このトピックでは、VPN Gateway のハブ機能を使用して、複数のサイト間およびサイトと VPC を接続する方法について説明します。
仕組み
VPN Gateway インスタンスを作成すると、そのハブ機能が自動的に有効になります。サイトごとにカスタマーゲートウェイを設定し、各サイトからクラウドへの IPsec-VPN 接続を設定するだけで、サイト間およびサイトと VPC との通信が可能になります。
利用シーン
このトピックでは、前の図に示すシナリオを例として使用します。ある大企業は、上海、杭州、寧波にオフィスを持ち、中国 (杭州) リージョンに VPC1 という名前の Virtual Private Cloud (VPC) を持っています。サービスは VPC1 内の Elastic Compute Service (ECS) インスタンスにデプロイされています。現在、オフィス間およびオフィスと VPC1 との通信はできません。事業の成長に伴い、この企業は VPN Gateway とそのハブ機能を使用して、上海、杭州、寧波のオフィス間、および VPC1 との通信を迅速に確立します。
前提条件
各オフィスのオンプレミスゲートウェイデバイスのパブリック IP アドレスを取得済みであること。
中国 (杭州) リージョンに VPC1 という名前の VPC を作成し、その中に ECS インスタンスをデプロイしてサービスを配置済みであること。詳細については、「IPv4 VPC の作成」をご参照ください。
次の表に、この例で使用される VPC1 と各オフィスの CIDR ブロックを示します。
説明CIDR ブロックは要件に基づいて計画できます。相互に通信する必要がある VPC1 とオフィスの CIDR ブロックが重複しないようにしてください。
サイト
VPC1
上海オフィス
杭州オフィス
寧波オフィス
接続する CIDR ブロック
192.168.0.0/16
10.10.10.0/24
10.10.20.0/24
10.10.30.0/24
ECS インスタンスの IP アドレス
192.168.20.121
N/A
N/A
N/A
オンプレミスゲートウェイのパブリック IP アドレス
N/A
1.XX.XX.1
2.XX.XX.2
3.XX.XX.3
VPC1 内の ECS インスタンスのセキュリティグループルールと、各オフィスのアクセス制御ルールが、オフィス間およびオフィスと VPC1 との通信を許可していることを確認します。詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。
操作手順
ステップ 1:VPN Gateway の作成
このゲートウェイは、上海、杭州、寧波のオフィス間、およびオフィスと VPC1 を接続します。
VPN Gateway コンソールにログインします。
上部のナビゲーションバーで、VPN Gateway インスタンスを作成するリージョンを選択します。
この例では、[中国 (杭州)] が選択されています。
VPN Gateway ページで、VPN Gateway の作成 をクリックします。
購入ページで VPN Gateway インスタンスを設定し、今すぐ購入 をクリックして支払いを完了します。
パラメーター
説明
インスタンス名
VPN Gateway インスタンスの名前を入力します。この例では、VPN Gateway 1 と入力します。
[リージョン]
VPN Gateway インスタンスのリージョンを選択します。この例では、[中国 (杭州)] が選択されています。
ゲートウェイの種類
VPN Gateway インスタンスのタイプを選択します。この例では、[標準] が選択されています。
ネットワークタイプ
VPN Gateway インスタンスのネットワークタイプを選択します。この例では、[パブリック] が選択されています。
トンネル
システムは、現在のリージョンで IPsec-VPN 接続がサポートするトンネルモードを表示します。
VPC
VPN Gateway インスタンスに関連付ける VPC を選択します。この例では、VPC1 を選択します。
vSwitch
VPC から vSwitch を選択します。
シングルトンネルを選択した場合は、vSwitch を 1 つだけ指定する必要があります。
デュアルトンネルを選択した場合は、2 つの vSwitch を指定する必要があります。
IPsec-VPN 機能を有効にすると、システムは 2 つの vSwitch それぞれに Elastic Network Interface (ENI) を作成し、IPsec-VPN 接続を介して VPC と通信するためのインターフェイスとして使用します。各 ENI は vSwitch 内の 1 つの IP アドレスを占有します。
説明システムはデフォルトで vSwitch を選択します。デフォルトの vSwitch を変更することも、そのまま使用することもできます。
VPN ゲートウェイを作成した後、VPN ゲートウェイに関連付けられている vSwitch を変更することはできません。VPN ゲートウェイに関連付けられている vSwitch、vSwitch が属するゾーン、および vSwitch 内の ENI は、VPN ゲートウェイの詳細ページで確認できます。
vSwitch 2
VPC から 2 番目の vSwitch を選択します。
このパラメーターは、トンネルモードがデュアルトンネルの場合にのみ必須です。
[ピーク帯域幅]
VPN Gateway インスタンスの最大パブリック帯域幅を Mbit/s で選択します。
[データ転送]
VPN Gateway インスタンスの課金方法。デフォルト値は [データ転送量課金] です。
詳細については、「課金」をご参照ください。
IPsec-VPN
IPsec-VPN 機能を有効にするかどうかを選択します。この例では、[有効化] を選択します。
SSL-VPN
SSL-VPN 機能を有効にするかどうかを選択します。この例では、[無効化] を選択します。
[期間]
VPN Gateway の課金サイクル。デフォルト値は [時間単位] です。
サービス連携ロール
[サービスリンクロールの作成] をクリックします。システムにより、サービスリンクロール AliyunServiceRoleForVpn が自動的に作成されます。
VPN Gateway はこのロールを使用して、他のクラウドサービスのリソースにアクセスします。詳細については、「AliyunServiceRoleForVpn」をご参照ください。
このパラメーターに [作成済み] と表示されている場合、ロールはアカウントに既に存在するため、再度作成する必要はありません。
パラメーターの詳細については、「VPN ゲートウェイの作成」をご参照ください。
ステップ 2:カスタマーゲートウェイの作成
単一の VPN Gateway インスタンスを介して複数のオフィスを接続するには、オフィスごとにカスタマーゲートウェイを作成する必要があります。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、カスタマーゲートウェイのリージョンを選択します。
説明カスタマーゲートウェイとそれが接続する VPN Gateway インスタンスは、同じリージョンにある必要があります。
[カスタマーゲートウェイ]ページで、[カスタマーゲートウェイの作成]をクリックします。
カスタマーゲートウェイの作成 パネルで、以下の情報に基づいてカスタマーゲートウェイを設定し、OK をクリックします。
パラメーター
説明
上海オフィス
杭州オフィス
寧波オフィス
名前
カスタマーゲートウェイの名前を入力します。
Shanghai-customer1
Hangzhou-customer2
Ningbo-customer3
IP アドレス
カスタマーゲートウェイのパブリック IP アドレスを入力します。
この例では、上海オフィスのオンプレミスゲートウェイデバイスのパブリック IP アドレス 1.XX.XX.1 を入力します。
この例では、杭州オフィスのオンプレミスゲートウェイデバイスのパブリック IP アドレス 2.XX.XX.2 を入力します。
この例では、寧波オフィスのオンプレミスゲートウェイデバイスのパブリック IP アドレス 3.XX.XX.3 を入力します。
パラメーターの詳細については、「カスタマーゲートウェイの作成」をご参照ください。
ステップ 3:IPsec-VPN 接続の作成
上海、杭州、寧波の各オフィス用に IPsec-VPN 接続を作成します。IPsec-VPN 接続は、カスタマーゲートウェイを VPN Gateway に関連付けて、各オフィスを Alibaba Cloud に接続します。
左側のナビゲーションウィンドウで、 を選択します。
「IPsec 接続」ページで、[VPN Gateway の関連付け] をクリックします。
以下の情報に基づいて IPsec-VPN 接続を設定し、OK をクリックします。
次の表に、上海、杭州、寧波オフィスの IPsec-VPN 接続の設定を示します。
パラメーター
説明
上海オフィス
杭州オフィス
寧波オフィス
名前
IPsec-VPN 接続の名前を入力します。
IPsec-VPN Connection 1
IPsec-VPN Connection 2
IPsec-VPN Connection 3
リージョン
IPsec-VPN 接続がバインドされる VPN Gateway インスタンスのリージョンを選択します。
[中国 (杭州)] を選択します。
VPN Gateway の関連付け
作成した VPN Gateway インスタンスを選択します。
VPN Gateway 1 を選択します。
ルーティングモード
ルーティングモードを選択します。
宛先ルーティングモード を選択します。
[宛先ルーティングモード] を選択します。
保護されたデータフロー を選択します。
ローカルネットワーク
オフィスと通信する必要がある VPC の CIDR ブロックを入力します。これはフェーズ 2 ネゴシエーションに使用されます。
N/A
N/A
192.168.0.0/16
リモートネットワーク
VPC と通信する必要があるオフィスの CIDR ブロックを入力します。これはフェーズ 2 ネゴシエーションに使用されます。
10.10.30.0/24
今すぐ有効化
設定完了後すぐにネゴシエーションを開始するかどうかを選択します。
はい:設定完了後すぐにネゴシエーションが開始されます。
いいえ:トラフィックが検出されたときにネゴシエーションが開始されます。
この例では、はい を選択します。
この例では、はい を選択します。
この例では、はい を選択します。
カスタマーゲートウェイ
作成したカスタマーゲートウェイインスタンスを選択します。
Shanghai-customer1 を選択します。
Hangzhou-customer2 を選択します。
Ningbo-customer3 を選択します。
事前共有鍵
事前共有鍵を入力します。
このパラメーターを空のままにすると、システムはランダムな 16 文字の文字列を生成します。
重要オンプレミスゲートウェイデバイスの事前共有鍵は、IPsec-VPN 接続の事前共有鍵と同じである必要があります。
fddsFF123****
TTTddd321****
PPPttt456****
暗号化設定
IKE、IPsec、DPD、NAT 越えなどの設定を行います。
この例では、IKEv1 を使用し、他のパラメーターにはデフォルト値を使用します。
この例では、IKEv1 を使用し、他のパラメーターにはデフォルト値を使用します。
この例では、IKEv1 を使用し、他のパラメーターにはデフォルト値を使用します。
他のパラメーターにはデフォルト値を使用します。パラメーターの詳細については、「シングルトンネルモードで IPsec-VPN 接続を作成する」をご参照ください。
後で VPN ゲートウェイルートを設定するには、表示されるダイアログボックスで [キャンセル] をクリックします。
ステップ 4:VPN Gateway ルートの設定
IPsec-VPN 接続を作成した後、上海オフィスと杭州オフィスの CIDR ブロックを VPN Gateway インスタンスの宛先ベースのルートテーブルに追加し、上海、杭州、寧波オフィスの CIDR ブロックを VPC1 に公開する必要があります。これにより、オフィス間およびオフィスと VPC1 との通信が可能になります。
寧波オフィスの IPsec-VPN 接続は、保護されたデータフロールーティングモードを使用します。IPsec-VPN 接続が作成されると、システムは自動的にローカルネットワークとリモートネットワークを VPN Gateway インスタンスのポリシーベースのルートテーブルに追加します。したがって、ポリシーベースのルートテーブルから寧波オフィスの CIDR ブロックを VPC1 に公開するだけで済みます。手動でルートエントリを追加する必要はありません。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、VPN ゲートウェイインスタンスが存在するリージョンを選択します。
VPN Gateway ページで、対象の VPN Gateway インスタンスを見つけて、その ID をクリックします。
VPN Gateway インスタンスの 宛先ベースルーティング で、上海オフィスと杭州オフィスの CIDR ブロックを追加して公開します。
宛先ベースルーティング タブで、ルートエントリの追加 をクリックします。
ルートエントリの追加 パネルで、宛先ベースのルートエントリを設定し、OK をクリックします。
パラメーター
説明
ルートエントリ 1
ルートエントリ 2
宛先 CIDR ブロック
宛先 CIDR ブロックを入力します。
上海オフィスのプライベート CIDR ブロック 10.10.10.0/24 を入力します。
杭州オフィスのプライベート CIDR ブロック 10.10.20.0/24 を入力します。
ネクストホップの種類
ネクストホップタイプを選択します。
IPsec 接続 を選択します。
IPsec 接続 を選択します。
ネクストホップ
ネクストホップを選択します。
IPsec-VPN 接続 1 を選択します。
IPsec-VPN 接続 2 を選択します。
VPC への公開
新しいルートエントリを、関連付けられた VPC (VPC1) のルートテーブルに公開するかどうかを選択します。
この例では、はい を選択します。
この例では、はい を選択します。
重み
ルートエントリの重みを選択します。
100:高優先度。
0:低優先度。
この例では、デフォルト値の 100 を使用します。
この例では、デフォルト値の 100 を使用します。
パラメーターの詳細については、「宛先ベースのルートの追加」をご参照ください。
VPN Gateway インスタンスの ポリシーベースルーティング から寧波オフィスの CIDR ブロックを公開します。
ポリシーベースルーティング で、宛先 CIDR ブロック が寧波オフィスの CIDR ブロックであるルートエントリを見つけ、操作 列の 公開 をクリックします。
ルートの公開 ダイアログボックスで、OK をクリックします。
ステップ 5:オンプレミスゲートウェイの設定
Alibaba Cloud で VPN Gateway を設定した後、各オフィス拠点のオンプレミスゲートウェイデバイスも設定する必要があります。IPsec 接続 ページからオンプレミスゲートウェイデバイスの設定をダウンロードし、その設定をオンプレミスゲートウェイデバイスに追加して、オフィス拠点間、およびオフィス拠点と VPC1 との通信を有効にする必要があります。
左側のナビゲーションウィンドウで、 を選択します。
IPsec 接続 ページで、対象の IPsec-VPN 接続を見つけ、操作 列の ピア設定の生成 をクリックします。
IPsec-VPN Connection 1、IPsec-VPN Connection 2、および IPsec-VPN Connection 3 のピア設定をダウンロードします。
ダウンロードした設定を、ベンダーの手順に従って各オンプレミスゲートウェイデバイスに適用します。詳細については、「オンプレミスゲートウェイの設定」をご参照ください。
IPsec-VPN Connection 1 用にダウンロードしたピア設定を、上海オフィスのオンプレミスゲートウェイデバイスに追加します。
IPsec-VPN Connection 2 用にダウンロードしたピア設定を、杭州オフィスのオンプレミスゲートウェイデバイスに追加します。
IPsec-VPN Connection 3 用にダウンロードしたピア設定を、寧波オフィスのオンプレミスゲートウェイデバイスに追加します。
ステップ 6:接続のテスト
次の手順に従って接続をテストします。
オフィスと VPC1 間の接続をテストします。
VPC1 内の ECS インスタンスにログインします。
ECS インスタンスへのログイン方法の詳細については、「接続方法」をご参照ください。
ping コマンドを実行して、上海、杭州、寧波の各オフィスにあるクライアントにアクセスします。
ping <client_ip_address>各クライアントからの応答は、オフィスが VPC1 と通信できることを示しています。
オフィス間の接続をテストします。
上海オフィスのクライアントでコマンドラインインターフェイスを開きます。
ping コマンドを実行して、杭州オフィスのクライアントと寧波オフィスのクライアントにそれぞれ ping を送信します。
ping <client_ip_address>両方のクライアントからの応答は、上海オフィスが杭州オフィスおよび寧波オフィスと通信できることを示しています。
杭州オフィスのクライアントでコマンドラインインターフェイスを開きます。
ping コマンドを実行して、寧波オフィスのクライアントにアクセスします。
ping <client_ip_address>クライアントからの応答は、杭州オフィスが寧波オフィスと通信できることを示しています。