Alibaba Cloud CEN の IPsec-VPN connection を使ってみました

概要構成図

今回検証する IPsec-VPN connection 方式の構成はいたってシンプルです。これまで IPsec-VPN 接続の場合は必ず VPNGateway が必要でしたが、それが不要になる点が一つ大きな変化です。

CEN の新機能 IPsec-VPN connection を利用して、オンプレミス環境（東京リージョン VPC で模擬）と CEN のシンガポールリージョン Transit Router の間に IPsec-VPN connection を作成します。オンプレミス環境から同じく Transit Router に繋ぐ各 VPC まで疎通できるかの検証となります。

IPsec-VPN connection 方式（新）

複数 IPsec-VPN 方式（従来）

VPC 踏み台方式（従来）

構築手順-1：事前準備

さて、 IPsec-VPN connection 機能は現在ベータ版として提供していますので、作成開始する前にチケットで利用申請を行います。

現在中国（北京）、中国（上海）、シンガポール（シンガポール）、マレーシア (クアラルンプール)、オーストラリア （シドニー）、米国 (シリコンバレー)、 米国(バージニア) リージョンの Transit Router のみ対応可能です。

1-1．コンソールからチケットを起票して利用申請をします。

※検証では「シンガポールリージョン Transit Router」を申請対象にします。

1-2．申請が承認されると下記2か所のコンソールが利用できるようになります。

・Customer Gateways コンソール

（申請前）

（申請後）

・Transit Router にアタッチ可能な Network Type（VPN Type が追加された）

（申請前）

（申請後）

構築手順-2：オンプレミスとクラウド環境構築

下記手順を繰り返して、3セットの環境を作成します。

2-1．CIDR を指定して VPC を作成します。

2-2．VPC 配下に、CIDR を指定して Vswtich を作成します。

2-3．Vswitch 配下に、クライアント機（ECS） のプライベート IP を指定して作成します。

※本検証では、オンプレミス環境を東京リージョンの VPC で模擬する

構築手順-3：CEN 環境構築

3-1．「Create CEN Instance」をクリックし、「Name」を指定して CEN を作成します。

3-2．「Create Transit Router」をクリックし、「Singapore Region」を指定して Transit Router を作成します。

3-3．「Create Connection」をクリックし、VPC を Transit Router にアタッチします。

Network Type：VPC

Region：Singapore

Resource Owner ID：Your Account

Attachment Name：任意

Networks：構築手順2で作成した VPC1 と VPC2

3-4．VPC1 と VPC2 の間で、疎通できることを確認します。

VPC1 内 ECS（192.168.10.1）　→　VPC2 内 ECS（10.0.10.1）

構築手順-4：IPsec-VPN 構築

4-1．オンプレミス環境（東京リージョン）として見立てる（模擬する）VPNGateway を作成し、「IP Address」が表示されることを確認します。

4-2．シンガポールリージョンに「Customer Gateway」を作成します。

Name：任意

IP Address：4-1で作成した VPNGateway の「IP Address」

4-3．シンガポールリージョンの Transit Router に「IPsec-VPN connection」を作成し、「Network Instance ID（vco から始まる）」が表示されます。

Network Type：VPN

Region：Singapore

Resource Owner ID：Your Account

Individual Resource：Create Resource

Attachment Name：任意

Gateway Type：Public

Zone：Singapore Zone A

Customer Gateway：4-2で作成した「Customer Gateway」

Routing Mode：Destination Routing

Apply Immediately：Yes

Pre-shared Key：任意の文字列

4-4．シンガポールリージョンの「IPsec connection」コンソールにて、4-3の「Network Instance ID（vco から始まる）」を特定して詳細情報に「Gateway IP Address」が表示されます。

4-5．オンプレミス環境（東京リージョン）に「Customer Gateway」を作成します。

Name：任意

IP Address：4-4の「Gateway IP Address」

4-6．オンプレミス環境（東京リージョン）に「IPsec Connection」を作成します。

Name：任意の文字列

Associate Resource：VPN Gateway

VPN Gateway：4-1で作成した「VPNGateway」

Customer Gateway：4-5で作成した「Customer Gateway」

Routing Mode：Destination Routing

Apply Immediately：Yes

Pre-shared Key：4-3で指定した「Pre-shared Key」と一致

4-7．VPN 接続ステータスが「Phase 2 of IKE Tunnel Negotiation Succeeded」に変わることを確認します。

構築手順-5：ルーティング設定と疎通確認

5-1．オンプレミス環境（東京リージョン）の VPNGateway に下記2つのルーティング情報を追加します。

Destination CIDR Block：192.168.0.0/16 and 10.0.0.0/8

Next Hop Type：IPsec Connection

Next Hop：4-5で作成した「Customer Gateway」

Publish to VPC：Yes

Weight：100

5-2．シンガポールリージョンの IPsec-VPN conncention に下記ルーティング情報を追加します。

Destination CIDR Block：172.16.0.0/12

Next Hop Type：IPsec Connection

Next Hop：4-2で作成した「Customer Gateway」

Publish to VPC：Yes

Weight：100

※注意：「VPNGateway」と「IPsec-VPN conncention」のルー ティング設定場所が違います。

・VPNGateway の場合：VPC コンソール　ー　VPN Gateways　ー　インスタンス ID　ー　Add Route Entry

・IPsec-VPN conncention の場合：VPC コンソール　ー　IPsec Connections　ー　インスタンス ID　ー　Add Route Entry

5-3．オンプレミス環境から、VPN 経由でクラウド環境への疎通を確認します。

・オンプレミスのクライアント機（172.16.0.1）→　VPC1 内 ECS（192.168.10.1）

・オンプレミスのクライアント機（172.16.0.1）→　VPC2 内 ECS（10.0.10.1）

構築手順6：通信の制御（オプション）

6-1．オンプレミス環境から VPC1 と通信可、VPC2 と通信不可にしたい場合、手順5-1のオンプレミス環境（東京リージョン）VPNGateway のルーティング設定を下記のように変更します。

Destination CIDR Block：VPC1（192.168.0.0/16） 　設定　→　設定

Destination CIDR Block：VPC2（10.0.0.0/8）　　　　設定　→　設定しない

6-2．CEN でバインドした VPC1 と VPC2 間の通信を不可にしたい場合、VPC1 のルートテーブルから VPC2 へのルーティング（CENにバインドする際に自動的に追加される）を削除します。

まとめ

今回は、CEN の新機能である IPsec-VPN connection を利用した、オンプレミスと複数 VPC 間の IPsec-VPN 通信を検証してみました。 

新機能の嬉しい点は、CEN の Transit Router と直接 IPsec-VPN connection を確立することで、構成がシンプルになりました。特に接続先が複数 VPC の場合、従来の踏み台 VPC が必要なくなり、ルートテーブル設計の手間を省くことができました。もしオンプレミスと VPC を結ぶニーズがありましたら、本記事を参考にしてみてください。

　参考：IPSec-VPN ソリューションの料金比較

関連サービス