AzureへのVPN接続

1. メインのAzureポータルで、「Virtual Network Gateway」を検索します。検索結果からそれを選択します。
2. 次のページで、「作成」ボタンを選択して新しい仮想ネットワーク・ゲートウェイを作成します。
3. 「仮想ネットワーク・ゲートウェイの作成」ページが表示されます。
   • 名前:ゲートウェイに名前を付けます。
   • リージョン: Azureリージョンを選択します。リージョンは、仮想ネットワークと同じである必要があります。
   • Gateway Type: 「VPN」を選択します。
   • VPN type: 「Route-based」を選択します。
   • 「SKU」および「Generation」: IKEv2をサポートし、スループット要件を満たすゲートウェイSKUを選択します。ゲートウェイSKUの詳細は、VPN Gatewaysに関するAzureのドキュメントを参照してください。
   • 仮想ネットワーク:ゲートウェイの仮想ネットワークを選択します。この仮想ネットワークにはゲートウェイ・サブネットも必要です。
   • ゲートウェイ・サブネット・アドレス範囲:仮想ネットワークにすでにGatewaySubnetがある場合は、それを選択します。それ以外の場合は、未使用のアドレス範囲を選択します。
   • パブリックIPアドレス:仮想ネットワーク・ゲートウェイにはパブリックIPアドレスが必要です。すでに作成されている場合は、それを選択します。それ以外の場合は、「新規作成」を選択し、パブリックIPアドレスに名前を付けます。
   • Enable active-activeモード:このオプションは無効にしたままにします。
   • BGPの構成: 「Enabled」を選択します。静的ルーティングを使用する場合は、このオプションを無効のままにします。
   • 自律システム番号(ASN):デフォルトでは、AzureはBGP ASN 65515を使用します。デフォルトを選択します。

   • カスタムAzure APIPA BGP IPアドレス: 169.254.21.0/24または169.254.22.0/24内から/30サブネットを選択します。これらのアドレスは、AzureおよびOCIのBGP IPアドレスです選択した/30から使用可能な2つのIPのいずれかをここに入力します。このシナリオでは、OCIに169.254.21.1を、Azureに169.254.21.2を使用します。

     仮想ネットワーク・ゲートウェイの構成が終了したら、「確認して作成」ボタンを選択し、次のページで「作成」ボタンを選択します。

4. 新しく作成した仮想ネットワーク・ゲートウェイを参照し、パブリックIPアドレスを保存します。IPアドレスは、OCIでIPSec接続を作成するために使用されます。

1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「顧客構内機器」を選択します。
2. 「顧客構内機器の作成」を選択します。

3. 次の値を入力します。

   • コンパートメントに作成:必要なVCNのコンパートメントを選択します。
   • 名前: CPEオブジェクトのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。

     この例では、名前として"TO_Azure"を使用します。

   • IPアドレス: Azure仮想ネットワーク・ゲートウェイのパブリックIPを入力します。このパブリックIPは、Azureコンソールで、前のタスクで作成した仮想ネットワーク・ゲートウェイの概要ページを参照することで確認できます。
   • CPEベンダー: 「その他」を選択します。
4. 「CPEの作成」を選択します。

1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「サイト間VPN」を選択します。
2. 「IPSec接続の作成」を選択します。

3. 次の値を入力します。

   • コンパートメントに作成: そのままにします(VCNのコンパートメント)。
   • 名前: IPSec接続のわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
   • 顧客構内機器コンパートメント: そのままにします(VCNのコンパートメント)。
   • 顧客オンプレミス機器: TO_Azureという名前で以前に作成したCPEオブジェクトを選択します。
   • 動的ルーティング・ゲートウェイ・コンパートメント: そのままにします(VCNのコンパートメント)。
   • 動的ルーティング・ゲートウェイ: 以前に作成したDRGを選択します。
   • 静的ルートCIDR:デフォルト・ルート0.0.0.0/0を入力します。アクティブ・トンネルにはBGPが使用されているため、OCIはこのルートを無視します。IPSec接続の2番目のトンネルにはエントリが必要です。デフォルトでは静的ルーティングが使用されますが、このシナリオでは使用されていません。この接続に静的ルーティングを使用する場合は、それらのAzure仮想ネットワークを表す静的ルートを入力します。IPSec接続ごとに最大10個の静的ルートを構成できます。

4. 「トンネル1」タブで次の詳細を入力します(必須):

   • 名前:トンネルを表す名前を入力します(例: Azure-TUNNEL-1)。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
   • カスタム共有シークレットの指定:このトンネルのIPSecで使用される事前公開キー。カスタム・キーを使用する場合は、このチェック・ボックスを選択します。何も選択されていない場合は、生成されます。
   • IKEバージョン: IKEv2を選択します。
   • ルーティング・タイプ: 「BGP動的ルーティング」を選択します。静的ルーティングを使用する場合は、「Static Routing」を選択します。
   • BGP ASN: Azureで使用されるBGP ASNを入力します。Azure BGP ASNは、Azure - VPNゲートウェイの作成の項のステップ3で構成されています。このシナリオでは、デフォルトのAzure BGP ASNである65515を使用します。
   • IPv4トンネル内インタフェース- CPE: Azureで使用されるBGP IPアドレス。このIPアドレスには完全なCIDR表記を使用します。Azure BGP IPアドレスは、Azure - VPNゲートウェイの項のステップ3で構成されています
   • IPv4トンネル内インタフェース- Oracle: OCIで使用されるBGP IPアドレス。このIPアドレスには完全なCIDR表記を使用します。このIPアドレスは、選択した/30から使用可能な他の残りのIPです。
5. 「拡張オプションの表示」を選択し、フェーズ2 (IPSec)構成を展開します。完全な前方秘匿性Diffie-Hellmanグループを選択します。GROUP2、GROUP14またはGROUP24から選択します。

6. 「IPSec接続の作成」を選択します。

   IPSec接続が作成され、ページに表示されます。接続は、短い間「プロビジョニング中」状態になります。

デフォルトでは、OCIサイト間VPNは、すべてのIPSec VPNトンネルにPFSグループ5を使用します。IKEv2の場合、AzureはPFSグループ1、2、14および24とともに提案を送信します。

OCIコンソールを使用して、トンネルのフェーズ2のIPSecポリシーを設定し、カスタムPFSグループ値2、14または24を使用できます。OCIはPFSグループ1をサポートしていません。

IPSec接続がプロビジョニングされたら、AzureポータルのCPP IPとして使用するサイト間VPN IPアドレスおよびトンネルの共有シークレットを保存します。

1. OCIコンソールでIPSec接続を参照します。

   プライマリとして使用するトンネルを選択します。そのトンネルのサイト間VPN IPアドレスを保存します。次に、そのトンネルのトンネル名を選択すると、トンネル・ビューが表示されます。

2. トンネルの下で、共有シークレットを表示するリンクを選択します。それを保存します。共有シークレットは、AzureでIPSec VPN構成を完了するために使用されます。

1. メインAzureポータルで、「Local Network Gateway」を検索します。検索結果からそれを選択します。

2. 次のページで、「Create」ボタンを選択してローカル・ネットワーク・ゲートウェイを作成します。

3. 「Create Local Network Gateway」ページが表示されます。次の詳細を入力します。

   • リージョン: Azureリージョンを選択します。リージョンは、仮想ネットワークおよび仮想ネットワーク・ゲートウェイと同じである必要があります。
   • 名前:ローカル・ネットワーク・ゲートウェイに名前を付けます。
   • IP Address:トンネル1の保存済OCI VPN IPアドレスを入力します。
   • アドレス空間:静的ルーティング入力を使用してOCI VCNsのCIDRを入力する場合は、空白のままにします。
   • BGP設定の構成:このチェック・ボックスを選択します。静的ルーティングを使用する場合は、オプションの選択を解除します。
   • 自律システム番号(ASN): OCI BGP ASNを入力します。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。
   • BGP peer IP address: OCI BGP IPアドレス。OCI - IPSec接続の作成のステップ4のIPV4トンネル内インタフェース- Oracleで使用されているものと同じIPアドレス。

1. 以前に作成した仮想ネットワーク・ゲートウェイを参照します。左側のメニューで、「Connections」、「Add」ボタンの順にクリックして接続を追加します。

2. 「接続の追加」ページが表示されます。次の詳細を入力します。

   • 名前:接続に名前を指定します。
   • 接続タイプ: 「サイト間(IPsec)」を選択します
   • Local network gateway:以前に作成したローカル・ネットワーク・ゲートウェイを選択します。
   • Shared key (PSK) - OCIトンネルから共有シークレットを入力します。OCIコンソールで共有キーが見つかる場所を識別する必要がある場合は、OCI - サイト間VPN IPアドレスおよびシェアシークレットの保存を参照してください
   • BGPの有効化:このチェック・ボックスを選択します。静的ルーティングを使用する場合は、選択を解除したままにします。

   • IKE Protocol: IKEv2を選択します

     他のオプションはすべてデフォルトのままにします。VPN接続の構成が終了したら、ページの下部にある「OK」ボタンを選択します。

     数分後、Azureは新しいVPN接続のプロビジョニングを完了し、AzureとOCIの間のIPSec VPNが起動します。

OCIのIPSec接続と、Azureの仮想ネットワーク・ゲートウェイ接続を参照し、トンネルのステータスを確認します。

IPSec接続の下のOCIトンネルに、IPSecステータスとして「稼働中」と表示し、稼働中のトンネルを確認できます。

また、IPV4 BGPステータスには、確立されたBGPセッションを示す「稼働中」が表示されます。

このトンネルの仮想ネットワーク・ゲートウェイの下にある接続ステータスに、稼働中のトンネルを確認するための「接続済」と表示されます。

モニタリング・サービスは、クラウド・リソースをアクティブおよびパッシブでモニターするためにOCIからも使用できます。OCIサイト間VPNの監視の詳細は、サイト間VPNメトリックを参照してください。

問題がある場合は、サイト間VPNのトラブルシューティングを参照してください。