ノート:

2つのOCIリージョン間の静的ルーティングを使用したOracle Cloud Infrastructure Site-to-Site VPNの設定

イントロダクション

アプリケーション、データベースまたはサービスが様々なOracle Cloud Infrastructure (OCI)リージョンまたはテナントに分散されている場合、それらの間のネットワーク通信を有効にするための推奨方法は、リモート・ピアリング接続(RPC)ピアリングです。RPCピアリングを実行できない場合は、OCIサイト間VPN IPSec接続を確立する方法もあります。OCIでは、Dynamic Routing Gateway (DRG)を使用したOCIサイト間VPN IPSecの作成を直接サポートしていませんが、一方の側でカスタムVPNエンドポイント(Libreswanなど)を構成し、もう一方の側でDRGを使用してこの接続を実現できます。

イメージ

イメージ

この方法は、オンプレミスとOCIの間にOCIサイト間VPNを設定する必要があり、DRGを仮想プライベート・ネットワーク(VPN)エンドポイントとして使用せず、独自のカスタムVPNエンドポイントとして使用する場合にも使用できます。

目的

前提条件

タスク1: 宛先OCIリージョン(VCN、サブネット、DRG、VCNアタッチメントおよびインスタンス)の確認

このタスクでは、何を開始するのかを確認します。

次の図は、これまでに作成した内容を示しています。

イメージ

タスク2: ソースOCIリージョン(VCN、パブリック・サブネット、インターネット・ゲートウェイおよびインスタンス)の確認

次の図は、これまでに作成した内容を示しています。

イメージ

タスク3: ソースOCIリージョンからのCPEインスタンスのパブリックIPアドレスの収集

タスク4: 宛先OCIリージョンでの新規CPEの作成

タスク5: 宛先OCIリージョンでのOCIサイト間VPNの構成

タスク6: 宛先OCIリージョンのIPSecトンネルのパブリックIPアドレスの収集およびCPE構成のダウンロード

タスク7: ソースOCIリージョンでのCPEインスタンスの構成およびLibreswanのインストールと構成

タスク8: ソースOCIリージョンのCPEインスタンスでファイアウォールを開き、VCNおよびサブネットのセキュリティ・リストを構成する

VCNおよびサブネットのセキュリティ・リストを構成して、IPSec接続に必要なイングレス・ポートを許可します。トンネルを正しく確立できるようにするには、両側のネットワーク・セキュリティで必要なポートが許可されていることを確認する必要があります。

CPEでのLinuxファイアウォールの無効化

場合によっては(テスト目的で)、Libreswanが実行されているCPEインスタンスのLinuxファイアウォールを完全に無効にすることをお薦めします。これを行うには、次のコマンドを使用します。

[root@cpe ipsec.d]# systemctl disable --now firewalld

次のコマンドを実行して、Libreswanのファイアウォール・サービスが実行されていないことを確認します。

[root@cpe ipsec.d]# systemctl status firewalld

タスク9: IPSecトンネルが両側で稼働しているかどうかのアクティブ化と検証

タスク10: 静的ルーティングの構成

タスク11: ソース・インスタンスおよび宛先インスタンスからの最終Pingの開始

タスク12: OCIサイト間VPNステータスの確認

タスク13: 等価コスト・マルチパス(ECMP)ルーティングの有効化

確認

その他の学習リソース

docs.oracle.com/learnで他のラボを確認するか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスして、Oracle Learning Explorerになります。

製品ドキュメントについては、Oracle Help Centerを参照してください。