ポリシーベースのルートを作成すると、VPNゲートウェイはトラフィックの送信元IPアドレスと送信先IPアドレスに基づいてポリシーベースのルートを照合し、照合されたポリシーベースのルートに基づいてトラフィックを転送します。
前提条件
IPsec-VPN接続が作成され、VPNゲートウェイに関連付けられます。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」または「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
制限事項
ポリシーベースのルートの宛先CIDRブロックを0.0.0.0/0に設定しないでください。
ポリシーベースのルートの宛先CIDRブロックを100.64.0.0/10または100.64.0.0/10のサブネット、または100.64.0.0/10を含むCIDRブロックに設定しないでください。 このようなルートを追加すると, IPsec-VPN接続の状態をコンソールに表示できないか, IPsecネゴシエーションに失敗します。
ポリシーベースのルートは、宛先ベースのルートやボーダーゲートウェイプロトコル (BGP) ルートよりも優先度が高くなります。
ポリシーベースのルートの一致ルール (ルートの優先順位を含む)
ポリシーベースのルートの優先順位は、新しく作成されたVPNゲートウェイに対してのみ設定できます。 VPN Gatewayがポリシーベースのルートの優先順位をサポートしていない場合は、このトピックのポリシーベースのルートの一致ルール (ルート優先順位を除く) を参照してください。
VPNゲートウェイがトラフィックを転送するとき、次の一致ルールが適用されます。
ポリシーベースのルートは、ルート優先度の降順でトラフィックと照合されます。 優先度の値が小さいほど優先度が高いことを示す。 VPNゲートウェイは、トラフィックと一致するルートに基づいてトラフィックを転送します。
VPNゲートウェイにアクティブ /スタンバイポリシーベースのルートが設定されている場合、VPNゲートウェイはIPsec-VPN接続ネゴシエーションとヘルスチェックステータスに基づいてポリシーベースのルートを選択します。
アクティブなポリシーベースのルートがIPsecネゴシエーションとヘルスチェックの両方に合格した場合、アクティブなポリシーベースのルートが使用されます。
アクティブなポリシーベースのルートがIPsecネゴシエーションまたはヘルスチェックに失敗したが、スタンバイポリシーベースのルートがIPsecネゴシエーションおよびヘルスチェックに合格した場合、スタンバイポリシーベースのルートが使用されます。
アクティブなポリシーベースのルートとスタンバイのポリシーベースのルートの両方がIPsecネゴシエーションまたはヘルスチェックに失敗した場合、アクティブなポリシーベースのルートが使用されます。
複数のポリシーベースのルートに同じ優先度が割り当てられている場合、トラフィックは、シーケンス番号に基づいてポリシーベースのルートと照合されます。 VPNゲートウェイは、最初に一致したポリシーベースのルートを使用してトラフィックを転送します。
各ルートには、システムに適用されるときにシーケンス番号が割り当てられます。 ほとんどの場合、以前に設定されたルートは最初にシステムに適用されるため、後で設定されたルートよりもシーケンス番号が小さくなります。 ただし、ルートが最初に適用される厳密な順序付けがないため、後で設定されたルートが最初にシステムに適用され、以前に設定されたルートよりもシーケンス番号が小さい場合があります。
推奨事項
トラフィックを期待どおりに転送できるようにするには、ポリシーベースのルートごとに異なる優先順位を設定することをお勧めします。
アクティブ /スタンバイのポリシーベースのルートを設定する場合は、アクティブとスタンバイの両方のポリシーベースのルートに同じ優先度を設定することをお勧めします。
例
前の図に示すように、Data Center_1はIPsec-VPN接続1を介してVPC_1と通信し、Data Center_2はIPsec-VPN接続2を介してVPC_1と通信します。 VPC_1に接続するData Center_1のCIDRブロックは192.168.1.0/24と192.168.2.0/24、VPC_1に接続するData Center_2のCIDRブロックは192.168.5.0/24、データセンターに接続するVPC_1のCIDRブロックは172.16.0.0/16です。
ポリシーベースのルートを設定する場合、最初にVPC_1からData Center_2へのルートを設定し、次にVPC_1からData Center_1へのルートを設定し、ルートの宛先CIDRブロックを192.168.0.0/21に設定します。 ルートが設定された後、ルートは設定された順序でシステムに適用されません。 次の表に、ルートのシーケンス番号を示します。
シーケンス番号 | 優先度 | ルートを適用する時間 | 宛先CIDRブロック | ソースCIDRブロック | 次のホップ |
1 | 10 | 2022-12-01:12:01:01 | 192.168.0.0/21 | 172.16.0.0/16 | IPsec-VPN 接続 1 |
2 | 10 | 2022-12-01:12:01:02 | 192.168.5.0/24 | 172.16.0.0/16 | IPsec-VPN接続2 |
上の表では、ポリシーベースのルートがシステムに適用される時刻はシステムによって記録され、VPN Gatewayコンソールには表示されません。
VPNゲートウェイがVPC_1からData Center_2にトラフィックを転送する場合、両方のポリシーベースのルートの優先順位が同じであるため、ネットワークトラフィックはルートと順番に照合されます。 VPC_1からData Center_2へのトラフィックは、シーケンス番号が1のルートと一致します。 その結果、VPC_1からData Center_2へのトラフィックは、IPsec-VPN接続1を介してData Center_1にルーティングされます。
上記のシナリオでは、ポリシーベースのルートがシステムに適用される時間を制御できません。 その結果、ポリシーベースのルートは所望の順序でソートされず、トラフィックは所望のルートを使用して転送されない。 この問題を防ぐには、ポリシーベースのルートごとに異なる優先順位を設定することをお勧めします。 このようにして、トラフィックは、ポリシーベースのルートのシーケンスに影響されることなく、1つのルートのみに一致します。
この例では、次の表に示すようにルートを設定することを推奨します。 シーケンス番号1のポリシーベースのルートが最初にシステムに適用されますが、優先度は低くなります。 したがって、VPNゲートウェイがVPC_1からData Center_2にトラフィックを転送するとき、トラフィックはシーケンス番号2のポリシーベースのルートと一致し、トラフィックは期待どおりにData Center_2に転送されます。
シーケンス番号 | 優先度 | ルートを適用する時間 | 宛先CIDRブロック | ソースCIDRブロック | 次のホップ |
1 | 20 | 2022-12-01:12:01:01 | 192.168.0.0/21 | 172.16.0.0/16 | IPsec-VPN 接続 1 |
2 | 10 | 2022-12-01:12:01:02 | 192.168.5.0/24 | 172.16.0.0/16 | IPsec-VPN接続2 |
ポリシーベースのルートの一致ルール (ルート優先順位を除く)
ポリシーベースのルートの優先順位は、新しく作成されたVPNゲートウェイに対してのみ設定できます。 VPN Gatewayがポリシーベースのルートの優先順位をサポートしていない場合は、次の内容を参照してください。
VPNゲートウェイのポリシーベースのルートの優先順位を設定する場合は、VPNゲートウェイをアップグレードする必要があります。 詳細については、「VPN gatewayのアップグレード」をご参照ください。
VPNゲートウェイがトラフィックを転送するとき、ネットワークトラフィックは、最長プレフィックスではなくシーケンス番号に基づいてポリシーベースのルートと照合されます。 ネットワークトラフィックがポリシーベースのルートと一致する場合、VPNゲートウェイは直ちにポリシーベースのルートを使用してトラフィックを転送します。
各ルートには、システムに適用されるときにシーケンス番号が割り当てられます。 ほとんどの場合、以前に設定されたルートは最初にシステムに適用されるため、後で設定されたルートよりもシーケンス番号が小さくなります。 ただし、ルートが最初に適用される厳密な順序付けがないため、後で設定されたルートが最初にシステムに適用され、以前に設定されたルートよりもシーケンス番号が小さい場合があります。
VPNゲートウェイにアクティブ /スタンバイポリシーベースのルートが設定されている場合、VPNゲートウェイはIPsec-VPN接続ネゴシエーションとヘルスチェックステータスに基づいてポリシーベースのルートを選択します。
アクティブなポリシーベースのルートがIPsecネゴシエーションとヘルスチェックの両方に合格した場合、アクティブなポリシーベースのルートが使用されます。
アクティブなポリシーベースのルートがIPsecネゴシエーションまたはヘルスチェックに失敗したが、スタンバイポリシーベースのルートがIPsecネゴシエーションおよびヘルスチェックに合格した場合、スタンバイポリシーベースのルートが使用されます。
アクティブなポリシーベースのルートとスタンバイのポリシーベースのルートの両方がIPsecネゴシエーションまたはヘルスチェックに失敗した場合、アクティブなポリシーベースのルートが使用されます。
推奨事項
トラフィックが目的のルートを使用して転送されるようにするには、ポリシーベースのルートに小さなCIDRブロックを指定し、トラフィックが1つのポリシーベースのルートでのみ一致するようにすることをお勧めします。
例
前の図に示すように、Data Center_1はIPsec-VPN接続1を介してVPC_1と通信し、Data Center_2はIPsec-VPN接続2を介してVPC_1と通信します。 VPC_1に接続するData Center_1のCIDRブロックは192.168.1.0/24と192.168.2.0/24、VPC_1に接続するData Center_2のCIDRブロックは192.168.5.0/24、データセンターに接続するVPC_1のCIDRブロックは172.16.0.0/16です。
ポリシーベースのルートを設定する場合、最初にVPC_1からData Center_2へのルートを設定し、次にVPC_1からData Center_1へのルートを設定し、ルートの宛先CIDRブロックを192.168.0.0/21に設定します。 ルートが設定された後、ルートは設定された順序でシステムに適用されません。 次の表に、ルートのシーケンス番号を示します。
シーケンス番号 | ルートを適用する時間 | 宛先CIDRブロック | ソースCIDRブロック | 次のホップ |
1 | 2022-12-01:12:01:01 | 192.168.0.0/21 | 172.16.0.0/16 | IPsec-VPN 接続 1 |
2 | 2022-12-01:12:01:02 | 192.168.5.0/24 | 172.16.0.0/16 | IPsec-VPN接続2 |
VPNゲートウェイがVPC_1からData Center_2にトラフィックを転送するとき、ネットワークトラフィックはシーケンス番号に基づいてルートと照合されます。 VPC_1からData Center_2へのトラフィックは、シーケンス番号が1のルートと一致します。 その結果、VPC_1からData Center_2へのトラフィックは、IPsec-VPN接続1を介してData Center_1にルーティングされます。
上記のシナリオでは、ポリシーベースのルートがシステムに適用される時間を制御できません。 その結果、ポリシーベースのルートは所望の順序でソートされず、トラフィックは所望のルートを使用して転送されない。 この問題を防ぐには、ポリシーベースのルートに小さいCIDRブロックを指定して、トラフィックが1つのルートにのみ一致するようにすることをお勧めします。 このようにして、トラフィックは、ポリシーベースのルートのシーケンスに影響されることなくルーティングされ得る。
この例では、次の表に示すように、ポリシーベースのルートを設定できます。 VPNゲートウェイがVPC_1からData Center_2にトラフィックを転送する場合、トラフィックはシーケンス番号が2のポリシーベースのルートにのみ一致し、トラフィックは目的のルートを使用してData Center_2に転送されます。
シーケンス番号 | ルートを適用する時間 | 宛先CIDRブロック | ソースCIDRブロック | 次のホップ |
1 | 2022-12-01:12:01:01 | 192.168.1.0/24 | 172.16.0.0/16 | IPsec-VPN 接続 1 |
2 | 2022-12-01:12:01:02 | 192.168.5.0/24 | 172.16.0.0/16 | IPsec-VPN接続2 |
3 | 2022-12-01:12:01:03 | 192.168.2.0/24 | 172.16.0.0/16 | IPsec-VPN 接続 1 |
上の表では、ポリシーベースのルートがシステムに適用される時刻はシステムによって記録され、VPN Gatewayコンソールには表示されません。
ポリシーベースルートの追加
上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。
VPN Gatewayページで、管理するVPN gatewayのIDをクリックします。
VPNゲートウェイの詳細ページで、ポリシーベースルーティングタブをクリックし、ルートエントリの追加.
ルートエントリの追加パネルで、次の表に示すパラメーターを設定し、OK.
パラメーター
説明
宛先 CIDR ブロック
アクセスするデータセンターのプライベートCIDRブロック。
送信元 CIDR ブロック
仮想プライベートクラウド (VPC) 側のプライベートCIDRブロック。
ネクストホップの種類
ネクストホップのタイプ。 [IPsec-VPN 接続] を選択します。
ネクストホップ
次のホップ。 作成したIPsec-VPN接続を選択します。
VPC に公開
ルートをVPCルートテーブルにアドバタイズするかどうかを指定します。
はい (推奨): VPCルートテーブルへのルートをアドバタイズします。
いいえ: ルートをVPCルートテーブルにアドバタイズしません。
いいえ を選択した場合、VPCルートテーブルにルートを手動でアドバタイズする必要があります。 詳細については、このトピックの「ポリシーベースのルートの広告」をご参照ください。
重要ポリシーベースのルートテーブルと宛先ベースのルートテーブルの両方に同じ宛先CIDRブロックを持つルートを作成し、両方のルートを同じVPCルートテーブルにアドバタイズする場合、ポリシーベースのルートテーブルでルートを撤回すると、宛先ベースのルートテーブルのルートも撤回されます。
重み
ポリシーベースのルートの重み。
同じVPNゲートウェイを使用してアクティブ /スタンバイIPsec-VPN接続を確立する場合は、ルート重みを設定して、アクティブな接続を指定できます。 値100はアクティブな接続を指定し、値0はスタンバイ接続を指定します。
IPsec-VPN接続の接続を自動的にチェックするようにヘルスチェックを設定できます。 アクティブな接続がダウンしている場合、スタンバイ接続が自動的に引き継ぎます。 ヘルスチェックの詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」トピックのヘルスチェックセクションを参照してください。
100 (プライマリリンク): ポリシーベースのルートに関連付けられているIPsec-VPN接続がアクティブです。 デフォルト値です。
0 (バックアップリンク): ポリシーベースのルートに関連付けられているIPsec-VPN接続がスタンバイです。
重要アクティブまたはスタンバイ接続を指定する場合、アクティブ /スタンバイポリシーベースのルートは、同じソースCIDRブロックと宛先CIDRブロックを使用する必要があります。
ポリシーの優先度
ポリシーベースのルートの優先度。 有効な値: 1 ~ 100 既定値:1
ポリシーベースのルートを追加するときにルートの競合が原因でエラーが報告された場合は、VPNゲートウェイにルートを追加するときに報告される重複ルートエラーのトラブルシューティングを行うにはどうすればよいですか? 「VPNゲートウェイに関するFAQ」トピックのセクション。
ポリシーベースのルートの広告
IPsec-VPN接続を作成するときは、ルーティングモードパラメーターを設定する必要があります。 [ルーティングモード] パラメーターを [保護されたデータフロー] に設定すると、VPNゲートウェイの [非通知] 状態のポリシーベースのルートが自動的に作成されます。 ポリシーベースのルートをVPCルートテーブルにアドバタイズするには、次の手順を実行します。
上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。
VPN Gatewayページで、管理するVPN gatewayのIDをクリックします。
VPNゲートウェイの詳細ページで、ポリシーベースルーティングタブで、管理するルートを見つけて、をクリックします。公開で、操作列を作成します。
ルートエントリの公開メッセージ, クリックOK.
ポリシーベースのルートを撤回する場合は、[操作] 列の 公開の取り消し をクリックします。
重要ポリシーベースのルートテーブルと宛先ベースのルートテーブルの両方に同じ宛先CIDRブロックを持つルートを作成し、両方のルートを同じVPCルートテーブルにアドバタイズする場合、ポリシーベースのルートテーブルでルートを撤回すると、宛先ベースのルートテーブルのルートも撤回されます。
ポリシーベースのルートの変更
既存のポリシーベースのルートの重みと優先度を変更できます。
上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。
VPN Gatewayページで、管理するVPN gatewayのIDをクリックします。
VPCゲートウェイの詳細ページで、ポリシーベースルーティングタブで、変更するルートを見つけて、編集で、操作列を作成します。
[ルートエントリの変更] パネルで、ルートの重みと優先度を変更し、OK.
ポリシーベースのルートを削除する
上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。
VPN Gatewayページで、管理するVPN gatewayのIDをクリックします。
VPNゲートウェイの詳細ページで、ポリシーベースルーティングタブをクリックし、削除するルートを見つけて、削除で、操作列を作成します。
ルートエントリの削除メッセージ, クリックOK.
API操作を呼び出してポリシーベースのルートを管理
などのツールを使用できます。Alibaba Cloud SDK(推奨) 、Alibaba Cloud CLI,テラフォーム、およびROS (Resource Orchestration Service)ポリシーベースのルートを管理するAPI操作を呼び出します。 関連するAPI操作の詳細については、以下のトピックを参照してください。
CreateVpnPbrRouteEntry: ポリシーベースのルートを作成します。
DeleteVpnPbrRouteEntry: ポリシーベースのルートを削除します。
ModifyVpnPbrRouteEntryWeight: ポリシーベースのルートの重みを変更します。
ModifyVpnPbrRouteEntryPriority: ポリシーベースのルートの優先度を変更します。
ModifyVpnPbrRouteEntryAttribute: ポリシーベースのルートの重みと優先度を変更します。
DescribeVpnPbrRouteEntries: ポリシーベースのルートを照会します。