この記事では、デュアルトンネルモードの IPsec-VPN を使用して 2 つの Virtual Private Cloud (VPC) 間に安全な接続を確立し、両方の VPC 内のリソースが相互に通信できるようにする方法について説明します。
シナリオ
クロスリージョン VPC 間の IPsec-VPN 接続の品質は、パブリックネットワークに依存します。そのため、Cloud Enterprise Network (CEN) を使用して VPC を接続することを推奨します。詳細については、「アカウント間での VPC の接続」をご参照ください。
このトピックでは、ある企業がドイツ (フランクフルト) リージョン内の 2 つの VPC (VPC1 と VPC2) にある Elastic Compute Service (ECS) インスタンスにサービスをデプロイしているシナリオについて説明します。ビジネスの成長に伴い、VPC1 と VPC2 のサービスは相互にアクセスする必要があります。
安全なネットワークを構築するため、この企業は VPN Gateway を使用して 2 つの VPC 間に IPsec-VPN 接続を確立します。これにより、転送中のデータが暗号化され、VPC 内のリソースが相互に安全にアクセスできるようになります。

CIDR ブロックの計画
ビジネス要件に基づいて CIDR ブロックを計画してください。接続する VPC の CIDR ブロックが重複しないようにしてください。
VPC CIDR ブロックの計画
VPC 名 | VPC CIDR ブロック | ECS IP アドレス |
VPC1 |
|
|
VPC2 |
|
|
IPsec-VPN BGP の設定
静的ルートまたは BGP 動的ルーティングを使用する IPsec-VPN 接続によって、VPC 間の通信を確立できます。次の表に、必要な BGP 設定を示します。
IPsec-VPN 接続で BGP 動的ルーティングを使用する場合、両方のトンネルの ローカル ASN は同じである必要があります。2 つのトンネルのピア BGP ASN は異なっていてもかまいませんが、両方で同じピア BGP ASN を使用することを推奨します。
VPN Gateway 名 | IPsec 接続名 | トンネル | ローカル ASN | BGP トンネル CIDR ブロック | BGP IP アドレス |
VPN Gateway 1 | IPsec-VPN 接続 1 | アクティブトンネル | 65530 | 169.254.10.0/30 | 169.254.10.1 |
スタンバイトンネル | 65530 | 169.254.20.0/30 | 169.254.20.1 | ||
VPN Gateway 2 | IPsec-VPN 接続 2 | アクティブトンネル | 65500 | 169.254.10.0/30 | 169.254.10.2 |
スタンバイトンネル | 65500 | 169.254.20.0/30 | 169.254.20.2 |
前提条件
IPsec-VPN 接続のデュアルトンネルモードは、以下のリージョンとアベイラビリティゾーンでのみ利用可能です。
ドイツ (フランクフルト) リージョンに VPC1 と VPC2 を作成し、これらの VPC 内の ECS インスタンスにサービスをデプロイ済みであること。詳細については、「IPv4 CIDR ブロックを持つ VPC の作成」をご参照ください。
両方の VPC の ECS インスタンスのセキュリティグループルールが、相互の通信を許可していることを確認済みであること。詳細については、「セキュリティグループルールの照会」および「セキュリティグループルールの追加」をご参照ください。
設定

ステップ 1: VPN Gateway インスタンスの作成
VPN Gateway コンソールにログインします。
上部のナビゲーションバーで、VPN Gateway インスタンスを作成するリージョンを選択します。
この例では、[ドイツ (フランクフルト)] を使用します。
説明VPN Gateway インスタンスと VPC インスタンスは、関連付けるために同じリージョンにある必要があります。
VPN Gatewayページで、VPN Gateway の作成をクリックします。
購入ページで、以下の設定で VPN Gateway インスタンスを設定し、[今すぐ購入] をクリックして支払いを完了します。
パラメーター
説明
インスタンス名
VPN Gateway インスタンスの名前を入力します。この例では、VPN Gateway 1 を使用します。
リソースグループ
VPN Gateway インスタンスのリソースグループを選択します。この例では、デフォルトのリソースグループが選択されています。
リソースグループを選択しない場合、システムは自動的に VPN Gateway インスタンスをデフォルトのリソースグループに割り当てます。
リージョン
VPN Gateway インスタンスを作成するリージョンを選択します。この例では、[ドイツ (フランクフルト)] を使用します。
ゲートウェイタイプ
VPN Gateway インスタンスのゲートウェイタイプを選択します。この例では、Standard を使用します。
ネットワークタイプ
VPN Gateway インスタンスのネットワークタイプを選択します。この例では、パブリック を使用します。
トンネル
デフォルトでは、[デュアルトンネル]が選択されています。
VPC
VPN Gateway インスタンスに関連付ける VPC を選択します。この例では、VPC1 を使用します。
vSwitch
VPC1 の最初の vSwitch を選択します。
シングルトンネルを選択した場合、1 つの vSwitch のみを指定する必要があります。
デュアルトンネルを選択した場合、2 つの vSwitch を指定する必要があります。
IPsec-VPN 機能が有効になると、システムは 2 つの vSwitch それぞれに Elastic Network Interface (ENI) を作成し、IPsec-VPN 接続を介して VPC と通信するためのインターフェイスとして使用します。各 ENI は vSwitch 内の 1 つの IP アドレスを占有します。
説明システムはデフォルトで vSwitch を選択します。デフォルトの vSwitch を変更または使用できます。
VPN Gateway の作成後、VPN Gateway に関連付けられている vSwitch を変更することはできません。VPN Gateway の詳細ページで、VPN Gateway に関連付けられている vSwitch、vSwitch が属するゾーン、および vSwitch 内の ENI を表示できます。
vSwitch 2
VPC1 の 2 番目の vSwitch を選択します。
関連付けられた VPC 内の異なるゾーンにある 2 つの vSwitch を指定して、IPsec-VPN 接続のゾーン間ディザスタリカバリを実装します。
1 つのゾーンのみをサポートするリージョンでは、ゾーン間ディザスタリカバリはサポートされていません。IPsec-VPN 接続の高可用性を実装するために、ゾーン内に 2 つの vSwitch を指定することを推奨します。最初の vSwitch と同じ vSwitch を選択することもできます。
最大帯域幅
VPN Gateway インスタンスのパブリック最大帯域幅を選択します。単位:Mbps。
トラフィック
VPN Gateway インスタンスの課金方法です。デフォルト値はトラフィック課金です。
詳細については、「課金」をご参照ください。
IPsec-VPN
IPsec-VPN 機能を有効または無効にします。この例でははいを使用します。
SSL-VPN
SSL-VPN 機能を有効または無効にします。この例では無効化を選択します。
課金サイクル
VPN Gateway インスタンスの課金サイクルです。デフォルト値は [時間単位] です。
サービスにリンクされたロールの作成
サービスにリンクされたロールの作成 をクリックします。システムは AliyunServiceRoleForVpn サービスリンクロールを自動的に作成します。
VPN Gateway はこのロールを使用して、他のクラウドサービスのリソースにアクセスします。詳細については、「AliyunServiceRoleForVpn」をご参照ください。
作成されました。 と表示されている場合、ロールはアカウントに既に存在するため、操作は不要です。
VPN Gateway ページに戻り、新しい VPN Gateway インスタンスを表示します。
新しい VPN Gateway インスタンスの初期ステータスは準備中です。約 1~5 分後、ステータスは正常に変わります。ステータスが正常の VPN Gateway インスタンスは使用可能です。
ステップ 3 から ステップ 4 を繰り返し、[ドイツ (フランクフルト)] リージョンに VPN Gateway 2 という名前の別の VPN Gateway インスタンスを作成し、それを VPC2 に関連付けて、VPN Gateway 1 と同じ設定を使用します。
VPN Gateway インスタンスが作成された後、次の表にその設定を示します。
インスタンス名
関連付けられた VPC
IP アドレス
VPN Gateway 1
VPC1
IPsec アドレス 1:47.XX.XX.87
IPsec アドレス 2:47.XX.XX.78
VPN Gateway 2
VPC2
IPsec アドレス 1:47.XX.XX.207
IPsec アドレス 2:47.XX.XX.15
ステップ 2: カスタマーゲートウェイの作成
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、カスタマーゲートウェイインスタンスを作成するリージョンを選択します。
説明カスタマーゲートウェイと VPN Gateway インスタンスは、接続するために同じリージョンにある必要があります。
カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。
カスタマーゲートウェイの作成 パネルで、次の表に従ってカスタマーゲートウェイインスタンスを設定し、[OK] をクリックします。
VPN トンネルを確立するために、ドイツ (フランクフルト) リージョンに 4 つのカスタマーゲートウェイインスタンスを作成します。次の表に、必要なパラメーターを示します。他のすべてのパラメーターについては、デフォルト値を維持するか、空のままにします。
パラメーター
説明
ドイツ (フランクフルト)
ドイツ (フランクフルト)
ドイツ (フランクフルト)
ドイツ (フランクフルト)
名前
カスタマーゲートウェイインスタンスの名前を入力します。
VPN Gateway 1-Customer1
VPN Gateway 1-Customer2
VPN Gateway 2-Customer1
VPN Gateway 2-Customer2
IP アドレス
ピア VPN Gateway インスタンスの IP アドレスを入力します。
説明このシナリオでは、各 VPN Gateway が他方のカスタマーゲートウェイとして機能します。
VPN Gateway 2 の IPsec アドレス 1 の IP アドレス:47.XX.XX.207。
VPN Gateway 2 の IPsec アドレス 2 の IP アドレス:47.XX.XX.15。
VPN Gateway 1 の IPsec アドレス 1 の IP アドレス:47.XX.XX.87。
VPN Gateway 1 の IPsec アドレス 2 の IP アドレス:47.XX.XX.78。
ASN
ピア VPN Gateway インスタンスの BGP ASN を入力します。
VPN Gateway 2 のアクティブトンネルの BGP ASN:65500。
VPN Gateway 2 のスタンバイトンネルの BGP ASN:65500。
VPN Gateway 1 のアクティブトンネルの BGP ASN:65530。
VPN Gateway 1 のスタンバイトンネルの BGP ASN:65530。
ステップ 3: IPsec 接続の作成
VPN Gateway とカスタマーゲートウェイを作成した後、2 つの IPsec 接続を作成して IPsec-VPN 接続を確立します。
左側のナビゲーションウィンドウで、 を選択します。
IPsec 接続 ページで VPN ゲートウェイの選択 をクリックし、IPsec 接続を次のように設定した後、[OK] をクリックします。
次の表の設定を使用して、ドイツ (フランクフルト) リージョンに 2 つの IPsec 接続を作成します。
パラメーター
説明
IPsec 接続 1
IPsec 接続 2
IPsec 接続名
IPsec 接続の名前を入力します。
このチュートリアルでは、IPsec 接続 1 と入力します。
このチュートリアルでは、IPsec 接続 2 と入力します。
リージョン
IPsec-VPN 接続に関連付ける VPN Gateway がデプロイされているリージョンを選択します。
IPsec-VPN 接続は、VPN Gateway と同じリージョンに作成されます。
[ドイツ (フランクフルト)] を選択します。
[ドイツ (フランクフルト)] を選択します。
VPN ゲートウェイの選択
IPsec 接続に関連付ける VPN Gateway を選択します。
このチュートリアルでは、VPN Gateway 1 を選択します。
このチュートリアルでは、VPN Gateway 2 を選択します。
ルーティングモード
ルーティングモードを選択します。
説明IPsec 接続に BGP を使用する場合は、宛先ルーティングモード を選択します。
このチュートリアルでは、宛先ルーティングモード を選択します。
このチュートリアルでは、宛先ルーティングモード を選択します。
今すぐ有効化
IPsec 接続がすぐに有効になるかどうかを決定します。有効な値:
はい。設定完了後にネゴシエーションを開始します。
いいえ。インバウンドトラフィックが検出されたときにネゴシエーションを開始します。
説明VPN ゲートウェイを使用して 2 つの VPC 間に IPsec 接続を確立する場合、一方の IPsec 接続で 今すぐ有効化 を はい に設定します。これにより、構成が完了するとすぐに IPsec ネゴシエーションが開始されます。
このチュートリアルでは、はい を選択します。
このチュートリアルでは、いいえ を選択します。
BGP の有効化
IPsec 接続に BGP ルーティングプロトコルを使用するには、このオプションを有効にします。このオプションはデフォルトで無効になっています。
このチュートリアルでは、デフォルト設定を維持します。IPsec 接続が作成された後で BGP 設定を追加できます。
このチュートリアルでは、デフォルト設定を維持します。IPsec 接続が作成された後で BGP 設定を追加できます。
トンネル 1
トンネル 1 (アクティブトンネル) の VPN 設定を構成します。
デフォルトでは、トンネル 1 はアクティブトンネル、トンネル 2 はスタンバイトンネルです。この設定は変更できません。
カスタマーゲートウェイ
アクティブトンネルに関連付けるカスタマーゲートウェイを選択します。
このチュートリアルでは、VPN Gateway 1-Customer1 を選択します。
このチュートリアルでは、VPN Gateway 2-Customer1 を選択します。
事前共有鍵
アクティブトンネルを認証するための事前共有鍵を入力します。
鍵は 1〜100 文字の長さで、数字、大文字、小文字、および次の特殊文字を含めることができます:
~`!@#$%^&*()_-+={}[]\|;:',.<>/?。このフィールドを空のままにすると、システムはランダムな 16 文字の文字列を生成します。
重要IPsec-VPN 接続の事前共有鍵は、ピアゲートウェイデバイスの事前共有鍵と同じでなければなりません。そうでない場合、IPsec-VPN 接続は確立できません。
このチュートリアルでは、fddsFF123 と入力します。
このチュートリアルでは、fddsFF123 と入力します。
暗号化設定
IKE、IPsec、DPD、および NAT 越えの設定を構成します。
このチュートリアルでは、デフォルト設定を維持します。
このチュートリアルでは、デフォルト設定を維持します。
トンネル 2
トンネル 2 (スタンバイトンネル) の VPN 設定を構成します。
カスタマーゲートウェイ
スタンバイトンネルに関連付けるカスタマーゲートウェイを選択します。
このチュートリアルでは、VPN Gateway 1-Customer2 を選択します。
このチュートリアルでは、VPN Gateway 2-Customer2 を選択します。
事前共有鍵
スタンバイトンネルを認証するための事前共有鍵を入力します。
このチュートリアルでは、fddsFF456 と入力します。
このチュートリアルでは、fddsFF456 と入力します。
暗号化設定
IKE、IPsec、DPD、および NAT 越えの設定を構成します。
このチュートリアルでは、デフォルト設定を維持します。
このチュートリアルでは、デフォルト設定を維持します。
Created ダイアログボックスで、[OK] をクリックします。
以下の表に、結果として得られる設定の概要を示します。
VPC 名
VPN Gateway 名
IPsec 接続名
トンネル
カスタマーゲートウェイ名
VPC1
VPN Gateway 1
IPsec 接続 1
アクティブトンネル
VPN Gateway 1-Customer1
スタンバイトンネル
VPN Gateway 1-Customer2
VPC2
VPN Gateway 2
IPsec 接続 2
アクティブトンネル
VPN Gateway 2-Customer1
スタンバイトンネル
VPN Gateway 2-Customer2
ステップ 4: ルートの設定
デュアルトンネルモードでは、IPsec-VPN 接続は静的ルートと BGP 動的ルーティングの両方をサポートします。以下のセクションでは、これらの方法について説明します。設定する必要があるのは 1 つのルーティングプロトコルのみです。
静的ルートの設定
次の例では、宛先ベースルートを使用します。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、VPN Gateway インスタンスが存在するリージョンを選択します。
VPN Gateway ページで、管理する VPN Gateway インスタンスを見つけ、その ID をクリックします。
宛先ベースルーティング タブで、ルートエントリの追加 をクリックします。
ルートエントリの追加 パネルで、宛先ベースルートを設定し、[OK] をクリックします。
VPN Gateway 1 と VPN Gateway 2 の両方にルートエントリを追加する必要があります。
パラメーター
説明
VPN Gateway 1
VPN Gateway 2
CIDR
トラフィックをルーティングする先の宛先 CIDR ブロック。
VPC 2 のプライベート CIDR ブロックを入力します:192.168.0.0/16。
VPC 1 のプライベート CIDR ブロックを入力します:10.0.0.0/16。
ネクストホップの種類
ネクストホップのタイプ。
IPsec 接続 を選択します。
IPsec 接続 を選択します。
ネクストホップ
ネクストホップとして機能するインスタンス。
IPsec-VPN 接続 1 を選択します。
IPsec-VPN 接続 2 を選択します。
VPC への公開
VPN Gateway がデプロイされている VPC のルートテーブルにルートをアドバタイズするかどうかを指定します。
はい を選択します。
はい を選択します。
BGP 動的ルーティングの設定
IPsec-VPN 接続に BGP 設定を追加します。
左側のナビゲーションウィンドウで、 に移動します。
IPsec 接続 ページで、管理する IPsec 接続を見つけ、その ID をクリックします。
IPsec 接続 セクションで、BGP の有効化 をクリックします。BGP 設定 ダイアログボックスで、パラメーターを設定し、OK をクリックします。
IPsec-VPN 接続 1 と IPsec-VPN 接続 2 の両方に BGP を設定する必要があります。
パラメーター
説明
IPsec-VPN 接続 1
IPsec-VPN 接続 2
ローカル ASN
VPN Gateway の ASN。
この例では、65530 と入力します。
この例では、65500 と入力します。
トンネル 1
アクティブトンネルの BGP 設定。
IPsec-VPN 接続 1 のアクティブトンネルを設定します。
IPsec-VPN 接続 2 のアクティブトンネルを設定します。
トンネル CIDR ブロック
BGP 通信に使用される CIDR ブロック。
トンネル CIDR ブロックは、169.254.0.0/16 の範囲内にある /30 CIDR ブロックでなければなりません。トンネル CIDR ブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30、または 169.254.169.252/30 にすることはできません。
説明VPN Gateway 上では、各トンネルの CIDR ブロックは一意でなければなりません。
この例では、169.254.10.0/30 と入力します。
この例では、169.254.11.0/30 と入力します。
ローカル BGP IP アドレス
VPN Gateway の BGP IP アドレス。
この IP アドレスは BGP CIDR ブロックに属している必要があります。
この例では、169.254.10.1 と入力します。
この例では、169.254.11.2 と入力します。
トンネル 2
スタンバイトンネルの BGP 設定。
IPsec-VPN 接続 1 のスタンバイトンネルを設定します。
IPsec-VPN 接続 2 のスタンバイトンネルを設定します。
トンネル CIDR ブロック
BGP 通信に使用される CIDR ブロック。
トンネル CIDR ブロックは、169.254.0.0/16 の範囲内にある /30 CIDR ブロックでなければなりません。トンネル CIDR ブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30、または 169.254.169.252/30 にすることはできません。
説明VPN Gateway 上では、各トンネルの CIDR ブロックは一意でなければなりません。
この例では、169.254.20.0/30 と入力します。
この例では、169.254.21.0/30 と入力します。
ローカル BGP IP アドレス
VPN Gateway の BGP IP アドレス。
この IP アドレスは BGP CIDR ブロックに属している必要があります。
この例では、169.254.20.1 と入力します。
この例では、169.254.21.2 と入力します。
VPN Gateway 1 と VPN Gateway 2 の両方で BGP 伝播を有効にします。
左側のナビゲーションウィンドウで、を選択します。
VPN Gateway ページで、管理する VPN Gateway を見つけ、[アクション] 列で を選択します。
自動 BGP 伝播を有効にする ダイアログボックスで、OK をクリックします。
ルートを設定すると、IPsec 接続 ページでトンネルのステータスを確認できます。
ステップ 5:検証テスト
上記の手順を完了すると、VPC1 と VPC2 が通信できるようになります。このセクションでは、2 つの VPC 間の接続性をテストし、デュアルトンネルモードでの IPsec-VPN 接続の高可用性を検証する方法について説明します。
接続性をテストします。
VPC1 の ECS1 インスタンスにログインします。
ECS インスタンスへのログイン方法の詳細については、「接続方法の選択」をご参照ください。
2 つの VPC が通信できることを確認するために、VPC2 の ECS3 インスタンスをターゲットとして ping コマンドを実行します。
ping <ECS3 インスタンスの IP アドレス>以下のような応答は、2 つの VPC が通信できることを示します。

高可用性をテストします。
VPC1 の ECS1 インスタンスにログインします。
ECS インスタンスへのログイン方法の詳細については、「接続方法の選択」をご参照ください。
次のコマンドを実行して、ECS1 から ECS3 に継続的に ping を送信します。
ping <ECS3 インスタンスの IP アドレス> -c 10000アクティブトンネルを中断します。
この例では、IPsec 接続 1 の事前共有鍵を変更することでアクティブトンネルを中断できます。トンネルの両端の事前共有鍵が一致しない場合、トンネル接続は失敗します。

ECS1 インスタンスで通信ステータスを確認します。短時間のパケット損失の後、接続が回復することがわかります。これは、アクティブトンネルが中断されたときに、トラフィックが自動的にスタンバイトンネルにフェイルオーバーすることを示しています。
説明オンプレミスデータセンターがデュアルトンネルモードの IPsec-VPN 接続を使用して VPC に接続する場合、アクティブトンネルが中断されると、Alibaba Cloud は VPC からオンプレミスデータセンターへのトラフィックを自動的にスタンバイトンネルにフェイルオーバーします。ただし、オンプレミスデータセンターから VPC へのトラフィックパスは、そのルーティング設定に依存します。オンプレミスデータセンターがスタンバイトンネルへの自動フェイルオーバーをサポートしていない場合は、CloudMonitor を使用してアクティブトンネルを監視できます。中断が検出された場合は、オンプレミスデータセンターのルーティング設定を手動で変更して、トラフィックをスタンバイトンネルにフェイルオーバーする必要があります。詳細については、「IPsec-VPN 接続の監視」をご参照ください。