フォーム読み込み中
AlibabaCloud IPsec-VPNが可能な2つのプロダクト比較
ソリューションアーキテクト
西野 一聖
2020年4月SBクラウド株式会社入社、ソフトバンクに吸収合併後プリセールスエンジニアとしてAlibabaCloudのNetwork・セキュリティプロダクトのローカライズを推進し日中NWの品質改善、リモートアクセス、UTM製品導入案件を主に担当させて頂いております。
2023年3月31日掲載
ご覧頂き有難うございます。ソフトバンクの西野です。
弊社ではパブリッククラウド「Alibaba Cloud」を取り扱っており、中国と日本間の通信品質改善に関する問合せを多数いただきます。一般的に、パブリッククラウドとオンプレミスを接続する手段として、IPsec-VPNを利用することが多いと思います。主な理由としては、コストの面でのメリットが挙げられます。
Alibaba Cloudでは、IPsec-VPNマネージドサービスで提供するプロダクトが「VPN Gateway」と「CEN の IPsec Connection構成」 の2種類があります。本記事では、プロダクトの仕様について比較します。
IPsec-VPNプロダクトの構成紹介
はじめにAlibabaCloudで構成可能なIPsec VPN構成を紹介します。
VPN Gateway構成
- 従来パターン
- VPCの中にVPN Gatewayが所属している。
- VPN GatewayインスタンスにつきIPsec-Tunnelは10本まで収容可能
CEN IPsec Connection構成
新しく出来たパターン
VPC不要で直接Transit RouterにIPsec-Tunnelを収容できるためシンプルな構成が可能
CEN Transit GatewayインスタンスにつきIPsec-Tunnelは16本まで収容可能
IPsec-VPNプロダクト機能比較
比較項目 | VPN Gateway | CEN IPsec Connection |
SLA | 99.95% | 99.95% |
プロダクト帯域幅 | 10Mbps~1Gbps | 1Gbps~16Gbps |
冗長方式 | Active / Standby | Active / Active |
マルチAZ対応 | × | 〇※1 |
IPsec接続最大数 | 10 | 16 |
ルーティング | Static、BGP | Static、BGP |
※1 マルチAZ構成の場合も、CENとしてのSLAは99.99%ではなく99.95%になります。
IPsec over BGP構成における両プロダクトの動作の違い
VPN GatewayとCEN IPsec ConnectionともにBGPを使用できますがルート広報の動作に違いがあります。構成例としてAlibaba Cloudに対してオンプレミスとAzureを接続したパターンで解説します。
VPN Gatewayの場合
VPN GatewayのBGPはAlibaba Cloudからオンプレミスへ広報されるルートはSystemルートのみとなります。カスタムルートやDynamicルート(BGP)の経路は広報されません。
VPN Gateway 構成
対象機器(FortiGate)のルーティングテーブル
Azure側のセグメント172.16.200.0/24,172.16.1.0/24
Alibaba CloudからFortiGateに広報はされていません。
CEN IPsec Connectionの場合
CEN IPsec Connection構成の場合、Alibaba Cloudを経由し対象機器とAzureをIPsec over BGPで接続してもAlibaba Cloudから対向側のルートを広報することが可能です。
CEN IPsec Connection構成
対象機器(FortiGate)のルーティングテーブル
Azure側のセグメント172.16.200.0/24,172.16.1.0/24は、Alibaba CloudからFortiGateに広報されています。ただしデフォルトではループを避けるためTransit Routerに対しIPsec VPN、CCN、VBRのBGP経路を受信しないルートマップが定義されているので赤枠の経路は広報されません。広報するためには別途経路広報するためのルートマップが必要になります。
IPsec-VPNプロダクト料金比較
| 比較項目 | VPN Gateway | CEN IPsec Tunnel |
インスタンス料金 | VPN Gateway 10Mbps:$66.43=JPY8,836 200Mbps:$200.75=JPY26,098 | IPsec connection * 1 TR conncection * 2 $109.5=JPY14,235 |
トラフィック料金 | 同一 | 同一 |
※$1=JPY130のレートにて計算
まとめ
前編では、2種類のIPSec-VPNプロダクトについて、機能比較と価格比較をご紹介させて頂きました。
まとめると以下のような使い分けになります。
CEN IPsec Connectionが適しているケース
マルチAZ冗長
Active / Activeな冗長構成(ECMP通信)
IPsec over BGPを使用したブランチ間通信
VPN Gatewayが適しているケース
シングルAZ
Active / Standbyな冗長構成
Static ルーティング
低コスト
いかがでしたでしょうか、整理してみると両方のプロダクトの違いが明確になり選択し易くなりましたね。
関連記事にCEN IPsec Connectionを使用してAzure Virtual WANと接続する手順をご紹介してますのでご興味があればぜひ読んでみてください。
関連サービス
Alibaba Cloud
Alibaba Cloudは中国国内でのクラウド利用はもちろん、日本-中国間のネットワークの不安定さの解消、中国サイバーセキュリティ法への対策など、中国進出に際する課題を解消できるパブリッククラウドサービスです。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
