フォーム読み込み中
パブリッククラウドを取り扱っていると、オンプレミス環境から複数 VPC と通信したい要望をよく聞きます。従来のソリューションは、オンプレミス環境と各 VPC の間に IPsec-VPN で接続するか、複数の VPCを CEN で結び、オンプレミス環境からその中の1つ VPC に IPsec-VPN で接続し、該当 VPC を踏み台として CEN 経由で他の VPC へ通信する方法があります。
しかし接続先の VPC 数が増えるほど、ルーティング設計が煩雑になります。つい最近、CEN の Transit Router との IPsec-VPN connection 機能がリリースされ、オンプレミス環境から VPN 一本で CEN に繋ぐ全ての VPC へ手軽にアクセスできるようになりました。早速構築手順を検証してみたので、その手順を紹介します。
今回検証する IPsec-VPN connection 方式の構成はいたってシンプルです。これまで IPsec-VPN 接続の場合は必ず VPNGateway が必要でしたが、それが不要になる点が一つ大きな変化です。
CEN の新機能 IPsec-VPN connection を利用して、オンプレミス環境(東京リージョン VPC で模擬)と CEN のシンガポールリージョン Transit Router の間に IPsec-VPN connection を作成します。オンプレミス環境から同じく Transit Router に繋ぐ各 VPC まで疎通できるかの検証となります。
IPsec-VPN connection 方式(新)
複数 IPsec-VPN 方式(従来)
VPC 踏み台方式(従来)
さて、 IPsec-VPN connection 機能は現在ベータ版として提供していますので、作成開始する前にチケットで利用申請を行います。
現在中国(北京)、中国(上海)、シンガポール(シンガポール)、マレーシア (クアラルンプール)、オーストラリア (シドニー)、米国 (シリコンバレー)、 米国(バージニア) リージョンの Transit Router のみ対応可能です。
1-1.コンソールからチケットを起票して利用申請をします。
※検証では「シンガポールリージョン Transit Router」を申請対象にします。
1-2.申請が承認されると下記2か所のコンソールが利用できるようになります。
・Customer Gateways コンソール
(申請前)
(申請後)
・Transit Router にアタッチ可能な Network Type(VPN Type が追加された)
(申請前)
(申請後)
下記手順を繰り返して、3セットの環境を作成します。
2-1.CIDR を指定して VPC を作成します。
2-2.VPC 配下に、CIDR を指定して Vswtich を作成します。
2-3.Vswitch 配下に、クライアント機(ECS) のプライベート IP を指定して作成します。
オンプレミス | VPC1 | VPC2 | |
---|---|---|---|
リージョン | 東京 | シンガポール | シンガポール |
VPC CIDR | 172.16.0.0/12 | 192.168.0.0/16 | 10.0.0.0/8 |
VSW CIDR | 172.16.0.0/24 | 192.168.10.0/24 | 10.0.10.0/24 |
クライアント機IP | 172.16.0.1 | 192.168.10.1 | 10.0.10.1 |
※本検証では、オンプレミス環境を東京リージョンの VPC で模擬する
3-1.「Create CEN Instance」をクリックし、「Name」を指定して CEN を作成します。
3-2.「Create Transit Router」をクリックし、「Singapore Region」を指定して Transit Router を作成します。
3-3.「Create Connection」をクリックし、VPC を Transit Router にアタッチします。
Network Type:VPC
Region:Singapore
Resource Owner ID:Your Account
Attachment Name:任意
Networks:構築手順2で作成した VPC1 と VPC2
3-4.VPC1 と VPC2 の間で、疎通できることを確認します。
VPC1 内 ECS(192.168.10.1) → VPC2 内 ECS(10.0.10.1)
4-1.オンプレミス環境(東京リージョン)として見立てる(模擬する)VPNGateway を作成し、「IP Address」が表示されることを確認します。
4-2.シンガポールリージョンに「Customer Gateway」を作成します。
Name:任意
IP Address:4-1で作成した VPNGateway の「IP Address」
4-3.シンガポールリージョンの Transit Router に「IPsec-VPN connection」を作成し、「Network Instance ID(vco から始まる)」が表示されます。
Network Type:VPN
Region:Singapore
Resource Owner ID:Your Account
Individual Resource:Create Resource
Attachment Name:任意
Gateway Type:Public
Zone:Singapore Zone A
Customer Gateway:4-2で作成した「Customer Gateway」
Routing Mode:Destination Routing
Apply Immediately:Yes
Pre-shared Key:任意の文字列
4-4.シンガポールリージョンの「IPsec connection」コンソールにて、4-3の「Network Instance ID(vco から始まる)」を特定して詳細情報に「Gateway IP Address」が表示されます。
4-5.オンプレミス環境(東京リージョン)に「Customer Gateway」を作成します。
Name:任意
IP Address:4-4の「Gateway IP Address」
4-6.オンプレミス環境(東京リージョン)に「IPsec Connection」を作成します。
Name:任意の文字列
Associate Resource:VPN Gateway
VPN Gateway:4-1で作成した「VPNGateway」
Customer Gateway:4-5で作成した「Customer Gateway」
Routing Mode:Destination Routing
Apply Immediately:Yes
Pre-shared Key:4-3で指定した「Pre-shared Key」と一致
4-7.VPN 接続ステータスが「Phase 2 of IKE Tunnel Negotiation Succeeded」に変わることを確認します。
5-1.オンプレミス環境(東京リージョン)の VPNGateway に下記2つのルーティング情報を追加します。
Destination CIDR Block:192.168.0.0/16 and 10.0.0.0/8
Next Hop Type:IPsec Connection
Next Hop:4-5で作成した「Customer Gateway」
Publish to VPC:Yes
Weight:100
5-2.シンガポールリージョンの IPsec-VPN conncention に下記ルーティング情報を追加します。
Destination CIDR Block:172.16.0.0/12
Next Hop Type:IPsec Connection
Next Hop:4-2で作成した「Customer Gateway」
Publish to VPC:Yes
Weight:100
※注意:「VPNGateway」と「IPsec-VPN conncention」のルー ティング設定場所が違います。
・VPNGateway の場合:VPC コンソール ー VPN Gateways ー インスタンス ID ー Add Route Entry
・IPsec-VPN conncention の場合:VPC コンソール ー IPsec Connections ー インスタンス ID ー Add Route Entry
5-3.オンプレミス環境から、VPN 経由でクラウド環境への疎通を確認します。
・オンプレミスのクライアント機(172.16.0.1)→ VPC1 内 ECS(192.168.10.1)
・オンプレミスのクライアント機(172.16.0.1)→ VPC2 内 ECS(10.0.10.1)
6-1.オンプレミス環境から VPC1 と通信可、VPC2 と通信不可にしたい場合、手順5-1のオンプレミス環境(東京リージョン)VPNGateway のルーティング設定を下記のように変更します。
Destination CIDR Block:VPC1(192.168.0.0/16) 設定 → 設定
Destination CIDR Block:VPC2(10.0.0.0/8) 設定 → 設定しない
6-2.CEN でバインドした VPC1 と VPC2 間の通信を不可にしたい場合、VPC1 のルートテーブルから VPC2 へのルーティング(CENにバインドする際に自動的に追加される)を削除します。
今回は、CEN の新機能である IPsec-VPN connection を利用した、オンプレミスと複数 VPC 間の IPsec-VPN 通信を検証してみました。
新機能の嬉しい点は、CEN の Transit Router と直接 IPsec-VPN connection を確立することで、構成がシンプルになりました。特に接続先が複数 VPC の場合、従来の踏み台 VPC が必要なくなり、ルートテーブル設計の手間を省くことができました。もしオンプレミスと VPC を結ぶニーズがありましたら、本記事を参考にしてみてください。
参考:IPSec-VPN ソリューションの料金比較
| 複数IPsec-VPN | VPC踏み台 | IPsec connection |
---|---|---|---|
使用製品 | VPNGateway*2台 | VPNGateway*1台 TR connection*2台 | IPsec connection*1台 TR conncection*3台 |
料金概算 | 0.174ドル/時間 | 0.207ドル/時間 | 0.23ドル/時間 |
条件に該当するページがございません