すべてのプロダクト
Search

このプロダクト

    VPN Gateway:VPN ゲートウェイをアップグレードしてデュアルトンネルモードを有効にする

    ドキュメントセンター

    VPN Gateway:VPN ゲートウェイをアップグレードしてデュアルトンネルモードを有効にする

    最終更新日:Nov 09, 2025

    デュアルトンネルモードの IPsec-VPN 接続には、アクティブトンネルとスタンバイトンネルがあります。アクティブトンネルがダウンした場合、スタンバイトンネルが引き継ぎ、サービスの可用性を確保します。このトピックでは、VPN ゲートウェイをアップグレードしてデュアルトンネルモードを有効にする方法について説明します。

    背景情報

    VPN ゲートウェイをアップグレードしてデュアルトンネルモードを有効にする前に、ネットワークトポロジーやデータ転送パスなど、デュアルトンネルモードについて詳しく理解しておくことを推奨します。詳細については、「IPsec-VPN 接続を VPN ゲートウェイに関連付ける」をご参照ください。

    アップグレード後の帯域幅の変更

    • シングルトンネル VPN Gateway インスタンスの帯域幅仕様が 100 Mbps 以下の場合:

      サポートされている IPsec-VPN トンネルモード

      VPN Gateway インスタンスからデータセンターへのピーク帯域幅

      データセンターから VPN Gateway インスタンスへのピーク帯域幅

      アップグレード前

      VPN Gateway インスタンスの帯域幅仕様。

      100 Mbps。

      アップグレード後

      VPN Gateway インスタンスの帯域幅仕様。

      VPN Gateway インスタンスの帯域幅仕様。

    • シングルトンネル VPN Gateway インスタンスの帯域幅仕様が 100 Mbps を超える場合、アップグレード後もピーク帯域幅は変更されず、インスタンスの帯域幅仕様と同じになります。

    サポートされているリージョンとゾーン

    次の表に、IPsec-VPN 接続をアップグレードしてデュアルトンネルモードを有効にできるリージョンとゾーンを示します。

    説明

    DescribeVpnGatewayAvailableZones 操作を呼び出して、指定されたリージョンでデュアルトンネル IPsec-VPN 接続をサポートするゾーンをクエリできます。表に記載されているゾーンが DescribeVpnGatewayAvailableZones 操作から返された情報と異なる場合、DescribeVpnGatewayAvailableZones 操作から返されたゾーンが優先されます。

    リージョン

    ゾーン

    中国 (杭州)

    K, J, I, H, G

    中国 (上海)

    L, M, N, A, B, E, F, G

    中国 (南京 - ローカルリージョン)

    A

    中国 (深セン)

    A (購入不可), C, E, D, F

    中国 (河源)

    A, B

    中国 (広州)

    A, B

    中国 (青島)

    B, C

    中国 (北京)

    F, E, H, G, A, C, J, I, L, K

    中国 (張家口)

    A, B, C

    中国 (フフホト)

    A, B

    中国 (ウランチャブ)

    A, B, C

    中国 (成都)

    A, B

    中国 (香港)

    B, C, D

    シンガポール

    A, B, C

    タイ (バンコク)

    A

    日本 (東京)

    A, B, C

    韓国 (ソウル)

    A

    フィリピン (マニラ)

    A

    インドネシア (ジャカルタ)

    A, B, C

    マレーシア (クアラルンプール)

    A, B

    英国 (ロンドン)

    A, B

    ドイツ (フランクフルト)

    A, B, C

    米国 (シリコンバレー)

    A, B

    米国 (バージニア)

    A, B

    メキシコ

    A

    サウジアラビア (リヤド - パートナーリージョン)

    A, B

    UAE (ドバイ)

    A

    前提条件

    VPN ゲートウェイをアップグレードする前に、次の要件が満たされていることを確認してください:

    • AliyunServiceRoleForVpn サービスリンクロールが Alibaba Cloud アカウント内に作成されていること。

      アップグレードプロセス中に、システムは AliyunServiceRoleForVpn ロールを引き受けて VPN Gateway リソースをデプロイします。VPN Gateway 購入ページに移動して、現在の Alibaba Cloud アカウント内に AliyunServiceRoleForVpn サービスリンクロールが作成されているかどうかを確認できます。

      • 購入ページに [作成済み] と表示されている場合、AliyunServiceRoleForVpn サービスリンクロールは Alibaba Cloud アカウント内に作成されています。

      • 購入ページに [サービスリンクロールを作成] と表示されている場合は、[サービスリンクロールを作成] をクリックします。すると、システムは自動的に AliyunServiceRoleForVpn サービスリンクロールを作成します。詳細については、「AliyunServiceRoleForVpn」をご参照ください。

      服务关联角色-EN

    • IPsec-VPN と SSL-VPN が同時に有効になっていないこと。

      IPsec-VPN と SSL-VPN の両方が有効になっている場合は、VPN ゲートウェイをスペックダウンして IPsec-VPN または SSL-VPN を無効にできます。詳細については、「VPN ゲートウェイのアップグレードまたはスペックダウン」トピックの「スペックダウン」セクションをご参照ください。

      IPsec-VPN または SSL-VPN を無効にする前に、VPN ゲートウェイに IPsec-VPN 接続または SSL サーバーが存在しないことを確認してください。詳細については、「シングルトンネルモードでの IPsec-VPN 接続の作成と管理」トピックの「IPsec-VPN 接続の削除」セクション、または「SSL サーバーの削除」をご参照ください。

    • ポリシーベースまたは宛先ベースのルートテーブルで、同じソース CIDR ブロックと宛先 CIDR ブロックを持つルートが、異なる IPsec-VPN 接続を指していないこと。

      次の表に、いくつかのサンプルシナリオとソリューションを示します。

      ルートテーブル

      ソース CIDR ブロック

      宛先 CIDR ブロック

      ネクストホップ

      アップグレードのサポート

      ソリューション

      ポリシーベースのルートテーブル

      10.10.10.0/24

      172.16.10.0/24

      IPsec-VPN 接続 1

      いいえ。

      ポリシーベースのルートテーブル内のルートが同じソース CIDR ブロックと宛先 CIDR ブロックを持ちながら、異なる IPsec-VPN 接続を指しているため、VPN ゲートウェイをアップグレードできません。

      ルートの 1 つを削除するか、いずれかのルートのソース CIDR ブロックまたは宛先 CIDR ブロックを変更します。詳細については、「ポリシーベースのルートを設定する」をご参照ください。

      10.10.10.0/24

      172.16.10.0/24

      IPsec-VPN 接続 2

      宛先ベースのルートテーブル

      N/A

      192.168.10.0/24

      IPsec-VPN 接続 3

      いいえ。

      宛先ベースのルートテーブル内のルートが同じ宛先 CIDR ブロックを持ちながら、異なる IPsec-VPN 接続を指しているため、VPN ゲートウェイをアップグレードできません。

      いずれかのルートを削除するか、いずれかのルートの宛先 CIDR ブロックを変更します。詳細については、「宛先ベースルートの管理」をご参照ください。

      N/A

      192.168.10.0/24

      IPsec-VPN 接続 4

    • VPN ゲートウェイに関連付けられている VPC のルートテーブルに、宛先 CIDR ブロックが SSL サーバーの クライアントサブネット のサブネット、または IPsec サーバーの クライアントサブネット のサブネットであり、ネクストホップが VPN ゲートウェイであるようなルートが含まれていないこと。

      たとえば、SSL サーバーの クライアントサブネット が 192.168.10.0/24 の場合、VPN ゲートウェイに関連付けられている VPC のルートテーブルには、宛先 CIDR ブロックが 192.168.10.0/24 のサブネット (192.168.10.0/25 や 192.168.10.0/26 など) であり、ネクストホップが VPN ゲートウェイであるようなルートを含めることはできません。

      VPC ルートテーブルのカスタムルートを管理できます。詳細については、「ルートテーブルの作成と管理」をご参照ください。

    • VPN ゲートウェイ上に複数の IPsec-VPN 接続が存在し、すべての IPsec-VPN 接続がボーダーゲートウェイプロトコル (BGP) を使用する場合、各 IPsec-VPN 接続の BGP トンネル CIDR ブロックが一意であること。

      BGP トンネルの CIDR ブロックは変更できます。詳細については、「シングルトンネルモードでの IPsec-VPN 接続の作成と管理」トピックの「IPsec-VPN 接続の変更」セクションをご参照ください。

    • VPN ゲートウェイに関連付けられている VPC で 2 つの vSwitch が指定されており、vSwitch に十分な空き IP アドレスがあること。

      • vSwitch がデプロイされているゾーンがデュアルトンネルモードをサポートしていることを確認してください。詳細については、このトピックの「サポートされているリージョンとゾーン」セクションをご参照ください。

      • 現在のリージョン内の複数のゾーンがデュアルトンネルモードをサポートしている場合、指定する 2 つの vSwitch は、IPsec-VPN 接続のゾーン間ディザスタリカバリを実装するために、異なるゾーンに属している必要があります。各 vSwitch には、少なくとも 2 つの空き IP アドレスが必要です。

      • 現在のリージョンでデュアルトンネルモードをサポートするゾーンが 1 つしかない場合は、このゾーンで 2 つの vSwitch を指定する必要があります:

        • 同じ vSwitch を指定する場合は、vSwitch に少なくとも 4 つの空き IP アドレスがあることを確認してください。

        • 2 つの異なる vSwitch を指定する場合は、各 vSwitch に少なくとも 2 つの空き IP アドレスがあることを確認してください。

    アップグレードプロセスに関する使用上の注意

    警告

    VPN ゲートウェイは、アップグレードプロセス中は使用できません。既存の接続は中断されます。サービスの中断を防ぐために、ネットワークのメンテナンスウィンドウ中に VPN ゲートウェイをアップグレードすることを推奨します。

    • アップグレードには約 10 分かかります。この期間中、VPN ゲートウェイはトラフィックを転送できません。

    • アップグレードプロセス中は VPN ゲートウェイを管理できません。

    手順

    1. VPN ゲートウェイコンソールにログインします。

    2. トップメニューバーで、VPN ゲートウェイのリージョンを選択します。

    3. VPN Gateway ページで、管理する VPN ゲートウェイの ID をクリックします。

    4. 詳細ページの右上隅にある [ゾーン冗長を有効化] をクリックします。

    5. [ゾーン冗長を有効化] ダイアログボックスで、vSwitch を指定し、環境検証を有効にします。要件が満たされていることを確認し、[有効化] をクリックします。

      • 環境検証に失敗した場合は、このトピックの「前提条件」セクションを参照してトラブルシューティングを行ってください。

      • [有効化] をクリックすると、システムはアップグレードを開始します。

    次のステップ

    • VPN ゲートウェイに関連付けられている VPC が Cloud Enterprise Network (CEN) に接続されているシナリオで、VPC のルートテーブルに VPN ゲートウェイを指すカスタムルートが存在し、それが CEN にアドバタイズされている場合、アップグレードが完了するとこのルートはアドバタイズされなくなります。この場合、このルートを再度 CEN にアドバタイズする必要があります。詳細については、「トランジットルーターにルートをアドバタイズする」をご参照ください。

      2024-02-22_16-46-49

    • IPsec-VPN 機能が有効なままである場合、アップグレード完了後、IPsec-VPN 接続のスタンバイトンネルはデフォルトで利用不可になります。ピアゲートウェイデバイスを設定して、スタンバイトンネルを有効にする必要があります。詳細については、「デュアルトンネルモードで VPC をデータセンターに接続する」および「デュアルトンネルおよび BGP ルーティングモードで VPC をデータセンターに接続する」をご参照ください。

      • アップグレードが完了すると、VPN ゲートウェイは 2 つの IP アドレスを持つようになります。1 つはアップグレード前に VPN ゲートウェイが所有していた IP アドレスです。もう 1 つはシステムによって割り当てられます。2 つの IP アドレスは、暗号化されたトンネルを確立するために使用されます。升级-VPN网关.png

      • アップグレードが完了すると、各 IPsec-VPN 接続にはアクティブトンネルとスタンバイトンネルができます。デフォルトでは、トンネルは同じカスタマーゲートウェイに関連付けられます。デフォルトでは、アップグレード前にすでに存在していたトンネルがアクティブトンネルとして機能し、その設定は変更されません。デフォルトでは、スタンバイトンネルは利用できません。升级-隧道.png

    • SSL-VPN 機能が有効なままである場合、アップグレード完了後も SSL-VPN 設定は変更されません。IPsec-VPN 機能を有効にして、デュアルトンネルモードで IPsec-VPN 接続を作成できます。詳細については、「IPsec-VPN の有効化」トピックの「手順」セクションおよび「デュアルトンネルモードでの IPsec-VPN 接続の作成と管理」をご参照ください。

      アップグレードが完了すると、VPN ゲートウェイの IP アドレスは SSL-VPN 機能によってのみ使用されます。IPsec-VPN 機能を有効にすると、システムは VPN ゲートウェイに 2 つの IP アドレスを再割り当てし、デュアルトンネルモードで IPsec-VPN 接続を確立できるようにします。升级-SSL.png

    重要

    デュアルトンネル IPsec-VPN 接続を使用する場合、アクティブトンネルとスタンバイトンネルが利用可能であることを確認してください。トンネルのいずれか一方のみを設定または使用する場合、アクティブ/スタンバイトンネルに基づく IPsec-VPN 接続の冗長性およびゾーンディザスタリカバリはサポートされません。