Alibaba Cloud の VPN Gateway で VPC間接続を試してみる

こんにちは。
ネクストスケープの開發@mamikaihatsu)です。

今まで、Alibaba Cloud のVPN接続として

AlibabaCloudへのリモート接続(Point to Site / SSL-VPN)
AlibabaCloudとAzureのサイト間接続(Site to Site / SSL-IPsec)

を行いましたが、今回は、前回の予告通り

・AlibabaCloudのVPC間接続(Vpc to Vpc / SSL-IPsec)

を行います。


今回使用する環境

  • VPC (Japan) – 172.16.0.0/16
    • Vswitch – 172.16.0.0/24
      • ECS – 172.16.0.36
  • VPC (Singapore) – 192.168.0.0/16
    • VSwitch – 192.168.0.0/24
      • ECS – 192.168.0.92

手順

上記、各クラウド環境準備済みとし、VPC間接続方法の手順を記載致します。

1.VPN設定(日本リージョン) 

  • VPN Gateway

2.VPN設定(シンガポールリージョン) 

  • VPN Gateway

3.接続設定(日本リージョン) 

  • Customer Gateway
  • IPsec Connections
  • Route Table

4.接続設定(シンガポールリージョン) 

  • Customer Gateway
  • IPsec Connections
  • Route Table

5.有効化(日本リージョン/シンガポールリージョン) 

6.接続確認 

  • 日本リージョン から シンガポールリージョン へプライベートIPで接続
  • シンガポールリージョン から 日本リージョン へプライベートIPで接続

1.VPN設定(日本リージョン)

VPN Gateway


AlibabaCloud管理コンソールのVPCから 
VPN > VPN Gateways > VPN Gateway の作成


VPC:接続したいECSと 同じVPCを指定
IPsec-VPN:有効化
SSL-VPN:無効化
以上の必要項目を入力して作成します。


作成完了後、パブリックIPが割り当てられるので、メモをしておいてください。
このIPはシンガポールリージョンでの接続設定時に利用します。


2.VPN設定(シンガポールリージョン)


日本リージョンと同じ手順で作成します。

同様に、作成後にパブリックIPが割り当てられるので、メモをしておいてください。
日本リージョンでの接続設定時に利用します。


3.接続設定(日本リージョン)

Customer Gateway

接続先となるシンガポールリージョンのVPNGatewayを設定します。


VPN > Customer Gateways > カスタマーゲートウェイ の作成


IPアドレスには、先ほどメモをしたシンガポールリージョンのVPN GatewayのパブリックIPを入力します。

IPsec Connections

接続元と接続先、接続方法などを設定します。


VPN > IPsec Connections > VPN接続 の作成



VPN Gateway:接続元となる日本リージョンの VPN Gateway
カスタマーゲートウェイ:先ほど接続先のシンガポールリージョンのVPNGatewayを設定したカスタマーゲートウェイ
ローカルネットワーク:日本リージョンのVSwitchのIP範囲(本記事の例だと172.16.0.0/24)
リモートネットワーク:シンガポールリージョンのVSwitchのIP範囲(本記事の例だと192.168.0.0/24)
※ローカルネットワークおよびリモートネットワークは、接続させる範囲になるので、VPCや複数VSwitchのIP範囲指定も可能。
直ちに有効:いいえ(まだシンガポールリージョン側の設定が終わっていないので、後で有効化します)
高度な構成:ON (※接続元と接続先の設定内容は基本的に合わせておきます)
事前共有鍵:任意の英数字。シンガポールリージョン側の設定時に同じ値を入力する必要があります。

Route Table

接続先となるシンガポールリージョン側のIP範囲をルートテーブルに追加しておきます。


VPC > Route Tables > ルートエントリの追加
ターゲット CIDR :接続先となるシンガポールリージョンのVSwitchIP範囲(本記事の例だと 192.168.0.0/24)
Next Hop タイプ: VPN Gateway
VPN Gateway:接続元となる日本リージョンのVPN Gatewayを指定する


4.接続設定(シンガポールリージョン)


日本リージョンと同じ手順です。
シンガポールリージョン側のIPを指定していた部分は日本リージョン側のIPに置き換えて作成します。


5.有効化(日本リージョン/シンガポールリージョン)


日本リージョンとシンガポールリージョンの設定が完了したので、両方の
VPN > IPsec Connections から先ほど作成した接続設定を表示し、
直ちに設定:ON にして接続を開始します。



しばらくすると、日本リージョンとシンガポールリージョンが、接続ステータスが緑になっている事が確認出来ます。


6.接続確認

日本リージョンからシンガポールリージョンへプライベートIPで接続

日本リージョンにある[172.16.0.36のECS]からシンガポールリージョンの[192.168.0.92のECS]へpingを飛ばしてみます。


繋がりますね!

シンガポールリージョンから日本リージョンへプライベートIPで接続

シンガポールリージョンの[192.168.0.92のECS]から日本リージョンにある[172.16.0.36のECS]へpingを飛ばしてみます。


こちらも繋がりました!


まとめ


例えば、図のようにAとBをVPN Gatewayで繋ぎ、BとCをVPN Gatewayで繋いだ場合、
この状態だとAとCは繋がりません。
AとCを繋ぎたい場合は、A、Bにそれぞれ接続先のCustomer GatewayとIPsec Connections、RouteTable追加が必要です。
ちなみに、ExpressConnectを導入すればBGP対応してます。

ExpressConnectってお高いんでしょ?


!!!!
同じリージョンのVPC間の接続は2019年2月25日から無料になってました!
これだと、同じリージョンだとVPN GatewayよりExpress Connectを使用した方がお得って事ですね。
たぶん、設定も楽そうだし・・って事で、次回はExpress Connectで色々試してみようかと思います。