Soracom

Users

ドキュメント

SORACOM Canal を使用して閉域網で接続する (Amazon VPC ピアリング接続)

VPG は SORACOM Air の通信を仲介するお客様専用のゲートウェイとして SORACOM が管理する Amazon VPC (Virtual Private Cloud) に構築されます。Canal は、その Amazon VPC とお客様の AWS 環境 (Amazon VPC) を接続するサービスです。Canal を利用することで、インターネットを経由することなく、お客様の Amazon VPC にアクセスできます。また、Amazon VPC もインターネットにポートを開ける必要はありません。Canal を利用することで、デバイスからお客様のシステムまでセキュアなネットワークを構築できます。

ここでは、Amazon VPC ピアリング接続を利用する手順を説明します。SORACOM Canal の Amazon VPC ピアリング接続を利用すると、お客様が所有する Amazon VPC と、VPG がある Amazon VPC を接続し、SORACOM Air for セルラーのセルラー回線から、VPG を経由して、お客様の Amazon VPC にプライベート接続できます。

Canal の構成図 Canal の構成図

Amazon VPC ピアリング接続と Transit Gateway 接続を利用できます

Canal が現在サポートするパブリッククラウドのプライベート接続機能は、Amazon VPC ピアリング接続と Transit Gateway 接続です。Transit Gateway 接続を利用する手順については、SORACOM Canal を使用して閉域網で接続する (Transit Gateway 接続) を参照してください。

接続可能な AWS リージョンは リファレンス: Canal と接続できる AWS リージョン を参照してください。

操作を始める前に準備が必要です (クリックして確認してください)

(1) SORACOM のアカウントを作成して IoT SIM およびデバイスを購入する

デバイスと、そのデバイスで利用できる IoT SIM を用意します。

SORACOM アカウントの作成方法と、IoT SIM およびデバイスの購入方法について詳しくは、SORACOM の利用を始める を参照してください。

(2) AWS のアカウントを用意する

AWS のアカウントを用意してください。

準備完了

ステップ 1: Amazon VPC および EC2 インスタンスを作成する

ここでは、Amazon VPC と EC2 インスタンス (図の赤の点線部分) を作成します。

Amazon VPC Amazon VPC

既存の Amazon VPC の要件

お客様が作成した既存の Amazon VPC を利用する場合、その CIDR (IP アドレス空間) は以下の範囲内である必要があります (一部を除き、RFC 1918 の "Private Address Space" に準拠します)。

  • 10.0.0.0/8 (日本カバレッジでは 10.21.0.0/16 のアドレス空間を除く)
  • 172.16.0.0/12
  • 192.168.0.0/16

Amazon VPC を作成する

  1. AWS マネジメントコンソール にログインし、「VPC」を選択します。(東京リージョンを選択してください。)

    以下のような VPC ダッシュボードが表示されます。

  2. [VPC ウィザードを起動] をクリックします。

    VPC ウィザードを起動 VPC ウィザードを起動

    ステップ 1: VPC 設定の選択画面が表示されます。

  3. [1 個のパブリックサブネットを持つ VPC][選択] の順にクリックします。

    ステップ 1: VPC 設定の選択画面 ステップ 1: VPC 設定の選択画面

    ステップ 2: 1 このパブリックサブネットを持つ VPC 画面が表示されます。

  4. [IP CIDR ブロック][VPC 名][パブリックサブネットの IPv4 CIDR] を設定します。

    ここでは、[VPC 名] を「Canal-Test」とし、その他の設定はデフォルトのまま進めます。

  5. [VPC の作成][OK] の順にクリックします。

    ステップ 2: 1 このパブリックサブネットを持つ VPC 画面 ステップ 2: 1 このパブリックサブネットを持つ VPC 画面

    Amazon VPC が作成されます。次に、Amazon VPC にインターネットゲートウェイを接続します。

  6. [お使いの VPC] で「Canal-Test」(作成した Amazon VPC) の VPC ID をクリックします。

    Amazon VPC 一覧 Amazon VPC 一覧

  7. [メインルートテーブル] のルートテーブル ID をクリックします。

    VPC VPC

  8. [ルート][ルートを編集][ルートを追加] の順にクリックし、以下のように設定します。

    項目説明
    [送信先]0.0.0.0/0 を入力します。
    [ターゲット]「インターネットゲートウェイ」→「igw-xxxxxx」の順に選択します。

    ルートテーブル ルートテーブル

  9. [変更を保存] をクリックします。

EC2 インスタンスを作成する

次に、作成した Amazon VPC 内に EC2 インスタンスを作成します。(今回は、Canal を経由して閉域網で接続するデバイスは、この EC2 インスタンスにアクセスします。)

  1. AWS マネジメントコンソール にログインし、「EC2」を選択して [インスタンスを起動][インスタンスを起動] の順にクリックします。

    インスタンスを起動 インスタンスを起動

    ステップ 1: Amazon マシンイメージ (AMI) 画面が表示されます。

  2. 「Amazon Linux 2 AMI (HVM) - Kernel 5.10, SSD Volume Type」の [選択] をクリックします。

    ステップ 1: Amazon マシンイメージ (AMI) 画面 ステップ 1: Amazon マシンイメージ (AMI) 画面

    ステップ 2: インスタンスタイプの選択画面が表示されます。

  3. [t2.micro] または [t2.nano] にチェックを入れて、[次のステップ: インスタンスの詳細の設定] をクリックします。

    今回の用途では、t2.micro や t2.nano で十分です。

    ステップ 2: インスタンスタイプの選択画面 ステップ 2: インスタンスタイプの選択画面

    ステップ 3:インスタンスの詳細の設定画面が表示されます。

  4. 各項目を設定します。

    項目説明
    [ネットワーク]Amazon VPC を作成する で作成した Amazon VPC (今回は「Canal-Test」) を選択します。
    [自動割り当てパブリック IP]「有効」を選択します。この EC2 インスタンスにインターネットから SSH でログインして、セットアップを行うための設定です。
    [ネットワークインターフェイス][プライマリ IP]EC2 インスタンスに設定するプライマリ IP を入力します。(ここでは、「10.0.0.254」としています。)

    ステップ 3:インスタンスの詳細の設定画面 1 ステップ 3:インスタンスの詳細の設定画面 1

    ステップ 3:インスタンスの詳細の設定画面 2 ステップ 3:インスタンスの詳細の設定画面 2

  5. [次のステップ: ストレージの追加][次のステップ: タグの追加] の順にクリックします。

    ステップ 4:ストレージの追加画面は、デフォルトの設定のまま進めます。

    ステップ 5:タグの追加画面が表示されます。

  6. [タグの追加] をクリックして、各項目を設定します。

    項目説明
    [キー]Name を入力します。
    [値]EC2 インスタンスの名前を入力します。ここでは、「canal-test-server」としています。

    ステップ 5:タグの追加画面 ステップ 5:タグの追加画面

  7. [次のステップ: セキュリティグループの設定] をクリックします。

    ステップ 6:セキュリティグループの設定画面が表示されます。

  8. [ルールの追加] をクリックし、[タイプ] で「HTTP」を選択します。

    ステップ 6:セキュリティグループの設定画面 ステップ 6:セキュリティグループの設定画面

    セキュリティグループで許可するポートやソースは必要最小限にしてください。ここでは 0.0.0.0/0 からのアクセスを許可していますが、SORACOM Canal の設定後は Amazon VPC ピアリング接続を受諾してネットワークを設定する で確認できる [リクエスタ CIDR] だけ許可するなどが考えられます。

  9. [確認と作成] をクリックします。

  10. [起動] をクリックします。

    「既存のキーペアを選択するか、新しいキーペアを作成します。」という画面が表示されます。

  11. 既存のキーがある場合は、それを選択します。既存のキーがない場合は、[新しいキーペアの作成] を選択し、[キーペア名] を入力して、[キーペアのダウンロード] をクリックします。

    既存のキーペアを選択するか、新しいキーペアを作成します。 既存のキーペアを選択するか、新しいキーペアを作成します。

    EC2 インスタンスに Apache をインストールする の手順では、ここで指定したキーファイルを使用して、EC2 インスタンスに SSH 接続します。

  12. [インスタンスの作成] をクリックします。

EC2 インスタンスに Apache をインストールする

次に、EC2 インスタンスに接続して、Apache をインストールします。

  1. AWS マネジメントコンソール にログインし、「EC2」を選択して、サイドメニューで [インスタンス][インスタンス] の順にクリックします。

  2. 作成したインスタンスにチェックを入れて、[接続] をクリックします。

    EC2 インスタンス一覧 EC2 インスタンス一覧

    EC2 インスタンスに接続するためのコマンドが表示されます。ここでは、SSH でログインします。

  3. [SSH クライアント] をクリックして、説明のとおりに操作します。 OSX ではターミナル、Windows では Tera Term などを使用してください。

    $ ssh -i "xxx-dev01.pem" ec2-user@ec2-52-196-xxx-xxx.ap-northeast-1.compute.amazonaws.com
    

    EC2 インスタンスにログインされます。

  4. Apache をインストールします。

    $ sudo yum install httpd
    

    Apache がインストールされます。

  5. Apache を起動します。

    $ sudo service httpd start
    
  6. PC のブラウザを起動して、アクセスします。

    SSH でのログインに使用したドメイン (たとえば ec2-52-196-xxx-xxx.ap-northeast-1.compute.amazonaws.com) にアクセスします。

    以下のように表示されたら、グローバル IP アドレスで EC2 インスタンスの Apache にアクセスできています。

    Test Page Test Page

    このあとの手順に従って Canal をセットアップすることで、プライベートアドレスでアクセスできます。

ステップ 2: VPG を作成し Canal を構成する

ここでは VPG を作成し、Canal の Amazon VPC ピアリング接続を構成します (以下の赤の点線部分)。お客様が作成した Transit Gateway と接続する手順は SORACOM Canal を使用して閉域網で接続する (Transit Gateway 接続) を参照してください。

VPG VPG

VPG を作成する

Canal を利用するには、VPG Type-F (閉域網接続可能) を作成します。

VPG VPG

VPG を作成する手順について詳しくは、VPG を作成する を参照してください。なお、「VPG を追加」画面では、以下のように設定します。

項目説明
[名前]任意の名前を入力します。
[タイプ]「Type-F (閉域網接続可能)」を選択します。
[インターネットゲートウェイ]ON にします。
[ランデブーポイント] (*1)グローバルカバレッジでは、VPG の作成時に ランデブーポイント を「東京 (日本)」、「フランクフルト (ドイツ)」、「オレゴン (アメリカ)」から選択できます。(*2)
  • (*1) 日本カバレッジでは、ランデブーポイントは「東京 (日本)」に固定されているため、[ランデブーポイント] は表示されません。
  • (*2) IoT SIM のサブスクリプションによってランデブーポイントが異なります。詳しくは、ランデブーポイントを使用した接続 を参照してください。

VPG Type-C/D でもこれまでどおり「SORACOM Gate Canal (VPC ピアリング接続)」を利用できます。

Amazon VPC ピアリング接続を設定する

次に、ステップ 1: Amazon VPC および EC2 インスタンスを作成する で作成した Amazon VPC に、Amazon VPC ピアリング接続を設定します。

Amazon VPC ピアリング接続の設定に必要な情報を確認する

Amazon VPC ピアリング接続の設定には、以下の情報が必要です。

情報確認方法
AWS のアカウント番号

AWS マネジメントコンソール にログインして、右上の [サポート][サポートセンター] の順にクリックすると確認できます。

VPG VPG

VPG VPG

  • 接続先の Amazon VPC ID
  • Amazon VPC の アドレスレンジ (IPv4 CIDR)

AWS マネジメントコンソール にログインし、「VPC」を選択して、VPC ダッシュボードの [VPC] をクリックすると確認できます。

VPG VPG

ユーザーコンソールで Amazon VPC ピアリング接続を設定する

  1. VPG を作成する で作成した VPG の VPG 設定画面で、[閉域網設定] をクリックして、[Amazon VPC ピアリング接続 (SORACOM Canal)][+ 追加] をクリックします。

    VPG 設定画面を表示する操作について詳しくは、VPG の設定を変更する を参照してください。

    VPG VPG

  2. Amazon VPC ピアリング接続の設定に必要な情報を確認する で確認した内容を各項目に入力します。

    項目説明
    [AWS アカウント ID]AWS のアカウント番号を入力します。
    [AWS VPC ID]接続先の Amazon VPC ID を入力します。
    [AWS リージョン]接続先の Amazon VPC がある AWS リージョンを選択します。例: ap-northeast-1
    [AMAZON VPC のアドレスレンジ]接続先の Amazon VPC の アドレスレンジ (IPv4 CIDR) を入力します。

    VPG VPG

  3. [作成] をクリックします。

    ステップ 1: Amazon VPC および EC2 インスタンスを作成する で作成した Amazon VPC に、SORACOM プラットフォームから Amazon VPC ピアリング接続がリクエストされ、ピアリング接続 ID (pcx-xxxxxxxxxxxxxxxxx) が表示されます。

    この ID は、次の Amazon VPC ピアリング接続を受諾してネットワークを設定する で使います。

Amazon VPC ピアリング接続を受諾してネットワークを設定する

ここでは、ステップ 1: Amazon VPC および EC2 インスタンスを作成する で作成した Amazon VPC で、ピアリング接続を受諾し、ネットワークの設定 (ルートテーブルの設定) を行います。

  1. AWS マネジメントコンソール にログインし、「VPC」を選択して、サイドメニューで [VIRTUAL PRIVATE CLOUD][ピアリング接続] の順にクリックします。

    ピアリング接続のリクエストが表示されます。

  2. [ピアリング接続をフィルタリング] にピアリング接続 ID (pcx-xxxxxxxxxxxxxxxxx) を入力して Enter キーを押します。

  3. ピアリング接続のリクエストの [詳細] タブに記載されている [リクエスタ CIDR] をメモします。

    リクエスタ CIDR は、後ほどルートテーブルの設定で使用します。

    VPG VPG

  4. ピアリング接続リクエストをクリックして、[アクション][リクエストを承諾] の順にクリックします。

    VPG VPG

  5. [リクエストを承諾] をクリックします。

    以下のようなウィンドウが表示されます。

    VPG VPG

  6. [アクセプタ VPC] の VPC ID をクリックし、[メインルートテーブル] のルートテーブル ID をクリックします。

  7. [ルート][ルートを編集][ルートを追加] の順にクリックし、以下のように設定します。

    項目説明
    [送信先]手順 3 で確認した「リクエスタ CIDR」(利用する VPG の IPv4 アドレス空間) を入力します。
    [ターゲット]「ピアリング接続」を選択し、ピアリング接続 ID (pcx-xxxxxxxxxxxxxxxxx) を選択します。
  8. [変更を保存] をクリックします。

    VPG VPG

  9. [サブネットの関連付け][サブネットの関連付けを編集] をクリックします。

  10. VPC のパブリックサブネットにチェックを入れて、[関連付けを保存] をクリックします。

複数の VPG から同一の VPC にピアリング接続する場合は、各 VPG の CIDR をルートテーブルに登録してください。

ステップ 3: 閉域網で接続する

いよいよ、Canal を通じて、閉域網の接続を行います。

VPG を有効化したグループに所属する IoT SIM は、VPG を利用します。具体的には、以下の手順で接続します。

  1. ステップ 3-1: IoT SIM が利用する VPG を切り替える
  2. ステップ 3-2: IoT SIM からプライベートアドレスでアクセスする

ステップ 3-1: IoT SIM が利用する VPG を切り替える

IoT SIM が、ステップ 2: VPG を作成し Canal を構成する で作成した VPG を利用するように設定し、セッションを再確立します。詳しくは、IoT SIM が利用する VPG を切り替える を参照してください。

ステップ 3-2: IoT SIM からプライベートアドレスでアクセスする

VPG を使用するグループに所属する IoT SIM を利用するデバイスから、ステップ 1: Amazon VPC および EC2 インスタンスを作成する で作成した Amazon VPC 内の EC2 インスタンスにアクセスします。

  1. AWS マネジメントコンソール にログインし、「EC2」を選択して、サイドメニューで [インスタンス][インスタンス] の順にクリックします。

  2. EC2 インスタンスを作成する で作成した EC2 インスタンスのインスタンス ID をクリックします。

  3. [プライベート IPv4 アドレス] を確認します。

  4. IoT SIM を利用するデバイスから、プライベート IP アドレスを利用してアクセスできることを確認します。

    たとえば、ブラウザを起動し、EC2 インスタンスのプライベートアドレスを入力して、EC2 インスタンスにインストールした Apache がテストページを返すことを確認します。

(参考) Canal の利用を終了する

Canal を用いた閉域網接続が不要になった場合は、ステップ 2: VPG を作成し Canal を構成する で作成した VPG の利用を終了 / 削除してください。詳しくは、VPG の利用を終了する / 削除する を参照してください。

VPG の利用料金は継続して発生します

VPG を削除するまでは、VPG の利用料金が発生します。不要になった VPG は速やかに削除してください。VPG の利用料金について詳しくは、Virtual Private Gateway のご利用料金 を参照してください。

VPG 以外にも料金が発生しています

VPG 以外にも料金が発生します。課金を止める場合は、削除してください。