fbpx

IPSec VPNのベストプラクティス

多くのベンダーが、IPSec トンネルを構築できる物理アプライアンスと仮想アプライアンスを提供しています。これらの製品は標準のIPSec トンネルをサポートしますが、さまざまなベンダー間でいくつかの非互換性があります。このドキュメントでは、インターネット経由でIPSec VPNを使用してオンプレミスネットワークをOracle Cloud Infrastructureに接続し、最も成功する方法のベストプラクティスを提供します。ルーティングプロトコルと概念、IPSec VPNテクノロジーと構成、およびOracle Cloud Infrastructureの概念とコンポーネントに精通していることを前提としています。このドキュメントには、さまざまなIPSec VPNソリューションの展開に役立つ、シンプル、冗長、および複雑な使用例も含まれています。

尚、本記事ではあくまでIPsec VPNの解説にとどめますが、本来境界型セキュリティではなくゼロトラストネットワークの実現を目指すべきです。VPNからゼロトラストへの移行は他の記事をご参照ください。

設計原則

IPSec VPNソリューションを設計するときは、次の原則を考慮してください。

  • ハードウェア機能:必要なワークロードに応じて、インフラストラクチャには、オンプレミスネットワークからOracle Cloudに必要な帯域幅をサポートするのに十分な容量が必要です。インフラストラクチャ内のすべてのデバイス(VPNゲートウェイ、ルーター、ファイアウォール、スイッチ)およびインターネット回線は、必要な容量をサポートできる必要があります。パス内のコンポーネントの1つに容量がない場合、接続全体が影響を受けます。VPNゲートウェイには、必要な容量レベルでトラフィックを暗号化するのに十分なリソースが必要です。
  • 可用性:クラウドに展開するワークロードはミッションクリティカルなので、ダウンタイムを回避するためにソリューションに冗長性を組み込む必要があります。可能であれば、ハードウェアの多様性とサイトの多様性が必要です。Oracle Cloud Infrastructureを使用してIPSec VPNを構築する場合、Oracleはデフォルトでトンネルを終了するための2つのゲートウェイを提供します。2つのトンネルは常にアクティブであり、両方のトンネルからネットワークへのトラフィックを許可する必要があります。それらをアクティブおよびスタンバイとして扱わないでください。
  • パフォーマンス:Oracle Cloud Infrastructure のIPSec VPNは、パブリックインターネットを使用してオンプレミスネットワークをOracle Cloudに接続します。接続のスループットは、インターネットの品質、VPNゲートウェイ(エッジデバイス)とOracle VPNゲートウェイ間の遅延、インターネット回線の帯域幅、VPNデバイスの容量など、多くの要素に依存します。より信頼性の高い接続が必要な場合、オラクルはFastConnect を提供します。これは、プライベートネットワーク上で堅牢で信頼性の高い接続を提供します。
  • ルーティング:ルーティングは、構築するトンネルにトラフィックを送る方法を決定します。トンネルは両側でUP状態になっている可能性がありますが、ルーティングが適切に設定されていないと、トラフィックはトンネルを流れません。IPSec VPNは、静的ルーティングとボーダーゲートウェイプロトコル(BGP)をサポートしています。適切なフェイルオーバーのためにトンネルがダウンしたときにルートがルートテーブルから撤回するようにルートが構成されていること、およびフェールバックに対して正しい優先順位が設定されていることを確認します。
  • IPSec VPN構成:2つのエンドポイントがIPSec 接続を確立し、トラフィックがトンネルを正常に通過するためには、両端の設定が100%一致している必要があります。そうしないと、接続のパフォーマンスが影響を受けます。次のセクションでは、推奨設定を示します。
  • セキュリティ:セキュリティも全体的な戦略において重要な役割を果たします。アクセスリストを使用すると、特定のトラフィックが接続を使用することを許可できます。ルーティングと暗号化ドメインはより一般的な方法でトラフィックを許可しますが、アクセスリストを使用すると、ポートレベルでよりきめ細かくトラフィックをフィルタリングできます。アクセスリストでの使用は、接続を介して許可するトラフィックのタイプによって異なるため、このドキュメントではアクセスリストに関するガイダンスをほとんど提供していません。
  • コスト:ワークロードをサポートするために必要なインフラストラクチャには、それに関連するコストがあります。IPSec VPNソリューションは、あなたの最初のクラウド展開中にあなたの要件を満たすことがあります。ただし、成長するにつれて、環境のアップグレードが必要になる場合があります。IPSec VPN を引き続き使用する場合は、VPN ゲートウェイをアップグレードする必要があるか、FastConnect を使用してプライベート接続に移行することを決定する場合があります。どちらのオプションにも投資が必要です。

Oracle Cloud Infrastructure VPN Connect

Oracle Cloud Infrastructure VPN Connectを使用すると、オンプレミスネットワークを1つ以上のOracle Cloudリージョンにデプロイされている仮想クラウドネットワーク(VCN)に接続できます。Oracle Cloud Infrastructure Consoleを使用して、IPSec VPN接続のOracle側を構成します。Oracle ConsoleとエッジデバイスでVPN Connectを構成するには、ネットワーキングチームに協力することをお勧めします。手順については、「VPN接続の設定」を参照してください。

エッジデバイスの推奨事項

エッジデバイスは、標準のIPSec VPNトンネルをサポートしている限り、ルーター、ファイアウォール、SD-WANデバイス、またはVMにすることができます。このデバイスは、ネットワークエンジニアリングチームまたはマネージドサービスプロバイダーによって管理およびサポートされています。トンネルの次のガイドラインを使用して、オンプレミスネットワークのVPN対応エッジデバイスを構成することをお勧めします。

  • トンネルモードの暗号化をサポートします。トランスポートモードはサポートされていません。
  • オンプレミスネットワークでは、IKE IDはエッジデバイスのパブリックIPアドレスである必要があります。リモートIKE識別子は、OracleのVPNゲートウェイのIPアドレスです。
    エッジデバイスがNATデバイスの背後にあり、エッジデバイスのIKE識別子をパブリックIPアドレスと一致するように設定できない場合は、OracleコンソールでI PSec 接続を変更し、正しいパブリックIPアドレスまたはホスト名を入力できます。
  • Oracleは単一の暗号化ドメインをサポートします。暗号化ドメインは、トンネルで暗号化される「興味深いトラフィック」を定義します。Oracle VCNまたはオンプレミスネットワークのさまざまなサブネットに対応するために、複数の暗号化ドメインを作成しないでください。代わりに、サブネットを単一のスーパーネットに要約します(いくつかのサブネットを結合するか、単一のCIDRプレフィックスを持つ1つのネットワークに要約します)。たとえば、VCNネットワークが10.40.0.0/17および10.40.128.0/17で、オンプレミスネットワークが10.0.0.0/18、10.0.64.0/18、10.0.128.0/18、および10.0.192.0/の場合18、次のオプションのいずれかを使用して、単一の暗号化ドメインを作成できます。
  • Oracle Cloudに接続するときの互換性と成功率を最大にするには、表2のパラメーターを使用します。複数の値が表示されている場合、太字の項目は、エッジデバイスの構成時に使用する推奨パラメーターを表しています。これらのパラメータは、することができます” トンコンソール上で設定することが、政策は、すでにすべてのオプションをサポートするために、事前に設定されています。パラメータが表に記載されていない場合、それはだサポートされていません。
  • ほとんどのVPNデバイスでは、「興味深いトラフィック」がトンネルを介して送信された後にのみIPSec トンネルが起動します。対象トラフィックは、暗号化ドメインで許可されるトラフィックです。デフォルトでは、対象トラフィックはエンドから開始されます。暗号化ドメインにany-to-anyを使用してトンネルを構成している場合にのみ、Oracleエンドのインスタンスから接続を開始できます。
  • SLA監視により、対象トラフィックが送信され、IPsecトンネルがアクティブなままであることを確認します。この監視は、pingまたはある種のプローブで実行できます。シスコデバイスの場合、エッジデバイスのIPアドレスが暗号化ドメインの一部である限り、ポリシーベースのトンネルのSLAモニターを構成することが必須です。
  • デフォルトでは、Oracleはトンネルごとにキーを生成し、コンソールで提供します。それを使用するか、独自に提供することができます。
  • Oracle Cloud InfrastructureはIPSec NAT Traversal(RFC 3947)をサポートしています。

推奨事項に基づいてIPSec トンネルを構成したら、次のステップはトラフィックをIPSec VPNに転送することです。このステップでは、ルーティングとセキュリティが重要な役割を果たします。場合でも、IPSecのVPNが正しく両端にUP状態に設定され、トラフィックはないだろうに向けることのIPSec ルーティングまたはセキュリティのリストが正しく設定されている場合、VPN。Oracle Cloudとオンプレミスネットワークの両方でルーティングリストとセキュリティリストが正しく構成されていることを確認するには、次の推奨事項を検討してください。

  • ルーティング
    • エッジデバイスを構成して、VCN宛てのトラフィックがVPNエッジと正しいVPNインターフェイスを指すようにします。
    •  静的ルーティングでIPSec VPNを使用する場合は、トンネルがダウンしたときにルートがルートテーブルから削除されていることを確認してください。そうしないと、正しくフェイルオーバーしません。
    • 各IPSec VPN接続には2つのトンネルがあるため、トラフィックが両方のトンネルを介してルーティングできることを確認し、ルートに正しい優先順位を与えます。
  • セキュリティ
    • オンプレミスネットワークの場合、パス内のファイアウォールがVCNとの通信をブロックしていないことを確認してください。これは、ファイアウォールがトンネルの有効化のためのトラフィックと対象トラフィックをブロックする可能性があるため、接続の成功にとって重要です。
    • 各IPSec VPN接続には2つのトンネルがあり、ファイアウォールの両方のトンネルを通過するトラフィックを許可する必要があります。Oracleはどちらのトンネルでもトラフィックを送信できるため、トンネルをアクティブおよびスタンバイとして扱わないでください。
    • ファイアウォールまたはオンプレミスネットワークのその他のセキュリティリストでICMPタイプ3コード4メッセージが許可されていることを確認します。これにより、パス最大転送ユニット検出(PMTUD)がデータ転送中に使用される最大PDUを判別できるようになります。

設計原則に従って、冗長ソリューションを構築し、単一障害点を回避することもお勧めします。冗長性により、Oracle、ベンダー、通信事業者、または組織がネットワークでメンテナンスを実行する場合でも、接続を維持できます。

  • ネットワーク内の単一障害点を特定し、冗長または多様なハードウェアとパスを導入することでそれらを排除します。
  • コンソールでVPN Connectを構成すると、Oracleは冗長性のために同じリージョン内の2つの多様なVPNゲートウェイのパブリックIPアドレスを自動的に提供します。
  • 予測可能なフェイルオーバーとフェイルバックのために、プライマリトンネルを介してより具体的なルートを、バックアップトンネルを介してより具体的でないルートをアドバタイズします。

Oracle Cloudの推奨事項

Oracle Cloud Infrastructure Consoleで、VPN Connectを正しく構成するには、いくつかのコンポーネントを作成して有効にする必要があります。この構成は、クラウド管理者またはネットワークチームが行うことができます。詳しい手順については、「ネットワークの概要」を参照してください。

展開を成功させるには、次の点を考慮してください。

  • 動的ルーティングゲートウェイ(DRG)を作成します。
  • DRGをVCNに接続します。
  • 顧客宅内機器(CPE)オブジェクトを作成します。
  • IPSec 接続を作成します。
  • ルーティングを構成します。
    • エッジデバイスのパブリックIPアドレスを含むCPEオブジェクトを作成します。次に、DRG内で、CPEオブジェクトを指し、オンプレミスネットワークサブネットを指定するIPSec 接続を作成します。この構成は、オンプレミスネットワークに到達するために使用する接続をDRGに指示します。
    • Oracle CloudのVCNには、オンプレミスネットワーク宛てのルートのVCNに接続されているDRGを指すルートルールが必要です。ルートルールは、デフォルトのルートテーブルまたはサブネットルートテーブルにあります。
    • VCN内のどのサブネットがオンプレミスネットワークと通信できるかを制御できます。VCNの各サブネットのルートテーブルで、オンプレミスネットワーク全体をアドバタイズするのではなく、いくつかのサブネットを指定します。
    • 各IPSec VPN接続には2つのトンネルがあり、Oracleは可用性に基づいてそれらのいずれかを使用します。トラフィックは、Oracle Cloudとオンプレミスネットワークの間で非対称になる場合があります。トラフィックが両方のトンネルのオンプレミスネットワークで許可されていることを確認します。
    • Oracleは、IPSec VPN接続ごとに2つのVPNゲートウェイを提供します。Oracleは、最初に出現するトンネルをルートテーブルに配置します。Oracleに同じ宛先へのルートがある場合、常に最も古いルートが使用されます。現在のトンネルがダウンした場合、トラフィックは他のトンネルにフェイルオーバーします。最初のトンネルが復元されても、復元されたトンネルからのルートは現在のルートよりも新しいため、トラフィックはトンネルにフェールバックしません。
  • セキュリティを設定します。
    • デフォルトのセキュリティリストまたはVCNのサブネットに関連付けられたリストの上りおよび下りのルールを更新して、オンプレミスネットワークへのトラフィックの許可/拒否を行います。
    • セキュリティリストを使用して、オンプレミスネットワークとVCNの間で許可されるトラフィックをより詳細なレベルで制御します。
    • VCNセキュリティリストとインスタンスファイアウォールの両方でICMPタイプ3コード4メッセージが許可されていることを確認します。これにより、パス最大転送ユニット検出(PMTUD)がデータ転送中に使用される最大PDUを判別できるようになります。

冗長性テスト

冗長性は、効果的なIPSec VPNソリューションの設計原則の1つです。展開中に設計をテストして、ルーティングが正しく設定されていること、およびフェイルオーバーとフェイルバックが期待どおりに機能することを確認することをお勧めします。テストには次の手順を使用します。これらの手順は、次のセクションで説明するすべてのユースケースに適用されます。

  1. すべてのパス(トンネルおよびFastConnect )が稼働していることを確認します。
  2. オンプレミスネットワークからVCNへの継続的なpingを開始します。テストの間、このpingを実行し続けます。
  3. トレースルートを実行し、結果を設計と比較して、トラフィックがプライマリパスを通過していることを確認します。トレースルートが機能するのは、パス内のデバイスがそれに応答することを許可されており、ファイアウォールやセキュリティリストがそれをブロックしていない場合のみです。
  4. トンネルインターフェイスまたはFastConnect インターフェイスをシャットダウンして、プライマリパスを無効にします。pingは、バックアップパスへのフェイルオーバーが完了するまで失敗します。将来の参考のために、フェイルオーバーにかかった時間を記録してください。
  5. 別のトレースルートを実行し、結果をステップ3の結果と比較します。結果は異なり、設計と一致している必要があります。
  6. トンネルインターフェイスまたはFastConnect インターフェイスを起動して、プライマリパスを有効にします。トラフィックがプライマリパスに戻ると、少数のパケットがドロップすることがあります。VPN Connectでは、より具体的なサブネットがプライマリパスでアドバタイズされ、それほど具体的でないサブネットがセカンダリパスでアドバタイズされる場合、トラフィックはプライマリパスに戻ります。同じルートが両方のパスでアドバタイズされる場合、トラフィックはフェールバックしません。
  7. 別のトレースルートを実行して、トラフィックがプライマリパスを通過していることを確認します。結果は、ステップ3の結果と同じになります。
  8. 上記の手順では、フェイルオーバーとフェイルバックを確認します。追加の手順として、バックアップパスを無効にして、それがソリューションの何にも影響しないことを確認します。これを行うと、継続的なpingでパケットがドロップすることはありません。両方のパスで同じサブネットをアドバタイズした場合、この手順により、トラフィックは強制的にプライマリパスにフェールバックされます。
  9. このテスト中に、ルートテーブルをチェックして、パスが使用できないときにパスが削除されていることを確認します。

ユースケース

このセクションでは、インターネット経由のVPN Connectを使用してオンプレミスネットワークからOracle Cloud Infrastructureに接続する次の一般的な使用例について説明します。ルーティング要件は、各ユースケースに提供されています。

  • 単一リージョン、単一カスタマーエッジデバイス(標準の可用性、低コスト)
  • 単一リージョンの冗長カスタマーエッジデバイス(高可用性、中程度のコスト)
  • FastConnect Plusシングルリージョン、シングルカスタマーエッジデバイスVPN(高可用性、高コスト)
  • 単一リージョン、複数のVCN、シングル/デュアルカスタマーエッジデバイス(高可用性、中程度のコスト)
  • デュアルリージョン、シングル/デュアルカスタマーエッジデバイス(高可用性、中程度のコスト)

単一リージョン、単一カスタマーエッジデバイス

この使用例は、インターネット経由のVPN Connectを使用してOracle Cloud Infrastructureに接続するための最も単純な設計です。オンプレミスネットワークの1つのエッジデバイスと、単一のOracle Cloudリージョンの2つのVPNゲートウェイ(デフォルト)で構成されます。エッジデバイスは、可能性に配置され、データセンター、コロケーション施設、または他のクラウドで、あなたの本部。エッジデバイスの位置は、オンプレミスネットワークからOracle Cloudと通信する必要がある人と対象によって異なります。

ソリューションが正しく機能するには、ルーティングが必要です。エッジデバイスでは、VCNサブネットは2つのトンネルインターフェイスを介してアドバタイズされます。トンネルの1つを優先することをお勧めします。Oracleは、IPSec VPN接続を構成する2つのトンネル間で非対称ルーティングを使用します。1つのトンネルをプライマリとして構成し、もう1つのトンネルをバックアップとして構成した場合でも、VCNからオンプレミスネットワークへのトラフィックは、デバイスで「アップ」状態のトンネルを使用できます。その結果、1つのトンネルを介してオンプレミスネットワークからOracle Cloudにトラフィックを送信でき、Oracleは別のトンネルを介してオンプレミスネットワークにトラフィックを送信できます。

IPSec 接続を作成するときは、オンプレミスネットワークにあるすべてのサブネットを含めます。または、それらの変更を回避するために、静的ルーティングを使用している場合はすべてのオンプレミスネットワークをカバーするスーパーネットを含めるか、BGPを使用して動的にアドバタイズすることができます。イッツ注意することが重要で、そのためのサブネット社内のネットワークがDRGに割り当てられたルートテーブルに入力されていません。IPSec 接続を作成するときに入力されます。

セキュリティリストもそれに応じて更新する必要があります。ただし、セキュリティはこの接続を介して許可するさまざまなタイプのアプリケーションとトラフィックに依存するため、このドキュメントではネットワークに重点を置いています。ネットワーク内のルーティングと同じポイントでセキュリティリストを変更する必要があります。

単一リージョンの冗長カスタマーエッジデバイス

このドキュメントで強調されている重要な設計ポイントの1つは冗長性です。以前のソリューションでは、設計に単一障害点がありました。それがエッジデバイスです。この問題を修正するには、冗長エッジデバイスを展開します。このデバイスは、プライマリデバイスと同じ場所、別のデータセンター、または別のクラウドに配置できます。

2番目のエッジデバイスがプライマリデバイスと同じ施設にある場合は、両方のデバイスが同じインターネットプロバイダー、同じLANスイッチ、または同じ電源ユニットに接続していないことを確認します。つまり、エッジデバイスが共通の障害点を共有しないようにします。2番目のデバイスが別のサイトに配置されている場合、2つのサイトがバックボーンを介して接続されており、トラフィックがサイト間を流れることができることを確認してください。

デフォルトでは、Oracleは、各エッジデバイスから2つのトンネルを作成するための2つのVPNゲートウェイを提供します。 その結果、4つのトンネル、エッジデバイスごとに2つのトンネルができます。Oracleは、IPSec VPN接続ごとに多様なVPNゲートウェイを両方のエッジデバイスに提供します。

冗長性が維持されている限り、各エッジデバイスから2番目のトンネルを作成しないことを選択できます。ここでは、トンネル2(青い点線)がエッジデバイス1から削除され、バックアップトンネル1(赤い実線)がエッジデバイス2から削除されています。Oracleは引き続きVPNゲートウェイを提供し、設定すると接続を受け入れます。 各エッジデバイスはさまざまなOracle VPNゲートウェイへのトンネルを構築するため、この設計は冗長性を提供します。Oracle VPNゲートウェイのIPアドレスの3番目のオクテットをチェックすることで、ゲートウェイが多様であることを確認できます。

ソリューションに少なくとも2つの完全に異なるトンネルがあるので、接続の両端でルーティングが正しく設定されていることを確認します。最初に、プライマリトンネルとバックアップトンネルを定義します。トンネル1がプライマリパスで、バックアップトンネル2がバックアップです。ルーティングに影響を与えるには、プライマリトンネルを介して特定のサブネットをアドバタイズし、バックアップトンネルを介してそれほど具体的でないルートまたは要約されたルートをアドバタイズすることをお勧めします。このアプローチでは、トラフィックは対称的です。プライマリパスに障害が発生した場合でも、バックアップパスを介して利用できる特定のルートはあまりありません。プライマリパスが復元された後、プライマリパスにアドバタイズされたより具体的なルートを使用してトラフィックがルーティングされます。トンネルが利用できない場合は、ルートテーブルからルートを取り消すようにルーティングを設定してください。それ以外の場合、トラフィックはバックアップトンネルにフェールオーバーしません。

オンプレミスネットワークでは、両方のエッジデバイスが同じVCNサブネットをアドバタイズするため、内部ルーティングプロトコルに基づいてプライマリパス(青)を通過するようにトラフィックに影響を与える必要があります。Oracle側から、プライマリパスのオンプレミスネットワークをアドバタイズし、バックアップ(赤)パスを介してデフォルトルートをアドバタイズします。図5は、より具体的なサブネットのアドバタイズを反映しています。BGPのメトリックを操作してプライマリパスを優先することで、同じシナリオを実現できます。

ルーティングは、トンネル内の暗号化ドメイン構成から独立しています。ルーティングを使用すると、トンネルインターフェイスに送信するトラフィックを決定できます。一方、暗号化ドメインは、暗号化してトンネルに配置する必要があるトラフィックを定義します。暗号化ドメインは両側の両方のトンネルで同じであり、トラフィックを許可している一方で、ルーティングは接続の両端で処理され、プライマリおよびバックアップトンネルを作成して冗長性を維持しています。このソリューションは、ルーティングが複数のより具体的なサブネットを使用している場合でも、推奨事項に従って単一の暗号化ドメインを維持します。

FastConnect Plusシングルリージョン、シングルカスタマーエッジデバイスVPN

クラウドへの接続でより高いパフォーマンスが必要な場合は、Oracle CloudにFastConnect ソリューションをデプロイして接続をアップグレードする必要がある場合があります。これは、現在のエッジデバイスが必要な新しい帯域幅をサポートできない場合や、より信頼性の高い接続が必要な場合に当てはまります。VPN Connectは引き続き使用できますが、図6に示すように、プライマリ接続として使用する代わりに、バックアップとして使用します。

FastConnect はインターネットを使用しません。代わりに、データセンターがOracle FastConnect データセンターに配置されている場合は、Oracleパートナー、サードパーティプロバイダー、または相互接続を介してプライベート回線を使用します。単一障害点を回避するには、ネットワーク内の異なるエッジデバイスからFastConnect とVPN Connectを展開します。FastConnect を使用する場合、オンプレミスネットワークとOracle Cloudの間に仮想回線(VC)を作成する必要があります。

ルーティングについては、前のソリューションと同じアプローチに従います。つまり、プライマリパス(現在はVC)を介してより具体的なルートをアドバタイズし、バックアップトンネル(VPN接続)を介してより具体的でないルートをアドバタイズします。 DRGはBGPを介してオンプレミスサブネットを学習し、VCNサブネットをエッジデバイスにアドバタイズします。 DRGには、IPSec接続に関連付けられたCPEオブジェクトを指すデフォルトルート用の静的ルートもあります。または、BGPを使用して、IPSec接続経由でオンプレミスルートを動的に学習することもできます。 接続の最後で、FSecConnect経由のBGPを介して学習したVCNのサブネットをネットワークにアドバタイズし、IPSec VPN接続を介してそれほど具体的でないルートをアドバタイズします。 IPSec VPNを介してデフォルトルートをアドバタイズできない場合は、ネットワークで使用しているルーティングプロトコルに基づいてルートを適切に操作できます。 たとえば、ASプリペンドまたはローカルプリファレンスを使用します。

単一リージョン、複数のVCN、シングル/デュアルカスタマーエッジデバイス

クラウドの展開は、組織内のさまざまなグループまたは事業単位によって開始される場合があります。同じリージョンの複数のVCNにリソースがある場合があります。この使用例では、IPSec VPNを使用して、複数のVCNをホストする単一のOracle Cloudリージョンに接続できます。接続したら、VCNを相互接続するようにローカルピアリングゲートウェイ(LPG)を構成します。

このソリューションは、ハブアンドスポークアプローチを使用します。ハブは、IPSec 接続で接続されたDRGを持つVCN であり、スポークはLPGを介してハブに接続します。詳細については、ローカルVCNピアリング(リージョン内)を参照してください。VCN 間でトラフィックを流す必要がない場合、Oracle VPNゲートウェイがVCNごとに異なる場合は、各VCNへの個別のIPSec VPN接続を作成できます。

この例では、2つのVCNのみを使用し、単一のエッジデバイスを介してオンプレミスネットワークに接続します。以前のユースケースのいずれかを使用して、このソリューションの冗長性を構築できます。

この使用例では、以前の使用例よりもルーティングの変更が多くなっています。接続の終端で、トンネルインターフェースを指す両方のVCNのサブネットをアドバタイズします。すべてのトラフィックを許可する単一の暗号化ドメインを維持します(0.0.0.0/0)。LPGが作成されると、デフォルトで、ピアリングされたVCNへのルートがあります。Oracle Consoleで、各VCNにLPGを作成し、関係を確立した後、さまざまなコンポーネントにルートを追加する必要があります。これらのルートにより、トラフィックはエンドツーエンドで両方向に流れることができます。次のリストは、何を追加する必要があるかを示しています。

  • DRGをVCNに接続した後、ルートテーブルをDRGに関連付けることができます。LPG 1を指す2番目のVCNのルートが必要です。
  • VCN 1サブネットには、DRGを指すオンプレミスネットワークのルートと、LPG 1を指すVCN 2へのルートが必要です。
  • VCN 2には、オンプレミスネットワークと、LPG 2を指すVCN 1のルートが必要です。特定のルートを追加するか、デフォルトルートを使用できます。
  • LPG 1には、DRGを指すVCN 2からのトラフィックのためにオンプレミスネットワークに到達するためのルートが必要です。

デュアルリージョン、シングル/デュアルカスタマーエッジデバイス

地理的な場所に基づいて、複数のOracle CloudリージョンでVCNを使用する場合があります。オンプレミスネットワークのリソースがこれらのリージョンのリソースと通信できるようにするには、各リージョンへの独立した接続を作成する必要があります。冗長性のために、デュアルIPSec VPN接続を使用する2番目の使用例、または3番目の使用例を使用して、FastConnect を各リージョンに展開できます。

オンプレミスネットワークから、1つのリージョンに接続してから、リージョンをトランジットネットワークとして使用して他のリージョンにジャンプすることはできません。1つのリージョンで終了する1つのトンネルを別のトンネルでバックアップしたり、別のリージョンで終了するFastConnectを作成したりすることはできません。Oracleでは、さまざまなリージョンのVCN内のリソースが、リージョナルピアリング接続(RPC)を使用することによってのみ相互に通信できるようにしています。Oracle ConsoleからDRGにRPCを設定できます。RPCを使用できるのは、VCN内のリソースのみです。RPCの詳細については、「リモートVCNピアリング(リージョン間)」を参照してください。

これらの概念は、ネットワーク内のシングルおよびデュアルカスタマーエッジデバイスの両方に適用されます。簡単にするために、

この使用例のルーティングは、VPN Connectの最初の使用例と同じです。2組のトンネルは互いに独立しています。VCNとVCN内のサブネットには、リモートVCNに向かうトラフィックに対してそれぞれのDRGを指すルートが必要です。

SNSでもご購読できます。

コメントを残す

*