SSL-VPN を使用した iPhone または iPad の VPC への接続

更新日時
Copy as MD

SSL-VPN 接続を使用すると、iPhone または iPad を VPC に接続できます。これにより、インターネット経由でクラウドリソースに安全にアクセスできます。

他の種類のクライアントの接続方法については、「SSL-VPN 接続を使用して PC または Android デバイスを VPC に接続する」をご参照ください。

シナリオ

このトピックでは、VPN ゲートウェイインスタンスと IPsec サーバを作成する方法について説明します。その後、iPhone または iPad のネイティブ VPN クライアントを使用して、VPC 内の Elastic Compute Service (ECS) インスタンスにプライベート IP アドレスで安全にアクセスできます。

このシナリオでは、次のリソースを使用します。

  • VPC

    • 名前: vpc-demo

    • リージョン: 中国 (杭州)

    • CIDR ブロック: 10.0.0.0/16

    • vSwitch: 2 つの vSwitch が作成され、それぞれ vsw1vsw2 という名前が付けられます。

      • vsw1 はゾーン J にあり、その CIDR ブロックは 10.0.0.0/24 です。

      • vsw2 はゾーン K にあり、その CIDR ブロックは 10.0.1.0/24 です。

    • ECS インスタンス: プライベート IP アドレスは 10.0.0.1 で、オペレーティングシステムは Alibaba Cloud Linux 3.2104 LTS 64-bit です。

  • iPhone または iPad のローカルネットワーク: 172.16.0.0/16

重要
  • このシナリオでは、IPsec サーバ機能をサポートするリージョンが必要です。この機能は、次のリージョンでのみ利用可能です: 中国 (杭州)、中国 (上海)、中国 (南京)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ)、中国 (深セン)、中国 (河源)、中国 (広州)、中国 (成都)、中国 (香港)、日本 (東京)、韓国 (ソウル)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、フィリピン (マニラ)、タイ (バンコク)、ドイツ (フランクフルト)、イギリス (ロンドン)、米国 (バージニア)、米国 (シリコンバレー)、UAE (ドバイ)、メキシコ (メキシコシティ)サウジアラビア (リヤド)

  • ご利用の VPC が IPsec サーバ機能をサポートしていないリージョンにある場合、iPhone および iPad のネイティブ VPN 機能に依存するこのトピックで説明する方法は使用できません。この場合、次のいずれかのソリューションを検討してください。

    • 方法 1: サポートされているリージョンに VPC と VPN ゲートウェイインスタンスを作成し、この VPC を管理したい VPC に接続します。詳細については、「クライアントから VPC 間のリソースにアクセスする」をご参照ください。

    • 方法 2: サポートされているリージョンの VPC にサービスを移行します。

ステップ 1: VPN ゲートウェイインスタンスの作成

VPN ゲートウェイインスタンスは、クラウドにおける SSL-VPN 接続のエントリポイントおよび出口ポイントです。

  • このシナリオで既存の VPN ゲートウェイインスタンスを使用する場合は、次の要件を満たしていることを確認してください。

    1. VPN ゲートウェイインスタンスに IPsec-VPN 接続が設定されていないこと。IPsec-VPN 接続がすでに設定されている場合は、新しい VPN ゲートウェイインスタンスを作成する必要があります。

    2. SSL-VPN 機能が有効になっている必要があります。

    3. VPN ゲートウェイインスタンスは、最新バージョンにアップグレードされている必要があります。

  • VPN ゲートウェイインスタンスを作成していない場合は、次の手順を実行します。

    1. VPN ゲートウェイページに移動し、VPN Gateway の作成 をクリックします。

    2. [VPN ゲートウェイ] ページで、次のパラメーターを設定します。

      • インスタンス名vpn-demo

      • リージョン: 中国 (杭州)

      • [VPC]: クライアントがアクセスする VPC を選択します。

      • vSwitch 1/vSwitch 2: それぞれ vsw1vsw2 を選択します。

        VPN ゲートウェイインスタンスは、デュアルアクティブアーキテクチャを使用します。複数のゾーンをサポートするリージョンでクロスゾーン高可用性を確保するには、VPC に異なるゾーンにある少なくとも 2 つの vSwitch が必要です。この要件が満たされない場合は、まず vSwitch を作成してください。
      • 最大帯域幅:10 Mbps

      • [IPsec-VPN]無効 (このオプションは、後述の SSL-VPN を有効にした後にのみ利用可能です。)

      • SSL-VPNはい

      • SSL 接続:: 5.

      • サービスにリンクされたロール: サービスリンクロールが存在しない場合は、Create Service-linked Role をクリックします。

      パラメーターの詳細については、「VPN ゲートウェイインスタンスの作成と管理」をご参照ください。
    3. 購入完了後、VPN ゲートウェイインスタンスが VPN ゲートウェイページに表示されます。

      新しく作成された VPN ゲートウェイインスタンスは 準備中 状態です。約 1〜5 分で状態が 正常 に変わり、インスタンスが使用可能になります。

ステップ 2: IPsec サーバの作成

IPsec サーバは、認証方式、アクセス可能なクラウドネットワーク、クライアントアドレスプールなど、クライアントの接続ポリシーを定義します。

  1. IPsec-VPN サーバページに移動します。トップナビゲーションバーで [中国 (杭州)] を選択します。次に、IPsec-VPN サーバーの作成 をクリックします。

  2. IPsec-VPN サーバーの作成 ページで、次のパラメーターを設定します。

    • 名前server-demo と入力します。

    • VPN Gateway: 作成した VPN ゲートウェイインスタンスを選択します。

    • ローカルネットワーク10.0.0.0/16 と入力します。

      このパラメーターは、クライアントがアクセスするクラウドネットワークの CIDR ブロックを指定します。通常、これはご利用の VPC の CIDR ブロックです。

    • クライアント CIDR ブロック: これは、VPN ゲートウェイインスタンスがクライアントに IP アドレスを割り当てるためのアドレスプールです。クライアント CIDR ブロックは、ローカルネットワーク や、クライアントが存在するネットワーク (たとえば、クライアントのローカルネットワーク) の CIDR ブロックと重複することはできません。RFC 1918 から、あまり一般的でないプライベート CIDR ブロックを使用することを推奨します。たとえば、10.222.222.0/24 などです。

    • 事前共有鍵: このキーは、IPsec サーバとクライアント間の認証に使用されます。デフォルトではキーがランダムに生成されます。手動でキーを指定することもできますが、強力なキーであることを確認する必要があります。たとえば、キーは少なくとも 16 文字の長さで、大文字と小文字、数字、特殊文字を含む必要があります。このキーは安全に保管し、定期的にローテーションしてください。

    • 今すぐ有効化はい を選択します。

      はい: 設定完了後、すぐにネゴシエーションが開始されます。いいえ: トラフィックが開始されたときにのみネゴシエーションが開始されます。

    他のパラメーターはデフォルトの状態のままにします。これらのパラメーターの詳細については、「IPsec サーバの作成と管理」をご参照ください。
  3. IPsec サーバが作成された後、IPsec-VPN サーバ ページに移動し、IP アドレス を記録します。この IP アドレスは、iPhone または iPad でクライアントを設定する際に必要になります。

ステップ 3: iPhone または iPad の設定

このステップでは、作成した IPsec サーバに接続するために、iPhone または iPad に IKEv2 の VPN 設定を追加します。

以下の手順では、iOS を実行する iPhone を例として使用します。

  1. に移動し、[VPN 構成を追加...] をタップします。

    • [タイプ]: デフォルト値の [IKEv2] のままにします。

    • [説明]demo と入力します。

    • [サーバ]ステップ 2 で記録した IPsec-VPN サーバIP アドレス を入力します。

    • [リモート ID]ステップ 2IPsec-VPN サーバ と同じ IP アドレス を入力します。

    • [ローカル ID]: このパラメーターは空のままにします。

    • [ユーザー認証][なし] を選択します。

    • [証明書を使用]: このスイッチをオフにします。

    • シークレット: IPsec-VPN サーバ の作成時に設定した 事前共有鍵 を入力します。キーを取得するには、作成したばかりの IPsec-VPN サーバ を見つけ、操作 列の 編集 をクリックします。

    • [プロキシ]: このスイッチをオフにします。

    設定が完了したら、右上隅の [完了] をタップします。

  2. [VPN] ページで、作成した VPN 設定を選択し、[状況] スイッチをオンにします。[接続済み] のステータスは、接続が確立されたことを示します。

ステップ 4: 接続のテスト

  1. ECS インスタンスにログインし、Nginx サービスをインストールします。

    # ECS インスタンスで次のコマンドを実行します。Alibaba Cloud Linux 3 を例として使用します。
    yum install -y nginx
    systemctl start nginx.service
  2. ECS インスタンスに関連付けられているセキュリティグループで、インバウンドルールを追加して、クライアント CIDR ブロック (10.222.222.0/24) からのトラフィックが TCP ポート 80 で ECS インスタンスにアクセスできるようにします。

  3. iPhone または iPad で Safari ブラウザを開き、ECS インスタンスのプライベート IP アドレス 10.0.0.1 を入力します。Nginx のウェルカムページが表示されたら、ECS インスタンスへのアクセスは成功です。

    Nginx のウェルカムページは、Web サーバーがインストールされ、正常に動作していることを確認するものです。