VPN Gateway:Azure VNet と Alibaba Cloud VPC の接続

シナリオ

このトピックでは、上図のシナリオを例として使用します。ある企業が、

• Azure プラットフォームのドイツ中西部リージョンに VNet を持ち、そこに VM インスタンスがデプロイされています。

• Alibaba Cloud のドイツ (フランクフルト) リージョンに VPC を持ち、そこに Elastic Compute Service (ECS) インスタンスがデプロイされています。

• VPN Gateway に関連付けられた Alibaba Cloud の IPsec-VPN 接続を使用して、Azure VNet と Alibaba Cloud VPC の間にネットワーク接続を確立し、VNet と VPC 間の通信を可能にしたいと考えています。

前提条件

開始する前に、以下のリソースと情報が揃っていることを確認してください。

• Azure プラットフォームのドイツ中西部リージョンに仮想ネットワークがあり、その中に Azure VM インスタンスがデプロイされていること。具体的な手順については、Azure プラットフォームのドキュメントをご参照ください。

• Alibaba Cloud プラットフォームのドイツ (フランクフルト) リージョンに VPC があること。VPC には ECS インスタンスが作成されていること。

• Azure VNet と Alibaba Cloud VPC 間の通信に使用する CIDR ブロックがあること。

  重要

  CIDR ブロックを計画する必要があります。Azure VNet と Alibaba Cloud VPC の CIDR ブロックが重複しないようにしてください。

  リソース	CIDR ブロック	リソースの IP アドレス
  Alibaba Cloud VPC	10.0.0.0/16	ECS インスタンスのアドレス： 10.0.0.1
  Azure 仮想ネットワーク	192.168.0.0/16	VM インスタンスのアドレス： 192.168.0.1

ステップ 1：Alibaba Cloud での VPN Gateway インスタンスの作成

まず、Alibaba Cloud で VPN Gateway インスタンスを作成します。VPN Gateway インスタンスが作成されると、システムはインスタンスに 2 つの IP アドレスを割り当てます。これらの IP アドレスは、Azure VNet との IPsec-VPN 接続を確立するために使用されます。

1. または VPN Gateway コンソールに移動し、以下のパラメーターを設定します。

   このトピックでは、必須パラメーターのみを説明します。その他のパラメーターについては、デフォルト値を使用するか、空のままにすることができます。各パラメーターの詳細については、「VPN Gateway インスタンスの作成と管理」をご参照ください。

   パラメーター	説明	例
   インスタンス名	VPN Gateway インスタンスの名前を入力します。	例として、VPN Gateway と入力します。
   リージョン	VPN Gateway インスタンスを作成するリージョンを選択します。	ドイツ (フランクフルト) を選択します。
   ゲートウェイタイプ	VPN Gateway インスタンスのゲートウェイタイプを選択します。	標準を選択します。
   ネットワークタイプ	VPN Gateway インスタンスのネットワークタイプを選択します。	パブリックを選択します。
   トンネル	システムは、選択したリージョンで IPsec-VPN 接続がサポートするトンネルモードを表示します。 デュアルトンネル シングル トンネル シングル トンネルモードとデュアルトンネルモードの詳細については、「VPN Gateway との関連付け」をご参照ください。	この例では、デフォルト値の デュアルトンネル が使用されます。
   VPC	VPN Gateway インスタンスに関連付ける VPC を選択します。	ドイツ (フランクフルト) リージョンの VPC を選択します。
   vSwitch	VPC から vSwitch を選択します。 IPsec-VPN 接続にシングル トンネルモードを使用する場合、vSwitch は 1 つだけ指定する必要があります。 IPsec-VPN 接続にデュアルトンネルモードを使用する場合、2 つの vSwitch を指定する必要があります。 IPsec-VPN 機能を有効にすると、システムは 2 つの vSwitch のそれぞれに Elastic Network Interface (ENI) を作成します。ENI は、VPC と IPsec-VPN 接続間のトラフィック交換のインターフェイスとして機能します。各 ENI は、その vSwitch から IP アドレスを使用します。 説明 デフォルトでは、システムは最初の vSwitch を選択します。選択を変更するか、デフォルトの vSwitch を使用できます。 VPN Gateway インスタンスが作成された後、関連付けられた vSwitch を変更することはできません。関連付けられた vSwitch、vSwitch が存在するゾーン、および vSwitch 内の ENI に関する情報は、VPN Gateway インスタンスの詳細ページで確認できます。	VPC 内の vSwitch を選択します。
   vSwitch 2	VPC から 2 番目の vSwitch を選択します。 IPsec-VPN 接続のゾーンディザスタリカバリを実装するには、関連付けられた VPC の異なるゾーンにデプロイされた 2 つの vSwitch を指定する必要があります。 1 つのゾーンのみをサポートするリージョンでは、ゾーンディザスタリカバリはサポートされていません。IPsec-VPN 接続の高可用性を確保するために、ゾーン内に 2 つの異なる vSwitch を指定することを推奨します。最初の vSwitch と同じ vSwitch を選択することもできます。 説明 VPC に 2 番目の vSwitch がない場合は、作成してください。詳細については、「vSwitch の作成と管理」をご参照ください。	VPC 内の 2 番目の vSwitch を選択します。
   IPsec-VPN	IPsec-VPN 機能を有効にするかどうかを指定します。デフォルト値は 有効 です。	IPsec-VPN 機能を有効にします。
   SSL-VPN	SSL-VPN 機能を有効にするかどうかを指定します。デフォルト値は 無効 です。	SSL-VPN 機能を無効にします。

2. VPN Gateway ページに戻り、作成した VPN Gateway インスタンスを表示します。

   VPN Gateway インスタンスの初期ステータスは プロビジョニング中 です。約 1〜5 分後、ステータスは 正常 に変わります。正常 ステータスは、VPN Gateway インスタンスが初期化され、使用準備が整ったことを示します。

   次の表に、VPN Gateway インスタンスに割り当てられた 2 つの IP アドレスを示します。

   VPN Gateway インスタンス名	VPN Gateway インスタンス ID	IP アドレス
   VPN Gateway	vpn-gw8dickm386d2qi2g****	IPsec アドレス 1 (デフォルトでアクティブトンネルのアドレス)：8.XX.XX.130
   		IPsec アドレス 2 (デフォルトでスタンバイ トンネルのアドレス)：8.XX.XX.75

ステップ 2：Azure での VPN リソースのデプロイ

Azure VNet と Alibaba Cloud VPC の間に IPsec-VPN 接続を確立するには、以下の情報に基づいて Azure 上に VPN リソースをデプロイします。具体的な手順については、Azure サポートにお問い合わせください。

1. 仮想ネットワークにゲートウェイサブネットを作成します。このサブネットは、仮想ネットワークゲートウェイを作成するために必要です。

   

2. 仮想ネットワークゲートウェイを作成します。

   仮想ネットワークゲートウェイを、Alibaba Cloud と通信する必要がある仮想ネットワークに関連付けます。この例では、仮想ネットワークゲートウェイのアクティブ/アクティブモードを有効にし、2 つのパブリック IP アドレスを作成します。他のパラメーターにはデフォルト値を使用できます。

   仮想ネットワークゲートウェイが作成された後、パブリック IP アドレスページで、システムによって仮想ネットワークゲートウェイに割り当てられたパブリック IP アドレスを確認できます。この例では、パブリック IP アドレスは 4.XX.XX.224 と 4.XX.XX.166 です。

3. ローカルネットワークゲートウェイを作成します。

   Azure 上に 2 つのローカルネットワークゲートウェイを作成します。各ローカルネットワークゲートウェイに、Alibaba Cloud VPN Gateway インスタンスの IP アドレスを 1 つ設定します。各ローカルネットワークゲートウェイに Alibaba Cloud VPC の CIDR ブロックを追加します。

   重要

   DTS を使用して Azure から Alibaba Cloud にデータを同期する場合、DTS はこの CIDR ブロック内の IP アドレスを使用してデータを移行するため、100.104.0.0/16 の CIDR ブロックも追加する必要があります。

   DTS が使用する CIDR ブロックの詳細については、「DTS サーバーの CIDR ブロックをホワイトリストに追加する」をご参照ください。

   

4. サイト間 VPN 接続を作成します。

   重要

   Alibaba Cloud と Azure の両方の IPsec-VPN 接続はデュアルトンネルモードをサポートしています。ただし、Azure の IPsec-VPN 接続の 2 つのトンネルはデフォルトで同じローカルネットワークゲートウェイに関連付けられますが、Alibaba Cloud の IPsec-VPN 接続の 2 つのトンネルは異なる IP アドレスを持ちます。これにより、トンネル接続の 1 対 1 のマッピングが妨げられます。Alibaba Cloud の IPsec-VPN 接続の両方のトンネルが有効になっていることを確認するには、Azure 上に 2 つのサイト間 VPN 接続を作成し、各サイト間 VPN 接続を異なるローカルネットワークゲートウェイに関連付ける必要があります。

   次の図は、サイト間 VPN 接続の 1 つの構成を示しています。VPN 接続を作成する際、接続タイプを サイト間 (IPsec) に設定し、VPN 接続を Alibaba Cloud に接続する必要がある仮想ネットワークゲートウェイに関連付けます。次に、ローカルネットワークゲートウェイを選択し、共有キーを設定します。他のパラメーターにはデフォルト値を使用できます。もう一方のサイト間 VPN 接続については、異なるローカルネットワークゲートウェイに関連付けますが、他のパラメーターには同じ値を使用します。

   

ステップ 3：Alibaba Cloud での VPN Gateway のデプロイ

Azure での VPN 構成が完了したら、以下の情報に基づいて Alibaba Cloud で VPN Gateway をデプロイし、Azure VNet と Alibaba Cloud VPC の間に IPsec-VPN 接続を確立します。

1. カスタマーゲートウェイを作成します。

   1. VPN Gateway コンソールの または カスタマーゲートウェイ ページに移動します。トップナビゲーションバーで、リージョンとして ドイツ (フランクフルト) を選択します。

   2. カスタマーゲートウェイの作成 パネルで、以下のパラメーターを設定し、OK をクリックします。

      2 つのカスタマーゲートウェイを作成します。Azure 仮想ネットワークゲートウェイの 2 つのパブリック IP アドレスをカスタマーゲートウェイの IP アドレスとして使用し、2 つの暗号化されたトンネルを確立します。このトピックでは、必須パラメーターのみを説明します。その他のパラメーターについては、デフォルト値を使用するか、空のままにすることができます。詳細については、「カスタマーゲートウェイ」をご参照ください。

      パラメーター	説明	カスタマーゲートウェイ 1	カスタマーゲートウェイ 2
      名前	カスタマーゲートウェイの名前を入力します。	カスタマーゲートウェイ 1 と入力します。	カスタマーゲートウェイ 2 と入力します。
      IP アドレス	Azure 仮想ネットワークゲートウェイのパブリック IP アドレスを入力します。	4.XX.XX.224 と入力します。	4.XX.XX.166 と入力します。

2. IPsec-VPN 接続を作成します。

   1. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続 を選択します。

   2. IPsec 接続 ページで、VPN Gateway のバインド をクリックします。

   3. IPsec-VPN 接続の作成 (VPN Gateway) ページで、以下の情報に基づいて IPsec-VPN 接続を設定し、OK をクリックします。

      パラメーター	説明	例
      IPsec-VPN 接続名	IPsec-VPN 接続の名前を入力します。	例として、IPsec-VPN Connection と入力します。
      リージョン	IPsec-VPN 接続に関連付ける VPN Gateway がデプロイされているリージョンを選択します。 IPsec-VPN 接続は、VPN Gateway と同じリージョンに作成されます。	ドイツ (フランクフルト) を選択します。
      リソースグループでフィルタリング	VPN Gateway インスタンスが属するリソースグループを選択します。	デフォルトのリソースグループを選択します。
      VPN Gateway との関連付け	IPsec-VPN 接続に関連付ける VPN Gateway インスタンスを選択します。	作成した VPN Gateway を選択します。
      ルーティングモード	ルーティングモードを選択します。 宛先ベースルーティング：トラフィックは宛先 IP アドレスに基づいてルーティングおよび転送されます。 対象トラフィックパターン：特定の送信元および宛先 IP アドレスに基づいてトラフィックをルーティングおよび転送します。	対象ストリームパターン を選択します。
      ローカルネットワーク	VPN Gateway インスタンスに関連付けられている VPC の CIDR ブロックを入力します。	VPC の CIDR ブロックを入力します：10.0.0.0/16 重要 DTS を使用して Azure から Alibaba Cloud にデータを同期する場合、DTS はこの CIDR ブロック内の IP アドレスを使用してデータを移行するため、100.104.0.0/16 の CIDR ブロックも追加する必要があります。
      リモートネットワーク	VPC がアクセスしたいリモートネットワークの CIDR ブロックを入力します。	192.168.0.0/16 と入力します。
      今すぐ有効化	接続のネゴシエーションをすぐに開始するかどうかを指定します。有効な値： はい：設定完了後すぐにネゴシエーションが開始されます。 いいえ：インバウンドトラフィックが検出されたときにネゴシエーションが開始されます。	はい を選択します。
      BGP を有効にする	IPsec-VPN 接続に Border Gateway Protocol (BGP) を使用する場合は、このスイッチをオンにします。デフォルトでは、この機能は無効になっています。	この例では、デフォルト値が使用されます。BGP 機能は有効にしません。
      トンネル 1	トンネル 1 (アクティブトンネル) の VPN パラメーターを設定します。 デフォルトでは、トンネル 1 はアクティブトンネル、トンネル 2 はスタンバイ トンネルです。この設定は変更できません。
      カスタマーゲートウェイ	アクティブトンネルに関連付けるカスタマーゲートウェイを選択します。	カスタマーゲートウェイ 1 を選択します。
      事前共有鍵	アクティブトンネルの認証キーを入力します。このキーは身分認証に使用されます。 キーは 1〜100 文字の長さで、数字、文字、および次の特殊文字を含めることができます：~`!@#$%^&*()_-+={}[]\|;:',.<>/?。 事前共有キーを指定しない場合、システムはランダムに 16 文字の文字列を生成します。 重要 トンネルとそのピアゲートウェイデバイスは、同じ事前共有キーを使用する必要があります。そうしないと、IPsec-VPN 接続を確立できません。	トンネルの認証キーは、対応する Azure VPN 接続のキーと同じでなければなりません。
      暗号化設定	IKE、IPsec、DPD、および NAT トラバーサルを設定します。	この例では、デフォルト設定が使用されます。デフォルト値の詳細については、「IPsec-VPN 接続 (VPN Gateway)」をご参照ください。
      トンネル 2	トンネル 2 (スタンバイ トンネル) の VPN パラメーターを設定します。
      カスタマーゲートウェイ	スタンバイ トンネルに関連付けるカスタマーゲートウェイを選択します。	カスタマーゲートウェイ 2 を選択します。
      事前共有鍵	スタンバイ トンネルの認証キーを入力します。このキーは身分認証に使用されます。	トンネルの認証キーは、対応する Azure VPN 接続のキーと同じでなければなりません。
      暗号化設定	IKE、IPsec、DPD、および NAT トラバーサルを設定します。	この例では、デフォルト設定が使用されます。デフォルト値の詳細については、「IPsec-VPN 接続 (VPN Gateway)」をご参照ください。

   4. 作成済み メッセージで、キャンセル をクリックします。

3. VPN Gateway のルートを設定します。

   IPsec-VPN 接続を作成した後、VPN Gateway インスタンスのルートを設定する必要があります。IPsec-VPN 接続を作成する際に ルーティングモード に ポリシーベースルーティング を選択した場合、システムは自動的に VPN Gateway インスタンスのポリシーベースルートを作成します。ルートは 未公開 状態です。このステップを実行して、ポリシーベースルートを VPC に公開する必要があります。

   1. 左側のナビゲーションウィンドウで、相互接続 > VPN > VPN Gateway を選択します。

   2. トップナビゲーションバーで、VPN Gateway インスタンスが存在するリージョンを選択します。

   3. VPN Gateway ページで、対象の VPN Gateway の ID をクリックします。

   4. VPN Gateway の詳細ページで、ポリシーベースルーティング タブをクリックし、管理したいルートを見つけ、操作 列の 公開 をクリックします。

   5. ルートエントリの公開 ダイアログボックスで、OK をクリックします。

ステップ 4：ネットワーク接続のテスト

上記の設定が完了すると、Alibaba Cloud VPC と Azure VNet 内のリソースは相互に通信できるようになります。以下の手順でネットワーク接続をテストできます。

1. Azure VNet 内に Azure VM インスタンスを作成し、ログインします。具体的な手順については、Azure サポートにお問い合わせください。

   重要

   接続をテストする前に、Alibaba Cloud VPC と Azure VNet に適用されているセキュリティグループルールを理解し、それらのルールが VPC と VNet 内のリソース間の通信を許可していることを確認してください。

   • Alibaba Cloud のセキュリティグループルールの詳細については、「セキュリティグループルールの照会」および「セキュリティグループルールの追加」をご参照ください。

   • Azure のセキュリティグループルールの詳細については、Azure サポートにお問い合わせください。

2. VM インスタンスで、ping コマンドを実行して、Alibaba Cloud ECS インスタンスのプライベート IP アドレスにアクセスします。

   ping 10.0.0.1

   次の図のような応答メッセージを受信した場合、Alibaba Cloud VPC と Azure VNet 内のリソースは相互に通信できています。