IPsec-VPN を使用すると、企業のデータセンターやオフィスなどのオンプレミスネットワークを Alibaba Cloud の VPC (Virtual Private Cloud) に接続する暗号化されたトンネルを確立し、安全でプライベートな接続を実現できます。
Alibaba Cloud VPN Gateway は、中国の適用法規に準拠して運用されています。サポートしているのは 非クロスボーダー接続 のみです。クロスボーダー接続の場合は、トランジットルーターで VPN Gateway を使用 してください。
ユースケース
IPsec-VPN は、サイト間 の暗号化接続を作成するために使用され、2 つのデプロイメントモデルで利用できます。
VPN ゲートウェイへのアタッチ: オンプレミスネットワークを 単一の VPC に接続します。
トランジットルーター (TR) へのアタッチ: オンプレミスネットワークを 複数の VPC に接続します。
コンポーネント
VPN ゲートウェイへのアタッチ
コンポーネント | 説明 |
オンプレミスネットワークを単一の VPC に接続する場合、VPN ゲートウェイはクラウド側のゲートウェイとして機能します。オンプレミスゲートウェイデバイスと通信するためのパブリック IP アドレスを持っています。 | |
オンプレミスゲートウェイデバイスのパブリック IP アドレスを格納する Alibaba Cloud の論理オブジェクトです。このオブジェクトは、IPsec-VPN 接続を作成するために必要です。 | |
VPN ゲートウェイ から オンプレミスゲートウェイデバイス への暗号化されたトンネルを定義します。この接続では、暗号化アルゴリズム、認証アルゴリズム、事前共有キー (PSK) など、両端のパラメーターを設定します。 | |
オンプレミスゲートウェイデバイス | オンプレミスのデータセンターにある物理デバイス (通常はゲートウェイ) またはソフトウェアアプライアンスです。オンプレミスゲートウェイデバイスは、クラウド側のゲートウェイとの IPsec-VPN 接続をネゴシエートして確立するために、VPN 機能をサポートする必要があります。 簡単にするために、このトピックでは オンプレミスデータセンター という用語を使用して、企業のデータセンターやオフィスネットワークなど、Alibaba Cloud との IPsec-VPN 接続を確立する必要があるネットワークやサイトを指します。 |
トランジットルーターへのアタッチ
コンポーネント | 説明 |
オンプレミスネットワークを複数の VPC に接続する場合、トランジットルーターはクラウド側のゲートウェイとして機能します。これを使用するには、トランジットルーターで VPN 接続を作成し、IPsec-VPN 接続インスタンスをアタッチします。 | |
オンプレミスゲートウェイデバイスのパブリック IP アドレスを格納する Alibaba Cloud の論理オブジェクトです。このオブジェクトは、IPsec-VPN 接続を作成するために必要です。 | |
トランジットルーター から オンプレミスゲートウェイデバイス への暗号化されたトンネルを定義します。この接続では、暗号化アルゴリズム、認証アルゴリズム、事前共有キー (PSK) など、両端のパラメーターを設定します。 | |
オンプレミスゲートウェイデバイス | オンプレミスのデータセンターにある物理デバイス (通常はゲートウェイ) またはソフトウェアアプライアンスです。オンプレミスゲートウェイデバイスは、クラウド側のゲートウェイとの IPsec-VPN 接続をネゴシエートして確立するために、VPN 機能をサポートする必要があります。 簡単にするために、このトピックでは オンプレミスデータセンター という用語を使用して、企業のデータセンターやオフィスネットワークなど、Alibaba Cloud との IPsec-VPN 接続を確立する必要があるネットワークやサイトを指します。 |
デュアルトンネルモード
デフォルトでは、IPsec-VPN 接続には 2 つの暗号化されたトンネルが含まれます。複数のゾーンがあるリージョンでは、2 つのトンネルは異なるゾーンにデプロイされ、ゾーンレベルのディザスタリカバリを提供します。中国 (武漢 - ローカルリージョン) など、単一ゾーンのみのリージョンでは、両方のトンネルが同じゾーンにデプロイされます。この設定ではゾーンレベルのディザスタリカバリは提供されませんが、冗長性は確保されます。
VPN ゲートウェイへのアタッチ シナリオでは、2 つの暗号化されたトンネルがアクティブ/スタンバイモードで動作します。デフォルトでは、トラフィックはアクティブなトンネルを通過します。アクティブなトンネルに障害が発生した場合、トラフィックは自動的にスタンバイ側のトンネルにルーティングされます。詳細については、「VPN ゲートウェイへのアタッチ」をご参照ください。
トランジットルーターへのアタッチ シナリオでは、2 つのトンネルが自動的に ECMP (Equal-Cost Multi-Path) リンクを形成します。トラフィックは両方のトンネルで伝送されます。一方のトンネルに障害が発生した場合、そのトラフィックはもう一方のトンネルに再ルーティングされます。詳細については、「トランジットルーターへのアタッチ」をご参照ください。
IPsec-VPN 接続を作成する際は、高可用性を確保するために両方のトンネルを設定する必要があります。1 つのトンネルのみを設定または使用する場合、接続のリンク冗長性とゾーンレベルのディザスタリカバリが失われます。この場合、VPN Gateway のサービスレベルアグリーメント (SLA) は適用されません。
機能比較
項目 | VPN ゲートウェイへのアタッチ | トランジットルーターへのアタッチ |
ユースケース | オンプレミスネットワークを 単一の VPC に接続 | オンプレミスネットワークを 複数の VPC に接続 |
サポートされる暗号化アルゴリズム | 国際標準の商用暗号アルゴリズムをサポート | 国際標準の商用暗号アルゴリズムをサポート |
IPsec-VPN 接続トンネルモード | デュアルトンネルモード 既存の VPN ゲートウェイの中には、シングル トンネルモードでの IPsec-VPN 接続の作成のみをサポートするものがあります。デュアルトンネルモードにアップグレードすることをお勧めします。 | デュアルトンネルモード シングル トンネルモードの既存の IPsec-VPN 接続は、高可用性を提供しません。ネットワーク接続を中断することなく、IPsec-VPN 接続を削除して再作成することをお勧めします。新しい IPsec-VPN 接続は、デフォルトでデュアルトンネルモードで作成されます。 |
高可用性メカニズム | アクティブ/スタンバイ トンネル: トラフィックはデフォルトでアクティブなトンネルを通過し、アクティブなトンネルに障害が発生した場合は自動的にスタンバイ側のトンネルにフェイルオーバーします。 | ECMP: 2 つのトンネルが負荷分散と冗長性を提供します。 |
IPsec-VPN 接続あたりの帯域幅 | 最大 1000 Mbps。 一部のリージョンでは、VPN Gateway インスタンスの最大帯域幅は 500 Mbps です。詳細については、「VPN Gateway の制限」をご参照ください。 |
既存のシングル トンネル接続の場合、最大帯域幅は 1,000 Mbps です。 |
1 秒あたりのパケット数 (PPS) | 単一の VPN Gateway インスタンスの合計 PPS レートは、双方向で 120,000 です (パケットサイズ 256 バイトに基づく)。 VPN Gateway インスタンスに複数の IPsec-VPN 接続がある場合、すべての接続の合計 PPS レートは 120,000 を超えることはできません (パケットサイズ 256 バイトに基づく)。 | デュアルトンネルモードでは、各トンネルの合計 PPS レートは双方向で 120,000 です (パケットサイズ 256 バイトに基づく)。 既存のシングル トンネルモード接続の場合、1 つの IPsec-VPN 接続の合計 PPS レートは双方向で 120,000 です (パケットサイズ 256 バイトに基づく)。 |
課金
詳細については、「IPsec-VPN の課金」をご参照ください。