AzureへのVPN接続

1. メインのAzureポータルで、「Virtual Network Gateway」を検索します。検索結果からそれを選択します。
2. 次のページで、「Create」ボタンをクリックして新しい仮想ネットワーク・ゲートウェイを作成します。
3. 「Create Virtual Network Gateway」ページが表示されます。
   • Name: ゲートウェイに名前を付けます。
   • Region: Azureリージョンを選択します。リージョンは、仮想ネットワークと同じである必要があります。
   • Gateway Type: 「VPN」を選択します。
   • VPN type: 「Route-based」を選択します。
   • 「SKU」および「Generation」: IKEv2をサポートし、スループット要件を満たすゲートウェイSKUを選択します。ゲートウェイSKUの詳細は、VPNゲートウェイに関するAzureドキュメントを参照してください。
   • Virtual network: ゲートウェイの仮想ネットワークを選択します。この仮想ネットワークにはゲートウェイ・サブネットも必要です。
   • Gateway subnet address range: 仮想ネットワークにすでにGatewaySubnetがある場合は、それを選択します。それ以外の場合は、未使用のアドレス範囲を選択します。
   • Public IP address: 仮想ネットワーク・ゲートウェイにはパブリックIPアドレスが必要です。すでに作成されている場合は、それを選択します。それ以外の場合は、「Create new」を選択し、パブリックIPアドレスに名前を付けます。
   • Enable active-active mode: このオプションは無効のままにします。
   • Configure BGP: 「Enabled」を選択します。静的ルーティングを使用する場合は、このオプションを無効のままにします。
   • Autonomous system number (ASN): デフォルトでは、AzureはBGP ASN 65515を使用します。デフォルトを選択します。

   • Custom Azure APIPA BGP IP address: 169.254.21.0/24または169.254.22.0/24内から/30サブネットを選択します。これらのアドレスは、AzureおよびOCIのBGP IPアドレスです。選択した/30から使用可能な2つのIPのいずれかをここに入力します。このシナリオでは、OCIに169.254.21.1を、Azureに169.254.21.2を使用します。

     仮想ネットワーク・ゲートウェイの構成が終了したら、「Review + create」ボタンをクリックし、次のページの「Create」ボタンをクリックします。

4. 新しく作成した仮想ネットワーク・ゲートウェイを参照し、パブリックIPアドレスを保存します。IPアドレスは、OCIでIPSec接続を作成するために使用されます。

1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「顧客構内機器」をクリックします。

2. 「顧客構内機器の作成」をクリックします。

3. 次の値を入力します。

   • コンパートメントに作成: 必要なVCNのコンパートメントを選択します。
   • 名前: CPEオブジェクトのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。

     この例では、名前として"TO_Azure"を使用します。

   • IPアドレス: Azure仮想ネットワーク・ゲートウェイのパブリックIPを入力します。このパブリックIPは、Azureコンソールで、前のタスクで作成した仮想ネットワーク・ゲートウェイの概要ページを参照することで確認できます。
   • CPEベンダー: 「その他」を選択します。
4. 「CPEの作成」をクリックします。

1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします顧客接続で、「サイト間VPN」をクリックします。

2. 「IPSec接続の作成」をクリックします。

3. 次の値を入力します。

   • コンパートメントに作成: そのままにします(VCNのコンパートメント)。
   • 名前: IPSec接続のわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
   • 顧客構内機器コンパートメント: そのままにします(VCNのコンパートメント)。
   • 顧客構内機器: TO_Azureという名前で以前に作成したCPEオブジェクトを選択します。
   • 動的ルーティング・ゲートウェイ・コンパートメント: そのままにします(VCNのコンパートメント)。
   • 動的ルーティング・ゲートウェイ: 以前に作成したDRGを選択します。
   • 静的ルートCIDR: デフォルト・ルート0.0.0.0/0を入力します。アクティブ・トンネルではBGPが使用されるため、OCIはこのルートを無視します。IPSec接続の2番目のトンネルにはエントリが必要です。デフォルトでは静的ルーティングが使用されますが、このシナリオでは使用されていません。この接続に静的ルーティングを使用する場合は、Azure仮想ネットワークを表す静的ルートを入力します。IPSec接続ごとに最大10個の静的ルートを構成できます。

4. 「トンネル1」タブで次の詳細を入力します(必須):

   • 名前: トンネルのわかりやすい名前を入力します(例: Azure-TUNNEL-1)。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
   • カスタム共有シークレットの指定: このトンネルのIPSecで使用される事前共有キー。カスタム・キーを使用する場合は、このチェック・ボックスを選択します。未選択のままにすると、自動的に生成されます。
   • IKEバージョン: 「IKEv2」を選択します。
   • ルーティング・タイプ: 「BGP動的ルーティング」を選択します。静的ルーティングを使用する場合は、「静的ルーティング」を選択します。
   • BGP ASN: Azureで使用されるBGP ASNを入力します。Azure BGP ASNは、Azure - VPNゲートウェイの作成の項のステップ3で構成されています。このシナリオでは、デフォルトのAzure BGP ASNである65515を使用します。
   • IPv4トンネル内インタフェース - CPE: Azureで使用されるBGP IPアドレス。このIPアドレスには完全なCIDR表記を使用します。Azure BGP IPアドレスは、Azure - VPNゲートウェイの作成の項のステップ3で構成されています。
   • IPv4トンネル内インタフェース - Oracle: OCIで使用されるBGP IPアドレス。このIPアドレスには完全なCIDR表記を使用します。このIPアドレスは、選択した/30から使用可能な他の残りのIPです。
5. 「拡張オプションの表示」をクリックし、フェーズ2 (IPSec)構成を展開します。完全な前方秘匿性Diffie-Hellmanグループを選択します。GROUP2、GROUP14またはGROUP24から選択します。

6. 「IPSec接続の作成」をクリックします。

   IPSec接続が作成され、ページに表示されます。接続は、短い間「プロビジョニング中」状態になります。

デフォルトでは、OCIサイト間VPNは、すべてのIPSec VPNトンネルにPFSグループ5を使用します。IKEv2の場合、AzureはPFSグループ1、2、14および24とともに提案を送信します。

OCIコンソールを使用して、2、14または24のカスタムPFSグループ値を使用するようにトンネルのフェーズ2 IPSecポリシーを設定できます。OCIはPFSグループ1をサポートしていません。

IPSec接続がプロビジョニングされたら、AzureポータルのCPE IPとして使用するサイト間VPN IPアドレスおよびトンネルの共有シークレットを保存します。

1. OCIコンソールでIPSec接続を参照します。

   プライマリとして使用するトンネルを選択します。そのトンネルのサイト間VPN IPアドレスを保存します。次に、そのトンネルのトンネル名をクリックすると、トンネル・ビューが表示されます。

2. トンネルの下で、共有シークレットを表示するリンクを選択します。それを保存します。共有シークレットは、AzureでIPSec VPN構成を完了するために使用されます。

1. メインのAzureポータルで、「Local Network Gateway」を検索します。検索結果からそれを選択します。

2. 次のページで、「Create」ボタンをクリックしてローカル・ネットワーク・ゲートウェイを作成します。

3. 「Create Local Network Gateway」ページが表示されます。次の詳細を入力します。

   • Region: Azureリージョンを選択します。リージョンは、仮想ネットワークおよび仮想ネットワーク・ゲートウェイと同じである必要があります。
   • Name: ローカル・ネットワーク・ゲートウェイに名前を付けます。
   • IP Address: トンネル1の保存済OCI VPN IPアドレスを入力します。
   • Address space: 静的ルーティング入力でOCI VCNのCIDRを使用する場合は、空白のままにします。
   • BGP設定の構成:このチェック・ボックスを選択します。静的ルーティングを使用する場合は、オプションの選択を解除したままにします。
   • 自律システム番号(ASN): OCI BGP ASNを入力します。商用クラウド向けのOracleのBGP ASNは31898ですが、セルビア中央部(Jovanovac)リージョンは14544です。
   • BGP peer IP address: OCI BGP IPアドレス。OCI - IPSec接続の作成のステップ4の「IPV4トンネル内インタフェース - Oracle」で使用されているものと同じIPアドレス。

1. 以前に作成した仮想ネットワーク・ゲートウェイを参照します。左側のメニューで、「Connections」、「Add」ボタンの順にクリックして接続を追加します。

2. 「Add Connection」ページが表示されます。次の詳細を入力します。

   • Name: 接続に名前を付けます。
   • Connection type: 「Site-to-site (IPsec)」を選択します
   • Local network gateway: 以前に作成したローカル・ネットワーク・ゲートウェイを選択します。
   • Shared key (PSK) - OCIトンネルから共有シークレットを入力します。OCIコンソールで共有キーが見つかる場所を識別する必要がある場合は、OCI - サイト間VPN IPアドレスおよび共有シークレットの保存を参照してください。
   • BGPの有効化:このチェック・ボックスを選択します。静的ルーティングを使用する場合は、選択を解除したままにします。

   • IKE Protocol: 「IKEv2」を選択します

     他のオプションはすべてデフォルトのままにします。VPN接続の構成が終了したら、ページ下部の「OK」ボタンをクリックします。

     数分後、Azureは新しいVPN接続のプロビジョニングを完了し、AzureとOCI間のIPSec VPNが起動します。

OCIのIPSec接続と、Azureの仮想ネットワーク・ゲートウェイ接続を参照して、トンネルのステータスを確認します。

「IPSec接続」の下のOCIトンネルに、IPSecステータスとして「稼働中」と表示され、稼働中のトンネルを確認できます。

同様に、「IPV4 BGPステータス」には、確立されたBGPセッションを示す「稼働中」が表示されます。

このトンネルの仮想ネットワーク・ゲートウェイの下にある接続ステータスに、「接続済」と表示され、稼働中のトンネルを確認できます。

モニタリング・サービスは、OCIからクラウド・リソースをアクティブおよびパッシブにモニターするために使用できます。OCIサイト間VPNのモニタリングの詳細は、サイト間VPNのメトリックを参照してください。

問題がある場合は、サイト間VPNのトラブルシューティングを参照してください。