$30 off During Our Annual Pro Sale. View Details »

OCI技術資料 : 外部接続 VPN接続 詳細

OCI技術資料 : 外部接続 VPN接続 詳細

OCI技術資料 : 外部接続 VPN接続(IPSec) 詳細
Connectivity - VPN Connect (IPSec) Level 200

2021/4/6 初版Upload
2021/4/9 ヘッダー修正

More Decks by Oracle Cloud Infrastructure ソリューション・エンジニア

Other Decks in Technology

Transcript

  1. 1. インターネット • グローバルIP通信 • セキュリティはFWとSSL通信等で確保 • 通信速度・帯域はベストエフォート • 月10TBを超える外部へのデータ転送が課金対象

    2. VPN接続 (IPsec) • プライベートIP通信 • IPsecによりセキュリティを確保(認証,暗号化) • 通信速度・帯域はベストエフォート • VPN接続は無料、インターネット通信料金の対象 • OCIのVPN接続サービス、もしくはソフトウェアVPN 3. FastConnect • プライベートIP/グローバルIP通信 • プライベート回線による高いセキュリティ • 通信キャリアによる速度・帯域・品質の保証 * • 固定額のポート料金のみ課金、データ転送に伴う従量課 金なし、回線費用が別途必要 Oracle Cloud Infrastructure への接続方式 2 Copyright © 2024 Oracle and/or its affiliates. お客様 ネットワーク OCI VCN VCN Internet 専用線 インターネット + SSL 閉域網 FastConnect VPN Internet Gateway Dynamic Routing Gateway Customer Data Center
  2. 仮想クラウド・ネットワーク (VCN) をオンプレミスネットワークに接続するには、設計上の考慮事項が必要 • どのくらいの 帯域幅(スループット) がアプリケーションに必要ですか? • 遅延(レイテンシ) にセンシティブなアプリケーションですか?

    • 単一障害点を避けるため、オンプレミスとの接続に冗長性を確保する必要がありますか? • セキュアなプライベート専用接続が必要ですか? それともインターネット上のパブリック接続ですか? • サービスの成長をどう見ていますか? アプリケーションの帯域を動的にスケールする必要がありますか? オンプレミス・ネットワークへの接続計画 Copyright © 2024 Oracle and/or its affiliates. 3
  3. パブリックネットワークに仮想化専用回線を作成し、プラ イベート通信を実現する技術 IPsecトンネル • IPsec技術によりトラフィックをカプセル化 • インターネット経由でプライベートIPによるセキュア通 信が可能 • 高価な専用回線は不要

    認証 • 終端のVPN装置同士が認証 暗号化 • IPsecトンネルを通るすべてのIPパケットを暗号化 ルーティング • スタティック・ルーティング:特定の宛先トラフィックを 事前設定した方向に送信するように静的に構成 • ダイナミック・ルーティング:BGPなどのルーティングプ ロトコルを使用して、動的に経路を制御 Virtual Private Network(VPN)の基礎 VPN接続 Private Network 1 Private Network 2 IPsecトンネル VPNルーター Internet VPNルーター Copyright © 2024 Oracle and/or its affiliates. 4
  4. IPsec VPN を介してオンプレミスネットワークをVCNにセキュ アに接続するマネージドVPNサービス • サイトツーサイト(拠点間)の接続 • IPsecプロトコルによる通信暗号化の提供 • 1トンネルあたりの帯域:ベストエフォート

    参考値(ネットワークの混雑状況やCPEの性能によって異なります) インターネット経由 :約250Mbps FastConnect経由 :約1Gbps未満 • サービス料金は無償 (外部データ転送課金の対象には 含まれる) • VPN接続あたり物理的に冗長化された2つのトンネル・ エンドポイントを提供 • 共有秘密鍵(PSK)によるIKEv1、IKEv2をサポート • 動的ルーティング(BGP)、静的ルーティング OCI VPN接続 (IPsec VPN) 5 Copyright © 2024 Oracle and/or its affiliates. お客様 ネットワーク OCI VCN VCN DRG Customer Premises Equipment (CPE) Route Table Destination Route Target 0.0.0.0/0 DRG VPN
  5. • 動的ルーティング・ゲートウェイ (DRG) • VPN接続のOCI側のVPNヘッドエンド • Customer Premise Equipment(CPE)/ 顧客構内機器

    • オンプレミスネットワークの実際のVPNルーター/エッジデバイス(ハードウェアまたはソフトウェア) • VPNをセットアップするとき、CPEオブジェクトと呼ばれるオンプレミスルーターの仮想表現を作成 • CPEオブジェクトの作成 - 名前と外部パブリックIPアドレス • IPSec接続 • CPEオブジェクトとDRGを作成した後、IPSec接続を作成してそれらを接続、これにより複数の冗長IPSecトンネル が作成される • IPSec接続の作成中に、ルーティングのタイプを構成 • BGPダイナミックルーティング • スタティックルーティング • CIDR範囲を指定したポリシー・ベースルーティング • IPSec VPNを設定すると、デフォルトでOracleは各トンネルの共有秘密/事前共有キーを提供する、代わりに独自の 共有秘密キーを指定することも可能 OCI VPN接続 概念 Copyright © 2024 Oracle and/or its affiliates. 6
  6. 顧客データセンター VCN とインターネット以外のネットワークとの間の プライベート通信経路を提供する仮想ルーター IPsec VPN または FastConnect (プライベート、 専用接続)

    を介してオンプレミスネットワークとの 接続を確立するために使用できる 通信フローを有効にするには、 VCN に DRG を アタッチした後 VCN のルート表に DRGへのルー トをルールとして追加する必要がある DRG はスタンドアロンオブジェクトのため、VCN と 別個に作成したあと VCN にアタッチする必要が ある。 動的ルーティング・ゲートウェイ(DRG) 7 Copyright © 2024 Oracle and/or its affiliates. リージョン 可用性ドメイン VCN 10.0.0.0/16 プライベートサブネット サブネットB 10.0.2.0/24 宛先CIDR ルート ターゲット 0.0.0.0/0 DRG ルート表 顧客構内設備 (CPE) DRG
  7. VPN作成時に2つの冗長IPSecトンネルを作成し、別々のCPEで構成することを推奨。 ルーティングの選択肢。1トンネルごとにルーティングの種類を選択。 • 静的ルーティング • Border Gateway Protocol (BGP) による動的ルーティング

    • CIDR範囲を指定したポリシー・ベースルーティング • BGPを明示的に構成しない場合は静的ルーティングがデフォルトのタイプ。静的ルーティングの場合は最低1~最大10 のスタティック・ルートを設定する必要がある。 • BGPを選択する場合各トンネルにASNとともに2つのIPアドレスを付与する必要がある。 ルーティングタイプの変更 • IPSecトンネルを維持したまま変更が可能。ただし、トンネル内を流れるトラフィックは再構成時とCPE側構成変更時に に一時的に破棄される。 • 静的ルーティングからBGPに変更する場合、1トンネルずつ実行することでVPN接続全体がダウンすることを防げる。 • BGPから静的ルーティングに変更する際には、IPSec接続自体に少なくとも1つのスタティック・ルートが紐づいていることを 確認すること。 VPNのルーティングの選択 Copyright © 2024 Oracle and/or its affiliates. 8
  8. 1. (準備)グローバルIPと顧客構内機器(CPE)の準備 2. 仮想クラウドネットワーク(VCN)を作成 3. 動的ルーティングゲートウェイ(DRG)を作成 4. DRGをVCNにアタッチ 5. VCNのルート表を編集し、オンプレミス・ネットワークへのトラ

    フィックの宛先をDRGに設定 6. OCIで顧客構内機器(CPE)リソースを作成、この際にCPEに 設定するグローバルIPが必要 7. DRG内にCPEとの間でIPsec接続を作成し、ルーティング (BGPまたは静的)を設定 8. 顧客構内機器(CPE)を設定、その際にステップ7で入手でき るOCI側エンドポイントのグローバルIPとPSKを入力 9. ルーターを編集し、オンプレミスネットワークからVCNへの適切 なルーティングを設定 青字 : OCIでの作業 / 緑字 : オンプレミスでの作業 VPN接続までのステップ Copyright © 2024 Oracle and/or its affiliates. 9
  9. 以下の考慮が必要 1. IPsecトンネルとOCI側接続先(ヘッドエンド)の冗長化 2. CPE(顧客側ルーター)の冗長化 3. 顧客ネットワーク側のインターネット接続回線の冗長化 4. 非対称ルーティングの考慮 5.

    OCI側からの通信経路の制御 6. 顧客ネットワーク側からの通信経路の制御 VPN接続 冗長化構成時の考慮ポイント Copyright © 2024 Oracle and/or its affiliates. 11
  10. • VCNに対してVPNを接続するには、プライベート 接続のための仮想ルーターである動的ルーティン グ・ゲートウェイ(DRG)をVCNにアタッチする • 1つの拠点と接続するにあたり、1つのCPE(顧客 側ルーター)に対して1つのVPN接続を作成する。 この時点でOCI側には2つの接続先(ヘッドエンド) が用意され、2つのVPNトンネルが作成される •

    この2つのVPNトンネルを両方リンクアップさせてお くことで、OCI側のルーター障害やメンテナンス時 にも、利用する経路を切り替えることで継続した 利用が可能 1. IPsecトンネルとOCI側接続先(ヘッドエンド)の冗長化 Copyright © 2024 Oracle and/or its affiliates. 12
  11. • 顧客側ルーターの障害に備えて機器を複数台用意し、障害 時に切り替える • 簡単なのは、全く同じ設定のルーターを待機させ、障害時に 物理的にケーブルをつなぎかえる方法 • 一定のダウンタイムが許容できるのであればOK • 通信断の時間を小さくしたい場合は自動切替を考える

    • VRRPのような仮想IP(VIP)によるフェイルオーバーだけでは不十分、 正常な切り替えには以下も必要 • OCIからみてのIPアドレスが変わらない • フェイルオーバー時にVPNトンネルを作成するルーターも切り替わる • フェイルオーバー後にルートテーブルの状態も引き継がれる • オンプレ側ネットワークの状態 (Active/Standby) も同期して切り替わる • これらは、通常ルーター機器固有の機能で実現する • 例 : Juniper SRX Chassis Cluster (JSRP) : 2台の機器を仮想的に1台 ルータのように同期させ、フェイルオーバー時にIPやルートテーブル、VPNトン ネルの状態も含めて切り替える 2. CPE(顧客側ルーター)の冗長化 VCN OCIリージョン 顧客ネットワーク CPE Internet VCN OCIリージョン 顧客ネットワーク CPE Internet Active Standby Active Headend 1 Headend 2 Headend 1 Headend 2 Copyright © 2024 Oracle and/or its affiliates. 13
  12. • 物理的な接続経路やISPの障害でVPN接続が切断 されるリスクがあるため、CPEから接続するインターネット 回線についても冗長化が望ましい • 2つのインターネット回線を利用するのに伴い、OCI側 でCPEを2つ登録する • 異なるCPEに対してそれぞれVPN接続を作成するので、 2つのVPN接続で合計4つのVPNトンネルが作成され

    る • このパターンでは、4つの経路のハンドリングが必要で、 それには顧客側のネットワークも含めた全体設計が必 要 • 複数のVPNトンネルを1つだけ利用するか、複数同時に利 用するか • それぞれのVPN接続で両方のVPNトンネルをアップさせるか、 あえて1接続1トンネルとして片方はダウンさせておくか 3. 顧客ネットワーク側のインターネット接続回線の冗長化 VCN OCIリージョン 顧客ネットワーク CPE2 Internet CPE1 VPN接続1 VPN接続2 Copyright © 2024 Oracle and/or its affiliates. 14
  13. • 複数の経路がある場合、それぞれのルーター の経路選択の方法によって、往き(青)と復り (緑)のパケットが異なる経路を通る非対称 ルーティングは発生する場合がある • 非対称ルーティングは通常問題ないが、顧客 ネットワーク側のファイアウォールなどで非対称 ルーティングを許可しない設定にしている場 合にはパケットがドロップされるので注意が必

    要 • 経路の優先設定はできるが、非対称ルーティン グの発生を完全に抑止するのは困難なので、 ファイアウォール側で許可する方が良い 4. 非対称ルーティングの考慮 VCN OCIリージョン 顧客ネットワーク CPE2 Internet CPE1 VPN接続1 VPN接続2 パケット 破棄 Firewall Copyright © 2024 Oracle and/or its affiliates. 15
  14. • 動的ルーティング・ゲートウェイ(DRG)による経路選択 の優先度は以下 1. ロンゲストマッチを優先 2. FastConnectとVPNを同時に利用する場合は FastConnect優先 3. BGPを利用したVPN接続

    4. 静的ルーティングを利用したVPN接続 (2~4はASパスで制御) • 同じタイプの接続(例えばBGPを利用する2つのVPN 接続)がある場合「最も古い確立済ルート」を優先的 に使用 • BGP利用の場合は、CPE側でASパスプリペンドを行う ことで、CPEからOCI側に広告する経路情報を通じて OCI側が優先利用する経路を制御できる 5. OCI側からの通信経路の制御 VCN OCIリージョン 顧客ネットワーク CPE2 Internet CPE1 VPN接続1 VPN接続2 Copyright © 2024 Oracle and/or its affiliates. 16
  15. • 顧客ネットワーク側からOCIに向けた通信の経 路制御は、いくつかの方法がある • 左図は、CPEがOCI側からアドバタイズされた ルートを、顧客側ネットワークの内部に動的 ルーティングプロトコル(BGP/OSPFなど)を使っ て再広告する方式 • メリット

    : ルーティング・プロトコルにより優先経路を 統合的に制御しやすい 6. 顧客ネットワーク側からの通信経路の制御 – 動的ルーティングの場合 VCN OCIリージョン 顧客ネットワーク CPE2 Internet CPE1 VPN接続1 VPN接続2 経路交換 経路交換 Copyright © 2024 Oracle and/or its affiliates. 17
  16. • 顧客ネットワーク側からOCIに向けた通信の経路制御 は、いくつかの方法がある • 左図は、CPEとして利用する機器のIPsecトンネルを 監視する機能を利用する方式 • ルーターにより実装は異なる、また全てのルーター機器が利 用できるとは限らない •

    例えば、Cisco製ルーターでは、IP SLA監視機能でIPsec トンネルの状態を監視し、異常時にはルーターの冗長化機 能であるHSRPを組みあわせて経路のフェイルオーバーを行 う機能がある • このケースの場合は、静的ルーティングを利用する場合 も多い 6. 顧客ネットワーク側からの通信経路の制御 – IPsecトンネルの状態を監視 VCN OCIリージョン 顧客ネットワーク CPE2 Internet CPE1 VPN接続1 VPN接続2 HSRP 監視 IP SLA priority 101 priority 100 Copyright © 2024 Oracle and/or its affiliates. 18
  17. 日本語マニュアル –VPN接続 • https://docs.oracle.com/ja-jp/iaas/Content/Network/Tasks/managingIPsec.htm Oracle Whitepaper - IPSec VPN Best

    Practices • https://docs.cloud.oracle.com/en-us/iaas/Content/Resources/Assets/whitepapers/ipsec-vpn- best-practices.pdf Oracle Whitepaper – Connectivity Redundancy Guide • https://docs.cloud.oracle.com/en-us/iaas/Content/Resources/Assets/whitepapers/connectivity- redundancy-guide.pdf VCN 関連の技術情報 Copyright © 2024 Oracle and/or its affiliates. 19
  18. チュートリアル - Oracle Cloud Infrastructureを使ってみよう • https://community.oracle.com/docs/DOC-1019313 Oracle Japan主催 セミナー、ハンズオン・ワークショップ

    • https://www.oracle.com/search/events/_/N-1z13zi1?Nr=111 Oracle Cloud Infrastructure – General Forum (英語) • https://cloudcustomerconnect.oracle.com/resources/9c8fa8f96f/summary Oracle Cloud Infrastructure トレーニング・技術フォーラム Copyright © 2024 Oracle and/or its affiliates. 20
  19. Oracle Cloud Infrastructure マニュアル (日本語 / 英語) • https://docs.cloud.oracle.com/iaas/api/ -

    APIリファレンス • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/aqswhitepapers.htm - テクニカ ル・ホワイト・ペーパー • https://docs.cloud.oracle.com/iaas/releasenotes/ - リリースノート • https://docs.cloud.oracle.com/ja-jp/iaas/Content/knownissues.htm - 既知の問題(Known Issues) • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/graphicsfordiagrams.htm - OCIアイコン・ダイアグラム集(PPT、SVG、Visio用) ※ 日本語版は翻訳のタイムラグのため情報が古い場合があります。最新情報は英語版をご確認ください Oracle Cloud Infrastructure マニュアル・ドキュメント Copyright © 2024 Oracle and/or its affiliates. 21
  20. Oracle Cloud Infrastructure 活用資料集 • https://oracle-japan.github.io/ocidocs/ チュートリアル - Oracle Cloud

    Infrastructureを使ってみよう • https://oracle-japan.github.io/ocitutorials/ Oracle Cloud ウェビナーシリーズ • https://www.oracle.com/goto/ocws-jp Oracle 主催 セミナー、ハンズオン・ワークショップ • https://www.oracle.com/search/events/_/N-2bu/ Oracle Cloud Infrastructure – General Forum (英語) • https://cloudcustomerconnect.oracle.com/resources/9c8fa8f96f/summary Oracle Cloud Infrastructure トレーニング・技術フォーラム Copyright © 2024 Oracle and/or its affiliates. 22
  21. Our mission is to help people see data in new

    ways, discover insights, unlock endless possibilities.