IPsec-VPN は、データセンターやオフィスなどのオンプレミスネットワークと Alibaba Cloud の Virtual Private Cloud (VPC) との間に暗号化トンネルを作成します。これにより、両方のネットワークが同じプライベートネットワーク上にあるかのように、安全に通信できます。
Alibaba Cloud VPN Gateway サービスは、関連する中国の国内政策および規制に準拠しており、非クロスボーダー接続のみをサポートしています。クロスボーダー接続の場合は、代わりに Transit Router を使用してください。
2つの関連付けモード
IPsec-VPN は2つの接続方法を提供します。接続する必要がある VPC の数に基づいて方法を選択できます。
VPN ゲートウェイへのアタッチ (単一 VPC への接続)
IPsec 接続を VPN Gateway インスタンスにアタッチできます。この方法は、オンプレミスデータセンターを単一の VPC に接続する場合に適しています。
仕組み:オンプレミスゲートウェイデバイス ↔ IPsec-VPN トンネル ↔ VPN Gateway ↔ VPC
利用シーン:
単一の VPC への接続
SSL-VPN を同時に使用したリモートアクセス (クラシック VPN ゲートウェイでのみサポート)
トランジットルーターへのアタッチ (複数 VPC への接続)
IPsec 接続を Cloud Enterprise Network (CEN) のトランジットルーターに直接アタッチできます。この方法は、オンプレミスデータセンターを複数の VPC に接続する場合に適しています。
仕組み:オンプレミスゲートウェイデバイス ↔ IPsec-VPN トンネル ↔ Transit Router ↔ 複数の VPC
利用シーン:
同一または異なるリージョン内の複数の VPC への接続
高可用性のための等コストマルチパス (ECMP) 負荷分散の使用
単一接続で 1 Gbps を超える帯域幅の接続を確立 (最大 2 Gbps までサポート)
コアコンポーネント
コンポーネント | 説明 |
Alibaba Cloud にデプロイされるゲートウェイデバイスです。暗号化トンネルのクラウド側エンドポイントとして機能します。VPN ゲートウェイには、エンハンスドとクラシックの 2つのタイプがあります。 | |
CEN のコアコンポーネントで、VPC やリージョン間でトラフィックを転送します。複数 VPC のシナリオでは、VPN ゲートウェイの代わりにクラウド側エンドポイントとして機能します。 | |
Alibaba Cloud の論理オブジェクトで、オンプレミスゲートウェイデバイスのパブリック IP アドレスを記録します。このオブジェクトは、IPsec 接続を作成するために必要です。 | |
クラウドからオンプレミスゲートウェイデバイスへの暗号化トンネルのパラメーターを定義します。これらのパラメーターには、暗号化アルゴリズム、認証アルゴリズム、事前共有鍵 (PSK) が含まれます。 | |
オンプレミスデータセンター内の物理デバイスまたはソフトウェアで、IPsec VPN をサポートします。例として、strongSwan、Cisco、H3C などがあります。このデバイスは、クラウド側エンドポイントとネゴシエーションを行い、トンネルを確立します。 |
このドキュメントでは、簡潔にするために、Alibaba Cloud との IPsec-VPN 接続を確立する必要があるオンプレミスネットワーク (企業のデータセンターやオフィスネットワークなど) をオンプレミスデータセンターと呼びます。
デュアルトンネルモード
デフォルトでは、各 IPsec 接続には2つの暗号化トンネルが含まれます。複数ゾーンをサポートするリージョンでは、2つのトンネルは異なるゾーンにデプロイされ、ゾーンレベルのディザスタリカバリを提供します。中国 (武漢 - ローカルリージョン) のように単一ゾーンのみをサポートするリージョンでは、両方のトンネルが同じゾーンにデプロイされます。このデプロイメントでは、ゾーンレベルのディザスタリカバリは提供されませんが、リンク冗長性は提供されます。
VPN ゲートウェイへのアタッチ:アクティブ/パッシブモード
2つのトンネルはアクティブ/スタンバイリンクとして機能します:
通常の状態では、トラフィックはアクティブなトンネルのみを通過します。
アクティブなトンネルに障害が発生した場合、トラフィックは自動的にスタンバイトンネルに切り替わります。
アクティブなトンネルが回復すると、トラフィックは自動的に元に戻ります。
詳細については、「VPN ゲートウェイへのアタッチ」をご参照ください。
トランジットルーターへのアタッチ:ECMP モード
2つのトンネルは ECMP リンクを形成します:
両方のトンネルが同時にトラフィックを伝送し、負荷分散を行います。
いずれかのトンネルに障害が発生した場合、トラフィックは自動的に他のトンネルに収束します。
障害が発生したトンネルが回復すると、自動的にトラフィックの共有を再開します。
詳細については、「トランジットルーターへのアタッチ」をご参照ください。
IPsec 接続を作成する際は、両方のトンネルが設定され、アクティブであることを確認してください。一方のトンネルのみを設定または使用した場合、リンク冗長性とゾーンレベルのディザスタリカバリの恩恵を受けることができず、VPN Gateway の SLA は適用されません。
利用シーン
VPN ゲートウェイにアタッチする利用シーン
VPC とデータセンター間:最も一般的なシナリオです。IPsec-VPN を使用してオンプレミスデータセンターを Alibaba Cloud VPC に接続し、ハイブリッドクラウドを構築できます。
VPC と VPC 間:IPsec-VPN を使用して2つの VPC を迅速に接続し、VPC 間でリソース共有を実現できます。
マルチクラウド接続:IPsec-VPN を使用して Alibaba Cloud VPC を AWS や Azure などの他のクラウドプラットフォーム上の VPC に接続できます。
マルチサイト接続:複数のオフィスネットワークを同時に1つの VPN ゲートウェイに接続し、ハブアンドスポーク機能を使用してサイト間のプライベートネットワークピアリングを有効にできます。
トランジットルーターにアタッチする利用シーン
VPC とデータセンター間:IPsec 接続とトランジットルーターを介して、オンプレミスデータセンターを任意の VPC に接続できます。これは、複数の VPC に接続する必要があるシナリオに適しています。
高可用性 ECMP 接続:複数の IPsec 接続を同じトランジットルーターにアタッチして ECMP リンクを形成できます。複数のリンクが同時にトラフィックを伝送します。
Express Connect 回線の暗号化:プライベート接続用に既に確立されている Express Connect 回線上のトラフィックを暗号化し、トランジットルーターを使用して複数の VPC に接続できます。
グローバルなマルチサイトフルメッシュ接続:IPsec-VPN を使用して複数のオンプレミスサイトを最寄りのトランジットルーターに接続し、CEN を使用してフルメッシュトポロジーを実現できます。
利用シーン選択の推奨事項
関連付けモードの選択方法に関する推奨事項や、暗号化アルゴリズムやパフォーマンス仕様などの2つのモードの詳細な比較については、「関連付けモードの選択」をご参照ください。
課金
詳細については、「IPsec-VPN の課金」をご参照ください。