。 帯域幅指定は、VPN ゲートウェイのインターネット帯域幅です。

    • IPsec-VPN : IPsec-VPN 機能を有効にするかをクリックします。

    • SSL-VPN : SSL-VPN 機能を有効にするかを設定します。 SSL-VPN 機能を使用すると、単一のコンピュータからどこにいても VPC に接続できます。

    • Concurrent SSL Connections: 同時に接続するクライアントの最大数をクリックします。
      このオプションは、SSL-VPN 機能を有効にした後にのみ設定できます。
  5. VPN Gateway ページに戻り、[中国 (杭州)] リージョンをクリックすると、作成した VPN Gateway が表示されます。
    VPN Gateway の初期ステータスは、"Preparing" です。 約2分で "Normal" に変わります。 ステータスが "Normal"に変わると、VPN Gateway が使用可能になります。
    通常、VPN Gateway の作成には 1 〜 5 分かかります 。

手順 2:カスタマーゲートウェイを作成する

カスタマーゲートウェイを作成し、ローカルゲートウェイのパブリック IP アドレスをカスタマーゲートウェイに登録します。 登録の手順は以下のとおりです。
  1. 左側のナビゲーションウインドウで、[VPN] > [カスタマーゲートウェイ] をクリックします。
  2. [中国 (杭州)] リージョンをクリックします。
  3. カスタマーゲートウェイページで、[カスタマーゲートウェイの作成] をクリックします。

  4. 次の情報に従って、カスタマーゲートウェイを設定します。

    • Name : カスタマーゲートウェイ名を入力します。

    • IP Address : ローカルゲートウェイ用に設定されたパブリック IP を入力します。 このチュートリアルでは、211.167.68.68 を使用します。

    • Description: カスタマーゲートウェイの説明を入力します。

  5. カスタマーゲイトウェイの作成ページで、[追加 +] をクリックして複数のカスタマーゲートウェイを追加します。

手順 3:IPsec-VPN 接続を作成する

IPsec-VPN 接続の作成手順は以下のとおりです。
  1. 左側のナビゲーションペインで、[VPN] > [IPsec 接続] をクリックします。
  2. リージョンを選択します。
  3. [IPsec 接続] ページで 、[IPsec 接続の作成] をクリックします。
  4. 下記の情報に従って IPsec-VPN 接続を設定し、[OK] をクリックします。
    • 名前:IPsec-VPN 接続の名前を入力します。
    • VPN Gateway: 作成した VPN Gateway をクリックします。
    • Customer Gateway: 作成したカスタマーゲートウェイをクリックします。
    • ローカルネットワーク:選択した VPN Gateway が属する VPC の IP アドレスの範囲を入力します。
    • [宛先 CIDR ブロック] : ローカルデータセンターの CIDR ブロックを入力します。
    • 今すぐ有効化:ネゴシエーションを直ちに開始するかどうかをクリックします。
      • はい:設定完了後、直ちにネゴシエーションを開始します。
      • いいえ:トンネルでトラフィックが検出された場合のみネゴシエーションを開始します。
    • Pre-Shared Key: 事前共有キーを入力します。 この値は、ローカルゲートウェイで設定した値と同じでなければなりません。
    • ヘルスチェック:ヘルスチェックを有効にし、宛先 IP アドレス、送信元 IP アドレス、再試行間隔、および再試行回数を入力します。

      他のパラメーターについてはデフォルト設定を使用します。

ステップ4: ローカルゲートウェイの設定

  1. 左側のナビゲーションウインドウで、[VPN] > [IPsec Connections] の順に、クリックします。
  2. [中国 (杭州) ] リージョンをクリックします。
  3. 対象の IPsec 接続を検索し、[Download Config] をクリックします。
  4. 適宜、ローカルゲートウェイを設定します。 詳細については、H3C ファイアウォールの設定 および strongSwan の設定をご参照ください。

    ダウンロード設定にある RemoteSubnet と LocalSubnet は、IPsec 接続作成時のローカルネットワークとリモートネットワークとは逆になります。 VPN Gateway の観点から、リモートネットワークはローカル IDC、ローカルネットワークは VPC です。

手順 6:物理接続の VBR にヘルスチェックを設定する

物理接続の VBR (Virtual Border Router) にヘルスチェックを設定し、物理接続の失敗時に接続の状態を VPC でチェックできること、またトラフィックを IPsec-VPN 接続に転送できることを確認します。

詳細については、「ヘルスチェックの設定」をご参照ください。

手順 7:ローカルゲートウェイを設定する

ローカルゲートウェイデバイスに VPC へのアクティブルートとスタンバイルートを設定し、物理接続のヘルスチェック機能を有効化します。 この設定により、物理接続が失敗した場合、トラフィックは IPsec-VPN 接続に転送されます。