VPN Gateway は、オンプレミスのデータセンター、オフィスネットワーク、または個々のクライアントと Virtual Private Cloud (VPC) との間に、暗号化されたトンネルを使用して安全な接続を確立します。
ユースケース
ユースケース 1: IPsec-VPN を使用してオンプレミスのデータセンターを VPC に接続する
IPsec-VPN は、IPsec プロトコルを使用して Site-to-Site の暗号化接続を確立します。これは、オンプレミスのデータセンターを VPC に接続してハイブリッドクラウドネットワークを構築する場合や、Express Connect のバックアップとして理想的です。
IPsec-VPN には 2 つのデプロイメントオプションがあります。
VPN Gateway へのアタッチ: オンプレミスネットワークを単一の VPC に接続します。
トランジットルーター (TR) へのアタッチ: オンプレミスネットワークを複数の VPC に接続します。
ユースケース 2: SSL-VPN を使用して従業員が VPC にリモートアクセスできるようにする
SSL-VPN は、SSL プロトコルを使用して Client-to-Site の暗号化接続を作成します。ラップトップやモバイルデバイスなどのクライアントを VPC に接続し、リモートワークに最適です。管理者がアクセスを許可すると、従業員は自分のコンピューターやモバイルデバイスにクライアントソフトウェアをインストールできます。VPN に接続すると、VPC 内にデプロイされたアプリケーションやサービスに安全にアクセスできます。
メリット
安全: IPsec または SSL プロトコルを使用して転送中のデータを暗号化し、データのセキュリティと整合性を確保します。
安定: 数秒でフェールオーバーを提供するアクティブ/アクティブアーキテクチャ上に構築されており、セッションの継続性と中断のないビジネス運用を保証します。
シンプル: アクティベーション後すぐに使用できます。設定はリアルタイムで有効になり、迅速なデプロイメントが可能です。
費用対効果: インターネット経由で暗号化されたトンネルを確立し、Express Connect に代わる費用対効果の高い代替手段を提供します。
VPN タイプを選択して開始する
比較 | IPsec-VPN | SSL-VPN |
接続ターゲット | 企業のデータセンターやブランチオフィスなどの固定サイト。 | リモートワークで使用されるパーソナルコンピューターやモバイルデバイスなどの個々のクライアント。 |
典型的なユースケース | Site-to-Site: オンプレミスネットワークを VPC に接続して、ハイブリッドクラウド環境を構築します。 | Client-to-Site: 承認された従業員が、どこからでもクラウドベースのアプリケーション、オフィスシステム、または開発環境に安全にアクセスできるようにします。 |
クライアント要件 | ルーターやファイアウォールなど、IPsec をサポートするプロフェッショナルなネットワークデバイスが必要です。 | ユーザーは、デバイスに軽量のクライアントソフトウェアをインストールするだけで済みます。 |
プロトコル | 標準 IPsec プロトコル (ネットワーク層)。 | SSL/TLS プロトコル (アプリケーション層)。 |
設定の複雑さ | 高。クラウドとオンプレミスデバイスの両方でパラメーターを協調して設定する必要があります。 | 非常に低い。管理者がクラウド側の設定を完了した後、エンドユーザーはクライアントをインストールして認証情報でログインするだけで済みます。 |
IPsec-VPN を開始する
IPsec-VPN 接続は、VPN ゲートウェイまたは TR にアタッチする必要があります。
コンポーネント | 説明 |
VPN ゲートウェイ | オンプレミスネットワークを単一の VPC に接続する場合、VPN ゲートウェイはクラウド側のゲートウェイとして機能します。オンプレミスゲートウェイデバイスと通信するためのパブリック IP アドレスを持っています。 |
TR | オンプレミスネットワークを複数の VPC に接続する場合、TR はクラウド側のゲートウェイとして機能します。これには、TR 上に作成された VPN 接続と、関連付けられた IPsec-VPN 接続が必要です。 |
VPN ゲートウェイまたは TR を作成した後、クラウドでカスタマーゲートウェイと IPsec-VPN 接続も設定する必要があります。
コンポーネント | 説明 |
カスタマーゲートウェイ | オンプレミスゲートウェイデバイスのパブリック IP アドレスを格納する Alibaba Cloud 上の論理オブジェクト。このオブジェクトは、IPsec-VPN 接続を作成するために必要です。 |
IPsec-VPN 接続 | VPN ゲートウェイ/TR から カスタマーゲートウェイ への暗号化トンネルを定義します。この接続では、暗号化アルゴリズム、認証アルゴリズム、事前共有キー (PSK) など、両端のパラメーターを設定します。 |
詳細については、次のドキュメントをご参照ください。
SSL-VPN を開始する
SSL-VPN 接続には、次の主要なコンポーネントが含まれます。
コンポーネント | 説明 |
VPN ゲートウェイ | VPN 接続のクラウド側ゲートウェイとして機能します。クライアントと通信するためのパブリック IP アドレスを持っています。 |
SSL サーバー | SSL-VPN を有効にした後、VPN ゲートウェイ上に作成されるサービスインスタンス。クライアントを接続するためのプロトコル、ポート、暗号化アルゴリズム、およびクライアント CIDR ブロックを定義します。 |
SSL クライアント | 従業員のパーソナルコンピューターまたはモバイルデバイスにインストールされるソフトウェア。このソフトウェアは SSL サーバー との暗号化接続を確立し、デバイスがクラウドリソースにアクセスできるようにします。 |
詳細については、次のドキュメントをご参照ください。