このトピックでは、IPsec-VPNを使用して2つの仮想プライベートクラウド (VPC) 間に安全な接続を確立する方法について説明します。 これにより、一方のVPCのクラウドリソースは、もう一方のVPCのクラウドリソースにアクセスできます。

シナリオ

説明 VPN Gatewayは、インターボーダー接続をサポートしていません。 2つのVPC間にIPsec-VPN接続を作成する場合、両方のVPCが中国本土または中国本土の外部にある必要があります。 中国本土内または中国本土外のリージョンの詳細については、「中国本土内のリージョンと中国本土外のリージョン」をご参照ください。

一方が中国本土にあり、もう一方が中国本土外にある場合に、2つのVPC間に接続を作成する場合は、Cloud Enterprise Network (CEN) サービスを使用することを推奨します。 詳細については、「CEN について」をご参照ください。

このトピックの例として、次のシナリオを使用します。企業が中国 (杭州) リージョンにVPC 1という名前のVPCを作成し、中国 (青島) リージョンにVPC 2という名前の別のVPCを作成しました。 ECS (Elastic Compute Service) インスタンスはVPCにデプロイされ、サービスはECSインスタンスにデプロイされます。 ビジネス開発により、VPC 1とVPC 2のサービスは互いに通信する必要があります。

ネットワークセキュリティを確保するため、企業はVPNゲートウェイを使用してVPC 1とVPC 2の間にIPsec-VPN接続を確立することに決定しました。このように、VPC間のデータ伝送は暗号化され、クラウドリソースは安全な方法で互いに通信することができる。

VPCへの接続

前提条件

  • VPC 1という名前のVPCが中国 (杭州) リージョンに作成され、VPC 2という名前のVPCが中国 (青島) リージョンに作成されます。 ECSインスタンスはVPCにデプロイされ、サービスはECSインスタンスにデプロイされます。 詳細については、「IPv4 CIDRブロックを持つVPCの作成」をご参照ください。
    次の表に、この例のVPC 1とVPC 2の設定を示します。
    説明 ビジネス要件に基づいてCIDRブロックを指定できます。 通信する必要があるCIDRブロックが重複しないようにしてください。
    VPC 名リージョンVPC CIDR ブロックVPC IDECSインスタンスの名前ECSインスタンスのIPアドレス
    VPC1中国 (杭州)192.168.0.0/16vpc-bp1e0yx3nsosmitth ****ECS1192.168.20.161
    VPC2中国 (青島)10.0.0.0/16vpc-m5e83sapxp88cgp5f ****ECS210.0.1.110
  • VPCのECSインスタンスに適用されるセキュリティグループルールを認識しています。 セキュリティグループルールでECSインスタンスが相互に通信できるようにしてください。 詳しくは、「セキュリティグループルールの照会セキュリティグループルールを追加」をご参照ください。

手順

VPCの接続-手順

手順 1: VPN ゲートウェイの作成

  1. VPN Gatewayコンソールにログインします。
  2. 上部のナビゲーションバーで、VPNゲートウェイを作成するリージョンを選択します。
    この例では、中国 (杭州) リージョンが選択されています。
    説明 VPN gatewayは、VPN gatewayに関連付けるVPCと同じリージョンに属している必要があります。
  3. VPN Gateway ページで、[VPN Gateway の作成] をクリックします。
  4. 購入ページで、次のパラメーターを設定し、[今すぐ購入] をクリックして、支払いを完了します。
    項目説明
    NameVPNゲートウェイの名前を入力します。 この例では、VPN Gateway 1が入力されています。
    RegionVPNゲートウェイをデプロイするリージョンを選択します。 この例では、中国 (杭州) リージョンが選択されています。
    VPCVPNゲートウェイを関連付けるVPCを選択します。 この例では、VPC 1が選択されています。
    VSwitchの指定VPCの指定されたvSwitchにVPNゲートウェイをデプロイするかどうかを指定します。 この例では、[いいえ] が選択されています。
    最大帯域幅VPN gatewayの最大帯域幅値を指定します。 単位:Mbit/秒。
    トラフィックVPNゲートウェイの計測方法を選択します。 デフォルト値: Pay-by-data-transfer

    詳細については、「従量課金制」をご参照ください。

    IPsec-VPNIPsec-VPNを有効にするかどうかを指定します。 この例では、[有効化] が選択されています。
    SSL-VPNSSL-VPNを有効にするかどうかを指定します。 この例では、[無効] が選択されています。
    期間

    課金サイクルを指定します。 デフォルト値: [時間単位]

    サービスにリンクされたロール[サービスにリンクされたロールの作成] をクリックすると、サービスにリンクされたロールAliyunServiceRoleForVpnが自動的に作成されます。

    VPN gatewayが他のクラウドリソースにアクセスする役割を引き受ける方法の詳細については、「AliyunServiceRoleForVpn」をご参照ください。

    [作成済み] が表示されている場合、サービスにリンクされたロールが作成され、再度作成する必要はありません。

    詳細については、「VPN Gateway の作成」をご参照ください。
  5. VPN gatewayページに戻り、VPN gatewayを表示します。
    VPNゲートウェイを作成すると、準備中状態になります。 1〜5分後、VPNゲートウェイは正常状態に変わります。 VPNゲートウェイが正常状態に変わった後、VPNゲートウェイは使用できる状態になります。
  6. 中国 (青島) リージョンにVPN gateway 2という名前のVPNゲートウェイを作成するには、ステップ1の4サブステップ2サブステップを繰り返します。 Specify VPC 2 for the VPC parameter. その他のパラメーターには、VPN Gateway 1と同じ値を指定します。
    この例で作成されるVPN Gatewayの情報を次の表に示します。
    リージョンVPNゲートウェイ名VPC 名VPNゲートウェイIDVPNゲートウェイIPアドレス
    中国 (杭州)VPN Gateway 1VPC1vpn-bp1l5zihic47jprwa ****120.XX.XX.40
    中国 (青島)VPN Gateway 2VPC2vpn-m5eqjnr4ii6jajpms ****118.XX.XX.20

手順 2 : カスタマーゲートウェイの作成

  1. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [カスタマーゲートウェイ] を選択します。
  2. 上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。
    説明 接続するカスタマーゲートウェイとVPNゲートウェイが同じリージョンにデプロイされていることを確認してください。
  3. カスタマーゲートウェイ ページで、[カスタマーゲートウェイの作成] をクリックします。
  4. カスタマーゲートウェイの作成 パネルで、次のパラメーターを設定し、[OK] をクリックします。
    中国 (杭州) リージョンと中国 (青島) リージョンにカスタマーゲートウェイを作成する必要があります。 次の表に、カスタマーゲートウェイのパラメーターを示します。
    項目説明中国 (杭州)中国 (青島)
    Nameカスタマーゲートウェイの名前を入力します。 Customer1Customer2
    IPアドレスカスタマーゲートウェイのパブリックIPアドレスを入力します。 この例では、VPN Gateway 2のIPアドレス、118.XX. XX.XX. 20は、入ります
    説明 この例では、VPN Gateway 1はVPC 2のカスタマーゲートウェイであり、VPN gateway 2はVPC 1のカスタマーゲートウェイです。
    この例では、VPN Gateway 1のIPアドレス120.XX. XX.40を入力します。

    詳細については、「カスタマーゲートウェイの作成」をご参照ください。

    次の表に、各リージョンのVPNゲートウェイ、カスタマーゲートウェイ、およびVPCに関する情報を示します。
    リージョンVPC 名VPNゲートウェイ名カスタマーゲートウェイ名カスタマーゲートウェイIDカスタマーゲートウェイのIPアドレス
    中国 (杭州)VPC1VPN Gateway 1Customer1cgw-bp1er5cw26c2b35vm ****118.XX.XX.20
    中国 (青島)VPC2VPN Gateway 2Customer2cgw-m5e6qdvuxquse3fvm ****120.XX.XX.40

手順 3:IPsec-VPN 接続を作成する

VPNゲートウェイとカスタマーゲートウェイを作成した後、IPsec-VPN接続を作成してVPNゲートウェイをカスタマーゲートウェイに接続できます。

  1. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [IPsec接続] を選択します。
  2. 上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
  3. IPsec 接続 ページで、[IPsec接続の作成] をクリックします。
  4. [VPN 接続の作成] ページで、IPsec-VPN接続に次のパラメーターを設定し、[OK] をクリックします。
    IPsec-VPN接続を中国 (杭州) リージョンで作成し、別のIPsec-VPN接続を中国 (青島) リージョンで作成する必要があります。 IPsec-VPN接続のパラメーターを次の表に示します。
    アイテム説明 中国 (杭州)中国 (青島)
    NameIPsec-VPN接続の名前を入力します。 IPsec-VPN接続1IPsec-VPN接続2
    VPNゲートウェイ作成したVPNゲートウェイを選択します。 VPN Gateway 1VPN Gateway 2
    カスタマーゲートウェイ作成したカスタマーゲートウェイを選択します。 Customer1Customer2
    ルーティングモードルーティングモードを選択します。 [宛先ルーティングモード] を選択します。 [宛先ルーティングモード] を選択します。
    すぐに有効接続のネゴシエーションをすぐに開始するかどうかを指定します。
    • Yes: 設定完了後にネゴシエーションを開始します。
    • No: トラフィックが検出されるとネゴシエーションを開始します。
    この例ではいいえが選択されています。 この例ではいいえが選択されています。
    事前共有キー事前共有キーを入力します。

    キーを指定しない場合、事前共有キーとしてランダムな16文字の文字列が生成されます。

    fddsFF123 ****
    重要 IPsec-VPN接続は、同じ事前共有キーを使用する必要があります。

    その他のパラメーターにはデフォルト設定を使用します。 詳細については、「IPsec-VPN接続の作成と管理」をご参照ください。

  5. [確立] ダイアログボックスで、[OK] をクリックします。

手順 4: ルートの設定

  1. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [VPNゲートウェイ] を選択します。
  2. 上部のナビゲーションバーで、VPN gatewayのリージョンを選択します。
  3. [VPN Gateway] ページで、管理するVPN gatewayを見つけ、そのIDをクリックします。
  4. [宛先ベースルーティング] タブで、[ルートエントリの追加] をクリックします。
  5. [ルートエントリの追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。
    VPN Gateway 1およびVPN Gateway 2へのルートを追加する必要があります。 次の表に、ルートのパラメーターを示します。
    項目説明VPN Gateway 1VPN Gateway 2
    宛先CIDRブロック接続先CIDRブロックを入力します。 VPC 2のプライベートCIDRブロックである10.0.0.0/16を入力します。 VPC 1のプライベートCIDRブロックである192.168.0.0/16を入力します。
    ネクストホップタイプネクストホップタイプを選択します。 この例では、IPsec接続が選択されています。 この例では、IPsec接続が選択されています。
    次ホップ次のホップを選択します。 IPsec-VPN接続1を選択します。 IPsec-VPN接続2を選択します。
    VPCへの公開VPNゲートウェイに関連付けられているVPCへのルートをアドバタイズするかどうかを指定します。 Yes が選択されています。この例では、はいが選択されています。
    重量ルートの重みを指定します。
    • 100: ルートの高い優先度を指定します。
    • 0: ルートの優先度を低く指定します。
    この例では、デフォルト値100が使用されます。 この例では、デフォルト値100が使用されます。
    詳細については、「宛先ベースのルートを作成する」をご参照ください。

手順 5:ネットワーク接続のテスト

  1. VPC 1でECS 1にログインします。
    ECSインスタンスへのログイン方法の詳細については、「ECSインスタンスへの接続方法」をご参照ください。
  2. pingコマンドを実行してECS 2のIPアドレスをpingし、ネットワーク接続をテストします。
    ping <ECS 2のIPアドレス>

    次の図のようにエコー応答パケットを受信できた場合、接続が確立されます。

    VPC間のネットワーク接続のテスト