VPN 接続
IBM Power Virtual Serverの IBM データセンター
IBM Power Virtual Server プライベート・クラウドの クライアント・ロケーション
IBM® Power® Virtual Server は、多様なネットワーキング要件を持つ企業向けに、セキュリティーとシームレスな接続性を備えた堅牢な仮想プライベート・ネットワーク (VPN) ソリューションを提供します。 VPN for Power Virtual Server は、クライアント管理環境と、 IBM Cloudにデプロイされている仮想サーバー・インスタンスとの間に、プライベートで暗号化された通信チャネルを確立します。
VPN 接続の作成について詳しくは、 仮想プライベート Cloud VPN 接続の作成 [推奨] を参照してください。
以下の非推奨メソッドも現在サポートされています- Power Virtual Server VPN 接続の作成 非推奨
仮想プライベート Cloud VPN 接続の作成
Virtual Private Cloud (VPC) 提供の Virtual Private Network (VPN) サービスを使用することで、専用 VPN を使用して 1 つのクラウド・エクスペリエンスを実現し、信頼性と高可用性を向上させることができます。
Power Virtual Server VPN as a Service (VPNaaS) を使用している場合は、2024 年 3 月までに IBM Cloud VPC VPN にアップグレードすることをお勧めします。 Power Virtual Server VPNaaS のサービス終了は 2025 年 7 月 14 日です。 IBM は、2025 年 1 月 18 日以降、 Power Virtual Server VPNaaS の標準サポートを提供しません。 IBM Cloud VPC VPN へのアップグレードまたは移行については、サポート・チケットを開くか、カスタマー・サポート・マネージャー (CSM) にお問い合わせください。
VPC VPN のセットアップを完了すると、以下の利点が得られます。
- IBM Cloud サービスへのプライベートかつ低コストの接続。
- プライベート IP アドレスを介した仮想サーバー・インスタンスへのアクセス。 アクセスには、ホスト上で実行されているセキュア・シェル (SSH) およびその他のクライアント管理アプリケーションを使用できます。
IBM Cloud は、以下の 2 つの VPN オプションを提供します。
- VPN for VPC は、クライアント管理環境から VPC、Power、およびクラシック・インフラストラクチャー内のリソースに安全かつ安全に接続するためのサイト間ゲートウェイ用です。
- クライアント VPN for VPC 。リモート・デバイスが安全な方法で VPC ネットワークに秘密裏に接続できるようにするクライアント/サイト間サーバー用。
取得する VPN オプションについて詳しくは、 VPN for VPC の概要 にある VPC の資料を参照してください。
VPC VPN 接続を作成するには、以下の手順を実行します。
- VPC リソースを作成します。
- VPC でサイト間 VPN ゲートウェイを作成します。
- 以下のいずれかの方法を使用して、VPN 接続を Power Virtual Server ワークスペースに接続します。
- パワーエッジルーター(PER)のワークスペースで Transit Gateway。
- 非 PER ワークスペースでクラウド接続を使用します。
VPC と Power Virtual Serverの間に直接クラウド接続を作成することをお勧めします。 Transit Gateway を追加することは実現可能ですが、追加料金が発生します。 PER 対応ワークスペースでは、クラウド接続のセットアップは必要ありません。
アーキテクチャー図
PER ワークスペースでの VPC VPN の構成
- VPC のアドレス接頭部にクライアント管理サブネットを定義します。
- Transit Gateway と VPN ゲートウェイを使用してルーティング・テーブルを定義します。
非 PER ワークスペースでの VPC VPN の構成
- VPC のアドレス接頭部にクライアント管理サブネットを定義します。
- Direct Link および VPN ゲートウェイを使用してルーティング・テーブルを定義します。
- Direct Link をワークスペース・サブネットに接続します。
- Direct Linkとともに Transit Gateway を接続することもできますが、追加料金が発生します。
手順
-
VPC リソースを作成します。 IBM Cloud コンソールを使用した VPC リソースの作成 に記載されている手順を実行します。
-
VPC でサイト間 VPN ゲートウェイを作成します。 「 サイト間 VPN ゲートウェイについて」に記載されている手順を実行します。
VPN 接続を作成するには、ポリシー・ベースの VPN を使用します。
-
VPN 接続を Power Virtual Server ワークスペースに接続します。 ニーズに合った以下のいずれかの手順を使用します。
- PER 対応ワークスペースの場合は、 Transit Gateway を PER ワークスペースに接続する を参照してください。
- 非 PER 対応ワークスペースの場合は、 IBM Cloud 接続の作成 を参照してください。
非 PER ワークスペースでの VPC VPN の構成に関する考慮事項
非PERワークスペースでVPC VPNを構成するには、以下の点を考慮する必要があります:
- VPN 接続のすべての構成でポリシー・ベースの VPN を使用します。
- Power Virtual Server で作成されたサブネットを、クライアント管理環境の IBM Cloud VPC のローカル CIDR リストと VPC のピア CIDR リストに追加します。
- IBM Cloud VPC のルーティングテーブルに存在するトラフィック編集ウィンドウで、 Direct Link と Transit Gateway の VPN ゲートウェイとトラフィックソースを有効にする。
Transit Gateway で有効になっている Direct Link を選択するか、同じ地域にある異なる Power Virtual Server ワークスペースの設定を無効にする。
VPNaaS からVPC VPNサービスへの変更
VPC VPNサービスを利用するには、 VPNaaS からVPC VPNサービスに切り替える必要があります。 次の例は、VPC VPN 接続の設定と、 VPNaaS から VPC VPN サービスへの切り替えを検証する手順を示しています:
-
同じアカウントを使用して、 Power Virtual Serverと同じデータセンターにVPC接続を作成します。 以下の設定を完了する:
- デフォルト・ルーティング・テーブルは、 Accepts routes from オプションで
VPN server
とVPN gateway
の値を選択して設定する必要があります。 この構成では、VPCサブネットのメンバーである仮想サーバーと、VPN接続のリモート側にあるデバイス間のトラフィックを許可する。 - VPNサーバー、VPNゲートウェイ、 Transit Gateway を選択するために、2つ目のルーティングテーブルを作成する。 Transit Gatewayで、 Advertise to オプションを選択します。 詳細については、 仮想プライベートクラウド(VPC)を始めるを参照してください。
- デフォルト・ルーティング・テーブルは、 Accepts routes from オプションで
-
VPCと既存の VPNaaSのリモート側との間にVPN接続を確立する。 以下の点を考慮すること:
- VPN 接続のすべての構成でポリシー・ベースの VPN を使用します。
- リモートVPN、VPC、ワークスペースのサブネットは別々でなければなりません。 サブネットの共有やオーバーラップはできない。
- ワークスペースのCIDRをVPN接続のローカルCIDRのリストに追加する。
- ワークスペースCIDRを VPNaaS リモート側のピアCIDRリストに追加する。
VPNオプションの詳細については、 サイト間VPNゲートウェイについてを参照してください。
-
以下の手順で Transit Gateway を作成する:
- Transit Gateway にVPCを追加する。
- Routes タブでルーティングテーブルを生成する。 VPC、CIDR、およびVPNのリモート側のCIDRのリストを見ることができます。
Transit Gateway の詳細については、 IBM Cloud Transit Gateway を始めるを参照してください。
VPC VPNへの移行は、以下のリストが真であることを前提に始めることができる:
-
VPC上の仮想サーバーとVPNのリモート側のシステム間の接続は機能している。
-
CIDRはTransit Gatewayにアドバタイズされる。
ワークスペースとリモート側のVPNは、VPC VPNへの移行がすべて完了するまで接続されません。
-
VPNaaS ゲートウェイを削除する。 ワークスペースに接続されている VPNaaS 接続を選択する必要があります。
-
ワークスペースをPERに移行する。 他のサブネット上のワークスペースに接続されているアクティブなクラウド接続を削除する必要があります。 詳細は PERへの移行 を参照。
-
ワークスペースを PER 有効化した後、 Transit Gateway に接続する。
-
ルーティングテーブルを作成する。 ワークスペースのCIDRは、既存のCIDRとともにリストされる。