VPN Gateway は、Network Intelligence Service (NIS) と統合されており、パス解析機能をサポートしています。パス解析を使用して、SSL-VPN 接続のネットワーク接続性を診断できます。
背景情報
パス解析機能を使用するには、ソースリソースと宛先リソースを指定する必要があります。システムは、それらの間にネットワーク構成モデルを構築し、そのモデルに基づいてネットワーク接続性を解析します。ネットワークが切断されている場合、システムは原因を返します。提供された情報に基づいて問題をトラブルシューティングできます。解析中にシステムは実際のデータパケットを送信しないため、サービスに影響はありません。
たとえば、ECS インスタンスをソースリソースとして指定し、同じ Alibaba Cloud アカウント内の別の ECS インスタンスを宛先リソースとして指定できます。宛先ポートを 22 に、プロトコルを TCP に設定した場合、パス解析を使用して、ソース ECS インスタンスが Secure Shell (SSH) プロトコルを介して宛先 ECS インスタンスに接続できるかどうかを確認できます。詳細については、「パス解析の使用」をご参照ください。
このトピックでは、パス解析機能を使用して、次のシナリオで SSL-VPN 接続のネットワーク接続性を診断する方法について説明します。
前提条件
パス解析機能を使用する前に、クライアントが VPN Gateway に接続されていることを確認してください。クライアントが接続できない場合は、クライアントログと VPN Gateway コンソールの SSL-VPN 接続ログを使用して問題をトラブルシューティングします。詳細については、「SSL-VPN 接続の問題のトラブルシューティング」および「VPN Gateway インスタンスの診断」をご参照ください。
例: SSL-VPN 接続を使用してクライアントを VPC に接続する
上の図に示すように、クライアントは SSL-VPN 接続を使用して VPC に接続します。クライアントは VPN Gateway に接続されていますが、VPC 内のリソースにアクセスできません。このシナリオでは、パス解析を使用して、クライアントと VPC 間のネットワーク接続性を診断できます。
SSL-VPN 接続のパス解析を作成するには、VPN Gateway がクライアントに割り当てたプライベート IP アドレスが必要です。したがって、クライアントが VPN Gateway に接続され、プライベート IP アドレスを取得していることを確認する必要があります。VPN Gateway コンソールでクライアントに割り当てられているプライベート IP アドレスを表示できます。詳細については、「SSL クライアントの接続情報を表示する」をご参照ください。
VPN Gateway コンソールにログインします。
トップメニューバーで、VPN Gateway インスタンスがデプロイされているリージョンを選択します。
VPN Gateway ページで、VPN Gateway インスタンスを見つけ、診断 列で を選択します。
パス分析 パネルで、次のパラメーターを設定し、[分析の開始] をクリックします。
クライアントから VPC へのトラフィック
パラメーター
説明
ソース
[ソースタイプ] を選択します。
この例では、[VPN Gateway] を選択し、クライアントに接続されている VPN Gateway インスタンス vpn-bp18q**** を選択してから、VPN ゲートウェイがクライアントに割り当てたプライベート IP アドレス 10.0.0.6 を入力します。
宛先
[宛先タイプ] を選択します。
この例では、[ECS インスタンス ID] を選択し、VPC 内の ECS インスタンスを選択します。
プロトコル
テスト用のプロトコルを選択します。
この例では、デフォルト値の [TCP] が使用されます。
説明ネットワーク環境に基づいてプロトコルと宛先ポートを選択します。
宛先ポート
宛先リソースのポート番号を入力します。
この例では、デフォルト値の [80] が使用されます。
名前
パスの名前を定義します。
パス解析を開始すると、パスは自動的に保存されます。これにより、再度分析を開始できます。Network Intelligence Service コンソールに移動して、保存されたパスのリストを表示できます。
VPC からクライアントへのトラフィック
パラメーター
説明
ソース
[ソースタイプ] を選択します。
この例では、[ECS インスタンス ID] を選択し、VPC 内の ECS インスタンスを選択します。
宛先
[宛先タイプ] を選択します。
この例では、[VPN Gateway] を選択し、クライアントに接続されている VPN Gateway インスタンス vpn-bp18q**** を選択してから、VPN ゲートウェイがクライアントに割り当てたプライベート IP アドレス 10.0.0.6 を入力します。
プロトコル
テスト用のプロトコルを選択します。
この例では、デフォルト値の [TCP] が使用されます。
説明ネットワーク環境に基づいてプロトコルと宛先ポートを選択します。
宛先ポート
宛先リソースのポート番号を入力します。
この例では、デフォルト値の [80] が使用されます。
名前
パスの名前を定義します。
パス解析を開始すると、パスは自動的に保存されます。これにより、再度分析を開始できます。Network Intelligence Service コンソールに移動して、保存されたパスのリストを表示できます。
パス分析 パネルで、分析結果を表示します。
分析結果に基づいて問題をトラブルシューティングします。その後、再度パス解析を実行して、パスが到達可能であることを確認します。
システムがパスが到達可能であることを示した場合、クライアントと VPC は相互に通信できます。クライアントからアクセスを開始できます。
クライアントと VPC がまだ通信できない場合は、SSL-VPN のよくある質問ドキュメントを参照して問題をトラブルシューティングしてください。詳細については、「SSL-VPN 接続に関するよくある質問」をご参照ください。