Oracle Cloud Infrastructureドキュメント

Site-to-Site VPNウィザード

サイト間VPNウィザードは、オンプレミス・ネットワークと仮想クラウド・ネットワーク(VCN)との間にサイト間VPNを最も速く設定する方法です。このウィザードは、コンソールで手順を追ってVPNおよび関連ネットワーキング・サービス・コンポーネントを設定するための、ガイド付きプロセスです。

セキュアなVPNソリューションとしては他に、Oracle Marketplaceでアクセス可能なクライアントVPNソリューションであるOpenVPNがあります。OpenVPNは、個々のデバイスをVCNに接続するもので、サイトまたはネットワーク全体に接続するものではありません。

ウィザードの目的

サイト間VPNでは、いくつかのネットワーキング・サービス・コンポーネントを設定し、構成する必要があります。ウィザードにより、これらのコンポーネントが設定されます。一般に、ウィザードでは次のことが行われます:

  • 開始時に役立つ前提付きのテンプレートが使用されます。
  • 基本的なネットワーク情報について質問されます。
  • ネットワーキング・サービス・コンポーネントが設定されます。
  • 顧客構内機器(CPE)デバイスの構成時にネットワーク・エンジニアが使用する構成コンテンツを生成できます。

次の図に示すように、ウィザードはサイト間VPNの設定プロセス全体におけるタスクの1つです。ウィザードは影付きのボックスです。

この図は、サイト間VPNの設定プロセス全体のフロー図を示しています。

プロセス全体の中に組織内のネットワーク・エンジニアが行う作業が含まれていることに注意してください。ウィザードの実行中に入力する必要のある情報は、そのエンジニアから入手します。ウィザードによって、CPEデバイスの構成時にネットワーク・エンジニアが必要とする情報が返されます。CPE構成ヘルパーを使用すると、ネットワーク・エンジニア用に構成されたテンプレートに必要な情報を統合できます。

次の短い各項で、それぞれのタスクの概要を示します。

タスク1: ネットワーク・エンジニアから入手する情報
  • CPEデバイスのパブリックIPアドレス。(アドレスはIPv4である必要がありますが、IPv6トラフィックがサポートされます)
  • CPEベンダー、モデルおよびバージョン
  • CPE IKE識別子。詳細は、サイト間VPNコンポーネントの概要を参照してください。
  • オンプレミス・ネットワークのルート。
  • VPNでBGP動的ルーティングを使用する場合:
    • ネットワークのBGP ASN
    • 作成される2つのIPSecトンネルそれぞれについて、各トンネルの端のトンネル内インタフェースに使用するBGP IPアドレスのペア(サブネット・マスクを使用)。例:
      • トンネル1: トンネル内インタフェース - CPE: 10.0.0.16/31
      • トンネル1: トンネル内インタフェース - Oracle: 10.0.0.17/31
      • トンネル2: トンネル内インタフェース - CPE: 10.0.0.8/31
      • トンネル2: トンネル内インタフェース - Oracle: 10.0.0.9/31
タスク2: ウィザード

コンソールでウィザードをウォークスルーします。詳細は、次の各項を参照してください:

タスク3: ネットワーク・エンジニアに提供する情報

CPE構成ヘルパーを使用して、ネットワーク・エンジニアがCPEの構成に使用できる構成コンテンツを生成します。

コンテンツには次の項目が含まれます:

  • 各IPSecトンネルのOracle VPN IPアドレスおよび共有シークレット。
  • サポートされているIPSecパラメータ値。
  • VCNに関する情報。
  • CPE固有の構成情報。
タスク4: CPE構成

ユーザーが入力した情報をネットワーク・エンジニアが取得して、CPEデバイスを構成します。

タスク5: テスト

ユーザーとネットワーク・エンジニアが接続をテストし、トラフィックが流れることを確認します。

ウィザードの代替方法

必要に応じて、サイト間VPNを手動で設定できます。段階的な手順については、サイト間VPNの設定を参照してください。

ウィザードで作成されるもの

サイト間VPNを設定するOracleのお客様の大部分は、オンプレミス・ネットワークに接続するVCNをすでに持っています。その場合、ウィザードでは、次の図に示す番号付きのコンポーネントが作成されます。この表は、各コンポーネントについて説明しています。

この図は、自動的に作成されたネットワーキング・サービス・コンポーネントを示しています。
番号 コンポーネント 説明 既存のものを使用できるか、それとも新しく作成するか。
1 CPE CPEは、実際のCPEデバイスの仮想表現です。この仮想表現には、CPEデバイスのパブリックIPアドレスなどの基本情報が含まれています。 はい。既存のCPEを使用することも、ウィザードで新しいCPEを作成することもできます。
2 IPSecトンネル

ウィザードによって、2つのIPSecトンネルが作成されます。それぞれに含まれる特定の構成情報をネットワーク・エンジニアに提供する必要があります。

ノート: ウィザードでは、トンネルにIKEv1またはIKEv2が使用されます。IKEv2の詳細は、IKEv2の使用を参照してください。

 いいえ。ウィザードによって自動的にトンネルが作成されます。
3 動的ルーティング・ゲートウェイ(DRG) DRGは、サイト間VPNのOracle側にある実際のルーターの仮想表現です。 はい。
4 インターネット・ゲートウェイ

選択したVCNにインターネット・ゲートウェイがまだない場合は、ウィザードで作成してインターネットへの直接接続を有効にできます。

はい。既存のインターネット・ゲートウェイを使用するか、ウィザードで新しいインターネット・ゲートウェイを作成するかを選択できます。
5 サブネット・ルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 DRG
ノート

新しいリソースを作成するには、そのリソースのサービス制限に達していない必要があります。リソース・タイプのサービス制限に達したら、そのタイプの未使用のリソースを削除するか、サービス制限の引上げをリクエストできます。

また、ウィザードで、オンプレミス・ネットワークにアクセスできるように構成する必要のあるVCN内のサブネットを指定します。ウィザードは、各サブネットのルート表とセキュリティ・ルールを次のように更新します:

  • ルート・ルール: ウィザードは、VCNトラフィックをDRG経由でオンプレミス・ネットワークにルーティングする1つ以上のルールを追加します。ウィザードで指定した各オンプレミス・ネットワーク・ルートに1つずつルールがあります。VCNにインターネット・ゲートウェイがあり(または作成することを選択し)、パブリック・サブネットが選択されている場合、ウィザードでは、(オンプレミス・ネットワークを宛先としない)残りのトラフィックをインターネット・ゲートウェイに送信するルールも追加されます。
  • セキュリティ・リスト・ルール: ウィザードは、オンプレミス・ネットワークからのすべてのタイプのトラフィックを許可する1つ以上のルールも追加します。ウィザードで指定した各オンプレミス・ネットワーク・ルートに1つずつルールがあります。VCNにインターネット・ゲートウェイがあり(または作成することを選択し)、パブリック・サブネットが選択されている場合、ウィザードでは、インターネットからのポート22を介したSSHを許可するルールも追加されます。

必要に応じて、ルールを編集したり、さらに追加できます。

ウィザードの完了後、CPE構成ヘルパーを使用して、ネットワーク・エンジニアがCPEの構成に使用できる構成コンテンツを生成できます。

コンソールでウィザードにアクセスする場所

オプション1:

  1. ナビゲーション・メニューを開き、「ネットワーキング」「概要」の順に選択します。
  2. 「VPNウィザードの起動」ボタンをクリックします。

オプション2:

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 「VCNウィザードの起動」をクリックします。
  3. 「VCNへのサイト間VPNおよびインターネット接続の追加」を選択し、「VCNウィザードの起動」をクリックします。

オプション3:

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「サイト間VPN」をクリックします。
  2. 「VPNウィザードの起動」をクリックします。