Alibaba Cloud の VPN Gateway で VPC間接続を試してみる

こんにちは。
ネクストスケープの開發（@mamikaihatsu）です。

今まで、Alibaba Cloud のVPN接続として

・AlibabaCloudへのリモート接続(Point to Site / SSL-VPN)
・AlibabaCloudとAzureのサイト間接続(Site to Site / SSL-IPsec)

を行いましたが、今回は、前回の予告通り

・AlibabaCloudのVPC間接続(Vpc to Vpc / SSL-IPsec)

を行います。

---

今回使用する環境

• VPC (Japan) – 172.16.0.0/16
• Vswitch – 172.16.0.0/24
• ECS – 172.16.0.36
• VPC (Singapore) – 192.168.0.0/16
• VSwitch – 192.168.0.0/24
• ECS – 192.168.0.92

---

手順

上記、各クラウド環境準備済みとし、VPC間接続方法の手順を記載致します。

1.VPN設定（日本リージョン）　

• VPN Gateway

2.VPN設定（シンガポールリージョン）　

• VPN Gateway

3.接続設定（日本リージョン）　

• Customer Gateway
• IPsec Connections
• Route Table

4.接続設定（シンガポールリージョン）　

• Customer Gateway
• IPsec Connections
• Route Table

5.有効化（日本リージョン/シンガポールリージョン）　

6.接続確認　

• 日本リージョン から シンガポールリージョン へプライベートIPで接続
• シンガポールリージョン から 日本リージョン へプライベートIPで接続

---

1.VPN設定（日本リージョン）

VPN Gateway

AlibabaCloud管理コンソールのVPCから　
VPN > VPN Gateways > VPN Gateway の作成

VPC：接続したいECSと 同じVPCを指定
IPsec-VPN：有効化
SSL-VPN：無効化
以上の必要項目を入力して作成します。

作成完了後、パブリックIPが割り当てられるので、メモをしておいてください。
このIPはシンガポールリージョンでの接続設定時に利用します。

---

2.VPN設定（シンガポールリージョン）

日本リージョンと同じ手順で作成します。

同様に、作成後にパブリックIPが割り当てられるので、メモをしておいてください。
日本リージョンでの接続設定時に利用します。

---

3.接続設定（日本リージョン）

Customer Gateway

接続先となるシンガポールリージョンのVPNGatewayを設定します。

VPN > Customer Gateways > カスタマーゲートウェイ の作成

IPアドレスには、先ほどメモをしたシンガポールリージョンのVPN GatewayのパブリックIPを入力します。

IPsec Connections

接続元と接続先、接続方法などを設定します。

VPN > IPsec Connections > VPN接続 の作成

VPN Gateway：接続元となる日本リージョンの VPN Gateway
カスタマーゲートウェイ：先ほど接続先のシンガポールリージョンのVPNGatewayを設定したカスタマーゲートウェイ
ローカルネットワーク：日本リージョンのVSwitchのIP範囲(本記事の例だと172.16.0.0/24)
リモートネットワーク：シンガポールリージョンのVSwitchのIP範囲(本記事の例だと192.168.0.0/24)
※ローカルネットワークおよびリモートネットワークは、接続させる範囲になるので、VPCや複数VSwitchのIP範囲指定も可能。
直ちに有効：いいえ（まだシンガポールリージョン側の設定が終わっていないので、後で有効化します）
高度な構成：ON　（※接続元と接続先の設定内容は基本的に合わせておきます）
事前共有鍵：任意の英数字。シンガポールリージョン側の設定時に同じ値を入力する必要があります。

Route Table

接続先となるシンガポールリージョン側のIP範囲をルートテーブルに追加しておきます。

VPC > Route Tables > ルートエントリの追加
ターゲット CIDR ：接続先となるシンガポールリージョンのVSwitchIP範囲(本記事の例だと 192.168.0.0/24)
Next Hop タイプ： VPN Gateway
VPN Gateway：接続元となる日本リージョンのVPN Gatewayを指定する

---

4.接続設定（シンガポールリージョン）

日本リージョンと同じ手順です。
シンガポールリージョン側のIPを指定していた部分は日本リージョン側のIPに置き換えて作成します。

---

5.有効化（日本リージョン/シンガポールリージョン）

日本リージョンとシンガポールリージョンの設定が完了したので、両方の
VPN > IPsec Connections から先ほど作成した接続設定を表示し、
直ちに設定：ON　にして接続を開始します。

しばらくすると、日本リージョンとシンガポールリージョンが、接続ステータスが緑●になっている事が確認出来ます。

---

6.接続確認

日本リージョンからシンガポールリージョンへプライベートIPで接続

日本リージョンにある[172.16.0.36のECS]からシンガポールリージョンの[192.168.0.92のECS]へpingを飛ばしてみます。

繋がりますね！

シンガポールリージョンから日本リージョンへプライベートIPで接続

シンガポールリージョンの[192.168.0.92のECS]から日本リージョンにある[172.16.0.36のECS]へpingを飛ばしてみます。

こちらも繋がりました！

---

まとめ

例えば、図のようにAとBをVPN Gatewayで繋ぎ、BとCをVPN Gatewayで繋いだ場合、
この状態だとAとCは繋がりません。
AとCを繋ぎたい場合は、A、Bにそれぞれ接続先のCustomer GatewayとIPsec Connections、RouteTable追加が必要です。
ちなみに、ExpressConnectを導入すればBGP対応してます。

ExpressConnectってお高いんでしょ？

！！！！
同じリージョンのVPC間の接続は２０１９年２月２５日から無料になってました！
これだと、同じリージョンだとVPN GatewayよりExpress Connectを使用した方がお得って事ですね。
たぶん、設定も楽そうだし・・って事で、次回はExpress Connectで色々試してみようかと思います。