IPsec 接続を作成した後、IPsec 接続に関連付けられている VPN ゲートウェイでデータセンターのルートを構成する必要があります。 関連付けられている VPC からデータセンター宛てのトラフィックが VPN ゲートウェイに転送されると、VPN ゲートウェイはルーティング情報を照会することでトラフィックをデータセンターに転送します。
背景情報
IPsec 接続を使用してデータセンターを VPC に接続する場合、データセンターと VPC 間のデータ転送を有効にするために、VPC、VPN ゲートウェイ、およびデータセンターのルートを追加する必要があります。
ルートを構成する場合は、静的ルートを構成するか、ボーダーゲートウェイプロトコル (BGP) 動的ルーティングを使用して自動ルート学習を有効にすることができます。
VPN ゲートウェイのルーティングを構成する
このトピックでは、VPN ゲートウェイのルーティング構成に焦点を当てており、VPC またはデータセンターのルーティング構成については説明していません。
静的ルーティング
宛先ベースルート
宛先ベースルートを構成する場合は、宛先 CIDR ブロックとネクストホップを指定する必要があります。 VPN ゲートウェイは、トラフィックの宛先 IP アドレスに一致する宛先ベースルートを識別し、一致した宛先ベースルートのネクストホップに基づいてトラフィックを転送します。 詳細については、「宛先ベースルートの構成」をご参照ください。
ポリシーベースルート
ポリシーベースルートを構成する場合は、送信元 CIDR ブロック、宛先 CIDR ブロック、およびネクストホップを指定する必要があります。 VPN ゲートウェイは、トラフィックの送信元 IP アドレスと宛先 IP アドレスに一致するポリシーベースルートを識別し、一致したポリシーベースルートのネクストホップに基づいてトラフィックを転送します。 詳細については、「ポリシーベースルートの管理」をご参照ください。
BGP 動的ルーティング
BGP は、伝送制御プロトコル (TCP) に基づく動的ルーティングプロトコルです。 BGP は、自律システム (AS) 間でルーティング情報とネットワークアクセシビリティ情報を交換するために使用されます。 VPN ゲートウェイとデータセンターを BGP ピアとして指定するには、VPN ゲートウェイとデータセンターに BGP 構成を追加する必要があります。 その後、それらは互いに構成されたルートを学習できるため、ネットワークメンテナンスコストとネットワーク構成エラーが削減されます。 詳細については、「BGP 動的ルーティングの構成」をご参照ください。
ルーティング メソッドを選択する
VPN ゲートウェイが BGP 動的ルーティングをサポートしているかどうかを確認します。 サポートしていない場合は、静的ルーティングを選択する必要があります。
デフォルトでは、デュアルトンネル IPsec 接続をサポートする新しい VPN ゲートウェイは、BGP 動的ルーティングをサポートしています。一部の既存の VPN ゲートウェイは、リージョン制限またはバージョンが古いことが原因で、BGP 動的ルーティングをサポートしていない場合があります。DescribeVpnGateway または DescribeVpnGateways API 操作を呼び出して、既存の VPN ゲートウェイが BGP 動的ルーティングをサポートしているかどうかをクエリできます。Tag 内の VpnEnableBgp パラメーターが true を返す場合、VPN ゲートウェイは BGP 動的ルーティングをサポートしています。
VPN ゲートウェイが BGP 動的ルーティングをサポートしていない場合は、次の手順を実行します。
VPN ゲートウェイがデュアルトンネル IPsec 接続をサポートしている場合は、VPN ゲートウェイをスペックアップします。
VPN ゲートウェイがシングルトンネル IPsec 接続のみをサポートしている場合は、デュアルトンネル IPsec 接続にスペックアップします。
データセンターのゲートウェイデバイスが BGP 動的ルーティングをサポートしているかどうかを確認します。 サポートしている場合は、BGP 動的ルーティングを選択できます。 サポートしていない場合は、静的ルーティングを選択する必要があります。
シナリオで静的ルーティングと BGP 動的ルーティングの両方がサポートされている場合は、次の表の情報に基づいてルーティング方法を選択できます。
ルーティング方法
サポートされているシナリオ
構成の複雑さ
ルートメンテナンスコスト
高可用性モード
静的ルート
データセンターのルート数が少なく、ルートの変更頻度が少ない。
低
中
VPC、データセンター、および VPN ゲートウェイのルーティング構成を完了する必要があります。 データセンターのルートが変更された場合は、VPN ゲートウェイのルーティング構成を手動で変更する必要があります。
1 つの VPN ゲートウェイを使用してデータセンターと Alibaba Cloud の間に複数の IPsec 接続が確立されている場合、これらの接続は静的ルーティングを介して A-S モードにすることができます。 これにより、高可用性が確保されます。
BGP 動的ルーティング
データセンターのルート数が多く、ルートの変更頻度が高い。
低
低
VPN ゲートウェイとデータセンターに BGP 構成を追加する必要があります。 データセンターのルートが変更された場合、VPN ゲートウェイで操作を実行する必要はありません。 BGP 動的ルーティングのアドバタイズメント原則に基づいて、BGP 動的ルーティングを使用して自動ルートアドバタイズメントと学習が有効になります。
1 つの VPN ゲートウェイを使用してデータセンターと Alibaba Cloud の間に複数の IPsec 接続が確立されている場合、これらの接続を使用して BGP 動的ルーティングを介して等コストマルチパス (ECMP) ルーティングを構成できます。 IPsec 接続のいずれかが失敗した場合、BGP 動的ルーティングを使用してルート切り替えが自動的に実装されます。 これにより、高可用性が確保されます。
ルーティング構成に関する推奨事項
VPN ゲートウェイに複数の IPsec 接続が作成されている場合は、すべての接続で同じルーティング方法を使用することをお勧めします。 宛先ベースルーティング、ポリシーベースルーティング、および BGP 動的ルーティングを同時に混在させて使用することはお勧めしません。
ルートの優先順位
次の表に、VPN ゲートウェイルートテーブルまたは VPC ルートテーブルでルートの競合が発生した場合のルートの優先順位を示します。
ルートの優先順位は降順で、P0 > P1 > P2 > P3 です。
ルートタイプ | VPN ゲートウェイでのルートの優先順位 | VPC 内のルートの優先順位 |
特定のルート | P0 | P0 |
システムルート | P1 | P1 |
静的ルート | P2 説明 ポリシーベースルートは、宛先ベースルートよりも優先されます。 | P2 |
動的ルート | P3 | P3 |