Azure VNet と Alibaba Cloud VPC 間の接続性

更新日時
Copy as MD

Azure 仮想ネットワーク(VNet)と Alibaba Cloud VPC 間で IPsec 接続を確立し、ネットワーク通信を有効化できます。

シナリオ

このトピックでは、前の図に示すシナリオについて説明します。このシナリオでは、企業は:

  • ドイツ西部中央リージョンに Azure VNet を保有しており、その中に VM インスタンスが含まれています。

  • ドイツ (フランクフルト) リージョンに Alibaba Cloud VPC を保有しており、その中に ECS インスタンスが含まれています。

  • Alibaba Cloud の IPsec 接続(VPN Gateway に関連付けられたもの)を用いて、Azure VNet と Alibaba Cloud VPC を接続したいと考えています。

前提条件

以下のリソースおよび情報をご準備ください。

  • ドイツ西部中央リージョンに Azure VNet を保有しており、その中に Azure VM インスタンスが含まれています。詳細については、「Azure ドキュメント」をご参照ください。

  • ドイツ (フランクフルト) リージョンに Alibaba Cloud VPC を保有しており、その中に ECS インスタンスが作成済み です。

  • 接続対象となる Azure VNet および Alibaba Cloud VPC の CIDR ブロックを把握しています。

    重要

    Azure VNet および Alibaba Cloud VPC の CIDR ブロックが重複しないことを確認してください。

    リソース

    CIDR ブロック

    リソースの IP アドレス

    Alibaba Cloud VPC

    10.0.0.0/16

    ECS インスタンスの IP アドレス:

    10.0.0.1

    Azure VNet

    192.168.0.0/16

    VM インスタンスの IP アドレス:

    192.168.0.1

手順 1:Alibaba Cloud の VPN Gateway の作成

まず、Alibaba Cloud 上で VPN Gateway を作成します。システムにより VPN Gateway に 2 つの IP アドレスが割り当てられます。これらの IP アドレスを用いて、Azure VNet との IPsec 接続を確立します。

  1. VPN Gateway コンソールにアクセスし、以下のパラメーターを設定します。

    以下の表では、本トピックに関連するパラメーターのみを記載しています。その他のパラメーターはデフォルト値を使用してください。各パラメーターの詳細な説明については、「VPN Gateway の作成と管理」をご参照ください。

    パラメーター

    説明

    インスタンス名

    VPN Gateway インスタンスの名前を入力します。

    VPN Gateway を入力します。

    リージョン

    VPN Gateway インスタンスを配置するリージョンを選択します。

    ドイツ (フランクフルト) を選択します。

    ゲートウェイタイプ

    VPN Gateway インスタンスのタイプを選択します。

    標準 を選択します。

    ネットワークタイプ

    VPN Gateway インスタンスのネットワークタイプを選択します。

    パブリックネットワーク を選択します。

    トンネル

    システムが、現在のリージョンで IPsec 接続がサポートするトンネルモードを表示します。

    • デュアルトンネル

    • シングル・トンネル

    シングルトンネルおよびデュアルトンネルモードの詳細については、「IPsec 接続を VPN Gateway に関連付ける」をご参照ください。

    本トピックではデフォルト値である デュアルトンネル を使用します。

    VPC

    VPN Gateway インスタンスを関連付ける VPC を選択します。

    ドイツ (フランクフルト) リージョンの VPC を選択します。

    vSwitch

    VPC 内の vSwitch を選択します。

    • IPsec 接続のトンネルモードがシングルトンネルの場合、1 つの vSwitch のみを指定する必要があります。

    • IPsec 接続のトンネルモードがデュアルトンネルの場合、2 つの vSwitch を指定する必要があります。

      IPsec-VPN 機能を有効化すると、システムがそれぞれの vSwitch に弾性ネットワークインターフェース(ENI)を作成します。これらの ENI は、VPC とリモートネットワーク間のトラフィックのインターフェイスとして機能します。各 ENI は、所属する vSwitch から IP アドレスを 1 つ消費します。

    説明
    • システムが自動的に最初の vSwitch を選択します。必要に応じて手動で変更することも可能です。

    • VPN Gateway を作成した後は、関連付けられた vSwitch を変更できません。関連付けられた vSwitch、それらが存在する可用性ゾーン、および ENI の情報は、インスタンスの詳細ページで確認できます。

    VPC 内の vSwitch を選択します。

    vSwitch 2

    VPC 内の 2 番目の vSwitch を選択します。

    • IPsec 接続のゾーンディザスタリカバリを実現するには、異なる可用性ゾーンに属する 2 つの vSwitch を選択する必要があります。

    • 1 つの可用性ゾーンのみをサポートするリージョンでは、ゾーンディザスタリカバリはサポートされません。IPsec 接続の高可用性を確保するために、その可用性ゾーン内で 2 つの異なる vSwitch を指定することを推奨します。同一の vSwitch を 1 番目と 2 番目に選択することも可能です。

    説明

    VPC に 2 番目の vSwitch がない場合は、作成できます。「vSwitch の作成と管理」をご参照ください。

    VPC 内の 2 番目の vSwitch を選択します。

    IPsec-VPN

    IPsec-VPN 機能を有効化するかどうかを指定します。デフォルト値:有効

    有効を選択します。

    SSL-VPN

    SSL-VPN 機能を有効化するかどうかを指定します。デフォルト値:無効

    無効を選択します。

  2. VPN Gateway ページに戻り、作成した VPN Gateway を確認します。

    新規作成された VPN Gateway のステータスは 準備中 です。約 1~5 分後に 正常 に変わります。正常 ステータスは、VPN Gateway が初期化され、使用可能になったことを示します。

    以下の表は、システムが VPN Gateway に割り当てた 2 つの IP アドレスを示しています。

    VPN Gateway 名

    VPN Gateway ID

    IP アドレス

    VPN Gateway

    vpn-gw8dickm386d2qi2g****

    IPsec アドレス 1(デフォルトでアクティブトンネル):8.XX.XX.130

    IPsec アドレス 2(デフォルトでスタンバイトンネル):8.XX.XX.75

手順 2:Azure 上での VPN リソースの展開

Azure VNet と Alibaba Cloud VPC 間の IPsec 接続を確立するには、Azure 上で以下の VPN リソースを展開します。詳細な手順については、Azure ドキュメントをご参照ください。

  1. 仮想ネットワーク内にゲートウェイサブネットを作成します。このサブネットは、仮想ネットワークゲートウェイを作成する際に必要です。

    网关子网

  2. 仮想ネットワークゲートウェイを作成します。

    Alibaba Cloud と通信する必要がある VNet と仮想ネットワークゲートウェイを関連付けます。本例では、仮想ネットワークゲートウェイに対してアクティブ - アクティブ構成を有効化し、2 つの新しいパブリック IP アドレスを作成し、その他のパラメーターはデフォルト値を使用します。创建虚拟网络网关

    仮想ネットワークゲートウェイが作成された後、パブリック IP アドレスのページでそのパブリック IP アドレスを確認できます。本例では、システムが割り当てたパブリック IP アドレスは 4.XX.XX.224 および 4.XX.XX.166 です。资源关联

  3. ローカルネットワークゲートウェイを作成します。

    Azure 上で 2 つのローカルネットワークゲートウェイを作成する必要があります。各ローカルネットワークゲートウェイには、Alibaba Cloud VPN Gateway の IP アドレスのいずれかを設定します。また、各ローカルネットワークゲートウェイの構成に、Alibaba Cloud VPC の CIDR ブロックを追加する必要があります。

    重要

    Azure から Alibaba Cloud へデータを移行するために DTS を使用する場合、100.104.0.0/16 CIDR ブロックも追加する必要があります。DTS は、この CIDR ブロック内の IP アドレスを使用してデータ移行を行います。

    DTS で使用される CIDR ブロックの詳細については、「DTS サーバーの IP アドレスを IP ホワイトリストに追加する」をご参照ください。

    本地网络网关

  4. サイト間 VPN 接続を作成します。

    重要

    Alibaba Cloud および Azure の IPsec 接続は、どちらもデュアルトンネルモードをサポートしています。ただし、Azure の IPsec 接続の 2 つのトンネルはデフォルトで同一のローカルネットワークゲートウェイに関連付けられており、一方 Alibaba Cloud 側の 2 つのトンネルは異なる IP アドレスを持っています。これにより、トンネル間の一対一マッピングが不可能になります。Alibaba Cloud の IPsec 接続の両方のトンネルをアクティブにするには、Azure 上で 2 つのサイト間 VPN 接続を作成し、それぞれを異なるローカルネットワークゲートウェイに関連付ける必要があります。

    以下の図は、1 つのサイト間 VPN 接続の構成を示しています。接続タイプを サイト間 (IPsec) に設定し、仮想ネットワークゲートウェイと関連付け、ローカルネットワークゲートウェイのいずれかを選択し、事前共有鍵を設定します。その他のパラメーターはデフォルト値を使用します。2 つ目のサイト間 VPN 接続では、もう一方のローカルネットワークゲートウェイと関連付け、同じ構成を使用します。VPN链接上

    VPN链接下

手順 3:Alibaba Cloud 上での VPN Gateway の展開

Azure 上で VPN リソースの構成が完了したら、Alibaba Cloud 上で VPN Gateway を展開し、Azure VNet と Alibaba Cloud VPC 間の IPsec 接続を確立します。

  1. カスタマーゲートウェイを作成します。

    1. カスタマーゲートウェイ ページにアクセスします。上部のナビゲーションバーで、リージョンとして ドイツ (フランクフルト) を選択します。

    2. カスタマーゲートウェイの作成 パネルで、以下のパラメーターを指定し、OK をクリックします。

      2 つのカスタマーゲートウェイを作成し、Azure 仮想ネットワークゲートウェイの 2 つのパブリック IP アドレスをカスタマーゲートウェイの IP アドレスとして使用する必要があります。この構成により、2 つの暗号化トンネルが確立されます。以下の表では、本トピックに関連するパラメーターのみを記載しています。その他のパラメーターはデフォルト値を使用してください。詳細については、「カスタマーゲートウェイ」をご参照ください。

      パラメーター

      説明

      カスタマーゲートウェイ 1

      カスタマーゲートウェイ 2

      名前

      カスタマーゲートウェイの名前を入力します。

      カスタマーゲートウェイ 1 を入力します。

      カスタマーゲートウェイ 2 を入力します。

      IP アドレス

      Azure 仮想ネットワークゲートウェイのパブリック IP アドレスを入力します。

      4.XX.XX.224 を入力します。

      4.XX.XX.166 を入力します。

  2. IPsec 接続を作成します。

    1. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続 を選択します。

    2. IPsec 接続」ページで、VPN Gateway のバインド をクリックします。

    3. IPsec-VPN 接続の作成 ページで、以下のパラメーターを設定し、OK をクリックします。

      パラメーター

      説明

      名前

      IPsec 接続の名前を入力します。

      IPsec-Connection を入力します。

      リージョン

      IPsec-VPN 接続と関連付ける VPN Gateway が展開されているリージョンを選択します。

      IPsec-VPN 接続は、VPN Gateway と同じリージョンに作成されます。

      ドイツ (フランクフルト) を選択します。

      リソースグループ

      VPN Gateway が属するリソースグループを選択します。

      デフォルトのリソースグループを選択します。

      VPN Gateway との関連付け

      IPsec 接続と関連付ける VPN Gateway を選択します。

      作成済みの VPN Gateway を選択します。

      ルーティングモード

      ルーティングモードを選択します。

      • 宛先ルーティングモード: 宛先 IP アドレスに基づいてトラフィックを転送します。

      • 保護されたデータフロー:送信元および宛先 IP アドレスに基づいてトラフィックを転送します。

      保護されたデータフロー を選択します。

      ローカルネットワーク

      VPN Gateway と関連付けられた VPC の CIDR ブロックを入力します。

      VPC の CIDR ブロックを入力します:10.0.0.0/16

      重要

      Azure から Alibaba Cloud へデータを移行するために DTS を使用する場合、100.104.0.0/16 CIDR ブロックも追加する必要があります。DTS は、この CIDR ブロック内の IP アドレスを使用してデータ移行を行います。

      リモートネットワーク

      VPC がアクセスする必要のあるリモートネットワークの CIDR ブロックを入力します。

      192.168.0.0/16 を入力します。

      今すぐ有効化

      構成完了直後に接続のネゴシエーションを開始するかどうかを指定します。有効な値:

      • はい:構成完了後にネゴシエーションを開始します。

      • いいえ:インバウンドトラフィックを検出したときにネゴシエーションを開始します。

      はい を選択します。

      BGP の有効化

      IPsec 接続でボーダーゲートウェイプロトコル(BGP)を使用する場合は、このスイッチをオンにします。デフォルトでは BGP は無効です。

      本トピックでは、BGP を有効化しないというデフォルト設定を使用します。

      トンネル 1

      トンネル 1(アクティブトンネル)の VPN 設定を構成します。

      デフォルトでは、トンネル 1 がアクティブトンネル、トンネル 2 がスタンバイトンネルです。これは変更できません。

      カスタマーゲートウェイ

      アクティブトンネルと関連付けるカスタマーゲートウェイを選択します。

      カスタマーゲートウェイ 1 を選択します。

      事前共有鍵

      アクティブトンネルの認証キーを入力します。このキーは本人確認に使用されます。

      • キーは 1~100 文字の長さで、数字、英字、および以下の文字を含めることができます:~`!@#$%^&*()_-+={}[]\|;:',.<>/?

      • 事前共有鍵を指定しない場合、システムが 16 文字のランダム文字列を生成してキーとして使用します。

      重要

      トンネルおよびそのピアゲートウェイデバイスには、同一の事前共有鍵を設定する必要があります。そうでない場合、IPsec 接続を確立できません。

      このトンネルの認証キーは、対応する Azure VPN 接続のキーと一致させる必要があります。

      暗号化設定

      IKE、IPsec、DPD、NAT 越えの設定を構成します。

      本トピックではデフォルト値を使用します。デフォルト値の詳細については、「IPsec 接続の作成」をご参照ください。

      トンネル 2

      トンネル 2(スタンバイトンネル)の VPN 設定を構成します。

      カスタマーゲートウェイ

      スタンバイトンネルと関連付けるカスタマーゲートウェイを選択します。

      カスタマーゲートウェイ 2 を選択します。

      事前共有鍵

      スタンバイトンネルの認証キーを入力します。このキーは本人確認に使用されます。

      このトンネルの認証キーは、もう一方の Azure VPN 接続のキーと一致させる必要があります。

      暗号化設定

      IKE、IPsec、DPD、NAT 越えの設定を構成します。

      本トピックではデフォルト値を使用します。デフォルト値の詳細については、「IPsec 接続の作成」をご参照ください。

    4. 作成済み のメッセージで、キャンセル をクリックします。

  3. VPN Gateway のルートを設定します。

    IPsec 接続を作成した後、VPN Gateway のルートを設定する必要があります。IPsec 接続の作成時に 保護されたデータフロールーティングモード として選択した場合、システムがポリシー駆動型ルートを自動的に作成します。このルートは 未公開 状態です。このルートを VPC に公開する必要があります。

    1. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > VPN Gateway を選択します。

    2. 上部のナビゲーションバーで、VPN Gateway インスタンスが存在するリージョンを選択します。

    3. VPN ゲートウェイの詳細ページで、ポリシーベースルーティング タブをクリックし、対象のルートエントリを見つけ、操作 列の 公開 をクリックします。

手順 4:ネットワーク接続のテスト

これらの構成を完了すると、Alibaba Cloud VPC および Azure VNet のリソース間で通信が可能になります。以下の手順に従って接続をテストします。

  1. Azure VNet 内で Azure VM インスタンスを作成し、ログインします。詳細については、Azure ドキュメントをご参照ください。

    重要

    接続のテストを実行する前に、Alibaba Cloud VPC および Azure VNet に適用されているセキュリティグループルールを理解していることを確認してください。VPC および VNet のリソース間のトラフィックを許可するよう、ルールが設定されていることを確認してください。

  2. VM インスタンス上で、ping コマンドを実行し、Alibaba Cloud ECS インスタンスのプライベート IP アドレスにアクセスします。

    ping 10.0.0.1

    以下に示すように返信パケットを受信できれば、Alibaba Cloud VPC および Azure VNet のリソース間で通信が可能であることが確認できます。

    image