IBM Cloud Docs
AWS ピアへの接続

AWS ピアへの接続

IBM Cloud VPN for VPC を使用すると、VPN トンネルを介して VPC をオンプレミス・ネットワークに安全に接続できます。 このトピックでは、AWS の VPN ゲートウェイを、VPN for VPC に接続するように構成する方法について説明します。

AWS はフェーズ 2 で PFS を有効にする必要があるので、VPC の VPN のデフォルト・ポリシーを置き換えるカスタム IPsec ポリシーを作成する必要があります。 詳しくは、 IPsec ポリシーの作成 を参照してください。

AWS VPN は、VPN for VPC から接続要求を受け取ると、IPsec フェーズ 1 のパラメーターを使用してセキュア接続を確立し、VPN for VPC ゲートウェイを認証します。 その後、セキュリティー・ポリシーで接続が許可されると、AWS の VPN は、IPsec フェーズ 2 のパラメーターを使用して、トンネルを確立し、IPsec セキュリティー・ポリシーを適用します。 鍵管理サービス、認証サービス、およびセキュリティー・サービスは、IKE プロトコルを使用して動的にネゴシエーションされます。

オンプレミスのピアに接続する前に、 VPNゲートウェイの既知の 問題を確認してください。

これらの機能をサポートするには、 AWS VPN で以下の一般的な構成手順を実行する必要があります。

  • フェーズ 1 のパラメーターを定義します。これは、AWS の VPN がリモート・ピアの認証とセキュア接続の確立を行うために必要です。
  • フェーズ 2 のパラメーターを定義します。これは、AWS の VPN が VPN for VPC への VPN トンネルを作成するために必要なパラメーターです。

AWS ピアへの IBM ポリシー・ベースの VPN の接続

VPN for VPC ポリシー・ベースの VPN を使用して、 AWS 経路ベースの VPN に接続できます。 しかし、ポリシーベース VPN はサブネットごとに個別のセキュリティアソシエーション (SA) を必要とするのに対し、ルートベース VPN はすべての暗号化トラフィックに単一の SA を使用する。 したがって、ポリシーベースVPNとルートベースVPNの接続は、1つのCIDR範囲に関連付けられた1つのSAに制限される。

アドレス範囲が連続する複数のサブネットがある場合は、サブネットのスーパーセットであるCIDRで接続を作成できます。 例えば、 192.168.0.0/24192.168.1.0/24 は CIDR 192.168.0.0/23 でカバーされている。

AWS ピアへの IBM ポリシー・ベース VPN の接続
図 1: AWS ピアへの IBM ポリシー・ベース VPN の接続

AWS の構成

AWS ピアを構成するには、以下の手順に従ってください。

  1. IBM ポリシーベースの VPN IP アドレスを使用して、 AWS Customer Gateway を作成します。

  2. AWS の仮想プライベート・ゲートウェイを作成し、IBM VPC にトラフィックを送信する必要がある AWS VPC に接続します。

  3. 次のようにして AWS サイト間接続を 1 つ作成します。

    • Virtual Private Gatewayをステップ2で作成したゲートウェイに設定します。

    • カスタマーゲートウェイをステップ1で作成したカスタマーゲートウェイに設定します。

    • **「ルーティングオプション」「静的 (Static)」**に設定します。

    • **「静的 IP プレフィックス (Static IP Prefixes)」**に、IBM 側の単一の CIDR を追加します。

      IBM VPCで複数の連続したサブネットにアクセスするには、必要なサブネットすべてをカバーする、より大きなCIDR範囲を使用します。

    • トンネル 1トンネル 2 の両方に、事前に共有しておいたキーを入力します。

    • 両方の AWS トンネルについて、トンネル X オプションの編集 を選択し、必要なセキュリティー・パラメーターを選択します。 各パラメーターが IBM VPN でサポートされていれば、複数の値を選択することができます。

      AWS トンネル・オプション
      図 2: AWS トンネル・オプション

  4. AWS サイト間接続のステータスが Available になったら、 Static routes タブを開き、正しいルートが自動的に追加されたことを確認します。 必要に応じて手動で調整します。

    IBM VPC 側のネットワーク 10.240.128.0/2710.240.128.32/27 が、新しい宛先 10.240.128.0/26 でルーティングされていることを示します。

    AWS 接続の静的ルート
    図 3: AWS 接続の静的ルート

  5. Virtual Private Cloud セクションの AWS Route tablesにアクセスし、VPNが接続されたVPCに関連付けられたルートテーブルを見つける。 **「ルートの編集」**をクリックして同じルートをルート・テーブルに追加します。

    AWS 経路テーブル
    図 4: AWS 経路テーブル

  6. サイト間接続ページで接続ステータスを確認します。

  7. AWS ACLとセキュリティグループのルールが、必要なトラフィックを許可するように調整されていることを確認する。

IBM ポリシー・ベース VPN の構成

AWS ピアに対して IBM ポリシーベース VPN を設定するには、以下の手順に従います:

  1. AWS トンネル IP の 1 つに対して新規接続を作成します。 ローカルのサブネットピアのサブネットの両方に対して単一の CIDR を使用します。

    AWS はフェーズ 2 で PFS を_有効に_する必要があるため、VPC 内の VPN のデフォルト・ポリシーを置き換えるカスタム IPsec ポリシーを作成する必要があります。 詳しくは、VPN for VPC でのカスタム IPsec ポリシーの作成を参照してください。

  2. 接続の状況が 「アクティブ」 になったら、サブネット間のトラフィックを確認します。

AWS ピアへの IBM 経路ベース VPN の接続

このセットアップには、1 つの IBM VPN ゲートウェイと 2 つの AWS VPN 接続 (合計 4 つのトンネル) が必要です。

AWS ピアへの IBM 経路ベースの VPN の接続
図 5: AWS ピアへの IBM 経路ベースの VPN の接続

AWS の構成

AWS ピアを構成するには、以下の手順に従ってください。

  1. それぞれの IBM 経路ベース VPN メンバー IP アドレスを使用して、2 つの AWS カスタマー・ゲートウェイを作成します。

  2. AWS の仮想プライベート・ゲートウェイを作成し、IBM VPC にトラフィックを送信する必要がある AWS VPC に接続します。

  3. 最初の AWS サイト間接続を作成します。

    • Virtual Private Gatewayをステップ2で作成したゲートウェイに設定します。
    • カスタマーゲートウェイを、ステップ 1 で作成した最初のカスタマーゲートウェイに設定します。
    • **「ルーティングオプション」「静的 (Static)」**に設定します。
    • IBM VPC サブネットを 2 つの小さいサブネットに分割し、それらを 静的 IP 接頭部に追加します。 この方法では、最初の接続が 2 番目の接続より優先されます。
    • tunnel1tunnel2
    • 両方の AWS トンネルについて、 [Edit Tunnel X Options ]を選択し、必要なセキュリティパラメータを選択する。 各パラメーターが IBM VPN でサポートされていれば、複数の値を選択することができます。

  4. 2 番目の AWS サイト間接続を作成します。

    • Virtual Private Gatewayをステップ2で作成したゲートウェイに設定します。
    • Customer Gatewayを、ステップ1で作成した2番目のCustomer Gatewayに設定します。
    • **「ルーティングオプション」「静的 (Static)」**に設定します。
    • IBM VPC サブネットを 「静的 IP 接頭部 (Static IP Prefixes)」 に追加します。
    • tunnel1tunnel2
    • 両方の AWS トンネルについて、 [Edit Tunnel X Options ]を選択し、必要なセキュリティパラメータを選択する。 各パラメーターが IBM VPN でサポートされていれば、複数の値を選択することができます。

    AWS トンネル・オプション
    図 6: AWS トンネル・オプション

  5. AWS サイト間接続が 「使用可能」 状態になったら、各サイト間接続の 「静的経路」 タブに移動して、正しい経路が自動的に追加されたことを確認します。 必要に応じて手動で調整します。 以下のイメージは、ネットワーク 10.248.0.0/24 が両方の接続で経路指定されることを示しています。

    AWS 接続の静的ルート
    図 7: AWS 接続の静的ルート

    AWS 接続の静的ルート
    図 8: AWS 接続の静的ルート

  6. VIRTUAL PRIVATE CLOUDの下にある AWS Route Tablesにアクセスし、VPNが接続されているVPCに関連付けられているルートテーブルを見つけます。 **「ルートの編集」**をクリックして同じルートをルート・テーブルに追加します。

    AWS 経路テーブル
    図 9: AWS 経路テーブル

  7. サイト間接続ページで接続ステータスを確認します。

  8. AWS ACLとセキュリティグループのルールが、必要なトラフィックを許可するように調整されていることを確認する。

IBM ルートベース VPN の設定

AWS ピア用に IBM 経路ベース VPN を構成するには、以下の手順を実行します。

  1. AWS トンネル IP ごとに 1 つずつ、4 つの新しい接続を作成する。

    AWS はフェーズ 2 で PFS を有効にする必要があるので、VPC の VPN のデフォルト・ポリシーを置き換えるカスタム IPsec ポリシーを作成する必要があります。 詳しくは、VPN for VPC でのカスタム IPsec ポリシーの作成を参照してください。

  2. ステップ 1 で作成した各接続を指す 「ネクスト・ホップ」 オプションを使用して、ピア・サブネットごとに 4 つの経路を作成します。 次に、各経路を異なる 優先順位 値に設定します。

    「優先順位」 の値が最も低い経路が優先順位の経路です。

    IBM ルーティング・テーブル
    図 5: IBM ルーティング・テーブル

  3. 両方の接続のステータスが Activeと表示されたら、サブネット間のトラフィックを確認する。

    非対称ルーティングを回避するために、 AWS の優先接続が IBM の優先接続と同じであることを確認します。