シナリオB: VPNを使用したプライベート・サブネット

1. VCNを作成します:

   1. ナビゲーション・メニューを開き、「ネットワーキング」、「仮想クラウド・ネットワーク」の順に選択します。
   2. 「リスト範囲」で、in.Theページの更新を操作する権限があるコンパートメントを選択し、そのコンパートメント内のリソースのみを表示します。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
   3. 「仮想クラウド・ネットワークの作成」をクリックします。

   4. 次を入力します:

      • 名前: VCNのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • コンパートメントで作成: そのままにします。
      • CIDRブロック: VCNの1つ以上の重複しないCIDRブロック。例: 172.16.0.0/16。CIDRブロックは後で追加または削除できます。許容されるVCNのサイズとアドレス範囲を参照してください。参照用として、ここにCIDR計算機があります。
      • IPv6アドレス割当ての有効化: IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。
      • このVCNでDNSホスト名を使用します: このオプションは、VCNのホストにDNSホスト名を割り当てるために必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定の場合に必要です。このオプションを選択した場合、VCNのDNSラベルを指定することも、コンソールに生成させることもできます。ダイアログ・ボックスには、VCNの対応するDNSドメイン名(<VCN_DNS_label>.oraclevcn.com)が自動的に表示されます。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
      • タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。

   5. 「仮想クラウド・ネットワークの作成」をクリックします。

      これにより、VCNが作成され、選択したコンパートメントの「仮想クラウド・ネットワーク」ページに表示されます。

2. リージョナル・プライベート・サブネットを作成します:

   1. VCNを表示したまま、「サブネットの作成」をクリックします。

   2. 次を入力します:

      • 名前: サブネットのわかりやすい名前(リージョナル・プライベート・サブネットなど)。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • リージョンまたは可用性ドメイン固有: 「リージョナル」(推奨)を選択します。これは、サブネットがリージョン内のすべての可用性ドメインにわたることを意味します。後でインスタンスを起動するときに、リージョン内の任意の可用性ドメインにそれを作成できます。詳細は、VCNとサブネットの概要を参照してください。
      • CIDRブロック: VCNのCIDRブロック内の単一の連続CIDRブロック。例: 172.16.0.0/24。この値は後で変更できません。参照用として、ここにCIDR計算機があります。
      • IPv6アドレス割当ての有効化:このオプションは、VCNがUS Government Cloud内にある場合にのみ使用できます。詳細は、IPv6アドレスを参照してください。
      • ルート表: デフォルト・ルート表を選択します。
      • プライベートまたはパブリック・サブネット: 「プライベート・サブネット」を選択します。これは、サブネット内のインスタンスがパブリックIPアドレスを持てないことを意味します。詳細は、インターネットへのアクセスを参照してください。
      • このサブネットでDNSホスト名を使用:このオプションは、VCNの作成時にDNSラベルが指定されていた場合にのみ使用できます。このオプションは、サブネットのホストにDNSホスト名を割り当てるために必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定です。チェック・ボックスを選択した場合、サブネットのDNSラベルを指定するか、コンソールで自動的に生成できます。ダイアログ・ボックスには、サブネットの対応するDNSドメイン名がFQDNとして自動的に表示されます。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
      • DHCPオプション: DHCPオプションのデフォルト・セットを選択します。
      • セキュリティ・リスト: デフォルト・セキュリティ・リストを選択します。
      • タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。

   3. 「サブネットの作成」をクリックします。

      サブネットが作成され、「サブネット」ページに表示されます。

3. VCN内のインスタンスに必要となる接続タイプを許可するルールを含めて、デフォルトのセキュリティ・リストを更新します:

   1. ページにVCNのサブネットが表示されている状態で「セキュリティ・リスト」をクリックし、デフォルト・セキュリティ・リストをクリックします。
   2. 「リソース」で、使用するルールのタイプに応じて、「イングレス・ルール」または「エグレス・ルール」のいずれかをクリックします。「イングレス・ルールの追加」または「エグレス・ルールの追加」をクリックして、1つずつルールを追加できます。

   3. 目的のルールを追加します。デフォルト・セキュリティ・リストの既存のデフォルト・ルールに追加するルールとして推奨されるルールは次のとおりです:

      例: イングレスHTTPアクセス

      • タイプ: イングレス
      • ステートレス: 選択解除(これはステートフル・ルールです)
      • ソース・タイプ: CIDR
      • ソースCIDR: 0.0.0.0/0
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 80
      • 説明: ルールのオプションの説明。
      例: イングレスHTTPSアクセス

      • タイプ: イングレス
      • ステートレス: 選択解除(これはステートフル・ルールです)
      • ソース・タイプ: CIDR
      • ソースCIDR: 0.0.0.0/0
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 443
      • 説明: ルールのオプションの説明。
      例: Oracleデータベースに対するイングレスSQL*Netアクセス

      • タイプ: イングレス
      • ステートレス: 選択解除(これはステートフル・ルールです)
      • ソース・タイプ: CIDR
      • ソースCIDR: 0.0.0.0/0
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 1521
      • 説明: ルールのオプションの説明。
      例: Windowsインスタンスに必要なイングレスRDPアクセス

      • タイプ: イングレス
      • ステートレス: 選択解除(これはステートフル・ルールです)
      • ソース・タイプ: CIDR
      • ソースCIDR: 0.0.0.0/0
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 3389
      • 説明: ルールのオプションの説明。

本番VCNでは、通常、各サブネットに1つ以上のカスタム・セキュリティ・リストを設定します。必要に応じて、異なるセキュリティ・リストを使用するようにサブネットを編集できます。デフォルト・セキュリティ・リストを使用しない場合は、カスタム・セキュリティ・リストに複製するデフォルト・ルールを慎重に評価した後にのみ行います。例: デフォルト・セキュリティ・リストにあるデフォルトのICMPルールは、接続メッセージを受信するために重要です。

これで、サブネット内に1つ以上のインスタンスを作成できるようになります(インスタンスの起動を参照)。このシナリオの図は、2つの異なる可用性ドメイン内のインスタンスを示しています。インスタンスを作成するときに、AD、使用するVCNとサブネット、およびその他の特性を選択します。

ただし、VCNをオンプレミス・ネットワークに接続するゲートウェイがないため、インスタンスとの通信はまだできません。次の手順では、サイト間VPNを設定してその通信を有効にします。

1. 顧客構内機器(CPE)オブジェクトを作成します:

   1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「顧客構内機器」を選択します。
   2. 「顧客構内機器の作成」をクリックします。
   3. 次を入力します:
      • コンパートメントに作成: デフォルト値のままにします(現在作業中のコンパートメント)。
      • 名前: 顧客構内機器オブジェクトのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • IPアドレス: VPNのユーザー側にあるCPEのパブリックIPアドレス(前提条件を参照)。
   4. 「作成」をクリックします。

   CPEオブジェクトは、短い間「プロビジョニング中」状態になります。

2. Dynamic Routing Gateway (DRG)を作成します:

   1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「動的ルーティング・ゲートウェイ」を選択します。
   2. 「動的ルーティング・ゲートウェイの作成」をクリックします。
   3. コンパートメントに作成: デフォルト値のままにします(現在作業中のコンパートメント)。
   4. DRGのわかりやすい名前を入力します。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
   5. 「作成」をクリックします。

   DRGは、短い間「プロビジョニング中」状態になります。DRGが完全にプロビジョニングされるまで待機してから続行します。

3. DRGをVCNにアタッチします:

   1. 作成したDRGをクリックします。
   2. 「リソース」で、「仮想クラウド・ネットワーク」をクリックします。
   3. 「仮想クラウド・ネットワークへのアタッチ」をクリックします。
   4. VCNを選択します。拡張オプションのセクションは無視してください。これは、転送ルーティングという拡張ルーティング・シナリオで使用するもので、ここでは関係ありません。
   5. 「アタッチ」をクリックします。

   短い間、アタッチメントは「アタッチ中」状態になります。このプロセスが終了するまで待機します。

4. (まだルールがない)デフォルト・ルート表を更新します:

   1. ナビゲーション・メニューを開き、「ネットワーキング」、「仮想クラウド・ネットワーク」の順に選択します。
   2. VCNをクリックします。
   3. 「リソース」で「ルート表」をクリックし、デフォルト・ルート表をクリックします。
   4. 「ルート・ルールの追加」をクリックします。

   5. 次を入力します:

      • ターゲット・タイプ: 動的ルーティング・ゲートウェイ。VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。
      • 宛先CIDRブロック: 0.0.0.0/0 (ルート表内の他のルールでカバーされないVCN外部のすべてのトラフィックが、このルールで指定されたターゲットに送信されることを意味します)。
      • 説明: ルールのオプションの説明。

   6. 「ルート・ルールの追加」をクリックします。

      これで、VCNのデフォルト・ルート表により、アウトバウンド・トラフィックがDRGを経由して最終的にはオンプレミス・ネットワークに送信されるようになります。

5. IPsec接続を作成します:

   1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「サイト間VPN」を選択します。
   2. 「IPSec接続の作成」をクリックします。

   3. 次を入力します:

      • コンパートメントに作成: デフォルト値のままにします(現在作業中のコンパートメント)。
      • 名前: IPSec接続のわかりやすい名前を入力します。一意である必要はありません。機密情報の入力は避けてください。
      • 顧客構内機器コンパートメント: そのままにします(VCNのコンパートメント)。
      • 顧客構内機器: 以前に作成したCPEオブジェクトを選択します。
      • 動的ルーティング・ゲートウェイ・コンパートメント: そのままにします(VCNのコンパートメント)。
      • 動的ルーティング・ゲートウェイ: 以前に作成したDRGを選択します。
      • 静的ルートCIDR: 少なくとも1つの静的ルートCIDRを入力します(前提条件を参照)。別のルートを追加する必要がある場合は、「静的ルートの追加」をクリックします。最大10の静的ルートを入力でき、後から静的ルートを変更することもできます。
   4. 「拡張オプションの表示」をクリックし、オプションで次の項目を指定します:
      • CPE IKE識別子: Oracleでは、デフォルトでCPEのパブリックIPアドレスが使用されます。ただし、CPEがNATデバイスの背後にある場合は、別の値の入力が必要になることもあります。ここで新しい値を入力することも、後で値を変更することもできます。
      • 「トンネル1」および「トンネル2」: そのままにします。後でVPNトンネルに対して静的ルーティングではなくBGP動的ルーティングを使用する場合は、静的ルーティングからBGP動的ルーティングへの変更を参照してください。
      • タグ: そのままにします。タグは後から追加できます。詳細は、リソース・タグを参照してください。

   5. 「IPSec接続の作成」をクリックします。

      IPSec接続が作成され、ページに表示されます。接続は、短い間「プロビジョニング中」状態になります。

      表示されるトンネル情報には、VPNヘッドエンドのIPアドレスと、トンネルのIPSecステータスが含まれます(可能な値は、「稼働中」、「停止中」および「メンテナンスのための停止」です)。この時点でのステータスは「停止中」です。トークンの共有シークレットを表示するには、「アクション」メニュー()をクリックし、「共有シークレットの表示」をクリックします。

   6. 各トンネルのOracle VPN IPアドレスと共有シークレットをコピーし、オンプレミス・ルーターを構成するネットワーク・エンジニアと共有します。

      詳細は、CPE構成を参照してください。このトンネル情報は、コンソールのこの場所でいつでも確認できます。

これで、サイト間VPNに必要なすべてのコンポーネントを作成しました。次に、ネットワーク・トラフィックがオンプレミス・ネットワークとVCNの間を流れるようになるには、ネットワーク管理者がCPEデバイスを構成する必要があります。

これらの手順は、ネットワーク管理者が行うものです。

1. VPN接続の設定時にOracleにより提供されたトンネル構成情報があることを確認します。タスク3: VCNへのサイト間VPNの追加を参照してください。
2. CPE構成の情報に基づいて、CPEを構成します。

インスタンスがサブネット内にすでに存在する場合は、オンプレミス・ネットワークからインスタンスに接続して、IPSec接続が稼働中であることを確認できます。