このトピックでは、IPsec-VPNを使用してデータセンターを仮想プライベートクラウド (VPC) に接続する方法について説明します。 IPsec-VPN接続を確立すると、データセンターとVPCは相互に通信できます。
始める前に
- Alibaba Cloud アカウントが作成済みであること。 Alibaba Cloudアカウントをお持ちでない場合は、create one が必要です。
- データセンターのゲートウェイデバイスは、IKEv1およびIKEv2プロトコルをサポートしています。 これらのプロトコルをサポートするすべてのゲートウェイデバイスは、VPNゲートウェイに接続できます。
- 静的パブリックIPアドレスは、データセンターのゲートウェイデバイスに割り当てられます。
- データセンターのCIDRブロックは、VPCのCIDRブロックと重複しません。
- VPCのECSインスタンスに適用されるセキュリティグループルールを読んで理解しており、セキュリティグループルールによってデータセンターのゲートウェイデバイスがクラウドリソースにアクセスできるようになります。 詳しくは、「セキュリティグループルールの照会とセキュリティグループルールを追加」をご参照ください。
このタスクについて
このトピックでは、次のシナリオを例として使用します。 企業がAlibaba Cloud上にVPCを作成しました。 VPC の CIDR ブロックは 192.168.0.0/16 です。 データセンターのCIDRブロックは172.16.0.0/12です。 データセンターのゲートウェイデバイスの静的パブリックIPアドレスは、211.XX. XX.68です。 ビジネス要件を満たすには、企業はデータセンターをVPCに接続する必要があります。 次の図に示すように、データセンターとVPCの間にIPsec-VPN接続を確立できます。 これにより、データセンターはVPCと通信できます。

手順 1: VPN ゲートウェイの作成
- VPN gatewayコンソールにログインします。
- VPN Gateway ページで、[VPN Gateway の作成] をクリックします。
- 購入ページで、次のパラメーターを設定し、[今すぐ購入] をクリックして、支払いを完了します。
詳細については、「VPN Gateway の作成」をご参照ください。項目 説明 Name VPNゲートウェイの名前を入力します。 この例では、VPN Gateway 1が使用されています。
Region VPNゲートウェイをデプロイするリージョンを選択します。 説明 VPNゲートウェイはVPCと同じリージョンに属している必要があります。Network Type VPN gatewayのネットワークタイプを選択します。 この例では、[パブリック] が選択されています。
VPC VPNゲートウェイを関連付けるVPCを選択します。 VSwitchの指定 VPCの指定されたvSwitchにVPNゲートウェイをデプロイするかどうかを指定します。 最大帯域幅 VPN gatewayの最大帯域幅値を指定します。 単位:Mbit/秒。 トラフィック VPNゲートウェイの計測方法を選択します。 デフォルト値: Pay-by-data-transfer 詳細については、「従量課金制」をご参照ください。
IPsec-VPN VPN gatewayのIPsec-VPNを有効にするかどうかを指定します。 この例では、[有効化] が選択されています。
SSL-VPN SSL-VPNを有効にするかどうかを指定します。 この例では、[無効] が選択されています。
期間 課金サイクルを指定します。 デフォルト値: [時間単位] 。
サービスにリンクされたロール [サービスにリンクされたロールの作成] をクリックすると、サービスにリンクされたロールAliyunServiceRoleForVpnが自動的に作成されます。 VPN gatewayが他のクラウドリソースにアクセスする役割を引き受ける方法の詳細については、「AliyunServiceRoleForVpn」をご参照ください。
[作成済み] が表示されている場合、サービスにリンクされたロールが作成され、再度作成する必要はありません。
- VPN gatewayを表示するには、VPN gatewayページに戻ります。 新しく作成されたVPN gatewayは準備中状態です。 VPNゲートウェイは、約1〜5分後に正常状態に入る。 VPNゲートウェイが正常状態に入ると、VPNゲートウェイは使用できる状態になります。
手順 2 : カスタマーゲートウェイの作成
- 左側のナビゲーションウィンドウで、 を選択します。
- 上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。 説明 接続するカスタマーゲートウェイとVPNゲートウェイが同じリージョンにデプロイされていることを確認してください。
- カスタマーゲートウェイ ページで、[カスタマーゲートウェイの作成] をクリックします。
- カスタマーゲートウェイの作成 ページで、次のパラメーターを設定し、[OK] をクリックします。
- 名前:カスタマーゲートウェイの名前を入力します。
この例では、Customer Gateway 1が使用されています。
- IPアドレス: VPCに接続するデータセンターのゲートウェイデバイスのパブリックIPアドレスを入力します。
この例では、211.XX. XX.68が使用されます。
- 名前:カスタマーゲートウェイの名前を入力します。
手順 3:IPsec-VPN 接続を作成する
- 左側のナビゲーションウィンドウで、 を選択します。
- 上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。 説明 IPsec-VPN接続と接続するVPN gatewayが同じリージョンにデプロイされていることを確認してください。
- IPsec 接続 ページで、[IPsec接続の作成] をクリックします。
- [VPN 接続の作成] ページで、IPsec-VPN接続に次のパラメーターを設定し、[OK] をクリックします。
項目 説明 Name IPsec-VPN接続の名前を入力します。 この例では、IPsec接続1が使用されています。
VPNゲートウェイ 作成したVPNゲートウェイを選択します。 この例では、VPN Gateway 1が選択されています。
カスタマーゲートウェイ 作成したカスタマーゲートウェイを選択します。 この例では、Customer Gateway 1が選択されています。
ルーティングモード ルーティングモードを選択します。 この例では、宛先ルーティングモードが選択されています。
すぐに有効 接続のネゴシエーションをすぐに開始するかどうかを指定します。 - Yes: 設定完了後にネゴシエーションを開始します。
- No: トラフィックが検出されるとネゴシエーションを開始します。
この例では、はいが選択されています。
事前共有キー 事前共有キーを入力します。 値を入力しない場合、事前共有キーとしてランダムな16文字の文字列が生成されます。
重要 オンプレミスのデバイスとIPsec-VPN接続が同じ事前共有キーを使用していることを確認します。その他のパラメーターにはデフォルト設定を使用します。 詳細については、「IPsec-VPN接続の作成と管理」をご参照ください。
手順4: IPsec-VPN接続の設定をデータセンターのゲートウェイデバイスに読み込む
- 左側のナビゲーションウィンドウで、 を選択します。
- [IPsec 接続] ページで、管理するIPsec-VPN接続を見つけ、[操作] 列の を選択します。
- IPsec-VPN接続の設定をデータセンターのゲートウェイデバイスにロードします。 詳細については、「オンプレミスゲートウェイデバイスの設定」をご参照ください。 。
手順 5: VPNゲートウェイの経路を設定する
- 左側のナビゲーションウィンドウで、 を選択します。
- [VPN Gateway] ページで、管理するVPN gatewayを見つけ、そのIDをクリックします。
- [宛先ベースルーティング] タブで、[ルートエントリの追加] をクリックします。
- [ルートエントリの追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。
項目 説明 宛先CIDRブロック 接続先CIDRブロックを入力します。 この例では、172.16.0.0/12が使用されます。
ネクストホップタイプ ネクストホップタイプを選択します。 この例では、IPsec接続が選択されています。
次ホップ 作成したIPsec-VPN接続を選択します。 VPCへの公開 VPNゲートウェイに関連付けられているVPCへのルートをアドバタイズするかどうかを指定します。 この例では、はいが選択されています。
重量 ルートの重みを選択します。 有効な値: - 100: ルートの高い優先度を指定します。
- 0: ルートの優先度を低く指定します。
この例では、デフォルト値100が使用されます。
手順 6:ネットワーク接続のテスト
- VPCでパブリックアドレスが割り当てられていないElastic Compute Service (ECS) インスタンスにログインします。 ECSインスタンスへのログイン方法の詳細については、「接続方法」をご参照ください。
- pingコマンドを実行して、データセンターのサーバーにpingを実行し、ネットワーク接続をテストします。 エコー応答パケットを受信できる場合は、接続が確立されます。