このトピックでは、IPsec-VPNを使用してデータセンターを仮想プライベートクラウド (VPC) に接続する方法について説明します。 IPsec-VPN接続を確立すると、データセンターとVPCは相互に通信できます。

始める前に

  • Alibaba Cloud アカウントが作成済みであること。 Alibaba Cloudアカウントをお持ちでない場合は、create one が必要です。
  • データセンターのゲートウェイデバイスは、IKEv1およびIKEv2プロトコルをサポートしています。 これらのプロトコルをサポートするすべてのゲートウェイデバイスは、VPNゲートウェイに接続できます。
  • 静的パブリックIPアドレスは、データセンターのゲートウェイデバイスに割り当てられます。
  • データセンターのCIDRブロックは、VPCのCIDRブロックと重複しません。
  • VPCのECSインスタンスに適用されるセキュリティグループルールを読んで理解しており、セキュリティグループルールによってデータセンターのゲートウェイデバイスがクラウドリソースにアクセスできるようになります。 詳しくは、「セキュリティグループルールの照会セキュリティグループルールを追加」をご参照ください。

このタスクについて

このトピックでは、次のシナリオを例として使用します。 企業がAlibaba Cloud上にVPCを作成しました。 VPC の CIDR ブロックは 192.168.0.0/16 です。 データセンターのCIDRブロックは172.16.0.0/12です。 データセンターのゲートウェイデバイスの静的パブリックIPアドレスは、211.XX. XX.68です。 ビジネス要件を満たすには、企業はデータセンターをVPCに接続する必要があります。 次の図に示すように、データセンターとVPCの間にIPsec-VPN接続を確立できます。 これにより、データセンターはVPCと通信できます。

手順

手順 1: VPN ゲートウェイの作成

  1. VPN gatewayコンソールにログインします。
  2. VPN Gateway ページで、[VPN Gateway の作成] をクリックします。
  3. 購入ページで、次のパラメーターを設定し、[今すぐ購入] をクリックして、支払いを完了します。
    項目説明
    NameVPNゲートウェイの名前を入力します。

    この例では、VPN Gateway 1が使用されています。

    RegionVPNゲートウェイをデプロイするリージョンを選択します。
    説明 VPNゲートウェイはVPCと同じリージョンに属している必要があります。
    Network TypeVPN gatewayのネットワークタイプを選択します。

    この例では、[パブリック] が選択されています。

    VPCVPNゲートウェイを関連付けるVPCを選択します。
    VSwitchの指定VPCの指定されたvSwitchにVPNゲートウェイをデプロイするかどうかを指定します。
    最大帯域幅VPN gatewayの最大帯域幅値を指定します。 単位:Mbit/秒。
    トラフィックVPNゲートウェイの計測方法を選択します。 デフォルト値: Pay-by-data-transfer

    詳細については、「従量課金制」をご参照ください。

    IPsec-VPNVPN gatewayのIPsec-VPNを有効にするかどうかを指定します。

    この例では、[有効化] が選択されています。

    SSL-VPNSSL-VPNを有効にするかどうかを指定します。

    この例では、[無効] が選択されています。

    期間

    課金サイクルを指定します。 デフォルト値: [時間単位]

    サービスにリンクされたロール[サービスにリンクされたロールの作成] をクリックすると、サービスにリンクされたロールAliyunServiceRoleForVpnが自動的に作成されます。

    VPN gatewayが他のクラウドリソースにアクセスする役割を引き受ける方法の詳細については、「AliyunServiceRoleForVpn」をご参照ください。

    [作成済み] が表示されている場合、サービスにリンクされたロールが作成され、再度作成する必要はありません。

    詳細については、「VPN Gateway の作成」をご参照ください。
  4. VPN gatewayを表示するには、VPN gatewayページに戻ります。
    新しく作成されたVPN gatewayは準備中状態です。 VPNゲートウェイは、約1〜5分後に正常状態に入る。 VPNゲートウェイが正常状態に入ると、VPNゲートウェイは使用できる状態になります。

手順 2 : カスタマーゲートウェイの作成

  1. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [カスタマーゲートウェイ] を選択します。
  2. 上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。
    説明 接続するカスタマーゲートウェイとVPNゲートウェイが同じリージョンにデプロイされていることを確認してください。
  3. カスタマーゲートウェイ ページで、[カスタマーゲートウェイの作成] をクリックします。
  4. カスタマーゲートウェイの作成 ページで、次のパラメーターを設定し、[OK] をクリックします。
    • 名前:カスタマーゲートウェイの名前を入力します。

      この例では、Customer Gateway 1が使用されています。

    • IPアドレス: VPCに接続するデータセンターのゲートウェイデバイスのパブリックIPアドレスを入力します。

      この例では、211.XX. XX.68が使用されます。

    詳細については、「カスタマーゲートウェイの作成」をご参照ください。

手順 3:IPsec-VPN 接続を作成する

  1. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [IPsec接続] を選択します。
  2. 上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
    説明 IPsec-VPN接続と接続するVPN gatewayが同じリージョンにデプロイされていることを確認してください。
  3. IPsec 接続 ページで、[IPsec接続の作成] をクリックします。
  4. [VPN 接続の作成] ページで、IPsec-VPN接続に次のパラメーターを設定し、[OK] をクリックします。
    項目説明
    NameIPsec-VPN接続の名前を入力します。

    この例では、IPsec接続1が使用されています。

    VPNゲートウェイ作成したVPNゲートウェイを選択します。

    この例では、VPN Gateway 1が選択されています。

    カスタマーゲートウェイ作成したカスタマーゲートウェイを選択します。

    この例では、Customer Gateway 1が選択されています。

    ルーティングモードルーティングモードを選択します。

    この例では、宛先ルーティングモードが選択されています。

    すぐに有効接続のネゴシエーションをすぐに開始するかどうかを指定します。
    • Yes: 設定完了後にネゴシエーションを開始します。
    • No: トラフィックが検出されるとネゴシエーションを開始します。

    この例では、はいが選択されています。

    事前共有キー事前共有キーを入力します。

    値を入力しない場合、事前共有キーとしてランダムな16文字の文字列が生成されます。

    重要 オンプレミスのデバイスとIPsec-VPN接続が同じ事前共有キーを使用していることを確認します。

    その他のパラメーターにはデフォルト設定を使用します。 詳細については、「IPsec-VPN接続の作成と管理」をご参照ください。

手順4: IPsec-VPN接続の設定をデータセンターのゲートウェイデバイスに読み込む

  1. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [IPsec接続] を選択します。
  2. [IPsec 接続] ページで、管理するIPsec-VPN接続を見つけ、[操作] 列の 詳細 > [ダウンロード設定] を選択します。
  3. IPsec-VPN接続の設定をデータセンターのゲートウェイデバイスにロードします。 詳細については、「オンプレミスゲートウェイデバイスの設定」をご参照ください。 。

手順 5: VPNゲートウェイの経路を設定する

  1. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [VPNゲートウェイ] を選択します。
  2. [VPN Gateway] ページで、管理するVPN gatewayを見つけ、そのIDをクリックします。
  3. [宛先ベースルーティング] タブで、[ルートエントリの追加] をクリックします。
  4. [ルートエントリの追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。
    項目説明
    宛先CIDRブロック接続先CIDRブロックを入力します。

    この例では、172.16.0.0/12が使用されます。

    ネクストホップタイプネクストホップタイプを選択します。

    この例では、IPsec接続が選択されています。

    次ホップ作成したIPsec-VPN接続を選択します。
    VPCへの公開VPNゲートウェイに関連付けられているVPCへのルートをアドバタイズするかどうかを指定します。

    この例では、はいが選択されています。

    重量ルートの重みを選択します。 有効な値:
    • 100: ルートの高い優先度を指定します。
    • 0: ルートの優先度を低く指定します。

    この例では、デフォルト値100が使用されます。

手順 6:ネットワーク接続のテスト

  1. VPCでパブリックアドレスが割り当てられていないElastic Compute Service (ECS) インスタンスにログインします。 ECSインスタンスへのログイン方法の詳細については、「接続方法」をご参照ください。
  2. pingコマンドを実行して、データセンターのサーバーにpingを実行し、ネットワーク接続をテストします。
    エコー応答パケットを受信できる場合は、接続が確立されます。