Oracle Cloud Infrastructureドキュメント

VPN接続

サイト間VPN、FastConnectまたはOpenVPNアクセス・サーバーを使用して、ローカル・ネットワークをOracle Cloud Infrastructure VCNとブリッジします。

仮想クラウド・ネットワーク(VCN)に接続するには、次のいずれかのVPN接続方法を使用します:

  • サイト間VPN: セキュアな暗号化接続を介して、オンプレミス・ネットワークとVCNの間にサイト間IPSec VPNを提供します。サイト間VPNを参照してください。
  • FastConnect: データ・センターとOracle Cloud Infrastructureの間に専用プライベート接続を提供します。インターネットベースの接続に比べて、高帯域幅のオプションを備えており、信頼性と一貫性が高いネットワーキングを実現できます。FastConnect概要を参照してください。
  • OpenVPN Access Server: クライアント・デバイスをMySQL DBシステムなどのOracleクラウド・リソースに直接接続します。OpenVPN Access Serverは、サイトまたはネットワーク全体をOracle VCNに接続するためには使用できません。そのシナリオでは、サイト間VPNまたはFastConnectを使用することをお薦めします。OpenVPN Access Serverは、Oracle Cloud Infrastructure Marketplaceで入手できます。インストールは無料であり、2つの同時VPN接続に使用できます。OpenVPN Access Serverを参照してください。

OpenVPNアクセス・サーバー

OpenVPN Access Serverを使用して、クライアント・デバイスをMySQL DBシステムなどのOracleクラウド・リソースに直接接続します。

ノート

サイトまたはネットワーク全体をOracle VCNに接続するには、サイト間VPNまたはFastConnectを使用してください。
  1. OpenVPNスタックを作成します。OpenVPNスタックは、Access Serverを実行しているコンピュート・インスタンスで構成されます。スタックはDBシステムがアタッチされているのと同じVCNにアタッチされます。また、Access Serverへの外部接続が可能になるようにネットワークを構成する必要があります。OpenVPNスタックの作成を参照してください。
  2. OpenVPN Access Serverを構成して、トラフィックをDBシステムにルーティングします。これには、静的IPアドレスの構成、NATではなくルーティング、VPNユーザーの作成と構成が含まれます。OpenVPN Access Serverの構成を参照してください。
  3. OpenVPNアクセス・サーバーで使用するVPNクライアントをインストールおよび構成し、DB Systemに接続します。VPNクライアントのドキュメントを参照してください。
  4. OpenVPNアクセス・サーバーからプライベート・サブネットにアタッチされたMySQL DBシステムへの通信を許可するようにVCNを構成します。OpenVPN Access Server接続のためのVCNの構成を参照してください。
ノート

共有秘密キーを使用してOpenVPN接続を保護することをお薦めします。OpenVPNセキュリティの強化を参照してください。

OpenVPNスタックの作成

OpenVPNスタックは、Access Serverを実行しているコンピュート・インスタンスで構成されます。スタックはDBシステムがアタッチされているのと同じVCNにアタッチされます。また、Access Serverへの外部接続が可能になるようにネットワークを構成する必要があります。

コンソールを使用した場合

コンソールを使用して、OpenVPNスタックを作成します。

このタスクでは次が必要です:
  • パブリック・サブネットとプライベート・サブネットを持つ仮想クラウド・ネットワーク(VCN)。ネットワーキングの概要を参照してください。

OpenVPNスタックを作成するには、次を実行します:

  1. ナビゲーション・メニューを開き、「マーケットプレイス」「すべてのアプリケーション」の順に選択します。
  2. 検索ボックスでOpenVPN Access Serverを検索し、OpenVPNアクセス・サーバーをクリックします。
  3. VCNを作成したコンパートメントを選択し、「条件」チェック・ボックスを選択します。
  4. 「スタックの起動」をクリックします。
  5. 「スタックの作成」ページの「スタック情報」パネルで、次の情報を指定します:

    スタック情報:

    • 名前: (オプション)スタックの名前を指定します。
    • 説明: (オプション)スタックの説明を指定します。
    • コンパートメントに作成: フィールドは編集できません。
    • Terraformバージョン: フィールドは編集できません。
  6. 「次へ」をクリックします。
  7. 「変数の構成」パネルで、次の情報を指定します:

    コンピュート構成:

    • OpenVPNアクセス・サーバー名: Access Serverに一意の名前を指定します。
    • コンピュート・シェイプ: コンピュート・インスタンスのシェイプを選択します。

    アプリケーション構成:

    • 管理者ユーザー名: 管理ポータルにログインするための管理者ユーザー名を指定します。ユーザー名は小文字で始める必要があり、英数字のみを使用できます。
      ノート

      管理者ユーザー名openvpnを使用しないでください。これは予約済ユーザー名です。
    • 管理者パスワード: 管理者パスワードを指定します。パスワードは8文字以上の英数字にする必要があり、特殊文字を含めることはできません。
    • アクティブ化キー: (オプション)このAccess Serverコンピュート・インスタンスで3つ以上のVPN接続を使用する場合は、OpenVPNから購入するアクティブ化キーを指定します。
    ネットワーク構成:
    • ネットワーク戦略: 「既存のVCNの使用」を選択します。
    • 既存のネットワーク: DBシステムがアタッチされているVCNを選択します。
    • 既存のサブネット: VCNのパブリック・サブネットを選択します。
    追加の構成:
    • コンパートメント: すべてのリソースを作成するコンパートメントを選択します。デフォルトでは、マーケットプレイス・ページで指定したコンパートメントに設定されます。
    • 公開SSHキー文字列: (オプション) SSHを使用してコンピュート・インスタンスにアクセスするための公開SSHキーを指定します。Access Serverの管理ページを使用する場合は、文字列を指定する必要はありません。
  8. 「次」をクリックして、確認ページを開きます。
  9. 設定を確認し、「作成」をクリックします。
リソース・マネージャのジョブ詳細ページが表示されます。「ログ」セクションには、作成されたスタックの詳細とAccess Serverのログイン詳細が次の形式でリストされます:
Outputs:admin_password = ********
admin_username = username
instance_public_url = https://193.122.164.108/admin
ここで、instance_public_urlは、Access Serverをホストしているコンピュート・インスタンスのパブリックIPです。これらの詳細は後のタスクで必要になるため、メモしておいてください。

OpenVPN Access Serverの構成

OpenVPNアクセス・サーバーは、トラフィックをDBシステムにルーティングします。これには、静的IPアドレスの構成、NATではなくルーティング、VPNユーザーの作成と構成が含まれます。

コンソールを使用した場合

コンソールを使用して、OpenVPN Access Serverを構成し、トラフィックをDBシステムにルーティングします。

このタスクでは次が必要です:
OpenVPN Access Serverを構成するには、次を実行します:
  1. OpenVPNスタックの作成の終了時にinstance_public_urlフィールドに表示されるIPアドレスおよび資格証明を使用して、OpenVPN Access Server管理ツールをロードします:
    https://<IPAddress>/admin
  2. ナビゲーション・メニューを開き、「Configuration」「VPN settings」の順に選択します。
  3. 「スタティックIPアドレス・ネットワーク」フィールドに静的IPを指定します。VCNのサブネット上でこのIPアドレスのイングレス・ルールを構成する必要もあるため、静的IPが優先されます。動的アドレスを使用した場合、アドレスが再割当てされるたびにイングレス・ルールを更新する必要があります。
    ノート

    動的IPアドレス・フィールドは必須です。デフォルト値(172.27.233.0/24など)を変更しないでください。静的ネットワークの値を指定するときは、172.27.232.0/24のように似ている値を使用します。
  4. 「Routing」セクションで、「Yes, using Routing」を選択し、VPNクライアントがアクセスする必要のあるプライベート・サブネットおよびパブリック・サブネットのCIDRブロックを追加します。これらは、VCNにアタッチされているサブネットのCIDRブロックです。たとえば、10.0.0.0/24および10.0.1.0/24です。
  5. 「Save settings」をクリックします。
  6. ナビゲーション・メニューを開き、「ユーザー管理」「ユーザー権限」の順に選択します。
  7. 「User permissions」ダイアログ・ボックスで、「Newユーザー名」フィールドにユーザー名を入力し、隣接する列の「More settings」アイコンをクリックします。
  8. 次の情報を指定します。
    • Password: 新しいユーザーのパスワードを指定します。
    • 選択IPアドレス指定: 「静的の使用」を選択します。
    • VPN static IP address: 新しいユーザーに割り当てるIPアドレスを指定します。このIPアドレスは、VPN構成の「Static IP address network」フィールドで定義した範囲内にある必要があります。
    • Select address method: 「Use routing」を選択します。
    • Allow access to these networks: VPN構成の「Routing」セクションに示されているように、パブリック・サブネットとプライベート・サブネットのIPアドレスを指定します。
  9. ユーザーを保存します。ログアウトし、新しいユーザー資格証明を使用してログインします。ページ下部の「Yourself (user-locked profile)」リンクを使用して、プロファイルclient.ovpnをダウンロードします。
  10. このプロファイルをOpenVPNクライアントにインポートします。OpenVPNのドキュメントを参照してください。
  11. OpenVPN Access Serverからの接続を受け入れるようにネットワークを構成します。

OpenVPN Access Server接続のためのVCNの構成

OpenVPNアクセス・サーバーからプライベート・サブネットにアタッチされたMySQL DBシステムへの通信を可能にするように仮想クラウド・ネットワークを構成します。

コンソールの使用

コンソールを使用して、OpenVPN Access Serverからプライベート・サブネットにアタッチされたMySQL DBシステムへの通信が可能になるように仮想クラウド・ネットワークを構成します。

このタスクでは次が必要です:
仮想クラウド・ネットワーク(VCN)を構成するには、次を実行します:
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順に選択します。
  2. VCN名をクリックします。
  3. 「仮想クラウド・ネットワークの詳細」ページの「サブネット」で、プライベート・サブネットの名前をクリックします。
  4. サブネットの詳細ページで、「ルート表」をクリックします。
  5. 「ルート・ルールの追加」をクリックし、次の情報を指定します:
    • ターゲット・タイプ: 「プライベートIP」を選択します。
    • 宛先タイプ: 「CIDRブロック」を選択します。
    • 宛先CIDRブロック: OpenVPN Access Serverの「VPN settings」「Static IP address network」フィールドで定義したCIDRブロックを指定します。
    • ターゲット選択: OpenVPN Access Serverのコンピュート・インスタンスのプライベートIPアドレスを指定します。
  6. 「ルート・ルールの追加」をクリックします。
  7. プライベート・サブネットのセキュリティ・リストの詳細ページにナビゲートします。
  8. VPN静的IPアドレスのイングレス・ルールを追加します。デフォルトのMySQLポートは3306および33060です。