このトピックでは、転送ルーターを使用して、データセンターと複数の Virtual Private Cloud (VPC) 間の通信を IPsec 接続を介して有効にする方法について説明します。VPC は、異なるリージョンまたは同じリージョンにデプロイできます。
環境要件
パブリック IPsec 接続が転送ルーターに関連付けられている場合は、オンプレミスゲートウェイデバイスのパブリック IP アドレスを構成する必要があります。
デュアルトンネルモードをサポートするリージョンでは、データセンターのゲートウェイデバイスに 2 つのパブリック IP アドレスを構成することをお勧めします。または、データセンターに 2 つのゲートウェイデバイスをデプロイし、各ゲートウェイデバイスにパブリック IP アドレスを構成することもできます。このようにして、高可用性 IPsec 接続を作成できます。
データセンターのゲートウェイデバイスは、転送ルーターとの IPsec 接続を確立するために、IKEv1 または IKEv2 プロトコルをサポートしている必要があります。
データセンターの CIDR ブロックは、VPC の CIDR ブロックと重複していません。
例
次のシナリオは例です。タイ (バンコク) リージョンに VPC1 を、フィリピン (マニラ) リージョンに VPC2 を作成しました。アプリケーションは、VPC1 と VPC2 の Elastic Compute Service (ECS) インスタンスにデプロイされます。次の例では、転送ルーターを使用して、データセンターと VPC1 および VPC2 間の通信をパブリック IPsec 接続を介して有効にする方法について説明します。
CIDR ブロック計画
CIDR ブロックを割り当てる場合は、データセンター、VPC1、および VPC2 の CIDR ブロックが重複していないことを確認してください。
IPsec 接続を作成する場合は、BGP 動的ルーティングを使用することをお勧めします。静的ルーティングを使用する場合は、オンプレミスゲートウェイデバイスが静的 ECMP ルーティングをサポートしていることを確認してください。この例では、BGP 動的ルーティングが使用されます。
データセンターと VPC の CIDR ブロック計画
リソース | CIDR ブロック | IP アドレス |
データセンター | VPC に接続される CIDR ブロック: 192.168.55.0/24 | サーバー IP アドレス: 192.168.55.65 |
オンプレミスゲートウェイデバイス | 該当なし | ゲートウェイデバイスがインターネットに接続するために使用する物理インターフェイス:
|
VPC1 | プライマリ CIDR ブロック: 192.168.0.0/16 vSwitch1: 192.168.66.0/24 vSwitch2: 192.168.20.0/24 | ECS1 IP アドレス: 192.168.66.193 |
VPC2 | プライマリ CIDR ブロック: 10.0.0.0/16 vSwitch1: 10.0.10.0/24 vSwitch2: 10.0.20.0/24 | ECS2 IP アドレス: 10.0.20.61 |
BGP 動的ルーティングの CIDR ブロック計画
BGP トンネルの CIDR ブロックは、169.254.0.0/16 の範囲内である必要があります。CIDR ブロックのマスクは 30 ビット長である必要があります。CIDR ブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30、または 169.254.169.252/30 にすることはできません。IPsec 接続の 2 つのトンネルは、異なる CIDR ブロックを使用する必要があります。
リソース | トンネル | BGP トンネル CIDR ブロック | BGP IP アドレス | BGP ローカル ASN |
IPsec 接続 | トンネル 1 | 169.254.10.0/30 | 169.254.10.1 | 65535 |
トンネル 2 | 169.254.20.0/30 | 169.254.20.1 | ||
オンプレミスゲートウェイデバイス | トンネル 1 | 169.254.10.0/30 | 169.254.10.2 | 65530 |
トンネル 2 | 169.254.20.0/30 | 169.254.20.2 |
手順
ステップ 1: CEN インスタンスと転送ルーターを作成する
IPsec 接続を作成する前に、CEN インスタンスを作成し、CEN インスタンスの転送ルーターを作成する必要があります。
CEN インスタンスを作成する。CEN インスタンスを作成するときは、デフォルトの構成を使用します。
フィリピン (マニラ) とタイ (バンコク) の各リージョンに転送ルーターを作成します。詳細については、「転送ルーターを作成する」をご参照ください。
フィリピン (マニラ) リージョンの転送ルーターは、VPC2 をデータセンターに接続するために使用されます。この転送ルーターには、デフォルトの構成を使用できます。
タイ (バンコク) リージョンの転送ルーターは、VPC1 をデータセンターに接続するために使用されます。この転送ルーターを作成するときは、[転送ルーター CIDR ブロック] を構成する必要があります。その他のパラメーターには、デフォルト設定を使用します。
説明データセンターに最も近いリージョンに転送ルーターを作成することをお勧めします。
この例では、[転送ルータ CIDR ブロック] は 10.10.10.0/24 です。 [転送ルータ CDIR ブロック] は、データセンター、VPC1、および VPC2 の CIDR ブロックと重複してはなりません。
ステップ 2: IPsec 接続を作成する
転送ルーターを作成したら、IPsec 接続を作成してデータセンターを Alibaba Cloud に接続できます。
カスタマーゲートウェイを作成する
カスタマーゲートウェイを作成して、オンプレミスゲートウェイデバイスのパブリック IP アドレスを Alibaba Cloud に登録する必要があります。データセンターは、登録済みのパブリック IP アドレスのみを使用して、Alibaba Cloud への IPsec 接続を確立できます。
- VPN ゲートウェイコンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。
説明カスタマーゲートウェイと転送ルーターは、同じリージョンに属している必要があります。
カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。
カスタマーゲートウェイの作成 パネルで、次のパラメーターを構成し、[OK] をクリックします。
次の情報に基づいて 2 つのカスタマーゲートウェイを作成し、オンプレミスゲートウェイデバイスの 2 つのパブリック IP アドレスを登録します。次の表では、一部のパラメーターのみを説明しています。その他のパラメーターはデフォルト値を使用します。詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。
名前
IP アドレス
ASN
カスタマーゲートウェイ 1
オンプレミスゲートウェイデバイスのパブリック IP アドレス 120.XX.XX.104 を入力します。
この例では、オンプレミスゲートウェイデバイスの自律システム番号(ASN)は 65530 です。
説明BGP 動的ルーティングを使用する場合は、このパラメーターを構成する必要があります。
カスタマーゲートウェイ 2
カスタマーゲートウェイデバイスの別のパブリック IP アドレス 121.XX.XX.3 を入力します。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。
説明カスタマーゲートウェイと転送ルーターは、同じリージョンに属している必要があります。
カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。
カスタマーゲートウェイの作成 パネルで、次のパラメーターを構成し、[OK] をクリックします。
次の情報に基づいて 2 つのカスタマーゲートウェイを作成し、オンプレミスゲートウェイデバイスの 2 つのパブリック IP アドレスを登録します。次の表では、一部のパラメーターのみを説明しています。その他のパラメーターはデフォルト値を使用します。詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。
名前
IP アドレス
ASN
カスタマーゲートウェイ 1
オンプレミスゲートウェイデバイスのパブリック IP アドレス 120.XX.XX.104 を入力します。
この例では、オンプレミスゲートウェイデバイスの自律システム番号(ASN)は 65530 です。
説明BGP 動的ルーティングを使用する場合は、このパラメーターを構成する必要があります。
カスタマー ゲートウェイ 2
カスタマーゲートウェイデバイスの別のパブリック IP アドレス 121.XX.XX.3 を入力します。
IPsec 接続を作成する
カスタマーゲートウェイを作成したら、Alibaba Cloud 側に IPsec 接続を作成します。IPsec 接続を作成するときは、VPN トンネルで使用される暗号化アルゴリズム、認証アルゴリズム、および事前共有鍵を指定する必要があります。
左側のナビゲーションウィンドウで、 を選択します。
IPsec 接続 ページで、[CEN のバインド] をクリックします。
[IPsec-vpn 接続の作成 (CEN)] ページで、パラメーターを構成し、[OK] をクリックします。次の表にパラメーターを示します。
次の表では、一部のパラメーターのみを説明しています。その他のパラメーターはデフォルト値を使用します。詳細については、「デュアルトンネルモードで IPsec 接続を作成および管理する」をご参照ください。
パラメーター
IPsec 接続
名前
この例では、IPsec1 が使用されています。
リージョン
関連付ける転送ルーターが属するリージョンを選択します。
IPsec 接続は、転送ルーターと同じリージョンに作成されます。
ゲートウェイタイプ
IPsec 接続のネットワークタイプを選択します。
[パブリック] を選択します。
CEN のバインド
[現在のアカウント] を選択します。
CEN インスタンス ID
ステップ 1 で作成した CEN インスタンスを選択します。
システムは、現在のリージョンで CEN インスタンスによって作成された転送ルーターの ID と CIDR ブロックを表示します。IPsec 接続は、転送ルーターに関連付けられます。
トランジットルーター
システムは、現在のリージョンにある CEN インスタンスの転送ルーターを自動的に表示します。
ルーティングモード
IPsec 接続のルーティングモード。有効な値:
IPsec 接続に BGP 動的ルーティングを使用する場合は、[宛先ルーティングモード] を選択することをお勧めします。この例では、[宛先ルーティングモード] が使用されます。
今すぐ有効化
この例では、デフォルト値の はい が選択されています。IPsec ネゴシエーションは、IPsec 接続の作成後すぐに開始されます。
トンネル 1
カスタマーゲートウェイ
カスタマーゲートウェイ 1 を選択します。
事前共有鍵
この例では、fddsFF111**** が使用されています。
重要IPsec 接続とピアゲートウェイデバイスは、同じ事前共有鍵を使用する必要があります。そうでない場合、システムは IPsec 接続を確立できません。
暗号化の構成
次のパラメーターを除き、パラメーターのデフォルト値を使用します。
[IKE の構成] セクションの [DH グループ] パラメーターを [group14] に設定します。
[IPsec の構成] セクションの [DH グループ] パラメーターを [group14] に設定します。
説明IPsec 接続の暗号化構成がオンプレミスゲートウェイデバイスの暗号化構成と同じになるように、オンプレミスゲートウェイデバイスに基づいて暗号化パラメーターを選択する必要があります。
トンネル 2
カスタマーゲートウェイ
カスタマーゲートウェイ 2 を選択します。
事前共有鍵
この例では、fddsFF222**** が使用されています。
暗号化の構成
次のパラメーターを除き、パラメーターのデフォルト値を使用します。
[IKE の構成] セクションの [DH グループ] パラメーターを [group14] に設定します。
[IPsec の構成] セクションの [DH グループ] パラメーターを [group14] に設定します。
説明IPsec 接続の暗号化構成がオンプレミスゲートウェイデバイスの暗号化構成と同じになるように、オンプレミスゲートウェイデバイスに基づいて暗号化パラメーターを選択する必要があります。
詳細設定
この例では、デフォルト設定が使用されます。すべての高度な機能が有効になっています。
[作成済み] メッセージで、[OK] をクリックします。
[IPsec 接続] ページで、作成した IPsec 接続を見つけ、[アクション] 列の [ピア構成の生成] をクリックします。
IPsec ピアの構成とは、IPsec 接続の作成時に追加する必要がある VPN 構成のことです。この例では、VPN 構成をデータセンターのゲートウェイデバイスに追加する必要があります。
[IPsec 接続の構成] ダイアログボックスで、構成をコピーしてオンプレミスマシンに保存します。データセンターのゲートウェイデバイスを構成するときに、この構成が必要になります。
オンプレミスゲートウェイデバイスを構成する
IPsec 接続を作成したら、オンプレミスゲートウェイデバイスに VPN 構成を追加して、Alibaba Cloud とオンプレミスゲートウェイデバイスの間で IPsec 接続を確立できるようにする必要があります。
説明この例では、ソフトウェア Adaptive Security Appliance (ASA) 9.19.1 を使用して、Cisco ファイアウォールの構成方法について説明します。コマンドは、ソフトウェアのバージョンによって異なる場合があります。操作中は、実際の環境に基づいて、ドキュメントまたはベンダーに相談してください。詳細については、「ローカルゲートウェイを構成する」をご参照ください。
次のコンテンツには、サードパーティ製品の情報が含まれています。これは参照用です。Alibaba Cloud は、サードパーティ製品のパフォーマンスと信頼性、またはこれらの製品を使用して実行される操作の潜在的な影響について、保証またはその他の形式のコミットメントを行いません。
Cisco ファイアウォールの CLI にログインし、構成モードに入ります。
ciscoasa> enable Password: ******** # イネーブルモードに入るためのパスワードを入力します。 ciscoasa# configure terminal # 構成モードに入ります。 ciscoasa(config)#インターネットアクセスのためのインターフェイス構成とルート構成を表示します。
Cisco ファイアウォールでインターフェイスが構成され、有効になっていることを確認します。この例では、次のインターフェイス構成が使用されます。
ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 # GigabitEthernet 0/0 インターフェイスの名前。 security-level 0 ip address 120.XX.XX.104 255.255.255.255 # GigabitEthernet 0/0 インターフェイスのパブリック IP アドレス。 ! interface GigabitEthernet0/1 # データセンターに接続するインターフェイス。 nameif private # GigabitEthernet 0/1 インターフェイスの名前。 security-level 100 # データセンターに接続するプライベートインターフェイスのセキュリティレベル。これは、パブリックインターフェイスのセキュリティレベルよりも低くなっています。 ip address 192.168.55.217 255.255.255.0 # GigabitEthernet 0/1 インターフェイスの IP アドレス。 ! interface GigabitEthernet0/2 nameif outside2 # GigabitEthernet 0/2 インターフェイスの名前。 security-level 0 ip address 121.XX.XX.3 255.255.255.255 # GigabitEthernet 0/2 インターフェイスのパブリック IP アドレス。 ! route outside1 121.XX.XX.170 255.255.255.255 192.XX.XX.172 # Alibaba Cloud 上のトンネル 1 のパブリック IP アドレスにアクセスするためのルート。ネクストホップはパブリック IP アドレスです。 route outside2 121.XX.XX.232 255.255.255.255 192.XX.XX.158 # Alibaba Cloud 上のトンネル 2 のパブリック IP アドレスにアクセスするためのルート。ネクストホップはパブリック IP アドレスです。 route private 192.168.55.0 255.255.255.0 192.168.55.216 # データセンターを指すルート。パブリックインターフェイスの IKEv2 機能を有効にします。
crypto ikev2 enable outside1 crypto ikev2 enable outside2IKEv2 ポリシーを作成し、Cisco ファイアウォールで IKE フェーズの認証アルゴリズム、暗号化アルゴリズム、DH グループ、および SA ライフタイムを指定します。値は Alibaba Cloud の値と同じである必要があります。
重要Alibaba Cloud で IPsec 接続を構成する場合、IKE フェーズでは、暗号化アルゴリズム、認証アルゴリズム、および DH グループ に 1 つの値のみを指定できます。Cisco ファイアウォール の IKE フェーズでは、暗号化アルゴリズム、認証アルゴリズム、および DH グループに 1 つの値のみを指定することをお勧めします。これらの値は、Alibaba Cloud の値と同じである必要があります。
crypto ikev2 policy 10 encryption aes # 暗号化アルゴリズムを指定します。 integrity sha # 認証アルゴリズムを指定します。 group 14 # DH グループを指定します。 prf sha # prf パラメーターの値は、integrity パラメーターの値と同じである必要があります。デフォルトでは、Alibaba Cloud ではこれらの値は同じです。 lifetime seconds 86400 # SA ライフタイムを指定します。IPsec プロポーザルとプロファイルを作成し、Cisco ファイアウォールで IPsec フェーズの暗号化アルゴリズム、認証アルゴリズム、DH グループ、および SA ライフタイムを指定します。値は Alibaba Cloud の値と同じである必要があります。
重要Alibaba Cloud で IPsec 接続を構成する場合、IPsec フェーズでは、暗号化アルゴリズム、認証アルゴリズム、および DH グループ に 1 つの値のみを指定できます。Cisco ファイアウォール の IPsec フェーズでは、暗号化アルゴリズム、認証アルゴリズム、および DH グループに 1 つの値のみを指定することをお勧めします。これらの値は、Alibaba Cloud の値と同じである必要があります。
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL # IPsec プロポーザルを作成します。 protocol esp encryption aes # 暗号化アルゴリズムを指定します。Alibaba Cloud では Encapsulating Security Payload (ESP) プロトコルが使用されています。したがって、ESP プロトコルを使用します。 protocol esp integrity sha-1 # 認証アルゴリズムを指定します。Alibaba Cloud では ESP プロトコルが使用されています。したがって、ESP プロトコルを使用します。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL # IPsec プロファイルを作成し、作成したプロポーザルを適用します。 set ikev2 local-identity address # ローカル ID の形式を IP アドレスに設定します。これは、Alibaba Cloud のリモート ID の形式と同じです。 set pfs group14 # Perfect Forward Secrecy (PFS) と DH グループを指定します。 set security-association lifetime seconds 86400 # 時間ベースの SA ライフタイムを指定します。 set security-association lifetime kilobytes unlimited # トラフィックベースの SA ライフタイムを無効にします。トンネルグループを作成し、トンネルの事前共有鍵を指定します。これは、Alibaba Cloud 側の事前共有鍵と同じである必要があります。
tunnel-group 121.XX.XX.170 type ipsec-l2l # トンネル 1 のカプセル化モード l2l を指定します。 tunnel-group 121.XX.XX.170 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF111**** # トンネル 1 のピア事前共有鍵を指定します。これは、Alibaba Cloud 側の事前共有鍵です。 ikev2 local-authentication pre-shared-key fddsFF111**** # トンネル 1 のローカル事前共有鍵を指定します。これは、Alibaba Cloud の事前共有鍵と同じである必要があります。 ! tunnel-group 121.XX.XX.232 type ipsec-l2l # トンネル 2 のカプセル化モード l2l を指定します。 tunnel-group 121.XX.XX.232 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF222**** # トンネル 2 のピア事前共有鍵を指定します。これは、Alibaba Cloud 側の事前共有鍵です。 ikev2 local-authentication pre-shared-key fddsFF222**** # トンネル 2 のローカル事前共有鍵を指定します。これは、Alibaba Cloud の事前共有鍵と同じである必要があります。 !トンネルインターフェイスを作成します。
interface Tunnel1 # トンネル 1 のインターフェイスを作成します。 nameif ALIYUN1 ip address 169.254.10.2 255.255.255.252 # インターフェイスの IP アドレスを指定します。 tunnel source interface outside1 # GigabitEthernet 0/0 インターフェイスの IP アドレスをトンネル 1 の送信元アドレスとして指定します。 tunnel destination 121.XX.XX.170 # Alibaba Cloud 上のトンネル 1 のパブリック IP アドレスをトンネル 1 の宛先アドレスとして指定します。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE # トンネル 1 に IPsec プロファイル ALIYUN-PROFILE を適用します。 no shutdown # トンネル 1 のインターフェイスを有効にします。 ! interface Tunnel2 # トンネル 2 のインターフェイスを作成します。 nameif ALIYUN2 ip address 169.254.20.2 255.255.255.252 # インターフェイスの IP アドレスを指定します。 tunnel source interface outside2 # GigabitEthernet 0/2 インターフェイスの IP アドレスをトンネル 2 の送信元アドレスとして指定します。 tunnel destination 121.XX.XX.232 # Alibaba Cloud 上のトンネル 2 のパブリック IP アドレスをトンネル 2 の宛先アドレスとして指定します。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE # トンネル 2 に IPsec プロファイル ALIYUN-PROFILE を適用します。 no shutdown # トンネル 2 のインターフェイスを有効にします。 !上記の手順を完了すると、データセンターと Alibaba Cloud の間で IPsec 接続を確立できます。IPsec 接続の詳細ページで接続ステータスを確認できます。IPsec 接続が確立されていない場合は、関連トピックを参照してトラブルシューティングを行ってください。詳細については、「IPsec 接続のセルフサービス診断」をご参照ください。
ルートを構成する
IPsec 接続が確立された後、データセンターはクラウドと通信できません。データセンターと IPsec 接続の BGP ルートを構成する必要があります。
説明この例では、静的ルーティングが使用されます。BGP 動的ルーティングを使用することをお勧めします。静的ルーティングを使用する場合は、オンプレミスゲートウェイが静的 ECMP ルーティングをサポートしていることを確認してください。そうでない場合、データセンターからクラウドへのデータは ECMP パスを介して転送できませんが、クラウドからのデータは ECMP パスを介してデータセンターに転送できます。その結果、トラフィックパスが要件を満たさない場合があります。
BGP 動的ルーティング
オンプレミスゲートウェイデバイスで BGP ルートを構成します。
router bgp 65530 address-family ipv4 unicast neighbor 169.254.10.1 remote-as 65535 # BGP ピアを指定します。これは、Alibaba Cloud 側のトンネル 1 の IP アドレスです。 neighbor 169.254.10.1 ebgp-multihop 255 neighbor 169.254.10.1 activate # BGP ピアをアクティブにします。 neighbor 169.254.20.1 remote-as 65535 # BGP ピアを指定します。これは、Alibaba Cloud 側のトンネル 2 の IP アドレスです。 neighbor 169.254.20.1 ebgp-multihop 255 neighbor 169.254.20.1 activate # BGP ピアをアクティブにします。 network 192.168.55.0 mask 255.255.255.0 # データセンターの CIDR ブロックをアドバタイズします。 maximum-paths 5 # ECMP ルートエントリの数を増やします。 exit-address-familyデータセンターのクライアントがクラウドにアクセスできるように、データセンターでルートを構成します。
IPsec 接続の BGP ルートを構成します。
左側のナビゲーションウィンドウで、 を選択します。
IPsec 接続 ページで、IPsec 接続を見つけて ID をクリックします。
IPsec 接続 セクションで、[BGP を有効にする] の横にある [編集] をクリックします。BGP 設定 ダイアログボックスで、次のパラメーターを構成し、OK をクリックします。
パラメーターの詳細については、「BGP の構成」をご参照ください。
パラメーター
IPsec1 の構成
ローカル ASN
この例では、65535 が使用されています。
トンネル 1
トンネル CIDR ブロック
この例では、169.254.10.0/30 が使用されています。
ローカル BGP IP アドレス
この例では、169.254.10.1 が使用されています。
トンネル 2
トンネル CIDR ブロック
この例では、169.254.20.0/30 が使用されています。
ローカル BGP IP アドレス
この例では、169.254.20.1 が使用されています。
BGP が構成されると、IPsec 接続の詳細ページでネゴシエーションステータスを確認できます。BGP ステータスが正常になると、データセンターと IPsec 接続の間でルートが自動的にアドバタイズされます。IPsec 接続は、クラウドからデータセンターへのルートを自動的にアドバタイズし、データセンターから転送ルーターへのルートをアドバタイズします。
静的ルーティング
説明このトピックでは、静的ルートの構成方法のみを説明します。具体的なコマンドの詳細については、ゲートウェイメーカーが提供するマニュアルを参照してください。
VPC を指す静的ルートをオンプレミスゲートウェイデバイスに追加します。
VPC2 を指す 2 つのルートを追加します。両方のルートの宛先 CIDR ブロックは 10.0.0.0/16 で、ネクストホップはトンネル 1 とトンネル 2 です。これら 2 つのルートは、ECMP パスを形成します。
VPC1 を指す 2 つのルートを追加します。両方のルートの宛先 CIDR ブロックは 192.168.66.0/24 で、ネクストホップはトンネル 1 とトンネル 2 です。これら 2 つのルートは、ECMP パスを形成します。
データセンターのクライアントがクラウドにアクセスできるように、データセンターでルートを構成します。
データセンターを指す宛先ベースのルートを IPsec 接続に追加します。IPsec 接続の宛先 CIDR ブロックは 192.168.55.0/24 で、ネクストホップは IPsec1 です。詳細については、「宛先ベースのルートを構成する」をご参照ください。
ステップ 3: データセンターを VPC に接続する
データセンターを Alibaba Cloud に接続したら、VPC1 と VPC2 を転送ルーターに関連付けて、データセンター、VPC1、および VPC2 間の通信を有効にする必要があります。
VPC 接続を作成する。
VPC1 をタイ (バンコク) の転送ルーターに関連付け、VPC2 をフィリピン (マニラ) の転送ルーターに関連付けます。
CEN コンソール にログインします。
CEN の詳細ページで、 タブをクリックします。フィリピン (マニラ) リージョンの転送ルーターを見つけ、[アクション] 列の [接続の作成] をクリックします。
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
次の表では、主要なパラメーターのみを説明しています。その他のパラメーターにはデフォルト値を使用します。詳細については、「Enterprise Edition 転送ルーターを使用して VPC 接続を作成する」をご参照ください。
パラメーター
VPC1
VPC2
ネットワークタイプ
[仮想プライベートクラウド (VPC)] を選択します。
リージョン
[タイ (バンコク)] を選択します。
この例では、[フィリピン (マニラ)] が選択されています。
リソースオーナー ID
[現在のアカウント] を選択します。
アタッチメント名
この例では、VPC1_Connection が使用されています。
この例では、VPC2_Connection が使用されています。
ネットワークインスタンス
VPC1 を選択します。
VPC2 を選択します。
vSwitch
選択した各 vSwitch にアイドル状態の IP アドレスがあることを確認します。VPC に転送ルーターでサポートされているゾーンに vSwitch がない場合、または vSwitch にアイドル状態の IP アドレスがない場合は、新しい vSwitch を作成する必要があります。詳細については、「vSwitch の作成と管理」をご参照ください。
詳細設定
この例では、デフォルト設定が使用されます。すべての高度な機能が有効になっています。
データセンターと VPC1 は同じリージョンに属しており、相互に通信できます。ただし、VPC2 は別のリージョンにデプロイされているため、VPC1 やデータセンターと通信できません。通信を有効にするには、リージョン間接続を作成する必要があります。
リージョン間接続を作成する
タイ (バンコク) とフィリピン (マニラ) の間にリージョン間接続を作成して、リソース通信を有効にします。
CEN インスタンスの詳細ページで、 を選択し、[リージョン間通信の帯域幅を割り当てる] をクリックします。
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
インスタンスタイプ
この例では、[リージョン間接続] が選択されています。
リージョン
[タイ (バンコク)] を選択します。
ピアリージョン
[フィリピン (マニラ)] を選択します。
帯域幅割り当てモード
[データ転送ごとの支払い] を選択します。データ転送に基づいて課金され、請求書は Cloud Data Transfer (CDT) によって発行されます。
帯域幅
リージョン間接続の最大帯域幅値を指定します。単位: Mbit/s。
デフォルト回線タイプ
デフォルト値: [ゴールド]。この例では、この値が使用されています。
詳細設定
この例では、デフォルト設定が使用されます。すべての高度な機能が有効になっています。
ルートを表示する。
上記の手順を完了すると、転送ルーターは [詳細構成] に基づいてルートを自動的に学習し、アドバタイズします。学習したルートは、転送ルーター、IPsec 接続、またはデータセンターで表示できます。
タイ (バンコク) の転送ルーターのルートテーブル
IPsec 接続の BGP ルートテーブル
データセンターのルート
ステップ 4: ネットワーク接続をテストする
上記の手順を完了すると、データセンター、VPC1、および VPC2 間の通信が有効になります。このセクションでは、IPsec 接続のネットワーク接続と高可用性をテストする方法について説明します。
テストの前に、VPC の ECS インスタンスに適用されているセキュリティグループルールと、データセンターに適用されているアクセス制御リスト (ACL) ルールを理解していることを確認してください。ルールで VPC とデータセンター間の相互アクセスが許可されていることを確認してください。ECS セキュリティグループルールの詳細については、「セキュリティグループルールを表示する」および「セキュリティグループルールを追加する」をご参照ください。
データセンター、VPC1、および VPC2 間のネットワーク接続をテストします。
データセンターのクライアントで CLI を開きます。
クライアントで
pingコマンドを実行して、VPC1 の ECS1 と VPC2 の ECS2 にアクセスします。ping <ECS IP アドレス>
前の図に示すように、ECS1 がエコー応答パケットを受信できる場合、データセンターは VPC1 および VPC2 と通信できることを示します。
VPC1 の ECS1 にログインします。詳細については、「接続方法の概要」をご参照ください。
ECS1 で
pingコマンドを実行して、VPC 2 の ECS2 にアクセスします。ping <ECS 2 の IP アドレス>
前の図に示すように、ECS1 がエコー応答パケットを受信できる場合、VPC1 は VPC2 と通信できることを示します。
IPsec 接続の高可用性をテストします。
VPC1 の ECS1 にログインします。
次のコマンドを実行して、ECS1 からデータセンターに連続してパケットを送信します。
ping <データセンターのサーバーの IP アドレス> -c 10000IPsec 接続のトンネルを 1 つ閉じます。
トンネルの事前共有鍵を変更することで、トンネルを 1 つ閉じることができます。トンネルの両端で異なる事前共有鍵を使用すると、トンネルは閉じられます。
ECS1 からの接続が一時的に中断され、トンネルが閉じた後に再開された場合、もう一方のトンネルが引き継いだことを示します。
[モニタリング] タブで、各トンネルのトラフィックモニタリングデータを表示できます。詳細については、「IPsec 接続を監視する」をご参照ください。
トンネル 1
トンネル 2
