IKE ポリシーの作成

カスタムの Internet Key Exchange (IKE) ポリシーを使用すると、IKE ネゴシエーションのフェーズ 1 で使用するセキュリティー・パラメーターを定義できます。このフェーズでは、VPN とピア・デバイスが資格情報とセキュリティー・ポリシーを交換して互いを認証し、フェーズ 2 のネゴシエーションに使用するセキュアな通信チャネルを確立します。

コンソールでIKEポリシーを作成する

コンソールでIKEポリシーを作成するには、以下の手順に従います：

「VPC 用の VPN (VPNs for VPC)」リスト・ページから**「サイト間ゲートウェイ (Site-to-site gateways)」>「IKE ポリシー (IKE policies)」**タブを選択します。
**「作成 + (Create +)」**をクリックし、次の情報を指定します。
- 名前 - IKE ポリシーの名前を入力します。
- リソース・グループ - この IKE ポリシーのリソース・グループを選択します。
- リージョン - この IKE ポリシーのリージョンを選択します。
- IKE バージョン - IKE プロトコルのバージョン。片方の IKE バージョンをサポートしていないベンダーもあります。ピアのベンダーの資料で IKE バージョンのサポートを確認してください。
- 認証 - IKE のフェーズ 1 に使用する認証アルゴリズム。
- 暗号化 - IKE のフェーズ 1 に使用する暗号化アルゴリズム。
- Diffie-Hellman グループ - IKE フェーズ 1 に使用する DH グループ。
- 鍵ライフタイム - フェーズ 1 のトンネルの存続時間 (秒数)。
**「IKE ポリシーの作成」**をクリックします。
**「VPN 接続の詳細」ページで、対象の IKE ポリシーを使用するように「IKE ポリシー」**フィールドを設定します。

CLIからIKEポリシーを作成する

開始する前に、 CLI 環境をセットアップします。

CLIからIKEポリシーを作成するには、次のコマンドを入力します：

ibmcloud is ike-policy-create IKE_POLICY_NAME AUTHENTICATION_ALGORITHM DH_GROUP ENCRYPTION_ALGORITHM IKE_VERSION
    [--key-lifetime KEY_LIFETIME]
    [--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME]
    [--output JSON] [-q, --quiet]

ここで、

md-5 および認証アルゴリズム、および DHグループ、および暗号化アルゴリズムは、2022年9月20日に非推奨となり、コンソールではサポートされなくなりました。 sha-1 2 5 triple_des

IKE_POLICY_NAME - IKE ポリシーの名前。
AUTHENTICATION_ALGORITHM - 認証アルゴリズム。 sha256、 sha384、 sha512 のいずれか。
DH_GROUP - Diffie-Hellman グループ。 14、 15、 16、 17、 18、 19、 20、 21、 22、 23、 24、 31 のいずれか。
ENCRYPTION_ALGORITHM - 暗号化アルゴリズム。 aes128、 aes192、 aes256 のいずれか。
IKE_VERSION - IKE プロトコルのバージョン。 1、2 のいずれか。
--key-lifetime value - 鍵ライフタイム (秒単位)。最大: 86400、最小: 1800。デフォルト値は 28800です。
--resource-group-id value - リソース・グループの ID。このオプションは --resource-group-name と同時に指定することはできません。
--resource-group-name value - リソース・グループの名前。このオプションは --resource-group-id と同時に指定することはできません。
--output value - JSON 形式の出力を指定します。
-q, --quiet - 詳細な出力を非表示にします。

コマンドの例

SHA 256認証、DHグループ14、AES 128暗号化、IKEバージョン2を使用してIKEポリシーを作成します：
```
ibmcloud is ike-policy-create my-ike-policy sha256 14 aes128 2
```
同じパラメータと3600秒のライフタイムでIKEポリシーを作成します：
```
ibmcloud is ipsec-policy-create my-ipsec-policy sha256 14 aes128 2 --key-lifetime 3600
```

同じパラメーターとリソース・グループ ID を指定して IKE ポリシーを作成します。

ibmcloud is ipsec-policy-create my-ipsec-policy sha256 14 aes128 2 --resource-group-id fee82deba12e4c0fb69c3b09d1f12345 --output JSON

APIを使用したIKEポリシーの作成

APIを使用してIKEポリシーを作成するには、以下の手順に従ってください：

適切な変数を設定して API 環境をセットアップします。
API コマンドで使用する追加の変数を格納します。次に例を示します。

ResourceGroupId - get resource groups コマンドを使用してリソース・グループ ID を確認してから、変数に設定します。
```
export ResourceGroupId=<your_resourcegroup_id>
```

すべての変数を設定したら、IKE ポリシーを作成します。

   curl -X POST "$vpc_api_endpoint/v1/ike_policies?version=$api_version&generation=2" \
     -H "Authorization: $iam_token" \
     -d '{
        "name": "my-new-ike-policy",
        "dh_group": 14,
        "authentication_algorithm": "sha256",
        "encryption_algorithm": "aes128",
        "ike_version": 2,
        "resource_group": {
          "id": "'$ResourceGroupId'"
        }
      }'

Terraform を使用した IKE ポリシーの作成

以下の例では、Terraformを使ってIKEポリシーを作成することができます：

   resource "ibm_is_ike_policy" "is_ike_policy" {
     name                     = "my-ike-policy"
     authentication_algorithm = "sha256"
     encryption_algorithm     = "aes128"
     dh_group                 = 14
     ike_version              = 2
   }

詳しくは Terraformレジストリを参照。

次のステップ

オートネゴシエーションの代わりにカスタムの IPsec ポリシーを使用する場合は、IPsec ポリシーを作成します。
VPNゲートウェイを作成する際に、まだVPN接続を作成していない場合は、VPN接続を作成してください。 VPN接続を作成していない場合は、VPNゲートウェイのプロビジョニング後に作成できます。詳しくは、VPN ゲートウェイへの接続の追加を参照してください。
経路ベースの VPN の場合は、ルーティング・テーブルを作成または選択してください。その後、「VPN 接続」タイプを使用して経路を作成します。