シナリオC: VPNを使用したパブリック・サブネットとプライベート・サブネット

1. VCNを作成します:

   1. ナビゲーション・メニューを開き、「ネットワーキング」、「仮想クラウド・ネットワーク」の順に選択します。
   2. 「リスト範囲」で、in.Theページの更新を操作する権限があるコンパートメントを選択し、そのコンパートメント内のリソースのみを表示します。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
   3. 「仮想クラウド・ネットワークの作成」をクリックします。

   4. 次を入力します:

      • 名前: VCNのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • コンパートメントで作成: そのままにします。
      • CIDRブロック: VCNの1つ以上の重複しないCIDRブロック。例: 172.16.0.0/16。CIDRブロックは後で追加または削除できます。許容されるVCNのサイズとアドレス範囲を参照してください。参照用として、ここにCIDR計算機があります。
      • IPv6アドレス割当ての有効化: IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。
      • このVCNでDNSホスト名を使用します: このオプションは、VCNのホストにDNSホスト名を割り当てるために必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定の場合に必要です。このオプションを選択した場合、VCNのDNSラベルを指定することも、コンソールに生成させることもできます。ダイアログ・ボックスには、VCNの対応するDNSドメイン名(<VCN_DNS_label>.oraclevcn.com)が自動的に表示されます。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
      • タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。

   5. 「仮想クラウド・ネットワークの作成」をクリックします。

      これにより、VCNが作成され、選択したコンパートメントの「仮想クラウド・ネットワーク」ページに表示されます。

2. VCNのインターネット・ゲートウェイを作成します:

   1. 「リソース」で、「インターネット・ゲートウェイ」をクリックします。
   2. 「インターネット・ゲートウェイの作成」をクリックします。

   3. 次を入力します:

      • 名前: インターネット・ゲートウェイのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • コンパートメントで作成: そのままにします。
      • タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。

   4. 「インターネット・ゲートウェイの作成」をクリックします。

      インターネット・ゲートウェイが作成され、ページにリストされます。

3. VCNのNATゲートウェイを作成します:

   1. 「リソース」で、「NATゲートウェイ」をクリックします。
   2. 「NATゲートウェイの作成」をクリックします。

   3. 次を入力します:

      • 名前: NATゲートウェイのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • コンパートメントで作成: そのままにします。
      • タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。

   4. 「NATゲートウェイの作成」をクリックします。

      NATゲートウェイが作成され、ページにリストされます。

4. (後で作成する)パブリック・サブネットのカスタム・ルート表を作成します:

   1. 「リソース」で、「ルート表」をクリックします。
   2. 「ルート表の作成」をクリックします。

   3. 次を入力します:

      • 名前: ルート表のわかりやすい名前(パブリック・サブネット・ルート表など)。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • コンパートメントに作成: デフォルト値のままにします(現在作業中のコンパートメント)。

      • 「+追加ルート・ルール」をクリックし、次の情報を入力します:

        • ターゲット・タイプ: インターネット・ゲートウェイ。
        • 宛先CIDRブロック: 0.0.0.0/0 (ルート表内の他のルールでカバーされないVCN外のすべてのトラフィックが、このルールで指定されたターゲットに送信されることを意味します)
        • コンパートメント: そのままにします。
        • ターゲット: 作成したインターネット・ゲートウェイ。
        • 説明: ルールのオプションの説明。
   4. タグ: そのままにします。タグは後から追加できます。詳細は、リソース・タグを参照してください。

   5. 「ルート表の作成」をクリックします。

      ルート表が作成され、ページにリストされます。

5. (後で作成する)プライベート・サブネットのカスタム・ルート表を作成します:

   1. 「ルート表の作成」をクリックします。

   2. 次を入力します:

      • 名前: ルート表のわかりやすい名前(プライベート・サブネット・ルート表など)。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • コンパートメントに作成: デフォルト値のままにします(現在作業中のコンパートメント)。

      • 「+追加ルート・ルール」をクリックし、次の情報を入力します:

        • ターゲット・タイプ: NATゲートウェイ。
        • 宛先CIDRブロック: 0.0.0.0/0 (ルート表内の他のルールでカバーされないVCN外のすべてのトラフィックが、このルールで指定されたターゲットに送信されることを意味します)
        • コンパートメント: そのままにします。
        • ターゲット:作成したNATゲートウェイ。
        • 説明: ルールのオプションの説明。
   3. タグ: そのままにします。タグは後から追加できます。詳細は、リソース・タグを参照してください。

   4. 「ルート表の作成」をクリックします。

      ルート表が作成され、ページにリストされます。サイト間VPNを設定した後で、プライベート・サブネットからDRG経由でオンプレミス・ネットワークにトラフィックがルーティングされるようにプライベート・サブネット・ルート表を更新します。

6. VCN内のインスタンスに必要となる接続タイプを許可するルールを含めて、デフォルトのセキュリティ・リストを更新します:

   1. 「リソース」で、「セキュリティ・リスト」をクリックします。
   2. 詳細を表示するデフォルト・セキュリティ・リストをクリックします。デフォルトでは、「イングレス・ルール」ページが表示されます。
   3. 「ソースCIDR」が0.0.0.0/0ではなくオンプレミス・ネットワークのCIDR (この例では10.0.0.0/16)になるように、既存の各ステートフル・イングレス・ルールを編集します。既存のルールを編集するには、ルールの「アクション」メニュー()をクリックし、「編集」をクリックします。

   4. Windowsインスタンスの起動を計画している場合は、RDPアクセスを有効にするルールを追加します:

7. パブリック・サブネットのカスタム・セキュリティ・リストを作成します:

   1. VCNの「セキュリティ・リスト」ページに戻ります。
   2. 「セキュリティ・リストの作成」をクリックします。

   3. 次を入力します:

      • 名前: リストのわかりやすい名前(パブリック・サブネット・セキュリティ・リストなど)を入力します。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • コンパートメントに作成: デフォルト値のままにします(現在作業中のコンパートメント)。

   4. 次のイングレス・ルールを追加します:

      例: イングレスHTTPアクセス

      • タイプ: イングレス
      • ステートレス: 選択解除(これはステートフル・ルールです)
      • ソース・タイプ: CIDR
      • ソースCIDR: 0.0.0.0/0
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 80
      • 説明: ルールのオプションの説明。
      例: イングレスHTTPSアクセス

      • タイプ: イングレス
      • ステートレス: 選択解除(これはステートフル・ルールです)
      • ソース・タイプ: CIDR
      • ソースCIDR: 0.0.0.0/0
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 443
      • 説明: ルールのオプションの説明。

   5. 次のエグレス・ルールを追加します:

   6. 「セキュリティ・リストの作成」をクリックします。

      パブリック・サブネットのカスタム・セキュリティ・リストが作成され、ページにリストされます。

8. プライベート・サブネットのカスタム・セキュリティ・リストを作成します:

   1. 「セキュリティ・リストの作成」をクリックします。

   2. 次を入力します:

      • 名前: リストのわかりやすい名前(プライベート・サブネット・セキュリティ・リストなど)を入力します。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • コンパートメントに作成: デフォルト値のままにします(現在作業中のコンパートメント)。

   3. 次のイングレス・ルールを追加します:

      例: パブリック・サブネット内のクライアントからのイングレスSQL*Netアクセス

      • タイプ: イングレス
      • ステートレス: 選択解除(これはステートフル・ルールです)
      • ソース・タイプ: CIDR
      • ソースCIDR:パブリック・サブネットのCIDR (この例の172.16.1.0/24)
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 1521
      • 説明: ルールのオプションの説明。
      例: プライベート・サブネット内のクライアントからのイングレスSQL*Netアクセス

      • タイプ: イングレス
      • ステートレス: 選択解除(これはステートフル・ルールです)
      • ソース・タイプ: CIDR
      • ソースCIDR:プライベート・サブネットのCIDR (この例の172.16.2.0/24)
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 1521
      • 説明: ルールのオプションの説明。

   4. 次のエグレス・ルールを追加します:

   5. 「セキュリティ・リストの作成」をクリックします。

      プライベート・サブネットのカスタム・セキュリティ・リストが作成され、ページにリストされます。

9. VCN内にサブネットを作成します:

   1. 「リソース」で、「サブネット」をクリックします。
   2. 「サブネットの作成」をクリックします。

   3. 次を入力します:

      • 名前: リージョナル・パブリック・サブネットのわかりやすい名前(リージョナル・プライベート・サブネットなど)。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • リージョンまたは可用性ドメイン固有: 「リージョナル」(推奨)を選択します。これは、サブネットがリージョン内のすべての可用性ドメインにわたることを意味します。後でインスタンスを起動するときに、リージョン内の任意の可用性ドメインにそれを作成できます。詳細は、VCNとサブネットの概要を参照してください。
      • CIDRブロック: VCNのCIDRブロック内の単一の連続CIDRブロック。例: 172.16.1.0/24。この値は後で変更できません。参照用として、ここにCIDR計算機があります。
      • IPv6アドレス割当ての有効化:このオプションを使用できるのは、VCNがIPv6に対して有効にされている場合のみです。IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。
      • ルート表: 以前に作成したプライベート・サブネット・ルート表を選択します。
      • プライベートまたはパブリック・サブネット: 「プライベート・サブネット」を選択します。これは、サブネット内のVNICがパブリックIPアドレスを持てないことを意味します。詳細は、インターネットへのアクセスを参照してください。
      • このサブネットでDNSホスト名を使用:このオプションは、VCNの作成時にDNSラベルが指定されていた場合にのみ使用できます。このオプションは、サブネットのホストにDNSホスト名を割り当てるために必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定です。チェック・ボックスを選択した場合、サブネットのDNSラベルを指定するか、コンソールで自動的に生成できます。ダイアログ・ボックスには、サブネットの対応するDNSドメイン名がFQDNとして自動的に表示されます。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
      • DHCPオプション: DHCPオプションのデフォルト・セットを選択します。
      • セキュリティ・リスト: 2つのセキュリティ・リストを選択します: デフォルト・セキュリティ・リストと、以前に作成したプライベート・サブネット・セキュリティ・リストの両方です。

   4. 「サブネットの作成」をクリックします。

      プライベート・サブネットが作成され、「サブネット」ページに表示されます。

   5. 前述のステップa-dを繰り返して、リージョナル・パブリック・サブネットを作成します。かわりにリージョナル・パブリック・サブネットなどの名前を使用し、「プライベート・サブネット」ではなく「パブリック・サブネット」を選択して、パブリック・サブネット・ルート表を使用します。また、デフォルト・セキュリティ・リストと、以前に作成したパブリック・サブネット・セキュリティ・リストの両方を使用します。

これで、サブネット内に1つ以上のインスタンスを作成できるようになります(インスタンスの起動を参照)。このシナリオの図は、2つの異なる可用性ドメイン内のインスタンスを示しています。インスタンスを作成するときに、AD、使用するVCNとサブネット、およびその他の特性を選択します。

パブリック・サブネット内の各インスタンスには、パブリックIPアドレスを割り当てる必要があります。そうしないと、インスタンスはオンプレミス・ネットワークから使用できません。

VCNをオンプレミス・ネットワークに接続するゲートウェイがないため、プライベート・サブネット内のインスタンスにはまだ到達できません。次の手順では、サイト間VPNを設定してその通信を有効にします。

1. 顧客構内機器オブジェクトを作成します:

   1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「顧客構内機器」を選択します。
   2. 「顧客構内機器の作成」をクリックします。

   3. 次を入力します:

      • コンパートメントに作成: デフォルト値のままにします(現在作業中のコンパートメント)。
      • 名前: 顧客構内機器オブジェクトのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • IPアドレス: VPNのユーザー側にあるオンプレミス・ルーターのIPアドレス(前提条件を参照)。
   4. 「作成」をクリックします。

   CPEオブジェクトは、短い間「プロビジョニング中」状態になります。

2. Dynamic Routing Gateway (DRG)を作成します:

   1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「動的ルーティング・ゲートウェイ」を選択します。
   2. 「動的ルーティング・ゲートウェイの作成」をクリックします。
   3. コンパートメントに作成: デフォルト値のままにします(現在作業中のコンパートメント)。
   4. DRGのわかりやすい名前を入力します。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
   5. 「作成」をクリックします。

   DRGは、短い間「プロビジョニング中」状態になります。これが完全にプロビジョニングされるまで待機してから続行します。

3. DRGをVCNにアタッチします:

   1. 作成したDRGをクリックします。
   2. 「リソース」で、「仮想クラウド・ネットワーク」をクリックします。
   3. 「仮想クラウド・ネットワークへのアタッチ」をクリックします。
   4. VCNを選択します。拡張オプションのセクションは無視してください。これは、転送ルーティングという拡張ルーティング・シナリオで使用するもので、ここでは関係ありません。
   5. 「アタッチ」をクリックします。

   短い間、アタッチメントは「アタッチ中」状態になります。

4. (NATゲートウェイに対するルールをすでに1つ持つ)プライベート・サブネットのルート表を更新します。

   1. ナビゲーション・メニューを開き、「ネットワーキング」、「仮想クラウド・ネットワーク」の順に選択します。
   2. VCNをクリックします。
   3. 「ルート表」をクリックし、以前に作成したプライベート・サブネット・ルート表をクリックします。
   4. 「ルート・ルールの追加」をクリックします。

   5. 次を入力します:

      • ターゲット・タイプ: 動的ルーティング・ゲートウェイ。VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。
      • 宛先CIDRブロック: 0.0.0.0/0 (ルート表内の他のルールでカバーされないVCN外のすべてのトラフィックが、このルールで指定されたターゲットに送信されることを意味します)
      • 説明: ルールのオプションの説明。

   6. 「ルート・ルールの追加」をクリックします。

      表が、オンプレミス・ネットワークを宛先とするトラフィックをDRGにルーティングするように更新されます。0.0.0.0/0の元のルールにより、サブネットを出発する残りのトラフィックがNATゲートウェイにルーティングされます。

5. IPsec接続を作成します:

   1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「サイト間VPN」を選択します。
   2. 「IPSec接続の作成」をクリックします。

   3. 次を入力します:

      • コンパートメントに作成: デフォルト値のままにします(現在作業中のコンパートメント)。
      • 名前: IPSec接続のわかりやすい名前を入力します。一意である必要はありません。機密情報の入力は避けてください。
      • 顧客構内機器コンパートメント: そのままにします(VCNのコンパートメント)。
      • 顧客構内機器: 以前に作成したCPEオブジェクトを選択します。
      • 動的ルーティング・ゲートウェイ・コンパートメント: そのままにします(VCNのコンパートメント)。
      • 動的ルーティング・ゲートウェイ: 以前に作成したDRGを選択します。
      • 静的ルートCIDR: 少なくとも1つの静的ルートCIDRを入力します(前提条件を参照)。別のルートを追加する必要がある場合は、「静的ルートの追加」をクリックします。最大10の静的ルートを入力でき、後から静的ルートを変更することもできます。
   4. 「拡張オプションの表示」をクリックし、オプションで次の項目を指定します:
      • CPE IKE識別子: Oracleでは、デフォルトでCPEのパブリックIPアドレスが使用されます。ただし、CPEがNATデバイスの背後にある場合は、別の値の入力が必要になることもあります。ここで新しい値を入力することも、後で値を変更することもできます。
      • 「トンネル1」および「トンネル2」: そのままにします。後でVPNトンネルに対して静的ルーティングではなくBGP動的ルーティングを使用する場合は、静的ルーティングからBGP動的ルーティングへの変更を参照してください。
      • タグ: そのままにします。タグは後から追加できます。詳細は、リソース・タグを参照してください。

   5. 「IPSec接続の作成」をクリックします。

      IPSec接続が作成され、ページに表示されます。接続は、短い間「プロビジョニング中」状態になります。

      表示されるトンネル情報には、VPNヘッドエンドのIPアドレスと、トンネルのIPSecステータスが含まれます(可能な値は、「稼働中」、「停止中」および「メンテナンスのための停止」です)。この時点でのステータスは「停止中」です。トークンの共有シークレットを表示するには、「アクション」メニュー()をクリックし、「共有シークレットの表示」をクリックします。

   6. 各トンネルのOracle VPN IPアドレスと共有シークレットを、オンプレミス・ルーターを構成するネットワーク・エンジニアに提供できるように、電子メールまたはその他の場所にコピーします。

      詳細は、CPE構成を参照してください。このトンネル情報は、コンソールのこの場所でいつでも確認できます。

これで、サイト間VPNに必要なすべてのコンポーネントを作成しました。次に、ネットワーク・トラフィックがオンプレミス・ネットワークとVCNの間を流れるようになるには、ネットワーク管理者がオンプレミス・ルーターを構成する必要があります。

これらの手順は、ネットワーク管理者が行うものです。

1. VPNの設定時にOracleにより提供されたトンネル構成情報を取得します。タスク3: VCNへのサイト間VPNの追加を参照してください。
2. CPE構成の情報に基づいて、オンプレミス・ルーターを構成します。

コンピュート・インスタンスがサブネットの1つにすでに存在する場合は、オンプレミス・ネットワークからインスタンスに接続して、IPSec接続が稼働中であることを確認できます。パブリック・サブネット内のインスタンスに接続するには、そのインスタンスのパブリックIPアドレスに接続する必要があります。