AWSとAlibaba Cloudの間をIPSec VPNでつないでみました。
構成
AWS側にVirtual Private Gateways、Alibaba Cloud側にVPN Gatewayを用意して、両者をIPsec VPNで接続します。
接続結果
AWS側
Alibaba Cloud側
Pingの結果 (AWS->Alibaba Cloud)
Pingの結果 (Alibaba Cloud->AWS)
必要なもの
- Alibaba Cloudのアカウント
- AWSのアカウント
構築手順
お互いのGlobal IPと事前共有鍵の設定が必要になるため、交互に作成すると無駄なく作成できると思います。
- Alibaba CloudでVPN Gatewayを作成する
- AWSでVirtual Private Gatewayを作成する
- Alibaba CloudでCustomer Gatewayを作成する
- AWSでCustomer Gatewayを作成する
- Alibaba CloudでIPsec Connectionを作成する
- AWSでVPN Connectionを作成する
- Alibaba Cloudでルーティングを設定する
- AWSでルーティングを設定する
- AWSのVPN設定手順
- Alibaba CloudのVPN設定手順
3. Alibaba CloudでCustomer Gatewayを作成する
- AWS側はトンネルが2個できるので、それに合わせてCustomer Gatewayも2個作成する
- Alibaba CloudのCustomer GatewayのIPは、AWSのトンネルのOutside IP Addressをそれぞれ設定する
4. AWSでCustomer Gatewayを作成する
- AWSのCustomer GatewayのIPは、Alibaba CloudのVPN GatewayのIPを設定する
5. Alibaba CloudでIPsec Connectionを作成する
以下が手元で接続確認できた設定値となります。
| 名前 | 値 |
|---|---|
| VPN Gateway | 作成したVPN Gatewayを選択 |
| カスタマーゲートウェイ | 作成したカスタマーゲートウェイを選択 |
| ローカルネットワーク | Alibaba Cloud側VPCのCIDR |
| リモートネットワーク | AWS側VPCのCIDR |
| 高度な設定 | |
| IKE 構成 | |
| 事前共有鍵 | 自動で設定 |
| バージョン | ikev2 |
| ネゴシエーションモード | main |
| 暗号化アルゴリズム | aes256 |
| 認証アルゴリズム | sha256 |
| DHグループ | group2 |
| SA ライフサイクル (秒) | 86400 |
| LocalId | 自動で設定 |
| RemoteId | 自動で設定 |
| IPsec 構成 | |
| 暗号化アルゴリズム | aes256 |
| 認証アルゴリズム | sha256 |
| DH グループ | group2 |
| SA ライフサイクル (秒) | 86400 |
6. AWSでVPN Connectionを作成する
- Alibaba Cloudで設定した事前共有鍵を、Pre-Shared Keyに設定する
- 他はデフォルト値のまま
雑感
AWS側、Alibaba Cloud側ともマネージドのVPNサービスでVPN接続ができるとは思ってませんでした。