すべてのプロダクト
Search
ドキュメントセンター

VPN Gateway:デュアルトンネルモードでの IPsec 接続の作成と管理

最終更新日:Apr 04, 2025

データセンターと転送ルータ間の暗号化された接続を確立するために、IPsec 接続を作成できます。このトピックでは、デュアルトンネルモードで IPsec 接続を作成および管理する方法について説明します。

始める前に

IPsec 接続の作成

  1. VPN ゲートウェイコンソールにログオンします。
  2. 左側のナビゲーションウィンドウで、[クロスネットワーク相互接続] > [VPN] > IPsec 接続 を選択します。

  3. IPsec 接続 ページで、[CEN のバインド] をクリックします。

  4. [ipsec 接続 (CEN) の作成] ページで、以下の情報に基づいて IPsec 接続を構成し、[OK] をクリックします。

    基本構成

    説明

    転送ルータに関連付けられた VPN ゲートウェイまたは IPsec 接続を初めて作成すると、システムは自動的にサービスロール AliyunServiceRoleForVpn を作成します。サービスロールを使用すると、VPN ゲートウェイは、Elastic Network Interface (ENI) やセキュリティグループなどの他のクラウドリソースにアクセスできます。これは、VPN ゲートウェイまたは IPsec 接続の作成に役立ちます。 AliyunServiceRoleForVpn ロールがすでに存在する場合、システムはそれを再度作成しません。 AliyunServiceRoleForVpn の詳細については、「AliyunServiceRoleForVpn」をご参照ください。

    パラメーター

    説明

    名前

    IPsec 接続の名前を指定します。

    リージョン

    関連付ける転送ルータが属するリージョンを選択します。

    IPsec 接続は、転送ルータと同じリージョンに作成されます。

    リソースグループ

    CEN インスタンスのリソースグループを選択します。

    このパラメーターを空のままにすると、システムはすべてのリソースグループの CEN インスタンスを表示します。

    ゲートウェイタイプ

    IPsec 接続で使用するゲートウェイのタイプを選択します。

    • パブリック (デフォルト): IPsec 接続はインターネット経由で確立されます。

    • プライベート: IPsec 接続はプライベートネットワーク経由で確立され、プライベートトラフィックが暗号化されます。

    CEN のバインド

    関連付ける転送ルータが属するアカウントを選択します。

    • 現在のアカウント: このオプションを選択した場合、アカウントに属する CEN インスタンスを指定する必要があります。 IPsec 接続を作成すると、システムは IPsec 接続を CEN インスタンスのリージョンにある転送ルータに関連付けます。

    • クロスアカウント: このオプションを選択した場合、接続の作成後、IPsec 接続は転送ルータに関連付けられません。IPsec 接続に対する権限を別のアカウント内の転送ルータに付与した後、IPsec 接続を転送ルータに関連付けることができます。

      権限を付与しない場合、IPsec 接続はアカウント内の転送ルータにのみ関連付けることができます。

    CEN インスタンス ID

    転送ルータが属する CEN インスタンスの ID を選択します。

    システムは、現在のリージョンで CEN インスタンスによって作成された転送ルータの ID と CIDR ブロックを表示します。 IPsec 接続は転送ルータに関連付けられます。

    説明

    [CEN のバインド][現在のアカウント] に設定されている場合にのみ、このパラメーターを構成する必要があります。

    ルーティングモード

    IPsec 接続のルーティングモードを選択します。

    • 宛先ルーティングモード (デフォルト): 宛先 IP アドレスに基づいてトラフィックをルーティングおよび転送します。

    • 保護されたデータフロー: 送信元と宛先の IP アドレスに基づいてトラフィックをルーティングおよび転送します。

      [保護されたデータフロー] を選択した場合は、[ローカルネットワーク][リモートネットワーク] を構成する必要があります。 IPsec 接続が構成されると、システムは自動的に宛先ベースのルートを IPsec 接続のルートテーブルに追加します。デフォルトでは、ルートは IPsec 接続に関連付けられた転送ルータのルートテーブルにアドバタイズされます。

    ローカルネットワーク

    ルーティングモード[保護されたデータフロー] に設定されている場合は、データセンターに接続される Alibaba Cloud 側の CIDR ブロックを入力する必要があります。フェーズ 2 ネゴシエーションは、両側の保護されたデータフローに基づいています。 Alibaba Cloud 側の [ローカルネットワーク] の値を、データセンター側のリモートネットワークと同じにすることをお勧めします。

    テキストボックスの右側にある 添加 アイコンをクリックして、Alibaba Cloud 側に複数の CIDR ブロックを追加します。

    説明

    複数の CIDR ブロックを構成する場合は、IKE バージョンを [ikev2] に設定する必要があります。

    リモートネットワーク

    ルーティングモード[保護されたデータフロー] に設定されている場合は、Alibaba Cloud に接続されるデータセンター側の CIDR ブロックを入力する必要があります。フェーズ 2 ネゴシエーションは、両側の保護されたデータフローに基づいています。 Alibaba Cloud 側の [リモートネットワーク] の値を、データセンター側のローカルネットワークと同じにすることをお勧めします。

    テキストボックスの右側にある 添加 アイコンをクリックして、データセンター側に複数の CIDR ブロックを追加します。

    説明

    複数の CIDR ブロックを構成する場合は、IKE バージョンを [ikev2] に設定する必要があります。

    即時有効

    構成が有効になった後、すぐに IPsec ネゴシエーションを開始するかどうかを指定します。

    • はい (デフォルト): 構成が完了すると、システムはすぐに IPsec ネゴシエーションを開始します。

    • いいえ: システムは、トラフィックが検出された場合にのみ IPsec ネゴシエーションを開始します。

    トンネル構成

    重要

    デュアルトンネルモードで IPsec 接続を作成する場合は、2 つのトンネルを構成し、それらが使用可能であることを確認する必要があります。トンネルのいずれか 1 つだけを構成または使用する場合、デュアルトンネルモードとゾーンディザスタリカバリの高い冗長性を実現することはできません。

    パラメーター

    説明

    BGP を有効にする

    IPsec 接続で BGP ルーティングプロトコルを使用する必要がある場合は、BGP を有効にする必要があります。 BGP はデフォルトで無効になっています。

    BGP 動的ルーティングを使用する前に、オンプレミスゲートウェイデバイスが BGP をサポートしていることを確認してください。また、BGP 動的ルーティングの動作メカニズムと制限について理解しておくことをお勧めします。

    ローカル ASN

    BGP を有効にした後、Alibaba Cloud 側のトンネルの自律システム番号 (ASN) を入力します。両方のトンネルは同じ ASN を使用します。デフォルト値: 45104。有効値: 1 ~ 4294967295

    ASN は 2 つのセグメントで入力でき、最初の 16 ビットと後続の 16 ビットをピリオド (.) で区切ります。各セグメントの番号を 10 進数形式で入力します。

    たとえば、123.456 と入力すると、ASN は 123 × 65536 + 456 = 8061384 になります。

    説明

    BGP 経由で Alibaba Cloud と接続を確立するには、プライベート ASN を使用することをお勧めします。プライベート ASN の範囲の詳細については、関連ドキュメントを参照してください。

    カスタマーゲートウェイ

    トンネルに関連付けるカスタマーゲートウェイ。

    事前共有鍵

    トンネルとピア間の ID を検証するために使用される事前共有鍵。

    • 鍵の長さは 1 ~ 100 文字で、数字、大文字、小文字、および次の特殊文字を含めることができます: ~`!@#$%^&*()_-+={}[]\|;:',.<>/?。鍵にスペース文字を含めることはできません。

    • 事前共有鍵を指定しない場合、システムはランダムな 16 文字の文字列を事前共有鍵として生成します。 IPsec 接続を作成した後、トンネルの [編集] ボタンをクリックして、システムによって生成された事前共有鍵を表示できます。詳細については、「トンネル構成の変更」をご参照ください。

    重要

    トンネルとピアが同じ事前共有鍵を使用していることを確認してください。そうしないと、トンネル通信を確立できません。

    暗号化設定

    パラメーター

    説明

    暗号化設定: IKE 設定

    IKE バージョン

    IKE バージョン。有効値:

    • ikev1

    • ikev2 (デフォルト)

      IKEv1 と比較して、IKEv2 は SA ネゴシエーションを簡素化し、複数の CIDR ブロックが使用されるシナリオのサポートを強化しています。 IKEv2 を使用することをお勧めします。

    ネゴシエーションモード

    ネゴシエーションモード。有効値:

    • main (デフォルト): メインモードは、ネゴシエーション中に高いセキュリティを提供します。

    • aggressive: アグレッシブモードは高速で、ネゴシエーション中の成功率が高くなります。

    これらのモードは、データ送信に対して同じセキュリティレベルをサポートしています。

    暗号化アルゴリズム

    フェーズ 1 ネゴシエーションで使用される暗号化アルゴリズム。

    有効値: aes (aes128, デフォルト), aes192, aes256, des, 3des

    説明

    aes, aes192, または aes256 を使用することをお勧めします。 des または 3des の使用はお勧めしません。

    • 高度暗号化標準 (AES) は、高レベルの暗号化と復号を提供する対称鍵暗号化アルゴリズムです。 AES は安全なデータ送信を保証し、ネットワーク遅延、スループット、および転送パフォーマンスへの影響はほとんどありません。

    • 3des はトリプルデータ暗号化アルゴリズムであり、長い暗号化期間が必要で、アルゴリズムの複雑さと計算ワークロードが大きくなります。 AES と比較して、3DES は転送パフォーマンスを低下させます。

    認証アルゴリズム

    フェーズ 1 ネゴシエーションで使用される認証アルゴリズム。

    有効値: sha1 (デフォルト), md5, sha256, sha384, sha512

    説明

    オンプレミスゲートウェイデバイスに VPN 構成を追加する場合、Probabilistic Random Forest (PRF) アルゴリズムを指定する必要がある場合があります。 PRF アルゴリズムが IKE ネゴシエーションの認証アルゴリズムとしても使用されていることを確認してください。

    DH グループ

    フェーズ 1 ネゴシエーションで使用される Diffie-Hellman (DH) 鍵交換アルゴリズム。

    • group1: DH グループ 1。

    • group2 (デフォルト): DH グループ 2。

    • group5: DH グループ 5。

    • group14: DH グループ 14。

    SA ライフサイクル (秒)

    フェーズ 1 ネゴシエーションの成功後の SA のライフサイクルを指定します。単位: 秒。デフォルト値: 86400。有効値: 0 ~ 86400

    LocalId

    フェーズ 1 ネゴシエーションのトンネルの識別子を入力します。デフォルト値は、トンネルのゲートウェイ IP アドレスです。

    このパラメーターは、IPsec-VPN ネゴシエーションで Alibaba Cloud を識別するためにのみ使用されます。 ID としては、IP アドレスまたは完全修飾ドメイン名 (FQDN) を使用できます。値にスペースを含めることはできません。プライベート IP アドレスを使用することをお勧めします。

    [localid] が FQDN 形式を使用する場合、たとえば example.aliyun.com と入力すると、オンプレミスゲートウェイデバイスの IPsec 接続のピア ID は [localid] の値と一致する必要があります。ネゴシエーションモードとして [aggressive] (アグレッシブモード) を選択することをお勧めします。

    RemoteId

    フェーズ 1 ネゴシエーションのピアの識別子を入力します。デフォルト値は、カスタマーゲートウェイの IP アドレスです。

    このパラメーターは、IPsec-VPN ネゴシエーションでオンプレミスゲートウェイデバイスを識別するためにのみ使用されます。 ID としては、IP アドレスまたは FQDN を使用できます。値にスペースを含めることはできません。 ID としては、プライベート IP アドレスを使用することをお勧めします。

    [remoteid] が FQDN 形式を使用する場合、たとえば example.aliyun.com と入力すると、オンプレミスゲートウェイデバイスのローカル ID は [remoteid] の値と一致する必要があります。ネゴシエーションモードを [aggressive] に設定することをお勧めします。

    暗号化設定: Ipsec 設定

    暗号化アルゴリズム

    フェーズ 2 ネゴシエーションで使用される暗号化アルゴリズム。

    有効値: aes (aes128, デフォルト), aes192, aes256, des, 3des

    説明

    aes, aes192, または aes256 を使用することをお勧めします。 des または 3des の使用はお勧めしません。

    • 高度暗号化標準 (AES) は、高レベルの暗号化と復号を提供する対称鍵暗号化アルゴリズムです。 AES は安全なデータ送信を保証し、ネットワーク遅延、スループット、および転送パフォーマンスへの影響はほとんどありません。

    • 3des はトリプルデータ暗号化アルゴリズムであり、長い暗号化期間が必要で、アルゴリズムの複雑さと計算ワークロードが大きくなります。 AES と比較して、3DES は転送パフォーマンスを低下させます。

    認証アルゴリズム

    フェーズ 2 ネゴシエーションで使用される認証アルゴリズム。

    有効値: sha1 (デフォルト), md5, sha256, sha384, sha512

    DH グループ

    フェーズ 2 ネゴシエーションで使用される DH 鍵交換アルゴリズム。

    • disabled: DH 鍵交換アルゴリズムは使用されません。

      • オンプレミスゲートウェイデバイスが PFS をサポートしていない場合は、[disabled] を選択します。

      • [disabled] 以外の値を選択すると、Perfect Forward Secrecy (PFS) 機能がデフォルトで有効になります。この機能により、再ネゴシエーションが発生するたびに鍵が更新されます。この場合、オンプレミスゲートウェイデバイスでも PFS を有効にする必要があります。

    • group1: DH グループ 1。

    • group2 (デフォルト): DH グループ 2。

    • group5: DH グループ 5。

    • group14: DH グループ 14。

    SA ライフサイクル (秒)

    フェーズ 2 ネゴシエーションの成功後の SA のライフサイクルを指定します。単位: 秒。デフォルト値: 86400。有効値: 0 ~ 86400

    DPD

    Dead Peer Detection (DPD) 機能を有効にするかどうかを指定します。デフォルトでは、DPD 機能は有効になっています。

    DPD 機能を有効にすると、IPsec 接続は DPD パケットを送信して、ピアの存在と可用性をチェックします。指定された期間内にピアから応答がない場合、接続は失敗します。その後、Internet Security Association and Key Management Protocol (ISAKMP) SA、IPsec SA、および IPsec トンネルが削除されます。 DPD パケットのタイムアウトが発生した場合、IPsec 接続はトンネルとの IPsec-VPN ネゴシエーションを自動的に再開します。 DPD パケットのタイムアウト期間は 30 秒です。

    NAT トラバーサル

    Network Address Translation (NAT) トラバーサル機能を有効にするかどうかを選択します。デフォルトでは、NAT トラバーサル機能は有効になっています。

    NAT トラバーサルを有効にすると、イニシエーターはインターネットキー交換 (IKE) ネゴシエーション中に UDP ポートをチェックせず、IPsec トンネルに沿って NAT ゲートウェイデバイスを自動的に検出できます。

    BGP 設定

    IPsec 接続で BGP が有効になっている場合は、BGP トンネルの CIDR ブロックと Alibaba Cloud 側の BGP トンネルの IP アドレスを構成できます。 IPsec 接続の作成時に BGP が有効になっていない場合は、トンネルの BGP を有効にすることができ、IPsec 接続の作成後に必要な構成を追加できます。

    パラメーター

    説明

    トンネル CIDR ブロック

    トンネルの CIDR ブロックを入力します。

    CIDR ブロックは 169.254.0.0/16 に含まれている必要があります。 CIDR ブロックのマスクの長さは 30 ビットである必要があります。 CIDR ブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30、または 169.254.169.252/30 にすることはできません。

    説明

    IPsec 接続の 2 つのトンネルは、異なる CIDR ブロックを使用する必要があります。

    ローカル BGP IP アドレス

    トンネルのローカルエンドの BGP IP アドレスを入力します。

    この IP アドレスは、トンネルの CIDR ブロック内にある必要があります。

    詳細構成

    IPsec 接続を作成し、それをアカウントの転送ルータに直接関連付けると、システムはデフォルトで次の 3 つの高度な機能を選択して、ルートの構成を支援します。また、これらの高度な機能の選択を解除し、転送ルータの ルーティング機能を使用してネットワーク接続をカスタマイズすることもできます。

    パラメーター

    説明

    ルートをアドバタイズする

    この機能を有効にすると、システムは IPsec 接続に関連付けられた転送ルータのルートテーブルのルートを、IPsec 接続の BGP ルートテーブルに自動的にアドバタイズします。

    説明
    • この機能は、IPsec 接続とデータセンターで BGP 動的ルーティング機能が有効になっている場合にのみ有効になります。

    • [ルートをアドバタイズする] 機能を使用して、この機能を無効にすることもできます。 詳細については、「ルート同期の無効化」をご参照ください。

    転送ルータのデフォルトルートテーブルに自動的に関連付ける

    この機能を有効にすると、IPsec 接続は転送ルータのデフォルトルートテーブルに関連付けられます。転送ルータは、デフォルトルートテーブルをクエリして、IPsec 接続からのトラフィックを転送します。

    システムルートを転送ルータのデフォルトルートテーブルに自動的にアドバタイズする

    この機能が有効になると、システムは宛先ベースのルートテーブルと IPsec 接続の BGP ルートテーブルのルートを、転送ルータのデフォルトルートテーブルにアドバタイズします。

  5. IPsec 接続の作成後、IPsec 接続 ページで IPsec 接続を見つけ、操作 列の [構成のダウンロード] をクリックします。

  6. IPsec-VPN 接続の設定 ダイアログボックスで、構成をコピーしてローカルパスに保存します。この構成を使用して、オンプレミスゲートウェイデバイスを構成できます。

次のステップ

  1. IPsec 接続のルートを構成する

  2. ダウンロードした IPsec 接続の構成に基づいて、オンプレミスゲートウェイデバイスを構成する

IPsec 接続のトンネル情報を表示する

IPsec 接続を作成した後、IPsec 接続の詳細ページでトンネルのステータスと情報を表示できます。

  1. VPN ゲートウェイコンソールにログオンします。

  2. 左側のナビゲーションウィンドウで、[クロスネットワーク相互接続] > [VPN] > IPsec 接続 を選択します。

  3. 上部のナビゲーションバーで、IPsec 接続のリージョンを選択します。
  4. IPsec 接続 ページで、IPsec 接続を見つけて ID をクリックします。

  5. IPsec 接続の詳細ページで、IPsec 接続の 2 つのトンネルのステータスと情報を表示します。

    フィールド

    説明

    トンネル/トンネル ID

    トンネル ID。

    ゲートウェイ IP アドレス

    暗号化トンネルを確立するために使用される、システムによってトンネルに割り当てられたゲートウェイ IP アドレス。

    事前共有鍵

    トンネルで使用される事前共有鍵。

    事前共有鍵はデフォルトで暗号化されています。 [表示] にポインターを合わせると、事前共有鍵を表示できます。

    トンネル CIDR ブロック

    トンネルの BGP 動的ルーティングを有効にすると、トンネルの CIDR ブロックが表示されます。

    ローカル BGP IP アドレス

    トンネルの BGP 動的ルーティングを有効にすると、Alibaba Cloud 側の BGP IP アドレスが表示されます。

    接続ステータス

    トンネルの IPsec-VPN ネゴシエーションのステータス。

    • IPsec-VPN ネゴシエーションが成功すると、コンソールに [フェーズ 2 ネゴシエーション成功] と表示されます。

    • IPsec-VPN ネゴシエーションが失敗した場合、コンソールに失敗情報が表示されます。情報に基づいて問題のトラブルシューティングを行うことができます。詳細については、「IPsec 接続の問題のトラブルシューティング」をご参照ください。

    カスタマーゲートウェイ

    トンネルに関連付けられているカスタマーゲートウェイ。

    カスタマーゲートウェイは、データセンター側の IP アドレスと BGP ASN で構成されます。

    ステータス

    トンネルのステータス。有効値:

    • 正常

    • 更新中

    • 削除中

IPsec 接続の管理

トンネル構成の変更

IPsec 接続を作成した後に、トンネル構成を変更できます。

  1. VPN ゲートウェイコンソールにログオンします。

  2. 左側のナビゲーションウィンドウで、[クロスネットワーク相互接続] > [VPN] > IPsec 接続 を選択します。

  3. 上部のナビゲーションバーで、IPsec 接続のリージョンを選択します。
  4. IPsec 接続 ページで、IPsec 接続を見つけて ID をクリックします。

  5. IPsec 接続の詳細ページで、[トンネル] タブをクリックし、トンネルを見つけて、操作 列の 編集 をクリックします。

  6. 編集ページで、トンネル構成を変更し、OK をクリックします。

    トンネル構成パラメーターの詳細については、「トンネル構成」をご参照ください。

IPsec 接続の変更

  • IPsec 接続が転送ルータに関連付けられている場合、IPsec 接続に関連付けられている転送ルータまたはゲートウェイタイプを変更することはできません。 ルーティングモード パラメーターと [即時有効] パラメーターのみを変更できます。

  • IPsec 接続が転送ルータに関連付けられていない場合、IPsec 接続のゲートウェイタイプを変更することはできません。 ルーティングモード パラメーターと [即時有効] パラメーターのみを変更できます。

  1. VPN ゲートウェイコンソールにログオンします。

  2. 左側のナビゲーションウィンドウで、[クロスネットワーク相互接続] > [VPN] > IPsec 接続 を選択します。

  3. 上部のナビゲーションバーで、IPsec 接続のリージョンを選択します。
  4. [ipsec 接続] ページで、IPsec 接続を見つけて、 列の [操作] [編集] をクリックします。

  5. [ipsec 接続の編集] ページで、IPsec 接続の名前、ルーティングモード[即時有効] パラメーターを変更し、[OK] をクリックします。

    パラメーターの詳細については、「IPsec 接続の基本構成」をご参照ください。

トンネルの BGP を有効にする

IPsec 接続の作成時に BGP が有効になっていない場合は、IPsec 接続の作成後にトンネルの BGP を有効にできます。

IPsec 接続の BGP 動的ルーティングを有効にする前に、IPsec 接続に関連付けられているカスタマーゲートウェイに BGP ASN があることを確認してください。カスタマーゲートウェイに BGP ASN が構成されていない場合、IPsec 接続の BGP 動的ルーティングを有効にすることはできません。

カスタマーゲートウェイを作成し、BGP ASN を構成し、トンネルに関連付けられているカスタマーゲートウェイを変更してから、トンネルの BGP を有効にすることができます。

  1. VPN ゲートウェイコンソールにログオンします。

  2. 左側のナビゲーションウィンドウで、[クロスネットワーク相互接続] > [VPN] > IPsec 接続 を選択します。

  3. 上部のナビゲーションバーで、IPsec 接続のリージョンを選択します。
  4. IPsec 接続 ページで、IPsec 接続を見つけて ID をクリックします。

  5. IPsec 接続の詳細ページの IPsec 接続 セクションで、[BGP を有効にする] の右側にあるボタンをクリックします。

  6. BGP 設定 ダイアログボックスで、BGP 構成を追加し、[OK] をクリックします。

    両方のトンネルに BGP を構成する必要があります。 BGP 構成パラメーターの詳細については、「BGP 設定」をご参照ください。

    IPsec 接続の BGP を無効にする場合は、[BGP を有効にする] の右側にあるボタンをクリックし、BGP 設定を無効にする ダイアログボックスで [OK] をクリックします。

別のアカウントの転送ルータに IPsec 接続の権限を付与する

別の Alibaba Cloud アカウントの転送ルータに IPsec 接続を関連付けることができます。関連付けを実行する前に、IPsec 接続の権限を転送ルータに付与する必要があります。

権限を付与する前に、IPsec 接続が転送ルータに関連付けられていないことを確認してください。 IPsec 接続がすでに転送ルータに関連付けられている場合は、最初に IPsec 接続を転送ルータから関連付け解除する必要があります。詳細については、「ネットワークインスタンス接続の削除」をご参照ください。

  1. VPN ゲートウェイコンソールにログオンします。

  2. 左側のナビゲーションウィンドウで、[クロスネットワーク相互接続] > [VPN] > IPsec 接続 を選択します。

  3. 上部のナビゲーションバーで、IPsec 接続のリージョンを選択します。
  4. [ipsec 接続] ページで、IPsec 接続を見つけて ID をクリックします。

  5. IPsec 接続の詳細ページで、[クロスアカウント認証] タブをクリックし、[クロスアカウント認証] をクリックします。

  6. [CEN に参加] ダイアログボックスで、次のパラメーターを構成し、[OK] をクリックします。

    パラメーター

    説明

    アカウント ID

    転送ルータが属する Alibaba Cloud アカウントの ID。

    CEN インスタンス ID

    転送ルータが属する Cloud Enterprise Network (CEN) インスタンスの ID。

    支払いアカウント

    料金を支払うアカウントを選択します。

    • CEN アカウント (デフォルト): 転送ルータが IPsec 接続に関連付けられた後、転送ルータが属するアカウントが、転送ルータの接続料金とトラフィック処理料金を支払います。

    • VPN アカウント: 転送ルータが IPsec 接続に関連付けられた後、IPsec 接続が属するアカウントが、転送ルータの接続料金とトラフィック処理料金を支払います。

    重要
    • 注意して進めてください。支払いアカウントを変更すると、サービスが中断される場合があります。詳細については、「ネットワークインスタンスの支払いアカウントの変更」をご参照ください。

    • IPsec 接続が転送ルータに関連付けられた後、IPsec 接続の所有者は IPsec 接続のインスタンス料金とデータ転送料金を支払います。

  7. IPsec 接続の ID と IPsec 接続が属する Alibaba Cloud アカウントの ID を記録しておくことをお勧めします。これらの ID は、別のアカウントの転送ルータに IPsec 接続を関連付ける際に使用されます。詳細については、「VPN 接続の作成」をご参照ください。

    アカウント管理 ページでアカウント ID を表示できます。 账号查看

別のアカウントの転送ルータから IPsec 接続の権限を取り消す

IPsec 接続を別の Alibaba Cloud アカウントの転送ルータに関連付ける必要がなくなった場合は、転送ルータから IPsec 接続の権限を取り消すことができます。権限を取り消す前に、IPsec 接続を転送ルータから関連付け解除する必要があります。詳細については、「ネットワークインスタンス接続の削除」をご参照ください。

IPsec 接続の削除

IPsec 接続を削除する前に、IPsec 接続が転送ルータから関連付け解除されていることを確認してください。詳細については、「ネットワークインスタンス接続の削除」をご参照ください。

  1. VPN ゲートウェイコンソールにログオンします。

  2. 左側のナビゲーションウィンドウで、[クロスネットワーク相互接続] > [VPN] > IPsec 接続 を選択します。

  3. 上部のナビゲーションバーで、IPsec 接続のリージョンを選択します。
  4. [ipsec 接続] ページで、IPsec 接続を見つけて、 列の [操作] [削除] をクリックします。

  5. 表示されるダイアログボックスで、情報を確認し、[OK] をクリックします。

API を呼び出して IPsec 接続を作成および管理する

Alibaba Cloud SDK (推奨)Alibaba Cloud CLITerraform、または Resource Orchestration Service を使用して、API を呼び出して IPsec 接続を作成および管理できます。次の API 操作を使用できます。