Alibaba Cloud の VPN Gateway で VPC間接続を試してみる
こんにちは。
ネクストスケープの開發(@mamikaihatsu)です。
今まで、Alibaba Cloud のVPN接続として
・AlibabaCloudへのリモート接続(Point to Site / SSL-VPN)
・AlibabaCloudとAzureのサイト間接続(Site to Site / SSL-IPsec)
を行いましたが、今回は、前回の予告通り
・AlibabaCloudのVPC間接続(Vpc to Vpc / SSL-IPsec)
を行います。
今回使用する環境
- VPC (Japan) – 172.16.0.0/16
- Vswitch – 172.16.0.0/24
- ECS – 172.16.0.36
- VPC (Singapore) – 192.168.0.0/16
- VSwitch – 192.168.0.0/24
- ECS – 192.168.0.92
手順
上記、各クラウド環境準備済みとし、VPC間接続方法の手順を記載致します。
1.VPN設定(日本リージョン)
- VPN Gateway
2.VPN設定(シンガポールリージョン)
- VPN Gateway
3.接続設定(日本リージョン)
- Customer Gateway
- IPsec Connections
- Route Table
4.接続設定(シンガポールリージョン)
- Customer Gateway
- IPsec Connections
- Route Table
5.有効化(日本リージョン/シンガポールリージョン)
6.接続確認
- 日本リージョン から シンガポールリージョン へプライベートIPで接続
- シンガポールリージョン から 日本リージョン へプライベートIPで接続
1.VPN設定(日本リージョン)
VPN Gateway
AlibabaCloud管理コンソールのVPCから
VPN > VPN Gateways > VPN Gateway の作成
VPC:接続したいECSと 同じVPCを指定
IPsec-VPN:有効化
SSL-VPN:無効化
以上の必要項目を入力して作成します。
作成完了後、パブリックIPが割り当てられるので、メモをしておいてください。
このIPはシンガポールリージョンでの接続設定時に利用します。
2.VPN設定(シンガポールリージョン)
日本リージョンと同じ手順で作成します。
同様に、作成後にパブリックIPが割り当てられるので、メモをしておいてください。
日本リージョンでの接続設定時に利用します。
3.接続設定(日本リージョン)
Customer Gateway
接続先となるシンガポールリージョンのVPNGatewayを設定します。
VPN > Customer Gateways > カスタマーゲートウェイ の作成
IPアドレスには、先ほどメモをしたシンガポールリージョンのVPN GatewayのパブリックIPを入力します。
IPsec Connections
接続元と接続先、接続方法などを設定します。
VPN > IPsec Connections > VPN接続 の作成
VPN Gateway:接続元となる日本リージョンの VPN Gateway
カスタマーゲートウェイ:先ほど接続先のシンガポールリージョンのVPNGatewayを設定したカスタマーゲートウェイ
ローカルネットワーク:日本リージョンのVSwitchのIP範囲(本記事の例だと172.16.0.0/24)
リモートネットワーク:シンガポールリージョンのVSwitchのIP範囲(本記事の例だと192.168.0.0/24)
※ローカルネットワークおよびリモートネットワークは、接続させる範囲になるので、VPCや複数VSwitchのIP範囲指定も可能。
直ちに有効:いいえ(まだシンガポールリージョン側の設定が終わっていないので、後で有効化します)
高度な構成:ON (※接続元と接続先の設定内容は基本的に合わせておきます)
事前共有鍵:任意の英数字。シンガポールリージョン側の設定時に同じ値を入力する必要があります。
Route Table
接続先となるシンガポールリージョン側のIP範囲をルートテーブルに追加しておきます。
VPC > Route Tables > ルートエントリの追加
ターゲット CIDR :接続先となるシンガポールリージョンのVSwitchIP範囲(本記事の例だと 192.168.0.0/24)
Next Hop タイプ: VPN Gateway
VPN Gateway:接続元となる日本リージョンのVPN Gatewayを指定する
4.接続設定(シンガポールリージョン)
日本リージョンと同じ手順です。
シンガポールリージョン側のIPを指定していた部分は日本リージョン側のIPに置き換えて作成します。
5.有効化(日本リージョン/シンガポールリージョン)
日本リージョンとシンガポールリージョンの設定が完了したので、両方の
VPN > IPsec Connections から先ほど作成した接続設定を表示し、
直ちに設定:ON にして接続を開始します。
しばらくすると、日本リージョンとシンガポールリージョンが、接続ステータスが緑●になっている事が確認出来ます。
6.接続確認
日本リージョンからシンガポールリージョンへプライベートIPで接続
日本リージョンにある[172.16.0.36のECS]からシンガポールリージョンの[192.168.0.92のECS]へpingを飛ばしてみます。
繋がりますね!
シンガポールリージョンから日本リージョンへプライベートIPで接続
シンガポールリージョンの[192.168.0.92のECS]から日本リージョンにある[172.16.0.36のECS]へpingを飛ばしてみます。
こちらも繋がりました!
まとめ
例えば、図のようにAとBをVPN Gatewayで繋ぎ、BとCをVPN Gatewayで繋いだ場合、
この状態だとAとCは繋がりません。
AとCを繋ぎたい場合は、A、Bにそれぞれ接続先のCustomer GatewayとIPsec Connections、RouteTable追加が必要です。
ちなみに、ExpressConnectを導入すればBGP対応してます。
ExpressConnectってお高いんでしょ?
!!!!
同じリージョンのVPC間の接続は2019年2月25日から無料になってました!
これだと、同じリージョンだとVPN GatewayよりExpress Connectを使用した方がお得って事ですね。
たぶん、設定も楽そうだし・・って事で、次回はExpress Connectで色々試してみようかと思います。