Soracom

Users

ドキュメント
Home ドキュメント SORACOM Canal Getting Started

SORACOM Canal を使用して閉域網で接続する (Amazon VPC ピアリング接続)

ここでは、お客様が所有する Amazon VPC と VPG がある Amazon VPC を Amazon VPC ピアリング接続し、SORACOM Air for セルラーのセルラー回線から VPG および Amazon VPC ピアリング接続を経由して、お客様の Amazon VPC にプライベート接続する方法を説明します。

Canal がサポートするプライベート接続機能

ほかにも Canal がサポートするプライベート接続機能があります。詳しくは、SORACOM Canal の種類 を参照してください。

接続可能な AWS リージョンは、Canal と接続できる AWS リージョン を参照してください。

操作を始める前に準備が必要です (クリックして確認してください)

(1) SORACOM のアカウントを作成して IoT SIM を申し込む / デバイスを購入する

デバイスと、そのデバイスで利用できる IoT SIM を用意します。

SORACOM アカウントの作成方法、IoT SIM の申し込み方法、およびデバイスの購入方法について詳しくは、SORACOM の利用を始める を参照してください。

(2) AWS のアカウントを用意する

AWS のアカウントを用意してください。

準備完了

ステップ 1: Amazon VPC および EC2 インスタンスを作成する

ここでは、Amazon VPC と EC2 インスタンス (図の赤の点線部分) を作成します。

Amazon VPC Amazon VPC

お客様の Amazon VPC の要件

お客様の Amazon VPC を利用する場合、その CIDR (IP アドレス空間) は以下の範囲内である必要があります (一部を除き、RFC 1918 の "Private Address Space" に準拠します)。

  • 10.0.0.0/8 (日本カバレッジでは 10.21.0.0/16 のアドレス空間を除く)
  • 172.16.0.0/12
  • 192.168.0.0/16

Amazon VPC を作成する

  1. AWS の VPC ダッシュボード (東京リージョン) にアクセスします。

  2. [VPC を作成] をクリックします。

    「VPC を作成」画面が表示されます。

  3. 以下の項目を設定します。

    各項目の設定については、VPC を作成する を参照してください。

    項目説明
    [作成するリソース]「VPC など」を選択します。
    [名前タグの自動生成][自動生成] にチェックを入れて、VPC の名前を入力します。例: Canal-Test
    [IPv4 CIDR ブロック]VPC の IPv4 CIDR ブロック (IP アドレスレンジ) を指定します。VPG で指定するデバイスサブネット IP アドレスレンジ と重複しない IP アドレスレンジを指定してください。例: 172.20.0.0/16
    [アベイラビリティゾーン (AZ) の数]「2」以上の値を選択します。
    [パブリックサブネットの数] および [プライベートサブネットの数]どちらか一方の項目で「2」以上を選択します。両方とも「2」以上を選択しても問題ありません。ここでは説明を簡単にするために、[パブリックサブネットの数] で「2」を選択します。

  4. [VPC を作成][VPC を表示] の順にクリックします。

    Amazon VPC が作成され、VPC の詳細画面が表示されます。

    次に、作成した Amazon VPC にインターネットゲートウェイを接続します。

  5. [メインルートテーブル] のルートテーブル ID をクリックします。

  6. [ルートテーブル ID] のルートテーブル ID をクリックします。

    ルートテーブル ID が表示されていないときは、[] をクリックします。

  7. [ルート][ルートを編集] の順にクリックします。

  8. [ルートを追加] をクリックして、以下のように設定します。

    項目説明
    [送信先]0.0.0.0/0 を入力します。
    [ターゲット]「インターネットゲートウェイ」→「igw-xxxxxx」(インターネットゲートウェイ ID) の順に選択します。

  9. [変更を保存] をクリックします。

EC2 インスタンスを作成する

次に、VPG を利用するデバイス (Canal を経由して閉域網で Gate Peer に接続するデバイス) が、Amazon VPC 内のリソース (Gate Peer) にアクセスできることを確認するために、EC2 インスタンスを作成します。この EC2 インスタンスが Gate Peer にあたります。

ここで説明する設定は、この EC2 インスタンスにインターネットから SSH でログインしてセットアップを行うための設定と、HTTP で Apache にアクセスできるようするための設定です。

  1. AWS の EC2 ダッシュボード にアクセスして、[インスタンスを起動][インスタンスを起動] をクリックします。

    インスタンスを起動 インスタンスを起動

    ステップ 1: Amazon マシンイメージ (AMI) 画面が表示されます。

  2. 以下の項目を設定します。

    説明がない項目については、デフォルトのままで操作を進めます。


    [名前とタグ]
    項目説明
    [名前]EC2 インスタンスの名前を入力します。例: canal-test-server

    [アプリケーションおよび OS イメージ (Amazon マシンイメージ)]
    項目説明
    [クイックスタート]「Amazon Linux」を選択します。
    [Amazon マシンイメージ (AMI)]「Amazon Linux 2023 AMI」を選択します。

    [インスタンスタイプ]
    項目説明
    [インスタンスタイプ]「t2.nano」または「t2.micro」を選択します。今回の用途では、t2.micro や t2.nano で十分です。
  3. 既存のキーペアがある場合は、[キーペア (ログイン)][キーペア名] で選択します。

    EC2 インスタンスに Apache をインストールする の手順では、ここで指定したキーファイルを使用して、EC2 インスタンスに SSH 接続します。

    キーペアは作成できます

    既存のキーペアがない場合は、[新しいキーペアの作成] をクリックし、[キーペア名] などを入力して、[キーペアを作成] をクリックします。

  4. [ネットワーク設定][編集] をクリックして、以下の項目を設定します。

    項目説明
    [VPC]Amazon VPC を作成する で作成した Amazon VPC (例: Canal-Test-vpc) を選択します。
    [サブネット]Amazon VPC を作成する で作成されたサブネットのうち、パブリックサブネットを選択します。パブリックサブネットは、名前に「public」が含まれています。例: Canal-Test-subnet-public1-ap-northeast-1a
    [パブリック IP の自動割り当て]「有効化」を選択します。
    [インバウンドセキュリティグループのルール][セキュリティグループルールを追加] をクリックし、[タイプ] で「HTTP」を選択し、[ソース] に「0.0.0.0/0」を入力します。
    セキュリティグループで許可するポートやソースは必要最小限にしてください

    ここでは 0.0.0.0/0 からのアクセスを許可していますが、SORACOM Canal の設定後は Amazon VPC ピアリング接続を受諾してネットワークを設定する で確認できる [リクエスタ CIDR] だけ許可するなどが考えられます。

  5. [インスタンスを起動] をクリックします。

EC2 インスタンスに Apache をインストールする

次に、起動した EC2 インスタンスに接続して、Apache をインストールします。

  1. AWS の EC2 ダッシュボード にアクセスして、[インスタンス][インスタンス] をクリックします。

  2. 作成したインスタンス (例: canal-test-server) にチェックを入れ、[インスタンスの状態] に「実行中」と表示されていることを確認して、[接続] をクリックします。

    EC2 インスタンスに接続するためのコマンドが表示されます。

  3. [SSH クライアント] をクリックして、[SSH クライアント] タブに表示された説明のとおりに操作します。

    macOS ではターミナル、Windows では PowerShell などを使用してください。

    $ ssh -i "xxxxxx.pem" ec2-user@ec2-xxx-xxx-xxx-xxx.ap-northeast-1.compute.amazonaws.com
    
    The authenticity of host 'ec2-xxx-xxx-xxx-xxx.ap-northeast-1.compute.amazonaws.com (xxx-xxx-xxx-xxx)' can't be established.
    ED25519 key fingerprint is SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    This key is not known by any other names
    Are you sure you want to continue connecting (yes/no/[fingerprint])?
    

    EC2 インスタンスにログインされます。

  4. yes を入力して、Enter キーを押します。

  5. Apache をインストールします。

    $ sudo yum install httpd -y
    

    Apache がインストールされます。

  6. Apache を起動します。

    $ sudo service httpd start
    
  7. PC のブラウザを起動して、URL 入力欄に SSH でのログインに使用したドメイン (たとえば ec2-xxx-xxx-xxx-xxx.ap-northeast-1.compute.amazonaws.com) を入力します。

    以下のように表示されたら、グローバル IP アドレスで EC2 インスタンスで起動している Apache にアクセスできています。

    続けて、Canal を構成します。Canal を構成すると、EC2 インスタンスのプライベートアドレスを利用して、EC2 インスタンスで起動している Apache にアクセスできます。

ステップ 2: VPG を作成し Canal を構成する

ここでは VPG を作成し、Canal の Amazon VPC ピアリング接続を構成します (以下の赤の点線部分)。お客様が作成した Transit Gateway と接続する手順は SORACOM Canal を使用して閉域網で接続する (Transit Gateway 接続) を参照してください。

VPG を作成する

Canal の Amazon VPC ピアリング接続を利用するには、VPG Type-F を作成します。VPG を作成する手順について詳しくは、VPG を作成する を参照してください。

なお、「VPG を追加」画面では、以下の項目の設定に注意してください。それ以外の項目については、このページの説明には影響がありません。適宜設定を行ってください。

項目説明
[名前]VPG の名前 (任意) を入力します。例: Canal-Test01
[VPG タイプを選択してください]「Type-F」を選択します。
[インターネットゲートウェイ][インターネットゲートウェイを有効にする] にチェックを入れます。

VPG Type-C/D でもこれまでどおり「SORACOM Gate Canal (VPC ピアリング接続)」を利用できます。

Amazon VPC ピアリング接続を設定する

次に、ステップ 1: Amazon VPC および EC2 インスタンスを作成する で作成した Amazon VPC に、Amazon VPC ピアリング接続を設定します。

Amazon VPC の情報を確認する

Amazon VPC ピアリング接続の設定には、接続先の Amazon VPC に関する情報が必要です。Amazon VPC の情報は、以下の手順で確認できます。

  1. AWS の VPC ダッシュボード にアクセスし、[お使いの VPC] をクリックします。

  2. [検索] 欄に VPC の名前を入力し、VPC ID をクリックします。

    VPC の詳細画面が表示されます。

  3. 以下の情報を確認します。

    項目説明
    [VPC ID]VPC の ID。
    [IPv4 CIDR]VPC の IPv4 CIDR (IP アドレスレンジ)。
    [所有者 ID]VPC を所有する AWS アカウントの ID。

ユーザーコンソールで Amazon VPC ピアリング接続を設定する

  1. VPG を作成する で作成した VPG の VPG 設定画面で、[状態] に「実行中」と表示されていることを確認します。

    VPG 設定画面を表示する操作について詳しくは、VPG の設定を変更する を参照してください。

    VPG の [状態] が「作成中」のときは、次の手順で [+追加] をクリックできません。

  2. [閉域網設定] をクリックして、[Amazon VPC ピアリング接続 (SORACOM Canal)][+ 追加] をクリックします。

    「Amazon VPC ピアリング接続を作成」画面が表示されます。

  3. Amazon VPC の情報を確認する で確認した内容を各項目に入力します。

    項目説明
    [AWS アカウント ID]接続先の Amazon VPC の所有者 ID を入力します。
    [AWS VPC ID]接続先の Amazon VPC の ID を入力します。
    [AWS リージョン]接続先の Amazon VPC がある AWS リージョンを選択します。例: ap-northeast-1
    [AMAZON VPC のアドレスレンジ]接続先の Amazon VPC の IPv4 CIDR (IP アドレスレンジ) を入力します。

  4. [作成] をクリックします。

    ステップ 1: Amazon VPC および EC2 インスタンスを作成する で作成した Amazon VPC に、SORACOM から Amazon VPC ピアリング接続がリクエストされ、VPG 設定画面に戻ります。

  5. [Amazon VPC ピアリング接続 (SORACOM Canal)] に表示される、ピアリング接続 ID (pcx-xxxxxxxxxxxxxxxxx) を確認します。

    この ID は、次の Amazon VPC ピアリング接続を受諾してネットワークを設定する で使います。

    ピアリング接続 ID に undefined と表示されているときは、ブラウザの再読み込みボタンをクリックします。

Amazon VPC ピアリング接続を受諾してネットワークを設定する

ここでは、ステップ 1: Amazon VPC および EC2 インスタンスを作成する で作成した Amazon VPC で、ピアリング接続を受諾し、ネットワークの設定 (ルートテーブルの設定) を行います。

  1. AWS の VPC ダッシュボード にアクセスし、[仮想プライベートクラウド][ピアリング接続] をクリックします。

    ピアリング接続のリクエストが表示されます。

  2. [Find resources by attribute or tag] に、ユーザーコンソールで Amazon VPC ピアリング接続を設定する で確認したピアリング接続 ID (pcx-xxxxxxxxxxxxxxxxx) を入力して Enter キーを押します。

  3. ピアリング接続 ID をクリックします。

  4. [リクエスタ CIDR] を確認します。

    リクエスタ CIDR は、手順 10 でルートを追加するときに入力します。

  5. [アクション][リクエストを承諾] の順にクリックします。

    「VPC ピアリング接続リクエストを承諾」画面が表示されます。

  6. [リクエストを承諾] をクリックします。

  7. [アクセプタ VPC] の VPC ID をクリックします。

  8. [メインルートテーブル] のルートテーブル ID をクリックします。

    ルートテーブルの詳細画面が表示されます。

  9. [ルート][ルートを編集] の順にクリックします。

  10. [ルートを追加] をクリックして、以下のように設定します。

    項目説明
    [送信先]手順 4 で確認した「リクエスタ CIDR」(利用する VPG の IP アドレスレンジ) を入力します。
    [ターゲット]「ピアリング接続」→ 「pcx-xxxxxxxxxxxxxxxxx」(ピアリング接続 ID) の順に選択します。

  11. [変更を保存] をクリックします。

    ルートテーブルの詳細画面に戻ります。

  12. [アクション][サブネットの関連付けを編集] をクリックします。

  13. 対象の VPC のパブリックサブネット (例: Canal-Test-subnet-public1-ap-northeast-1a) にチェックを入れて、[関連付けを保存] をクリックします。

複数の VPG から同一の VPC にピアリング接続する場合は、各 VPG の CIDR をルートテーブルに登録してください。

ステップ 3: 閉域網で接続する

いよいよ、Canal を通じて、閉域網の接続を行います。

VPG を有効化したグループに所属する IoT SIM は、VPG を利用します。具体的には、以下の手順で接続します。

  1. IoT SIM が利用する VPG を切り替える
  2. IoT SIM からプライベートアドレスでアクセスする

IoT SIM が利用する VPG を切り替える

IoT SIM が、ステップ 2: VPG を作成し Canal を構成する で作成した VPG を利用するように設定し、セッションを再確立します。詳しくは、IoT SIM が利用する VPG を切り替える を参照してください。

IoT SIM からプライベートアドレスでアクセスする

VPG を使用するグループに所属する IoT SIM を利用するデバイスから、ステップ 1: Amazon VPC および EC2 インスタンスを作成する で作成した Amazon VPC 内の EC2 インスタンスにアクセスします。

  1. AWS の EC2 ダッシュボード にアクセスして、[インスタンス][インスタンス] をクリックします。

  2. 作成したインスタンス (例: canal-test-server) にチェックを入れ、[インスタンス概要][インスタンスの状態] に「実行中」と表示されていることを確認して、[プライベート IPv4 アドレス] を確認します。

  3. IoT SIM を利用するデバイスから、プライベート IP アドレスを利用して EC2 インスタンスにアクセスできることを確認します。

    たとえば、ブラウザを起動し、EC2 インスタンスのプライベートアドレスを入力して、以下のように表示されたら、プライベート IP アドレスで EC2 インスタンスで起動している Apache にアクセスできています。

バーチャル SIM/Subscriber でデバイス間通信 (Gate C2D) を利用する場合は追加の設定が必要です

Arc のバーチャル SIM/Subscriber を利用するデバイスで Gate C2D を利用するには、以下のいずれかに、VPC の [IPv4 CIDR ブロック] (例: 172.20.0.0/16) の値を指定してください。

なお、VPC の [IPv4 CIDR ブロック] は、AWS の VPC ダッシュボード で確認できます。

(参考) Canal の利用を終了する

Canal を用いた閉域網接続が不要になった場合は、ステップ 2: VPG を作成し Canal を構成する で作成した VPG の利用を終了 / 削除してください。VPG の利用を終了する手順について詳しくは、VPG の利用を終了する / 削除する を参照してください。

VPG の利用料金は継続して発生します

VPG を削除するまでは、VPG の利用料金が発生します。不要になった VPG は速やかに削除してください。VPG の利用料金について詳しくは、Virtual Private Gateway のご利用料金 を参照してください。

VPG 以外にも料金が発生しています

VPG 以外にも料金が発生します。課金を止める場合は、終了 / 削除してください。