1. Oracle Cloud Infrastructure Compute Classicの使用
  2. Oracle Cloud InfrastructureへのVPN接続を設定
機械翻訳について

17 Oracle Cloud InfrastructureへのVPN接続を設定

IPSec VPNを使用して、Compute Classic環境とOracle Cloud Infrastructureの間の接続を設定します。

トピック

IPネットワークとOracle Cloud Infrastructureの間のVPNaaS接続を設定

Oracle Cloud at CustomerではなくこのトピックはOracle Cloud at Customerには適用されません。

VPN as a Service (VPNaaS)を使用して、Compute Classic内のIPネットワークと、Oracle Cloud Infrastructure内の仮想クラウド・ネットワーク内のサブネット(VCN)の間の、セキュアでプライベートな接続を設定します。

Compute ClassicとOracle Cloud Infrastructure間のVPN接続の設定について

VPN as a Service (VPNaaS)を使用して、Compute Classicサイト内のIPネットワークと、Oracle Cloud Infrastructureサイト内のVCN内の単一サブネットとの間のVPN接続を設定します。 これにより、Compute ClassicサイトとOracle Cloud Infrastructureサイト間のセキュアな通信チャネルが提供されます。

Oracle Cloud InfrastructureへのVPNaaS接続の設定のワークフロー

  1. Compute ClassicサイトでIPネットワークを作成するか、または既存のIPネットワークを使用します。 「IPネットワークの作成」を参照してください。 この情報は、VPNaaS接続の作成時に指定する必要があるため、IPネットワークの名前を書き留めておいてください。

  2. vNICsetを作成します。 インスタンスを作成する場合は、VPN接続経由で到達可能なIPネットワークに追加される各vNICに対して、このvNICsetを指定します。 vNICsetの作成を参照してください。 この情報は、VPNaaS接続の作成時に指定する必要があるため、vNICsetの名前に注意してください。

  3. Compute ClassicサイトのVPNaaSを使用してVPN接続を作成します。 「Compute ClassicでのVPN接続の作成」を参照してください。

  4. Oracle Cloud Infrastructureで必要なネットワーク・コンポーネントを作成してIPSec VPNを設定します。 「Oracle Cloud Infrastructureドキュメント」「IPSec VPNの設定」を参照してください。

  5. Compute Classicサイトで作成したVPN接続を、Oracle Cloud Infrastructureで作成したIPSec VPNトンネルの事前共有キーとIPアドレスで更新します。 「Compute ClassicでVPNaaS接続を更新する」を参照してください。

  6. Compute ClassicサイトおよびOracle Cloud Infrastructureでのホスト間の接続を検証します。

    接続をテストしてから使用を開始します。 IPネットワーク・セキュリティ・ルールおよびVCNでのセキュリティ・リストの設定方法によっては、VCNでインスタンスを起動して、IPネットワークのインスタンスからそのインスタンスにアクセスできる必要があります。 または、VCNインスタンスからIPネットワークのインスタンスに接続できる必要があります。 接続が使用可能な場合は、使用できます。

これにより、Compute Classicサイトの「単一」 IPネットワークとOracle Cloud InfrastructureサイトのVCNの「単一」サブネット間のVPN接続が設定されます。 Oracle Cloud Infrastructure VCN内の別のIPネットワークと別のサブネットとの間にVPN接続を確立する場合は、別のVPNaaS接続を作成する必要があります。

Compute ClassicでのVPN接続の作成

Compute ClassicサイトのVPNaaSを使用してVPN接続を作成します。

  1. Compute Classicコンソールにサインインします。 ドメインが複数のサイトにまたがっている場合は、適切なサイトを選択します。 サイトを変更するには、ページの上部近くにある「Site」メニューをクリックします。
  2. 「Network」タブをクリックします。
  3. 「ネットワーク」ドロップダウン・リストで、VPNを展開し、VPNaaSを展開して、「VPN接続」を次にクリックします。
  4. 「Create VPN Connection」をクリックします。
  5. 必須情報を選択または入力します。
    • 名: VPN接続の名前を入力します。
    • IPネットワーク: このVPN接続を介してアクセスするIPネットワークを選択します。 これは、VPN接続がプロビジョニングされたときにOracle Cloud InfrastructureからアクセスできるIPネットワークです。
    • 接続されたIPネットワーク:このフィールドに表示される情報は、このプロシージャには適用されません。 VPN接続を介してOracle Cloud InfrastructureからCompute Classicサイトの1つのIPネットワークにのみアクセスできます。
    • vNICsets: このVPN接続を介してアクセスするvNICを含むvNICsetを選択します。 このVPN接続経由で到達できるようにするには、vNICは指定されたvNICsetsのいずれかに属し、接続されたIPネットワークの一部である必要があります。
    • 顧客ゲートウェイ:このフィールドには、一時的なIPアドレスを入力します。 この値は、Oracle Cloud Infrastructureで作成したIPSec VPNトンネルのIPアドレスに置き換えます。
    • 顧客が到達可能なルート:このVPN接続を使用して到達可能である必要がある単一のOracle Cloud Infrastructure VCNサブネットを(CIDR形式で)入力します。 この情報は、Oracle Cloud Infrastructure VCNの詳細ページから取得できます。 VCNサブネットをまだ作成していない場合は、一時的な値を入力し、Oracle Cloud Infrastructure VCNにサブネットを作成した後でこの値を置換します。
    • 事前共有キー:一時PSKを入力します。 この値は、あとでOracle Cloud Infrastructureで作成するIPSec VPNトンネルのPSKで置き換えます。
    • フェーズ1 IKE提案を指定する: 必要に応じて、Phase 1 IKE v1オプションを指定するには、このオプションを選択します。 次の値を指定できます:

      • IKE暗号化: AES256を選択します。

      • IKEハッシュ: SHA2 256を選択します。

      • IKE DHグループ: 5を選択します。

      • IKEライフ・タイム: 28800を指定します。

    • フェーズ2 ESP提案を指定します:必要に応じて、Phase 2 Encapsulating Security Payload (ESP)オプションを指定する場合は、このオプションを選択します。 次の値を指定できます:

      • ESP暗号化: ESP暗号化アルゴリズムとしてAES256を選択します。

      • ESPハッシュ: ESPハッシュ・アルゴリズムとしてSHA1を選択します。

      • IPSEC存続期間: 1800を指定します。

    • 完璧なフォワード秘密を要求する: このオプションはデフォルトで選択されています。 PFSを必要とするようにこの設定を保持します。
  6. 「作成」をクリックします。
    VPN接続は、「VPN接続」ページにリストされています。 「VPN接続」ページで「ライフ・サイクル・ステータス」の値を参照すると、VPN接続のプロビジョニング・ステータスを監視できます。 VPN接続が構成されている間は、「ライフ・サイクル・ステータス」「プロビジョニング」です。 VPN接続が完全にプロビジョニングおよび構成されている場合は、「ライフ・サイクル・ステータス」「準備完了」に変更されます。 クラウドVPNゲートウェイが作成されると、ゲートウェイのパブリックIPアドレスが表示されます。
  7. 後で行う必要があるため、ゲートウェイのパブリックIPアドレスをノートします。

VPNゲートウェイのパブリックIPアドレスを書き留めた後、Oracle Cloud Infrastructureに必要なネットワーク・コンポーネントを作成します。 「Oracle Cloud Infrastructureドキュメント」「IPSec VPNの設定」を参照してください。

Oracle Cloud Infrastructureで必要なネットワーク・コンポーネントを作成する際には、次の点に注意してください:

  • 動的ルーティング・ゲートウェイ(DRG)を作成し、DRGをVCNにアタッチした後、DRGのルート表およびルート・ルールを作成します。 ルートには、Compute ClassicサイトのIPネットワークへのルートを含める必要があります。 これは、DRGを指すCompute Classicサイト内のIPネットワークです。

  • 顧客対応機材(CPE)オブジェクトの作成時に、「IPアドレス」フィールドに、Compute Classicサイトで作成したVPNゲートウェイのパブリックIPアドレスを指定します。

  • IPSec接続をDRGからCPEオブジェクトに作成する際に、「静的ルートCIDR」フィールドで、Compute ClassicサイトでIPネットワークのCIDRブロックを指定します。 CIDRブロックは、1つのIPネットワークのみで指定できます。

VPNaaS接続を更新するCompute Classic

Oracle Cloud Infrastructureでネットワーク・コンポーネントを設定したあと、IPSec VPNトンネルの公開IPアドレスと事前共有キーを書き留めます。 Oracle Cloud Infrastructure環境から取得した正しいIPアドレスおよび事前共有キーを提供するために、Compute Classicサイト内のVPNaaS接続を更新します。

プロシージャ

  1. Compute Classicコンソールにサインインします。 ドメインが複数のサイトにまたがっている場合は、適切なサイトを選択します。 サイトを変更するには、ページの上部近くにある「Site」メニューをクリックします。
  2. 「Network」タブをクリックします。
  3. 「ネットワーク」ドロップダウン・リストで、VPNを展開し、VPNaaSを展開して、「VPN接続」を次にクリックします。
  4. を使用して、更新するVPN接続に移動します。 メニュー・アイコンメニューから「Update」を選択します。
  5. 必要に応じて情報を更新します。
    • 顧客ゲートウェイ:接続先のOracle Cloud InfrastructureサイトにIPSec VPNトンネルのパブリックIPアドレスを入力します。
    • 顧客が到達可能なルート:このVPN接続を使用して到達可能であることが必要な、Oracle Cloud Infrastructureの単一VCNサブネットを入力します。 この情報は、Oracle Cloud Infrastructure VCNの詳細ページから取得できます。
    • 事前共有キー: Oracle Cloud InfrastructureサイトでIPSec VPNトンネルを設定するときに使用された事前共有キー(PSK)を入力します。 事前共有キー(PSK)は、接続をリクエストしているゲートウェイの信頼性を確立するためにVPN接続を設定する際に使用されます。 PSKには、英数字のみを使用する必要があります。
  6. 「更新」をクリックします。
    更新操作が進行中の場合は、VPN接続の「ライフ・サイクル・ステータス」「更新中」に変わります。 更新が完了した後、VPN接続が完全にプロビジョニングおよび構成されると、「ライフ・サイクル・ステータス」「準備完了」に変更されます。

Compute ClassicサイトのVPN接続が更新されてプロビジョニングされると、IPSec VPNトンネルがOracle Cloud Infrastructureで使用可能になります。 この処理には数分かかります。

Compute ClassicサイトおよびOracle Cloud Infrastructureでのホスト間の接続を検証します。 IPネットワーク・セキュリティ・ルールおよびVCNセキュリティ・リストの設定方法に応じて、VCNでインスタンスを起動し、IPネットワークのインスタンスからアクセスできる必要があります。 または、VCNインスタンスからIPネットワークのインスタンスに接続できる必要があります。 接続が使用可能な場合は、使用できます。

共有ネットワークとOracle Cloud Infrastructureの間のVPN接続の設定

Oracle Cloud at CustomerではなくこのトピックはOracle Cloud at Customerには適用されません。

IP秒VPNを使用すると、Compute Classicの共有ネットワークとvirtual cloud network (VCN)の間のセキュアでプライベートな接続をOracle Cloud Infrastructureに設定できます。

共有ネットワークとOracle Cloud Infrastructure間のVPN接続を設定するためのワークフロー

  1. 前提条件を完了します。 「始める前に」を参照してください。

  2. Compute ClassicでCorente Services Gatewayインスタンスを作成します。 「クラウド・ゲートウェイの作成」を参照してください。

  3. Oracle Cloud InfrastructureのVPNデバイスに関する情報を追加します。 「サードパーティVPNデバイスの登録」を参照してください。

  4. Corente Services GatewayとOracle Cloud Infrastructure DRG間の接続を作成します。 「Oracle Cloud Infrastructure VPNとのクラウド・ゲートウェイの接続」を参照してください。

  5. アクセスする各インスタンスで、GREトンネルをゲートウェイに構成します。 サードパーティGatewayオンプレミスから共有ネットワークへのVPNのセットアップOracle Cloudでのゲスト・インスタンス上のGREトンネルの構成を参照してください。

  6. VPN接続のタイムアウトを更新してください。 「タイムアウトの更新」を参照してください。

  7. 「稼働中」へのVPN接続のステータス変更後に接続をテストします。 IPネットワーク・セキュリティ・ルールおよびVCNセキュリティ・リストの設定方法に応じて、VCNでインスタンスを起動し、IPネットワークのインスタンスからアクセスできる必要があります。 または、VCNインスタンスからIPネットワークのインスタンスに接続できる必要があります。 接続が使用可能な場合は、使用できます。

始める前に

Oracle Cloud InfrastructureへのIPSec VPN接続を作成する前に、次のタスクを完了してください。

  • 共有ネットワークにIP予約を作成します。 IPアドレスを予約する場合、このIPアドレスがどのインスタンスにもアタッチされていないことを確認してください。 「パブリックIPアドレスの予約」を参照してください。

    VPNゲートウェイの作成時にこの情報を提供する必要があるため、予約したパブリックIPアドレスの値を書き留めておいてください。

  • Oracle Cloud Infrastructureでネットワーク・コンポーネントを作成します。 「Oracle Cloud Infrastructureドキュメント」「IPSec VPNの設定」を参照してください。

    Oracle Cloud Infrastructureで必要なネットワーク・コンポーネントを作成する際には、次の点に注意してください:

    • 動的ルーティング・ゲートウェイ(DRG)を作成し、DRGをVCNにアタッチした後、DRGのルート表およびルート・ルールを作成します。 ルートには、Compute Classicサイトの共有ネットワークへのルートを含める必要があります。
    • 顧客対応機材(CPE)オブジェクトの作成時に、「IPアドレス」フィールドに、Compute Classicサイトで作成したVPNゲートウェイのパブリックIPアドレスを指定します。 Compute Classicサイトでクラウド・ゲートウェイを作成する際に、VPNゲートウェイにパブリックIPアドレスを割り当てるためのIP予約を指定します。 このIPアドレスを指定します。
    • DRGからCPEオブジェクトへのIPSec接続の作成時に、「静的ルートCIDR」フィールドに172.16.1.0/24と入力します。 これは、Compute Classic環境のCorente Services GatewayインスタンスへのGREトンネルのローカル・アドレスを含むサブネットです。

  • このタスクを実行するには、Compute_Operationsのロールが必要です。 このロールが自分に割り当てられていない場合または不確実な場合は、システム管理者にOracle Cloud 「Infrastructure Classicコンソール」でそのロールが割り当てられていることを確認するように依頼してください。 「Oracle Cloudの管理とモニタリング」「ユーザー・ロールの変更」を参照してください。

クラウド・ゲートウェイの作成

Compute ClassicインスタンスへのVPN接続を確立する場合は、まずCorente Services Gatewayインスタンスを作成します。

  1. Compute Classicコンソールにサインインします。 ドメインが複数のサイトにまたがっている場合は、適切なサイトを選択します。 サイトを変更するには、ページの上部近くにある「Site」メニューをクリックします。
  2. 「Network」タブをクリックします。
  3. 「ネットワーク」ドロップダウン・リストで、VPNを展開し、Corenteを展開して、VPN Gatewaysを次にクリックします。
  4. 「Create VPN Gateway」をクリックします。
  5. 必須情報を選択または入力します。
    • Name: Corente Services Gatewayインスタンスの名前を入力します。
    • IP予約: このインスタンスで使用するIP予約を選択します。 これはVPNゲートウェイのパブリックIPアドレスです。
    • イメージ: インスタンスの作成に使用するマシン・イメージを選択します。 最新のCorenteゲートウェイ・イメージ(corente_gateway_images-9.4.1062)を選択する必要があります。
    • Interface Type: 「Single-homed」を選択します。
    • サブネット: 172.16.1.0/24と入力します。 これは、クラウド上でGREトンネルCorente Services Gatewayインスタンスのローカル・アドレスを含むサブネットです。
  6. 「作成」をクリックします。

Corente Services Gatewayインスタンスが作成されます。 必要なオーケストレーションが作成され、自動的に開始されます。 たとえば、Corente Gatewayインスタンスの名前をCSG1と指定した場合は、次のオーケストレーションが作成されます。

  • vpn-CSG1-launchplan: このオーケストレーションは、指定したイメージを使用してインスタンスを作成し、それを共有ネットワークに関連付けます。

  • vpn-CSG1-bootvol: このオーケストレーションは、ブート可能な永続ストレージ・ボリュームを作成します。

  • vpn-CSG1-secrules: このオーケストレーションは、必要なセキュリティ・リスト、セキュリティ・アプリケーションおよびセキュリティ・ルールを作成します。

  • vpn-CSG1-master: このオーケストレーションは、ネストされた各オーケストレーション間の関係を指定し、各オーケストレーションを適切な順序で開始します。

Corente Services Gatewayインスタンスの作成中、「VPN Gateways」ページの「Instance」列に表示されるインスタンスのステータスは、「Starting」です。 インスタンスが作成されると、ステータスは「Ready」に変わります。

注意:

「Instances」ページで、ゲートウェイ・インスタンスをリストして詳細を表示できます。または、「Orchestrations」ページで、対応するオーケストレーションを表示できます。 ただし、ゲートウェイ・インスタンスの管理には、常に「VPN Gateways」ページを使用することをお薦めします。

サードパーティVPNデバイスの登録

Compute ClassicインスタンスへのVPN接続を確立するには、Corente Services Gatewayインスタンスの作成後に、VPNデバイスを登録して、Oracle Cloud Infrastructure内の動的ルーティング・ゲートウェイ(DRG)に関する情報を提供します。

  1. Compute Classicコンソールにサインインします。 ドメインが複数のサイトにまたがっている場合は、適切なサイトを選択します。 サイトを変更するには、ページの上部近くにある「Site」メニューをクリックします。
  2. 「Network」タブをクリックします。
  3. 「ネットワーク」ドロップダウン・リストで、VPNを展開し、Corenteを展開して、「顧客デバイス」を次にクリックします。
  4. 「VPNデバイスの追加」をクリックします。
  5. 必須情報を選択または入力します。
    • 名: Oracle Cloud Infrastructureで使用されるVPNデバイスの名前を入力します。
    • タイプ: otherを選択します。
    • WAN IPアドレス: Oracle Cloud Infrastructure DRGのWANインタフェースのIPアドレスを入力します。
    • 表示されるIPアドレス: Oracle Cloud Infrastructure DRGのWANインタフェースのIPアドレスを入力します。
    • サブネット:このVPN接続を使用してアクセス可能にする必要があるOracle Cloud Infrastructure VCNを(CIDR形式で)入力します。 この情報は、Oracle Cloud Infrastructure VCNの詳細ページから取得できます。 VCN CIDRを指定した場合、VCN内のすべてのサブネットは共有ネットワークと通信できます。
    • PFS: このオプションはデフォルトで選択されています。 PFSを必要とするようにこの設定を保持します。
    • DPD: このオプションはデフォルトで選択されています。 サードパーティ・デバイスでDead Peer Detection (DPD)がサポートされている場合、DPDを必須にするには、この設定を保持してください。
  6. 「作成」をクリックします。
    Oracle Cloud Infrastructure内のDRGのレコードが作成されます。
次に、このVPNデバイスを使用してOracle Cloud InfrastructureインスタンスとCompute Classicインスタンス間のVPN接続を確立するには、VPN接続を作成します。

Oracle Cloud Infrastructure VPNとのクラウド・ゲートウェイの接続

Corente Services Gatewayインスタンスを作成してサードパーティ・デバイスを追加した後、データ・センターとCompute Classicインスタンス間のVPN接続を確立するには、Oracle Cloud Infrastructure VPNとのクラウド・ゲートウェイとの接続が必要になります。

  1. Compute Classicコンソールにサインインします。 ドメインが複数のサイトにまたがっている場合は、適切なサイトを選択します。 サイトを変更するには、ページの上部近くにある「Site」メニューをクリックします。
  2. 「Network」タブをクリックします。
  3. 「ネットワーク」ドロップダウン・リストで、VPNを展開し、Corenteを展開して、「接続」を次にクリックします。
  4. 「Create VPN Connection」をクリックします。
  5. 必須情報を選択または入力します。
    • Gateway: 使用するCorente Services Gatewayを選択します。
    • デバイス:使用するデバイスをOracle Cloud Infrastructureから選択します。
    • IKE ID: Oracle Cloud InfrastructureではInternet Key Exchange (IKE) IDを使用して、Corente Services Gatewayを識別します。 Compute Classicで作成したCorente Services GatewayのパブリックIPアドレスを指定します。
    • Shared Secret: VPN接続を設定する際に、共有シークレット(一部のデバイスでは事前共有キー(PSK)とも呼ばれる)を使用して、VPN接続をリクエストしているCorente Services Gatewayの信頼性を確立します。 同じ共有シークレットをここおよびOracle Cloud Infrastructureに入力する必要があります。 共有シークレットには英数字のみを使用できます。

    VPN接続が作成されます。

VPN設定を完了するには、Corente Services GatewayインスタンスとVPNを使用してアクセスする各Compute Classicインスタンスとの間にGREトンネルを構成する必要があります。 サードパーティGatewayオンプレミスから共有ネットワークへのVPNのセットアップOracle Cloudでのゲスト・インスタンス上のGREトンネルの構成を参照してください。

タイムアウトの更新

App Net Managerは、Compute ClassicでIPSec VPNネットワークのコンポーネントを変更および監視するために使用するセキュアなWebポータルです。

VPN接続のタイムアウトを更新するには:
  1. https://www.oracle.com/technetwork/server-storage/corente/downloads/index.htmlからApp Net Managerをダウンロードします。
  2. Compute Classicにサブスクライブしたときに電子メールで受信したCorente資格証明を使用して、App Net Managerにログインします。
  3. App Net Managerの「Domains」ペインで、「Locations」をクリックして展開し、すべてのゲートウェイを表示します。
  4. Oracle Cloud Infrastructure Classicゲートウェイ・インスタンスを右クリックして、「編集」を選択します。
  5. 「Edit」ダイアログ・ボックスで、「Partners」タブを選択して、「Add」ボタンをクリックします。
  6. 3rd-統計デバイスを選択してから、以前のタスクで構成したOracle Cloud Infrastructure VPNデバイス名を選択します。
  7. 「タイムアウト」の下で、28800秒を「IKE寿命」として入力します。
  8. 「タイムアウト」の下で、1800秒を「IPSECライフ・タイム」として入力します。
  9. 「OK」をクリックしてダイアログ・ボックスを閉じます。
  10. 「App Net Manager」画面上部にある「Save」をクリックします。
Compute ClassicでのVPN接続のステータスがUPであるか、IPSecトンネル状態がOracle Cloud Infrastructureの「使用可能」に変更されたときに接続をテストします。 IPネットワーク・セキュリティ・ルールおよびVCNセキュリティ・リストの設定方法に応じて、VCNでインスタンスを起動し、IPネットワークのインスタンスからアクセスできる必要があります。 または、VCNインスタンスからIPネットワークのインスタンスに接続できる必要があります。 接続が使用可能な場合は、使用できます。