Oracle Cloud Infrastructureドキュメント

シナリオC: VPNを使用したパブリック・サブネットとプライベート・サブネット

このトピックでは、単純な複数層設定の例であるシナリオCの設定方法について説明します。これは、Virtual Cloud Network (VCN)と、パブリック・サーバー(Webサーバーなど)を保持するリージョンのパブリック・サブネットおよびプライベート・サーバー(データベース・サーバーなど)を保持するリージョンのプライベート・サブネットで構成されます。冗長性のために、サーバーはそれぞれの可用性ドメインに存在します。

VCNには、オンプレミス・ネットワークに接続するための動的ルーティング・ゲートウェイ(DRG)およびサイト間VPNがあります。パブリック・サブネット内のインスタンスは、インターネット・ゲートウェイ経由でインターネットに直接アクセスできます。プライベート・サブネット内のインスタンスは、(たとえば、ソフトウェア更新を取得するために) NATゲートウェイ経由でインターネット接続を開始できますが、そのゲートウェイを介してインターネットからのインバウンド接続を受信することはできません。

各サブネットはデフォルト・セキュリティ・リストを使用します。このリストには、Oracle Cloud Infrastructureを簡単に使い始められるように設計されたデフォルト・ルールが含まれています。これらのルールを使用すると、一般的な必須アクセス(インバウンドSSH接続や、任意のタイプのアウトバウンド接続など)が可能になります。セキュリティ・リスト・ルールはトラフィックを許可するのみです。セキュリティ・リスト・ルールで明示的にカバーされていないトラフィックはすべて拒否されます。

ヒント

セキュリティ・リストは、VCNのリソース内外のトラフィックを制御する1つの方法です。また、ネットワーク・セキュリティ・グループを使用すると、すべて同じセキュリティ体制を持つ一連のリソースにセキュリティ・ルールのセットを適用できます。

このシナリオでは、レガシーまたはアップグレードされたDRGを使用できます。

また、各サブネットには、そのサブネットのインスタンスのニーズに固有のルールを含む独自のカスタム・セキュリティ・リストとカスタム・ルート表もあります。このシナリオでは、VCNのデフォルト・ルート表(最初は常に空)は使用しません。

次の図を参照してください。

この図は、シナリオC: パブリック・サブネットとプライベート・サブネットの両方、インターネット・ゲートウェイ、NATゲートウェイおよびVPN IPSec接続を使用したVCNを示しています。
コールアウト1: リージョナル・プライベート・サブネット・ルート表
宛先CIDR ルート・ターゲット
0.0.0.0/0 NATゲートウェイ
10.0.0.0/16 DRG
コールアウト2: リージョナル・パブリック・サブネット・ルート表
宛先CIDR ルート・ターゲット
0.0.0.0/0 インターネット・ゲートウェイ
ヒント

このシナリオでは、接続にサイト間VPNを使用します。ただし、かわりにOracle Cloud Infrastructure FastConnectを使用することもできます。

前提条件

このシナリオでVPNを設定するには、ネットワーク管理者から次の情報を取得する必要があります:

  • VPNのユーザー側の顧客構内機器(CPE)のパブリックIPアドレス
  • オンプレミス・ネットワーク用の静的ルート(このシナリオではVPNトンネルに静的ルーティングを使用していますが、かわりにBGP動的ルーティングを使用することもできます)

この情報をOracleに提供すると、ネットワーク管理者がVPNのユーザー側でオンプレミス・ルーターを構成するために必要な情報がOracleから返されます。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者からポリシーでセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。

管理者グループのメンバーであれば、シナリオCを実装するために必要なアクセス権はすでに持っています。そうでない場合は、ネットワーキングへのアクセス権が必要であり、インスタンスを起動できる必要もあります。ネットワーキングに対するIAMポリシーを参照してください。

シナリオCの設定

コンソールでの設定は簡単です。または、Oracle Cloud Infrastructure APIを使用して、各操作を自分で実装することもできます。

重要

必要なネットワーキング・コンポーネントを設定するため、このプロセスのほとんどに、短い期間のコンソールまたはAPI (どちらか選択したもの)の作業が含まれます。中には、組織内のネットワーク管理者がコンポーネントの設定時にユーザーに返された情報を使用してVPNのユーザー側でオンプレミス・ルーターを構成する必要のある、重要なステップもあります。したがって、このプロセスを1回の短いセッションで完了することはできません。ネットワーク管理者が構成を完了するまで中断し、その後、VPNを介してインスタンスと通信できるか確認します。

コンソールの使用

タスク1: VCNおよびサブネットの設定

  1. VCNを作成します:

    1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
    2. 「リスト範囲」で、in.Theページの更新を操作する権限があるコンパートメントを選択し、そのコンパートメント内のリソースのみを表示します。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
    3. 「仮想クラウド・ネットワークの作成」をクリックします。

    4. 次を入力します:

      • 名前: VCNのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • コンパートメントで作成: そのままにします。
      • CIDRブロック: VCNの1つ以上の重複しないCIDRブロック。例: 172.16.0.0/16。CIDRブロックは後で追加または削除できます。許容されるVCNのサイズとアドレス範囲を参照してください。参照用として、ここにCIDR計算機があります。
      • IPv6アドレス割当ての有効化: IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。
      • このVCNでDNSホスト名を使用します: このオプションは、VCNのホストにDNSホスト名を割り当てるために必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定の場合に必要です。このオプションを選択した場合、VCNのDNSラベルを指定するか、コンソールで自動的に生成できます。ダイアログ・ボックスには、VCNの対応するDNSドメイン名(<VCN_DNS_label>.oraclevcn.com)が自動的に表示されます。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
      • タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。

    5. 「仮想クラウド・ネットワークの作成」をクリックします。

      これにより、VCNが作成され、選択したコンパートメントの「仮想クラウド・ネットワーク」ページに表示されます。

  2. VCNのインターネット・ゲートウェイを作成します:

    1. 「リソース」で、「インターネット・ゲートウェイ」をクリックします。
    2. 「インターネット・ゲートウェイの作成」をクリックします。

    3. 次を入力します:

      • 名前: インターネット・ゲートウェイのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • コンパートメントで作成: そのままにします。
      • タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。

    4. 「インターネット・ゲートウェイの作成」をクリックします。

      インターネット・ゲートウェイが作成され、ページにリストされます。

  3. VCNのNATゲートウェイを作成します:

    1. 「リソース」で、「NATゲートウェイ」をクリックします。
    2. 「NATゲートウェイの作成」をクリックします。

    3. 次を入力します:

      • 名前: NATゲートウェイのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • コンパートメントで作成: そのままにします。
      • タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。

    4. 「NATゲートウェイの作成」をクリックします。

      NATゲートウェイが作成され、ページにリストされます。

  4. (後で作成する)パブリック・サブネットのカスタム・ルート表を作成します:

    1. 「リソース」で、「ルート表」をクリックします。
    2. 「ルート表の作成」をクリックします。

    3. 次を入力します:

      • 名前: ルート表のわかりやすい名前(パブリック・サブネット・ルート表など)。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • コンパートメントに作成: デフォルト値のままにします(現在作業中のコンパートメント)。

      • 「+追加ルート・ルール」をクリックし、次の情報を入力します:

        • ターゲット・タイプ: インターネット・ゲートウェイ。
        • 宛先CIDRブロック: 0.0.0.0/0 (ルート表内の他のルールでカバーされないVCN外部のすべてのトラフィックが、このルールで指定されたターゲットに送信されることを意味します)。
        • コンパートメント: そのままにします。
        • ターゲット: 作成したインターネット・ゲートウェイ。
        • 説明: ルールのオプションの説明。
    4. タグ: そのままにします。タグは後から追加できます。詳細は、リソース・タグを参照してください。

    5. 「ルート表の作成」をクリックします。

      ルート表が作成され、ページにリストされます。

  5. (後で作成する)プライベート・サブネットのカスタム・ルート表を作成します:

    1. 「ルート表の作成」をクリックします。

    2. 次を入力します:

      • 名前: ルート表のわかりやすい名前(プライベート・サブネット・ルート表など)。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • コンパートメントに作成: デフォルト値のままにします(現在作業中のコンパートメント)。

      • 「+追加ルート・ルール」をクリックし、次の情報を入力します:

        • ターゲット・タイプ: NATゲートウェイ。
        • 宛先CIDRブロック: 0.0.0.0/0 (ルート表内の他のルールでカバーされないVCN外部のすべてのトラフィックが、このルールで指定されたターゲットに送信されることを意味します)。
        • コンパートメント: そのままにします。
        • ターゲット: 作成したNATゲートウェイ。
        • 説明: ルールのオプションの説明。
    3. タグ: そのままにします。タグは後から追加できます。詳細は、リソース・タグを参照してください。

    4. 「ルート表の作成」をクリックします。

      ルート表が作成され、ページにリストされます。サイト間VPNを設定した後で、プライベート・サブネットからDRG経由でオンプレミス・ネットワークにトラフィックがルーティングされるようにプライベート・サブネット・ルート表を更新します。

  6. VCN内のインスタンスに必要となる接続タイプを許可するルールを含めて、デフォルトのセキュリティ・リストを更新します:

    1. 「リソース」で、「セキュリティ・リスト」をクリックします。
    2. 詳細を表示するデフォルト・セキュリティ・リストをクリックします。デフォルトでは、「イングレス・ルール」ページが表示されます。
    3. 「ソースCIDR」が0.0.0.0/0ではなくオンプレミス・ネットワークのCIDR (この例では10.0.0.0/16)になるように、既存の各ステートフル・イングレス・ルールを編集します。既存のルールを編集するには、ルールの「アクション」メニュー(アクション・メニュー)をクリックし、「編集」をクリックします。

    4. Windowsインスタンスの起動を計画している場合は、RDPアクセスを有効にするルールを追加します:

  7. パブリック・サブネットのカスタム・セキュリティ・リストを作成します:

    1. VCNの「セキュリティ・リスト」ページに戻ります。
    2. 「セキュリティ・リストの作成」をクリックします。

    3. 次を入力します:

      • 名前: リストのわかりやすい名前(パブリック・サブネット・セキュリティ・リストなど)を入力します。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • コンパートメントに作成: デフォルト値のままにします(現在作業中のコンパートメント)。

    4. 次のイングレス・ルールを追加します:

      例: イングレスHTTPアクセス
      • タイプ: イングレス
      • ステートレス: 選択解除(これはステートフル・ルールです)
      • ソース・タイプ: CIDR
      • ソースCIDR: 0.0.0.0/0
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 80
      • 説明: ルールのオプションの説明。
      例: イングレスHTTPSアクセス
      • タイプ: イングレス
      • ステートレス: 選択解除(これはステートフル・ルールです)
      • ソース・タイプ: CIDR
      • ソースCIDR: 0.0.0.0/0
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 443
      • 説明: ルールのオプションの説明。

    5. 次のエグレス・ルールを追加します:

    6. 「セキュリティ・リストの作成」をクリックします。

      パブリック・サブネットのカスタム・セキュリティ・リストが作成され、ページにリストされます。

  8. プライベート・サブネットのカスタム・セキュリティ・リストを作成します:

    1. 「セキュリティ・リストの作成」をクリックします。

    2. 次を入力します:

      • 名前: リストのわかりやすい名前(プライベート・サブネット・セキュリティ・リストなど)を入力します。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • コンパートメントに作成: デフォルト値のままにします(現在作業中のコンパートメント)。

    3. 次のイングレス・ルールを追加します:

      例: パブリック・サブネット内のクライアントからのイングレスSQL*Netアクセス
      • タイプ: イングレス
      • ステートレス: 選択解除(これはステートフル・ルールです)
      • ソース・タイプ: CIDR
      • ソースCIDR:パブリック・サブネットのCIDR (この例の172.16.1.0/24)
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 1521
      • 説明: ルールのオプションの説明。
      例: プライベート・サブネット内のクライアントからのイングレスSQL*Netアクセス
      • タイプ: イングレス
      • ステートレス: 選択解除(これはステートフル・ルールです)
      • ソース・タイプ: CIDR
      • ソースCIDR:プライベート・サブネットのCIDR (この例の172.16.2.0/24)
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 1521
      • 説明: ルールのオプションの説明。

    4. 次のエグレス・ルールを追加します:

    5. 「セキュリティ・リストの作成」をクリックします。

      プライベート・サブネットのカスタム・セキュリティ・リストが作成され、ページにリストされます。

  9. VCN内にサブネットを作成します:

    1. 「リソース」で、「サブネット」をクリックします。
    2. 「サブネットの作成」をクリックします。

    3. 次を入力します:

      • 名前: リージョナル・パブリック・サブネットのわかりやすい名前(リージョナル・プライベート・サブネットなど)。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • リージョンまたは可用性ドメイン固有: 「リージョナル」(推奨)を選択します。これは、サブネットがリージョン内のすべての可用性ドメインにわたることを意味します。後でインスタンスを起動するときに、リージョン内の任意の可用性ドメインにそれを作成できます。詳細は、VCNとサブネットの概要を参照してください。
      • CIDRブロック: VCNのCIDRブロック内の単一の連続CIDRブロック。例: 172.16.1.0/24。この値は後で変更できません。参照用として、ここにCIDR計算機があります。
      • IPv6アドレス割当ての有効化: このオプションは、VCNがIPv6に対して有効になっている場合にのみ使用できます。IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。
      • ルート表: 以前に作成したプライベート・サブネット・ルート表を選択します。
      • プライベートまたはパブリック・サブネット: 「プライベート・サブネット」を選択します。これは、サブネット内のVNICがパブリックIPアドレスを持てないことを意味します。詳細は、インターネットへのアクセスを参照してください。
      • このサブネットでDNSホスト名を使用:このオプションは、VCNの作成時にDNSラベルが指定されていた場合にのみ使用できます。このオプションは、サブネットのホストにDNSホスト名を割り当てるために必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定の場合にも必要です。チェック・ボックスを選択した場合、サブネットのDNSラベルを指定するか、コンソールで自動的に生成できます。ダイアログ・ボックスには、サブネットの対応するDNSドメイン名がFQDNとして自動的に表示されます。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
      • DHCPオプション: DHCPオプションのデフォルト・セットを選択します。
      • セキュリティ・リスト: 2つのセキュリティ・リストを選択します: デフォルト・セキュリティ・リストと、以前に作成したプライベート・サブネット・セキュリティ・リストの両方です。

    4. 「サブネットの作成」をクリックします。

      プライベート・サブネットが作成され、「サブネット」ページに表示されます。

    5. 前述のステップa-dを繰り返して、リージョナル・パブリック・サブネットを作成します。かわりにリージョナル・パブリック・サブネットなどの名前を使用し、「プライベート・サブネット」ではなく「パブリック・サブネット」を選択して、パブリック・サブネット・ルート表を使用します。また、デフォルト・セキュリティ・リストと、以前に作成したパブリック・サブネット・セキュリティ・リストの両方を使用します。
例: Windowsインスタンスに必要なイングレスRDPアクセス
  • タイプ: イングレス
  • ステートレス: 選択解除(これはステートフル・ルールです)
  • ソース・タイプ: CIDR
  • ソースCIDR: オンプレミス・ネットワーク(この例では10.0.0.0/16)
  • IPプロトコル: TCP
  • ソース・ポート範囲: すべて
  • 宛先ポート範囲: 3389
  • 説明: ルールのオプションの説明。
例: OracleデータベースへのエグレスSQL*Netアクセス
  • タイプ: エグレス
  • ステートレス: 選択解除(これはステートフル・ルールです)
  • 宛先タイプ: CIDR
  • 宛先CIDR: プライベート・サブネットのCIDR (この例では172.16.1.0/24)
  • IPプロトコル: TCP
  • ソース・ポート範囲: すべて
  • 宛先ポート範囲: 1521
  • 説明: ルールのオプションの説明。
例: プライベート・サブネット内のインスタンスへのエグレスSQL*Netアクセス
  • タイプ: エグレス
  • ステートレス: 選択解除(これはステートフル・ルールです)
  • 宛先タイプ: CIDR
  • 宛先CIDR: プライベート・サブネットのCIDR (この例では172.16.1.0/24)
  • IPプロトコル: TCP
  • ソース・ポート範囲: すべて
  • 宛先ポート範囲: 1521
  • 説明: ルールのオプションの説明。
タスク2: 別々の可用性ドメインへのインスタンスの作成

これで、サブネット内に1つ以上のインスタンスを作成できるようになります(インスタンスの起動を参照)。このシナリオの図は、2つの異なる可用性ドメイン内のインスタンスを示しています。インスタンスを作成するときに、AD、使用するVCNとサブネット、およびその他の特性を選択します。

パブリック・サブネット内の各インスタンスには、パブリックIPアドレスを割り当てる必要があります。そうしないと、インスタンスはオンプレミス・ネットワークから使用できません。

VCNをオンプレミス・ネットワークに接続するゲートウェイがないため、プライベート・サブネット内のインスタンスにはまだ到達できません。次の手順では、サイト間VPNを設定してその通信を有効にします。

タスク3: VCNへのサイト間VPNの追加

  1. 顧客構内機器オブジェクトを作成します:

    1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「顧客オンプレミス機器」をクリックします。
    2. 「顧客構内機器の作成」をクリックします。

    3. 次を入力します:

      • コンパートメントに作成: デフォルト値のままにします(現在作業中のコンパートメント)。
      • 名前: 顧客構内機器オブジェクトのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • IPアドレス: VPNのユーザー側にあるオンプレミス・ルーターのIPアドレス(前提条件を参照)。
    4. 「作成」をクリックします。

    CPEオブジェクトは、短い間「プロビジョニング中」状態になります。

  2. Dynamic Routing Gateway (DRG)を作成します:

    1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。
    2. 「動的ルーティング・ゲートウェイの作成」をクリックします。
    3. コンパートメントに作成: デフォルト値のままにします(現在作業中のコンパートメント)。
    4. DRGのわかりやすい名前を入力します。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    5. 「作成」をクリックします。

    DRGは、短い間「プロビジョニング中」状態になります。これが完全にプロビジョニングされるまで待機してから続行します。

  3. DRGをVCNにアタッチします:

    1. 作成したDRGをクリックします。
    2. 「リソース」で、「仮想クラウド・ネットワーク」をクリックします。
    3. 「仮想クラウド・ネットワークへのアタッチ」をクリックします。
    4. VCNを選択します。拡張オプションのセクションは無視してください。これは、転送ルーティングという拡張ルーティング・シナリオで使用するもので、ここでは関係ありません。
    5. 「アタッチ」をクリックします。

    短い間、アタッチメントは「アタッチ中」状態になります。

  4. (NATゲートウェイに対するルールをすでに1つ持つ)プライベート・サブネットのルート表を更新します。

    1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
    2. VCNをクリックします。
    3. 「ルート表」をクリックし、以前に作成したプライベート・サブネット・ルート表をクリックします。
    4. 「ルート・ルールの追加」をクリックします。

    5. 次を入力します:

      • ターゲット・タイプ: 動的ルーティング・ゲートウェイ。VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。
      • 宛先CIDRブロック: 0.0.0.0/0 (ルート表内の他のルールでカバーされないVCN外部のすべてのトラフィックが、このルールで指定されたターゲットに送信されることを意味します)。
      • 説明: ルールのオプションの説明。

    6. 「ルート・ルールの追加」をクリックします。

      表が、オンプレミス・ネットワークを宛先とするトラフィックをDRGにルーティングするように更新されます。0.0.0.0/0の元のルールにより、サブネットを出発する残りのトラフィックがNATゲートウェイにルーティングされます。

  5. IPsec接続を作成します:

    1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「サイト間VPN」をクリックします。
    2. 「IPSec接続の作成」をクリックします。

    3. 次を入力します:

      • コンパートメントに作成: デフォルト値のままにします(現在作業中のコンパートメント)。
      • 名前: IPSec接続のわかりやすい名前を入力します。一意である必要はありません。機密情報の入力は避けてください。
      • 顧客構内機器コンパートメント: そのままにします(VCNのコンパートメント)。
      • 顧客構内機器: 以前に作成したCPEオブジェクトを選択します。
      • 動的ルーティング・ゲートウェイ・コンパートメント: そのままにします(VCNのコンパートメント)。
      • 動的ルーティング・ゲートウェイ: 以前に作成したDRGを選択します。
      • 静的ルートCIDR: 少なくとも1つの静的ルートCIDRを入力します(前提条件を参照)。別のルートを追加する必要がある場合は、「静的ルートの追加」をクリックします。最大10の静的ルートを入力でき、後から静的ルートを変更することもできます。
    4. 「拡張オプションの表示」をクリックし、オプションで次の項目を指定します:
      • CPE IKE識別子: Oracleでは、デフォルトでCPEのパブリックIPアドレスが使用されます。ただし、CPEがNATデバイスの背後にある場合は、別の値の入力が必要になることもあります。ここで新しい値を入力することも、後で値を変更することもできます。
      • 「トンネル1」および「トンネル2」: そのままにします。後でVPNトンネルに対して静的ルーティングではなくBGP動的ルーティングを使用する場合は、静的ルーティングからBGP動的ルーティングへの変更を参照してください。
      • タグ: そのままにします。タグは後から追加できます。詳細は、リソース・タグを参照してください。

    5. 「IPSec接続の作成」をクリックします。

      IPSec接続が作成され、ページに表示されます。接続は、短い間「プロビジョニング中」状態になります。

      表示されるトンネル情報には、VPNヘッドエンドのIPアドレスと、トンネルのIPSecステータスが含まれます(可能な値は、「稼働中」、「停止中」および「メンテナンスのための停止」です)。この時点でのステータスは「停止中」です。トークンの共有シークレットを表示するには、「アクション」メニュー(アクション・メニュー)をクリックし、「共有シークレットの表示」をクリックします。

    6. 各トンネルのOracle VPN IPアドレスと共有シークレットを、オンプレミス・ルーターを構成するネットワーク・エンジニアに提供できるように、電子メールまたはその他の場所にコピーします。

      詳細は、CPE構成を参照してください。このトンネル情報は、コンソールのこの場所でいつでも確認できます。

これで、サイト間VPNに必要なすべてのコンポーネントを作成しました。次に、ネットワーク・トラフィックがオンプレミス・ネットワークとVCNの間を流れるようになるには、ネットワーク管理者がオンプレミス・ルーターを構成する必要があります。

タスク4: オンプレミス・ルーター(CPE)の構成

これらの手順は、ネットワーク管理者が行うものです。

  1. VPNの設定時にOracleにより提供されたトンネル構成情報を取得します。タスク3: VCNへのサイト間VPNの追加を参照してください。
  2. CPE構成の情報に基づいて、オンプレミス・ルーターを構成します。

コンピュート・インスタンスがサブネットの1つにすでに存在する場合は、オンプレミス・ネットワークからインスタンスに接続して、IPSec接続が稼働中であることを確認できます。パブリック・サブネット内のインスタンスに接続するには、そのインスタンスのパブリックIPアドレスに接続する必要があります。

APIの使用

APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。

次の操作を使用します:

  • CreateVcn: VCNでVCNリゾルバを使用する場合は、常にDNSラベルを含めてください(仮想クラウド・ネットワークのDNSを参照)。
  • CreateInternetGateway
  • CreateNatGateway
  • CreateRouteTable: これをコールして、パブリック・サブネット・ルート表を作成します。インターネット・ゲートウェイ経由での通信を有効にするには、宛先を0.0.0.0/0、宛先ターゲットを以前に作成したインターネット・ゲートウェイに設定したルート・ルールを追加します。
  • CreateRouteTable: これをもう一度コールして、プライベート・サブネット・ルート表を作成します。NATゲートウェイを経由する通信を有効にするには、宛先を0.0.0.0/0、宛先ターゲットを以前に作成したNATゲートウェイに設定したルート・ルールを追加します。

  • まず、GetSecurityListをコールしてデフォルト・セキュリティ・リストを取得してから、UpdateSecurityListをコールします:

    • 0.0.0.0/0ではなくオンプレミス・ネットワークのCIDRをソースCIDRとして使用するように、既存のステートフル・イングレス・ルールを変更します。
    • Windowsインスタンスの起動を計画している場合は、ソース・タイプ = CIDR、ソースCIDR = TCP上のオンプレミス・ネットワーク、ソース・ポート = すべて、宛先ポート = 3389 (RDP用)と設定したステートフル・イングレス・ルールを追加します。

  • CreateSecurityList: これをコールして、次のルールを含むパブリック・サブネット・セキュリティ・リストを作成します:

    • ステートフル・イングレス: ソース・タイプ = CIDR、ソース = TCP上の0.0.0.0/0、ソース・ポート = すべて、宛先ポート = 80 (HTTP)
    • ステートフル・イングレス: ソース・タイプ = CIDR、ソース = TCP上の0.0.0.0/0、ソース・ポート = すべて、宛先ポート = 443 (HTTPS)
    • ステートフル・エグレス: 宛先タイプ = CIDR、宛先 = TCP上のプライベート・サブネットのCIDRブロック、ソース・ポート = すべて、宛先ポート = 1521 (Oracleデータベース用)

  • CreateSecurityList: これをもう一度コールして、次のルールを含むプライベート・サブネット・セキュリティ・リストを作成します:

    • ステートフル・イングレス: ソース・タイプ = CIDR、ソース = TCP上のパブリック・サブネットのCIDRブロック、ソース・ポート = すべて、宛先ポート = 1521 (Oracleデータベース用)
    • ステートフル・イングレス: ソース・タイプ = CIDR、ソース = TCP上のプライベート・サブネットのCIDRブロック、ソース・ポート = すべて、宛先ポート = 1521 (Oracleデータベース用)
    • ステートフル・エグレス: 宛先タイプ = CIDR、宛先 = TCP上のプライベート・サブネットのCIDRブロック、ソース・ポート = すべて、宛先ポート = 1521 (Oracleデータベース用)
  • CreateSubnet: これをコールして、リージョナル・パブリック・サブネットを作成します。VCNリゾルバでサブネット内のVNICのホスト名を解決する場合は、サブネットのDNSラベルを含めます。以前に作成したパブリック・サブネット・ルート表を使用します。デフォルト・セキュリティ・リストと、以前に作成したパブリック・サブネット・セキュリティ・リストの両方を使用します。DHCPオプションのデフォルト・セットを使用します。
  • CreateSubnet: これをもう一度コールして、リージョナル・プライベート・サブネットを作成します。VCNリゾルバでサブネット内のVNICのホスト名を解決する場合は、サブネットのDNSラベルを含めます。以前に作成したプライベート・サブネット・ルート表を使用します。デフォルト・セキュリティ・リストと、以前に作成したプライベート・サブネット・セキュリティ・リストの両方を使用します。DHCPオプションのデフォルト・セットを使用します。
  • CreateDrg: 動的ルーティング・ゲートウェイ(DRG)を作成します。
  • CreateDrgAttachment: DRGをVCNにアタッチします。
  • CreateCpe: ここには、VPNのユーザー側にあるルーターのIPアドレスを入力します(前提条件を参照)。
  • CreateIPSecConnection: ここには、オンプレミス・ネットワークの静的ルートを入力します(前提条件を参照)。ネットワーク管理者がルーターを構成するために必要とする構成情報が返されます。後からその情報が必要になった場合は、GetIPSecConnectionDeviceConfigを使用して取得できます。構成の詳細は、CPE構成を参照してください。
  • まず、GetRouteTableをコールして、プライベート・サブネット・ルート表を取得します。次に、UpdateRouteTableをコールして、宛先 = オンプレミス・ネットワークCIDR (この例では10.0.0.0/16)、宛先ターゲット = 以前に作成したDRGとして設定したルート・ルールを追加します。
  • LaunchInstance: 各サブネット内の1つ以上のインスタンスを起動します。デフォルトでは、パブリック・サブネット内のインスタンスにパブリックIPアドレスが割り当てられます。詳細は、インスタンスの作成を参照してください。

これで、オンプレミス・ネットワークからインターネット・ゲートウェイを介してパブリック・サブネット内のインスタンスと通信できるようになります。

重要

プライベート・サブネット内にインスタンスを起動できますが、ネットワーク管理者がオンプレミス・ルーターを構成するまでは、オンプレミス・ネットワークからインスタンスと通信することはできません(CPE構成を参照)。その後は、IPSec接続が稼働中になります。GetIPSecConnectionDeviceStatusを使用することで、そのステータスを確認できます。また、オンプレミス・ネットワークからインスタンスに接続して、IPSec接続が稼働中か確認することもできます。