Oracle Cloud Infrastructureドキュメント

サイト間VPN上の接続

このトピックでは、Oracle Cloud Infrastructure Classic IPネットワークとOracle Cloud Infrastructure Virtual Cloud Network (VCN)の間の接続を設定する方法の1つについて説明します。接続は、サイト間VPNを介します。

もう1つのオプションは、Oracleネットワークを介した接続の設定をオラクル社に依頼することです。詳細は、Oracle Networkを介した接続を参照してください。

ハイライト

  • Oracle Cloud Infrastructure Classic環境とOracle Cloud Infrastructure環境の間でハイブリッドなワークロードを実行できます。
  • IPネットワークのVPN as a Service (VPNaaS)ゲートウェイとVCNのアタッチされたDynamic Routing Gateway (DRG)の間にサイト間VPNを設定します。接続はインターネットを介します。トラフィックを有効にするために、環境でルーティング・ルールおよびセキュリティ・ルールを構成します。
  • 2つの環境のCIDRが重複しないようにする必要があります。クラウド・リソースは、プライベートIPアドレスを使用した接続経由でのみ通信できます。
  • 2つの環境は同じ地理的領域またはリージョン内にある必要はありません。
  • 接続は無料です。

概要

Oracle Cloud Infrastructure環境とOracle Cloud Infrastructure Classic環境をサイト間VPNを使用して接続できます。この接続により、2つの環境間に設定されたアプリケーション・コンポーネントを使用したハイブリッドなデプロイメントが容易になります。接続を使用してワークロードをOracle Cloud Infrastructure ClassicからOracle Cloud Infrastructureに移行することもできます。Oracleネットワークを使用した接続と比較した場合: ほんの数分で自分でサイト間VPNを設定できます。FastConnectと比較した場合: FastConnectパートナとの連携による追加のコストおよび運用のオーバーヘッドが発生しません。

次の図は、ハイブリッドなデプロイメントの例を示しています。Oracle Analytics CloudがOracle Cloud Infrastructure Classic IPネットワークで実行され、Oracle Cloud Infrastructure内のデータベース・サービスに接続を介してアクセスしています。

この図は、IPネットワークとVCNの間の接続を示しています。

ここでは、知っておく必要のあるその他の重要な詳細を示します:

  • 接続は、任意のOracle Cloud InfrastructureおよびOracle Cloud Infrastructure Classicのリージョンでサポートされます。2つの環境は同じ地理的領域にある必要はありません。
  • この接続では、プライベートIPアドレスを使用する通信のみが有効です。
  • 通信する必要のあるIPネットワークおよびVCNサブネットのCIDRブロックは重複できません。
  • この接続では、Oracle Cloud Infrastructure Classic IPネットワークおよびOracle Cloud Infrastructure VCNのリソース間の通信のみが可能です。IPネットワークを介したオンプレミス・ネットワークからVCN、またはVCNを介したオンプレミス・ネットワークからIPネットワークへのトラフィックは有効ではありません。
  • また、この接続では、接続されたVCNを介したIPネットワークから同じOracle Cloud Infrastructureリージョンまたは異なるリージョンのピアリングされたVCNへのトラフィックのフローも無効です。

次の表に、接続の各側に必要な同等のネットワーキング・コンポーネントを示します。

コンポーネント Oracle Cloud Infrastructure Classic Oracle Cloud Infrastructure
クラウド・ネットワーク IPネットワーク VCN
ゲートウェイ VPNaaSゲートウェイ 動的ルーティング・ゲートウェイ(DRG)
セキュリティ・ルール セキュリティ・ルール ネットワーク・セキュリティ・グループ、セキュリティ・リスト

IPネットワークとVCNの間のサイト間VPNの設定

次のフロー・チャートは、IPネットワークとVCNをサイト間VPNを使用して接続するプロセス全体を示しています。

このフロー・チャートには、VPN接続を使用してIPネットワークとVCNを接続するためのステップが示されています

前提条件:

すでに次のものを備えている必要があります:

  • Oracle Cloud Infrastructure Classic IPネットワーク
  • サブネットを持つOracle Cloud Infrastructure VCN
タスク1: IPネットワークのVPNaaSゲートウェイの設定

  1. VPNaaSゲートウェイを設定する場合、次の値を使用します:

    • IPネットワーク: VCNに接続するOracle Cloud Infrastructure Classic IPネットワーク。IPネットワークは1つしか指定できません。
    • カスタマ・ゲートウェイ: 129.213.240.51などのプレースホルダ値。このプレースホルダ値を使用して、プロセスを進めることができます。後でOracle Cloud Infrastructure VPNルーターのIPアドレスを使用して値を更新します。
    • 顧客が到達可能なルート: VCNのCIDRブロック。VCNは1つしか指定できません。
    • フェーズ2 ESP提案の指定:チェックボックスが選択されます。
    • ESP暗号化: AES 256
    • ESPハッシュ: SHA1
    • IPSEC存続期間: 1800
    • 前方秘匿性が必須:チェック・ボックスを選択します。
  2. 結果のVPNaaSゲートウェイのパブリックIPアドレスを記録します。
タスク2: VCNのコンポーネントとIPSecトンネルの設定
タスク2a: VCNのDynamic Routing Gateway (DRG)の設定

VCNにDRGがアタッチされていない場合は、DRGを作成してアタッチします:

タスク2b: DRGへのルーティングの構成

VCNのサブネットからDRGにトラフィックを転送するルート・ルールを追加します。IPネットワークのCIDRブロックをルールの宛先として使用します。

  1. VCN内のどのサブネットがIPネットワークと通信する必要があるかを判断します。

  2. それらの各サブネットのルート表を更新し、IPネットワークのCIDR宛のトラフィックをDRGに転送する新しいルールを含めます:

    1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
    2. 目的のVCNをクリックします。
    3. 「リソース」で、「ルート表」をクリックします。
    4. 目的のルート表をクリックします。

    5. 「ルート・ルールの追加」をクリックし、次の情報を入力します:

      • 宛先CIDRブロック: IPネットワークのCIDRブロック。
      • ターゲット・タイプ: 動的ルーティング・ゲートウェイ。VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。
      • 説明: ルールのオプションの説明。
    6. 「ルート・ルールの追加」をクリックします。

ルールに一致する宛先のサブネット・トラフィックは、DRGにルーティングされます。ルート・ルールの設定の詳細は、VCNルート表を参照してください。

その後、接続が不要になってDRGを削除する場合は、DRGをターゲットとして指定しているVCN内のすべてのルート・ルールを最初に削除する必要があります。

タスク2c: セキュリティ・ルールの構成

IPネットワークとVCNの間を確実にトラフィックが流れるようにするには、目的のトラフィックを許可するようにIPネットワークのセキュリティ・ルールとVCNのセキュリティ・ルールを設定します。

追加するルールのタイプは、次のとおりです:

  • 一方のクラウドに対する他方のクラウド(特に、他方のクラウドのCIDRブロック)からのトラフィックのうち許可するトラフィックのタイプに関するイングレス・ルール。
  • 一方のクラウドから他方のクラウドへの送信トラフィックを許可するエグレス・ルール。VCNのサブネットに、すべての宛先(0.0.0.0/0)へのすべてのタイプのプロトコルに対応する広範囲のエグレス・ルールがすでにある場合は、IPネットワーク用に特別なルールを追加する必要はありません。
IPネットワークの場合

目的のトラフィックが許可されるよう、IPネットワークに対してネットワーク・セキュリティ・ルールを構成します。

VCNの場合
ノート

次の手順ではセキュリティ・リストを使用しますが、かわりに1つ以上のネットワーク・セキュリティ・グループにセキュリティ・ルールを実装し、VCNのリソースをNSGに配置することもできます。
  1. VCN内のどのサブネットがIPネットワークと通信する必要があるかを判断します。

  2. それらの各サブネットのセキュリティ・リストを更新して、目的の(IPネットワークのCIDRブロックを使用する)エグレス・トラフィックまたはイングレス・トラフィックを許可するルールを含めます:

    1. コンソールで、目的のVCNを表示している状態で、「セキュリティ・リスト」をクリックします。

    2. 目的のセキュリティ・リストをクリックします。

      「リソース」で、「イングレス・ルール」または「エグレス・ルール」をクリックして、ルールのタイプを切り替えることができます。

    3. 1つ以上のルールを追加します。各ルールは、許可する特定のタイプのトラフィックに対応します。

    セキュリティ・リスト・ルールの設定の詳細は、セキュリティ・リストを参照してください。

    重要

    VCNのデフォルト・セキュリティ・リストでは、ICMPエコー・リプライおよびエコー・リクエスト(ping)は許可されません。そのトラフィックを有効にするルールを追加します。Pingを有効にするためのルールを参照してください

IPネットワークのCIDRからのイングレスHTTPS(ポート443)トラフィックを有効化するステートフル・ルールを追加するとします。ルールを追加する際の基本的なステップは次のとおりです:

  1. 「イングレス・ルール」ページで、「イングレス・ルールの追加」をクリックします。
  2. 「ステートレス」チェック・ボックスは選択を解除したままにします。
  3. ソースCIDR: ルート・ルールで使用するのと同じCIDRブロックを入力します(「タスク2b: DRGへのルーティングの構成」を参照)。
  4. IPプロトコル: TCPのままにします。
  5. ソース・ポート範囲: 「すべて」のままにします。
  6. 宛先ポート範囲: 443と入力します。
  7. 「イングレス・ルールの追加」をクリックします。
  8. 説明: オプションでルールの説明を入力します。
タスク2d: CPEオブジェクトの作成

CPEオブジェクトを作成します。IPアドレスは必須です。VPNaaSゲートウェイのパブリックIPアドレスを使用します。

タスク2e: IPSec接続の作成

DRGから、CPEオブジェクトへのIPSec接続を作成します。1つ以上の静的ルートを指定する必要があります。値は、IPネットワークのサブネットまたは集約に一致している必要があります。

結果のIPSec接続は、2つのトンネルで構成されます。これらのトンネルの1つのIPアドレスと共有シークレットを記録します。次のタスクで、これらの値を指定します。

タスク3: トンネル情報を使用したVPNaaS接続の更新

VPNaaS接続を更新します。次の値を使用します:

  • カスタマ・ゲートウェイ: 前のタスクで得たトンネルのIPアドレス。
  • 事前共有キー: 前のタスクで得たトンネルの共有シークレット。

IPsec接続が更新されてプロビジョニングされると、IPSecトンネルの状態が「使用可能」に変わります。プロビジョニングに数分かかることがあります。

タスク4: 接続のテスト

トンネルの状態が「使用可能」に変わったら、接続をテストします。IPネットワークのセキュリティ・ルールおよびVCNセキュリティ・ルールの設定によっては、VCNでインスタンスを起動し、IPネットワーク内のインスタンスからアクセスします。または、VCNインスタンスからIPネットワーク内のインスタンスに接続します。可能である場合、接続を使用する準備ができています。

接続の終了

接続を終了する場合は、IPSec接続を削除します:

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「サイト間VPN」をクリックします。

    表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側にあるリストから選択します)。

  2. 目的のIPSec接続をクリックします。
  3. 「終了」をクリックします。
  4. 要求されたら、削除を確定します。

削除中の短い間、IPSec接続は「終了中」状態になります。