このトピックでは、IPsec-VPNを使用して、データセンターと仮想プライベートクラウド (VPC) 間にプライベートネットワーク接続を確立する方法について説明します。
IPsec-VPN接続を関連付けるリソースを選択します。
VPNゲートウェイまたはトランジットルーターをIPsec-VPN接続に関連付けることができます。 VPNゲートウェイとトランジットルーターの両方を使用して、オンプレミスのデータセンターをVPCに接続できます。 ただし、次の表に示すように、サポートされる機能は異なります。 ビジネス要件に基づいて、VPNゲートウェイまたはトランジットルーターを選択できます。
| 項目 | VPNゲートウェイに関連付けられている | トランジットルーターに関連付けられている |
|---|---|---|
| 関連リソース | VPNゲートウェイを購入し、VPNゲートウェイをVPCに関連付けてIPsec VPN接続を作成する必要があります。 データセンターまたはオフィスネットワークは、関連するVPCまたは関連するVPCを介して他のネットワークと通信できます。 | IPsec VPN接続を作成するために、VPNゲートウェイを購入したり、VPNゲートウェイをVPCに関連付けたりする必要はありません。 Cloud Enterprise Network (CEN) インスタンスを作成し、CENインスタンスにトランジットルーターを作成する必要があります。 データセンターまたはオフィスネットワークは、トランジットルーターに接続されているすべてのVPC、またはトランジットルーターを介して他のネットワークと通信できます。 |
| サポートされる暗号化アルゴリズム | 国際規格に準拠した商用暗号アルゴリズム | 国際規格に準拠した商用暗号アルゴリズム |
| 各IPsec-VPN接続でサポートされる最大帯域幅 | 1,000 Mbit/s。 説明 一部のリージョンでVPN Gatewayがサポートする最大帯域幅は200 Mbit/sです。 リージョンの詳細については、「VPN Gatewayの制限」をご参照ください。 | デフォルトで1 Gbit/s。 最大帯域は、ビジネス要件に応じて変更することができます。 |
| サポートされているネットワークタイプ |
|
|
| 高可用性の実装に使用するメソッド | 図1_Active /スタンバイ接続 に示すアクティブ /スタンバイ接続 | 図2_Equal-costマルチパス (ECMP) 接続 に示すような等価コストマルチパス (ECMP) ルーティング |
制限事項
- IPsec-VPN接続を特定のリージョンのトランジットルーターに関連付けることができます。 対象のリージョンの詳細については、「VPN Gatewayのさまざまな機能をサポートするリージョン」をご参照ください。
- IPsec-VPN接続に関連付けることができるのは、Enterprise Editionトランジットルーターのみです。
前提条件
- IKEv1およびIKEv2プロトコルは、データセンターのゲートウェイデバイスによってサポートされています。
IKEv1およびIKEv2プロトコルはIPsec-VPNでサポートされています。 これらのプロトコルをサポートするすべてのゲートウェイデバイスを使用して、VPCへのIPsec-VPN接続を確立できます。
- データセンターのCIDRブロックは、VPCのCIDRブロックと重複しません。
- VPCのElastic Compute Service (ECS) インスタンスに適用されるセキュリティグループルールにより、データセンターのゲートウェイデバイスがクラウドリソースにアクセスできるようにします。 詳しくは、「セキュリティグループルールの照会とセキュリティグループルールを追加」をご参照ください。
手順
IPsec-VPNを設定する手順は、IPsec-VPN接続に関連付けられているインスタンスによって異なります。 次のセクションでは、さまざまなシナリオの手順について説明します。
VPN gatewayを使用するシナリオの手順
| シーケンス番号 | 参照情報 | 説明 |
|---|---|---|
| 1 | VPN Gateway の作成 | VPNゲートウェイを作成し、IPsec-VPNを有効にします。 |
| 2 | カスタマーゲートウェイの作成 | カスタマーゲートウェイを作成し、データセンターのゲートウェイデバイスの設定をAlibaba Cloudのカスタマーゲートウェイにロードします。 |
| 3 | IPsec-VPN接続の作成 | IPsec-VPN接続は、VPNゲートウェイとデータセンターのゲートウェイデバイス間の暗号化されたVPNトンネルです。 説明 IPsec-VPN接続を作成するときに、リソースの関連付けのVPN Gatewayを選択します。 |
| 4 | Configure local gateways | データセンターをVPNゲートウェイに接続するには、データセンターのゲートウェイデバイスにIPsec-VPNの設定を追加する必要があります。 |
| 5 | VPNゲートウェイのルートの設定 | VPNゲートウェイのデータセンターを指すルートを設定し、そのルートをVPCルートテーブルに通知する必要があります。 これにより、データセンターをVPCに接続できます。 |
| 6 | ネットワーク接続をテストする | VPCでパブリックIPアドレスが割り当てられていないECSインスタンスにログインします。 次に、pingコマンドを実行して、データセンター内のサーバーのプライベートIPアドレスをpingします。 |
トランジットルーターを使用するシナリオの手順
| シーケンス番号 | 参照情報 | 説明 |
|---|---|---|
| 1 | CENインスタンスの作成 | トランジットルーターを作成する前に、まずCENインスタンスを作成する必要があります。 |
| 2 | トランジットルーターの作成 | トランジットルータは、データを転送するために使用される。 データセンターがデプロイされているリージョンまたはデータセンターの近くのリージョンにトランジットルーターを作成する必要があります。 重要 トランジットルーターを作成するときは、トランジットルーターのCIDRブロックを設定する必要があります。 それ以外の場合、IPsec-VPN接続をトランジットルーターに関連付けることはできません。 すでにトランジットルーターを作成している場合は、トランジットルーターのCIDRブロックを設定できます。 詳細については、「トランジットルーターのCIDRブロックを作成する」をご参照ください。 |
| 3 | カスタマーゲートウェイの作成 | カスタマーゲートウェイを作成し、データセンターのゲートウェイデバイスの設定をAlibaba Cloudのカスタマーゲートウェイにロードします。 |
| 4 | IPsec-VPN接続の作成 | IPsec-VPN接続は、Alibaba Cloudとデータセンターのゲートウェイデバイス間の暗号化されたVPNトンネルです。 トランジットルーターをIPsec-VPN接続に関連付けた後、データセンターからのトラフィックをIPsec-VPN接続を介してトランジットルーターに転送できます。 説明 IPsec-VPN接続を作成するときに、リソースの関連付けのCENまたは関連付け禁止を選択します。 |
| 5 | Configure local gateways | データセンターをAlibaba Cloudに接続するには、データセンターのゲートウェイデバイスにIPsec-VPNの設定を追加する必要があります。 |
| 6 | Configure a route for an IPsec-VPN connection | IPsec-VPN接続用のデータセンターを指すルートを設定し、そのルートをトランジットルーターのルートテーブルにアドバタイズする必要があります。 これにより、データセンターをVPCに接続できます。 |
| 7 | ネットワーク接続をテストする | VPCでパブリックIPアドレスが割り当てられていないECSインスタンスにログインします。 次に、pingコマンドを実行して、データセンター内のサーバーのプライベートIPアドレスをpingします。 |