GoogleへのVPN接続

1. メインのGoogle Cloudポータルで:

   1. 左上隅からメイン・メニューを展開します
   2. 「Hybrid Connectivity」まで下にスクロールします
   3. 「VPN」をクリックします

2. 次のページで、「Create VPN Connection」リンクをクリックして、IPSec VPN接続を作成するためのワークフローを開始します。

3. 「VPN Options」で、「High-availability (HA) VPNを選択し、下部にある「Continue」ボタンをクリックします。

4. Cloud HA VPNゲートウェイを作成します。次の詳細を入力します。

   • Name: VPNゲートウェイに名前を付けます。
   • Network: IPSec VPNの接続先となるVPCを選択します。

   • Region: VPNゲートウェイのリージョンを選択します

     VPNゲートウェイの構成が終了したら、「Create & Continue」ボタンをクリックして続行します。

5. 次のページで、GCP VPNエンドポイントのパブリックIPが公開されます。

   いずれかのインタフェースのパブリックIPを保存し、別のウィンドウでOCIコンソールを開いて構成プロセスを続行します。後で戻って、OCI IPSec接続のプロビジョニング後にGCP構成を完了します。

1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「顧客構内機器」を選択します。
2. 「顧客構内機器の作成」をクリックします。

3. 次の値を入力します。

   • コンパートメントに作成:必要なVCNのコンパートメントを選択します。
   • 名前: CPEオブジェクトのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。

     この例では、名前として"TO_GCP"を使用します。

   • IPアドレス: GCP VPNゲートウェイのパブリックIPアドレスを入力します。
   • CPEベンダー: 「その他」を選択します。
4. 「CPEの作成」をクリックします。

1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「サイト間VPN」を選択します。
2. 「IPSec接続の作成」をクリックします。

3. 次の値を入力します。

   • コンパートメントに作成: そのままにします(VCNのコンパートメント)。
   • 名前: IPSec接続のわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
   • 顧客構内機器コンパートメント: そのままにします(VCNのコンパートメント)。
   • 顧客構内機器: TO_GCPという名前で以前に作成したCPEオブジェクトを選択します。
   • 動的ルーティング・ゲートウェイ・コンパートメント: そのままにします(VCNのコンパートメント)。
   • 動的ルーティング・ゲートウェイ: 以前に作成したDRGを選択します。
   • 静的ルートCIDR:デフォルト・ルート0.0.0.0/0を入力します。アクティブ・トンネルではBGPが使用されるため、OCIはこのルートを無視します。IPSec接続の2番目のトンネルにはエントリが必要です。デフォルトでは静的ルーティングが使用されますが、このシナリオでは使用されていません。この接続に静的ルーティングを使用する場合は、GCP仮想ネットワークを表す静的ルートを入力します。IPSec接続ごとに最大10個の静的ルートを構成できます。

   • OCIが、トンネル内IPに対して選択した/30アドレスをサポートしていることを確認します。OCIでは、トンネル内IPに次のIP範囲を使用できません:

     • 169.254.10.0-169.254.19.255
     • 169.254.100.0-169.254.109.255
     • 169.254.192.0-169.254.201.255

4. 「トンネル1」タブで次の詳細を入力します(必須):

   • 名前:トンネルを示す名前を入力します(例: GCP-TUNNEL-1)。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
   • カスタム共有シークレットの指定:このトンネルのIPSecで使用される事前共有キー。カスタム・キーを使用する場合は、このチェック・ボックスを選択します。選択を解除したままにすると、自動的に生成されます。
   • IKEバージョン: IKEv2を選択します。
   • ルーティング・タイプ: 「BGP動的ルーティング」を選択します。静的ルーティングを使用する場合は、「Static Routing」を選択します。
   • BGP ASN: GCPで使用されるBGP ASNを入力します。GCP BGP ASNは、今後のステップで構成します。このシナリオでは、GCPに65000のBGP ASNを使用します。
   • IPv4トンネル内インタフェース- CPE: GCPで使用されるBGP IPアドレスを入力します。このIPアドレスには完全なCIDR表記を使用します。これは、リンク・ローカル・アドレスである必要があります。このシナリオでは、BGP IPアドレスに169.254.20.0/30 CIDRを使用します。
   • IPv4トンネル内インタフェース- Oracle: OCIで使用されるBGP IPアドレスを入力します。このIPアドレスをCIDR表記に含めます。これは、リンク・ローカル・アドレスである必要があります。このシナリオでは、BGP IPアドレスに169.254.20.0/30 CIDRを使用します。
5. トンネルの「拡張オプションの表示」をクリックし、https://cloud.google.com/network-connectivity/docs/vpn/concepts/supported-ike-ciphersにリストされているGCP側と一致するようにフェーズ1およびフェーズ2の存続期間を変更します。

   フェーズ1とフェーズ2の存続期間は、IKEv1とIKEv2のどちらを使用しているかに応じて、GCP側で異なる値になります。次のようになります:

   • フェーズ1 IKEセッション・キー存続期間(秒) = 36,000秒
   • フェーズ2 IPSecセッション・キー存続期間(秒) = 10,800秒

   他のすべての設定はデフォルトのままにします。

6. 「IPSec接続の作成」をクリックします。

   IPSec接続が作成され、ページに表示されます。接続は、短い間「プロビジョニング中」状態になります。

IPSec接続がプロビジョニングされたら、GCPポータルのCPE IPとして使用するサイト間VPN IPアドレスおよびトンネルの共有シークレットを保存します。

1. OCIコンソールでIPSec接続を参照します。

   プライマリとして使用するトンネルを選択します。そのトンネルのサイト間VPN IPアドレスを保存します。次に、そのトンネルのトンネル名をクリックすると、トンネル・ビューが表示されます。

2. トンネルの下で、共有シークレットを表示するリンクを選択します。それを保存します。共有シークレットは、GCPでIPSec VPN構成を完了するために使用されます。

1. GCP VPN構成ウィンドウに戻ります。
2. 「Peer VPN Gateway」で、「On-prem or Non-Google Cloud」を選択します。
3. 「ピアVPNゲートウェイ名」リストを展開し、「新規VPNピア・ゲートウェイの作成」を選択します。
4. 「ピアVPNゲートウェイの追加」ページが表示されます。次の詳細を入力します。
   • Name:ピアVPNゲートウェイに名前を指定します。
   • Interfaces: 「one interface」を選択します。

   • Interface 0 IP address:ここにOracle VPN IPアドレスを入力します。このIPアドレスは、OCI - Oracle VPN IPアドレスおよび共有シークレットの保存で保存しました。

5. 下部にある「Create」ボタンをクリックして続行します。「Create a VPN」ワークフローに戻ります。

1. 「クラウド・ルーター」リストを展開し、「新規ルーターの作成」を選択します。

2. 「Create a router」ページが表示されます。次の詳細を入力します。

   • Name:クラウド・ルーターの名前を指定します。

   • Google ASN: Google BGP ASNを入力します。これは、OCIでIPSec接続を構成する際にも使用されます。

     他のオプションはすべてデフォルトのままにします。

3. クラウド・ルーターの構成が終了したら、「Create」ボタンをクリックして続行します。

   「Create a VPN」ワークフローに戻ります。

VPNトンネルの構成を完了します。次の詳細を入力します。

• Cloud Router:前のステップで構成したクラウド・ルーターを選択します。
• Associated Cloud VPN gateway IP: OCIで構成されたPEオブジェクトIPアドレスと一致します。
• Associated peer VPN Gateway interface: OCI VPNトンネルのOracle VPN IPアドレスと一致します。OCI - Oracle VPN IPアドレスおよび共有シークレットの保存を参照してください。
• Name: VPNトンネルに名前を指定します。
• IKE version: IKEv2を選択します。IKEv1を使用する場合は、OCIのIPSec接続の下のVPNトンネルにもIKEv1が構成されていることを確認します。

• IKE事前共有キー: OCIのIPSec接続のVPNトンネルの共有シークレットと一致します。OCI - Oracle VPN IPアドレスおよび共有シークレットの保存を参照してください。他のオプションはすべてデフォルトのままにします。

  VPNゾーンの構成が終了したら、「Create & Continue」をクリックします。

このステップでは、IPSecトンネルのBGPセッションを構成します。BGP設定は、OCI - IPSec接続の作成で設定した構成のOCI側と一致する必要があります。

1. VPNトンネル用のBGPセッションの下の「Configure」ボタンをクリックします。
2. トンネルの「BGPセッションの作成」ページが表示されます。次の詳細を入力します。
   • Name(名前): BGPセッションに名前を指定します。
   • Peer ASN: BGP ASNを入力します。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。
   • クラウド・ルーターBGP IP: OCI - IPSec接続の作成でトンネル1のIPV4トンネル内インタフェース- CPEに対して構成したIPアドレスと一致します。このフィールドではCIDR表記を使用しないでください。
   • BGP peer IP: OCI - IPSec接続の作成でトンネル1のIPV4トンネル内インタフェース- Oracleに対して構成したIPアドレスと一致します。このフィールドではCIDR表記を使用しないでください。

   • BGP peer: Enabledを選択します。

     他のオプションはすべてデフォルトのままにします。

3. BGPセッションの構成が終了したら、「Save & Continue」をクリックして「Configure BGP sessions」ページに戻ります。

4. 「Save BGP configuration」ボタンをクリックして続行します。

5. 「Summary and reminder」ページが表示されます。

   「VPN tunnel status」および「BGP status」に「established」と表示されます。

6. 下部にある「OK」をクリックして構成を完了します。

OCIのIPSec接続と、GCPのサイト間VPN接続を参照して、トンネルのステータスを確認します。

IPSec接続の下のOCIトンネルに、IPSecステータスとして「稼働中」が表示され、稼働中のトンネルを確認できます。

また、IPV4 BGPステータスには、確立されたBGPセッションを示す「稼働中」が表示されます。

GCPコンソールでクラウドVPNトンネルを参照します。VPNトンネル・ステータスとBGPセッション・ステータスの両方に「Established」と表示されます。

モニタリング・サービスは、クラウド・リソースをアクティブおよびパッシブにモニターするためにOCIから使用できます。OCI Site-to-Site VPNのモニタリングの詳細は、Site-to-Site VPNメトリックを参照してください。

問題がある場合は、サイト間VPNのトラブルシューティングを参照してください。