Alibaba Cloud CEN の IPsec-VPN connection を使ってみました

2022年9月8日掲載

キービジュアル

パブリッククラウドを取り扱っていると、オンプレミス環境から複数 VPC と通信したい要望をよく聞きます。従来のソリューションは、オンプレミス環境と各 VPC の間に IPsec-VPN で接続するか、複数の VPCを CEN で結び、オンプレミス環境からその中の1つ VPC に IPsec-VPN で接続し、該当 VPC を踏み台として CEN 経由で他の VPC へ通信する方法があります。

しかし接続先の VPC 数が増えるほど、ルーティング設計が煩雑になります。つい最近、CEN の Transit Router との IPsec-VPN connection 機能がリリースされ、オンプレミス環境から VPN 一本で CEN に繋ぐ全ての VPC へ手軽にアクセスできるようになりました。早速構築手順を検証してみたので、その手順を紹介します。

目次

  • Alibaba Cloud CEN に関する記事です。
  • CEN の新機能 IPsec-VPN connection を検証します。

概要構成図

今回検証する IPsec-VPN connection 方式の構成はいたってシンプルです。これまで IPsec-VPN 接続の場合は必ず VPNGateway が必要でしたが、それが不要になる点が一つ大きな変化です。

CEN の新機能 IPsec-VPN connection を利用して、オンプレミス環境(東京リージョン VPC で模擬)と CEN のシンガポールリージョン Transit Router の間に IPsec-VPN connection を作成します。オンプレミス環境から同じく Transit Router に繋ぐ各 VPC まで疎通できるかの検証となります。

IPsec-VPN connection 方式(新)

a

複数 IPsec-VPN 方式(従来)

a

VPC 踏み台方式(従来)

a

構築手順-1:事前準備

さて、 IPsec-VPN connection 機能は現在ベータ版として提供していますので、作成開始する前にチケットで利用申請を行います。

現在中国(北京)、中国(上海)、シンガポール(シンガポール)、マレーシア (クアラルンプール)、オーストラリア (シドニー)、米国 (シリコンバレー)、 米国(バージニア) リージョンの Transit Router のみ対応可能です。

 

1-1.コンソールからチケットを起票して利用申請をします。

※検証では「シンガポールリージョン Transit Router」を申請対象にします。

a

1-2.申請が承認されると下記2か所のコンソールが利用できるようになります。

・Customer Gateways コンソール

(申請前)

a

(申請後)

a

・Transit Router にアタッチ可能な Network Type(VPN Type が追加された)

(申請前)

a

(申請後)

a

構築手順-2:オンプレミスとクラウド環境構築

下記手順を繰り返して、3セットの環境を作成します。

2-1.CIDR を指定して VPC を作成します。

2-2.VPC 配下に、CIDR を指定して Vswtich を作成します。

2-3.Vswitch 配下に、クライアント機(ECS) のプライベート IP を指定して作成します。

 

オンプレミス

VPC1

VPC2

リージョン

東京

シンガポール

シンガポール

VPC CIDR

172.16.0.0/12

192.168.0.0/16

10.0.0.0/8

VSW CIDR

172.16.0.0/24

192.168.10.0/24

10.0.10.0/24

クライアント機IP

172.16.0.1

192.168.10.1

10.0.10.1

※本検証では、オンプレミス環境を東京リージョンの VPC で模擬する

構築手順-3:CEN 環境構築

3-1.「Create CEN Instance」をクリックし、「Name」を指定して CEN を作成します。

3-2.「Create Transit Router」をクリックし、「Singapore Region」を指定して Transit Router を作成します。

3-3.「Create Connection」をクリックし、VPC を Transit Router にアタッチします。

Network Type:VPC

Region:Singapore

Resource Owner ID:Your Account

Attachment Name:任意

Networks:構築手順2で作成した VPC1 と VPC2

a

3-4.VPC1 と VPC2 の間で、疎通できることを確認します。

VPC1 内 ECS(192.168.10.1) → VPC2 内 ECS(10.0.10.1)

構築手順-4:IPsec-VPN 構築

4-1.オンプレミス環境(東京リージョン)として見立てる(模擬する)VPNGateway を作成し、「IP Address」が表示されることを確認します。

a

4-2.シンガポールリージョンに「Customer Gateway」を作成します。

Name:任意

IP Address:4-1で作成した VPNGateway の「IP Address」

a

4-3.シンガポールリージョンの Transit Router に「IPsec-VPN connection」を作成し、「Network Instance ID(vco から始まる)」が表示されます。

Network Type:VPN

Region:Singapore

Resource Owner ID:Your Account

Individual Resource:Create Resource

Attachment Name:任意

Gateway Type:Public

Zone:Singapore Zone A

Customer Gateway:4-2で作成した「Customer Gateway」

Routing Mode:Destination Routing

Apply Immediately:Yes

Pre-shared Key:任意の文字列

a

4-4.シンガポールリージョンの「IPsec connection」コンソールにて、4-3の「Network Instance ID(vco から始まる)」を特定して詳細情報に「Gateway IP Address」が表示されます。

a

4-5.オンプレミス環境(東京リージョン)に「Customer Gateway」を作成します。

Name:任意

IP Address:4-4の「Gateway IP Address」

 

4-6.オンプレミス環境(東京リージョン)に「IPsec Connection」を作成します。

Name:任意の文字列

Associate Resource:VPN Gateway

VPN Gateway:4-1で作成した「VPNGateway」

Customer Gateway:4-5で作成した「Customer Gateway」

Routing Mode:Destination Routing

Apply Immediately:Yes

Pre-shared Key:4-3で指定した「Pre-shared Key」と一致

a

4-7.VPN 接続ステータスが「Phase 2 of IKE Tunnel Negotiation Succeeded」に変わることを確認します。

a

構築手順-5:ルーティング設定と疎通確認

5-1.オンプレミス環境(東京リージョン)の VPNGateway に下記2つのルーティング情報を追加します。

Destination CIDR Block:192.168.0.0/16 and 10.0.0.0/8

Next Hop Type:IPsec Connection

Next Hop:4-5で作成した「Customer Gateway」

Publish to VPC:Yes

Weight:100

 

5-2.シンガポールリージョンの IPsec-VPN conncention に下記ルーティング情報を追加します。

Destination CIDR Block:172.16.0.0/12

Next Hop Type:IPsec Connection

Next Hop:4-2で作成した「Customer Gateway」

Publish to VPC:Yes

Weight:100

 

※注意:「VPNGateway」と「IPsec-VPN conncention」のルー ティング設定場所が違います。

・VPNGateway の場合:VPC コンソール ー VPN Gateways ー インスタンス ID ー Add Route Entry

・IPsec-VPN conncention の場合:VPC コンソール ー IPsec Connections ー インスタンス ID ー Add Route Entry

 

5-3.オンプレミス環境から、VPN 経由でクラウド環境への疎通を確認します。

・オンプレミスのクライアント機(172.16.0.1)→ VPC1 内 ECS(192.168.10.1)

・オンプレミスのクライアント機(172.16.0.1)→ VPC2 内 ECS(10.0.10.1)

構築手順6:通信の制御(オプション)

6-1.オンプレミス環境から VPC1 と通信可、VPC2 と通信不可にしたい場合、手順5-1のオンプレミス環境(東京リージョン)VPNGateway のルーティング設定を下記のように変更します。

Destination CIDR Block:VPC1(192.168.0.0/16)  設定 → 設定

Destination CIDR Block:VPC2(10.0.0.0/8)    設定 → 設定しない

 

6-2.CEN でバインドした VPC1 と VPC2 間の通信を不可にしたい場合、VPC1 のルートテーブルから VPC2 へのルーティング(CENにバインドする際に自動的に追加される)を削除します。

a

まとめ

今回は、CEN の新機能である IPsec-VPN connection を利用した、オンプレミスと複数 VPC 間の IPsec-VPN 通信を検証してみました。 

新機能の嬉しい点は、CEN の Transit Router と直接 IPsec-VPN connection を確立することで、構成がシンプルになりました。特に接続先が複数 VPC の場合、従来の踏み台 VPC が必要なくなり、ルートテーブル設計の手間を省くことができました。もしオンプレミスと VPC を結ぶニーズがありましたら、本記事を参考にしてみてください。

 

 参考:IPSec-VPN ソリューションの料金比較

 

複数IPsec-VPN

VPC踏み台

IPsec connection

使用製品

VPNGateway*2台

VPNGateway*1台

TR connection*2台

IPsec connection*1台

TR conncection*3台

料金概算

0.174ドル/時間

0.207ドル/時間

0.23ドル/時間

関連サービス

Alibaba Cloud

Alibaba Cloudは中国国内でのクラウド利用はもちろん、日本-中国間のネットワークの不安定さの解消、中国サイバーセキュリティ法への対策など、中国進出に際する課題を解消できるパブリッククラウドサービスです。

MSPサービス

MSP(Managed Service Provider)サービスは、お客さまのパブリッククラウドの導入から運用までをトータルでご提供するマネージドサービスです。

おすすめの記事

条件に該当するページがございません