Alibaba Cloud VPC と AWS VPC の接続

更新日時
Copy as MD

Alibaba Cloud 上でデュアルトンネル IPsec 接続を構成し、AWS 上の 2 つのサイト間 VPN 接続と連携させることができます。これにより、Alibaba Cloud VPC と AWS VPC の間で高可用性を実現したネットワーク接続が確立されます。

適用範囲

以下の図は、本シナリオの例を示しています。ある企業が Alibaba Cloud ドイツ (フランクフルト) リージョンに VPC を 1 つ、AWS ヨーロッパ (フランクフルト) リージョンに VPC をもう 1 つ保有しており、これら 2 つの VPC を相互接続したいという要件です。

この企業では、Alibaba Cloud の VPN Gateway(外部からアクセス可能なインスタンス)と AWS の VPN を活用して、2 つの VPC 間の暗号化通信を実現する IPsec 接続を構築できます。

ネットワークプラン

重要

接続対象となるネットワークの CIDR ブロックが重複しないことを確認してください。

VPC CIDR ブロックプラン

リソース

VPC CIDR ブロック

インスタンス IP アドレス

Alibaba Cloud VPC

  • プライマリ CIDR ブロック:10.0.0.0/16

  • vSwitch 1 CIDR ブロック:10.0.0.0/24(可用性ゾーン B 内)

  • vSwitch 2 CIDR ブロック:10.0.10.0/24(可用性ゾーン C 内)

ECS インスタンス IP アドレス:10.0.0.223

AWS VPC

  • プライマリ CIDR ブロック:192.168.0.0/16

  • サブネット CIDR ブロック:192.168.10.0/24(可用性ゾーン eu-central-1a 内)

EC2 インスタンス IP アドレス:192.168.10.113

IPsec 接続における BGP ネットワークプラン

本トピックでは、Alibaba Cloud VPC と AWS VPC の間で通信を可能にするために、IPsec 接続に対して静的ルートおよびボーダーゲートウェイプロトコル (BGP) 動的ルートの両方を活用する方法について説明します。BGP を使用しない場合は、本セクションをスキップできます。以下の表は、本シナリオにおける BGP ネットワークプランを示しています。

説明

IPsec 接続で BGP を設定する場合、Alibaba Cloud 側の両トンネルで ローカル ASN を同一の値に設定する必要があります。ピア側トンネルの BGP ASN は異なる値でも構いませんが、同一の値を推奨します。

リソース

IPsec 接続名

トンネル

トンネル CIDR

BGP IP アドレス

ローカル ASN

Alibaba Cloud VPN Gateway

IPsec 接続

アクティブトンネル

169.254.116.208/30

説明

VPN Gateway インスタンス上の各トンネルの CIDR ブロックは一意である必要があります。

169.254.116.210

65530

スタンバイトンネル

169.254.214.96/30

169.254.214.98

AWS 仮想プライベートゲートウェイ

サイト間 VPN 接続 1

トンネル 1

169.254.116.208/30

169.254.116.209

64512

トンネル 2

スタンバイトンネルは使用されません。

サイト間 VPN 接続 2

トンネル 1

169.254.214.96/30

169.254.214.97

トンネル 2

スタンバイトンネルは使用されません。

前提条件

  • Alibaba Cloud ドイツ (フランクフルト) リージョンに VPC を作成済みであり、その VPC 内に Elastic Compute Service (ECS) インスタンスがデプロイされています。詳細については、「IPv4 VPC の作成」をご参照ください。

  • AWS ヨーロッパ (フランクフルト) リージョンに VPC を作成済みであり、その VPC 内に EC2 インスタンスがデプロイされています。詳細については、AWS サポートにお問い合わせください。

操作手順

ステップ 1:Alibaba Cloud VPN Gateway の作成

まず、Alibaba Cloud 上で VPN Gateway インスタンスを作成します。インスタンスが作成されると、システムによって 2 つの IP アドレスが割り当てられます。これらの IP アドレスは、AWS との IPsec 接続を確立するために使用されます。

  1. VPN Gateway コンソールにログインします。

  2. 上部ナビゲーションバーで、VPN Gateway を作成するリージョンを選択します。

    VPN Gateway のリージョンは、関連付ける VPC のリージョンと一致している必要があります。

  3. VPN Gateway ページで、VPN Gateway の作成 をクリックします。

  4. 購入ページで、以下のパラメーターを設定し、今すぐ購入 をクリックして支払いを完了します。

    以下の表では、本シナリオにおける主要なパラメーターのみを記載しています。その他のパラメーターはデフォルト値を使用してください。詳細については、「VPN Gateway インスタンスの作成と管理」をご参照ください。

    パラメーター

    説明

    インスタンス名

    VPN Gateway インスタンスの名前を入力します。

    VPN Gateway を入力します。

    リージョン

    VPN Gateway インスタンスを配置するリージョンを選択します。

    ドイツ (フランクフルト) を選択します。

    ゲートウェイタイプ

    VPN Gateway インスタンスのタイプを選択します。

    Standard を選択します。

    ネットワークタイプ

    VPN Gateway インスタンスのネットワークタイプを選択します。

    パブリック を選択します。

    トンネル

    現在のリージョンでサポートされる IPsec 接続のトンネルモードです。

    • デュアルトンネル

    • シングル トンネル

    シングルトンネルおよびデュアルトンネルモードの詳細については、「VPN Gateway の関連付け」をご参照ください。

    デフォルト値である [デュアルトンネル] を保持します。

    VPC

    VPN Gateway インスタンスに関連付ける VPC を選択します。

    Alibaba Cloud ドイツ (フランクフルト) リージョンの VPC を選択します。

    vSwitch 1

    VPC から vSwitch を選択します。

    • IPsec 接続がシングルトンネルモードの場合、1 つの vSwitch のみを指定する必要があります。

    • IPsec 接続がデュアルトンネルモードの場合、2 つの vSwitch を指定する必要があります。

      IPsec 接続機能が有効になると、システムはそれぞれの vSwitch に弾性ネットワークインターフェース (ENI) を作成します。これらの ENI は、VPC と IPsec 接続間のトラフィックのインターフェースとして機能します。各 ENI は、その vSwitch 内で 1 つの IP アドレスを占有します。

    説明
    • システムはデフォルトで最初の vSwitch を選択します。必要に応じて手動で変更することも可能です。

    • VPN Gateway インスタンスの作成後は、関連付ける vSwitch を変更できません。関連付ける vSwitch、その可用性ゾーン、および ENI 情報は、インスタンスの詳細ページで確認できます。

    VPC から vSwitch を選択します。

    vSwitch 2

    VPC から 2 番目の vSwitch を選択します。

    • IPsec 接続の可用性ゾーンレベルのディザスタリカバリを有効化するには、関連付ける VPC 内の異なる可用性ゾーンから 2 つの vSwitch を指定する必要があります。

    • 可用性ゾーンが 1 つしかないリージョンでは、可用性ゾーンレベルのディザスタリカバリはサポートされていません。高可用性を実現するため、その可用性ゾーン内で異なる 2 つの vSwitch を指定することを推奨します。また、1 つ目の vSwitch と同じものを選択することも可能です。

    説明

    VPC 内に 2 番目の vSwitch がない場合は、新たに作成できます。詳細については、「vSwitch の作成と管理」をご参照ください。

    VPC から 2 番目の vSwitch を選択します。

    IPsec-VPN

    IPsec-VPN 機能を有効または無効にします。デフォルト値:有効にする

    有効を選択します。

    SSL-VPN

    SSL-VPN 機能を有効または無効にします。デフォルト値:無効

    無効を選択します。

  5. 作成した VPN Gateway インスタンスを確認するため、VPN Gateway ページに戻ります。

    新しく作成された VPN Gateway インスタンスは 準備中 状態です。約 1~5 分後に 正常 状態に遷移します。正常 状態は、VPN Gateway が初期化され、使用可能になったことを意味します。

    以下の表は、システムが VPN Gateway インスタンスに割り当てる 2 つの IP アドレスを示しています:

    インスタンス名

    インスタンス ID

    IP アドレス

    VPN Gateway

    vpn-gw8dickm386d2qi2g****

    IPsec アドレス 1(デフォルトでアクティブトンネルアドレス):8.XX.XX.146

    IPsec アドレス 2(デフォルトでスタンバイトンネルアドレス):8.XX.XX.74

ステップ 2:AWS での VPN リソースのデプロイ

AWS VPC と Alibaba Cloud VPC の間で IPsec 接続を確立するには、AWS 上で VPN リソースをデプロイする必要があります。具体的なコマンドまたは操作については、AWS サポートにお問い合わせください。

静的ルート

  1. カスタマーゲートウェイの作成

    AWS 上で 2 つのカスタマーゲートウェイを作成します。これらのカスタマーゲートウェイの IP アドレスには、Alibaba Cloud VPN Gateway インスタンスから取得した 2 つの IP アドレスを使用します。AWS客户网关.png

  2. 仮想プライベートゲートウェイの作成

    AWS 上で仮想プライベートゲートウェイを作成し、Alibaba Cloud と接続する VPC にアタッチする必要があります。虚拟私有网关-静态

  3. サイト間 VPN 接続の作成

    重要

    Alibaba Cloud および AWS ともに、IPsec 接続のデュアルトンネルモードをサポートしています。ただし、AWS では、デフォルトで接続の両トンネルを単一のカスタマーゲートウェイに関連付けます。一方、Alibaba Cloud のデュアルトンネルモードでは、2 つの異なる IP アドレスが使用されるため、直接的な 1 対 1 のトンネルマッピングは不可能です。Alibaba Cloud IPsec 接続の両トンネルをアクティブに維持するには、AWS 上で 2 つの別々のサイト間 VPN 接続を作成し、それぞれを異なるカスタマーゲートウェイに関連付ける必要があります。

    以下の図は、1 つのサイト間 VPN 接続の構成を示しています。トンネルオプションにはデフォルト値を使用します。2 つ目のサイト間 VPN 接続では、別のカスタマーゲートウェイに関連付け、残りのパラメーターは同じ設定を使用します。隧道配置-静态-EN

    説明

    図において、ローカル IPv4 ネットワーク CIDR には Alibaba Cloud VPC の CIDR ブロックを設定し、リモート IPv4 ネットワーク CIDR には AWS VPC の CIDR ブロックを設定する必要があります。

    サイト間 VPN 接続を作成した後、トンネルアドレス情報を確認できます。この情報は、Alibaba Cloud 上で IPsec 接続を作成する際に必要です。隧道1-静态

    本シナリオでは、2 つの VPN 接続のトンネル 1 の外部 IP アドレスおよび関連するカスタマーゲートウェイ IP アドレスを以下に示します:

    VPN 接続

    トンネル

    外部 IP アドレス

    カスタマーゲートウェイ IP

    サイト間 VPN 接続 1

    トンネル 1

    3.XX.XX.52

    8.XX.XX.146

    サイト間 VPN 接続 2

    トンネル 1

    3.XX.XX.56

    8.XX.XX.74

  4. ルート伝播の設定

    仮想プライベートゲートウェイに関連付けられた VPC のルートテーブルで、ルート伝播を有効化することで、サイト間 VPN 接続からのルートを自動的に VPC のルートテーブルに伝播させることができます。路由自动传播

BGP 動的ルーティング

  1. カスタマーゲートウェイの作成

    AWS 上で 2 つのカスタマーゲートウェイを作成する必要があります。これらのカスタマーゲートウェイの IP アドレスには、Alibaba Cloud VPN Gateway インスタンスの 2 つの IP アドレスを使用し、Alibaba Cloud IPsec 接続の BGP ASN を AWS に登録します。客户网关

  2. 仮想プライベートゲートウェイの作成

    AWS 上で仮想プライベートゲートウェイを作成し、Alibaba Cloud と接続する VPC にアタッチする必要があります。仮想プライベートゲートウェイを作成する際には、AWS 側の BGP ASN を指定します。虚拟私有网关

  3. サイト間 VPN 接続の作成

    重要

    Alibaba Cloud および AWS ともに、IPsec 接続のデュアルトンネルモードをサポートしています。ただし、AWS では、デフォルトで接続の両トンネルを単一のカスタマーゲートウェイに関連付けます。一方、Alibaba Cloud のデュアルトンネルモードでは、2 つの異なる IP アドレスが使用されるため、直接的な 1 対 1 のトンネルマッピングは不可能です。Alibaba Cloud IPsec 接続の両トンネルをアクティブに維持するには、AWS 上で 2 つの別々のサイト間 VPN 接続を作成し、それぞれを異なるカスタマーゲートウェイに関連付ける必要があります。

    以下の図は、1 つのサイト間 VPN 接続の構成を示しています。表示されていないパラメーターにはデフォルト値を使用します。2 つ目のサイト間 VPN 接続では、別のカスタマーゲートウェイ に関連付け、トンネル 1 の内部 IPv4 CIDR を 169.254.214.96/30 に設定し、残りのパラメーターは同じ設定を使用します。隧道配置

    説明

    図において、ローカル IPv4 ネットワーク CIDR には Alibaba Cloud VPC の CIDR ブロックを設定し、リモート IPv4 ネットワーク CIDR には AWS VPC の CIDR ブロックを設定する必要があります。

    サイト間 VPN 接続を作成した後、トンネルアドレス情報を確認できます。隧道详细信息

  4. Alibaba Cloud で使用する各トンネルの事前共有鍵および BGP IP アドレスの確認

    サイト間 VPN 接続が作成された後、ピアデバイス(本シナリオでは Alibaba Cloud VPN Gateway)用の VPN 設定ファイルをダウンロードする必要があります。このファイルには、Alibaba Cloud 上で設定する必要のある事前共有鍵および BGP IP アドレスが含まれています。設定ファイルのダウンロード手順については、AWS の設定ファイルのダウンロードに関するドキュメントをご参照ください。ダウンロード時に、ベンダーには 汎用、IKE バージョンには IKEv2 を選択します。

    説明

    サイト間 VPN 接続の作成時に事前共有鍵を指定した場合は、設定ファイルで確認する必要はありません。システムが生成した鍵を使用した場合は、設定ファイルで確認できます。Alibaba Cloud および AWS のトンネルの事前共有鍵は一致している必要があります。

    事前共有鍵の確認

    预共享密钥

    Alibaba Cloud 上の BGP IP アドレスの確認

    BGP IP地址

    以下の表は、両方の VPN 接続のトンネル 1 の外部 IP アドレス、BGP IP アドレス、および関連するカスタマーゲートウェイ IP アドレスを示しています。

    VPN 接続

    トンネル

    外部 IP アドレス

    AWS BGP IP

    Alibaba Cloud BGP IP

    カスタマーゲートウェイ IP

    サイト間 VPN 接続 1

    トンネル 1

    3.XX.XX.52

    169.254.116.209

    169.254.116.210

    8.XX.XX.146

    サイト間 VPN 接続 2

    トンネル 1

    3.XX.XX.56

    169.254.214.97

    169.254.214.98

    8.XX.XX.74

  5. ルート伝播の設定

    仮想プライベートゲートウェイに関連付けられた AWS VPC のルートテーブルで、ルート伝播を有効化する必要があります。これにより、サイト間 VPN 接続からのルートが AWS VPC のルートテーブルに自動的に伝播されます。路由自动传播

ステップ 3:Alibaba Cloud VPN Gateway の設定

AWS 上で VPN リソースの設定が完了したら、Alibaba Cloud 上で VPN Gateway をデプロイし、AWS および Alibaba Cloud の VPC 間で IPsec 接続を確立します。

  1. カスタマーゲートウェイの作成

    1. VPN Gateway コンソールにログインします。

    2. 左側ナビゲーションウィンドウで、相互接続 > VPN > カスタマーゲートウェイ を選択します。

    3. 上部ナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。

      カスタマーゲートウェイと接続する VPN Gateway は、同一のリージョンにデプロイされている必要があります。

    4. カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。

    5. カスタマーゲートウェイの作成 パネルで、以下のパラメーターを設定し、OK をクリックします。

      2 つのカスタマーゲートウェイを作成し、AWS のサイト間 VPN 接続トンネルの外部 IP アドレスをカスタマーゲートウェイの IP アドレスとして使用して、2 つの暗号化トンネルを確立する必要があります。以下の表では、本シナリオにおける主要なパラメーターのみを記載しています。その他のパラメーターはデフォルト値を使用してください。詳細については、「カスタマーゲートウェイ」をご参照ください。

      重要

      各 AWS サイト間 VPN 接続のトンネル 1 の外部 IP アドレスのみをカスタマーゲートウェイアドレスとして使用してください。デフォルトでは、各接続のトンネル 2 の外部 IP アドレスは使用されません。IPsec 接続が作成された後、各サイト間 VPN 接続のトンネル 2 はデフォルトで接続されません。

      パラメーター

      説明

      カスタマーゲートウェイ 1

      カスタマーゲートウェイ 2

      名前

      カスタマーゲートウェイの名前を入力します。

      カスタマーゲートウェイ 1 を入力します。

      カスタマーゲートウェイ 2 を入力します。

      IP アドレス

      AWS トンネルの外部 IP アドレスを入力します。

      3.XX.XX.52 を入力します。

      3.XX.XX.56 を入力します。

      ASN

      AWS 仮想プライベートゲートウェイの BGP ASN を入力します。

      説明

      このパラメーターは、BGP 動的ルーティングを使用する場合にのみ必須です。

      64512 を入力します。

      64512 を入力します。

  2. IPsec 接続の作成

    1. 左側ナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続 を選択します。

    2. IPsec 接続 ページで、VPN Gateway のバインド をクリックします。

    3. IPsec 接続の作成 ページで、以下の情報を設定し、OK をクリックします。

      パラメーター

      説明

      名前

      IPsec 接続の名前を入力します。

      IPsec-VPN 接続を入力します。

      リージョン

      IPsec 接続を関連付ける VPN Gateway がデプロイされているリージョンを選択します。

      IPsec 接続は、VPN Gateway と同じリージョンに作成されます。

      ドイツ (フランクフルト) を選択します。

      VPN Gateway

      IPsec 接続を関連付ける VPN Gateway インスタンスを選択します。

      作成済みの VPN Gateway を選択します。

      ルーティングモード

      ルーティングモードを選択します。

      • 宛先ルーティングモード:宛先 IP アドレスに基づいてトラフィックをルーティングします。

      • 保護されたデータフロー:特定の送信元および宛先 IP アドレスに基づいてトラフィックをルーティングします。

      • 静的ルートの場合は、保護されたデータフロー を選択することを推奨します。

        • ローカルネットワーク:10.0.0.0/16 を入力します。

        • リモートネットワーク:192.168.0.0/16 を入力します。

      • BGP 動的ルーティングの場合は、宛先ルーティングモード を選択することを推奨します。

      今すぐ有効化

      IPsec 接続の設定後に、ネゴシエーションを直ちに開始するかどうかを指定します。有効な値:

      • はい:設定直後にネゴシエーションが開始されます。

      • いいえ:トラフィック検出時にネゴシエーションが開始されます。

      はい を選択します。

      BGP の有効化

      IPsec 接続で BGP ルーティングプロトコルを使用する必要がある場合は、このスイッチをオンにする必要があります。BGP はデフォルトで無効です。

      本シナリオでは、静的ルートを初期設定として使用するため、デフォルト設定(無効)をそのまま使用します。必要に応じて、IPsec 接続の作成後に個別に BGP 設定を追加できます。

      トンネル 1

      トンネル 1(アクティブトンネル)の VPN 関連設定を追加します。

      デフォルトでは、トンネル 1 がアクティブトンネル、トンネル 2 がスタンバイトンネルです。この割り当ては変更できません。

      カスタマーゲートウェイ

      アクティブトンネルに関連付けるカスタマーゲートウェイインスタンスを選択します。

      カスタマーゲートウェイ 1 を選択します。

      事前共有鍵

      アクティブトンネルの認証キーを入力します。

      • キーは 1~100 文字で、数字、大文字および小文字の英字、および以下の文字を含めることができます:~`!@#$%^&*()_-+={}[]\|;:',.<>/?

      • 事前共有鍵を指定しない場合、システムが 16 文字のランダム文字列を生成してキーとして使用します。

      重要

      トンネルおよびそのピアゲートウェイデバイスを同一の事前共有鍵で設定する必要があります。そうでない場合、IPsec 接続は確立できません。

      このトンネルの認証キーは、接続される AWS のトンネルのキーと一致する必要があります。

      暗号化設定

      IKE、IPsec、DPD、NAT 越えの設定を追加します。

      • SA ライフサイクル (秒)IKE 構成 内)は、AWS 側の設定と一致させる必要があります。本シナリオでは、28800 に設定します。

      • SA ライフサイクル (秒)IPsec 構成 内)は、AWS 側の設定と一致させる必要があります。本シナリオでは、3600 に設定します。

      残りの設定にはデフォルト値を使用します。デフォルト値の詳細については、「IPsec 接続(VPN Gateway との関連付け)」をご参照ください。

      トンネル 2

      トンネル 2(スタンバイトンネル)の VPN 関連設定を追加します。

      カスタマーゲートウェイ

      スタンバイトンネルに関連付けるカスタマーゲートウェイインスタンスを選択します。

      カスタマーゲートウェイ 2 を選択します。

      事前共有鍵

      スタンバイトンネルの認証キーを入力します。

      このトンネルの認証キーは、接続される AWS のトンネルのキーと一致する必要があります。

      暗号化設定

      IKE、IPsec、DPD、NAT 越えの設定を追加します。

      • SA ライフサイクル (秒)IKE 構成 内)は、AWS 側の設定と一致させる必要があります。本シナリオでは、28800 に設定します。

      • SA ライフサイクル (秒)IPsec 構成 内)は、AWS 側の設定と一致させる必要があります。本シナリオでは、3600 に設定します。

      残りの設定にはデフォルト値を使用します。デフォルト値の詳細については、「IPsec 接続(VPN Gateway との関連付け)」をご参照ください。

    4. 作成済み メッセージで、キャンセル をクリックします。

  3. VPN Gateway のルート設定

    静的ルート

    IPsec 接続を作成した後、VPN ゲートウェイインスタンスのルートを設定する必要があります。 ルーティングモード として 保護されたデータフロー を選択した場合、システムは自動的にポリシーベースのルートを作成します。 このルートは 未公開 状態です。 このルートを VPC に公開します。

    1. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > VPN Gatewayを選択します。

    2. 上部ナビゲーションバーで、VPN Gateway インスタンスが存在するリージョンを選択します。

    3. VPN Gateway の詳細ページで、ポリシーベースルーティング タブをクリックし、対象のルートエントリを見つけ、操作 列の 公開 をクリックします。

    BGP 動的ルーティング

    1. IPsec 接続に BGP 設定を追加します。

      1. 左側ナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続 へ移動します。

      2. IPsec 接続 ページで、ご自身の IPsec 接続の ID を見つけ、クリックします。

      3. IPsec 接続 セクションで、BGP の有効化 の横にあるスイッチをクリックします。BGP 設定 ダイアログボックスで、以下の情報を入力し、OK をクリックします。

        パラメーター

        説明

        ローカル ASN

        IPsec 接続の ASN を入力します。

        本シナリオでは、65530 を入力します。

        トンネル 1

        アクティブトンネルの BGP 設定を追加します。

        IPsec 接続のアクティブトンネルの BGP 設定を追加します。

        トンネル CIDR ブロック

        暗号化トンネルに使用する CIDR ブロックを入力します。

        本シナリオでは、169.254.116.208/30 を入力します。

        ローカル BGP IP アドレス

        IPsec 接続の BGP IP アドレスを入力します。

        このアドレスは、トンネル CIDR ブロック内である必要があります。

        本シナリオでは、169.254.116.210 を入力します。

        トンネル 2

        スタンバイトンネルの BGP 設定を追加します。

        IPsec 接続のスタンバイトンネルの BGP 設定を追加します。

        トンネル CIDR ブロック

        暗号化トンネルに使用する CIDR ブロックを入力します。

        本シナリオでは、169.254.214.96/30 を入力します。

        ローカル BGP IP アドレス

        IPsec 接続の BGP IP アドレスを入力します。

        このアドレスは、トンネル CIDR ブロック内である必要があります。

        本シナリオでは、169.254.214.98 を入力します。

    2. VPN Gateway インスタンスのルート自動伝播を有効化します。

      1. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > VPN Gateway を選択します。

      2. VPN Gateway ページで、VPN Gateway インスタンスを見つけ、操作 列から 更多 > 自動 BGP 伝播を有効にする を選択します。

      3. 自動 BGP 伝播を有効にする ダイアログボックスで、OK をクリックします。

ステップ 4:接続性のテスト

設定が完了すると、Alibaba Cloud VPC と AWS VPC の間で IPsec 接続が確立されます。Alibaba Cloud の ECS インスタンスから AWS の EC2 インスタンスに対して PING を実行し、接続性をテストします。

説明

接続性のテストを実施する前に、AWS および Alibaba Cloud のアクセス制御ポリシー(ネットワーク ACL やセキュリティグループルールなど)を確認してください。これらのポリシーが、2 つの VPC 内のリソース間のトラフィックを許可していることを確認してください。

  1. Alibaba Cloud VPC 内の ECS インスタンスにログインします。詳細については、「接続方法」をご参照ください。

  2. ECS インスタンスから、ping コマンドを実行して AWS の EC2 インスタンスにアクセスし、通信が正常に行われていることを確認します。

    ECS インスタンスが AWS の EC2 インスタンスから返信パケットを受信した場合、これは VPC 間の通信が可能であることを示します。

    ping <AWS EC2 インスタンスのプライベート IP アドレス>

    AWS连通性.png

  3. IPsec 接続の高可用性のテスト

    デュアルトンネルモードの IPsec 接続は高可用性を提供します。アクティブトンネルが切断された場合、トラフィックは自動的にスタンバイトンネルにフェイルオーバーします。この高可用性機能を検証するには、以下の手順を実行します:

    1. Alibaba Cloud VPC 内の ECS インスタンスにログインしたままにしてください。

    2. Alibaba Cloud の ECS インスタンスから AWS の EC2 インスタンスに対して継続的な PING を実行するコマンドを実行します。

      ping <AWS EC2 インスタンスのプライベート IP アドレス> -c 10000
    3. IPsec 接続のアクティブトンネルを切断します。

      本例では、Alibaba Cloud 側でアクティブトンネルの事前共有鍵を変更することで、アクティブトンネルを切断します。鍵が一致しなくなるため、トンネルは切断されます。

    4. Alibaba Cloud の ECS インスタンス上で通信状況を観察します。一時的なトラフィック中断の後、通信が再開されることを確認できます。これは、トラフィックが自動的にスタンバイトンネルにフェイルオーバーしたことを示します。

      Alibaba Cloud コンソールの モニター タブで、トンネルのトラフィックモニタリング情報を確認できます。詳細については、「IPsec 接続のモニタリング」をご参照ください。