AWSへのVPN接続

構成プロセスの最初のステップは、一時カスタマ・ゲートウェイを作成することです。この一時カスタマ・ゲートウェイは、AWSサイト間VPNを初期プロビジョニングして、トンネルのAWS VPNエンドポイントを公開するために使用されます。OCIでは、IPSec接続を作成する前に、リモートVPNピアのパブリックIPが必要です。このプロセスが完了すると、実際のOCI VPNエンドポイント・パブリックIPを表す新しいカスタマ・ゲートウェイが構成されます。

1. メインのAWSポータルで、画面の左上にある「Services」メニューを展開します。「ネットワークおよびコンテンツ配信」の下の「VPC」を参照します。
2. 左側のメニューで、下にスクロールして「Virtual Private Network (VPN)」の下の「Customer Gateway」をクリックします。
3. 「ゲートウェイの作成」をクリックして、ゲートウェイを作成します。

4. 「Create Customer Gateway」ページが表示されます。次の詳細を入力します。

   • Name:このカスタマ・ゲートウェイに一時的であることが明らかになります。この例では、TempGatewayという名前を使用します。
   • Routing: 「Dynamic」を選択します。
   • BGP ASN: OCI BGP ASNを入力します。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。

   • IP Address:一時ゲートウェイに任意の有効なIPv4アドレスを使用します。この例では、1.1.1.1を使用します。

     一時カスタマ・ゲートウェイの構成が終了したら、「Create Customer Gateway」をクリックしてプロビジョニングを完了します。

1. AWSの左側のメニューで、下にスクロールして「Virtual Private Network (VPN)」の下の「Virtual Private Gateways」をクリックします。

2. 「Create Virtual Private Gateway」ボタンをクリックして、新しい仮想プライベートゲートウェイを作成します。

3. 「Create Virtual Private Gateway」ページが表示されます。次の詳細を入力します。

   • Name:仮想プライベート・ゲートウェイ(VPG)に名前を付けます。

   • ASN: 「Amazon default ASN」を選択します。

     仮想プライベート・ゲートウェイの構成が終了したら、「Create Virtual Private Gateway」ボタンをクリックしてプロビジョニングを完了します。

4. VPGの作成後、選択したVPCにVPGをアタッチする必要があります。

   「Virtual Private Gateway」ページを表示したまま、VPGが選択され、「Actions」メニュー()、「Attach to VPC」の順にクリックします。

5. 選択した仮想プライベート・ゲートウェイの「Attach to VPC」ページが表示されます。

   リストからVPCを選択し、「Yes、 Attach」ボタンをクリックしてVPGのVPCへのアタッチを完了します。

1. 左側のメニューで、下にスクロールして「Virtual Private Network (VPN)」の下の「Site-to-Site VPN Connections」をクリックします。
2. 「Create VPN Connection」をクリックして、新しい仮想プライベート・ゲートウェイを作成します。
3. 「Create VPN Connection」ページが表示されます。次の詳細を入力します。
   • Name tag: VPN接続に名前を付けます。
   • ターゲット・ゲートウェイ・タイプ: 「仮想プライベート・ゲートウェイ」を選択し、リストから以前に作成した仮想プライベート・ゲートウェイを選択します。
   • Customer Gateway: 「Existing」を選択し、リストから一時カスタマ・ゲートウェイを選択します。
   • ルーティング・オプション: 「動的(BGPが必要)」を選択します。
   • Tunnel Inside Ip Version: 「IPv4」を選択します。

   • Local/Remote IPv4 Network Cidr:これらの両方のフィールドを空白のままにして、any/anyのルートベースのIPSec VPNを作成します。

     次のステップに進みます。「Create VPN Connection」ボタンはまだクリックしないでください。

4. 「VPN接続の作成」ページを表示したまま、「トンネル・オプション」まで下にスクロールします。

   リンク・ローカル169.254.0.0/16の範囲内から/30 CIDRを選択します。Input the full CIDR in the Inside IPv4 CIDR for Tunnel 1 field.

   OCIが、トンネル内IPに対して選択した/30アドレスをサポートしていることを確認します。OCIでは、トンネル内IPに次のIP範囲を使用できません:

   • 169.254.10.0-169.254.19.255
   • 169.254.100.0-169.254.109.255
   • 169.254.192.0-169.254.201.255

   次のステップに進みます。「Create VPN Connection」ボタンはまだクリックしないでください。

5. 「Advanced Options for Tunnel 1」で、「Edit Tunnel 1 Options」のラジオ・ボタンを選択します。追加のオプション・セットが展開されます。

   このトンネルに使用される暗号化アルゴリズムに制限が必要な場合は、必要なフェーズ1およびフェーズ2のオプションをここで構成します。Oracleでは、この接続にIKEv2を使用することをお薦めします。IKEv1が使用されないようにするには、「IKEv1」チェック・ボックスの選択を解除します。OCIでサポートされているフェーズ1およびフェーズ2のオプションを参照するには、サポートされているIPSecパラメータを参照してください。

   必要なすべてのオプションの構成が終了したら、下部にある「Create VPN Connection」ボタンをクリックしてVPN接続のプロビジョニングを終了します。

VPN接続のプロビジョニング中に、すべてのトンネル情報の構成をダウンロードします。このテキスト・ファイルは、OCIコンソールでトンネルの構成を完了するために必要です。

1. VPN接続が選択されていることを確認し、「Download Configuration」ボタンをクリックします。
2. 「Vendor」および「Platform」設定の「Generic」を選択し、「Download」ボタンをクリックして、構成のテキスト・コピーをローカル・ハード・ドライブに保存します。
3. ダウンロードした構成ファイルを任意のテキスト・エディタで開きます。

   IPSec Tunnel #1の下にある#1 Internet Key Exchange Configurationセクションを参照します。ここで、トンネルに対して自動生成された事前共有キーを見つけます。この値を保存します。

   AWSでは、ピリオドまたはアンダースコア文字(.または_)を使用して事前共有キーが生成される可能性があります。OCIでは、事前共有キーでこれらの文字の使用はサポートされていません。これらの値を含むキーは変更する必要があります。AWSでトンネル用の事前共有キーを変更するには、VPN接続を選択し、「アクション」メニュー()、「VPNトンネル・オプションの変更」の順にクリックします。

4. ダウンロードした構成のトンネル1の下で、#3 Tunnel Interface Configurationセクションまで下にスクロールします。

   次の値を記録して、OCIのサイト間VPN構成を完了します:

   • 仮想プライベート・ゲートウェイの外部IPアドレス
   • カスタマ・ゲートウェイの内部IP
   • 仮想プライベート・ゲートウェイの内部IP
   • 仮想プライベート・ゲートウェイのBGP ASN。デフォルトASNは64512です。

1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「顧客構内機器」を選択します。
2. 「顧客構内機器の作成」をクリックします。

3. 次の値を入力します。

   • コンパートメントに作成:必要なVCNのコンパートメントを選択します。
   • 名前: CPEオブジェクトのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。

     この例では、名前として"TO_AWS"を使用します。

   • IPアドレス: AWSからダウンロードした構成に示されている仮想プライベート・ゲートウェイの外部IPアドレスを入力します。
   • CPEベンダー: 「その他」を選択します。
4. 「CPEの作成」をクリックします。

1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「サイト間VPN」を選択します。
2. 「IPSec接続の作成」をクリックします。

3. 次の値を入力します。

   • コンパートメントに作成: そのままにします(VCNのコンパートメント)。
   • 名前: IPSec接続の記述名を入力します(例: OCI-AWS-1)。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
   • 顧客構内機器コンパートメント: そのままにします(VCNのコンパートメント)。
   • 顧客構内機器: TO_AWSという名前で以前に作成したCPEオブジェクトを選択します。
   • 動的ルーティング・ゲートウェイ・コンパートメント: そのままにします(VCNのコンパートメント)。
   • 動的ルーティング・ゲートウェイ: 以前に作成したDRGを選択します。
   • 静的ルートCIDR:デフォルト・ルート0.0.0.0/0を入力します。アクティブ・トンネルはBGPを使用するため、OCIはこのルートを無視します。IPSec接続の2番目のトンネルにはエントリが必要です。デフォルトでは静的ルーティングが使用されますが、アドレスはこのシナリオでは使用されていません。この接続に静的ルーティングを使用する場合は、AWS仮想ネットワークを表す静的ルートを入力します。IPSec接続ごとに最大10個の静的ルートを構成できます。

4. 「トンネル1」タブで次の詳細を入力します(必須):

   • 名前:トンネルを示す名前を入力します(例: AWS-TUNNEL-1)。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
   • カスタム共有シークレットの指定:このトンネルに対してIPSecで使用される事前共有キーを入力します。このチェック・ボックスを選択し、AWS VPN構成ファイルから事前共有キーを入力します。
   • IKEバージョン: IKEv2を選択します。
   • ルーティング・タイプ: 「BGP動的ルーティング」を選択します。
   • BGP ASN: AWS VPN構成ファイルにあるとおり、AWSで使用されるBGP ASNを入力します。デフォルトAWS BGP ASNは64512です。
   • IPv4トンネル内インタフェース- CPE: AWS VPN構成ファイルからIPアドレス内の仮想プライベート・ゲートウェイを入力します。このIPアドレスには完全なCIDR表記を使用します。
   • IPv4トンネル内インタフェース- Oracle: OCIで使用される内部IPアドレスを入力します。AWS VPN構成ファイルを参照して、カスタマ・ゲートウェイの内部IPアドレスを入力します。このIPアドレスには完全なCIDR表記を使用します。

5. 「IPSec接続の作成」をクリックします。

   IPSec接続が作成され、ページに表示されます。この接続は、短い間「プロビジョニング中」状態になります。

6. IPSec接続をプロビジョニングしたら、トンネルのOracle VPN IPアドレスを書き留めます。このアドレスは、AWSポータルで新しいカスタマ・ゲートウェイを作成するために使用されます。
   1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「サイト間VPN」を選択します。

      表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているポリシーが表示されない場合は、正しいコンパートメントが表示されていることを確認します。別のコンパートメントにアタッチされたポリシーを表示するには、「リスト範囲」で、リストからそのコンパートメントを選択します。

   2. 目的のIPSec接続をクリックします(例: OCI-AWS-1)。
   3. AWS-TUNNEL-1のOracle VPN IPアドレスを見つけます。

AWSコンソールで、「Customer Gateways」を参照し、次の詳細を使用してカスタマ・ゲートウェイを作成します:

• Name:この顧客ゲートウェイに名前を付けます。
• Routing: 「Dynamic」を選択します。
• BGP ASN: OCI BGP ASNを入力します。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。

• IP Address:トンネル1のOracle VPN IPアドレスを入力します。前のタスクで保存したIPを使用します。

  「Create Customer Gateway」をクリックしてプロビジョニングを完了します。

このタスクでは、一時カスタマ・ゲートウェイを、OCI VPN IPアドレスを使用するものに置き換えます。

1. AWSコンソールで、「Site-to-Site VPN Connections」を参照し、VPN接続を選択します。

2. 「アクション」メニュー()、「VPN接続の変更」の順にクリックします。

3. 「Modify VPN Connection」ページが表示されます。次の詳細を入力します。

   • ターゲット・タイプ:リストから「顧客ゲートウェイ」を選択します。

   • Target Customer Gateway ID:リストから、OCI VPN IPアドレスを持つ新しいカスタマ・ゲートウェイを選択します。

     完了したら、「Save」ボタンをクリックして構成を保存します。

     数分後、AWSはVPN接続のプロビジョニングを完了し、AWSとOCI間のIPSec VPNが起動します。

4. この時点で、一時カスタマ・ゲートウェイを削除できます。

OCIのIPSec接続と、AWSのサイトツーサイトVPN接続を参照して、トンネルのステータスを確認します。

• IPSec接続の下のOCIトンネルに、IPSecステータスとして「稼働中」が表示され、稼働中のトンネルを確認できます。
• また、IPv4 BGPステータスには、確立されたBGPセッションを示す「稼働中」が表示されます。
• AWSのサイト間VPN接続の「トンネル詳細」タブにあるトンネル・ステータスに、「稼働中」が表示されます。

モニタリング・サービスは、クラウド・リソースをアクティブおよびパッシブにモニターするためにOCIから使用できます。OCI Site-to-Site VPNのモニタリングの詳細は、Site-to-Site VPNメトリックを参照してください。

問題がある場合は、サイト間VPNのトラブルシューティングを参照してください。