Oracle Cloud Infrastructureドキュメント

AWSへのVPN接続

Oracle Cloud Infrastructure (OCI)サイト間VPNサービスは、オンプレミス・ネットワークとVirtual Cloud Network (VCN)間にセキュアなIPSec接続を提供します。サイト間VPNを使用して、Oracle Cloud Infrastructureリソースを他のクラウド・サービス・プロバイダに接続することもできます。

このトピックでは、OCIサイトツーサイトVPNサービスおよびAWSサイトVPNサービスを使用したOCIとAWS間のIPSec VPNトンネルのベスト・プラクティス構成を示します。

ノート

このドキュメントでは、すでにVirtual Cloud Network (VCN)およびDynamic Routing Gateway (DRG)をプロビジョニングしており、このシナリオに必要なすべてのVCNルート表およびセキュリティ・リストとAWSの同等のものも構成済であることを前提としています。

AWSに固有の考慮事項

事前共有キー:トンネルの事前共有キーを自動生成するためにAWSに依存している場合、生成されたキーにはピリオドまたはアンダースコア(.または_)文字が含まれている可能性があります。OCIでは、事前共有キーでこれらの文字はサポートされていません。AWSで自動生成されたパスワードにこれらの文字が含まれている場合は、VPN構成を完了する前に、関連するトンネル用の事前共有キーを変更します。

ルーティング・タイプ:このシナリオでは、Border Gateway Protocol (BGP)を使用して、AWSとOCI間のルート交換を行います。可能な場合は常に、IPSecトンネルにBGPを使用してください。オプションで、AWSとOCI間に静的ルーティングを使用することもできます。

OCIサイト間VPNバージョンの確認

IPSec接続で使用されるサイト間VPNバージョンは、IPSec接続ページの「IPSec接続情報」タブで確認できます。

サポートされているIPSecパラメータ

すべてのOCIリージョンでサポートされているIPSecパラメータのリストは、サポートされているIPSecパラメータを参照してください。

構成プロセス

AWS - 一時カスタマ・ゲートウェイの作成

構成プロセスの最初のステップは、一時カスタマ・ゲートウェイを作成することです。この一時カスタマ・ゲートウェイは、AWSサイト間VPNが初期プロビジョニングされて、トンネルのAWS VPNエンドポイントを公開するために使用されます。OCIでは、IPSec接続を作成する前に、リモートVPNピールのパブリックIPが必要です。このプロセスが完了すると、実際のOCI VPNエンドポイント・パブリックIPを表す新しいカスタマ・ゲートウェイが構成されます。

  1. メインのAWSポータルで、画面の左上にある「Services」メニューを展開します。「ネットワークおよびコンテンツ配信」の下の「VPC」を参照します。
  2. 左側のメニューで、下にスクロールして「Virtual Private Network」 (VPN)の下の「Customer Gateways」を選択します。
  3. 「Create Customer Gateway」を選択して、カスタマ・ゲートウェイを作成します。

  4. 「Create Customer Gateway」ページが表示されます。次の詳細を入力します。

    • Name:このカスタマ・ゲートウェイには一時的の名前を付けます。この例では、TempGatewayという名前が使用されます。
    • Routing: 「Dynamic」を選択します。
    • BGP ASN: OCI BGP ASNを入力します。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。

    • IP Address:一時ゲートウェイに任意の有効なIPv4アドレスを使用します。この例では、1.1.1.1を使用します。

      一時カスタマ・ゲートウェイの構成が終了したら、「カスタマ・ゲートウェイの作成」を選択してプロビジョニングを完了します。

AWS - 仮想プライベート・ゲートウェイの作成およびアタッチ
  1. AWSの左側のメニューで、下にスクロールして「Virtual Private Network」 (VPN)の下の「Virtual Private Gateways」を選択します。

  2. 「仮想プライベート・ゲートウェイの作成」ボタンを選択して、新しい仮想プライベート・ゲートウェイを作成します。

  3. 「仮想プライベート・ゲートウェイの作成」ページが表示されます。次の詳細を入力します。

    • 名前:仮想プライベート・ゲートウェイ(VPG)に名前を付けます。

    • ASN: 「Amazon default ASN」を選択します。

      仮想プライベート・ゲートウェイの構成が終了したら、「仮想プライベート・ゲートウェイの作成」ボタンを選択してプロビジョニングを完了します。

  4. VPGの作成後、選択したVCPCにVTPをアタッチする必要があります。

    「Virtual Private Gateway」ページを表示したまま、VPGが選択されていることを確認して、「Actions」メニュー「処理」メニュー「Attach to VPC」の順に選択します。

  5. 選択した仮想プライベート・ゲートウェイに対する「Attach to VPC」ページが表示されます。

    リストからVPCを選択し、「はい、添付」ボタンを選択して、VPGのVPCへの添付を完了します。

AWS - VPN接続の作成
  1. 左側のメニューで、下にスクロールして「仮想プライベート・ネットワーク(VPN)」の下の「Site-to-Site VPN Connections」を選択します。
  2. 「Create VPN Connection」を選択して、新しい仮想プライベート・ゲートウェイを作成します。
  3. 「Create VPN Connection」ページが表示されます。次の詳細を入力します。
    • 名前タグ: VPN接続に名前を付けます。
    • ターゲット・ゲートウェイ・タイプ: 「仮想プライベート・ゲートウェイ」を選択し、リストから以前に作成した仮想プライベート・ゲートウェイを選択します。
    • Customer Gateway: 「Existing」を選択し、リストから一時カスタマ・ゲートウェイを選択します。
    • ルーティング・オプション: 「動的(BGPが必要)」を選択します。
    • Tunnel Inside Ip Version: 「IPv4」を選択します。

    • Local/Remote IPv4 Network Cidr:これらの両方のフィールドを空白のままにして、any/anyのルートベースのIPSec VPNを作成します。

      次のステップに進みます。「VPN接続の作成」ボタンをまだ選択しないでください

  4. 「VPN接続の作成」ページを表示したまま、「トンネル・オプション」まで下にスクロールします。

    リンク・ローカルの169.254.0.0/16範囲内から/30 CIDRを選択します。「Inside IPv4 CIDR for Tunnel 1」フィールドに完全なCIDRを入力します。

    OCIが、トンネル内IPに対して選択した/30アドレスをサポートしていることを確認します。OCIでは、トンネル内IPに次のIP範囲を使用することはできません:

    • 169.254.10.0-169.254.19.255
    • 169.254.100.0-169.254.109.255
    • 169.254.192.0-169.254.201.255

    次のステップに進みます。「VPN接続の作成」ボタンをまだ選択しないでください

  5. 「Advanced Options for Tunnel 1」で、「Edit Tunnel 1 Options」のラジオ・ボタンをクリックします。追加のオプション・セットが展開されます。

    このトンネルに使用される暗号化アルゴリズムに制限が必要な場合は、必要なフェーズ1およびフェーズ2のオプションをここで構成します。この接続にはIKEv2を使用することをお薦めします。IKEv1が使用されないようにするには、「IKEv1」チェック・ボックスの選択を解除します。OCIでサポートされているフェーズ1およびフェーズ2のオプションを確認するには、サポートされているIPSecパラメータを参照してください。

    すべての必要なオプションの構成が終了したら、下部にある「Create VPN Connection」ボタンを選択してVPN接続のプロビジョニングを終了します。

AWS - 構成のダウンロード

VPN接続のプロビジョニング中に、すべてのトンネル情報の構成をダウンロードします。このテキスト・ファイルは、OCIコンソールでトンネルの構成を完了するために必要です。

  1. VPN接続が選択されていることを確認し、「構成のダウンロード」ボタンを選択します。
  2. 「Vendor」および「Platform」の設定の「Generic」を選択し、「Download」ボタンを選択して、構成のテキスト・コピーをローカル・ハード・ドライブに保存する。
  3. ダウンロードした構成ファイルを任意のテキスト・エディタで開きます。

    IPSec Tunnel #1の下にある#1 Internet Key Exchange Configurationセクションを参照します。ここでは、トンネルの自動生成された事前共有キーを見つけます。この値を保存します。

    AWSでは、ピリオドまたはアンダースコア文字(.または_)を使用して事前共有キーが生成される可能性があります。OCIでは、これらの文字を事前共有キーで使用することはサポートされていません。これらの値を含むキーは変更する必要があります。トンネルのAWSで事前共有キーを変更するには、VPN接続を選択し、「アクション」メニュー「処理」メニュー「VPNトンネル・オプションの変更」の順に選択します。

  4. ダウンロードした構成のトンネル1の下で、#3 Tunnel Interface Configurationセクションまで下にスクロールします。

    次の値を記録して、OCIのサイト間VPN構成を完了します:

    • 仮想プライベート・ゲートウェイの外部IPアドレス
    • カスタマ・ゲートウェイの内部IP
    • 仮想プライベート・ゲートウェイの内部IP
    • 仮想プライベート・ゲートウェイのBGP ASN。デフォルトASNは64512です。
OCI - CPEオブジェクトの作成
  1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「顧客構内機器」を選択します。
  2. 「顧客構内機器の作成」を選択します。

  3. 次の値を入力します。

    • コンパートメントに作成:必要なVCNのコンパートメントを選択します。
    • 名前: CPEオブジェクトのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。

      この例では、名前として"TO_AWS"を使用します。

    • IPアドレス: AWSからダウンロードした構成に示されている仮想プライベート・ゲートウェイの外部IPアドレスを入力します。
    • CPEベンダー: 「その他」を選択します。
  4. 「CPEの作成」を選択します。
OCI - IPSec接続の作成
  1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「サイト間VPN」を選択します。
  2. 「IPSec接続の作成」を選択します。

  3. 次の値を入力します。

    • コンパートメントに作成: そのままにします(VCNのコンパートメント)。
    • 名前: IPSec接続の記述名を入力します(例: OCI-AWS-1)。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
    • 顧客構内機器コンパートメント: そのままにします(VCNのコンパートメント)。
    • 顧客構内機器: TO_AWSという名前で以前に作成したCPEオブジェクトを選択します。
    • 動的ルーティング・ゲートウェイ・コンパートメント: そのままにします(VCNのコンパートメント)。
    • 動的ルーティング・ゲートウェイ: 以前に作成したDRGを選択します。
    • 静的ルートCIDR:デフォルト・ルート0.0.0.0/0を入力します。アクティブ・トンネルではBGPが使用されるため、OCIはこのルートを無視します。IPSec接続の2番目のトンネルにはエントリが必要です。デフォルトでは静的ルーティングが使用されますが、アドレスはこのシナリオでは使用されていません。この接続に静的ルーティングを使用する場合は、AWS仮想ネットワークを表す静的ルートを入力します。IPSec接続ごとに最大10個の静的ルートを構成できます。

  4. 「トンネル1」タブで次の詳細を入力します(必須):

    • 名前:トンネルを示す名前を入力します(例: AWS-TUNNEL-1)。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
    • カスタム共有シークレットの指定:このトンネルに対してIPSecで使用される事前共有キーを入力します。このチェック・ボックスを選択し、AWS VPN構成ファイルから事前共有キーを入力します。
    • IKEバージョン: IKEv2を選択します。
    • ルーティング・タイプ: 「BGP動的ルーティング」を選択します。
    • BGP ASN: AWS VPN構成ファイルにあるとおり、AWSで使用されるBGP ASNを入力します。デフォルトAWS BGP ASNは64512です。
    • IPv4トンネル内インタフェース- CPE: AWS VPN構成ファイルからIPアドレス内の仮想プライベート・ゲートウェイを入力します。このIPアドレスには完全なCIDR表記を使用します。
    • IPv4トンネル内インタフェース- Oracle: OCIで使用される内部IPアドレスを入力します。AWS VPN構成ファイルを参照して、カスタマ・ゲートウェイの内部IPアドレスを入力します。このIPアドレスには完全なCIDR表記を使用します。

  5. 「IPSec接続の作成」を選択します。

    IPSec接続が作成され、ページに表示されます。この接続は、短い間「プロビジョニング中」状態になります。

  6. IPSec接続がプロビジョニングされたら、トンネルのOracle VPN IPアドレスを書き留めます。このアドレスが、AWSポータルで新しいカスタマ・ゲートウェイを作成するために使用されます。
    1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「サイト間VPN」を選択します。

      表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているポリシーが表示されない場合は、正しいコンパートメントが表示されていることを確認します。別のコンパートメントにアタッチされたポリシーを表示するには、「リスト範囲」で、リストからそのコンパートメントを選択します。

    2. 目的のIPSec接続を選択します(例: OCI-AWS-1)。
    3. AWS-TUNNEL-1のOracle VPN IPアドレスを見つけます。
AWS - 新規カスタマ・ゲートウェイの作成

AWSコンソールで、「Customer Gateways」を参照し、次の詳細を使用してカスタマ・ゲートウェイを作成します:

  • Name:この顧客ゲートウェイに名前を付けます。
  • Routing: 「Dynamic」を選択します。
  • BGP ASN: OCI BGP ASNを入力します。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。

  • IP Address:トンネル1のOracle VPN IPアドレスを入力します。前のタスクで保存したIPを使用します。

    「Create Customer Gateway」を選択してプロビジョニングを完了します。

AWS - 新規カスタマ・ゲートウェイのVPN接続の変更

このタスクでは、一時カスタマ・ゲートウェイを、OCI VPN IPアドレスを使用するものに置き換えます。

  1. AWSコンソールで、「サイト間VPN接続」を参照し、VPN接続を選択します。

  2. 「アクション」メニュー「処理」メニュー「VPN接続の変更」の順に選択します。

  3. 「VPN接続の変更」ページが表示されます。次の詳細を入力します。

    • ターゲット・タイプ:リストから「顧客ゲートウェイ」を選択します。

    • Target Customer Gateway ID:リストから、OCI VPN IPアドレスを持つ新しいカスタマ・ゲートウェイを選択します。

      完了後、「保存」ボタンを選択して構成を保存します。

      数分後、AWSはVPN接続のプロビジョニングを完了し、AWSとOCIの間のIPSec VPNが起動します。

  4. この時点で、一時カスタマ・ゲートウェイを削除できます。
検証

OCIのIPSec接続と、AWSのサイト間VPN接続を参照して、トンネルのステータスを確認します。

  • IPSec接続の下のOCIトンネルに、IPSecステータスとして「稼働中」と表示し、稼働中のトンネルを確認できます。
  • また、IPv4 BGPステータスには、確立されたBGPセッションを示す「稼働中」が表示されます。
  • AWSのサイト間VPN接続の「トンネル詳細」タブにあるトンネルのステータスに、「稼働中"」と表示されます。

モニタリング・サービスは、クラウド・リソースをアクティブおよびパッシブでモニターするためにOCIからも使用できます。OCIサイト間VPNの監視の詳細は、サイト間VPNメトリックを参照してください。

問題がある場合は、サイト間VPNのトラブルシューティングを参照してください。