当サイトのクッキーについて IBM のWeb サイトは正常に機能するためにいくつかの Cookie を必要とします(必須)。 このほか、サイト使用状況の分析、ユーザー・エクスペリエンスの向上、広告宣伝のために、お客様の同意を得て、その他の Cookie を使用することがあります。 詳細については、オプションをご確認ください。 IBMのWebサイトにアクセスすることにより、IBMのプライバシー・ステートメントに記載されているように情報を処理することに同意するものとします。 円滑なナビゲーションのため、お客様の Cookie 設定は、 ここに記載されている IBM Web ドメイン間で共有されます。
VPNで使用するネットワークACLの設定
VPNゲートウェイのサブネットと、VPNトンネルを介して通信する他のVPCサブネットに、ネットワーク・アクセス・コントロール・リスト(NACL)を設定できます。
NACLは、サブネットレベルで送受信トラフィックを制御するステートレス・ルール・セットである。 個々の仮想サーバ・インスタンスとの間のトラフィックをフィルタリングするセキュリティ・グループとは異なり、NACLはサブネット全体との間のトラフィックを管理します。
VPNゲートウェイとVPC仮想サーバ・インスタンスは、同じNACLまたは異なるNACLを共有でき、同じサブネットCIDRブロックまたは異なるサブネットCIDRブロックに存在できます。
使用例1:VPNゲートウェイと仮想サーバーインスタンスがNACLを共有する場合
このユースケースは、 IBM Cloud VPN ゲートウェイと VPC 仮想サーバーインスタンスが共有 NACL によって管理され、一貫したトラフィック制御ポリシーを実現するシナリオを示しています。 どちらのシナリオでも、VPNゲートウェイと仮想サーバーは同じVPCの一部です。
シナリオ1:VPNゲートウェイと仮想サーバーインスタンスが同じサブネットにある
このシナリオでは、VPNゲートウェイと仮想サーバ・インスタンスの両方がVPCの同じサブネット内に存在し、共有NACLによって保護されます。 このセットアップでは、両方のリソースに一貫したルールを適用することで、ネットワーク制御を簡素化することができる。
これらの手順は、以下の図に示すように、共有NACLサブネット・ペアを通るパケット・フローを記述する。
- 暗号化されたトラフィックは、オンプレミス(ピア)ゲートウェイと共有サブネットの間を流れ、暗号化されたドメイン(オンプレミスプライベートCIDR、VPC CIDR)の一部である双方のIP範囲をカバーします。
- パケットはVPC VPNゲートウェイに到達した後、復号化され、同じサブネット内の仮想サーバー・インスタンスに転送される。
- オンプレミス・ネットワークへのレスポンス・パケットはVPNゲートウェイに戻る。
- 最後に、パケットは暗号化され、共有サブネットからオンプレミス・ゲートウェイに返される。
VPNゲートウェイと仮想サーバーインスタンスが共有サブネットにあり、共有NACLを作成する場合、オンプレミスのゲートウェイと共有サブネットのNACLペア間の双方向トラフィックフローのために、以下のルールを追加する必要があります。 詳しくは、ネットワーク ACL のセットアップを参照してください。
- 表の最初のインバウンドルールとアウトバウンドルールのペアは、管理トラフィックを許可する。 このトラフィックは、オンプレミス・ゲートウェイとVPNゲートウェイ間のVPN接続の確立と維持にIKEとIPsecプロトコルを使用します。
- 2つ目のインバウンド・ルールとアウトバウンド・ルールのペアはVPNトンネルのトラフィックを許可し、確立されたVPNトンネルを通してオンプレミス・ネットワークとVPC CIDRの間を流れます。
- オプション:最後のインバウンドルールは、到達性チェックやトラブルシューティングのためにVPNゲートウェイやVPC仮想サーバーインスタンスにpingを打つなど、接続性テストのためのトラフィックを許可します。
| インバウンドおよびアウトバウンドのルール | プロトコル | 送信元 IP | 送信元ポート | 宛先 IP | 宛先ポート |
|---|---|---|---|---|---|
| インバウンド | すべて | オンプレミス・ゲートウェイのパブリック IP | 該当なし | VPN ゲートウェイのサブネット | 該当なし |
| アウトバウンド | すべて | VPN ゲートウェイのサブネット | 該当なし | オンプレミス・ゲートウェイのパブリックIP | 該当なし |
| インバウンド | すべて | オンプレミスのプライベート CIDR | 該当なし | VPC CIDR | 該当なし |
| アウトバウンド | すべて | VPC CIDR | 該当なし | オンプレミスのプライベート CIDR | 該当なし |
| インバウンド (オプション) | ICMP | 任意 | 該当なし | 任意 | 該当なし |
例えば、次の表は、インバウンドルールとアウトバウンドルールのソースIPアドレスとデスティネーションIPアドレスを示している。 この例では、VPN ゲートウェイと仮想サーバーインスタンスの両方が共有サブネット CIDR 192.168.1.0/24 にあります。
| インバウンドおよびアウトバウンドのルール | プロトコル | 送信元 IP | 送信元ポート | 宛先 IP | 宛先ポート |
|---|---|---|---|---|---|
| インバウンド | すべて | オンプレミス・ゲートウェイのパブリック IP[1] | 該当なし | 192.168.1.0/24 |
該当なし |
| アウトバウンド | すべて | 192.168.1.0/24 |
該当なし | オンプレミス・ゲートウェイのパブリックIP[2] | 該当なし |
| インバウンド | すべて | オンプレミスのプライベート CIDR | 該当なし | 192.168.1.0/24 |
該当なし |
| アウトバウンド | すべて | 192.168.1.0/24 |
該当なし | オンプレミスのプライベート CIDR | 該当なし |
| インバウンド (オプション) | ICMP | 任意 | 該当なし | 任意 | 該当なし |
シナリオ2:VPNゲートウェイと仮想サーバーインスタンスが同じVPC内の異なるサブネットにある
このシナリオでは、VPNゲートウェイと仮想サーバー・インスタンスは同じVPC内の異なるサブネットに存在し、両者間のトラフィックを管理するために共有NACLが適用されます。 このコンフィギュレーションでは、サブネット間のトラフィックのルーティングを考慮する必要がある。
これらのステップは、以下の図に示すように、共有NACLと異なるサブネットを通過するパケット・フローを記述する。
- 暗号化されたトラフィックは、オンプレミス(ピア)ゲートウェイとVPNゲートウェイのサブネット間を流れ、暗号化されたドメイン(オンプレミスプライベートCIDR、VPC CIDR)の一部である双方のIP範囲をカバーします。
- パケットはVPC VPNゲートウェイに到達した後、復号化され、VPNサブネットからVPC仮想サーバーサブネットに転送されます。
- オンプレミス・ネットワークへのレスポンス・パケットは、VPNサブネットに戻る。
- 最後に、パケットは暗号化され、VPNサブネットからオンプレミス・ゲートウェイに返される。
VPNゲートウェイと仮想サーバーインスタンスが異なるサブネットにあり、共有NACLを作成する場合、オンプレミス・ゲートウェイと異なるサブネット間の双方向トラフィックフローのために、以下のルールを追加する必要があります。
| インバウンドおよびアウトバウンドのルール | プロトコル | 送信元 IP | 送信元ポート | 宛先 IP | 宛先ポート |
|---|---|---|---|---|---|
| インバウンド | すべて | オンプレミス・ゲートウェイのパブリック IP | 該当なし | VPN ゲートウェイのサブネット | 該当なし |
| アウトバウンド | すべて | VPN ゲートウェイのサブネット | 該当なし | オンプレミス・ゲートウェイのパブリックIP | 該当なし |
| インバウンド | すべて | オンプレミスのプライベート CIDR | 該当なし | VPC CIDR | 該当なし |
| アウトバウンド | すべて | VPC CIDR | 該当なし | オンプレミスのプライベート CIDR | 該当なし |
| インバウンド (オプション) | ICMP | 任意 | 該当なし | 任意 | 該当なし |
例えば、次の表は、インバウンドルールとアウトバウンドルールのソースIPアドレスとデスティネーションIPアドレスを示している。 こ の例では、VPN ゲー ト ウ ェ イ はサブネ ッ ト CIDR 192.168.1.0/24 、仮想サーバ・インスタンスはサブネッ ト CIDR 192.168.2.0/24。
| インバウンドおよびアウトバウンドのルール | プロトコル | 送信元 IP | 送信元ポート | 宛先 IP | 宛先ポート |
|---|---|---|---|---|---|
| インバウンド | すべて | オンプレミス・ゲートウェイのパブリック IP[3] | 該当なし | 192.168.1.0/24 |
該当なし |
| アウトバウンド | すべて | 192.168.1.0/24 |
該当なし | オンプレミス・ゲートウェイのパブリックIP[4] | 該当なし |
| インバウンド | すべて | オンプレミスのプライベート CIDR | 該当なし | 192.168.2.0/24 |
該当なし |
| アウトバウンド | すべて | 192.168.2.0/24 |
該当なし | オンプレミスのプライベート CIDR | 該当なし |
| インバウンド (オプション) | ICMP | 任意 | 該当なし | 任意 | 該当なし |
使用例2:VPNゲートウェイと仮想サーバーインスタンスが異なるNACLを使用する場合
このユースケースは、 IBM Cloud VPN ゲートウェイと VPC 仮想サーバーインスタンスが異なる NACL によって管理され、一貫したトラフィック制御ポリシーを実現するシナリオを示しています。 最初のシナリオでは、VPNゲートウェイと仮想サーバーは同じVPCの一部ですが、2番目のシナリオでは、トランジットゲートウェイで接続された異なるVPCにあります。
シナリオ1:VPNゲートウェイと仮想サーバーインスタンスが異なるサブネットにあり、別々のNACLを使用している場合
VPNゲートウェイと仮想サーバーインスタンスが異なるサブネットにあり、VPNゲートウェイのサブネットに接続されたNACLと仮想サーバーのサブネットに接続されたNACLの2つのNACLを作成する場合、オンプレミスのゲートウェイと異なるサブネット間のトラフィックフローのために以下のルールを追加する必要があります。
暗号化されたトラフィックは、オンプレミスのゲートウェイとVPNゲートウェイのサブネット間を流れ、暗号化されたドメイン内のオンプレミスとVPCの両方のIP範囲をカバーします。 パケットはVPC VPNゲートウェイに到達した後、復号化されてVPC仮想サーバー・サブネットに転送されます。 レスポンス・パケットはその後、VPNサブネットを経由して送り返され、そこで再び暗号化されてオンプレミス・ゲートウェイに戻される。
VPNゲートウェイのサブネットにNACLを設定する
このNACLはVPNゲートウェイのサブネットにアタッチされる。 VPNゲートウェイ・サブネットのトラフィック・ルールは、VPNトンネルの設定に使用される管理トラフィックと、オンプレミス・ネットワークとVPC間の暗号化されたVPNトンネルのトラフィックをカバーする必要があります。
| インバウンドおよびアウトバウンドのルール | プロトコル | 送信元 IP | 送信元ポート | 宛先 IP | 宛先ポート |
|---|---|---|---|---|---|
| インバウンド | すべて | オンプレミス・ゲートウェイのパブリック IP | 該当なし | VPN ゲートウェイのサブネット | 該当なし |
| アウトバウンド | すべて | VPN ゲートウェイのサブネット | 該当なし | オンプレミス・ゲートウェイのパブリックIP | 該当なし |
| インバウンド | すべて | オンプレミスプライベートCIDR | 該当なし | VPC CIDR | 該当なし |
| アウトバウンド | すべて | VPC CIDR | 該当なし | オンプレミスのプライベート CIDR | 該当なし |
| インバウンド (オプション) | ICMP | 任意 | 該当なし | 任意 | 該当なし |
仮想サーバーインスタンスサブネットのNACL設定
このNACLは仮想サーバーのサブネットにアタッチされる。 仮想サーバーのサブネットのトラフィックルールは、オンプレミスのネットワークと仮想サーバーインスタンス間の通信のためのVPNトンネルのトラフィックをカバーする必要があります。
| インバウンドおよびアウトバウンドのルール | プロトコル | 送信元 IP | 送信元ポート | 宛先 IP | 宛先ポート |
|---|---|---|---|---|---|
| インバウンド | すべて | オンプレミスのプライベート CIDR | 該当なし | VPC CIDR | 該当なし |
| アウトバウンド | すべて | VPC CIDR | 該当なし | オンプレミスのプライベート CIDR | 該当なし |
トラフィックのトラブルシューティング
オプション:このルールは、到達性チェックやトラブルシューティングのためにVPNゲートウェイやVPC仮想サーバーインスタンスにpingを送信するなど、接続性テストのためのトラフィックを許可します。
| インバウンド・ルール | プロトコル | 送信元 IP | 送信元ポート | 宛先 IP | 宛先ポート |
|---|---|---|---|---|---|
| インバウンド (オプション) | ICMP | 任意 | 該当なし | 任意 | 該当なし |
例共有VPCにおけるVPNゲートウェイと仮想サーバーのサブネットの設定
以下の例は、VPNゲートウェイと仮想サーバーインスタンスのサブネットの両方に適用される特定のNACLルールを示しています。 これらの例は、特定のサブネットCIDRとトラフィック要件に従ってNACLを正しく設定するのに役立つ。
この表は、インバウンドルールとアウトバウンドルールのソースIPアドレスとデスティネーションIPアドレスを示している。 こ の例では、VPN ゲー ト ウ ェ イ はサブネ ッ ト CIDR 192.168.1.0/24 にあ り、 仮想サーバはサブネ ッ ト CIDR 192.168.2.0/24 にあ り ます。
| インバウンドおよびアウトバウンドのルール | プロトコル | 送信元 IP | 送信元ポート | 宛先 IP | 宛先ポート |
|---|---|---|---|---|---|
| インバウンド | すべて | オンプレミス・ゲートウェイのパブリック IP[5] | 該当なし | 192.168.1.0/24 |
該当なし |
| アウトバウンド | すべて | 192.168.1.0/24 |
該当なし | オンプレミス・ゲートウェイのパブリックIP[6] | 該当なし |
| インバウンド | すべて | オンプレミスのプライベート CIDR | 該当なし | 192.168.2.0/24 |
該当なし |
| アウトバウンド | すべて | 192.168.2.0/24 |
該当なし | オンプレミスのプライベート CIDR | 該当なし |
| インバウンド (オプション) | ICMP | 任意 | 該当なし | 任意 | 該当なし |
この表は、仮想サーバサブネットのNACLルールを示しており、VPNゲートウェイサブネットで説明したのと同じタイプのインバウンドとアウトバウンドのトラフィックフローを示しています。
| インバウンドおよびアウトバウンドのルール | プロトコル | 送信元 IP | 送信元ポート | 宛先 IP | 宛先ポート |
|---|---|---|---|---|---|
| インバウンド | すべて | オンプレミスのプライベート CIDR | 該当なし | 192.168.2.0/24 |
該当なし |
| アウトバウンド | すべて | 192.168.2.0/24 |
該当なし | オンプレミスのプライベート CIDR | 該当なし |
シナリオ2:異なるVPC内のVPNゲートウェイと仮想サーバーインスタンスがトランジットゲートウェイを介して接続されている場合
このシナリオでは、VPNゲートウェイと仮想サーバーインスタンスは、トランジットゲートウェイで接続された異なるVPC内の異なるサブネットに存在します。 このコンフィギュレーションでは、前述のシナリオと同じ手順で、異なるVPCのサブネットを通じてパケットを転送する。
- 暗号化されたトラフィックは、オンプレミス・ゲートウェイとVPNゲートウェイのサブネット間を流れます。
- パケットはVPC VPNゲートウェイに到達した後、復号化されてVPC仮想サーバー・サブネットに転送されます。
- レスポンス・パケットはその後、VPNサブネットを経由して送り返され、そこで再び暗号化されてオンプレミス・ゲートウェイに戻される。
VPNゲートウェイと仮想サーバーインスタンスが、異なるサブネットと異なるNACLを持つ異なるVPCにある場合、オンプレミスのゲートウェイと異なるVPCのサブネット間のトラフィックフローについて、以下のルールを追加する必要があります。
VPNゲートウェイのサブネットにNACLを設定する
このNACLはVPNゲートウェイのサブネットにアタッチされる。 VPNゲートウェイ・サブネットのトラフィック・ルールは、VPNトンネルの設定に使用される管理トラフィックと、オンプレミス・ネットワークとVPC間の暗号化されたVPNトンネルのトラフィックをカバーする必要があります。
| インバウンドおよびアウトバウンドのルール | プロトコル | 送信元 IP | 送信元ポート | 宛先 IP | 宛先ポート |
|---|---|---|---|---|---|
| インバウンド | すべて | オンプレミス・ゲートウェイのパブリック IP | 該当なし | VPN ゲートウェイのサブネット | 該当なし |
| アウトバウンド | すべて | VPN ゲートウェイのサブネット | 該当なし | オンプレミス・ゲートウェイのパブリックIP | 該当なし |
| インバウンド | すべて | オンプレミスプライベートCIDR | 該当なし | VPC CIDR | 該当なし |
| アウトバウンド | すべて | VPC CIDR | 該当なし | オンプレミスのプライベート CIDR | 該当なし |
| インバウンド (オプション) | ICMP | 任意 | 該当なし | 任意 | 該当なし |
仮想サーバーインスタンスサブネットのNACL設定
このNACLは仮想サーバーのサブネットにアタッチされる。 仮想サーバーのサブネットのトラフィックルールは、オンプレミスのネットワークと仮想サーバーインスタンス間の通信のためのVPNトンネルのトラフィックをカバーする必要があります。
| インバウンドおよびアウトバウンドのルール | プロトコル | 送信元 IP | 送信元ポート | 宛先 IP | 宛先ポート |
|---|---|---|---|---|---|
| インバウンド | すべて | オンプレミスのプライベート CIDR | 該当なし | VPC CIDR | 該当なし |
| アウトバウンド | すべて | VPC CIDR | 該当なし | オンプレミスのプライベート CIDR | 該当なし |
トラフィックのトラブルシューティング
オプション:このルールは、到達性チェックやトラブルシューティングのためにVPNゲートウェイやVPC仮想サーバーインスタンスにpingを送信するなど、接続性テストのためのトラフィックを許可します。
| インバウンド・ルール | プロトコル | 送信元 IP | 送信元ポート | 宛先 IP | 宛先ポート |
|---|---|---|---|---|---|
| インバウンド (オプション) | ICMP | 任意 | 該当なし | 任意 | 該当なし |
例異なるVPCにおけるVPNゲートウェイと仮想サーバーのサブネットの設定
以下の例では、異なるVPC内のVPNゲートウェイと仮想サーバー・インスタンスのサブネットの両方に適用される特定のNACLルールを説明しています。 これらの例は、特定のサブネットCIDRとトラフィック要件に従ってNACLを正しく設定するのに役立つ。
次の表は、インバウンドルールとアウトバウンドルールのソースIPアドレスとデスティ ネーションIPアドレスを示している。 この例では、VPC A の VPN ゲートウェイはサブネット CIDR 192.168.1.0/24 にあり、VPC B の仮想サーバはサブネット CIDR 192.168.2.0/24 にあります。
| インバウンドおよびアウトバウンドのルール | プロトコル | 送信元 IP | 送信元ポート | 宛先 IP | 宛先ポート |
|---|---|---|---|---|---|
| インバウンド | すべて | オンプレミス・ゲートウェイのパブリック IP[7] | 該当なし | 192.168.1.0/24 |
該当なし |
| アウトバウンド | すべて | 192.168.1.0/24 |
該当なし | オンプレミス・ゲートウェイのパブリックIP[8] | 該当なし |
| インバウンド | すべて | オンプレミスのプライベート CIDR | 該当なし | 192.168.2.0/24 |
該当なし |
| アウトバウンド | すべて | 192.168.2.0/24 |
該当なし | オンプレミスのプライベート CIDR | 該当なし |
| インバウンド (オプション) | ICMP | 任意 | 該当なし | 任意 | 該当なし |
この表は、VPC AのVPNゲートウェイサブネットで説明したのと同じタイプのインバウンドおよびアウトバウンドのトラフィックフローを示す、VPC Bの仮想サーバサブネットのNACLルールを示しています。
| インバウンドおよびアウトバウンドのルール | プロトコル | 送信元 IP | 送信元ポート | 宛先 IP | 宛先ポート |
|---|---|---|---|---|---|
| インバウンド | すべて | オンプレミスのプライベート CIDR | 該当なし | 192.168.2.0/24 |
該当なし |
| アウトバウンド | すべて | 192.168.2.0/24 |
該当なし | オンプレミスのプライベート CIDR | 該当なし |
-
受信ルールのソースIPをオンプレミス・ゲートウェイのパブリックIPに設定します。 この設定は、オンプレミス・サブネットからVPCへのトラフィックを許可します。 ↩︎
-
宛先IPを、アウトバウンドルールのオンプレミス・ゲートウェイのパブリックIPアドレスに設定します。 この設定は、VPCからオンプレミス・サブネットへのトラフィックを許可します。 ↩︎
-
受信ルールのソースIPをオンプレミス・ゲートウェイのパブリックIPに設定します。 この設定は、オンプレミス・サブネットからVPCへのトラフィックを許可します。 ↩︎
-
宛先IPを、アウトバウンドルールのオンプレミス・ゲートウェイのパブリックIPアドレスに設定します。 この設定は、VPCからオンプレミス・サブネットへのトラフィックを許可します。 ↩︎
-
受信ルールのソースIPをオンプレミス・ゲートウェイのパブリックIPに設定します。 この設定は、オンプレミス・サブネットからVPCへのトラフィックを許可します。 ↩︎
-
宛先IPを、アウトバウンドルールのオンプレミス・ゲートウェイのパブリックIPアドレスに設定します。 この設定は、VPCからオンプレミス・サブネットへのトラフィックを許可します。 ↩︎
-
受信ルールのソースIPをオンプレミス・ゲートウェイのパブリックIPに設定します。 この設定は、オンプレミス・サブネットからVPCへのトラフィックを許可します。 ↩︎
-
宛先IPを、アウトバウンドルールのオンプレミス・ゲートウェイのパブリックIPアドレスに設定します。 この設定は、VPCからオンプレミス・サブネットへのトラフィックを許可します。 ↩︎