1. AWS RDSデータベースのOCI Observability and Managementの設定
  2. ソリューションの構成

ソリューションの構成

このソリューションの構成は、ネットワーク・インフラストラクチャを構成してから、管理ゲートウェイおよび管理エージェントをインストールする2段階のプロセスです。次の手順では、これらの段階について説明します。

ネットワーキングの構成

次のステップを使用して、AWSとOCI間のIPSec VPNトンネリングを設定し、RDSとO&Mサービス間の通信を有効にします。この設定は、OCIサイト間VPNバージョン2で動作します。

AWS用一時カスタマ・ゲートウェイの作成

一時カスタマ・ゲートウェイを使用して、AWSサイト間VPNを初期プロビジョニングし、トンネルのAWS VPNエンドポイントを公開します。OCIでは、IPSec接続を作成するには、リモートVPNピアのパブリックIPが必要です。このプロセスを完了すると、実際のOCI VPNエンドポイント・パブリックIPを表す新しいカスタマ・ゲートウェイが構成されます。

  1. メインのAWSポータルで、画面の左上にある「Services」メニューを展開します。「ネットワークおよびコンテンツ配信」の下の「VPC」を参照します。
  2. 左側のメニューから下にスクロールし、「Virtual Private Network (VPN)」の下の「Customer Gateway」をクリックします。
  3. 「Create Customer Gateway」をクリックして、ゲートウェイを作成します。
    「カスタマ・ゲートウェイの作成」ページが表示されます。
  4. 次の詳細を入力します。
    • Name: このカスタマ・ゲートウェイに一時名を指定します。この例では、TempGatewayという名前を使用します。
    • Routing: 「Dynamic」を選択します。
    • BGP ASN: OCI BGP ASNを入力します。商用クラウド向けのOracleのBGP ASNは31898ですが、セルビア中央部(Jovanovac)リージョンは14544です。
    • IP Address: 一時ゲートウェイに任意の有効なIPv4アドレスを使用します。この例では、1.1.1.1を使用します。
  5. 一時カスタマ・ゲートウェイの構成が終了したら、「Create Customer Gateway」をクリックしてプロビジョニング・プロセスを実行します。

AWS用の仮想プライベート・ゲートウェイの作成およびアタッチ

仮想プライベート・ゲートウェイ(VPG)を使用すると、ネットワーク外部のリソースがネットワーク内のリソースと通信できます。AWS用のVPGを作成してアタッチするには、この手順を使用します。

  1. AWSの左側のメニューで、下にスクロールして「Virtual Private Network (VPN)」「Virtual Private Gateways」をクリックします。
  2. 「Create Virtual Private Gateway」をクリックして、新しい仮想プライベート・ゲートウェイを作成します。
    「仮想プライベート・ゲートウェイの作成」ページが表示されます。
  3. 次の詳細を入力します。
    • Name: 仮想プライベート・ゲートウェイ(VPG)の名前を指定します。
    • ASN: AmazonのデフォルトのASNを選択します。
  4. 仮想プライベート・ゲートウェイの構成が終了したら、「Create Virtual Private Gateway」をクリックしてプロビジョニングを完了します。
  5. VPGの作成後、選択したVPCに接続します。
    1. 「仮想プライベート・ゲートウェイ」ページを表示したまま、VPGが選択されていることを確認し、「アクション」メニュー(「アクション・メニュー」)を開き、「VPCにアタッチ」を選択します。選択した仮想プライベート・ゲートウェイの「Attach to VPC」ページが表示されます。
    2. リストからVPCを選択し、VPGのVPCへのアタッチを完了するには、「Yes」、「Attach」をクリックします。

AWS用のVPN接続の作成

ネイティブVPNサービスを使用してOCIをAWSに接続するには、この手順を使用します。

  1. 左側のメニューで、下にスクロールして「Virtual Private Network (VPN)」の下の「Site-to-Site VPN Connections」をクリックします。
  2. 「Create VPN Connection」をクリックして、新しい仮想プライベート・ゲートウェイを作成します。「Create VPN Connection」ページが表示されます。
  3. 次の詳細を入力します。
    • ネーム・タグ: VPN接続に名前を付けます。
    • ターゲット・ゲートウェイ・タイプ: 「仮想プライベート・ゲートウェイ」を選択し、リストから以前に作成した仮想プライベート・ゲートウェイを選択します。
    • Customer Gateway: 「Existing」を選択し、リストから一時カスタマ・ゲートウェイを選択します。
    • Routing Options: 「Dynamic (必要なBGP)」を選択します。
    • Tunnel inside Ip Version: IPv4を選択します。
    • Local/Remote IPv4 Network Cidr: これらの両方のフィールドを空白のままにし、any/anyのルートベースのIPSec VPNを作成します。

      次のステップに進んでください。「Create VPN Connection」はまだクリックしません

  4. 「Create VPN Connection」ページを表示したまま、「Tunnel Options」まで下にスクロールします。
  5. リンクのローカル169.254.0.0/16範囲内から/30 CIDRを選択します。完全なCIDRを「Inside IPv4 CIDR for Tunnel 1」に入力します。
  6. OCIが、選択した/30アドレスをトンネル内IPに対してサポートしていることを確認します。
    OCIでは、次のIP範囲をトンネル内IPに使用できません:
    • 169.254.10.0-169.254.19.255
    • 169.254.100.0-169.254.109.255
    • 169.254.192.0-169.254.201.255
    次のステップに進んでください。「Create VPN Connection」はまだクリックしません
  7. 「Advanced Options for Tunnel 1」で、「Edit Tunnel 1 Options」を選択します。
    追加のオプション・セットが展開されます。このトンネルに使用される暗号化アルゴリズムを制限する場合は、必要なフェーズ1およびフェーズ2のオプションをここで構成します。この接続にはIKEv2を使用する必要があります。IKEv1チェック・ボックスの選択を解除して、IKEv1が使用されないようにします。OCIでサポートされているフェーズ1およびフェーズ2のオプションの説明は、「サポートされているIPSecパラメータ」を参照してください(「詳細」を参照)。
  8. 必要なすべてのオプションの構成が終了したら、「Create VPN Connection」をクリックしてVPN接続プロビジョニング・プロセスを完了します。

AWS構成のダウンロード

VPN接続のプロビジョニング中に、すべてのトンネル情報の構成をダウンロードします。このテキスト・ファイルは、OCIコンソールでトンネルを構成するために必要です。

  1. VPN接続が選択されていることを確認します。「構成のダウンロード」をクリックします。
  2. 「ベンダーおよびプラットフォーム」設定の「汎用」を選択し、「ダウンロード」をクリックして、構成のテキスト・コピーをローカル・ハード・ドライブに保存します。
  3. ダウンロードした構成ファイルを任意のテキスト・エディタで開きます。IPSec Tunnel #1, section #1 Internet Key Exchange Configurationの下を参照します。ここで、トンネルに対して自動生成された事前共有キーを見つけます。この値を保存します。
    AWSでは、ピリオドまたは下線文字(.または_)を使用して事前共有キーが生成される可能性があります。OCIでは、事前共有キーでこれらの文字の使用はサポートされていません。これらの値を含むキーは変更する必要があります。トンネルのAWSで事前共有キーを変更するには:
    1. VPN接続を選択し、「アクション」メニューを開き、「VPNトンネル・オプションの変更」を選択します。
    2. ダウンロードした構成のトンネル1の下で、セクション#3 Tunnel Interface Configurationまで下にスクロールします。
    3. OCIのSite-to-Site VPN構成を完了するには、次の値を記録します。
      • 仮想プライベート・ゲートウェイの外部IPアドレス
      • カスタマ・ゲートウェイの内部IP
      • 仮想プライベート・ゲートウェイの内部IP
      • 仮想プライベート・ゲートウェイのBGP ASN。デフォルトのASNは64512です。

OCIの顧客施設機器の作成

次に、トラフィックがオンプレミス・ネットワークと仮想クラウド・ネットワーク(VCN)間を移動できるように、サイト間VPNの終端にオンプレミス・デバイス(Customer Premises Equipment、CPE)を構成する必要があります。次の手順に従ってください。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「オンプレミス機器」をクリックします。
  2. 「Create Customer Premises Equipment」をクリックします。
  3. 次の値を入力します:
    • コンパートメントに作成: 必要なVCNコンパートメントを選択します。
    • 名前: CPEオブジェクトの説明的な名前を入力します。これは、一意である必要はありませんが、後からコンソールで変更できません(ただし、APIでは変更できます)。機密情報を入力しないでください。この例では、TO_AWSを名前として使用します。
    • IPアドレス: AWSからダウンロードできます。
    • CPEベンダー: 「その他」を選択します。
  4. 「CPEの作成」をクリックします。

OCIのIPSec接続の作成

ここでは、IPSecトンネルを作成し、静的またはBGP動的ルーティングのいずれかのルーティング・タイプを構成する必要があります。次の手順に従ってください。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「サイト間VPN」をクリックします。
  2. 「Create IPSec Connection」をクリックします。
    新しいIPSec接続ダイアログが表示されます。
  3. 次の値を入力します:
    • コンパートメントに作成: そのままにします(VCNコンパートメント)。
    • 名前: IPSec接続の名前(例: OCI-AWS-1)を入力します。これは一意である必要はなく、後で変更できます。機密情報を入力しないでください。
    • 顧客オンプレミス機器コンパートメント: そのままにします(VCNコンパートメント)。
    • 顧客オンプレミス機器: TO_AWSという名前で以前に作成したCPEオブジェクトを選択します。
    • Dynamic Routing Gatewayコンパートメント: そのままにします(VCNのコンパートメント)。
    • Dynamic Routing Gateway: 前に作成したDRGを選択します。
    • 静的ルートCIDR: デフォルト・ルート0.0.0.0/0を入力します。

      アクティブ・トンネルはBGPを使用するため、OCIはこのルートを無視します。IPSec接続の2番目のトンネルにはエントリが必要です。デフォルトでは静的ルーティングが使用されますが、アドレスはこのシナリオでは使用されていません。この接続に静的ルーティングを使用する場合は、AWS仮想ネットワークを表す静的ルートを入力します。IPSec接続ごとに最大10個の静的ルートを構成できます。

  4. 「トンネル1」タブで次の詳細を入力します(必須):
    • 名前: わかりやすいトンネル名を入力します(例: AWS-TUNNEL-1)。これは一意である必要はなく、後で変更できます。機密情報を入力しないでください。
    • カスタム共有シークレットの指定: このトンネルのIPSecで使用される事前共有キーを入力します。このボックスを選択し、AWS VPN構成ファイルから事前共有キーを入力します。
    • IKEバージョン: IKEv2を選択します。
    • Routing Type: 「BGP Dynamic Routing」を選択します。
    • BGP ASN: AWS VPN構成ファイルにあるとおり、AWSで使用されるBGP ASNを入力します。デフォルトAWS BGP ASNは64512です。
    • IPv4トンネル内インタフェース- CPE: AWS VPN構成ファイルからIPアドレス内の仮想プライベート・ゲートウェイを入力します。このIPアドレスには完全なCIDR表記を使用します。
    • IPv4トンネル内インタフェース- Oracle: OCIで使用される内部IPアドレスを入力します。AWS VPN構成ファイルから、カスタマ・ゲートウェイの内部IPアドレスを入力します。このIPアドレスには完全なCIDR表記を使用します。
  5. 「Create IPSec Connection」をクリックします。
    IPSec接続が作成され、ページに表示されます。この接続は、短い間「プロビジョニング中」状態になります。
  6. IPSec接続のプロビジョニング後に、トンネルのOracle VPN IPアドレスを記録します。このアドレスは、AWSポータルで新しいカスタマ・ゲートウェイを作成するために使用されます。
    1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「サイト間VPN」をクリックします。

      表示しているコンパートメント内のIPSec接続のリストが表示されます。探している接続が表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側のリストから選択します)。

    2. 目的のIPSec接続をクリックします(例: OCI-AWS-1)。
    3. AWS-TUNNEL-1のOracle VPN IPアドレスを見つけます。

新規AWSカスタマ・ゲートウェイの作成

ここで、OCI IPSec接続から取得した詳細を使用して、既存のカスタマ・ゲートウェイ上に新しいカスタマ・ゲートウェイを作成します。

  1. AWSコンソールで、「カスタマ・ゲートウェイ」を参照し、次の詳細を入力してカスタマ・ゲートウェイを作成します:
    • Name: このカスタマ・ゲートウェイに名前を付けます。
    • Routing: 「Dynamic」を選択します。
    • BGP ASN: OCI BGP ASNを入力します。商用クラウド向けのOracleのBGP ASNは31898ですが、セルビア中央部(Jovanovac)リージョンは14544です。
    • IP Address」: トンネル1の Oracle VPN IPアドレスを入力します。前のタスクに保存したIPを使用します。
  2. プロビジョニングを完了するには、「ゲートウェイの作成」をクリックします。

新しいAWSカスタマゲートウェイを使用したVPN接続の変更

このタスクでは、一時カスタマ・ゲートウェイを、OCI VPN IPアドレスを使用するものに置き換えます。

  1. AWSコンソールで、「Site-to-Site VPN Connections」を参照し、VPN接続を選択します。
  2. 「アクション」メニューを開き、「VPN接続の変更」を選択します。
    「VPN接続の変更」ページが表示されます。
  3. 次の詳細を入力します。
    • ターゲット・タイプ:リストから「カスタマ・ゲートウェイ」を選択します。
    • ターゲット・カスタマ・ゲートウェイID: リストから、OCI VPN IPアドレスを持つ新しいカスタマ・ゲートウェイを選択します。
  4. 完了したら、「保存」をクリックして構成を保存します。数分後、AWSはVPN接続のプロビジョニングを終了し、AWSとOCI間のIPSec VPNが起動します。
  5. この時点で、一時カスタマ・ゲートウェイを削除できます。

接続性の検証

OCIのIPSec接続と、AWSのサイト間VPN接続を参照して、トンネル・ステータスを確認します。

  • IPSec接続の下のOCIトンネルに、IPSecステータスが「稼働中」と表示され、稼働中のトンネルを確認できます。
  • また、IPv4 BGPステータスには、「稼働中」が表示され、確立されたBGPセッションが示されます。
  • 「Tunnel Details」タブのAWSのSite-to-Site VPN接続のトンネル・ステータスに、「Up」と表示されます。

管理ゲートウェイおよびエージェントのインストール

サイト間VPN環境にエージェントおよびゲートウェイをインストールするアーキテクチャについて学習するには、「管理ゲートウェイを使用したセキュアなオンプレミス可観測性データのアップロード」を参照してください(「詳細」を参照)。

管理ゲートウェイをインストールします

次に、管理ゲートウェイをインストールする必要があります。管理ゲートウェイは、パブリック・サブネットを介してではなく、IPSec VPNトンネルを介してOCIサービスと通信できる必要があります。このタスクは、このドキュメントの範囲外であるため、詳細なステップは「管理ゲートウェイのインストール」を参照してください(「詳細」を参照)。

管理エージェントをインストールします

まず、管理エージェントをインストールする必要があります。このタスクは、このドキュメントの範囲外であるため、詳細なステップは「管理エージェントのインストール」を参照してください(「詳細」を参照)。

サービス・プラグインのデプロイ

管理エージェントでは、様々なOCIサービスのサービス・プラグインをデプロイできます。サービス・プラグインを管理エージェントにデプロイすると、それらのサービスのタスクを実行できるようになります。どの管理エージェントも複数のサービス・プラグインに対応します。

次のプラグインを管理します。

  • データベース管理と運用インサイト
  • ログ 分析
  • Opsインサイト・ホスト・サービス
  • スタック・モニタリング

エージェントでのサービス・プラグインのデプロイ

この方法を使用するのは、管理エージェントのインストールの説明に従って管理エージェントがすでにインストールされている場合です。

プラグインをデプロイするには:
  1. 左側のメニューで「エージェント」をクリックし、エージェント・ページを開きます。
  2. 「エージェント」リストで、プラグインをデプロイするエージェントをクリックします。「エージェントの詳細」ページが表示されます。
  3. 「プラグインのデプロイ」をクリックします。「プラグインのデプロイ」ウィンドウが表示されます。プラグインを選択し、「更新」をクリックします。選択したプラグインが目的のエージェントにデプロイされます。
  4. 「エージェント」ホーム・ページでエージェントおよびプラグインのステータスを確認します。