ノート:

Oracle Interconnect for Microsoft Azureを使用したIPSec帯域幅の最大化

イントロダクション

暗号化は重要であり、このチュートリアルでは、世界中のMicrosoft Azureとの相互接続されたリージョンで暗号化を有効にする方法を示します。

この冗長インターコネクトは、プライベート仮想回線に基づいており、Microsoft AzureのExpressRouteおよびOracle Cloud Infrastructure (OCI)側のFastConnectを使用したプライベート接続では、予測可能なネットワーク・レイテンシが低くなります。これらのプライベート仮想回線はデフォルトでは暗号化されません。

このチュートリアルでは、Oracle Interconnect for Microsoft Azure (Oracle Interconnect for Azure)を使用し、IPSecトンネルからの暗号化を追加し、IPSecトンネルの帯域幅を最大化する方法も示します。これは、一部のユースケースでは制限要因になる可能性があるためです。

ノート: OCI FastConnectの上のIPSecは、このOracle Interconnect for Azureに限定されません。OCI FastConnectで使用できます。このチュートリアルで使用しました。

目的

Microsoft Azure/OCIインターコネクトを介して暗号化されたトンネルを作成し、結合されたIPSecトンネルのネットワーク帯域幅の可能性を検証します。これが可能な場所を見つけるには、Azureのインターコネクトを参照してください。

これらの接続は、Microsoft Azure ExpressRouteおよびOCI FastConnectに基づいています。これらのインターコネクトを作成する際、ほとんどの場合、ほとんどの顧客に受け入れられるプライベート仮想回線を使用していますが、一部の顧客はネットワーク・リンクの暗号化を必要とし、このチュートリアルはそれらのためのものです。

IPSecトンネルが基礎となる仮想回線と同じ帯域幅に達しない可能性があるため、1つの仮想回線に8つのIPSecトンネルを作成して、暗号化された接続で全帯域幅を利用します。

専用プライベート仮想回線を介した暗号化トラフィックを含むこのオプションは、Google Cloudへのインターコネクト、およびオンプレミスとOCI間のFastConnect接続にも適用される場合がありますが、設定は異なります。

論理ネットワーク設計

接続でIPSec暗号化トラフィックのみを許可するか、同じ仮想回線で暗号化されていないトラフィックと暗号化されたトラフィックの両方を許可するオプションがあります。このチュートリアルでは、インターコネクトの両方を許可しますが、暗号化されたトラフィックのみがVCN1に到達し、暗号化されていないトラフィックのみがMicrosoft AzureのソースからOCIのVCN2に到達できるようにします。

実際の実装では、仮想回線でIPSecトラフィックのみを許可するオプションは、暗号化されたトラフィックのみを許可するという厳密な要件を持つ顧客に最も適している場合があります。

論理ネットワーク設計

IPSecを使用した帯域幅

IPSecトンネルは、トラフィックを可能なかぎり高速に暗号化および復号化します。ただし、トンネルを構築する2つのエンドポイントでサポートされている暗号化アルゴリズム・プロトコルにバインドされます。また、暗号化/復号化にはCPUサイクルが必要です。これにより、1秒当たりにトンネルを渡すことができるトラフィックの量が制限されます。トンネルごとにこの制限を克服するために、複数のトンネルを作成し、Equal Cost Multi-Pathing(ECMP)を使用できます。ECMPは、両端がECMPをサポートしている場合は、複数のトンネルにパケットをルーティングできます。

ノート:単一のネットワーク・ストリームでは、1つのトンネルのみが使用されます。ECMPを利用するには、ロードを異なるエンドポイント/ポートに分散する必要があります。これは通常、現実世界の場合です。一方の側の複数のエンドポイントは、他方の側の複数のエンドポイントに接続します。

IPSECトラフィックでECMPが有効

詳細なネットワーク設定

次の図は、Microsoft AzureとOCIの両方のネットワーク設定を示しています。Microsoft Azure側は、ネットワーク・ゲートウェイがハブvNetにあり、これらのテストの実行時にソースとして機能するスポークvNET (ここではazure-vNET)とピアリングされる通常のハブ/スポーク設定で構成されます。OCI側では、IPSec over OCI FastConnectを使用して設定するには、仮想回線とIPSecアタッチメント用に個別のルート表を作成する必要があります。

詳細なネットワーク設定

トラフィックフロー

Microsoft Azure vNETとVCN1の間の暗号化されたトラフィックのみを許可し、VCN2への暗号化されていないトラフィックを許可するには、OCIにVCN1とVCN2用の個別のルート表があります。

トラフィック・フローを次の図に示します。

ネットワーク・トラフィック・フローを含む詳細なネットワーク設定

前提条件

タスク1: 準備

ここでは、準備設定を行うときに知っておくとよい情報をいくつか示します。

Microsoft Azure ExpressRouteゲートウェイ

Microsoft AzureとOCIの間のネットワーク・レイテンシを最小限に抑えるためにFastPathを有効にしたかったため、超パフォーマンスSKUを使用しました。帯域幅は少なくとも5Gbpsである必要があります。ExpressRouteゲートウェイのSKUの違いの詳細は、https://learn.microsoft.com/en-us/azure/expressroute/expressroute-about-virtual-network-gateways.を参照してください

Microsoft Azure VPNゲートウェイ

当社は、プッシュスルーを計画しているトラフィックを処理できるVPNゲートウェイSKUを選択しました。VpnGw4は5Gbpsスループットをサポートし、デプロイするインターコネクト仮想回線も5Gbpsです。詳細は、「VPNゲートウェイSKUについて」を参照してください。VPNゲートウェイに関しては、プライベートIPを有効にすることが重要です。Microsoft Azureポータルからのデプロイメント中にプライベートIPを有効にできなかったため、最初にパブリックIPを使用してVPNゲートウェイを作成し、デプロイメント後にプライベートIPを有効にする必要がありました。

VPN用のVNGでプライベートIPを有効にする

OCIでは、VCN1およびVCN2アタッチメントで異なるルート表を使用する必要があります。

この段階での設定は次のようになります。

開始点

タスク2: ルート表の作成およびルート配分のインポート

これらのルート表を作成し、ルート配分をインポートします。みんな空っぽにして。

  1. OCIコンソールに移動し、「ネットワーキング」「顧客接続性、Dynamic Routing Gateway」「DRG」に移動して、DRGをクリックします。

  2. 次のルート表を作成し、ルート配分をインポートします。

    • VCN1ルートテーブル。
    • VCN2ルートテーブル。
    • 仮想回線ルート表。
    • IPSecルート表。
    • VCN1インポート・ルート。
    • VCN2インポート・ルート。
    • 仮想回線インポート・ルート。
    • IPSecインポート・ルート。

    すべてのルート表およびインポート・ルート配分は空のままにします。

タスク3: 各ルート表への正しいインポート・ルート配分の割当て

各ルート表名「編集」をクリックし、「ルート・ディストリビューションのインポートの有効化」を選択し、ドロップダウン・メニューをクリックして正しいルート・ディストリビューションのインポートを選択します。VCN1の場合、ECMPも有効にします。

マッピング

編集後、割当は次のようになります。

割当て

タスク4: Oracle Interconnect for Azureの作成

このドキュメント「接続の設定」に従います。

1つの例外として、ドキュメントでは、IPSecのトラフィックのみを許可したり、すべてのトラフィックを許可する新しい機能について説明していません。

インターコネクト

このチュートリアルでは、仮想回線で暗号化トラフィックと非暗号化トラフィックの両方を許可する予定であるため、「すべてのトラフィック」を選択する必要があります。残りは同じです。

タスク5: OCI FastConnectおよびVCNsのルート表の指定

デフォルトでは、各アタッチメントに自動生成されたルート表が使用されるため、作成したルート表に変更する必要があります。

アタッチメント名 DRGルート・テーブル
FastConnect VC添付 仮想回線ルート表
VCN1アタッチメント VCN1ルート・テーブル
VCN2アタッチメント VCN2ルート・テーブル

そのためには、添付ファイルを編集する必要があります。各アタッチメントの「編集」および「拡張オプションの表示」をクリックし、各アタッチメントのDRGルート表を選択します。

VCNアタッチメントのDRGルート表

VCNは次のようになります:

VCNアタッチメント- ルート表

仮想回線は次のようになります。

VCNアタッチメント- ルート表

タスク6: IPSec VPNトンネルの作成

OCIサイト間VPN接続では、リモート・エンド(OCIの観点から顧客構内機器(CPE)で1つのIPアドレスを使用し、OCIヘッド・エンドでトンネルごとに1つのIPアドレスを使用します。Border Gateway Protocol(BGP)セッションでは、セットアップする4つのVPN接続ごとに両方のトンネルを使用するために、設定を少し微調整する必要があります。

  1. Microsoft Azure Virtual Network Gateway (VNG) VPNプライベートIPアドレスを取得します。

    Microsoft Azure側でVPNゲートウェイのプライベートIPを表示するには、「詳細」をクリックする必要があります。これは、Microsoft Azure側でVPNを終了するために使用されます。

    プライベートIP 1

    その後、プライベートIPアドレスが表示されます。

    プライベートIP 2

  2. Microsoft Azure VNGでBGP IPを作成します。

    Microsoft Azure VPNゲートウェイで、OCI側からのVPN接続ごとに1つずつ、4xカスタムAPIPA BGP IPを作成します。

    APIPA BGP

  3. OCIでCPEデバイスを作成します。これで、すべてのVPNトンネルに使用されるMicrosoft AzureサイトのプライベートCPE IPがわかりました。OCIのMicrosoft AzureにプライベートIPを使用してCPEデバイスの仮想表現を作成し、FastConnectでIPSecを許可を有効にする必要があります。これを有効にするには、「ネットワーキング」「顧客接続性」に移動して、「顧客構内機器」をクリックします。

    CPEの作成

  4. OCIでサイト間VPNを作成します。

    「ネットワーキング」「顧客接続」「サイト間VPN」に移動し、「IPSec接続の作成」をクリックします。

    CPEでOCI FastConnectを介してIPSecを有効にしたため、指定する必要がある新しいオプションが表示されます。

    • OracleヘッドエンドIP (各トンネルの個別のIP。この設定については、次の表を参照してください)。
    • 関連付けられた仮想回線(すべてのトンネルで同じ)。
    • IPSecトンネルのルート表(この例のすべてのトンネルで同じ)。

    FC経由のIPSec設定

    これらのヘッドエンド・プライベートIPは、IPSecトンネルの作成時にOCI側で使用されます。

    Azure CPE IP VPN接続名 OCIトンネル名 OCIヘッドエンド・プライベートIP
      VPN1 Tunnel1 192.168.1.1
      VPN1 Tunnel2 192.168.1.2
      VPN2 Tunnel3 192.168.1.3
    10.30.0.6 VPN2 Tunnel4 192.168.1.4
      VPN3 Tunnel5 192.168.1.5
      VPN3 Tunnel6 192.168.1.6
      VPN4 Tunnel7 192.168.1.7
      VPN4 Tunnel8 192.168.1.8

    OCI側では、これはBGP設定に使用される構成です:

    VPN接続名 トンネル名 Azure APIPA BGP IP OCI APIPA BGP IP
    VPN1 Tunnel1 169.254.21.5/31 169.254.21.4/31
    VPN1 Tunnel2 169.254.21.5/30 169.254.21.6/30
    VPN2 Tunnel3 169.254.21.9/31 169.254.21.8/31
    VPN2 Tunnel4 169.254.21.9/30 169.254.21.10/30
    VPN3 Tunnel5 169.254.21.13/31 169.254.21.12/31
    VPN3 Tunnel6 169.254.21.13/30 169.254.21.14/30
    VPN4 Tunnel7 169.254.21.17/31 169.254.21.16/31
    VPN4 Tunnel8 169.254.21.17/30 169.254.21.18/30

    Microsoft AzureへのVPN接続を確立するには、「IPSec接続の作成」から始まる標準ドキュメントを使用し、前述のOCI FastConnectを介したIPSecの特別な設定を覚えておいてください。詳細は、AzureへのVPN接続を参照してください。

    4つのVPN接続(8つのトンネル)すべてに対してこれを行う必要があります。

タスク7: Microsoft Azureでのローカル・ネットワーク・ゲートウェイ(LNG)の作成

LNGは、OCIでのVPNエンドポイントの仮想表現です。次の表に示すように、パラメータを使用して8 LNGを作成します。

LNG

すべてのLNGのパラメータを表に示します。LNGの作成時に、これらのパラメータが使用されました(BGP設定の有効化)。

名前 エンドポイントIPアドレス ASN番号 BGPピアのIPアドレス
OCI1 192.168.1.1 31898 169.254.21.4
OCI2 192.168.1.2 31898 169.254.21.6
OCI3 192.168.1.3 31898 169.254.21.8
OCI4 192.168.1.4 31898 169.254.21.10
OCI5 192.168.1.5 31898 169.254.21.12
OCI6 192.168.1.6 31898 169.254.21.14
OCI7 192.168.1.7 31898 169.254.21.16
OCI8 192.168.1.8 31898 169.254.21.18

次の図は、各VPN接続の視覚的な表現を示しています。

VPN接続の表現

タスク8: Microsoft Azureでのvng-VPNと各LNG間の接続の作成

  1. サイト間VPNページに移動し、「表示」および「コピー」をクリックして、各トンネルのOCIコンソールから共有シークレット(PSK)をコピーします。

    VPN接続2

  2. Microsoft Azureで、vng-VPNに移動し、各LNGへの接続を作成します。

    VPN接続3

  3. 各接続のMicrosoft Azureコンソールに共有シークレットを貼り付け、ドロップダウン・メニューをクリックして正しいBGPアドレス、VNGおよびローカル・ネットワーク・ゲートウェイを選択します。タスク6で使用したBGP IP。

    VPN接続4

    その後、すべてのトンネルは数分以内に上がるはずです。Microsoft Azureで次のことを確認します。

    VPN接続5

    OCIで検証します。

    VPN接続6

タスク9: 接続のテスト

今こそ、それがどのように機能するかを見る時です。Microsoft Azure VMからOCI内の仮想マシンへの帯域幅をテストします。4x VMは、IPSecトラフィックのみを許可するVCN内に配置され、Microsoft Azure ExpressRoute/OCI FastConnectを介した暗号化されていないトラフィックを許可する別のVCN内の1つのVM内に配置されます。

両側の仮想マシンには、このネットワーク帯域幅を処理するのに十分なコアがあります。ほとんどのアプリケーションでそのプロトコルが使用されるため、TCPプロトコルをテスト・シナリオとして使用します。

ネットワーク・レイテンシは帯域幅に影響することを理解していますが、IPSecの有無の差分を取得したかったため、顕著になりません。ここでの目的は、最大帯域幅を表示することではなく、インターコネクト上でIPSec暗号化が行われることによる影響を、暗号化なしでインターコネクトを使用するのみと比較して理解することです。

IPSecトラフィック用にOCI側に4つの仮想マシンがある理由は、1つのVPNトンネルがインターコネクト用の5Gbps仮想回線を飽和させることができないため、ECMPを使用して、異なるVPNトンネルを介してトラフィックをエンドポイントに分散させ、それぞれに異なるIPと応答するポートがあるためです。これは通常、現実世界でも同様ですが、多くのソース・エンドポイントが多くの宛先エンドポイントと通信します。

テスト設定 1

帯域幅テストでは、iperf3を使用します: https://iperf.fr/

OCI側のサーバー(リスニング側):

OCI VM1_a = $ iperf3 -s -p 5201
OCI VM1_b = $ iperf3 -s -p 5202
OCI VM1_c = $ iperf3 -s -p 5203
OCI VM1_d = $ iperf3 -s -p 5204
OCI VM2   = $ iperf3 -s -p 5201

タスク9.1: 仮想回線での帯域幅のテスト

次のコマンドを実行して、Microsoft Azure VMからOCI VM2までの仮想回線で最大帯域幅をテストします。

$ iperf3 -c <OCIVM2 IP> -p 5201
Summary output:
[ ID]   Interval         Transfer     Bitrate         Retr
[  6]   0.00-10.00  sec  6.13 GBytes  5.27 Gbits/sec  336296  sender
[  6]   0.00-10.04  sec  6.12 GBytes  5.24 Gbits/sec          receiver

仮想回線に5Gbps帯域幅を使用し、5.24Gbpsを達成したことがわかります。

テスト9.2: ECMPを使用した結合されたIPSec帯域幅のテスト

次のコマンドを実行して、Microsoft Azure VMからOCI上の4x VMまで、IPSecトンネルで最大帯域幅を同時にテストします。

$ iperf3 -c <OCIVM1_a IP> -p 5201 & iperf3 -c <OCIVM1_b IP> -p 5202 &
iperf3 -c <OCIVM1_c IP> -p 5203 & iperf3 -c <OCIVM1_d IP> -p 5204 &

これは、私たちが行ったテストのひとつです。

[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.81 GBytes  1.56 Gbits/sec  4018   sender
[  5]   0.00-10.04  sec  1.81 GBytes  1.55 Gbits/sec         receiver

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.24 GBytes  1.07 Gbits/sec  32114  sender
[  5]   0.00-10.04  sec  1.24 GBytes  1.06 Gbits/sec         receiver

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.08 GBytes   931 Mbits/sec  1016   sender
[  5]   0.00-10.04  sec  1.08 GBytes   921 Mbits/sec         receiver

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.78 GBytes  1.53 Gbits/sec  63713  sender
[  5]   0.00-10.04  sec  1.78 GBytes  1.52 Gbits/sec         receiver

このテスト実行のサマリーは、5.05Gbps (1.55 + 1.06 + 0.92 + 1.52)です。テスト実行に平均を要する場合、4.51Gbpsを取得しました。

帯域幅結果1

そのため、OCI FastConnect仮想回線でIPsec暗号化を使用して、ほぼすべてのネットワーク帯域幅を利用できます。

タスク9.3: 1つのIPSecトンネルを使用した帯域幅のテスト

ECMPを使用できない(他の側ではサポートされない)場合があるため、1つのIPSecトンネルからどの帯域幅を取得できるかを測定しました。Microsoft Azure上の1つのVMからOCI上の1つのVMへ。

次に、1つのIPSec暗号化トンネルのネットワーク帯域幅がかなり良好であることを示すサマリー表を示します。

帯域幅の結果1トンネル

IPSec暗号化を使用してOCI FastConnectリンク上のネットワーク・トラフィックを暗号化する顧客は、複数のVPNトンネルを利用し、1つのVPNトンネルを超えてIPSecトラフィックの合計帯域幅を増やすことができ、基礎となる仮想回線とほぼ同じ合計帯域幅になることがわかりました。

確認

その他の学習リソース

docs.oracle.com/learnで他のラボを確認するか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスして、Oracle Learning Explorerになります。

製品ドキュメントについては、Oracle Help Centerを参照してください。