Oracle Cloud Infrastructureドキュメント

サイト間VPNの作業

このトピックでは、Site-to-Site VPNおよび関連コンポーネントの作業について詳しく説明します。次のトピックも参照してください:

静的ルートの変更

既存のIPSec接続の静的ルートを変更できます。最大10個の静的ルートを指定できます。

IPSec接続では、静的ルーティング、BGP動的ルーティングまたはポリシーベースのルーティングを使用できます。静的ルートを使用する場合、静的ルートは、個々のトンネルではなくIPSec接続全体に関連付けられます。IPSec接続に静的ルートが関連付けられている場合、Oracleでトンネルのトラフィックのルーティングにその静的ルートが使用されるのは、トンネル自体が静的ルーティングを使用するように構成されているときのみです。BGP動的ルーティングを使用するように構成されている場合、IPSec接続の静的ルートは無視されます。

重要

IPSec接続は停止しますが、静的ルートの変更で再プロビジョニングされます。

静的ルートの変更に必要なステップは、IPSec接続の更新を参照してください。

静的ルーティングからBGP動的ルーティングへの変更

既存のサイト間VPNを静的ルーティングの使用からBGP動的ルーティングの使用に変更するには、IPSecトンネルの更新を参照してください。

注意

トンネル・ルーティング・タイプを変更する場合、再プロビジョニング中にトンネルのIPSecステータスが変更されません。ただし、トンネルを介するルーティングには影響します。ネットワーク・エンジニアがルーティング・タイプの変更に応じてCPEデバイスを構成するまで、トラフィックは一時的に中断されます。 既存のサイト間VPNが単一のトンネルのみを使用するように構成されている場合、このプロセスによりOracleへの接続が中断されます。サイト間VPNがかわりに複数のトンネルを使用する場合は、Oracleへの接続が中断されないように、一度に1つのトンネルを再構成することをお薦めします。

ポリシーベースのVPNへの移行

Oracle Cloud Infrastructureのサイト間VPN v2サービスは、トンネル当たり最大50の暗号化ドメインを使用するポリシーベースのIPSec VPNsを完全にサポートしています。

潜在的なトラフィックの中断を防ぐために、サイト間VPN v1サービスからサイト間VPN v2に移行し、複数の暗号化ドメインを含むCPEを構成した場合は、CPE構成と一致するように接続のOCI側のトンネル構成を変更します。この記事では、この変更が非常に重要である理由と、ポリシーベースのIPSec VPNsを使用するようにOCIを構成するために必要なステップについて説明します。

ポリシーベースのVPN機能に移行する理由

サイト間VPN v1サービスは、常にルートベースのVPNとして構成され、BGPルーティング・タイプと静的ルーティング・タイプの両方に任意または任意の暗号化ドメインを使用します。ポリシーベースのVPNの相互運用性のために、CPEがイニシエータとして機能し、1つの暗号化ドメインのみがOCIに送信される場合、サイト間VPN v1はポリシーベースのVPN用に構成されたCPEをサポートします。このシナリオで複数の暗号化ドメインを構成すると、トンネルのフラッピングが観察されるトンネルが不安定になるか、トンネルを横断するトラフィックに安定した到達可能性がありません。

サイト間VPN v2サービスでは、BGPおよび静的ルーティング・タイプに加えて、ポリシーベースのルーティング・タイプ・オプションが使用されます。サイト間VPN v2のBGPおよび静的ルーティング・タイプは、ルートベースのままであり、単一または任意の暗号化ドメインをサポートします。これらのオプションは、単一の暗号化ドメイン・ポリシーベースのCPE構成で動作しますが、これはお薦めしません。また、複数の暗号化ドメインを送信すると、トンネルが不安定になります。

サイト間VPN v2で使用可能なポリシーベースのルーティング・タイプは、完全に機能するポリシーベースのVPNで、CPEのポリシーベース構成に完全に一致するようにOCI側を構成し、安定したIPSec VPNトンネルに必要な個々のセキュリティ・アソシエーション(SA)をすべて受け入れることができます。

暗号化ドメインおよび様々なIPSec VPNトンネル・タイプの詳細は、サポートされている暗号化ドメインまたはプロキシIDを参照してください。

トンネルがサイト間VPN v1からv2に移行された後は、移行前に構成されたものと同じルーティング・タイプ(BGPまたは静的)を引き続き使用します。既存のルートベースのトンネルをポリシーベースのルーティングを使用するように変更する手順については、を参照してください。

ポリシーベースのVPNに移行する特定のステップは、IPSecトンネルの更新を参照してください。

Oracleで使用されるCPE IKE識別子の変更

CPEがNATデバイスの背後にある場合は、CPE IKE識別子をOracleに提供する必要がある場合があります。IPSec接続の作成時にこれを指定することも、後からIPSec接続を編集して値を変更することもできます。Oracleでは、値がIPアドレスまたは完全修飾ドメイン名(FQDN)であることが必要です。値を指定するときに、その値のタイプも指定します。

重要

CPE IKE識別子を再プロビジョニングしている間、IPSec接続は停止します。

Oracleが使用するCPE IKE識別子の変更に必要なステップは、IPSec接続の更新を参照してください。

IKEv2の使用

Oracleは、Internet Key Exchange (IKE)バージョン1およびバージョン2 (IKEv2)をサポートしています。

CPEをサポートするCPEでIKEv2を使用するには、次の操作を行う必要があります:

  • Oracle Consoleで、IKEv2を使用するように各IPSecトンネルを構成します。「IPSec接続の作成」を参照してください。
  • CPEでサポートされているIKEv2暗号化パラメータを使用するようにCPEを構成します。Oracleでサポートされているパラメータのリストについては、サポートされているIPSecパラメータを参照してください。

IKEv2を使用した新しいIPSec接続

ノート

新しいIPSec接続を手動で作成する場合は、Oracle Consoleで、IPSec接続を作成するときにIKEv2を指定できます。

かわりにVPNクイックスタート・ワークフローを使用すると、IPSec接続はIKEv1のみを使用するように構成されます。ただし、ワークフローの完了後に、Oracle Consoleで結果のIPSecトンネルを編集して、IKEv2を使用するように変更できます。

IKEv2への既存のIPSec接続のアップグレード

重要

IPSec接続の中断を回避するために、一度に1つのトンネルに対して次のプロセスを実行することをお薦めします。接続が冗長でない場合(たとえば、冗長トンネルがない場合)、IKEv2へのアップグレード中にダウンタイムが予想されます。
  1. Oracle ConsoleのトンネルのIKEバージョンを変更して、IKEv2およびCPEがサポートする関連する暗号化パラメータを使用します。Oracleでサポートされているパラメータのリストについては、サポートされているIPSecパラメータに関する項を参照してください。
  2. セキュリティ・アソシエーションですぐにキーが更新されない場合は、CPE上でそのトンネルのキーの更新を強制的に実行します。そのためには、フェーズ1とフェーズ2のセキュリティ・アソシエーションをクリアし、期限切れを待たずにクリアします。一部のCPEデバイスは、キー更新の前にSAが期限切れになるのを待ちます。キー更新を強制すると、IKEバージョン構成が正しいことをすぐに確認できます。
  3. 確認するには、トンネルのセキュリティ・アソシエーションによってキー更新が正しく行われることを確認します。そうでない場合は、Oracle ConsoleおよびCPEで正しいIKEバージョンが設定されていること、およびCPEで適切なパラメータが使用されていることを確認してください。

1つ目のトンネルが稼働していることを確認した後、2つ目のトンネルについて前のステップを繰り返します。

IPSecトンネルで使用される共有シークレットの変更

Site-to-Site VPNを設定すると、Oracleによりデフォルトで各トンネルの共有シークレット(事前共有キーとも呼ばれる)が提供されます。それ以外の特定の共有シークレットを使用する必要がある場合もあります。IPSec接続の作成時に各トンネルの共有シークレットを指定することも、トンネルを編集して新しい各共有シークレットを指定することもできます。共有シークレットには、数字、文字およびスペースのみを使用できます。トンネルごとに異なる共有シークレットを使用することをお薦めします。

重要

トンネルの共有シークレットを変更すると、トンネルが新しい共有シークレットで再プロビジョニングされている間、IPSec接続全体とトンネルは両方とも「プロビジョニング中」状態になります。IPSec接続のもう一方のトンネルは、「使用可能」状態のままです。ただし、1番目のトンネルの再プロビジョニング中は、2番目のトンネルの構成を変更できません。

IPSecトンネルが使用する共有シークレットの変更に必要なステップは、「IPSecトンネルの詳細の取得」を参照してください。

サイト間VPNのモニタリング

メトリック、アラームおよび通知を使用して、Oracle Cloud Infrastructureリソースのヘルス、容量およびパフォーマンスをモニターできます。詳細は、モニタリングおよび通知を参照してください。

接続のモニタリングの詳細は、サイト間VPNのメトリックを参照してください。

サイト間VPNログ・メッセージ

IPSecトンネルの稼働中に発生するネゴシエーションなど、サイト間VPNの様々な運用状態に対して生成されたログ・メッセージを表示できます。サイト間VPNログ・メッセージの有効化およびアクセスは、サイト間VPNまたはロギング・サービスを使用して実行できます。

  • ロギング・サービス全般の概要は、ロギングの概要を参照してください。
  • ロギング・サービスを使用したサイト間VPNログ・メッセージの有効化およびアクセスの詳細は、サービス・ログを参照してください。

  • サイト間VPNログ・メッセージ・スキーマの詳細は、サイト間VPNの詳細を参照してください。

メッセージ・ロギングを有効にするには、「IPSec接続の詳細の取得」を参照してください。

ログ・メッセージを表示するには、「IPSec接続の詳細の取得」を参照してください。

別のコンパートメントへのIPSec接続またはCPEオブジェクトの移動

リソースはコンパートメント間で移動できます。リソースを新しいコンパートメントに移動すると、固有のポリシーがただちに適用され、コンソールを介したリソースへのアクセスが影響を受けます。CPEオブジェクトを別のコンパートメントに移動することは、オンプレミス・データ・センターとOracle Cloud Infrastructure間の接続に影響しません。詳細は、コンパートメントの作業を参照してください。

詳細は、コンパートメント間のIPSec接続の移動およびCPEの別のコンパートメントへの移動を参照してください。

IPSecトンネルのメンテナンス

システムのセキュリティ、安定性、パフォーマンスを確保するために、OracleはOCIプラットフォーム全体でソフトウェアを定期的に更新しています。これらの更新には、脆弱性パッチ、新機能、バグ修正などの重要な修正が含まれており、全体的な機能と信頼性が向上します。更新プロセス中に、あるVPNヘッドエンドから別のヘッドエンドにIPSecトンネルが移動され、1つのトンネルのみが使用されると、IPSec接続がリセットされます。IPSec接続では、1つのIPSecトンネルのみが移動されます。トンネルへのこの短い中断を防ぐことはできませんが、ダウンタイムを最小限に抑えるために更新メカニズムを最適化しました。顧客構内設備(CPE)が継続的に接続の再確立を試行する場合、通常のIPSecトンネルのダウンタイムは1分未満です。この設計により、Oracleは、システムの安全性と信頼性を維持しながら、接続の中断を最小限に抑えることができます。IPSecトンネルのリストアには、最大10分かかる場合があります。

  • トンネルがOCI側でのみレスポンダとして設定され、CPEがトンネルをすぐに起動しようとしていない場合
  • CPEがOCI側によって開始されたIKEネゴシエーションへの応答に失敗した場合

ソフトウェア更新中のIPSecトンネル・フラップは避けられませんが、OCIは冗長トンネルを提供します。これらの冗長トンネルは、1つのトンネルがダウンタイムを経験する短い期間であっても、継続的なトラフィック・フローを維持するように設計されています。冗長性が正しく設定されている場合、プライマリ・トンネルを介してルーティングされるすべてのトラフィックは、トンネル・フラップ中に冗長トンネルにシームレスに切り替わります。このフェイルオーバーメカニズムにより、サービスが中断されないままになり、トラフィックフローが大幅に遅延することなく保持されます。OCIは、冗長トンネルが2つの異なるVPNヘッドエンドに着陸することを保証します。ソフトウェア更新中は、一度に1つのトンネルだけが影響を受けます。

初期設定時とそれ以降の定期的な間隔の両方で、プライマリVPNトンネルを停止して冗長性をテストすることをお薦めします。プライマリ・トンネルがオフラインの間、VCNインスタンスが到達可能なままであり、トラフィックが冗長トンネルに移行していることを確認します。この冗長性ガイドのVPN冗長性のセクションには、様々なユース・ケースでのVPNトンネルの冗長性の設定に関するより詳細な洞察が記載されています。

次のステップを使用して、トンネルを一時的に無効にして、プライマリIPSecトンネルからセカンダリIPSecトンネルへの冗長性フェイルオーバーをテストできます。

  1. 「IPSecトンネルの更新」の説明に従ってトンネル詳細ページに移動し、「共有シークレット」を編集します。
  2. トンネルを一時的に無効にするには:
    1. 共有シークレット・フィールドのテキストを切り取り、いくつかのランダムな文字または数字で置き換えます。これにより、BGPセッションが停止し、トラフィックが他のトンネルにフェイルオーバーする可能性があります。このフィールドは空にできません。
      共有シークレット・フィールドに元の文字列をテキスト・ファイルに貼り付けます。冗長性が期待どおりに機能していることを確認した後、BGPセッションを再確立するには、これが必要です。
    2. 「Save changes」を選択します。
    3. 接続のセカンダリIPSecトンネルでトラフィックがまだ流れていることを確認します。
  3. 一時的に無効にされたトンネルをリストアするには:
    1. 「IPSecトンネルの更新」の説明に従ってトンネル詳細ページに移動し、「共有シークレット」を編集します。
    2. 共有シークレット・フィールドの元のテキストに貼り付けます。
    3. 「Save changes」を選択します。
    4. BGPセッションが再確立されるまで待機します。