ここでは、お客様が所有する Amazon VPC と VPG がある Amazon VPC を Amazon VPC ピアリング接続し、SORACOM Air for セルラーのセルラー回線から VPG および Amazon VPC ピアリング接続を経由して、お客様の Amazon VPC にプライベート接続する方法を説明します。
Canal がサポートするプライベート接続機能
ほかにも Canal がサポートするプライベート接続機能があります。詳しくは、SORACOM Canal の種類 を参照してください。
接続可能な AWS リージョンは、Canal と接続できる AWS リージョン を参照してください。
操作を始める前に準備が必要です (クリックして確認してください)
(1) SORACOM のアカウントを作成して IoT SIM を申し込む / デバイスを購入する
デバイスと、そのデバイスで利用できる IoT SIM を用意します。
SORACOM アカウントの作成方法、IoT SIM の申し込み方法、およびデバイスの購入方法について詳しくは、SORACOM の利用を始める を参照してください。
(2) AWS のアカウントを用意する
AWS のアカウントを用意してください。
準備完了ステップ 1: Amazon VPC および EC2 インスタンスを作成する
ここでは、Amazon VPC と EC2 インスタンス (図の赤の点線部分) を作成します。
お客様の Amazon VPC の要件
お客様の Amazon VPC を利用する場合、その CIDR (IP アドレス空間) は以下の範囲内である必要があります (一部を除き、RFC 1918 の "Private Address Space" に準拠します)。
10.0.0.0/8(日本カバレッジでは10.21.0.0/16のアドレス空間を除く)172.16.0.0/12192.168.0.0/16
Amazon VPC を作成する
AWS の VPC ダッシュボード (東京リージョン) にアクセスします。
をクリックします。
「VPC を作成」画面が表示されます。
以下の項目を設定します。
各項目の設定については、VPC を作成する を参照してください。
項目 説明 「VPC など」を選択します。 にチェックを入れて、VPC の名前を入力します。例: Canal-TestVPC の IPv4 CIDR ブロック (IP アドレスレンジ) を指定します。VPG で指定するデバイスサブネット IP アドレスレンジ と重複しない IP アドレスレンジを指定してください。例: 172.20.0.0/16「2」以上の値を選択します。 および どちらか一方の項目で「2」以上を選択します。両方とも「2」以上を選択しても問題ありません。ここでは説明を簡単にするために、 で「2」を選択します。 
→ の順にクリックします。
Amazon VPC が作成され、VPC の詳細画面が表示されます。
次に、作成した Amazon VPC にインターネットゲートウェイを接続します。
のルートテーブル ID をクリックします。
のルートテーブル ID をクリックします。
ルートテーブル ID が表示されていないときは、[
] をクリックします。
→ の順にクリックします。
をクリックして、以下のように設定します。
項目 説明 0.0.0.0/0を入力します。「インターネットゲートウェイ」→「igw-xxxxxx」(インターネットゲートウェイ ID) の順に選択します。 
をクリックします。
EC2 インスタンスを作成する
次に、VPG を利用するデバイス (Canal を経由して閉域網で Gate Peer に接続するデバイス) が、Amazon VPC 内のリソース (Gate Peer) にアクセスできることを確認するために、EC2 インスタンスを作成します。この EC2 インスタンスが Gate Peer にあたります。
ここで説明する設定は、この EC2 インスタンスにインターネットから SSH でログインしてセットアップを行うための設定と、HTTP で Apache にアクセスできるようするための設定です。
AWS の EC2 ダッシュボード にアクセスして、 の をクリックします。
ステップ 1: Amazon マシンイメージ (AMI) 画面が表示されます。
以下の項目を設定します。
説明がない項目については、デフォルトのままで操作を進めます。
項目 説明 EC2 インスタンスの名前を入力します。例: canal-test-server項目 説明 「Amazon Linux」を選択します。 「Amazon Linux 2023 AMI」を選択します。 項目 説明 「t2.nano」または「t2.micro」を選択します。今回の用途では、t2.micro や t2.nano で十分です。 既存のキーペアがある場合は、 の で選択します。
EC2 インスタンスに Apache をインストールする の手順では、ここで指定したキーファイルを使用して、EC2 インスタンスに SSH 接続します。
キーペアは作成できます
既存のキーペアがない場合は、 をクリックし、 などを入力して、 をクリックします。
の をクリックして、以下の項目を設定します。
項目 説明 Amazon VPC を作成する で作成した Amazon VPC (例: Canal-Test-vpc) を選択します。 Amazon VPC を作成する で作成されたサブネットのうち、パブリックサブネットを選択します。パブリックサブネットは、名前に「public」が含まれています。例: Canal-Test-subnet-public1-ap-northeast-1a 「有効化」を選択します。 をクリックし、 で「HTTP」を選択し、 に「0.0.0.0/0」を入力します。 セキュリティグループで許可するポートやソースは必要最小限にしてください
ここでは 0.0.0.0/0 からのアクセスを許可していますが、SORACOM Canal の設定後は Amazon VPC ピアリング接続を受諾してネットワークを設定する で確認できる だけ許可するなどが考えられます。
をクリックします。
EC2 インスタンスに Apache をインストールする
次に、起動した EC2 インスタンスに接続して、Apache をインストールします。
AWS の EC2 ダッシュボード にアクセスして、 の をクリックします。
作成したインスタンス (例:
canal-test-server) にチェックを入れ、 に「実行中」と表示されていることを確認して、 をクリックします。
EC2 インスタンスに接続するためのコマンドが表示されます。
をクリックして、 タブに表示された説明のとおりに操作します。
macOS ではターミナル、Windows では PowerShell などを使用してください。
$ ssh -i "xxxxxx.pem" ec2-user@ec2-xxx-xxx-xxx-xxx.ap-northeast-1.compute.amazonaws.comThe authenticity of host 'ec2-xxx-xxx-xxx-xxx.ap-northeast-1.compute.amazonaws.com (xxx-xxx-xxx-xxx)' can't be established. ED25519 key fingerprint is SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx This key is not known by any other names Are you sure you want to continue connecting (yes/no/[fingerprint])?EC2 インスタンスにログインされます。
yesを入力して、Enter キーを押します。Apache をインストールします。
$ sudo yum install httpd -yApache がインストールされます。
Apache を起動します。
$ sudo service httpd startPC のブラウザを起動して、URL 入力欄に SSH でのログインに使用したドメイン (たとえば
ec2-xxx-xxx-xxx-xxx.ap-northeast-1.compute.amazonaws.com) を入力します。以下のように表示されたら、グローバル IP アドレスで EC2 インスタンスで起動している Apache にアクセスできています。
続けて、Canal を構成します。Canal を構成すると、EC2 インスタンスのプライベートアドレスを利用して、EC2 インスタンスで起動している Apache にアクセスできます。
ステップ 2: VPG を作成し Canal を構成する
ここでは VPG を作成し、Canal の Amazon VPC ピアリング接続を構成します (以下の赤の点線部分)。お客様が作成した Transit Gateway と接続する手順は SORACOM Canal を使用して閉域網で接続する (Transit Gateway 接続) を参照してください。
VPG を作成する
Canal の Amazon VPC ピアリング接続を利用するには、VPG Type-F を作成します。VPG を作成する手順について詳しくは、VPG を作成する を参照してください。
なお、「VPG を追加」画面では、以下の項目の設定に注意してください。それ以外の項目については、このページの説明には影響がありません。適宜設定を行ってください。
| 項目 | 説明 |
|---|---|
VPG の名前 (任意) を入力します。例: Canal-Test01 | |
| 「Type-F」を選択します。 | |
| にチェックを入れます。 |
VPG Type-C/D でもこれまでどおり「SORACOM Gate Canal (VPC ピアリング接続)」を利用できます。
Amazon VPC ピアリング接続を設定する
次に、ステップ 1: Amazon VPC および EC2 インスタンスを作成する で作成した Amazon VPC に、Amazon VPC ピアリング接続を設定します。
Amazon VPC の情報を確認する
Amazon VPC ピアリング接続の設定には、接続先の Amazon VPC に関する情報が必要です。Amazon VPC の情報は、以下の手順で確認できます。
AWS の VPC ダッシュボード にアクセスし、 をクリックします。
欄に VPC の名前を入力し、VPC ID をクリックします。
VPC の詳細画面が表示されます。
以下の情報を確認します。
項目 説明 VPC の ID。 VPC の IPv4 CIDR (IP アドレスレンジ)。 VPC を所有する AWS アカウントの ID。 
ユーザーコンソールで Amazon VPC ピアリング接続を設定する
VPG を作成する で作成した VPG の VPG 設定画面で、 に「実行中」と表示されていることを確認します。
VPG 設定画面を表示する操作について詳しくは、VPG の設定を変更する を参照してください。
VPG の が「作成中」のときは、次の手順で をクリックできません。
をクリックして、 の をクリックします。
「Amazon VPC ピアリング接続を作成」画面が表示されます。
Amazon VPC の情報を確認する で確認した内容を各項目に入力します。
項目 説明 接続先の Amazon VPC の所有者 ID を入力します。 接続先の Amazon VPC の ID を入力します。 接続先の Amazon VPC がある AWS リージョンを選択します。例: ap-northeast-1接続先の Amazon VPC の IPv4 CIDR (IP アドレスレンジ) を入力します。 
をクリックします。
ステップ 1: Amazon VPC および EC2 インスタンスを作成する で作成した Amazon VPC に、SORACOM から Amazon VPC ピアリング接続がリクエストされ、VPG 設定画面に戻ります。
に表示される、ピアリング接続 ID (pcx-xxxxxxxxxxxxxxxxx) を確認します。
この ID は、次の Amazon VPC ピアリング接続を受諾してネットワークを設定する で使います。
ピアリング接続 ID に
undefinedと表示されているときは、ブラウザの再読み込みボタンをクリックします。
Amazon VPC ピアリング接続を受諾してネットワークを設定する
ここでは、ステップ 1: Amazon VPC および EC2 インスタンスを作成する で作成した Amazon VPC で、ピアリング接続を受諾し、ネットワークの設定 (ルートテーブルの設定) を行います。
AWS の VPC ダッシュボード にアクセスし、 の をクリックします。
ピアリング接続のリクエストが表示されます。
に、ユーザーコンソールで Amazon VPC ピアリング接続を設定する で確認したピアリング接続 ID (
pcx-xxxxxxxxxxxxxxxxx) を入力して Enter キーを押します。ピアリング接続 ID をクリックします。
を確認します。
リクエスタ CIDR は、手順 10 でルートを追加するときに入力します。
→ の順にクリックします。
「VPC ピアリング接続リクエストを承諾」画面が表示されます。
をクリックします。
の VPC ID をクリックします。
のルートテーブル ID をクリックします。
ルートテーブルの詳細画面が表示されます。
→ の順にクリックします。
をクリックして、以下のように設定します。
項目 説明 手順 4 で確認した「リクエスタ CIDR」(利用する VPG の IP アドレスレンジ) を入力します。 「ピアリング接続」→ 「pcx-xxxxxxxxxxxxxxxxx」(ピアリング接続 ID) の順に選択します。 
をクリックします。
ルートテーブルの詳細画面に戻ります。
→ をクリックします。
対象の VPC のパブリックサブネット (例: Canal-Test-subnet-public1-ap-northeast-1a) にチェックを入れて、 をクリックします。
複数の VPG から同一の VPC にピアリング接続する場合は、各 VPG の CIDR をルートテーブルに登録してください。
ステップ 3: 閉域網で接続する
いよいよ、Canal を通じて、閉域網の接続を行います。
VPG を有効化したグループに所属する IoT SIM は、VPG を利用します。具体的には、以下の手順で接続します。
IoT SIM が利用する VPG を切り替える
IoT SIM が、ステップ 2: VPG を作成し Canal を構成する で作成した VPG を利用するように設定し、セッションを再確立します。詳しくは、IoT SIM が利用する VPG を切り替える を参照してください。
IoT SIM からプライベートアドレスでアクセスする
VPG を使用するグループに所属する IoT SIM を利用するデバイスから、ステップ 1: Amazon VPC および EC2 インスタンスを作成する で作成した Amazon VPC 内の EC2 インスタンスにアクセスします。
AWS の EC2 ダッシュボード にアクセスして、 の をクリックします。
作成したインスタンス (例:
canal-test-server) にチェックを入れ、 → に「実行中」と表示されていることを確認して、 を確認します。IoT SIM を利用するデバイスから、プライベート IP アドレスを利用して EC2 インスタンスにアクセスできることを確認します。
たとえば、ブラウザを起動し、EC2 インスタンスのプライベートアドレスを入力して、以下のように表示されたら、プライベート IP アドレスで EC2 インスタンスで起動している Apache にアクセスできています。
バーチャル SIM/Subscriber でデバイス間通信 (Gate C2D) を利用する場合は追加の設定が必要です
Arc のバーチャル SIM/Subscriber を利用するデバイスで Gate C2D を利用するには、以下のいずれかに、VPC の (例: 172.20.0.0/16) の値を指定してください。
- soratun 設定ファイル の
additionalAllowedIPs。 - WireGuard の設定ファイル の
AllowedIPs。
なお、VPC の は、AWS の VPC ダッシュボード で確認できます。
(参考) Canal の利用を終了する
Canal を用いた閉域網接続が不要になった場合は、ステップ 2: VPG を作成し Canal を構成する で作成した VPG の利用を終了 / 削除してください。VPG の利用を終了する手順について詳しくは、VPG の利用を終了する / 削除する を参照してください。
VPG の利用料金は継続して発生します
VPG を削除するまでは、VPG の利用料金が発生します。不要になった VPG は速やかに削除してください。VPG の利用料金について詳しくは、Virtual Private Gateway のご利用料金 を参照してください。
VPG 以外にも料金が発生しています
VPG 以外にも料金が発生します。課金を止める場合は、終了 / 削除してください。
- ステップ 1: Amazon VPC および EC2 インスタンスを作成する で作成した EC2 インスタンス