IPsec 接続 (TR にアタッチ)
IPsec 接続をトランジットルーター (TR) にアタッチする場合、クラウド上に VPN ゲートウェイを作成する必要はありません。TR をオンプレミスデータセンターに接続するために、IPsec 接続を設定するだけで済みます。
仕組み
TR にアタッチされた IPsec 接続はデュアルトンネルモードで動作します
アクティブ/アクティブ: 2 つのトンネルは自動的に ECMP (等コストマルチパスルーティング) リンクを形成し、同時にトラフィックを伝送することで、負荷分散を実現します。
アベイラビリティゾーンレベルのディザスタリカバリ:デフォルトでは、2 つのトンネルは異なるアベイラビリティゾーンにデプロイされ、クロスゾーンのディザスタリカバリを提供します。1 つのアベイラビリティゾーンしかサポートしていないリージョンでは、2 つのトンネルは同じアベイラビリティゾーンにデプロイされます。この場合、ゾーンレベルのディザスタリカバリはサポートされませんが、リンク冗長性は利用可能です。
トラフィック伝送
送信トラフィック:両方のトンネルが利用可能な場合、ECMP リンクを形成します。トラフィックはハッシュアルゴリズムに基づいて分散され、2 つのトンネル間で均等に分散されるとは限りません。一方のトンネルに障害が発生した場合、システムは自動的にトラフィックをもう一方のトンネルに切り替えます。
受信トラフィック:トラフィックパスは、ご利用のオンプレミスデータセンターのルーティング設定に依存します。両方のトンネルを通じてクラウドにトラフィックを伝送するために、ECMP ルーティングを設定することを推奨します。これにより、送信トラフィックとのパスの対称性が確保されます。ご利用のオンプレミスデータセンターがアクティブ/スタンバイルートで設定されているか、特定の CIDR ブロックのトラフィックを 1 つのトンネルのみで伝送している場合、非対称ルーティングにより、戻りのトラフィックが期待されるパスでオンプレミスデータセンターに到達できなくなる可能性があります。
ルーティングの原則
BGP 動的ルーティングの使用を推奨します。静的ルートを使用する場合、オンプレミスゲートウェイが静的 ECMP をサポートしていることを確認してください。そうでない場合、オンプレミスデータセンターからクラウドへのトラフィックに対して ECMP 負荷分散を実現できず、非対称パスが発生します。
両方のトンネルで同じルーティングプロトコル (両方とも BGP または両方とも静的ルート) を使用する必要があります。
BGP を使用する場合、2 つのトンネルは同じローカル自律システム番号 (ASN) を使用する必要があります。両方のトンネルで同じピア ASN を使用することも推奨します。
IPsec 接続の作成
始める前に、以下のことを確認してください:
TR が作成されていること。
CIDR ブロックが TR に設定されていること。
カスタマーゲートウェイが作成されていること。
コンソール
VPN ゲートウェイコンソールの [IPsec 接続] ページに移動し、CEN と関連付け をクリックして、以下のパラメーターを設定します:
IPsec 接続名:
{project}-{env}-{type}のような、一貫性があり読みやすい命名規則を使用します。リージョン:接続先のトランジットルーターがデプロイされているリージョンを選択します。
ゲートウェイタイプ:
パブリック (デフォルト):IPsec 接続はインターネット経由で確立されます。
プライベート:IPsec 接続はプライベートネットワーク経由で確立され、プライベートトラフィックを暗号化します。ユースケースの詳細については、「Express Connect 回線経由のプライベートトラフィックの暗号化」をご参照ください。
トンネル帯域幅:
3 Gbps 帯域幅機能は招待制プレビューです。この機能を使用するには、アカウントマネージャーにお問い合わせください。
[標準]:トンネルあたり 1 Gbps の帯域幅。
[Large]:トンネルあたり 3 Gbps の帯域幅。
CEN と関連付け:
アカウント内:IPsec 接続を現在のアカウントに属する TR にアタッチします。
クロスアカウント:別のアカウントに属する TR に IPsec 接続をアタッチします。IPsec 接続の作成後、アタッチを完了するには、以下の手順を実行する必要があります。
ご利用のアカウントの [IPsec 接続] ページで、IPsec 接続に対する クロスアカウント権限を TR に付与します。
ピアアカウントで、クロスアカウントの VPN 接続を作成します。
CEN インスタンス ID:TR が属する Cloud Enterprise Network (CEN) インスタンスを選択します。
このパラメーターは、CEN と関連付け を アカウント内 に設定した場合にのみ必須です。
ルーティングモード:
宛先ルーティングモード (デフォルト):宛先 IP アドレスに基づいてトラフィックを転送します。このモードは単純なシナリオに適しています。
保護されたデータフロー:送信元と宛先の両方の IP アドレスに基づいてトラフィックを転送します。指定されたフローに一致するトラフィックのみが VPN トンネルを通過します。
このモードを選択した場合、ローカルネットワーク (通信が必要な VPC 内の CIDR ブロック) と リモートネットワーク (通信が必要なオンプレミスデータセンター内の CIDR ブロック) を設定する必要があります。
IPsec 接続が設定されると、システムは自動的に ポリシーベースのルートを生成します。送信元 CIDR ブロック は IPsec 接続の ローカルネットワーク であり、CIDR は IPsec 接続の リモートネットワーク です。ネクストホップは IPsec 接続を指します。このルートを VPC ルートテーブルに広告できます。このオプションはデフォルトで無効になっています。
オンプレミスゲートウェイデバイスで保護されたデータフローを設定する場合、CIDR ブロックが Alibaba Cloud 側と一致していることを確認してください。ただし、ローカルネットワークとリモートネットワークは入れ替えます。
テキストボックスの右側にある
アイコンをクリックして、複数の CIDR ブロックを追加できます。複数の CIDR ブロックを設定する場合、IKE バージョンを ikev2 に設定する必要があります。
今すぐ有効化:IPsec 接続を作成する際は、はい を選択します。既存の IPsec 接続を変更する場合:
はい:システムは現在の IPsec トンネルを即座に切断し、新しいパラメーターで新しい IKE ネゴシエーションを開始してトンネルを再構築します。これにより、短時間のトラフィック中断が発生します。
いいえ:新しい設定はすぐには適用されません。代わりに、新しいパラメーターは現在の SA (セキュリティアソシエーション) のライフタイムが切れた後の次の再ネゴシエーションで使用されます。それまでは、トンネルは古い設定で動作し続けます。
上級設定 (ルートテーブルの自動関連付けとルート転送設定などの設定を含む):すべてのオプションを選択することを推奨します。
[BGP 設定]:詳細については、「BGP の有効化または無効化」をご参照ください。
[トンネル設定]:トンネル 1 (プライマリ) と トンネル 2 (バックアップ) のパラメーターの詳細については、「トンネルと暗号化の設定」をご参照ください。
API
CreateVpnAttachment 操作を呼び出して、TR にアタッチされた IPsec 接続を作成します。
次のステップ
IPsec 接続を作成した後、VPC とオンプレミスデータセンターを接続するために、以下の手順を実行する必要があります:
オンプレミスゲートウェイデバイスを設定します:オンプレミスデータセンターのゲートウェイデバイス (ファイアウォールやルーターなど) で、Alibaba Cloud 上の IPsec 接続の設定と一致するように IPsec と BGP (有効な場合) を設定します。
BGP の有効化または無効化
IPsec 接続で BGP を有効にする前に、関連付けられた カスタマーゲートウェイインスタンスにオンプレミスの自律システム番号 (ASN) が設定されていることを確認してください。
IPsec 接続には以下の BGP パラメーターがあります:
ローカル ASN:BGP を有効にした後の Alibaba Cloud 側の ASN。両方のトンネルで同じ ASN を使用します。デフォルト値:45104。有効な値:1~4294967295。ピアのオンプレミスデバイスにはプライベート ASN を使用することを推奨します。
トンネル CIDR ブロック:BGP ピアリング接続を確立するために使用される相互接続 CIDR ブロック。VPN ゲートウェイインスタンス内で、各トンネルのトンネル CIDR ブロックは一意である必要があります。CIDR ブロックは 169.254.0.0/16 内の /30 サブネットでなければならず、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、または 169.254.169.252/30 は使用できません。
ローカル BGP IP アドレス:Alibaba Cloud 側の BGP IP アドレスで、トンネル CIDR ブロック内にある必要があります。例えば、
169.254.10.0/30CIDR ブロックでは、169.254.10.1を使用できます。
BGP 機能のサポート、ルート広告の原則、および制限については、「BGP 動的ルーティング (TR にアタッチ)」をご参照ください。
コンソール
BGP の有効化
IPsec 接続を作成する場合:
デュアルトンネル設定 セクションで、BGP の有効化 をオンにし、ローカル ASN を設定します。
各トンネルの BGP 設定 セクションで、トンネル CIDR ブロック と ローカル BGP IP アドレス を入力します。
既存の IPsec 接続の場合、詳細ページに移動し、IPsec 接続 セクションで BGP の有効化 をオンにします。
カスタマーゲートウェイインスタンスに ASN が設定されていることを確認してください。設定されていない場合は、新しいカスタマーゲートウェイを作成する必要があります。その後、IPsec 接続の詳細ページで、各トンネルの Actions 列の 編集 をクリックして、トンネルを新しいカスタマーゲートウェイに関連付けます。
BGP の無効化
IPsec 接続の詳細ページで、IPsec 接続 セクションの BGP 設定 のスイッチをオフにします。
API
IPsec 接続を作成する際、CreateVpnAttachment 操作の EnableTunnelsBgp パラメーターを使用して BGP を有効にし、TunnelOptionsSpecification -> TunnelBgpConfig パラメーターを使用して各トンネルの BGP オプションを設定します。
既存の IPsec 接続の場合、ModifyVpnConnectionAttribute 操作の EnableTunnelsBgp パラメーターを使用して BGP を有効または無効にし、TunnelOptionsSpecification -> TunnelBgpConfig パラメーターを使用して各トンネルの BGP オプションを設定します。
トンネルと暗号化の設定
デュアルトンネルモードで IPsec 接続を作成する場合、両方のトンネルを設定し、それらがアクティブであることを確認する必要があります。1 つのトンネルのみを設定または使用すると、リンク冗長性とアベイラビリティゾーンレベルのディザスタリカバリが失われます。
IPsec 接続を作成または編集する際には、以下の 3 つのトンネルパラメーターセットを設定する必要があります:
基本設定:
カスタマーゲートウェイ:オンプレミスゲートウェイデバイスを表すカスタマーゲートウェイインスタンスを選択します。両方のトンネルを同じカスタマーゲートウェイに関連付けることができます。
事前共有鍵:認証に使用される秘密鍵。2 つのトンネルの事前共有鍵は、オンプレミスゲートウェイデバイスで設定された鍵と完全に一致する必要があります。このパラメーターを空のままにすると、システムはランダムな鍵を生成します。
暗号化設定:
IKE 構成 (フェーズ 1 暗号化)
パラメーター
説明
バージョン
ikev2 の使用を推奨します。SA ネゴシエーションプロセスを簡素化し、複数の CIDR ブロックを持つシナリオでより良いサポートを提供します。
ネゴシエーションモード
[main] (デフォルト):メインモード。このモードは伝送中に ID 情報を暗号化し、アグレッシブモードよりも高いセキュリティをネゴシエーション中に提供します。
[aggressive]:アグレッシブモード。このモードはより速いネゴシエーションと高い成功率を提供します。
ネゴシエーションが成功した後、両方のモードはデータ伝送に対して同じレベルのセキュリティを提供します。
暗号化アルゴリズム
フェーズ 1 ネゴシエーションで使用される暗号化アルゴリズム。
サポートされているアルゴリズム:AES128-GCM16 (プレビュー)、AES256-GCM16 (プレビュー)、AES128、AES192、AES256、DES、および 3DES (非推奨)。
AES128-GCM16 および AES256-GCM16 暗号化アルゴリズムは招待制プレビューです。これらを使用するには、アカウントマネージャーにお問い合わせください。
認証アルゴリズム
フェーズ 1 ネゴシエーションで使用される認証アルゴリズム。
サポートされているアルゴリズム:sha1 (デフォルト)、md5、sha256、sha384、および sha512。
一部のオンプレミスゲートウェイデバイスで VPN を設定する際、PRF アルゴリズムを指定する必要がある場合があります。PRF アルゴリズムは IKE 認証アルゴリズムと同じでなければなりません。
DH グループ (前方秘匿性 PFS)
フェーズ 1 ネゴシエーションのための Diffie-Hellman (DH) キー交換アルゴリズムを選択します。
disabled:DH キー交換アルゴリズムを無効にします。
完全前方秘匿性 (PFS) をサポートしないクライアントには disabled を選択します。
disabled 以外のグループを選択した場合、PFS 機能はデフォルトで有効になります。これにより、再ネゴシエーションごとにキーを更新する必要があります。したがって、オンプレミスゲートウェイデバイスでも PFS を有効にする必要があります。
group1/2/5/14/15-24:DH グループ番号が大きいほどセキュリティは高くなりますが、より多くのリソースを消費します。
DH グループ 15 から 24 のサポートは招待制プレビューです。これらのグループを使用するには、アカウントマネージャーにお問い合わせください。
SA ライフサイクル (秒)
フェーズ 1 で確立された SA (セキュリティアソシエーション) のライフタイム。デフォルト値:86400。有効な値:0~86400。
LocalId
トンネルのローカルエンドの識別子。デフォルトでは、トンネルの IP アドレスがローカル識別子として使用されます。
このパラメーターは、IPsec 接続ネゴシエーション中に Alibaba Cloud エンドポイントを識別します。値は IP アドレスまたは完全修飾ドメイン名 (FQDN) で、スペースを含めることはできません。トンネルのローカルエンドの識別子としてプライベート IP アドレスを使用することを推奨します。
LocalId に FQDN (例:example.aliyun.com) を使用する場合、オンプレミスゲートウェイデバイスで設定されたピア ID は LocalId の値と一致する必要があります。ネゴシエーションモードを aggressive に設定することを推奨します。
RemoteId
トンネルのリモートエンドの識別子。デフォルトでは、関連付けられたカスタマーゲートウェイの IP アドレスがリモート識別子として使用されます。
このパラメーターは、IPsec 接続ネゴシエーション中にオンプレミスゲートウェイデバイスを識別します。値は IP アドレスまたは完全修飾ドメイン名 (FQDN) で、スペースを含めることはできません。トンネルのリモートエンドの識別子としてプライベート IP アドレスを使用することを推奨します。
RemoteId に FQDN (例:example.aliyun.com) を使用する場合、オンプレミスゲートウェイデバイスで設定されたローカル ID は RemoteId の値と一致する必要があります。ネゴシエーションモードを aggressive に設定することを推奨します。
IPsec 構成 (フェーズ 2 暗号化)
フェーズ 2 ネゴシエーションのパラメーターを設定します:
暗号化アルゴリズム、認証アルゴリズム、DH グループ (前方秘匿性 PFS)、および SA ライフサイクル (秒) については、フェーズ 1 の IKE 構成 セクションにある対応するオプションの説明を参照できます。
DPD:この機能を有効にしておくことを推奨します。DPD (ピア生存確認) は、ピアデバイスがアクティブであるかを確認します。ピアがタイムアウトした場合 (30 秒後)、SA は削除され、再ネゴシエーションが自動的に開始されます。
NAT トラバーサル:この機能を有効にしておくことを推奨します。有効にすると、システムはトンネルネゴシエーション中に NAT デバイスを自動的に検出します。NAT デバイスが検出された場合、UDP 4500 カプセル化が使用されます。データ伝送中、UDP ポート検証はスキップされ、NAT によってポート番号が書き換えられたパケットが正しく受信されることが保証されます。
BGP 設定:このオプションは BGP が有効になった後にのみ利用可能です。詳細については、「BGP の有効化または無効化」をご参照ください。
IPsec 接続の管理
トンネル設定の変更
コンソール
対象の IPsec 接続の インスタンス ID をクリックして詳細ページを開きます。対象のトンネルの 操作 列で、編集 をクリックしてトンネル設定を変更します。
各パラメーターの説明については、「トンネルと暗号化の設定」をご参照ください。
デュアルトンネルモードで IPsec 接続を作成する場合、両方のトンネルを設定し、それらがアクティブであることを確認する必要があります。1 つのトンネルのみを設定または使用すると、リンク冗長性とアベイラビリティゾーンレベルのディザスタリカバリが失われます。
API
ModifyTunnelAttribute 操作を呼び出して、トンネル設定を変更します。
IPsec 接続の変更
IPsec 接続がトランジットルーターインスタンスにアタッチされている場合、関連付けられたトランジットルーターインスタンスやゲートウェイタイプを変更することはできません。ルーティングモード と 今すぐ有効化 設定のみ変更できます。
IPsec 接続がトランジットルーターにアタッチされていない場合、そのゲートウェイタイプを変更することはできません。ルーティングモード と 今すぐ有効化 設定のみ変更できます。
コンソール
VPC コンソールの [IPsec 接続] ページに移動し、対象のリージョンに切り替え、対象の IPsec 接続の 操作 列の 編集 をクリックします。
VPN 接続の変更 ページで、名前や相互接続ネットワークなどのパラメーターを変更し、OK をクリックします。
各パラメーターの説明については、「IPsec 接続の作成」をご参照ください。
API
ModifyVpnConnectionAttribute 操作を呼び出して、IPsec 接続の設定を変更します。
IPsec 接続の削除
IPsec 接続を削除する前に、IPsec 接続がトランジットルーターインスタンスから デタッチされていることを確認してください。
コンソール
VPC コンソールの [IPsec 接続] ページに移動し、対象のリージョンに切り替え、対象の IPsec 接続の 操作 列の 削除 をクリックします。
API
DeleteVpnAttachment 操作を呼び出して、IPsec 接続を削除します。
クロスアカウント TR 権限付与
コンソール
対象の IPsec 接続の インスタンス ID をクリックして、その詳細ページを開きます。
CEN クロスアカウント権限付与 タブに移動し、CEN クロスアカウント権限付与 をクリックします。表示される CEN にアタッチ ダイアログボックスで、以下のパラメーターを設定します:
ピアリングアカウント UID:ピアアカウントのメインアカウント ID を入力します。
ピアリングアカウント CEN ID:ピアアカウントの TR が属する CEN インスタンスの ID を入力します。
料金負担方式:
CEN の所有者:ピアアカウントが VPN 接続の TR 接続料金と TR トラフィック処理料金を支払います。
VPN の所有者:ご利用のアカウントが VPN 接続の TR 接続料金と TR トラフィック処理料金を支払います。
権限付与が成功した後、ピアアカウントでクロスアカウントの VPN 接続を作成して、アタッチを完了する必要があります。
API
TR が属するアカウントにログインします:
GrantInstanceToTransitRouter 操作を呼び出して、IPsec 接続に TR の使用を許可します。
CreateTransitRouterVpnAttachment 操作を呼び出して、VPN 接続を作成します。
付録:シングルトンネルモード (レガシー)
TR にアタッチされた既存のシングルトンネル IPsec 接続については、削除して再作成し、デュアルトンネルモードを有効にすることを強く推奨します。
シングルトンネルモードの手順はデュアルトンネルモードと似ていますが、以下の主な違いがあります:
デュアルトンネルモードとは異なり、シングルトンネルモードのすべてのパラメーターは接続レベルで設定されます。トンネルごとの個別の設定レベルはありません。
シングルトンネルモードは、デフォルトで無効になっているヘルスチェック機能をサポートしています。アクティブ/スタンバイ以外のシナリオでヘルスチェックを有効にすることは推奨しません。ヘルスチェックを設定する必要がある場合は、オンプレミスデータセンターにルートエントリを追加し、宛先を ソース IP、/32 サブネットマスク、ネクストホップを IPsec 接続に設定します。これにより、ヘルスチェックが正しく機能することが保証されます。
パラメーター
説明
宛先 IP
Alibaba Cloud が IPsec 接続経由でアクセスできる、オンプレミスデータセンター内の IP アドレス。この IP アドレスは ICMP リクエストに応答する必要があります。
送信元 IP
オンプレミスデータセンターが IPsec 接続経由でアクセスできる、Alibaba Cloud 側の IP アドレス。
再試行間隔
ヘルスチェックのリトライ間隔。単位:秒。デフォルト値:3。
再試行回数
ヘルスチェックのリトライ回数。デフォルト値:3。
ルートの切り替え
ヘルスチェックが失敗した場合に広告されたルートを取り消すかどうかを指定します。デフォルト値:はい。