トップ > techblog > Alibaba CloudとMicrosoft AzureをVPN接続する

Alibaba CloudとMicrosoft AzureをVPN接続する

techblog security

こんにちは。SB Cloud ソリューションアーキテクトのMIです。 今回はAlibaba CloudとMicrosoft AzureのVPN接続を検証しました。 また少し長くなりますが、ご紹介いたします!

1. 検証環境構成図

<環境前提>

  • Alibaba Cloud側にVPC1、Microsoft AzureにVPC2が作成されていること
  • VPC1、VPC2はインターネットと通信可能であること
  • Alibaba CloudにECS、Microsoft Azureに仮想マシンが作成されていること
  • Alibaba Cloud セキュリティグループはicmpの通信が許可されていること※Microsoft Azureはicmpプロトコルを指定した通信許可設定ができないため、ECS(172.31.10.41)との通信をすべて許可する

2. Alibaba Cloud VPN Gatewayの作成

2.1 VPCコンソールにログインします。 2.2 左側のナビゲーションペインで、[VPN] > [VPN Gateways] をクリックします。 2.3 [VPN Gateway] ページで、[VPN Gateway の作成] をクリックします。 2.4 VPN Gateway を設定します。本手順では、 VPN Gateway は次の設定を使用します。 リージョン:[日本(東京)] を選択します。 注意:接続先の VPC のリージョンと VPN Gateway のリージョンは、同じにしてください。 VPC:接続先の VPC を選択します。本手順では、VPC1 を選択します。 帯域幅仕様:帯域幅の仕様を選択します。本手順は[10 Mbp] を選択しています。 IPsec-VPN:[有効化] を選択します。 SSL-VPN:[無効化] を選択します。2.5 [VPN Gateway] ページに戻り、[日本(東京)] リージョンをクリックすると、作成した VPN Gateway が表示されます。※VPN Gateway の初期ステータスは、準備中です。ステータスが正常に変わると、VPN Gateway が使用可能になったことを示します。 2.6 [名前]をクリックし、任意の名前を入力します。本手順では[vgw-ali2azu]を入力します。本手順のVPN Gateway の設定情報を次の表に示します。

VPN Gateway ID/名前 VPN Gateway パブリックIP アドレス VPC
vpn-xxxxxjuy vgw-ali2azu 47.xxx.xxx.80 名前:VPC1 ID:vpc-xxxxbg IP アドレス範囲:172.16.0.0/12

3. Microsoft Azure 仮想ネットワークゲートウェイの作成

3.1 [+新規]ー[ネットワーキング]ー[仮想ネットワーク ゲートウェイ]を選択します。 3.2 仮想ネットワークゲートウェイを設定します。本手順では次の設定を使用します

名前:任意の名前を入力します。本手順では[vgw-azu2ali]を入力します。 ゲートウェイの種類:[VPN]を選択します。 SKU:[Basic]を選択します。 仮想ネットワーク:[vpc2]を選択します。 ゲートウェイ サブネットのアドレス範囲:[10.0.0.0/24]を入力します。 ※この設定は、仮想ネットワーク用のゲートウェイ サブネットを事前に作成しなかった場合のみ表示されます。 有効なゲートウェイ サブネットを事前に作成した場合、この設定は表示されません。 パブリックIPアドレス:新規で作成します。名前:[azu2ali-ip]  SKU:[Basic] サブスクリプション:[従量課金]を選択します。 場所:[東日本]を選択します。 3.3 [作成] をクリックします。

本手順のローカルネットワークゲートウェイの設定情報を次の表に示します。

名前 仮想ネットワーク パブリックIPアドレス
vgw-azu2ali vpc2 13.xxx.xxx.1

4. Microsoft Azure ローカルネットワークゲートウェイの作成

4.1 [+新規]ー[ネットワーキング]ー[ローカルネットワーク ゲートウェイ]を選択します。 4.2 ローカルネットワークゲートウェイを設定します。本手順では次の設定をし用します。

名前:任意の名前を入力します。本手順では[cgw-ali]を入力します。 IPアドレス:Alibaba CloudのVPN Gateway パブリック IP アドレスを入力します。本手順では[47.xxx.xxx.80]を入力します。 アドレス空間:Alibaba Cloud VSwitchのCIDERブロック[172.31.10.0/24]を入力します。 サブスクリプション:[従量課金]を選択します。 リソース グループ:[既存のものを使用]を選択し、[vpn-rg]を選択します。 場所:[東日本]を選択します。 4.3 [作成] をクリックします。

本手順のローカルネットワークゲートウェイの設定情報を次の表に示します。

名前 アドレス空間 IPアドレス
cgw-ali 172.31.10.0/24 47.xxx.xxx.80

5. Microsoft Azure 「接続」の作成

5.1 [すべてのサービス]ー[ローカルネットワーク ゲートウェイ]ー[cgw-ali] ー[接続] ー[追加]を選択します。 5.2 「接続」を設定します。本手順では次の設定を使用します。名前:任意の名前を入力します。本手順では[vpn-ali2azu]を入力します。 接続の種類:[サイト対サイト(IPsec)]を選択します。 仮想ネットワーク ゲートウェイ:[vgw-azu2ali] を選択します。 共有キー(PSK):[Psk2018xx]を入力します。 5.3 [OK] をクリックします。

6. Alibaba Cloud カスタマーゲートウェイの作成

6.1 VPCコンソールにログインします。 6.2 左側のナビゲーションペインで、[VPN] > [VPN Gateways] をクリックします。 6.3 [Customer Gateway] ページで、[カスタマーゲートウェイの作成] をクリックします。 6.4 [名前]に任意の名前を入力します。本手順では[cgw-azu]を入力します。6.5 [IPアドレス]に[13.xxx.xxx.1]を入力します。 6.6 [OK]をクリックします。

本手順のカスタマーゲートウェイの設定情報を次の表に示します。

カスタマーゲートウェイ名前 IPアドレス
cgw-azu 13.xxx.xxx.1

7. Alibaba Cloud VPN接続の作成

7.1 左側のナビゲーションペインで、[VPN] > [IPSec Connections] をクリックします。 7.2 [IPSec Connections] ページで、[VPN接続の作成] をクリックします。 7.3 VPN接続を設定します。本手順では次の設定を使用します。名前:任意の名前を入力します。本手順では[vpn-ali2azu]を入力します。 VPN Gateway:[vgw-ali2azu]を選択します。 カスタマーゲートウェイ:[cgw-azu]を選択します。 ローカルネットワーク:Alibaba Cloud VSwitchのCIDERブロック[172.31.10.0/24]を入力します。 リモートネットワーク:Microsft Azure SubnetのCIDERブロック[10.0.10.0/24]を入力します。 直ちに有効:[はい]を選択します。 高度な設定:[ON]にします。 事前共有鍵:[Psk2018xx] を入力します。 ※その他の設定項目はデフォルト値 7.4 [OK]をクリックします。 7.5 接続ステータスが「IKE トンネルネゴシエーションの フェーズ 2 成功」になっていることを確認します。

8. Alibaba Cloud ルートテーブルの追加

8.1 左側のナビゲーションペインで、[Route Tables] をクリックします。Route Tablesの一覧からVPC列に[VPC1]が表示されているRoute TablesのIDをクリックします。 8.2 [ルートエントリの追加]をクリックします。 8.3 [ターゲットCIDR]にMicrosoft Azure SubnetのCIDERブロック[10.0.10.0/24]を入力します。8.4 [Next Hopタイプ]に[VPN Gateway]を選択します。 8.5 [VPN Gateway]に[vgw-ali2azu|vpn-xxxxxjuy]を選択します。 8.6 [OK]をクリックします。

9. 疎通確認

9.1 Alibaba Cloud ECS(172.31.10.41)からMicrosoft Azure 仮想マシン(10.0.10.171)へのping疎通確認を行います。

[root@172.31.10.41 ~]# ping 10.0.10.171
PING 10.0.10.171 (10.0.10.171) 56(84) bytes of data.
64 bytes from 10.0.10.171: icmp_seq=1 ttl=63 time=5.70 ms
64 bytes from 10.0.10.171: icmp_seq=2 ttl=63 time=5.21 ms
64 bytes from 10.0.10.171: icmp_seq=3 ttl=63 time=5.25 ms
64 bytes from 10.0.10.171: icmp_seq=4 ttl=63 time=5.27 ms
64 bytes from 10.0.10.171: icmp_seq=5 ttl=63 time=5.33 ms
64 bytes from 10.0.10.171: icmp_seq=6 ttl=63 time=5.14 ms
64 bytes from 10.0.10.171: icmp_seq=7 ttl=63 time=5.30 ms
64 bytes from 10.0.10.171: icmp_seq=8 ttl=63 time=5.34 ms
64 bytes from 10.0.10.171: icmp_seq=9 ttl=63 time=5.24 ms
64 bytes from 10.0.10.171: icmp_seq=10 ttl=63 time=5.23 ms

9.2 Microsoft Azure 仮想マシン(10.0.10.171)から Alibaba Cloud ECS(172.31.10.41) へのping疎通確認を行います。

[root@10.0.10.171 ~]# ping 172.31.10.41
PING 172.31.10.41 (172.31.10.41) 56(84) bytes of data.
64 bytes from 172.31.10.41: icmp_seq=1 ttl=63 time=5.36 ms
64 bytes from 172.31.10.41: icmp_seq=2 ttl=63 time=5.12 ms
64 bytes from 172.31.10.41: icmp_seq=3 ttl=63 time=5.16 ms
64 bytes from 172.31.10.41: icmp_seq=4 ttl=63 time=5.16 ms
64 bytes from 172.31.10.41: icmp_seq=5 ttl=63 time=5.25 ms
64 bytes from 172.31.10.41: icmp_seq=6 ttl=63 time=5.15 ms
64 bytes from 172.31.10.41: icmp_seq=7 ttl=63 time=5.24 ms
64 bytes from 172.31.10.41: icmp_seq=8 ttl=63 time=5.20 ms
64 bytes from 172.31.10.41: icmp_seq=9 ttl=63 time=5.26 ms
64 bytes from 172.31.10.41: icmp_seq=10 ttl=63 time=5.29 ms

まとめ

いかがでしたでしょうか。Alibaba Cloud VPN Gatewayを使用すると、手軽に他社のクラウドとも接続することができます。データ移行やバックアップ取得時に是非利用していただきたいプロダクトです。