IBM Cloud Docs
IBM Cloud 仮想プライベート・ネットワーキングの概要

IBM Cloud 仮想プライベート・ネットワーキングの概要

VPNのIPsecバージョンは非推奨。 2024年11月3日現在、IPsec VPNの新しいインスタンスを作成することはできません。 既存のIPsec VPNインスタンスは2025年6月30日までサポートされる。 その日にまだ存在するインスタンスはすべて削除される。

2024 年 3 月 13 日、ネットワーク・インフラストラクチャーを最適化し、サービス品質を向上させるための継続的な取り組みの一環として、特定の SSL VPN エンドポイントがサービスから削除されました。 重要な発表: SSL VPN エンドポイント にリストされている非推奨の URL のいずれかを現在使用している場合は、ワークフローの中断を回避するために、提供されている代替 URL に移行してください。 使用可能な SSL VPN エンドポイントの完全な更新済みリストは、 使用可能な VPN エンドポイント にあります。

仮想プライベート・ネットワーキング (VPN) を利用することで、ユーザーは、IBM Cloud® プライベート・ネットワークでリモートからすべてのサーバーを安全に管理することができます。 お客様のロケーションからプライベート・ネットワークへの VPN 接続では、暗号化された VPN トンネルを使用して、アウト・オブ・バンドの管理やサーバー・レスキューを行うことができます。 地理的な冗長性が得られるように、すべての IBM Cloud データ・センターまたは PoP が VPN トンネルに対応しています。

VPN アクセスを使用すれば、以下を行うことができます。

  • SSL または IPsec 経由でプライベート・ネットワークへの VPN 接続を確立する
  • SSH または RDP によって、1 次プライベート IP アドレスを使用してサーバーにアクセスする
  • 詳細なサーバー管理やレスキューのニーズに対応するために、サーバーの IPMI IP アドレスに接続する

サービスによってはプライベート・ネットワークを使用したアクセスが必要となります。VPN はプライベート・ネットワーク・アクセスを可能にする 1 つの方法です。 VPN は、プライベート・ネットワークにログインし、作業を行い、ログアウトする必要がある場合に使用することをお勧めします。 多くの場合、このようなアクセスは、例えばサーバーの KVM にアクセスするために必要となります。

アカウント上のユーザーごとに VPN アクセスを付与でき、アクセスが必要なサブネットに関して制限を行うことができます。 アカウント・ユーザーは、VPN サービスへのログインを試みる前に、VPN アクセスを有効にし、VPN パスワードを指定しておく必要があります。

SSL VPN は共有 VPN サービスであり、無料です。 実動環境での使用はお勧めしません。

ユース・ケース・シナリオ

表 1: 推奨される VPN オプション
計画していること 推奨 VPN オプション
プライベート IP アドレス (10.x.x.x) を使用してクラシック上のサーバーに短期間 SSH または RDP でアクセスする
クラシック・サーバーの KVM コンソールを使用して低レベルのサーバー管理を実行する
パブリック・インターフェースをシャットダウンした状態でサーバーに重要なセキュリティー更新を適用する
サーバーとアプリケーションの一時的な管理のために、シングル・ユーザーの短期間のプライベート・ネットワーク接続を確立する 		SSL VPN
暗号化された VPN トンネルを介してクラシック上の開発またはテスト・ワークロードのために複数のサーバーを管理する
異なるサーバー間で定期的に大容量ファイルを転送する
サーバーとそれらがホストするお客様がデプロイするアプリケーションを管理するための長期ネットワーク・パスを確立する 		IPsec VPN
IBM Cloud とオンプレミスの間に、無制限の SSL VPN ユーザーおよび実動ワークロードのためのサイト間 SSL または IPsec VPN 接続を確立する
2 つのオンプレミス・エンタープライズ・データ・センター間に、無制限の SSL VPN ユーザーのためのサイト間 SSL または IPsec VPN 接続を確立する		 クラシック上の VPN ゲートウェイ・アプライアンス (例: Juniper vSRX または AT&T vRouter)

SSL VPN アクセスの有効化

開始するには、VPN アクセスを必要とするアカウントごとに VPN アクセスを有効にする必要があります。 SSL VPN アクセスを有効にするには、以下の手順に従います。

  1. IBM Cloud コンソールにログインする。

  2. **「管理」>「アクセス (IAM)」をクリックし、「ユーザー」**を選択します。

    ユーザーを追加するには、**「VPN 専用ユーザーの追加」または「ユーザーの招待」**をクリックします。 詳しくは、 アカウントへのユーザーの招待を参照してください。

  3. SSL VPN アクセスを割り当てるユーザーの名前を選択します。

  4. 「_ユーザー_の管理」ページで、**「クラシック・インフラストラクチャー」タブを選択し、「VPN サブネット」**をクリックします。

  5. **「SSL VPN アクセスを有効にする」チェック・ボックスを選択し、「保存」**をクリックします。

VPN パスワードの設定

次のステップはクラシック・インフラストラクチャー VPN パスワードを更新する作業です。 お客様独自の VPN パスワードを更新できます。あるいは、ユーザーがパスワードを忘れた場合、適切なアクセス権限を持つ他のユーザーがそのユーザーの VPN パスワードを更新できます。

以下のアクセス権限を持っている場合は、他のユーザーの VPN パスワードを更新できます。

  • ユーザー管理サービスに対して「エディター」以上の役割を持つ IAM ポリシーを持っている場合。
  • 当該ユーザーのクラシック・インフラストラクチャー階層内で上位にいて、かつ、「ユーザーの管理」クラシック・インフラストラクチャー許可を割り当てられている。

VPN パスワードを更新するには、以下のようにします。

  1. IBM Cloud メニュー・バーで、**「管理」>「アクセス (IAM)」をクリックし、「ユーザー」**を選択します。
  2. リストからユーザーを選択します。
  3. 「ユーザーの詳細」ビューで、**「VPN パスワード」**セクションに移動します。
  4. 新しいVPNパスワードを入力するには、 「編集」 アイコンをクリックします。
  5. **「適用」**をクリックして変更を保存します。

VPN へのログイン

VPN アクセスが構成されたので、ブラウザーを使用してログインできるようになりました。

  1. ウェブブラウザを開き、 利用可能なVPNエンドポイントの いずれかをクリックします。

    サポートされているオペレーティング・システムとブラウザーの組み合わせは、以下のとおりです。

    • Vista/Win7/Win8/Win10/Win2003/Win2008: Chrome、360SE、MSIE、Firefox
    • Linux: Chrome、Firefox
    • MacOS: Safari、Chrome

  2. プロンプトが出されたら、VPN パスワードの設定で構成した VPN ログイン資格情報を入力します。

    • スタンドアロン MotionPro クライアントがインストールされている場合、クライアントは自動的に起動されます。
    • クライアントがインストールされていない場合は、互換バージョンの MotionPro クライアントをダウンロードできます。

  3. MotionPro クライアントで、ご使用のオペレーティング・システムに応じて異なる手順に従って接続を作成します。 MotionPro クライアントを使用して接続する方法について詳しくは、スタンドアロン・クライアントを参照してください。