フォーム読み込み中
Alibaba CloudとAzureをIPsec-VPNで繋ぐ方法
クラウドエンジニア
結城 翔斗
オンプレミス企業でテクニカルサポート、プロジェクトマネージャーの経験を経て2020年にソフトバンク株式会社に入社し、Alibaba Cloudのプロダクトに関するテクニカルサポート業務に従事。
2023年1月20日掲載
ご覧いただきありがとうございます。ソフトバンクの結城です。
パブリッククラウドを取り扱っていると、異なるクラウドのプライベートネットワーク同士を接続したいといったご要望をよく聞くことがあります。これを実現する方法の一つとして、IPsec-VPNを使った接続方法が挙げられます。また、弊社では中国に強みを持ったパブリッククラウド「Alibaba Cloud」を取り扱っているため、中国でのビジネス展開に向けたご相談をいただくことがしばしばあります。その中で、中国現地でクラウド環境を構築しつつ、その環境と他のパブリッククラウドを接続したい、といったご要望もいただくことがあります。
そこで今回は、中国で最も使われているAlibaba Cloudと世界4大クラウドであるAzureをIPsec-VPNでプライベートネットワーク同士を接続する方法について紹介いたします。
▼関連記事
● パブリッククラウドVPNのサービス比較 (Alibaba Cloud / AWS / Azure / Google Cloud)
● Alibaba CloudとAWSをIPsec-VPNで繋いでみました
● Alibaba CloudとGoogle Cloudを接続してみた ※構築手順付き
- Alibaba Cloudの中国リージョンと、Azureの東京リージョンをIPsec-VPNで接続する手順を紹介する記事です
- 知識の無い方でもこの通りにやれば接続出来るように説明しています。
- ご自身の環境同士を繋ぐには環境に合わせたカスタマイズが必要です。
Alibaba CloudとAzureが提供する中国リージョンについて
Alibaba Cloudでは15か国 / 28リージョン(2023年1月12日現在)、Azureでは19か国 / 40リージョン(2023年1月12日現在)が提供されています。
このうち中国リージョンとして、Alibaba Cloudは「青島、北京、張家口、フフホト、ウランチャブ、杭州、上海、深セン、河源、広州、成都」リージョンが提供されています。また、Alibaba Cloudでは中国本土外に香港リージョンが提供されています。一方、Azureでは「中国東部(上海)、中国東部2(上海)、中国東部3(jiangsu)、中国北部(北京)、中国北部(北京)、中国北部(河北)」リージョンが提供されています。
何故、複数のパブリッククラウドをあわせて利用するのか
パブリッククラウドが提供しているリージョン / ゾーンの考え方としては、リージョン = 国 / 地域、ゾーン = データセンターの所在地という考え方が一般的です。利用する場所が、利用リージョン / ゾーンに近いほど、通信の遅延を最小限に抑えることができ、なおかつレスポンスタイムを短くすることができます。一方、利用する場所が、利用リージョン / ゾーンから遠いほど通信の遅延は増え、レスポンスタイムが長くなります。異なるパブリッククラウド同士をあわせて利用する理由としては、利用する場所 / 地域に近いリージョン / ゾーンが提供されている、メインで使っているパブリッククラウドに無いプロダクトや機能を利用したいといった理由があります。
パブリッククラウドのVPN比較、料金について
別のBlogでご紹介していますので詳細については、パブリッククラウドVPNのサービス比較(Alibaba Cloud / AWS / Azure / Google Cloud)をご参照ください。
IPsec-VPNでAlibaba Cloud環境とAzure環境を接続する手順
■構成図
■検証内容
クラウド間をIPsec VPNで接続し、それぞれのクラウドに設置した仮想サーバ間でプライベート通信が可能か検証する
■検証方法
Alibaba CloudのECSとAzureのVirtual Machinesで双方からそれぞれのプライベートIPに対しpingを実行し、疎通確認
■利用プロダクト
●Alibaba Cloud
VPC
VPN Gateway
ECS
●Azure
仮想ネットワーク
仮想ネットワークゲートウェイ
ローカルネットワークゲートウェイ
Virtual Machines
■事前準備
●Alibaba Cloud
VPC : 10.0.0.0/16 (北京リージョン)
vSwitch : 10.0.1.0/24 (北京リージョン)
ECS : CentOS7.7 / パブリックIP付与 / 北京リージョン
Security Group : ICMPをALL, 検証で使用するクライアント環境の接続元IPアドレスをSSHで許可
※Alibaba Cloudで中国リージョンのプロダクトを利用する場合、実名認証を完了させている必要があります。詳細については、Real-name registration FAQsをご参照ください。
●Azure
仮想ネットワーク : 172.18.0.0/16 (Japan Eastリージョン)
サブネット : 172.18.0.0/24 (Japan Eastリージョン)
Virtual Machines : CentOS7 / パブリックIP付与 / Japan East
※インターネットに接続ができる状態
受信ポートの制限 : ICMPをALL, 検証で使用するクライアント環境の接続元IPアドレスをSSHで許可
■設定時間の目安
30 ~ 45分ほど
■設定の流れ
1. Alibaba Cloud側での設定
2. Azure側での設定
3. Alibaba Cloud側での設定
4. 動作確認前のチェック
※Alibaba CloudとAzureを交互で設定します。最初にVPN Gateway / 仮想ネットワークゲートウェイのどちらかを作成する必要があります。理由としては、Alibaba CloudまたはAzureのVPN製品でグローバルIPを持つGatewayを対向側で設定する必要があります。
■設定手順: Alibaba Cloud側での設定
<1-1>
Alibaba Cloudコンソールにログインし、プロダクト一覧より「VPN Gateway」を選択します。
<1-2>
「Create VPN Gateway」をクリックし、VPN Gatewayの作成を行います。
<1.3>
以下の通りパラメータを設定し、VPN Gatewayを作成します。
■設定パラメータ
設定項目 | パラメータ |
|---|---|
Name | 任意の名前を入力 |
Region | China(Beijing) |
Gateway Type | Standard |
Network Type | Public |
VPC | 事前に作成したVPCを選択 |
Specify VSwitch | No |
Maximum Bandwidth | 10 Mbit/s |
Traffic | Pay-by-data-transfer |
IPsec-VPN | Enable |
SSL-VPN | Disable |
<1-4>
作成されたVPN Gatewayが表示されるか確認します。
※VPN GatewayのIPは以降の設定で入力しますのでメモしておいてください。
■設定手順:Azure側での設定
<2-1>
Azureコンソールにログインし、プロダクト一覧より「仮想ネットワークゲートウェイ」を選択し、「作成」をクリックします。
<2-2>
以下の通りパラメータを設定し、仮想ネットワークゲートウェイを作成します。
■設定パラメータ
設定項目 | パラメータ |
サブスクリプション | サブスクリプションを選択 |
リソースグループ | 任意のリソースグループを選択 |
名前 | 任意の名前を入力 |
地域 | Japan East |
ゲートウェイの種類 | VPN |
VPNの種類 | ルートベース |
Maximum Bandwidth | 10 Mbit/s |
SKU | VpnGw1 |
世代 | Generation1 |
仮想ネットワーク | 事前に準備した仮想ネットワークを選択 |
サブネット | 事前に準備したサブネットを選択 |
パブリックIPアドレスの種類 | Basic |
パブリックIPアドレス | 新規作成 |
パブリックIPアドレス名 | 任意の名前を入力 |
アクティブ.アクティブ モードの有効化 | 無効 |
BGPの構成 | 無効 |
<2-3>
仮想ネットワークゲートウェイが作成されたことを確認します。
後程、仮想ネットワークゲートウェイのパブリックIPをAlibaba Cloudに設定しますので、メモしておいてください。
<2-4>
プロダクト一覧より「ローカルネットワークゲートウェイ」を選択し、「作成」をクリックします。
<2-5>
以下の通りパラメータを設定し、ローカルネットワークゲートウェイを作成します。
■設定パラメータ
設定項目 | パラメータ |
サブスクリプション | サブスクリプションを選択 |
リソースグループ | 任意のリソースグループを選択 |
地域 | Japan East |
名前 | 任意の名前を入力 |
エンドポイント | IPアドレス |
IPアドレス | <1-4>でメモしたAlibaba Cloud VPN Gatewayのアドレスを入力 |
アドレス空間 | 事前に準備したAlibaba Cloud VPCのCIDRブロックを入力 |
<2-6>
ローカルネットワークゲートウェイが作成されたことを確認します。
<2-7>
<2-3>で作成した仮想ネットワークゲートウェイのIDをクリックします。
<2-8>
「接続」をクリックし、「追加」をクリックします。
<2-9>
以下の通りパラメータを設定し、接続を作成します。
事前共有キー(PSK)は、以降の設定で入力しますのでメモしておいてください。
■設定パラメータ
設定項目 | パラメータ |
名前 | 任意の名前を入力 |
接続の種類 | サイト対サイト(IPsec) |
仮想ネットワークゲートウェイ | <2-3>で作成した仮想ネットワークゲートウェイを選択 |
ローカルネットワークゲートウェイ | <2-6>で作成したローカルネットワークゲートウェイを選択 |
事前共有キー(PSK) | 任意の値を入力します。 ※今回は「ipsecalibabaazure12345」と入力 |
IKEプロトコル | IKEv2 |
<2-10>
IPsec接続が作成されたことを確認します。
※Alibaba Cloud側のIPsec-VPNの設定がされていないため、状態が「不明」となっています。このため、状態が「不明」の状態で以降の手順を実施ください。
Azure側のIPsec-VPNの設定は以上となります。
■設定手順:Alibaba Cloud側での設定
<3-1>
Alibaba Cloudコンソールにログインし、プロダクト一覧より「VPN Gateway」を選択します。表示された画面の左ペイン「VPN」のタブをクリックし、「Customer Gateways」をクリックします。その後、「Create Customer Gateways」をクリックし、カスタマーゲートウェイを作成します。
<3-2>
以下の通りパラメータを設定し、カスタマーゲートウェイを作成します。
■設定パラメータ
設定項目 | パラメータ |
Name | 任意の名前を入力 |
IP Address | <2-3>でメモした仮想ネットワークゲートウェイのアドレスを入力 |
<3-3>
カスタマーゲートウェイが作成されたことを確認します。
<3-4>
プロダクト一覧より「VPN Gateway」を選択します。表示された画面の左ペイン「VPN」のタブをクリックし、「IPsec Connections」をクリックします。その後、「Create IPsec Connection」をクリックし、IPsec Connectionを作成します。
<3-5>
以下の通りパラメータを設定し、IPsec Connectionを作成します。
■設定パラメータ
設定項目 | パラメータ |
Name | 任意の名前を入力 |
Associate Resource | VPN Gateway |
VPN Gateway | <1-3>で作成したVPN Gatewayを選択 |
Customer Gateway | <3-2>で作成したCustomer Gatewayを選択 |
Routing Mode | Destination Routing Mode |
Effective Immediately | Yes |
Pre-Shared Key | <2-9>でメモした事前共有キー(PSK)を入力 |
Version | ikev2 |
Negotiation Mode | main |
Encryption Algorithm | aes |
Authentication Algorithm | sha1 |
DH Group | group2 |
SA Life Cycle (secounds) | 86400 (デフォルト値) |
LocalId | Alibaba Cloud ECSに設定したVPCのCIDR Blockを入力 |
RemoteId | Azure Virtual Machinesに設定した仮想ネットワークのCIDR Blockを入力 |
Encryption Algorithm | aes |
Authentication Algorithm | sha1 |
DH Group | group2 |
SA Life Cycle (secounds) | 86400 (デフォルト値) |
<3-6>
IPsec Connectionが作成されたことを確認します。
※「Phase 1 negotiations failed」になっているのはAlibaba Cloud VPN Gatewayでルーティングが設定されていないためです。このまま以降の手順を実施ください。
<3-7>
<1-3>で作成したAlibaba Cloud VPN GatewayのIDをクリックすると以下の画面が表示されます。「Policy-based Routing」のタブをクリックし、「Add Route Entry」をクリックし、ルートエントリを作成します。
<3-8>
以下の通りパラメータを設定し、ルートエントリを作成します。
■設定パラメータ
設定項目 | パラメータ |
Destination CIDR Block | Azure Virtual Machinesに設定した仮想ネットワークのCIDR Blockを入力 |
Source CIDR Block | Alibaba Cloud ECSに設定したVPCのCIDR Blockを入力 |
Next Hop Type | IPsec Connection |
Next Hop | <3-5>で作成したIPsec Connectionを選択 |
Publish to VPC | Yes |
Weight | 100(Active) |
Policy Priority | 10 |
<3-9>
ルートエントリが作成されたことを確認します。
Alibaba Cloud側の設定は以上となります。
■動作確認
<動作確認前のチェック>
●Alibaba Cloud
IPsec ConnectionのConnection Statusが「Phase2 negotiations succeeded.」であることを確認します。
●Azure
接続の状態が「接続済み」であることを確認します。
ステータス、状態が失敗になっている場合、パラメータの設定間違いや、設定パラメータが異なっている可能性が考えられます。
ご紹介させていただいた手順をもう一度確認いただき、設定パラメータをご確認ください。
解決しない場合、以下のドキュメントをご参照ください。
●Alibaba Cloud : FAQ about IPsec-VPN connections
●Azure : トラブルシューティング: Azure サイト間 VPN が動作を停止して接続できない
<疎通確認>
① Alibaba Cloud ECSとAWS EC2にそれぞれSSHログインします。
② Alibaba Cloud ECSとAWS EC2のプライベートIPに対して、それぞれの環境からプライベートIPに対してpingを実行します。
●Alibaba Cloud ECS環境
●Azure Virtual Machines環境
結果を見ると、Alibaba Cloud ECSからAzure Virtual Machines、Azure Virtual MachinesからAlibaba Cloud ECSでそれぞれping応答があり、ネットワークの疎通ができていることが分かります。
さいごに
今回はAlibaba CloudとAzureをIPsec-VPNで接続する方法についてご紹介させていただきましたがいかがでしたでしょうか。
Azureのほか、4大クラウドのAWS, Google Cloudも中国リージョンの提供数が少なく、AWS, Azure Google Cloudをメインで利用しているが、提供されている中国リージョンから利用リージョン / ゾーンから遠いといった場合、中国リージョンの提供数が多いAlibaba Cloudと併せてマルチクラウドで利用することをお勧めいたします。
関連サービス
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
