IPsec-VPN 接続が転送ルーターに関連付けられていて、IPsec 接続に暗号化トンネルが 1 つしかない場合、トンネルがダウンすると IPsec-VPN 接続が中断されます。デュアルトンネルモードは、IPsec-VPN 接続の可用性を向上させるために導入されました。各 IPsec-VPN 接続は、等コストマルチパスルーティング(ECMP)パスとして機能する 2 つのトンネルで構成されています。1 つのトンネルがダウンすると、トラフィックはもう一方のトンネルを介して転送されます。複数のゾーンを含むリージョンでは、IPsec-VPN 接続の 2 つのトンネルは、ゾーンディザスタリカバリを実装するために異なるゾーンに自動的に分散されます。
デュアルトンネルモードでのネットワーキング
シングルトンネルモードの IPsec-VPN 接続には、暗号化トンネルが 1 つしかありません。トンネルがダウンすると、接続が中断されます。デュアルトンネルモードの IPsec-VPN 接続には、2 つの暗号化トンネルがあり、ECMP ルーティングが適用されます。両方のトンネルをデータ転送に使用できます。1 つのトンネルがダウンすると、もう一方のトンネルが引き継ぎます。
デュアルトンネルモードで IPsec-VPN 接続を作成すると、システムはクロスゾーンディザスタリカバリを実装するために、2 つのトンネルを異なるゾーンに自動的にデプロイします。リージョンにゾーンが 1 つしかない場合、2 つのトンネルは同じゾーンにデプロイされます。この場合、クロスゾーンディザスタリカバリはサポートされません。ただし、1 つのトンネルがダウンした場合でも、もう一方のトンネルが引き継ぐことができます。
デュアルトンネル IPsec-VPN 接続を作成する場合は、2 つのトンネルを構成し、それらが使用可能であることを確認する必要があります。トンネルの 1 つだけを構成または使用する場合、アクティブ/スタンバイトンネルに基づく IPsec-VPN 接続の冗長性とゾーンディザスタリカバリはサポートされません。
データ転送の説明
転送ルーターからデータセンターへのデータ転送
IPsec-VPN 接続の両方のトンネルが使用可能な場合、ECMP ルーティングが適用されます。転送ルーターからデータセンターへのトラフィックは、トンネルにランダムに分散されます。1 つのトンネルがダウンすると、もう一方のトンネルが自動的に引き継ぎます。
データセンターから転送ルーターへのデータ転送
トラフィックパスは、データセンターのルート構成によって異なります。
Alibaba Cloud は 2 つのトンネルを使用してデータをデータセンターに転送し、トラフィックはトンネルにランダムに分散されます。そのため、データセンターから転送ルーターへのデータ転送に両方のトンネルを使用するように ECMP ルーティングを構成することをお勧めします。アクティブ/スタンバイルーティングを構成するか、特定のトラフィックがクラウドへの 1 つのトンネルのみを通過するようにルートを構成すると、データがデータセンターに想定どおりに転送されない場合があります。
デュアルトンネルモードのルート構成に関するガイド
次の推奨事項に基づいて、デュアルトンネル IPsec-VPN 接続のルートを構成することをお勧めします。
静的ルーティングを使用する必要がある場合は、BGP 動的ルーティングを使用することをお勧めします。オンプレミスゲートウェイが ECMP ルーティングをサポートしていることを確認してください。そうでない場合、データセンターからクラウドへのデータは ECMP パスを介して転送できませんが、クラウドからのデータは ECMP パスを介してデータセンターに転送できます。その結果、トラフィックパスが要件を満たさない場合があります。
IPsec-VPN 接続の 2 つのトンネルに同じルーティングプロトコル(静的または BGP)を構成することをお勧めします。
IPsec-VPN 接続で ボーダーゲートウェイプロトコル (BGP) 動的ルーティングを使用する場合、2 つのトンネルの ローカル ASN は同じである必要があります。2 つのトンネルのピア ASN は異なっていても構いませんが、同じピア ASN を使用することをお勧めします。
デュアルトンネルモードとシングルトンネルモードの違い
シングルトンネル IPsec-VPN 接続がデュアルトンネル IPsec-VPN 接続にアップグレードされた後も、課金方法は変更されず、追加料金は発生しません。
項目 | シングルトンネルモード | デュアルトンネルモード |
各 IPsec-VPN 接続のトンネル数 | 1 | 2 |
各 IPsec-VPN 接続でサポートされる最大帯域幅 | 1000 Mbps | 2000 Mbps 各トンネルは最大 1,000 Mbit/s をサポートします。他の方法を使用して、IPsec-VPN 接続の帯域幅を増やすことができます。詳細については、「IPsec-VPN 接続の帯域幅を増やす方法」をご参照ください。 |
関連付けできるカスタマーゲートウェイの最大数 | 1 | 2 両方のトンネルを同じカスタマーゲートウェイまたは異なるカスタマーゲートウェイに関連付けることができます |
高可用性 | 高可用性を実装するには、複数の IPsec-VPN 接続を作成する必要があります。 | 1 つの IPsec-VPN 接続の 2 つのトンネルで高可用性を実装できます。 |
ヘルスチェック | サポートされています | サポートされていません 2 つのトンネルは自動的に ECMP パスを形成し、両方のトンネルをデータ転送に使用できます。1 つのトンネルがダウンすると、トンネル上のルートは自動的に撤回され、ヘルスチェックを使用せずに、もう一方のトンネルが自動的に引き継ぐことができます。 |
ゲートウェイ IP アドレス | IPsec-VPN 接続が作成されると、1 つのゲートウェイ IP アドレスが自動的に割り当てられます。 | IPsec-VPN 接続が作成されると、2 つのゲートウェイ IP アドレスが自動的に割り当てられます。 |
必要なオンプレミスゲートウェイデバイスの IP アドレスの数 | 1 | 1 または 2 デュアルトンネル IPsec-VPN 接続を作成するには、オンプレミスゲートウェイデバイスに 2 つの IP アドレスを構成することをお勧めします。または、それぞれに 1 つの IP アドレスが割り当てられた 2 つのオンプレミスゲートウェイデバイスを使用することもできます。 |
BGP 動的ルーティングをサポートするリージョン | 一部のリージョンのみが BGP 動的ルーティングをサポートしています。詳細については、「BGP 動的ルーティングをサポートするリージョン」をご参照ください。 | デュアルトンネルモードをサポートするリージョンは、デフォルトで BGP 動的ルーティングをサポートしています。 |