IBM Power Virtual Server VPN
IBM Power Virtual Serverの IBM データセンター
IBM Power Virtual Server プライベートクラウドの クライアント・ロケーション
Power Virtual Server VPN は非推奨であり、 IBM は 2025 年 1 月 18 日以降標準サポートを提供しません。 IBM Cloud VPC VPN を使用して、新しいVPN接続を作成します。 既存の Power Virtual Server VPN 接続の場合、2025 年 7 月 14 日にサービスが終了する 2024 年 3 月より前に VPC VPN にアップグレードすることをお勧めします。 アップグレードまたはマイグレーションに関して支援が必要な場合は、 サポート・チケット をオープンするか、お客様サポート・マネージャー (CSM) と連絡を取ります。
Power Virtual Server VPNの作成
クライアントが管理する環境の仮想プライベートネットワーク(VPN)ゲートウェイを、IBM Cloud™ VPN VPNサービス内に作成されたPower Virtual Server ゲートウェイに接続することができます。 VPN を使用して Power Virtual Server のプライベートネットワークに接続し、作業を安全に完了し、ログアウトすることができます。 この機能は、クライアントが管理する拠点と Power Virtual Server sの間にサイト間IPセキュリティ(IPsec)VPNを提供し、低コストのセキュアな接続を可能にします。
VPN アクセスを使用すれば、以下を行うことができます。
- IBM Cloud サービスへの低コストのプライベート接続を確保します。
- Secure Shell(SSH)およびクライアント管理ホスト上で実行されている他のクライアント管理アプリケーションを使用して、プライベートIPアドレス経由で Virtual Servers。
Power Virtual Server インフラストラクチャーは、サブネットと仮想サーバー・インスタンス (VSI) で構成されています。 既存の VSI およびプライベート・ネットワークとともに、VPN as a Service を使用できます。 プライベート・ネットワーク上に VSI を作成するには、 Power Virtual Serverの作成 および プライベート・ネットワーク・サブネットの構成と追加 を参照してください。 VPN を使用して、Power Virtual Server ワークスペースを VPN トンネル経由でクライアント管理環境内のネットワークに安全に接続することができます。 詳しくは、 クライアント管理環境ネットワークへの接続 を参照してください。
ユーザー・アカウント 1 つあたり、最大 4 つの VPN 接続がサポートされます。 VPN 接続の最大 4 つのポリシー (IKE および IPsec) が各データ・センターでサポートされます。 現在、VPN for Power Virtual Server sは、 DAL12、 DAL13、 FRA04、 FRA05、 LON04、 LON06、 MON01、 OSA21、 SAO01、 SYD04、 SYD05、 TOR01、 TOK04 データセンターでサポートされています。 Power Virtual Server ネットワーク自動化サービスを初めて使用すると、一時的なタイムアウト障害が発生する可能性があります。 同じエラーが再度発生することはないため、操作を再試行する必要があります。
共有 VPN ゲートウェイを介して接続する際の帯域幅の違いにより、パフォーマンスは異なります。 大量のデータを転送する必要があるワークロードの場合は、独自の専用ゲートウェイ・デバイスでサイト間 VPN 構成を使用することを検討する必要があります。 詳しくは、 クライアント管理環境 VPN ゲートウェイの構成 を参照してください。
VPN 接続のためのコマンド・ライン・インターフェース (CLI) の使用について詳しくは、 IBM Power Virtual Servers CLI リファレンス を参照してください。
VPN での Power Virtual Server ワークスペースのサポート
Power Virtual Server は、同じアカウントから複数のワークスペースをサポートしています。 ただし、VPN接続を使用できるのは1つのワークスペースだけである。 同じアカウントの複数のワークスペース用に VPN 接続を構成する場合は、 サービス・チケット を開きます。
クライアント管理環境でのネットワークへの接続
Power Virtual Server CLI または API で以下の手順に従って、クライアント管理環境でネットワークに接続するように VPN を構成できます。
- IKE ポリシーの作成.
- IPsec ポリシーの作成.
- VPN 接続の作成.
- クライアントが管理する環境で、IKEポリシー、IPsecポリシー、およびVPN接続パラメータに対応するIPsecゲートウェイを設定します。
クライアント管理環境での VPN ゲートウェイの構成
次のステップでは、クライアント管理環境で IBM Cloud VPN Gateway for Power Virtual Server ワークスペースに接続するために、VPN ゲートウェイ・ピアを設定します。 この構成は、VPN ゲートウェイのタイプによって異なります。 詳しくは、次のトピックを参照してください。
このセクションに記載されていない構成は、 Power Virtual Server でサポートされていません。 別の構成または予測可能なパフォーマンスが必要な場合は、冗長 VPN 接続を使用して、 VPC 資料のサイト間 VPN 接続 で説明されている構成を選択する必要があります。
セキュア接続の状況の確認
仮想サーバー・インスタンスからクライアント管理環境のネットワーク上のサーバーにpingを実行することで、接続をテストできます。
IKE および IPsec ポリシーの作成
VPN 接続を作成する前に、IKE ポリシーと IPsec ポリシーを設定する必要があります。 IBMが デフォルトの IKE ポリシーと IPsec ポリシーを提供します。 要件に応じて、カスタム・ポリシーを作成することもできます。
VPN 接続への VPN IKE ポリシーの追加
IKE ネゴシエーションのフェーズ 1 で使用されるセキュリティー・パラメーターを定義するために、デフォルトまたはカスタムの IKE ポリシーを使用することができます。 このフェーズでは、VPN とピア・デバイスの間で資格情報とセキュリティー・ポリシーが交換されて、相互に認証が行われ、セキュアな通信チャネルが確立されます。このチャネルは、IKE ネゴシエーションのフェーズ 2 で使用されます。
IKE ポリシーを作成するには、以下のステップを実行します。
-
Power Virtual Server、 VPN接続をクリックする。
-
VPN 接続 ページで、「IKE ポリシー」をクリックして「 IKE ポリシー 」タブを開きます。
-
**「ポリシーの作成 (Create Policy)」**をクリックします。
-
新規 IKE ポリシー ページで、以下の詳細を入力します。
- 名前: IKE ポリシーの名前 (「powervs-vpn-ike1」など) を指定します。 この名前の最大文字数は 47 文字です。
- IKE バージョン: IKE バージョンを選択します。 有効な値は 1、2 です。 IKE ポリシーのバージョン 2 は、ポリシー・ベースの VPN 接続と互換性がありません。
- 認証: IKE ポリシーの認証アルゴリズムを選択します。 有効な値は、「none」、「sha1」、「sha-256」、「sha-384」です。
- 暗号化: IKE ポリシーの暗号化アルゴリズムを選択します。 有効な値は 「3des-cbc」、「aes-128-cbc」、「aes-128-gcm」、「aes-192-cbc」、「aes-256-cbc」、「aes-256-gcm」、および 「des-cbc」 です。 「aes-128-gcm」または 「aes-256-gcm」 を使用する場合は、認証 オプションを「none」に設定する必要があります。
- Diffie-Hellman (DH) グループ: IKE ポリシーの DH グループ番号を選択します。 有効な値は 1、2、5、14、19、20、24 です。
- キー・ライフタイム: IKE ポリシーのキー存続時間を秒単位で指定します。 有効な値は180~86400秒の範囲である。
- プレシェアード・キー :クライアント管理環境のネットワークで使用するVPNゲートウェイの認証キーを指定します。
-
「作成」 をクリックします。
CLI を使用して IKE ポリシーを作成、表示、更新、または削除するには、VPN IKE ポリシーの CLI リファレンスを参照してください。
IKE ポリシーの表示例は以下のとおりです。 IKE ポリシーの場合、事前共有鍵は表示されません。
Ibmcloud pi vpn-ike-policy a757fb8d0a324e4abe0589bc17fbad7c
ID a757fb8d0a324e4abe0589bc17fbad7c
Name rs-ike-1
Version 2
Authentication sha-256
Encryption aes-256-cbc
Dh Group 2
Key Lifetime 28800
VPN 接続への IPsec ポリシーの追加と構成
デフォルトまたはカスタムの IPsec ポリシーを使用して、IKE ネゴシエーションのフェーズ 2 で使用されるセキュリティパラメータを定義できます。 このフェーズでは、VPN デバイスとピアデバイスは、IKE ネゴシエーションのフェーズ 1 で確立されたセキュリティアソシエーションを使用して、送信するトラフィックと、そのトラフィックをどのように認証および暗号化するかをネゴシエートします。
IPsec ポリシーを作成するには、以下の手順を実行します。
- Power Virtual Server、 VPN接続をクリックする。
- VPN 接続 ページで、「IPsec ポリシー」をクリックして「 IPsec ポリシー 」タブを開きます。
- **「ポリシーの作成 (Create Policy)」**をクリックします。
- 新規 IPsec ポリシー ページで、以下の詳細を入力します。
- 名前: IPsec ポリシーの名前 (「powervs-vpn-ipsec1」など) を指定します。 名前の最大文字数は 47 文字です。
- PFS: 情報の暗号化と復号化に使用する鍵を頻繁に自動的に変更する Perfect Forward Secrecy を有効にします。
- 認証: IPsec ポリシーの認証暗号化タイプを選択します。 有効な値は、「none」、「hmac-md5-96」、「hmac-sha-256-128」、「hmac-sha1-96」です。
- 暗号化: IPsec ポリシーの接続暗号化ポリシーを選択します。 有効な値は「3des-cbc」、「aes-128-cbc」、「aes-128-gcm」、「aes-192-cbc」、「aes-192-gcm」、「aes-256-cbc」、「aes-256-gcm」、「des-cbc 」です。 「aes-128-gcm」、「aes-192-gcm」、または「aes-256-gcm」の値を使用する場合は、認証 オプションを「none」に設定する必要があります。
- Diffie-Hellman (DH) グループ: IPsec ポリシーの DH グループ番号を選択します。 有効な値は 1、2、5、14、19、20、24 です。
- キー・ライフタイム: IPsec ポリシーの鍵存続時間を秒単位で指定します。 有効な値は180~86400秒の範囲である。
- 「作成」 をクリックします。
CLI を使用して IPsec ポリシーを作成、表示、更新、または削除するには、VPN IPsec ポリシーの CLI リファレンスを参照してください。
IPsec ポリシーの表示例は、以下のとおりです。
Ibmcloud pi vpn-ips-policy befd77bd25a04c388c43ccb3973966be
ID befd77bd25a04c388c43ccb3973966be
Name rs-ipsec-1
Authentication hmac-sha-256-128
Encryption aes-256-cbc
Dh Group 2
Perfect Forward Secrecy true
Key Lifetime 28800
Power Virtual Server VPN 接続の作成
前提条件 Power Virtual Server インターフェースに少なくとも1つのローカルサブネットを作成し、クライアント管理環境にピアサブネットを作成する必要があります。 VPN トンネルを介して、クライアント管理環境と Power Virtual Server ネットワークを接続できます。 サブネットの作成手順については、プライベート・ネットワーク・サブネットの構成と追加を参照してください。
VPN 接続を作成するには、以下の手順を実行します。
- Power Virtual Server、 VPN接続をクリックする。
- VPN 接続 ページで、「接続の作成」をクリックします。
- 新規 VPN 接続の作成 ページで、以下の詳細を入力します。
- 接続名: 接続の名前 (「powervs-vpn-dallas」など) を入力します。
- ピアゲートウェイアドレス :クライアント管理環境のネットワークのVPNゲートウェイのIPアドレスを指定します。
- プレシェアード・キー :VPNゲートウェイの認証キーを指定します。
- IKE ポリシー: デフォルトの IKE ポリシーを使用するか、カスタム IKE ポリシーを指定して、IKE ネゴシエーションのフェーズ 1 で使用されるセキュリティー・パラメーターを定義します。
- IPsec ポリシー :デフォルトの IPsec ポリシーを使用するか、カスタムの IPsec ポリシーを指定して、IKE ネゴシエーションのフェーズ 2 で使用するセキュリティパラメータを定義します。
- モード: ルート・ベース・モード または ポリシー・ベース・モード のいずれかを選択して、VPN トンネルを介してトラフィックを送信する方法を決定します。 VPN 接続の作成後に VPN 接続のモードを編集することはできません。
- ローカルサブネット :VPN トンネルを通して接続したい Power Virtual Server ワークスペースの 1 つ以上のサブネットを指定します。
- ピアサブネット :VPNトンネルを介して接続したいクライアント管理環境のネットワーク内の1つ以上のサブネットを指定します。
- 非活動ピアの検出: VPN 接続用のデッド・ピア検出設定を表示します。 設定情報を使用して、非活動 IKE ピアを検出できます。 これらの設定は情報提供のみを目的として表示されており、設定を変更することはできません。
- 見積もり金額を確認して、「作成」をクリックします。
VPN 接続の作成後に、VPN 接続オプションを編集できます。 編集する既存の VPN 接続をクリックし、「詳細の編集」をクリックして、オプションを変更します。
CLI を使用して VPN 接続を作成、表示、更新、または削除するには、VPN 接続の CLI リファレンスを参照してください。
仮想サーバー・インスタンスを削除すると、プライベート・ネットワーク (サブネット) およびその他のリソースが削除されます。 これは、以下のことを考慮した場合に役立ちます。
- 仮想サーバー・インスタンスを削除する前に、VPN 接続を削除する必要があります。
- クラウド接続を使用する仮想サーバー・インスタンスが複数ある場合に、それを削除すると、既存のサーバー・インスタンスからクラウド接続を削除できます。
IKE ポリシーのバージョン 2 は、ポリシー・ベースの VPN 接続と互換性がありません。 IKE ポリシーのバージョン 2 をポリシー・ベースの VPN 接続に追加しようとすると、エラーが表示されます。
VPN 接続の表示例は、以下のとおりです。
ID 1471c65163dd44daa969cf3edddd20a8
Name rs-vpc-vpn01
Status active
Mode route
Local Gateway Address 169.48.225.198
Peer Gateway Address 130.198.12.241
VPN Gateway Address 169.48.225.198
IKE Policy ID: a757fb8d0a324e4abe0589bc17fbad7c, Name: rs-ike-1
IPSec Policy ID: befd77bd25a04c388c43ccb3973966be, Name: rs-ipsec-1
Peer Subnets 10.245.0.0/27
Networks cb36a4e8-23d1-4ddc-b6c0-cf640ae0456d
Dead Peer Detection Action: restart, Interval: 10, Threshold: 5
VPN 接続へのサブネットの接続
VPN接続を含むワークスペース( Power Virtual Server )を作成する場合は、VPN接続に接続するローカル・サブネットとピア・サブネットも用意する必要があります。 VPN 接続を作成するときは、ローカル・サブネットとピア・サブネットが VPN 接続に接続されていることを確認してください。
コロケーションされた VM と VPC の間の冗長性を実現するには、異なる VPN に 2 つのサブネットを接続する必要があります。 これらのサブネットは両方とも、コロケーションされた VM の一部でなければなりません。
プライベート・ネットワークを介して Power Virtual Server にアクセスできるようにするには、VPN 接続を介して Power Virtual Server プライベート・ネットワーク・サブネットをルーティングする必要があります。 サブネットを作成するとき、またはサブネットの詳細を編集するときに、既存の VPN 接続をサブネットに接続できます。
VPN 接続に対してローカル・サブネットまたはピア・サブネットを作成、接続、または切り離しするには、以下の手順を実行します。
- Power Virtual Server、 VPN接続をクリックする。
- VPN 接続 ページで、編集する既存の VPN 接続をクリックします。
- VPN 接続の詳細 ページで、「もう 1 つ接続 +」 オプションをクリックして、他のローカル・サブネットおよびピア・サブネットを接続します。 「切り離し」をクリックして、既存のローカル・サブネットとピア・サブネットを VPN 接続から切り離します。
CLI を使用したサブネットの接続または切り離しについて詳しくは、「VPN サブネットのための CLI リファレンス」を参照してください。
プライベート・ネットワーク・サブネットの構成と追加で指定されているサブネットの制約事項に加えて、VPNaaS には以下の制約事項があります。
a. 10.xx.xx.xx/8
アドレスを持つサブネットはサポートされません。
b. これらの追加サブネットは制限されている:
10.8.0.0/14
10.45.0.0/16
10.63.0.0/16
10.65.0.0/16
10.72.0.0/16
10.74.0.0/15
10.95.96.0/20
10.114.0.0/15
10.123.0.0/16
10.128.0.0/13
10.136.0.0/13
10.150.0.0/15
10.184.0.0/13
10.192.0.0/13
10.208.0.0/12
10.240.0.0/14
10.21.1.0/26
10.182.28.192/26
c. 特定の場所でサブネットを作成しているときに、「サブネットが使用できません」というメッセージが表示されることがあります。 この問題を解決するには、別のサブネットを選択してください。