このページは機械翻訳したものです。

Oracle Cloud Infrastructureドキュメント
Free Tierを試してみる

サイト間VPNの作業

このトピックでは、Site-to-Site VPNおよび関連コンポーネントの作業について詳しく説明します。次のトピックも参照してください:

ポリシーベースのVPNへの移行

Oracle Cloud Infrastructureのサイト間VPN v2サービスは、トンネル当たり最大50の暗号化ドメインを使用するポリシーベースのIPSec VPNsを完全にサポートしています。

潜在的なトラフィックの中断を防ぐために、サイト間VPN v1サービスからサイト間VPN v2に移行し、複数の暗号化ドメインを含むCPEを構成した場合は、CPE構成と一致するように接続のOCI側のトンネル構成を変更します。この記事では、この変更が非常に重要である理由と、ポリシーベースのIPSec VPNsを使用するようにOCIを構成するために必要なステップについて説明します。

ポリシーベースのVPN機能に移行する理由

サイト間VPN v1サービスは、常にルートベースのVPNとして構成され、BGPルーティング・タイプと静的ルーティング・タイプの両方に任意または任意の暗号化ドメインを使用します。ポリシーベースのVPNの相互運用性のために、CPEがイニシエータとして機能し、1つの暗号化ドメインのみがOCIに送信される場合、サイト間VPN v1はポリシーベースのVPN用に構成されたCPEをサポートします。このシナリオで複数の暗号化ドメインを構成すると、トンネルのフラッピングが観察されるトンネルが不安定になるか、トンネルを横断するトラフィックに安定した到達可能性がありません。

サイト間VPN v2サービスでは、BGPおよび静的ルーティング・タイプに加えて、ポリシーベースのルーティング・タイプ・オプションが使用されます。サイト間VPN v2のBGPおよび静的ルーティング・タイプは、ルートベースのままであり、単一または任意の暗号化ドメインをサポートします。これらのオプションは、単一の暗号化ドメイン・ポリシーベースのCPE構成で動作しますが、これはお薦めしません。また、複数の暗号化ドメインを送信すると、トンネルが不安定になります。

サイト間VPN v2で使用可能なポリシーベースのルーティング・タイプは、完全に機能するポリシーベースのVPNで、CPEのポリシーベース構成に完全に一致するようにOCI側を構成し、安定したIPSec VPNトンネルに必要な個々のセキュリティ・アソシエーション(SA)をすべて受け入れることができます。

暗号化ドメインおよび様々なIPSec VPNトンネル・タイプの詳細は、サポートされている暗号化ドメインまたはプロキシIDを参照してください。

トンネルがサイト間VPN v1からv2に移行された後、移行前に構成されたものと同じルーティング・タイプ(BGPまたは静的)が引き続き使用されます。この項では、ポリシーベースのルーティングを使用するように既存のルートベースのトンネルを変更するステップバイステップのプロセスについて説明します。

  1. OCIコンソールにサインインします。
  2. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「サイト間VPN」を選択します。
  3. ポリシーベースのルーティングを使用するためにトンネルを変更する必要があるIPSec接続を選択します。
  4. トンネルはIPSec接続の詳細にリストされ、各トンネルのルーティング・タイプが表示されます。ルーティング・タイプは、BGP動的ルーティングまたは静的ルーティングとしてリストされます。トンネル名を選択して、その詳細を表示します。
  5. 表示しているトンネルの設定を変更するには、「編集」を選択します。
  6. 「ルーティング・タイプ」で、ポリシー・ベースのルーティングのボックスを選択します。これは、アソシエーションの追加構成オプションを示します。
  7. 「アソシエーション」で、関連するすべての暗号化ドメインを構成します。オンプレミスCIDRブロックの各エントリは、Oracle Cloud CIDRブロックで構成可能なすべてのエントリを含む暗号化ドメインを生成します。

    詳細は、ポリシーベース・トンネル用の暗号化ドメインを参照してください。

    1. オンプレミスのCIDRブロックの場合は、IPSecトンネルを介してOCIに接続する必要があるすべてのオンプレミスCIDRブロックを追加します。
    2. Oracle Cloud CIDRブロックの場合は、オンプレミス・ネットワークからアクセスできる必要があるすべてのOCI CIDRブロックを追加します。
  8. トンネルのルーティング・タイプを変更すると、IPv4 inside tunnel interface - CPEおよびIPv4 inside tunnel interface - Oracleの値を保持できます。これらの値を変更する必要はありません。
  9. 「Save Changes」を選択します。
  10. 親のIPSec接続に戻り、他のIPSecトンネルのプロセスを繰り返します。

トンネルのステータスと構成の表示

IPSec接続が正常に作成されると、Oracleによって、結果の各IPSecトンネルに対して重要な構成情報が生成されます。たとえば、全体的な設定プロセスのタスク2hを参照してください。トンネルのその情報およびステータスは、いつでも表示できます。トンネルがBGP動的ルーティングを使用するように構成されている場合、これにはBGPステータスが含まれます。

CPE構成ヘルパーの使用

サイト間VPNの設定後、ネットワーク・エンジニアは、接続のオンプレミス側で顧客構内機器(CPE)を構成する必要があります。この構成には、Virtual Cloud Network (VCN)とSite-to-Site VPNのIPSecトンネルの詳細が含まれます。CPE構成ヘルパーは、ネットワーク・エンジニア用の情報を生成します。詳細は、CPE構成ヘルパーの使用を参照してください。

静的ルートの変更

既存のIPSec接続の静的ルートを変更できます。最大10個の静的ルートを指定できます。

IPSec接続では、静的ルーティングまたはBGP動的ルーティングを使用できることに注意してください。静的ルートは、個々のトンネルではなくIPSec接続全体に関連付けます。IPSec接続に静的ルートが関連付けられている場合、Oracleでトンネルのトラフィックのルーティングにその静的ルートが使用されるのは、トンネル自体が静的ルーティングを使用するように構成されているときのみです。BGP動的ルーティングを使用するように構成されている場合、IPSec接続の静的ルートは無視されます。

重要

IPSec接続は停止しますが、静的ルートの変更で再プロビジョニングされます。

Oracleで使用されるCPE IKE識別子の変更

CPEがNATデバイスの背後にある場合は、CPE IKE識別子をOracleに提供する必要がある場合があります。IPSec接続の作成時にこれを指定することも、後からIPSec接続を編集して値を変更することもできます。Oracleでは、値がIPアドレスまたは完全修飾ドメイン名(FQDN)であることが必要です。値を指定するときに、その値のタイプも指定します。

重要

CPE IKE識別子を再プロビジョニングしている間、IPSec接続は停止します。

IKEv2の使用

Oracleは、Internet Key Exchange (IKE)バージョン1およびバージョン2 (IKEv2)をサポートしています。

CPEをサポートするCPEでIKEv2を使用するには、次の操作を行う必要があります:

  • Oracle ConsoleでIKEv2を使用するように各IPSecトンネルを構成します。次の手順を参照してください。
  • CPEでサポートされているIKEv2暗号化パラメータを使用するようにCPEを構成します。Oracleでサポートされているパラメータのリストについては、サポートされているIPSecパラメータを参照してください。

IPSecトンネルで使用される共有シークレットの変更

Site-to-Site VPNを設定すると、Oracleによりデフォルトで各トンネルの共有シークレット(事前共有キーとも呼ばれる)が提供されます。それ以外の特定の共有シークレットを使用する必要がある場合もあります。IPSec接続の作成時に各トンネルの共有シークレットを指定することも、トンネルを編集して新しい各共有シークレットを指定することもできます。共有シークレットには、数字、文字およびスペースのみを使用できます。トンネルごとに異なる共有シークレットを使用することをお薦めします。

重要

トンネルの共有シークレットを変更すると、トンネルが新しい共有シークレットで再プロビジョニングされている間、IPSec接続全体とトンネルは両方とも「プロビジョニング中」状態になります。IPSec接続のもう一方のトンネルは、「使用可能」状態のままです。ただし、1番目のトンネルの再プロビジョニング中は、2番目のトンネルの構成を変更できません。

静的ルーティングからBGP動的ルーティングへの変更

既存のサイト間VPNを静的ルーティングの使用からBGP動的ルーティングの使用に変更するには、この項のプロセスに従います。

注意

トンネル・ルーティング・タイプを変更する場合、再プロビジョニング中にトンネルのIPSecステータスが変更されません。ただし、トンネルを介するルーティングには影響します。ネットワーク・エンジニアがルーティング・タイプの変更に応じてCPEデバイスを構成するまで、トラフィックは一時的に中断されます。 既存のサイト間VPNが単一のトンネルのみを使用するように構成されている場合、このプロセスによりOracleへの接続が中断されます。サイト間VPNがかわりに複数のトンネルを使用する場合は、Oracleへの接続が中断されないように、一度に1つのトンネルを再構成することをお薦めします。

サイト間VPNのモニタリング

メトリック、アラームおよび通知を使用して、Oracle Cloud Infrastructureリソースのヘルス、容量およびパフォーマンスをモニターできます。詳細は、モニタリングおよび通知を参照してください。

接続のモニタリングの詳細は、サイト間VPNのメトリックを参照してください。

サイト間VPNログ・メッセージの表示

IPSecトンネルの稼働中に発生するネゴシエーションなど、サイト間VPNの様々な運用状況に対して生成されたログ・メッセージを表示できます。Site-to-Site VPNログ・メッセージの有効化およびアクセスは、Site-to-Site VPNまたはLogging Serviceを使用して実行できます。

  • ロギング・サービス全般の概要は、ロギングの概要を参照してください。
  • ロギング・サービスを使用したサイト間VPNログ・メッセージの有効化およびアクセスの詳細は、サービス・ログを参照してください。

  • サイト間VPNログ・メッセージ・スキーマの詳細は、サイト間VPNの詳細を参照してください。

Site-to-Site VPNの無効化または終了

オンプレミス・ネットワークとVCNの間のサイト間VPNを無効にするには、IPSec接続を削除せずに、DRGをVCNからデタッチできます。FastConnectでもDRGを使用している場合、DRGをデタッチすると、FastConnectを経由するトラフィックのフローも中断されます。

IPSec接続は削除できます。ただし、後で再確立する場合は、ネットワーク・エンジニアがOracleからの新しいトンネル構成情報セットを使用してCPEデバイスを再度構成する必要があります。

サイト間VPNを完全に削除するには、まずIPSec接続を終了する必要があります。その後、CPEオブジェクトを削除できます。オンプレミス・ネットワークへの別の接続にDRGを使用していない場合は、VCNからデタッチしてから削除できます。

IPSec接続またはCPEオブジェクトのタグの管理

リソースにタグを適用すると、ビジネス・ニーズに応じた整理に役立ちます。リソースの作成時にタグを適用できます。また、後でリソースを更新して、タグを追加、改訂または削除できます。タグ適用についての一般情報は、リソース・タグを参照してください。

別のコンパートメントへのIPSec接続またはCPEオブジェクトの移動

リソースはコンパートメント間で移動できます。リソースを新しいコンパートメントに移動すると、固有のポリシーがただちに適用され、コンソールを介したリソースへのアクセスが影響を受けます。CPEオブジェクトを別のコンパートメントに移動することは、オンプレミス・データ・センターとOracle Cloud Infrastructure間の接続に影響しません。詳細は、コンパートメントの作業を参照してください。

IPSecトンネルのメンテナンス

システムのセキュリティ、安定性、パフォーマンスを確保するために、OracleはOCIプラットフォーム全体でソフトウェアを定期的に更新しています。これらの更新には、脆弱性パッチ、新機能、バグ修正などの重要な修正が含まれており、全体的な機能と信頼性が向上します。更新プロセス中に、あるVPNヘッドエンドから別のヘッドエンドにIPSecトンネルが移動され、1つのトンネルのみが使用されると、IPSec接続がリセットされます。IPSec接続では、1つのIPSecトンネルのみが移動されます。トンネルへのこの短い中断を防ぐことはできませんが、ダウンタイムを最小限に抑えるために更新メカニズムを最適化しました。顧客構内設備(CPE)が継続的に接続の再確立を試行する場合、通常のIPSecトンネルのダウンタイムは1分未満です。この設計により、Oracleは、システムの安全性と信頼性を維持しながら、接続の中断を最小限に抑えることができます。IPSecトンネルのリストアには、最大10分かかる場合があります。

  • トンネルがOCI側でのみレスポンダとして設定され、CPEがトンネルをすぐに起動しようとしていない場合
  • CPEがOCI側によって開始されたIKEネゴシエーションへの応答に失敗した場合

ソフトウェア更新中のIPSecトンネル・フラップは避けられませんが、OCIは冗長トンネルを提供します。これらの冗長トンネルは、1つのトンネルがダウンタイムを経験する短い期間であっても、継続的なトラフィック・フローを維持するように設計されています。冗長性が正しく設定されている場合、プライマリ・トンネルを介してルーティングされるすべてのトラフィックは、トンネル・フラップ中に冗長トンネルにシームレスに切り替わります。このフェイルオーバーメカニズムにより、サービスが中断されないままになり、トラフィックフローが大幅に遅延することなく保持されます。OCIは、冗長トンネルが2つの異なるVPNヘッドエンドに着陸することを保証します。ソフトウェア更新中は、一度に1つのトンネルだけが影響を受けます。

初期設定時とそれ以降の定期的な間隔の両方で、プライマリVPNトンネルを停止して冗長性をテストすることをお薦めします。プライマリ・トンネルがオフラインの間、VCNインスタンスが到達可能なままであり、トラフィックが冗長トンネルに移行していることを確認します。この冗長性ガイドのVPN冗長性のセクションには、様々なユース・ケースでのVPNトンネルの冗長性の設定に関するより詳細な洞察が記載されています。

次のステップを使用して、トンネルを一時的に無効にして、プライマリIPSecトンネルからセカンダリIPSecトンネルへの冗長性フェイルオーバーをテストできます。

  1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「サイト間VPN」を選択します。

    表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているポリシーが表示されない場合は、正しいコンパートメントが表示されていることを確認します。別のコンパートメントにアタッチされたポリシーを表示するには、「リスト範囲」で、リストからそのコンパートメントを選択します。

  2. 目的のIPSec接続の名前を選択します。
    IPSecステータス、BGPステータス(トンネルがBGP動的ルーティングを使用する場合)およびOracle VPN IPアドレス(VPNヘッドエンド)を含む、各トンネルの詳細が表示されます。
  3. プライマリ(またはセカンダリ) IPSecトンネルの名前を選択します。
  4. トンネルを一時的に無効にするには:
    1. 表示された「トンネル情報」タブの「共有シークレット」フィールドの横にある「編集」を選択します。
    2. 共有シークレット・フィールドのテキストを切り取り、いくつかのランダムな文字または数字で置き換えます。これにより、BGPセッションが停止し、トラフィックが他のトンネルにフェイルオーバーする可能性があります。このフィールドは空にできません。
      共有シークレット・フィールドに元の文字列をテキスト・ファイルに貼り付けます。冗長性が期待どおりに機能していることを確認した後、BGPセッションを再確立するには、これが必要です。
    3. 「Save changes」を選択します。
    4. 接続のセカンダリIPSecトンネルでトラフィックがまだ流れていることを確認します。
  5. 一時的に無効にされたトンネルをリストアするには:
    1. 表示された「トンネル情報」タブの「共有シークレット」フィールドの横にある「編集」を選択します。
    2. 共有シークレット・フィールドの元のテキストに貼り付けます。
    3. 「Save changes」を選択します。
    4. BGPセッションが再確立されるまで待機します。

サイト間VPN用のAPIの使用

これらは、サイト間VPNコンポーネントを管理するためのネットワーキング・サービスAPIの操作です。

APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。

VCNとサブネットを管理するには、次の操作を使用します:

DRGを管理するには、次の操作を使用します:

VCNのルーティングを管理するには、次の操作を使用します:

VCNのセキュリティ・リストを管理するには、次の操作を使用します:

CPEを管理するには、次の操作を使用します:

IPSec接続を管理するには、次の操作を使用します:

この記事は役に立ちましたか。