Oracle Cloud Infrastructureドキュメント

「VPN接続」の設定

このトピックでは、VCNに「VPN接続」を設定する手順について説明します。 IPSec VPNsの一般情報については、「VPN接続の概要」を参照してください。

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

構成前に

準備するには、まずこれらのことを行います:

  • このセクションを読む: Oracle IPSec VPNのルーティング
  • これらの質問に答えなさい:

  • ネットワーク・レイアウトのダイアグラムを描画します(例は、「例: 概念の証明を設定するIPSec VPN」の最初のタスクを参照してください)。 オンプレミス・ネットワークのどの部分がVCNと通信する必要があるか、その逆を考えてください。 VCNに必要なroutingおよび「セキュリティ・ルール」をマップ・アウトします。

ヒント

静的ルーティングを使用する既存のOracle IPSec VPNがある場合は、「BGP動的ルーティングをかわりに使用するようにトンネルを変更」が可能です。

全体的なプロセス

ここでは、IPSec VPNを設定するための全体的なプロセスを示します:

  1. 始める前ににリストされているタスクを完了します。
  2. 「IPSec VPNコンポーネントを設定」(「例: 概念の証明を設定するIPSec VPN」の手順」) :
    1. VCNを作成します。
    2. DRGを作成します。
    3. DRGをVCNにアタッチします。
    4. DRGのルート表とルート・ルールを作成します。
    5. セキュリティ・リストと必要なルールを作成します。
    6. VCNにサブネットを作成します。
    7. CPEオブジェクトを作成し、CPEデバイスのパブリックIPアドレスを指定します。
    8. CPEオブジェクトへのIPSec接続を作成し、必要なルーティング情報を提供します。
  3. ネットワーク・エンジニアにCPEデバイスを構成してもらいます: ネットワーク・エンジニアは、前のステップでOracleが提供する情報を使用して、CPEデバイスを構成する必要があります。 VCNに関する一般的な情報、および各IPSecトンネルに関する特定の情報があります。 これは、コンソールまたはAPIを使用して実行できない設定の唯一の部分です。 この構成を使用しないと、VCNとオンプレミス・ネットワーク間でトラフィックは流れません。 詳細は、「CPE構成」を参照してください。
  4. 接続を検証します。

例: 概念の証明を設定するIPSec VPN

ヒント

Oracleには、「VPN接続」を簡単に設定できるようにクイックスタート・ワークフローが用意されています。
詳細は、「VPN接続クイックスタート」を参照してください。

この例のシナリオでは、概念証明(POC)のために使用できる単純なレイアウトで単一のIPSec VPNを設定する方法を示しています。 「全体的なプロセス」のタスク1と2に続き、作成されているレイアウトの各コンポーネントが示されています。 各タスクには、コンソールから対応する画面ショットがあり、必要な情報を把握するのに役立ちます。 より複雑なレイアウトについては、「複数の地理的領域を含むレイアウトの例」または「PATによるレイアウトの例」を参照してください。

タスク1: 情報を収集
タスク2a: VCNの作成
タスク2b: DRGの作成
タスク2c: DRGをVCNにアタッチ
タスク2d: DRGのルート表およびルート・ルールの作成
タスク2e: セキュリティ・リストを作成
タスク2f: サブネットを作成
タスク2g: CPEオブジェクトを作成し、CPEデバイスのパブリックIPアドレスを指定
タスク2h: CPEオブジェクトへのIPSec接続を作成
タスク3: ネットワーク・エンジニアにCPEを構成させてください
タスク4: 接続の検証

複数の地理的領域を含むレイアウトの例

次の図は、この構成の例を示しています:

  • VCNにそれぞれ接続する別々の地理的領域にある2つのネットワーク
  • 各領域で1つのCPEデバイス
  • 2つのIPSec VPN (CPEデバイスごとに1つ)

各IPSec VPNには、関連付けられた2つのルートがあることに注意してください: 地理的な特定の領域サブネット用とデフォルトの0.0.0.0/0ルート用の1つ。 Oracleは、BGP (トンネルがBGPを使用する場合)またはIPSec接続の静的ルートとして設定されている(トンネルが静的ルーティングを使用する場合)によって、各トンネルの使用可能なルートについて学習します。

このイメージは、2つの地理的領域と2つのルーター

次に、0.0.0.0/0ルートで柔軟性が提供されるいくつかの例を示します:

  • CPE 1デバイスが停止したとします(次の図を参照)。 サブネット1とサブネット2が相互に通信できる場合、CPE 2に移動する0.0.0.0/0ルートのため、VCNはサブネット1のシステムに到達する可能性があります。

    このイメージは、CPEルーターの1つがダウンするレイアウトを示しています

  • 組織がSubnet 3で新しい地理的領域を追加し、最初はそれをSubnet 2に接続すると仮定します(次の図を参照)。 サブネット3のVCNルート表にルート・ルールを追加した場合、CPE 2への0.0.0.0/0ルートのため、VCNはサブネット3のシステムにアクセスできます。

    このイメージは、新しいサブネットを持つレイアウトを示しています

PATによるレイアウトの例

次の図は、この構成の例を示しています:

  • VCNにそれぞれ接続する別々の地理的領域にある2つのネットワーク
  • 冗長CPEデバイス(地理的領域ごとに2つ)
  • 4つのIPSec VPN (CPEデバイスごとに1つ)
  • 各CPEデバイスのポート・アドレス変換(PAT)

4つのIPSec接続ごとに、Oracleが認識する必要があるルートは、特定のCPEデバイスのPAT IPアドレスです。 Oracleは、BGP (トンネルがBGPを使用する場合)、または関連するアドレスをIPSec接続の静的ルートとして設定している(トンネルが静的ルーティングを使用する場合)場合に、各トンネルのPAT IPアドレス・ルートについて学習します。

VCNのルート・ルールを設定するときは、ルール・ターゲットとしてDRGを使用して、各PAT IPアドレス(またはすべてをカバーする集合CIDR)のルールを指定します。

このイメージは、複数のIPSec VPN、ルーター、およびPATがあるシナリオを示しています

次のステップ

関連するトピックおよび手順は、次のとおりです: