VPC環境で利用できます。
このガイドは Transit VPCベースに IPsec VPNを構成し、On-premiseネットワークと VPC間の通信を構成する方法を説明します。
構成目的は次の通りです。
- Transit VPCを通じた IPsec VPN Gateway構成の一元化
- 複数の Service VPCを VPN設定変更なしに拡張可能
- ルート伝播(Route Propagation)を通じた Service VPC帯域転送
以下は Transit VPCベースの IPsec VPN構成図です。
このシナリオを実装するための全手順と各手順の説明は、次の通りです。
1. 事前準備
2. VPC作成
3. サブネット作成
4. VGWと VGW Group作成
5. Transit VPC Connect作成
6. Endpoint Route Table作成
7. Service VPC Route Table設定
8. IPsec VPN Gateway作成
9. IPsec VPN Tunnel作成
10. 顧客企業ネットワーク設定と通信テスト
11. 運用時の注意事項と確認ガイド
1. 事前準備
このユースケースを実行するために事前に準備すべき事項は、次の通りです。
- VPC、Subnet、Route-table、IPsec VPN、Virtual Private Gatewayの作成と設定権限
- IPsec VPN構成ポリシーの検討
2. VPC作成
NAVERクラウドプラットフォームコンソールで用途に合わせて Transitと Normalタイプの VPCをそれぞれ作成します。
シナリオ上の例として、以下のように値を設定できます。
| VPC名 | IPv4 CIDR | VPCタイプ |
|---|---|---|
| transit-vpc | 10.0.0.0/16 | TRANSIT |
| svc-vpc | 172.16.1.0/24 | NORMAL |
参照できるご利用ガイドは、次の通りです。
VPC CIDRと On-premise CIDRは互いに重複できません。
3. サブネット作成
作成した Transit VPCと Service VPC内部にそれぞれサブネットを作成します。
シナリオ上の例として、以下のように値を設定できます。
| Subnet名 | IPv4 CIDR |
|---|---|
| transit-subnet | 10.0.1.0/24 |
| svc-subnet | 172.16.1.0/24 |
参照できるご利用ガイドは、次の通りです。
4. VGWと VGW Group作成
作成した Transit VPCに外部接続のために、Virtual Private Gateway(VGW)と VGW Groupを作成します。
- VGW作成
- 作成時に対象 VPCを上記で作成した Transit VPCに設定します。
- VGW Group作成
- 作成時に対象 VGWを上記で作成した Transit VPCの VGWに設定します。
- Transit VPCには1つの VGW Groupのみ存在します。
VPCは VGW Groupを通じて外部接続(VPN、Cloud Connect)を構成します。
参照できるご利用ガイドは、次の通りです。
5. Transit VPC Connect作成
Transit VPC Connectを通じて Normalタイプの Service VPCを Transit VPCに接続します。
シナリオ上の例として、以下のように値を設定できます。
- Service VPCと Transit VPCを接続
| Transit VPC Connect名 | Normal VPC | Transit VPC |
|---|---|---|
| transit-vpc-conn | svc-vpc | transit-vpc |
参照できるご利用ガイドは、次の通りです。
6. Endpoint Route Table作成
Transit VPCに流入される(Ingress)トラフィックに対するルーティングを制御するために、Endpoint Route Tableを作成します。
ルーティングテーブルの作成後に伝播を有効にすると、Service VPC CIDRが Transit VPCに伝播されます。その後、IPsec VPN Tunnelの Local CIDRに Service VPC帯域を含められます。
シナリオ上の例として、以下のように値を設定できます。
| Endpoint Route Table名 | 対象 VPC | Endpointタイプ | Destination | Target | 備考 |
|---|---|---|---|---|---|
| vgw-rt | transit-vpc | Virtual Private Gateway | 172.16.1.0/24 | Transit VPC Connect | |
| transit-vpc-to-svc | transit-vpc | Transit VPC Connect | 172.16.30.0/24 | Virtual Private Gateway | ルーティング伝播の有効化 |
参照できるご利用ガイドは、次の通りです。
7. Service VPC Route Table設定
Service VPCから On-premiseネットワークに向かうトラフィックが Transit VPCを経ていくように Service VPC Route Tableを作成します。シナリオ上の例として、以下のように値を設定できます。
| 対象 VPC | Route Table名 | Destination(目的地) | Target(目的地住所) | 関連 Subnet |
|---|---|---|---|---|
| svc-vpc | svc-rt | Transit VPC Connect | 172.16.30.0/24 | svc-subnet |
参照できるご利用ガイドは、次の通りです。
8. IPsec VPN Gateway作成
Transit VPCの VGW Groupをベースに IPsec VPNゲートウェイを作成します。
作成時に IPsec VPN Gatewayの接続対象として、既に作成した Transit VPCの VGW Groupを選択します。
参照できるご利用ガイドは、次の通りです。
9. IPsec VPN Tunnel作成
顧客企業の On-premise IPsec VPNデバイスと接続する IPsec VPN Tunnelを作成して通信帯域を指定します。
作成時にシナリオ上の例として、以下のように値を設定できます。
| 設定項目 | 設定値 | 備考 |
|---|---|---|
| 対象 Gateway | IPsec-gw | 作成した IPsec VPN Gateway |
| Peer IP | 顧客企業のパブリック IPアドレス | On-premise VPNデバイスのパブリック IPアドレス |
| Local CIDR | 10.0.0.0/16, 172.16.1.0/24 | Service VPC帯域 |
| Remote CIDR | 172.16.30.0/24 | On-premiseネットワーク帯域 |
参照できるご利用ガイドは、次の通りです。
10. 顧客企業ネットワーク設定と通信テスト
顧客企業のオンプレミスデバイスの設定を完了し、実際に通信が行われるかテストします。
- On-premiseルーティング設定
- 顧客企業の VPNデバイスで、Service VPC帯域に対するパスとして IPsec VPNトンネルを指定します。
- 通信テスト
- Service VPC → On-premise: Service VPC内のサーバから On-premiseサーバに(例: (172.16.30.x)Pingを試行
- On-premise → Service VPC: On-premise内のサーバから Service VPCサーバに(例: 172.16.1.x)Pingを試行
11. 運用時の注意事項と確認ガイド
安定したサービス運用のために定期的に設定をチェックし、障害の発生時には以下のガイドを参照して対処してください。
| 現状 | チェック項目 |
|---|---|
| Tunnel DOWN、構成エラー | VPNデバイス間の Peer IP接続の可否 |
| IPsec構成ポリシーの一致有無 | |
| On-premiseファイアウォール/NATポリシー検討 | |
| Endpoint Route Tableルーティング伝播の有効化 | |
| Tunnel UP、通信不可 | CIDRの重複有無 |
| Service VPC Route table適用 | |
| Endpoint Route Table適用 | |
| On-premiseルーティング設定 | |
| ACG / NACL ポリシー |