Oracle Cloud Infrastructureドキュメント

サイト間VPNの作業

このトピックでは、Site-to-Site VPNおよび関連コンポーネントの作業について詳しく説明します。次のトピックも参照してください:

ポリシーベースのVPNへの移行

Oracle Cloud Infrastructureのサイト間VPN v2サービスは、トンネル当たり最大50の暗号化ドメインを使用するポリシーベースのIPSec VPNsを完全にサポートしています。

潜在的なトラフィックの中断を防ぐために、サイト間VPN v1サービスからサイト間VPN v2に移行し、複数の暗号化ドメインを含むCPEを構成した場合は、CPE構成と一致するように接続のOCI側のトンネル構成を変更します。この記事では、この変更が非常に重要である理由と、ポリシーベースのIPSec VPNsを使用するようにOCIを構成するために必要なステップについて説明します。

ポリシーベースのVPN機能に移行する理由

サイト間VPN v1サービスは、常にルートベースのVPNとして構成され、BGPルーティング・タイプと静的ルーティング・タイプの両方に任意または任意の暗号化ドメインを使用します。ポリシーベースのVPNの相互運用性のために、CPEがイニシエータとして機能し、1つの暗号化ドメインのみがOCIに送信される場合、サイト間VPN v1はポリシーベースのVPN用に構成されたCPEをサポートします。このシナリオで複数の暗号化ドメインを構成すると、トンネルのフラッピングが観察されるトンネルが不安定になるか、トンネルを横断するトラフィックに安定した到達可能性がありません。

サイト間VPN v2サービスでは、BGPおよび静的ルーティング・タイプに加えて、ポリシーベースのルーティング・タイプ・オプションが使用されます。サイト間VPN v2のBGPおよび静的ルーティング・タイプは、ルートベースのままであり、単一または任意の暗号化ドメインをサポートします。これらのオプションは、単一の暗号化ドメイン・ポリシーベースのCPE構成で動作しますが、これはお薦めしません。また、複数の暗号化ドメインを送信すると、トンネルが不安定になります。

サイト間VPN v2で使用可能なポリシーベースのルーティング・タイプは、完全に機能するポリシーベースのVPNで、CPEのポリシーベース構成に完全に一致するようにOCI側を構成し、安定したIPSec VPNトンネルに必要な個々のセキュリティ・アソシエーション(SA)をすべて受け入れることができます。

暗号化ドメインおよび様々なIPSec VPNトンネル・タイプの詳細は、サポートされている暗号化ドメインまたはプロキシIDを参照してください。

トンネルがサイト間VPN v1からv2に移行された後、移行前に構成されたものと同じルーティング・タイプ(BGPまたは静的)が引き続き使用されます。この項では、ポリシーベースのルーティングを使用するように既存のルートベースのトンネルを変更するステップバイステップのプロセスについて説明します。

  1. OCIコンソールにサインインします。
  2. ナビゲーション・メニューを開き、「ネットワーク」を選択します。「顧客接続」で、「サイト間VPN」を選択します。
  3. ポリシーベースのルーティングを使用するためにトンネルを変更する必要があるIPSec接続を選択します。
  4. トンネルはIPSec接続の詳細にリストされ、各トンネルのルーティング・タイプが表示されます。ルーティング・タイプは、BGP動的ルーティングまたは静的ルーティングとしてリストされます。トンネル名を選択して、その詳細を表示します。
  5. 表示しているトンネルの設定を変更するには、「編集」を選択します。
  6. 「ルーティング・タイプ」で、ポリシー・ベースのルーティングのボックスを選択します。これは、アソシエーションの追加構成オプションを示します。
  7. 「アソシエーション」で、関連するすべての暗号化ドメインを構成します。オンプレミスCIDRブロックの各エントリは、Oracle Cloud CIDRブロックで構成可能なすべてのエントリを含む暗号化ドメインを生成します。

    詳細は、ポリシーベース・トンネル用の暗号化ドメインを参照してください。

    1. オンプレミスのCIDRブロックの場合は、IPSecトンネルを介してOCIに接続する必要があるすべてのオンプレミスCIDRブロックを追加します。
    2. Oracle Cloud CIDRブロックの場合は、オンプレミス・ネットワークからアクセスできる必要があるすべてのOCI CIDRブロックを追加します。
  8. トンネルのルーティング・タイプを変更すると、IPv4 inside tunnel interface - CPEおよびIPv4 inside tunnel interface - Oracleの値を保持できます。これらの値を変更する必要はありません。
  9. 「Save Changes」を選択します。
  10. 親のIPSec接続に戻り、他のIPSecトンネルのプロセスを繰り返します。

トンネルのステータスと構成の表示

IPSec接続が正常に作成されると、Oracleによって、結果の各IPSecトンネルに対して重要な構成情報が生成されます。たとえば、全体的な設定プロセスのタスク2hを参照してください。トンネルのその情報およびステータスは、いつでも表示できます。トンネルがBGP動的ルーティングを使用するように構成されている場合、これにはBGPステータスが含まれます。

IPSecトンネルのステータスおよび構成情報を表示するには
  1. ナビゲーション・メニューを開き、「ネットワーク」を選択します。「顧客接続」で、「サイト間VPN」を選択します。

    表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側にあるリストから選択します)。

  2. 目的のIPSec接続を選択します。

    IPSecステータス、BGPステータス(トンネルがBGP動的ルーティングを使用する場合)およびOracle VPN IPアドレス(VPNヘッドエンド)を含む、各トンネルの詳細が表示されます。

  3. トンネルの共有シークレットを表示するには:
    1. 目的のトンネルを選択します。
    2. 「共有シークレット」フィールドの横にある「表示」を選択します。
  4. トンネルのBGPが通知および受信したルート(各ルートのAS PATHを含む)を表示するには:
    1. 目的のトンネルを選択します。
    2. 「リソース」で、「受信したBGPルート」または「通知されたBGPルート」を選択します。

CPE構成ヘルパーの使用

サイト間VPNの設定後、ネットワーク・エンジニアは、接続のオンプレミス側で顧客構内機器(CPE)を構成する必要があります。この構成には、Virtual Cloud Network (VCN)とSite-to-Site VPNのIPSecトンネルの詳細が含まれます。CPE構成ヘルパーは、ネットワーク・エンジニア用の情報を生成します。詳細は、CPE構成ヘルパーの使用を参照してください。

静的ルートの変更

既存のIPSec接続の静的ルートを変更できます。最大10個の静的ルートを指定できます。

IPSec接続では、静的ルーティングまたはBGP動的ルーティングを使用できることに注意してください。静的ルートは、個々のトンネルではなくIPSec接続全体に関連付けます。IPSec接続に静的ルートが関連付けられている場合、Oracleでトンネルのトラフィックのルーティングにその静的ルートが使用されるのは、トンネル自体が静的ルーティングを使用するように構成されているときのみです。BGP動的ルーティングを使用するように構成されている場合、IPSec接続の静的ルートは無視されます。

重要

IPSec接続は停止しますが、静的ルートの変更で再プロビジョニングされます。
静的ルートを編集するには
  1. ナビゲーション・メニューを開き、「ネットワーク」を選択します。「顧客接続」で、「サイト間VPN」を選択します。

    表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側にあるリストから選択します)。

  2. 目的のIPSec接続に対して、「アクション」メニュー(アクション・メニュー)を選択し、「編集」を選択します。

    現在の静的ルートが表示されます。

  3. 変更を行い、「変更の保存」を選択します。

Oracleで使用されるCPE IKE識別子の変更

CPEがNATデバイスの背後にある場合は、CPE IKE識別子をOracleに提供する必要がある場合があります。IPSec接続の作成時にこれを指定することも、後からIPSec接続を編集して値を変更することもできます。Oracleでは、値がIPアドレスまたは完全修飾ドメイン名(FQDN)であることが必要です。値を指定するときに、その値のタイプも指定します。

重要

CPE IKE識別子を再プロビジョニングしている間、IPSec接続は停止します。
Oracleで使用されるCPE IKE識別子を変更するには
  1. ナビゲーション・メニューを開き、「ネットワーク」を選択します。「顧客接続」で、「サイト間VPN」を選択します。

    表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側にあるリストから選択します)。

  2. 目的のIPSec接続に対して、「アクション」メニュー(アクション・メニュー)を選択し、「編集」を選択します。

    Oracleが使用している現在のCPE IKE識別子が、ダイアログの下部に表示されます。

  3. 「CPE IKE識別子タイプ」「CPE IKE識別子」の新しい値を入力し、「変更の保存」を選択します。

IKEv2の使用

Oracleは、Internet Key Exchange (IKE)バージョン1およびバージョン2 (IKEv2)をサポートしています。

CPEをサポートするCPEでIKEv2を使用するには、次の操作を行う必要があります:

  • Oracle ConsoleでIKEv2を使用するように各IPSecトンネルを構成します。次の手順を参照してください。
  • CPEでサポートされているIKEv2暗号化パラメータを使用するようにCPEを構成します。Oracleでサポートされているパラメータのリストについては、サポートされているIPSecパラメータを参照してください。
新しいIPSec接続: IKEv2の使用
ノート

新しいIPSec接続を手動で作成する場合は、Oracle ConsoleでIPSec接続を作成するときにIKEv2を指定できます。すぐ後に続く手順を参照してください。

かわりにVPNクイックスタート・ワークフローを使用すると、IPSec接続はIKEv1のみを使用するように構成されます。ただし、ワークフローの完了後に、Oracle Consoleで結果のIPSecトンネルを編集して、IKEv2を使用するように変更できます。

IKEv2を使用する新しいIPSec接続を手動で設定するには:

  1. Oracle ConsoleでIPSec接続を作成中に、「拡張オプション」セクションで「トンネル1」タブを選択します。
  2. 「IKEバージョン」メニューから、「IKEv2」を選択します。
  3. 「トンネル2」タブで、前のステップを繰り返します。
  4. 後でCPEを構成する際には、そのCPEでサポートされるIKEv2および関連するIKEv2暗号化パラメータのみを使用するように構成します。
既存のIPSec接続: IKEv2へのアップグレード
重要

IPSec接続の中断を回避するために、一度に1つのトンネルに対して次のプロセスを実行することをお薦めします。接続が冗長でない場合(たとえば、冗長トンネルがない場合)、IKEv2へのアップグレード中にダウンタイムが予想されます。
  1. Oracle Consoleで、トンネルIKEバージョンを変更します:
    1. ナビゲーション・メニューを開き、「ネットワーク」を選択します。「顧客接続」で、「サイト間VPN」を選択します。
    2. 目的のIPSec接続を選択します。
    3. 詳細を表示するトンネルを選択します。
    4. 「編集」を選択します。
    5. 「IKEバージョン」メニューから、「IKEv2」を選択します。
    6. 「Save Changes」を選択します。
  2. CPEでサポートされているIKEv2および関連する暗号化パラメータを使用するように、トンネルのCPE構成を更新します。Oracleでサポートされているパラメータのリストについては、サポートされているIPSecパラメータを参照してください。
  3. セキュリティ・協会がすぐにキー更新を行わなかった場合は、CPE上でそのトンネルのキー更新を強制します。これを行うには、フェーズ1とフェーズ2のセキュリティ・アソシエーションをクリアし、期限切れを待機しません。一部のCPEデバイスは、キー更新の前にSAが期限切れになるのを待ちます。キー更新を強制すると、IKEバージョン構成が正しいことをすぐに確認できます。
  4. 確認するには、トンネルのセキュリティ・アソシエーションによってキー更新が正しく行われることを確認します。そうでない場合は、Oracle ConsoleおよびCPEで正しいIKEバージョンが設定されていること、およびCPEで適切なパラメータが使用されていることを確認してください。

1つ目のトンネルが稼働していることを確認した後、2つ目のトンネルについて前のステップを繰り返します。

IPSecトンネルで使用される共有シークレットの変更

Site-to-Site VPNを設定すると、Oracleによりデフォルトで各トンネルの共有シークレット(事前共有キーとも呼ばれる)が提供されます。それ以外の特定の共有シークレットを使用する必要がある場合もあります。IPSec接続の作成時に各トンネルの共有シークレットを指定することも、トンネルを編集して新しい各共有シークレットを指定することもできます。共有シークレットには、数字、文字およびスペースのみを使用できます。トンネルごとに異なる共有シークレットを使用することをお薦めします。

重要

トンネルの共有シークレットを変更すると、トンネルが新しい共有シークレットで再プロビジョニングされている間、IPSec接続全体とトンネルは両方とも「プロビジョニング中」状態になります。IPSec接続のもう一方のトンネルは、「使用可能」状態のままです。ただし、1番目のトンネルの再プロビジョニング中は、2番目のトンネルの構成を変更できません。
IPSecトンネルで使用される共有シークレットを変更するには
  1. ナビゲーション・メニューを開き、「ネットワーク」を選択します。「顧客接続」で、「サイト間VPN」を選択します。

    表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側にあるリストから選択します)。

  2. 目的のIPSec接続を選択します。
  3. 目的のトンネルを選択します。
  4. 「共有シークレット」フィールドで、「編集」を選択します。
  5. 新しい値を入力します。数字、文字およびスペースのみを使用できます。
  6. 「Save Changes」を選択します。

静的ルーティングからBGP動的ルーティングへの変更

既存のサイト間VPNを静的ルーティングの使用からBGP動的ルーティングの使用に変更するには、この項のプロセスに従います。

注意

トンネル・ルーティング・タイプを変更する場合、再プロビジョニング中にトンネルのIPSecステータスが変更されません。ただし、トンネルを介するルーティングには影響します。ネットワーク・エンジニアがルーティング・タイプの変更に応じてCPEデバイスを構成するまで、トラフィックは一時的に中断されます。 既存のサイト間VPNが単一のトンネルのみを使用するように構成されている場合、このプロセスによりOracleへの接続が中断されます。サイト間VPNがかわりに複数のトンネルを使用する場合は、Oracleへの接続が中断されないように、一度に1つのトンネルを再構成することをお薦めします。
静的ルーティングからBGP動的ルーティングに変更するには

前提条件:

  • サイト間VPNのルーティングを読む

  • 必要なBGPルーティング情報を収集します。

    • ネットワークのASN。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。Government Cloudについては、OracleのBGP ASNを参照してください。
    • 各トンネルについて: トンネル各端のBGP IPアドレス(特定のトンネルの2つのアドレスは/30または31サブネットからの1組であり、かつサイト間VPN暗号化ドメインに属している必要があります)

IPSec接続の各トンネルについて、次のプロセスを繰り返します:

  1. トンネルのルーティング・タイプを静的ルーティングからBGP動的ルーティングに再構成します:

    1. ナビゲーション・メニューを開き、「ネットワーク」を選択します。「顧客接続」で、「サイト間VPN」を選択します。

    2. 目的のIPSec接続を選択します。

      トンネルがリストされ、各トンネルのステータスが表示されます。目的のトンネルの「BGPステータス」に、そのトンネルが静的ルーティングを使用するように構成されていることを意味するハイフンのみ(値なし)が表示されている場合。

    3. トンネルを選択して、そのすべての詳細を表示します。
    4. 「編集」を選択します。

    5. 次を行います:

      • ルーティング・タイプ: 「BGP動的ルーティング」のラジオ・ボタンを選択します。
      • BGP ASN:ネットワークのBGP ASNを入力します。
      • トンネル内インタフェース - CPE: トンネルのCPE側にサブネット・マスク(/30または/31)を使用するBGP IPアドレスを入力します。例: 10.0.0.16/31。
      • トンネル内インタフェース - Oracle: トンネルのOracle側にサブネット・マスク(/30または/31)を使用するBGP IPアドレスを入力します。例: 10.0.0.17/31。
    6. 「Save Changes」を選択します。

    トンネルの「BGPステータス」が「停止中」に変わります。

  2. ネットワーク・エンジニアが、BGPを使用するようにCPEデバイスのトンネル構成を更新します。
  3. 接続のオンプレミス側で、トンネルのBGPセッションが確立された状態になっていることを確認します。そうでない場合は、Oracle ConsoleおよびCPEデバイスのトンネルのIPアドレスの構成が正しいことを確認してください。
  4. Oracle Consoleで、トンネルの「BGPステータス」が「稼働中」になったことを確認します。
  5. CPEデバイスがOracleからルートを学習していることを確認し、CPEデバイスがOracleにルートを通知していることを確認します。BGPからオンプレミス・ネットワークへのOracleルートを読み取るには、CPEデバイスがそれを受け入れるように構成されていることを確認します。オンプレミス・ネットワークに静的ルートを通知する既存のポリシーが、BGPの学習されたルートに対して機能しない場合があります。
  6. 接続側からOracle BGP IPアドレスをPingして、トラフィックがフローしていることを確認します。

1番目のトンネルがBGPに対して稼働していることを確認した後、2番目のトンネルについてプロセスを繰り返します。

重要

サイト間VPNのルーティングで示したように、IPSec接続全体にまだ構成されている静的ルートがBGPルーティングをオーバーライドしないでください。BGPを使用するように構成されたトンネルを介してOracleがトラフィックをルーティングするとき、これらの静的ルートは無視されます。

また、トンネルのルーティング・タイプを静的ルーティングに戻すこともできます。CPEデバイスの予定された停止時間が間もなく終わるのに、BGPセッションの確立で問題が発生している場合などは、そうする必要があります。静的ルーティングに切り替える場合は、IPSec接続全体に対して適切な静的ルートがまだ構成されていることを確認してください。

サイト間VPNのモニタリング

メトリック、アラームおよび通知を使用して、Oracle Cloud Infrastructureリソースのヘルス、容量およびパフォーマンスをモニターできます。詳細は、モニタリングおよび通知を参照してください。

接続のモニタリングの詳細は、サイト間VPNのメトリックを参照してください。

サイト間VPNログ・メッセージの表示

IPSecトンネルの稼働中に発生するネゴシエーションなど、サイト間VPNの様々な運用状況に対して生成されたログ・メッセージを表示できます。Site-to-Site VPNログ・メッセージの有効化およびアクセスは、Site-to-Site VPNまたはLogging Serviceを使用して実行できます。

  • ロギング・サービス全般の概要は、ロギングの概要を参照してください。
  • ロギング・サービスを使用したサイト間VPNログ・メッセージの有効化およびアクセスの詳細は、サービス・ログを参照してください。

  • サイト間VPNログ・メッセージ・スキーマの詳細は、サイト間VPNの詳細を参照してください。

メッセージ・ロギングを有効にするには
  1. ナビゲーション・メニューを開き、「ネットワーク」を選択します。「顧客接続」で、「サイト間VPN」を選択します。

  2. 表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側にあるリストから選択します)。

  3. 目的のIPSec接続の名前を選択します。

    接続の詳細ページが表示されます。

  4. 画面の左側にある「リソース」で、「ログ」を選択します。

    このオプションを表示しない場合、接続には古いサイト間VPN v1タイプがあります。メッセージ・ロギングには、Site-to-Site VPN v2が必要です。

  5. 「ログ」詳細ページで、「ログの有効化」フィールドを「有効」に設定します。新しい画面が表示されます。

    画面のオプションの詳細は、リソースのロギングの有効化を参照してください。ログは、ログを生成するリソース・タイプに関係なく同じように処理されます。

  6. 「ログの有効化」を選択します。

「ログ詳細」ページが表示され、ログの作成が進行します(「ログの作成中」メッセージが表示されます)。

ログ・メッセージを表示するには

メッセージ・ログを表示するには、すでにロギングが有効になっている必要があります。メッセージ・ログを表示するには:

  1. ナビゲーション・メニューを開き、「ネットワーク」を選択します。「顧客接続」で、「サイト間VPN」を選択します。

  2. 表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側にあるリストから選択します)。

  3. 画面の左側の「リソース」で、「ログ」を選択します。

    このオプションが表示されない場合、接続には古いサイト間VPN v1タイプがあります。メッセージ・ロギングには、Site-to-Site VPN v2が必要です。

  4. 目的のログの「ログ名」で選択します。これにより、要求されたログを示す新しいブラウザ・タブが開きます。

ログ画面の使用の詳細は、ログの詳細の取得を参照してください。

Site-to-Site VPNの無効化または終了

オンプレミス・ネットワークとVCN間のサイト間VPNを無効にするには、IPSec接続を削除するかわりに、DRGをVCNからデタッチします。FastConnectでもDRGを使用している場合、DRGをデタッチすると、FastConnectを経由するトラフィックのフローも中断されます。

IPSec接続は削除できます。ただし、後で再確立する場合は、ネットワーク・エンジニアがOracleからの新しいトンネル構成情報セットを使用してCPEデバイスを再度構成する必要があります。

サイト間VPNを完全に削除するには、まずIPSec接続を終了する必要があります。その後、CPEオブジェクトを削除できます。オンプレミス・ネットワークへの別の接続にDRGを使用していない場合は、VCNからデタッチしてから削除できます。

IPSec接続を削除するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「サイト間VPN」を選択します。

    表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側にあるリストから選択します)。

  2. 目的のIPSec接続を選択します。
  3. 「終了」を選択します。
  4. 要求されたら、削除を確定します。

IPSec接続は、削除中に短期間終了状態になります。

CPEオブジェクトを削除するには

前提条件: CPEオブジェクトとDRGの間にIPSec接続が存在していない必要があります。

  1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「顧客構内機器」を選択します。

    表示しているコンパートメント内のCPEオブジェクトのリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側にあるリストから選択します)。

  2. 削除するCPEオブジェクトについて、「アクション」メニュー(アクション・メニュー)を選択し、「削除」を選択します。
  3. 要求されたら、削除を確定します。

オブジェクトは削除されている間、短期間「終了中」状態です。

IPSec接続またはCPEオブジェクトのタグの管理

リソースにタグを適用して、ビジネス・ニーズに応じてそれらを整理します。リソースの作成時にタグを適用するか、後で必要なタグでリソースを更新します。タグ適用についての一般情報は、リソース・タグを参照してください。

IPSec接続のタグを管理するには

  1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「サイト間VPN」を選択します。

    表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側にあるリストから選択します)。

  2. 目的のIPSec接続を選択します。
  3. 既存のタグを表示または編集するには、「タグ」タブを選択します。または、「タグの追加」を選択して新しいタグを追加します。
CPEオブジェクトのタグを管理するには
  1. ナビゲーション・メニューを開き、「ネットワーク」を選択します。「顧客接続」で、「顧客オンプレミス機器」を選択します。

    表示しているコンパートメント内のCPEオブジェクトのリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側にあるリストから選択します)。

  2. 目的のCPEオブジェクトを選択します。
  3. 既存のタグを表示または編集するには、「タグ」タブを選択します。または、「タグの適用」を選択して新しいタグを追加します。

別のコンパートメントへのIPSec接続またはCPEオブジェクトの移動

リソースはコンパートメント間で移動できます。リソースを新しいコンパートメントに移動すると、固有のポリシーがただちに適用され、コンソールを介したリソースへのアクセスが影響を受けます。CPEオブジェクトを別のコンパートメントに移動することは、オンプレミス・データ・センターとOracle Cloud Infrastructure間の接続に影響しません。詳細は、コンパートメントの作業を参照してください。

CPEオブジェクトを別のコンパートメントに移動するには
  1. ナビゲーション・メニューを開き、「ネットワーク」を選択します。「顧客接続」で、「顧客オンプレミス機器」を選択します。
  2. リストでCPEオブジェクトを検索し、「アクション」メニュー(アクション・メニュー)を選択して、「リソースの移動」を選択します。
  3. リストから宛先コンパートメントを選択します。
  4. 「リソースの移動」を選択します。

IPSecトンネルのメンテナンス

システムのセキュリティ、安定性、パフォーマンスを確保するために、OracleはOCIプラットフォーム全体でソフトウェアを定期的に更新しています。これらの更新には、脆弱性パッチ、新機能、バグ修正などの重要な修正が含まれており、全体的な機能と信頼性が向上します。更新プロセス中に、あるVPNヘッドエンドから別のヘッドエンドにIPSecトンネルが移動され、1つのトンネルのみが使用されると、IPSec接続がリセットされます。IPSec接続では、1つのIPSecトンネルのみが移動されます。トンネルへのこの短い中断を防ぐことはできませんが、ダウンタイムを最小限に抑えるために更新メカニズムを最適化しました。顧客構内設備(CPE)が継続的に接続の再確立を試行する場合、通常のIPSecトンネルのダウンタイムは1分未満です。この設計により、Oracleは、システムの安全性と信頼性を維持しながら、接続の中断を最小限に抑えることができます。IPSecトンネルのリストアには、最大10分かかる場合があります。

  • トンネルがOCI側でのみレスポンダとして設定され、CPEがトンネルをすぐに起動しようとしていない場合
  • CPEがOCI側によって開始されたIKEネゴシエーションへの応答に失敗した場合

ソフトウェア更新中のIPSecトンネル・フラップは避けられませんが、OCIは冗長トンネルを提供します。これらの冗長トンネルは、1つのトンネルがダウンタイムを経験する短い期間であっても、継続的なトラフィック・フローを維持するように設計されています。冗長性が正しく設定されている場合、プライマリ・トンネルを介してルーティングされるすべてのトラフィックは、トンネル・フラップ中に冗長トンネルにシームレスに切り替わります。このフェイルオーバーメカニズムにより、サービスが中断されないままになり、トラフィックフローが大幅に遅延することなく保持されます。OCIは、冗長トンネルが2つの異なるVPNヘッドエンドに着陸することを保証します。ソフトウェア更新中は、一度に1つのトンネルだけが影響を受けます。

初期設定時とそれ以降の定期的な間隔の両方で、プライマリVPNトンネルを停止して冗長性をテストすることをお薦めします。プライマリ・トンネルがオフラインの間、VCNインスタンスが到達可能なままであり、トラフィックが冗長トンネルに移行していることを確認します。この冗長性ガイドのVPN冗長性のセクションには、様々なユース・ケースでのVPNトンネルの冗長性の設定に関するより詳細な洞察が記載されています。

次のステップを使用して、トンネルを一時的に無効にして、プライマリIPSecトンネルからセカンダリIPSecトンネルへの冗長性フェイルオーバーをテストできます。

  1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「サイト間VPN」を選択します。

    表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側にあるリストから選択します)。

  2. 目的のIPSec接続の名前を選択します。
    IPSecステータス、BGPステータス(トンネルがBGP動的ルーティングを使用する場合)およびOracle VPN IPアドレス(VPNヘッドエンド)を含む、各トンネルの詳細が表示されます。
  3. プライマリ(またはセカンダリ) IPSecトンネルの名前を選択します。
  4. トンネルを一時的に無効にするには:
    1. 表示された「トンネル情報」タブの「共有シークレット」フィールドの横にある「編集」を選択します。
    2. 共有シークレット・フィールドのテキストを切り取り、いくつかのランダムな文字または数字で置き換えます。これにより、BGPセッションが停止し、トラフィックが他のトンネルにフェイルオーバーする可能性があります。このフィールドは空にできません。
      共有シークレット・フィールドに元の文字列をテキスト・ファイルに貼り付けます。冗長性が期待どおりに機能していることを確認した後、BGPセッションを再確立するには、これが必要です。
    3. 「Save changes」を選択します。
    4. 接続のセカンダリIPSecトンネルでトラフィックがまだ流れていることを確認します。
  5. 一時的に無効にされたトンネルをリストアするには:
    1. 表示された「トンネル情報」タブの「共有シークレット」フィールドの横にある「編集」を選択します。
    2. 共有シークレット・フィールドの元のテキストに貼り付けます。
    3. 「Save changes」を選択します。
    4. BGPセッションが再確立されるまで待機します。

サイト間VPN用のAPIの使用

これらは、サイト間VPNコンポーネントを管理するためのネットワーキング・サービスAPIの操作です。

APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。

VCNとサブネットを管理するには、次の操作を使用します:

DRGを管理するには、次の操作を使用します:

VCNのルーティングを管理するには、次の操作を使用します:

VCNのセキュリティ・リストを管理するには、次の操作を使用します:

CPEを管理するには、次の操作を使用します:

IPSec接続を管理するには、次の操作を使用します: