クライアントVPNをVPC 用の VCFに展開する

以下の図は、クライアントVPNをVPC 用の VCFに導入するためのハイレベルな手順を紹介しています。

このアーキテクチャー・パターンのデプロイメントは、以下のように要約されます。

1. VPNサーバーに関する一般的な 計画上の考慮事項 を確認してください。
2. VPNクライアントの認証モードを、証明書ベース、ユーザーIDとパスコード、またはその両方から選択します。
3. サービスインスタンスSecrets Manager を作成し、TLS証明書を作成してアップロードします。
4. VPN サーバーと IBM Cloud Secrets Manager の IAM service-to-service authorization を作成します。
5. クライアント IPv4 アドレスプールとネットワークアクセス、一般的なルーティング、VPN サーバーの配置を設計します。 ネットワーク要件に応じて、VPC 用の VCFと Tier 0 プライベートアップリンク VPC サブネットまたは管理サブネットを使用します。
6. サブネットにスタンドアロンVPNサーバーをプロビジョニングする(または、高可用性を高めるために2つのサブネットにVPNサーバーをプロビジョニングする)。 詳しくは、VPN サーバーの作成を参照してください。
7. VPNサーバーにVPNルートを作成 し、VPCルート をVPC 用の VCFに作成します。
8. クライアントVPN環境を構築 し、VPNサーバーに接続する。

クライアント VPN を VPC 用の VCF に導入する際のヒント

• VPNルートを作成する際に、translate オプションを使用すると、VPNサーバーから送信される前に送信元IPをVPNサーバーのプライベートIPアドレスに変換し、クライアントIPv4アドレスプールのVPNクライアントIPアドレスを宛先デバイスから見えなくすることができます。 このプロセスにより、VPCのアップルーティング設定が容易になる。
• スプリットトンネルは通常、企業ネットワークとVPC 用の VCFへの同時アクセスが必要な場合に使用するモードです。 そして、プライベート・トラフィックはVPNインターフェイスを通ってVPNトンネルに流れ、パブリック・トラフィックは既存のLANインターフェイスを通って流れる。 このプロセスはVPNルートで管理できる。
• VMware Cloud Foundation インスタンスは、IBM Cloud DNS サーバーのデフォルト IP アドレス 161.26.0.7 と 161.26.0.8 を使用します。 VMware Cloud Foundation インスタンスを管理する場合、DNS サーバーを使用し、VMware Cloud Foundation エントリを解決できるようにする必要があります。 したがって、VPNルートがこの範囲をカバーしていることを確認してください。

考慮事項

このアーキテクチャ・パターンを設計または展開する際には、以下の情報を考慮すること：

• IPアドレッシングとVPNルーティングパターンを設計する。 VPC 用の VCF にルーティングするネットワークと、VPN からアクセスする必要がある NSX オーバーレイ ネットワークについて考えてください。
• VPNサーバーに関する一般的な 計画上の考慮事項 を確認してください。
• VPNクライアントの認証モードを決める 証明書ベース、ユーザーIDとパスコード、またはその両方を使うことができる。
• プライベート証明書は、これらの考慮事項 を念頭に置いて作成することをお勧めします。

関連リンク

• VPCネットワークの設計
• VPCクライアント間VPNサーバー