SSL-VPN を使用した iPhone または iPad の VPC への接続
SSL-VPN 接続を使用すると、iPhone または iPad を VPC に接続できます。これにより、インターネット経由でクラウドリソースに安全にアクセスできます。
他の種類のクライアントの接続方法については、「SSL-VPN 接続を使用して PC または Android デバイスを VPC に接続する」をご参照ください。
シナリオ
このトピックでは、VPN ゲートウェイインスタンスと IPsec サーバを作成する方法について説明します。その後、iPhone または iPad のネイティブ VPN クライアントを使用して、VPC 内の Elastic Compute Service (ECS) インスタンスにプライベート IP アドレスで安全にアクセスできます。
このシナリオでは、次のリソースを使用します。
-
VPC
-
名前:
vpc-demo -
リージョン: 中国 (杭州)
-
CIDR ブロック: 10.0.0.0/16
-
vSwitch: 2 つの vSwitch が作成され、それぞれ
vsw1とvsw2という名前が付けられます。-
vsw1はゾーン J にあり、その CIDR ブロックは 10.0.0.0/24 です。 -
vsw2はゾーン K にあり、その CIDR ブロックは 10.0.1.0/24 です。
-
-
ECS インスタンス: プライベート IP アドレスは 10.0.0.1 で、オペレーティングシステムは
Alibaba Cloud Linux 3.2104 LTS 64-bitです。
-
-
iPhone または iPad のローカルネットワーク: 172.16.0.0/16
-
このシナリオでは、IPsec サーバ機能をサポートするリージョンが必要です。この機能は、次のリージョンでのみ利用可能です: 中国 (杭州)、中国 (上海)、中国 (南京)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ)、中国 (深セン)、中国 (河源)、中国 (広州)、中国 (成都)、中国 (香港)、日本 (東京)、韓国 (ソウル)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、フィリピン (マニラ)、タイ (バンコク)、ドイツ (フランクフルト)、イギリス (ロンドン)、米国 (バージニア)、米国 (シリコンバレー)、UAE (ドバイ)、メキシコ (メキシコシティ)、サウジアラビア (リヤド)、。
-
ご利用の VPC が IPsec サーバ機能をサポートしていないリージョンにある場合、iPhone および iPad のネイティブ VPN 機能に依存するこのトピックで説明する方法は使用できません。この場合、次のいずれかのソリューションを検討してください。
-
方法 1: サポートされているリージョンに VPC と VPN ゲートウェイインスタンスを作成し、この VPC を管理したい VPC に接続します。詳細については、「クライアントから VPC 間のリソースにアクセスする」をご参照ください。
-
方法 2: サポートされているリージョンの VPC にサービスを移行します。
-
ステップ 1: VPN ゲートウェイインスタンスの作成
VPN ゲートウェイインスタンスは、クラウドにおける SSL-VPN 接続のエントリポイントおよび出口ポイントです。
-
このシナリオで既存の VPN ゲートウェイインスタンスを使用する場合は、次の要件を満たしていることを確認してください。
-
VPN ゲートウェイインスタンスに IPsec-VPN 接続が設定されていないこと。IPsec-VPN 接続がすでに設定されている場合は、新しい VPN ゲートウェイインスタンスを作成する必要があります。
-
SSL-VPN 機能が有効になっている必要があります。
-
VPN ゲートウェイインスタンスは、最新バージョンにアップグレードされている必要があります。
-
-
VPN ゲートウェイインスタンスを作成していない場合は、次の手順を実行します。
-
VPN ゲートウェイページに移動し、VPN Gateway の作成 をクリックします。
-
[VPN ゲートウェイ] ページで、次のパラメーターを設定します。
-
インスタンス名:
vpn-demo -
リージョン: 中国 (杭州)。
-
[VPC]: クライアントがアクセスする VPC を選択します。
-
vSwitch 1/vSwitch 2: それぞれ
vsw1とvsw2を選択します。VPN ゲートウェイインスタンスは、デュアルアクティブアーキテクチャを使用します。複数のゾーンをサポートするリージョンでクロスゾーン高可用性を確保するには、VPC に異なるゾーンにある少なくとも 2 つの vSwitch が必要です。この要件が満たされない場合は、まず vSwitch を作成してください。
-
最大帯域幅:10 Mbps
-
[IPsec-VPN]: 無効 (このオプションは、後述の SSL-VPN を有効にした後にのみ利用可能です。)
-
SSL-VPN:はい。
-
SSL 接続:: 5.
-
サービスにリンクされたロール: サービスリンクロールが存在しない場合は、Create Service-linked Role をクリックします。
パラメーターの詳細については、「VPN ゲートウェイインスタンスの作成と管理」をご参照ください。
-
-
購入完了後、VPN ゲートウェイインスタンスが VPN ゲートウェイページに表示されます。
新しく作成された VPN ゲートウェイインスタンスは 準備中 状態です。約 1〜5 分で状態が 正常 に変わり、インスタンスが使用可能になります。
-
ステップ 2: IPsec サーバの作成
IPsec サーバは、認証方式、アクセス可能なクラウドネットワーク、クライアントアドレスプールなど、クライアントの接続ポリシーを定義します。
-
IPsec-VPN サーバページに移動します。トップナビゲーションバーで [中国 (杭州)] を選択します。次に、IPsec-VPN サーバーの作成 をクリックします。
-
IPsec-VPN サーバーの作成 ページで、次のパラメーターを設定します。
-
名前:
server-demoと入力します。 -
VPN Gateway: 作成した VPN ゲートウェイインスタンスを選択します。
-
ローカルネットワーク:
10.0.0.0/16と入力します。このパラメーターは、クライアントがアクセスするクラウドネットワークの CIDR ブロックを指定します。通常、これはご利用の VPC の CIDR ブロックです。
-
クライアント CIDR ブロック: これは、VPN ゲートウェイインスタンスがクライアントに IP アドレスを割り当てるためのアドレスプールです。クライアント CIDR ブロックは、ローカルネットワーク や、クライアントが存在するネットワーク (たとえば、クライアントのローカルネットワーク) の CIDR ブロックと重複することはできません。RFC 1918 から、あまり一般的でないプライベート CIDR ブロックを使用することを推奨します。たとえば、
10.222.222.0/24などです。 -
事前共有鍵: このキーは、IPsec サーバとクライアント間の認証に使用されます。デフォルトではキーがランダムに生成されます。手動でキーを指定することもできますが、強力なキーであることを確認する必要があります。たとえば、キーは少なくとも 16 文字の長さで、大文字と小文字、数字、特殊文字を含む必要があります。このキーは安全に保管し、定期的にローテーションしてください。
-
今すぐ有効化: はい を選択します。
はい: 設定完了後、すぐにネゴシエーションが開始されます。いいえ: トラフィックが開始されたときにのみネゴシエーションが開始されます。
他のパラメーターはデフォルトの状態のままにします。これらのパラメーターの詳細については、「IPsec サーバの作成と管理」をご参照ください。
-
-
IPsec サーバが作成された後、IPsec-VPN サーバ ページに移動し、IP アドレス を記録します。この IP アドレスは、iPhone または iPad でクライアントを設定する際に必要になります。
ステップ 3: iPhone または iPad の設定
このステップでは、作成した IPsec サーバに接続するために、iPhone または iPad に IKEv2 の VPN 設定を追加します。
以下の手順では、iOS を実行する iPhone を例として使用します。
-
に移動し、[VPN 構成を追加...] をタップします。
-
[タイプ]: デフォルト値の [IKEv2] のままにします。
-
[説明]:
demoと入力します。 -
[サーバ]: ステップ 2 で記録した IPsec-VPN サーバ の IP アドレス を入力します。
-
[リモート ID]: ステップ 2 の IPsec-VPN サーバ と同じ IP アドレス を入力します。
-
[ローカル ID]: このパラメーターは空のままにします。
-
[ユーザー認証]: [なし] を選択します。
-
[証明書を使用]: このスイッチをオフにします。
-
シークレット: IPsec-VPN サーバ の作成時に設定した 事前共有鍵 を入力します。キーを取得するには、作成したばかりの IPsec-VPN サーバ を見つけ、操作 列の 編集 をクリックします。
-
[プロキシ]: このスイッチをオフにします。
設定が完了したら、右上隅の [完了] をタップします。
-
-
[VPN] ページで、作成した VPN 設定を選択し、[状況] スイッチをオンにします。[接続済み] のステータスは、接続が確立されたことを示します。
ステップ 4: 接続のテスト
-
ECS インスタンスにログインし、Nginx サービスをインストールします。
# ECS インスタンスで次のコマンドを実行します。Alibaba Cloud Linux 3 を例として使用します。 yum install -y nginx systemctl start nginx.service -
ECS インスタンスに関連付けられているセキュリティグループで、インバウンドルールを追加して、クライアント CIDR ブロック (
10.222.222.0/24) からのトラフィックが TCP ポート80で ECS インスタンスにアクセスできるようにします。 -
iPhone または iPad で Safari ブラウザを開き、ECS インスタンスのプライベート IP アドレス
10.0.0.1を入力します。Nginx のウェルカムページが表示されたら、ECS インスタンスへのアクセスは成功です。Nginx のウェルカムページは、Web サーバーがインストールされ、正常に動作していることを確認するものです。