Oracle Cloud Infrastructureドキュメント

Site-to-Site VPNウィザード

サイト間VPNウィザードは、オンプレミス・ネットワークと仮想クラウド・ネットワーク(VCN)との間にサイト間でVPNを最も速く設定する方法です.このウィザードは、コンソールで手順を追いてVPNおよび関連ネットワーキング・サービス・コンポーネントを設定するために、ガイド付きプロセスです。

セキュアなVPNソリューションとしては他に、Oracle Marketplaceでアクセス可能なクライアントVPNソリューションであるOpenVPNがあります。OpenVPNは、個々のデバイスをVCNに接続するものではなく、サイトまたはネットワーク全体に接続します。

ウィザードの目的

サイト間VPNでは、いくつかのネットワーキング・サービス・コンポーネントを設定および構成する必要があります。ウィザードにより、これらのコンポーネントが設定されます。一般に、ウィザードでは次のことが行われます:

  • 開始時に役立つの前提付きのテンプレートが使用されます。
  • 基本的なネットワーク情報について質問されます。
  • ネットワーキング・サービス・コンポーネントが設定されます。
  • 顧客構内の機器(CPE)デバイスの構成時にネットワーク・エンジニアが使用する構成コンテンツを生成することができます。

次の図に示すように、サイト間VPNの設定プロセス全体におけるタスクの1つです。ウィザードは影付きのボックスです。

この図は、サイト間VPNの設定プロセス全体のフロー図を示しています。

プロセス全体には、オンプレミスのネットワーク・エンジニアによる作業が含まれていることに注意してください。ウィザードの実行中に入力する必要のある情報は、そのエンジニアから入手します。ウィザードによって、CPEデバイスの構成時にネットワーク・エンジニアが必要とする情報が戻されます。CPE構成ヘルパーを使用して、ネットワーク・エンジニアに必要な情報を提供できます。

次の短い各項で、それぞれのタスクの概要を示します。

タスク1: ネットワーク・エンジニアから入手する情報
  • CPEデバイスのパブリックIPアドレス。(アドレスはIPv4である必要がありますが、IPv6トラフィックがサポートされます)
  • CPEベンダー、モデルおよびバージョン
  • CPE IKE識別子。詳細は、サイト間VPNコンポーネントの概要を参照してください。
  • オンプレミス・ネットワークのルート。
  • VPNでBGP動的ルーティングを使用する場合:
    • オンプレミス・ネットワークのBGP ASN
    • 作成される2つのIPSecトンネルそれぞれに対して、各トンネルの端のトンネル内インタフェースに使用するBGP IPアドレスのペア(サブネット・マスクを使用します)。例:
      • トンネル1: トンネル内インタフェース - CPE: 10.0.0.16/31
      • トンネル1: トンネル内インタフェース - Oracle: 10.0.0.17/31
      • トンネル2: トンネル内インタフェース - CPE: 10.0.0.8/31
      • トンネル2: トンネル内インタフェース - Oracle: 10.0.0.9/31
タスク2: ウィザード

コンソールでウィザードを進めます。詳細は、次の各項を参照してください:

タスク3: ネットワーク・エンジニアに提供する情報

CPE構成ヘルパーを使用して、ネットワーク・エンジニアがCPPの構成に使用できる構成コンテンツを生成します。

コンテンツには次の項目が含まれます:

  • 各IPSecトンネルのOracle VPN IPアドレスおよび共有シークレット。
  • サポートされているIPSecパラメータ値。
  • VCNに関する情報。
  • CPE固有の構成情報。
タスク4: CPE構成

ネットワーク・エンジニアが入力した情報を取得して、CPEデバイスを構成します。

タスク5: テスト

ユーザーとネットワーク・エンジニアが接続をテストし、トラフィックが流れることを確認します。

ウィザードの代替方法

必要に応じて、サイト間VPNを手動で設定できます。段階的な手順については、サイト間VPNの設定を参照してください。

ウィザードで作成されるもの

Site-to-Site VPNを設定するOracleのお客様の大部分は、オンプレミス・ネットワークに接続するVCNをすでにお持ちです。その場合、ウィザードでは、次の図に示す番号付きのコンポーネントが作成されます。この表は、各コンポーネントについて説明しています。

この図は、自動的に作成されたネットワーキング・サービス・コンポーネントを示しています。
番号 コンポーネント 説明 既存のものを使用できるか、それとも新しく作成するか。
1 CPE CPEは、実際のCPEデバイスの仮想表現です。この仮想表現には、CPEデバイスのパブリックIPアドレスなどの基本情報が含まれています。 はい。既存のCPEを使用することも、ウィザードで新しいCPEを作成することもできます。
2 IPSecトンネル

ウィザードによって、2つのIPSecトンネルが作成されます。それぞれに含まれる特定の構成情報をネットワーク・エンジニアに提供する必要があります。

ノート:ウィザードでは、トンネルにIKEv1またはIKEv2が使用されます。IKEv2の詳細は、IKEv2の使用を参照してください。

 いいえ。ウィザードによって自動的にトンネルが作成されます。
3 動的ルーティング・ゲートウェイ(DRG) DRGは、サイト間でVPNのOracle側にある実際のルーターの仮想表現です。 はい。
4 インターネット・ゲートウェイ

選択するVCNにインターネット・ゲートウェイが存在しない場合は、ウィザードで作成し、インターネットへの直接接続を有効にできます。

はい。既存のインターネット・Gatewayを使用するか、ウィザードで新しいインターネット・Gatewayを作成することができます。
5 サブネット・ルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 DRG
ノート

新しいリソースを作成するには、そのリソースのサービス制限に達していない必要があります。リソース・タイプのサービス制限に達したら、そのタイプの未使用のリソースを削除するか、サービス制限引上げをリクエストできます。

さらに、ウィザード中に、オンプレミス・ネットワークへのアクセスを使用して構成するVCN内のサブネットを指定します。ウィザードは、各サブネットのルート表とセキュリティ・ルールを次のように更新します:

  • ルート・ルール:ウィザードは、VCNトラフィックをDRG経由でオンプレミス・ネットワークをルーティングする1つ以上のルールを追加します。ウィザードでは、オンプレミス・ネットワーク・ルートごとに1つのルールを指定する必要があります。VCNにインターネット・ゲートウェイがあり(または作成することを選択し)パブリック・サブネットが選択されている場合、ウィザードでは、、(オンプレミス・ネットワークが宛先としない)残りのトラフィックがインターネット・ゲートウェイに送信するルールも追加されます。
  • セキュリティ・リスト・ルール:ウィザードは、オンプレミス・ネットワークからのすべてのタイプのトラフィックを許可する1つ以上のルールも追加されます。ウィザードでは、オンプレミス・ネットワーク・ルートごとに1つのルールを指定する必要があります。VCNにインターネット・ゲートウェイがあり(または作成することを選択し)パブリック・サブネットが選択されている場合、ウィザードでは、インターネットからのポート22を介したSSHを許可するルールも追加されます。

必要に応じて、ルールを編集したり、さらに追加できます。

ウィザードの完了後、CPE構成ヘルパーを使用して、オンプレミス・ネットワーク・エンジニアがCPPの構成に使用できる構成コンテンツを生成できます。

コンソールでウィザードにアクセスする場所

「ネットワーキングの概要」ページからこのウィザードにアクセスするには:

  1. ナビゲーション・メニューを開き、「ネットワーキング」「概要」の順に選択します。
  2. 「VCNへのインターネットに接続およびサイト間VPNの追加」セクションで、「VCNウィザードの起動」を選択します。

「仮想クラウド・ネットワーク」リスト・ページからこのウィザードにアクセスするには:

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順に選択します。
  2. 「仮想クラウド・ネットワーク」リスト・ページで、表示されるオプションに応じて、次のいずれかのアクションを実行します:
    • 「アクション」ボタンを選択し、「VCNウィザードの起動」を選択します。
    • 「VCNウィザードの起動」を選択します。
  3. 「VCNへのサイト間VPNおよびインターネット接続の追加」を選択し、「VCNウィザードの起動」を選択します。

サイト間VPNリスト・ページからこのウィザードにアクセスするには:

  1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「サイト間VPN」を選択します。
  2. 「VPNウィザードの起動」を選択します。