サイト間VPNの概要
Site-to-Site VPNは、オンプレミス・ネットワークとVirtual Cloud Network (VCN)の間にサイト間IPSec接続を提供します。IPSecプロトコル・スイートは、パケットがソースから宛先に転送される前にIPトラフィックを暗号化し、到着時にトラフィックを復号化します。Site-to-Site VPNは、以前はVPN接続やIPSec VPNと呼ばれていました。
セキュアなVPNソリューションとしては他に、Oracle Marketplaceでアクセス可能なクライアントVPNソリューションであるOpenVPNがあります。OpenVPNは、個々のデバイスをVCNに接続するもので、サイトまたはネットワーク全体に接続するものではありません。
このトピックでは、VCNに対するサイト間VPNの概要を示します。Site-to-Site VPNを含むシナリオについては、シナリオB: VPNを使用したプライベート・サブネットおよびシナリオC: VPNを使用したパブリック・サブネットとプライベート・サブネットを参照してください。
制限関連の情報については、サイト間VPNの制限およびサービス制限の引上げのリクエストを参照してください。
必要な人員および知識
通常、Oracle Cloud Infrastructureを使用したサイト間VPNの設定には、次のタイプの人員が関与します:
- Oracle Cloud InfrastructureConsoleを使用して仮想ネットワークおよびサイト間VPNに必要なクラウド・コンポーネントを設定する、Dev Opsチーム・メンバー(または同様の職務)。
- Dev Opsチーム・メンバーから提供された情報を使用して顧客構内機器(CPE)デバイスを構成する、ネットワーク・エンジニア(または同様の職務)。
Dev Opsチーム・メンバーは、クラウド・コンポーネントの作成と管理に必要な権限を持っている必要があります。Oracle Cloud Infrastructureテナンシのデフォルト管理者または管理者グループのメンバーである場合は、必要な権限があります。ネットワーキング・コンポーネントへのアクセスの制限の詳細は、アクセス制御を参照してください。
次の概念と定義をよく理解している人である必要があります:
- 「Oracle Cloud Infrastructureへようこそ」で説明されているOracle Cloud Infrastructureの基礎
- 基本的なネットワーキング・サービス・コンポーネント
- IPSecトンネルの一般的な機能
- クラウド・リソース
- ユーザーがクラウド・プラットフォームでプロビジョニングするあらゆるものです。たとえば、Oracle Cloud Infrastructureに関するクラウド・リソースは、VCN、コンピュート・インスタンス、ユーザー、コンパートメント、ロード・バランサ、またはプラットフォーム上の他のサービス・コンポーネントを指します。
- オンプレミス
- 従来のデータ・センター環境を指す、クラウド・テクノロジで広く使用されている用語。オンプレミスには、コロケーション・シナリオ、専用フロア・スペース、専用データ・センター・ビルディング、またはデスク下で稼働するデスクトップなどがあります。
- Oracle Cloud Identifier (OCID)
- Oracle Cloud Infrastructureでプロビジョニングする各リソースに割り当てる一意の識別子。OCIDは、Oracleによって自動的に生成される長い文字列です。自分でOCIDの値を選択したり、リソースのOCIDを変更することはできません。詳細は、リソース識別子を参照してください。
Oracle IPSec接続について
一般に、IPSec接続は次のモードで構成できます:
- トランスポート・モード: IPSecはパケットの実際のペイロードのみを暗号化して認証し、ヘッダー情報は元のままです。
- トンネル・モード(Oracleでサポート): IPSecはパケット全体を暗号化して認証します。暗号化の後、パケットはカプセル化されて、異なるヘッダー情報を持つ新しいIPパケットを形成します。
Oracle Cloud Infrastructureは、IPSec VPNsのトンネル・モードのみをサポートしています。
各Oracle IPSec接続は、複数の冗長IPSecトンネルで構成されます。特定のトンネルについて、Border Gateway Protocol (BGP)動的ルーティングか静的ルーティングのいずれかを使用して、そのトンネルのトラフィックをルーティングできます。ルーティングの詳細については後述します。
サイト間VPN IPSecトンネルを使用すると、次の利点があります:
- データの送信に公衆インターネット回線を使用するため、サイト間に高価な専用のリース回線は必要ありません。
- 参加しているネットワークおよびノードの内部IPアドレスは、外部ユーザーには公開されません。
- ソース・サイトと宛先サイト間の通信全体が暗号化されるため、情報窃取の可能性が大幅に減少します。
Site-to-Site VPNのルーティング
Site-to-Site VPNを設定する場合、2つの冗長IPSecトンネルがあります。両方のトンネルを使用するようにCPEデバイスを構成することをお薦めします(デバイスでサポートされている場合)。以前は、Oracleによって、最大4つのIPSecトンネルを持つIPSec接続が作成されていました。
次の3つのルーティング・タイプを使用でき、サイト間VPNの各IPSecトンネルに対して個別にルーティング・タイプを選択します:
- BGP動的ルーティング: 使用可能なルートは、BGPによって動的に学習されます。DRGは、オンプレミス・ネットワークからルートを動的に学習します。Oracle側では、DRGはVCNのサブネットを通知します。
- 静的ルーティング: DRGへのIPSec接続を設定する場合は、VCNに通知する必要のあるオンプレミス・ネットワークへの特定のルートを指定します。VCNのサブネットへの静的ルートを使用して、CPEデバイスも構成する必要があります。これらのルートは動的に学習されません。
- ポリシーベースのルーティング: DRGへのIPSec接続を設定する場合は、VCNに通知する必要のあるオンプレミス・ネットワークへの特定のルートを指定します。VCNのサブネットへの静的ルートを使用して、CPEデバイスも構成する必要があります。これらのルートは動的に学習されません。
Site-to-Site VPNの重要なルーティング詳細
Site-to-Site VPNのルーティングについて理解する必要がある重要な詳細を次に示します:
-
ルーティングの選択肢:
- 当初、サイト間VPNでサポートされるのは静的ルーティングのみであり、IPSec接続全体に対して少なくとも1つの静的ルートを指定する必要があります。
- 現在は、2つの異なるタイプのルーティング(BGPと静的ルーティング)が使用可能になったため、トンネルごとにルーティング・タイプを構成します。ある特定のトンネルに対して同時にサポートされるルーティングのタイプは1つのみです。
- 一般に、IPSec接続のすべてのトンネルに対して同じルーティング・タイプを使用することをお薦めします。例外: 静的ルーティングとBGPとの切替えプロセス中は、一方のトンネルが一時的にまだ静的ルーティングを使用しているのに、もう一方のトンネルがすでにBGPに切り替わっている可能性があります。
- IPSec接続を作成するとき、BGPを使用するように各トンネルを明示的に構成しないかぎりは、すべてのトンネルのデフォルトのルーティング・タイプが静的ルーティングになります。
-
必要なルーティング情報:
- BGPを選択した場合は、各トンネルに2つのIPアドレス(トンネルのBGPセッションで2つのBGPスピーカそれぞれにつき1つずつ)を指定する必要があります。これらのアドレスは、IPSec接続の暗号化ドメインに存在している必要があります。また、ネットワークにBGP自律型システム番号(BGP ASN)を指定する必要もあります。
- 静的ルーティングを選択する場合は、少なくとも1つ(最大10)の静的ルートを指定する必要があります。静的ルートはIPSec接続全体で構成されるため、静的ルーティングを使用するように構成されたIPSec接続のすべてのトンネルに対して同じ静的ルート・セットが使用されます。IPSec接続の作成後は、いつでも静的ルートを変更できます。CPEデバイスとVCNの間でPATを実行している場合、IPSec接続の静的ルートはPAT IPアドレスです。PATを使用したレイアウトの例を参照してください。
- 静的ルーティングを選択する場合、必要に応じて、トンネルのトラブルシューティングまたはモニタリングの目的でトンネルの各端にIPアドレスを指定できます。
- BGPを使用するようにトンネルが構成されている場合、IPSec接続の静的ルートは無視されます。IPSec接続に関連付けられている静的ルートは、そのトンネルが静的ルーティングを使用するように構成されている場合のみ、特定のトンネルのトラフィックのルーティングに使用されます。これは特に、静的ルーティングを使用するサイト間VPNはあるが、BGPの使用に切り替える場合に関連します。
-
ルーティングの変更:
- トンネルをBGPから静的ルーティングに変更する場合は、まず、IPSec接続自体に少なくとも1つの静的ルートが関連付けられていることを確認する必要があります。
- 既存のトンネルのルーティング・タイプは、(現時点でOracleによってトンネルがプロビジョニングされていないかぎり、)いつでも変更できます。ルーティングの変更中も、トンネルは稼働中のままです(そのIPSecステータスは変わりません)。ただし、再プロビジョニング中およびCPEデバイスの再構成中は、トンネルを通過するトラフィックが一時的に中断されます。Site-to-Site VPNへの変更の詳細は、サイト間VPNの作業を参照してください。
- トンネルごとにルーティング・タイプを個別に構成するため、サイト間VPNを静的ルーティングからBGPに切り替える場合は、トンネルごとにこれを行うことができます。これにより、IPSec接続全体の停止を回避できます。手順については、静的ルーティングからBGP動的ルーティングへの変更を参照してください。
複数の接続がある場合のルート通知とパス・プリファレンス
BGPを使用する場合、VCNにアタッチされたDRGによってCPEにルートが通知されます。
オンプレミス・ネットワークとVCNの間に複数の接続を設定する場合は、DRGが通知するルート、および目的の接続を使用するためのパス・プリファレンスの設定方法について理解する必要があります。
詳細は、オンプレミス・ネットワークへの接続のルーティング詳細を参照してください。
Site-to-Site VPNでの特定のトンネルの優先
サイト間VPN内で、どのトンネルを優先するかを設定できます。構成できる項目は次のとおりです:
- CPEのBGPローカル・プリファレンス: BGPを使用する場合、CPEデバイス上でBGPローカル・プリファレンス属性を構成して、オンプレミス・ネットワークから開始されたVCNへの接続に対して優先されるトンネルを制御できます。Oracleでは一般に非対称型ルーティングが使用されるため、Oracleの応答をその同じトンネルで行う場合は、他の属性を構成する必要があります。次の2つの項目を参照してください。
- 優先トンネルに、より限定的なルート: 優先トンネルのほうに、より限定的なルートを通知するようにCPEを構成できます。Oracleでは、応答時または接続開始時に接頭辞が最も長いルートが使用されます。
- ASパス・プリペンド: BGPでは最短のASパスが優先されるため、BGPを使用する場合は、特定のルートに対してどのパスが最短であるかを制御するためにASパス・プリペンドを使用できます。Oracleでは、応答時または接続開始時に最短のASパスが使用されます。
Site-to-Site VPNコンポーネントの概要
基本的なネットワーキング・サービス・コンポーネントについてまだ十分に知識がない場合は、先に進む前にネットワーキングを参照してください。
VCNにSite-to-Site VPNを設定するときは、複数のNetworkingコンポーネントを作成する必要があります。コンポーネントは、コンソールまたはAPIを使用して作成できます。コンポーネントの次の図および説明を参照してください。
| 宛先CIDR | ルート・ターゲット |
|---|---|
| 0.0.0.0/0 | DRG |
- CPEオブジェクト
- サイト間VPNのユーザー側の終端は、オンプレミス・ネットワーク内の実際のデバイス(ハードウェアまたはソフトウェア)です。顧客構内機器(CPE)という語はこのタイプのオンプレミス機器を示す語であり、一部の業界で一般的に使用されています。VPNを設定する際には、デバイスの仮想表現を作成する必要があります。Oracleではこの仮想表現をCPEと呼びますが、このドキュメントでは通常、仮想表現と実際のCPEデバイスを区別するためにCPEオブジェクトという語を使用します。CPEオブジェクトには、Oracleが必要とするデバイスに関する基本情報が含まれています。1つのCPEオブジェクトのパブリックIPには、最大8つのIPSec接続を設定できます。
- 動的ルーティング・ゲートウェイ(DRG)
- サイト間VPNのOracle側の終わりは、動的ルーティング・ゲートウェイと呼ばれる仮想ルーターです。これは、オンプレミス・ネットワークからVCNへのゲートウェイです。オンプレミス・ネットワークおよびVCNに接続するためにサイト間VPNかOracle Cloud Infrastructure FastConnectプライベート仮想回線のどちらを使用しているかにかかわらず、トラフィックはDRGを通過します。詳細は、Dynamic Routing Gatewaysを参照してください。
- IPsec接続
- CPEオブジェクトとDRGを作成した後で、IPSec接続を作成して接続します。これは、サイト間VPNを表す親オブジェクトと考えることができます。IPSec接続には独自のOCIDがあります。このコンポーネントを作成するときは、各IPSecトンネルに使用するルーティングのタイプを構成し、関連するルーティング情報を指定します。1つのCPEオブジェクトのパブリックIPには、最大8つのIPSec接続を設定できます。
- トンネル
- IPSecトンネルは、セキュアなIPSecエンドポイント間のトラフィックを暗号化するために使用されます。Oracleにより、冗長性のために各IPSec接続に2つのトンネルが作成されます。各トンネルには独自のOCIDがあります。一方のトンネルに障害が発生した場合や、Oracleがメンテナンスのために一方をオフラインにした場合に備えて、両方のトンネルをサポートするようにCPEデバイスを構成することをお薦めします。各トンネルには、CPEデバイスの構成時にネットワーク・エンジニアが必要とする構成情報が含まれています。この情報には、IPアドレスと共有シークレットの他、ISAKMPおよびIPSecパラメータが含まれます。CPE構成ヘルパーを使用すると、ネットワーク・エンジニアが必要とする情報を収集できます。詳細は、サポートされているIPSecパラメータおよび検証済CPEデバイスを参照してください。
コンポーネントのアクセス制御
アクセス制御の目的で、サイト間VPNを設定するときには、各コンポーネントを配置するコンパートメントを指定する必要があります。使用するコンパートメントがわからない場合は、すべてのコンポーネントをVCNと同じコンパートメント内に配置します。IPSecトンネルは常に、親IPSec接続と同じコンパートメントに存在します。コンパートメントの詳細、およびネットワーキング・コンポーネントへのアクセスの制限の詳細は、アクセス制御を参照してください。
コンポーネントの名前と識別子
オプションで、コンポーネントの作成時に各コンポーネントにわかりやすい名前を割り当てることができます。これらの名前は一意である必要はありませんが、テナンシ全体で一意の名前を使用することがベスト・プラクティスです。機密情報の入力は避けてください。Oracleによって各コンポーネントにOCIDが自動的に割り当てられます。詳細は、リソース識別子を参照してください。
CPEがNATデバイスの背後にある場合
一般的に、接続のオンプレミス側で構成されたCPE IKE識別子は、Oracleが使用しているCPE IKE識別子と一致する必要があります。デフォルトでは、OracleではCPEのパブリックIPアドレスが使用されます。これは、Oracle ConsoleでCPEオブジェクトを作成したときに指定したものです。ただし、CPEがNATデバイスの背後にある場合、次の図に示すように、オンプレミス側で構成されたCPE IKE識別子がCPEのプライベートIPアドレスになる可能性があります。
一部のCPEプラットフォームでは、ローカルIKE識別子を変更できません。実行できない場合は、Oracle ConsoleでリモートIKE IDを変更して、CPEのローカルIKE IDと一致させる必要があります。IPSec接続を設定するときに、または設定後に、IPSec接続を編集して値を指定できます。Oracleでは、値がIPアドレスまたはcpe.example.comなどの完全修飾ドメイン名(FQDN)であることが必要です。手順については、Oracleで使用されるCPE IKE識別子の変更を参照してください。
CPE構成のリソース
ネットワーク・エンジニアは、IPSec接続のユーザー側にあるCPEを構成する必要があります。これを容易にするために、Oracleでは次のリソースを提供しています:
- CPE構成ヘルパー: CPEの構成時にネットワーク・エンジニアが使用できるコンテンツのセットを生成する、Oracle Consoleのツール。
- 検証済CPEデバイスのリスト: デバイスごとに構成手順が提供されます。
- サポートされているIPSecパラメータのリスト: CPEが検証済デバイスのリストにない場合は、このパラメータのリストを使用してCPEを構成できます。
詳細は、CPE構成も参照してください。
接続のモニタリング
メトリック、アラームおよび通知を使用して、Oracle Cloud Infrastructureリソースのヘルス、容量およびパフォーマンスをモニターできます。詳細は、モニタリングおよび通知を参照してください。
接続のモニタリングの詳細は、サイト間VPNのメトリックを参照してください。