クライアントから SSL-VPN 接続を使用して VPC をまたいだリソースにアクセスする
クライアントが VPC への SSL-VPN 接続を確立した後、デフォルトではその VPC 内のリソースにのみアクセスできます。クライアントが他の VPC 内のリソースにアクセスできるようにするには、まず Cloud Enterprise Network (CEN) または VPC ピアリング接続を使用して VPC を相互接続する必要があります。その後、関連するプロダクトにルートを追加してアクセスを有効にします。これにより、クライアントは、同一リージョン内、異なるリージョン間、または異なるアカウント配下にある他の VPC 内のリソースにアクセスできるようになります。
概要
クライアントが VPC をまたいでリソースにアクセスできるかどうか (例えば、同一リージョン内の他の VPC、異なるリージョン間、または異なるアカウント配下のリソース) は、VPC の相互接続メソッドによって決まります。CEN と VPC ピアリング接続 は、どちらもこれらの相互接続シナリオをサポートしています。VPC が相互接続された後、宛先 VPC の CIDR ブロックを SSL サーバーに追加し、関連するプロダクトでクライアントへのルートを追加します。これにより、クライアントは SSL-VPN 接続を介して相互接続された VPC 内のリソースにアクセスできます。
CEN と VPC ピアリング接続の違いに関する詳細については、「VPC 相互接続」をご参照ください。
CEN | VPC ピアリング接続 |
例
このトピックでは、次の図に示すシナリオを例に説明します。クライアントは VPC1 への SSL-VPN 接続を確立し、VPC1 内のリソースにアクセスできます。業務要件により、リモートの従業員は VPC2 内のリソースにもアクセスする必要があります。まず、CEN または VPC ピアリング接続を使用して VPC1 と VPC2 を相互接続します。次に、SSL サーバーと VPC1 または VPC2 にルートを追加します。これにより、クライアントは SSL-VPN 接続を介して VPC2 内のリソースにアクセスできるようになります。
前提条件
クライアントから VPC1 への SSL-VPN 接続が確立されており、クライアントが VPC1 内のリソースにアクセスできる状態であること。詳細については、「PC または Android クライアントを SSL-VPN 接続で VPC に接続する」をご参照ください。
SSL サーバーの詳細ページで、設定済みのクライアント CIDR ブロックとクライアントの仮想アドレスを確認しておきます。この情報は、後の設定と接続性テストで必要になります。
重要クライアント CIDR ブロックが VPC1 および VPC2 の CIDR ブロックと重複しないようにしてください。また、VPC1 と VPC2 の CIDR ブロックも互いに重複してはいけません。重複が存在する場合、クライアント CIDR ブロックを変更する必要があります。この操作は SSL-VPN 接続を中断させるため、クライアントは再接続する必要があります。
操作手順
このトピックでは、CEN と VPC ピアリング接続を使用して VPC 間の通信を設定する方法について説明します。どちらかのメソッドを選択できます。
ステップ 1:VPC の相互接続
CEN
このセクションでは、CEN を使用して、同一アカウント配下の異なるリージョンにある VPC を相互接続する方法について説明します。 異なるアカウント配下の VPC の相互接続など、他のシナリオで CEN を使用する場合は、CEN クイックスタートをご参照ください。
CEN インスタンスを作成する際、CEN のみを作成 を選択し、CEN インスタンスの名前を指定し、他のパラメーターはデフォルト値のままにします。
中国 (杭州) リージョンと中国 (上海) リージョンにそれぞれトランジットルーターインスタンスを作成します。他のすべてのパラメーターはデフォルト値を使用します。
VPC 接続の作成
VPC1 を中国 (杭州) リージョンのトランジットルーターに、VPC2 を中国 (上海) リージョンのトランジットルーターに接続します。
CEN コンソールにログインします。
インスタンス ページで、管理したい CEN インスタンスの ID をクリックします。
タブで、トランジットルーターインスタンスを見つけ、アクション 列の 接続の作成 をクリックします。
ピアネットワークインスタンスとの接続 ページで、次の設定を使用して VPC1 と VPC2 をそれぞれのトランジットルーターに接続します。
パラメーター
VPC1
VPC2
ネットワークタイプ
Virtual Private Cloud (VPC) を選択します。
Virtual Private Cloud (VPC) を選択します。
リージョン
[中国 (杭州)] を選択します。
[中国 (上海)] を選択します。
リソース所有者 ID
デフォルト値の 現在のアカウント のままにします。
接続名
VPC1-Attachment と入力します。
VPC2-Attachment と入力します。
ネットワーク
VPC1 を選択します。
VPC2 を選択します。
vSwitch
トランジットルーターがサポートするゾーン内の vSwitch インスタンスを選択します。
複数のゾーンをサポートするリージョンでは、VPC とトランジットルーター間のトラフィックに対してゾーンレベルのディザスタリカバリを提供するために、2 つの異なるゾーンでそれぞれ少なくとも 1 つの vSwitch インスタンスを選択する必要があります。十分な vSwitch がない場合は、必要に応じて作成できます。
詳細設定
すべての詳細オプションが有効になるデフォルト設定のままにします。
説明VPC ルートテーブルに宛先が 10.0.0.0/8、172.16.0.0/12、または 192.168.0.0/16 のルートエントリが既に存在する場合、システムは同じ宛先の別のルートエントリを自動的に追加できません。VPC とトランジットルーター間の通信を有効にするには、VPC ルートテーブルに VPC 接続を指すルートエントリを手動で追加する必要があります。
ルートチェックをする の横にある ネットワーク をクリックして、ネットワークインスタンスにそのようなルートが存在するかどうかを確認できます。
リージョン間接続の作成
VPC1 と VPC2 は異なるリージョンにあるため、中国 (杭州) と中国 (上海) リージョンのトランジットルーター間にリージョン間接続を作成する必要があります。
タブで、トランジットルーターインスタンスを見つけ、アクション 列の 接続の作成 をクリックします。
ピアネットワークインスタンスとの接続 ページで、次の設定を使用してリージョン間接続を作成します。
パラメーター
説明
ネットワークタイプ
リージョン間接続 を選択します。
リージョン
[中国 (杭州)] を選択します。
ピアリージョン
[中国 (上海)] を選択します。
帯域幅割り当てモード
データ転送量課金 を選択します。
説明[データ転送量による支払い] モードでは、リージョン間接続のデータ転送料金は CDT によって請求されます。
帯域幅
リージョン間接続の帯域幅の値を Mbit/s で入力します。
詳細設定
すべての詳細オプションが有効になるデフォルト設定のままにします。
VPC ピアリング接続
このセクションでは、VPC ピアリング接続を使用して同一アカウント配下の異なるリージョンにある VPC を相互接続する方法について説明します。異なるアカウント配下の VPC を相互接続するなど、他のシナリオで VPC ピアリング接続を使用する場合は、「VPC ピアリング接続を使用して VPC 間のプライベート通信を有効にする」をご参照ください。
VPC ピアリング接続の作成
VPC ピアリング接続コンソールにログインし、上部のナビゲーションバーからリクエスタ VPC のリージョンを選択します。
この例では、VPC1 がリクエスタ VPC です。[中国 (杭州)] リージョンを選択します。
VPC ピアリング接続を初めて使用する場合、VpcPeer ページで CDT サービスの有効化 をクリックし、ダイアログボックスで アクティブ化 をクリックします。
「VpcPeer」ページで、VPC ピアリング接続の作成 をクリックし、パラメーターを設定します。

VPC ピアリング接続のルート設定
VpcPeer ページで、作成した VPC ピアリング接続を見つけます。送信側 VPC インスタンス 列で ルートエントリの設定 をクリックして、VPC2 を指すルートエントリを VPC1 に追加します。これにより、クライアントは VPC1 を経由して VPC2 にアクセスできます。


(オプション) 受信側 VPC インスタンス 列で、ルートエントリの設定 をクリックして、VPC2 に VPC1 を指すルートエントリを追加します。
このステップを完了すると、VPC1 と VPC2 はプライベートネットワークを介して互いに通信できるようになります。VPC1 と VPC2 間のプライベート通信が不要な場合は、このステップをスキップできます。
ステップ 2:宛先 CIDR ブロックの追加
VPC2 の CIDR ブロックを SSL サーバーに追加します。VPN Gateway は、この CIDR ブロックを追加した後にのみ、クライアントがその CIDR ブロック内のリソースにアクセスすることを許可します。
クライアントが複数の相互接続された VPC 内のリソースにアクセスする必要がある場合は、これらすべての VPC の CIDR ブロックを SSL サーバーに追加する必要があります。
VPN Gateway コンソールにログインします。
左側のナビゲーションウィンドウで、Network Interconnection > [VPN] > SSL サーバー を選択します。
上部のナビゲーションバーで、SSL サーバーのリージョンを選択します。
SSL サーバー ページで、対象の SSL サーバーを見つけ、操作 列の 編集 をクリックします。
SSL サーバーの編集 パネルで、ローカルネットワークセグメントを追加する。 をクリックし、VPC2 の CIDR ブロックを入力してから OK をクリックします。

ステップ 3:クライアントルートの設定
CEN
VPC1 からクライアントへのルートを CEN にアドバタイズします。これにより、VPC2 は CEN を介してクライアントと通信できるようになります。
VPC コンソールにログインします。
上部のナビゲーションバーで、VPC1 のリージョンを選択します。
左側のナビゲーションウィンドウで、[ルートテーブル] をクリックします。
ルートテーブル ページで、VPC1 のルートテーブルを見つけ、その ID をクリックします。
[] タブで、クライアントを指すルートを見つけ、[公開] 列の [公開ステータス] をクリックします。

VPC ピアリング接続
VPC ピアリング接続コンソールにログインします。VPC ピアリング接続コンソールの VpcPeer ページで、作成した VPC ピアリング接続を見つけます。受信側 VPC インスタンス 列で、ルートエントリの設定 をクリックして、クライアントを指す VPC2 のルートエントリを追加します。
クライアントが複数の相互接続された VPC 内のリソースにアクセスする必要がある場合は、各宛先 VPC のルートテーブルにクライアントへのルートを追加する必要があります。


ステップ 4:接続性のテスト
これらのステップを完了すると、クライアントと VPC2 内のリソースは互いにアクセスできるようになります。
クライアントでコマンドラインインターフェイスを開きます。
ifconfigコマンドを実行して、確立された SSL-VPN 接続のネットワークインターフェースを表示します。ping <ECS IP アドレス> -I <SSL-VPN トンネルインターフェース>コマンドを実行して、SSL-VPN トンネルインターフェースから ECS2 インスタンスに ping を送信します。応答パケットを受信した場合、クライアントが VPC2 内のリソースにアクセスできることを示します。説明ping コマンドを実行する前に、ECS2 のセキュリティグループルールとクライアントのアクセス制御ルールが ICMP トラフィックを許可していることを確認してください。

VPC2 の ECS2 インスタンスにログインし、
ping <クライアント仮想アドレス>コマンドを実行してクライアントに ping を送信します。応答パケットを受信した場合、ECS2 もクライアントにアクセスできることを示します。
よくある質問
CEN 接続性テストの失敗
すべての Advanced Settings を有効にして VPC 接続とリージョン間接続を作成すると、トランジットルーターは自動的にルートを伝播および学習します。ただし、すべての Advanced Settings を有効にしなかった場合、カスタムルートエントリを追加した場合、または環境にルートの競合がある場合、トランジットルーターがルートを学習できなかったり、ルートエントリを作成できなかったりすることがあります。これにより、接続性の問題が発生する可能性があります。関連するプロダクトコンソールにログインして、VPC 相互接続シナリオの各インスタンスのルートを確認してください。各インスタンスが相互接続された VPC とクライアントへのルートを持っていることを確認します。不足しているルートがある場合は、手動で追加してください。詳細については、「Enterprise Edition トランジットルーターにカスタムルートエントリを追加する」および「カスタムルートエントリの追加」をご参照ください。


