Oracle Cloud Infrastructureドキュメント

「VPN接続」の使用

このトピックでは、「VPN接続」の操作および関連コンポーネントについて説明します。 次のトピックも参照してください:

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

トンネルのステータスと構成の表示

IPSec接続を正常に作成すると、結果として生じる各IPSecトンネルの重要な構成情報が生成されます。 たとえば、全設定プロセスの「タスク2h」を参照してください。 その情報とトンネルのステータスはいつでも表示できます。 BGP動的ルーティングを使用するようにトンネルが構成されている場合、これにはBGPステータスが含まれます。

IPSecトンネルのステータスと構成情報を表示するには

静的ルートの変更

既存のIPSec接続の静的ルートを変更できます。 最大10個の静的ルートを指定できます。

IPSec接続では、静的ルーティングまたはBGP動的ルーティングのいずれかを使用できることに注意してください。 静的ルートは、個々のトンネルではなく、IPSec接続全体と関連付けます。 IPSec接続に静的なルートが関連付けられている場合、トンネル自体が静的ルーティングを使用するように構成されていれば、Oracleはトンネルのトラフィックのみのルーティングにこれらを使用します。 BGP動的ルーティングを使用するように構成された場合、IPSec接続静的ルートは無視されます。

重要

静的なルートの変更に再プロビジョニングされている間、IPSec接続は停止します。

静的ルートを編集するには

Oracleで使用されるCPE IKE識別子の変更

CPEがNATデバイスの背後にある場合には、OracleにCPE IKE識別子を付与することが必要になる場合があります。 IPSec接続の作成時に指定することも、後でIPSec接続を編集して値を変更することもできます。 Oracleでは、値はIPアドレスまたは完全修飾ドメイン名(FQDN)であると想定されています。 値を指定する際は、値のタイプも指定します。

重要

CPE IKE識別子を使用するように再プロビジョニングしている間、IPSec接続がダウンします。

Oracleで使用されるCPE IKE識別子を変更するには、次のようにします。

IPSecトンネルで使用される共有シークレットの変更

IPSec VPNの設定時、デフォルトではOracleによって各トンネル共有シークレット(事前共有キーとも呼ばれます)が提供されます。 かわりに使用する特定の共有シークレットを持つこともできます。 各トンネル共有シークレットは、IPSec接続を作成するときに指定することも、トンネルを編集してから新しい共有シークレットをそれぞれ指定することもできます。 共有シークレットの場合、数字、文字およびスペースのみを使用できます。 Oracleでは、トンネルごとに異なる共有シークレットを使用することをお薦めします。

重要

トンネル共有シークレットを変更すると、IPSecの全体的な接続とトンネルの両方がプロビジョニング状態になり、トンネルが新しい共有シークレットと再プロビジョニングされます。
IPSecの接続におけるもう1つのトンネルは、使用可能状態のままです。 ただし、最初のトンネルを再プロビジョニングしている間に、2番目のトンネル構成を変更することはできません。

IPSecトンネルが使用する共有シークレットを変更するには

静的ルーティングからBGP動的ルーティングへの変更

BGP動的ルーティングを使用するために、既存のIPSec VPNを静的ルーティングを使用して変更する場合は、この項のプロセスに従います。

警告

トンネル経路タイプを変更しても、再プロビジョニング時にトンネルIPSecのステータスは変わりません。
ただし、トンネルによるルーティングは影響を受けます。 トラフィックは、ネットワーク・エンジニアがルーティング・タイプの変更に従ってCPEデバイスを構成するまで一時的に中断されます。 既存のIPSec VPNが現在単一トンネルのみを使用するように構成されている場合、このプロセスによってOracleとの接続が中断されます。 IPSec VPNで複数のトンネルをかわりに使用する場合、Oracleでは、Oracleへの接続が中断されないように、一度に1つのトンネルを再構成することをお薦めします。

静的ルーティングからBGP動的ルーティングに変更

IPSec VPNのモニタリング

Oracle Cloud Infrastructureリソースのヘルス、容量、およびパフォーマンスをモニターするには、メトリック、アラーム、および通知を使用します。 詳細は、「モニタリング概要」および「通知概要」を参照してください。

接続のモニタリングの詳細は、「VPN接続メトリック」を参照してください。

IPSec VPNの無効化または終了

オンプレミス・ネットワークとVCN間でIPSec VPNを無効にする場合は、IPSec接続を削除するのではなく、単にVCNからDRGを切り離すことができます。 FastConnectでDRGも使用している場合、DRGを取り外すと、FastConnect上のトラフィックの流れが中断されます。

IPSec接続を削除できます。 ただし、後で再確立する場合は、Oracleからトン・ネック構成情報を新たにセットして、CPEデバイスを再構成する必要があります。

IPSec VPN全体を完全に削除する場合は、まずIPSec接続を終了する必要があります。 次に、CPEオブジェクトを削除できます。 オンプレミス・ネットワークへの別の接続にDRGを使用していない場合は、VCNからDRGをデタッチして削除できます。

IPSec接続を削除するには
CPEオブジェクトを削除するには

IPSec接続またはCPEオブジェクトのタグの管理

リソースにタグを適用して、ビジネス・ニーズに合わせてタグを整理するのに役立てることができます。 リソースを作成するときにタグを適用することも、後でそのタグを使用してリソースを更新することもできます。 タグの適用に関する一般的な情報は、「リソース・タグ」を参照してください。

IPSec接続のタグを管理するには
CPEオブジェクトのタグを管理するには

DRGの管理

DRGに関連するタスクについては、「動的ルーティング・ゲートウェイ(DRG)」を参照してください。