IPsec ポリシーの作成

カスタムの IPsec ポリシーを使用して、IKE ネゴシエーションのフェーズ 2 で使用するセキュリティー・パラメーターを定義できます。このフェーズでは、VPN とピア・デバイスが、フェーズ 1 で確立したセキュリティー・アソシエーションを使用して、送信するトラフィックおよびそのトラフィックの認証と暗号化の方法についてネゴシエーションします。

コンソールでIPsecポリシーを作成する

UI を使用して IPsec ポリシーを作成するには、以下の手順に従います。

「VPC の VPN (VPNs for VPC)」リスト・ページから**「サイト間ゲートウェイ (Site-to-site gateways)」>「IPsec ポリシー」**タブを選択します。
**「作成 + (Create +)」**をクリックし、次の情報を指定します。
- 名前 - IPsec ポリシーの名前を入力します。
- リソース・グループ - この IPsec ポリシーのリソース・グループを選択します。
- リージョン - この IPsec ポリシーのリージョンを選択します。
- 認証 - IKE のフェーズ 2 で使用する認証アルゴリズム。
- 暗号化 - IKE のフェーズ 2 で使用する暗号化アルゴリズム。
- Perfect Forward Secrecy - PFS を有効にします。
- Diffie-Hellman Group (PFS を有効にした場合) - IKE フェーズ 2 の鍵交換で使用する DH グループ。
- 鍵ライフタイム - フェーズ 2 のトンネルの存続時間 (秒数)。
**「IPsec ポリシーの作成 (Create IPsec policy)」**をクリックします。
**「VPN 接続の詳細」**ページで、対象の IPsec ポリシーを使用するように **「IPsec ポリシー」**フィールドを設定します。

CLIからIPsecポリシーを作成する

開始する前に、 CLI 環境をセットアップします。

CLI から IPsec ポリシーを作成するには、次のコマンドを入力する：

ibmcloud is ipsec-policy-create IPSEC_POLICY_NAME AUTHENTICATION_ALGORITHM ENCRYPTION_ALGORITHM PFS
    [--key-lifetime KEY_LIFETIME]
    [--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME]
    [--output JSON] [-q, --quiet]

ここで、

md-5 および認証アルゴリズム、および DHグループ、および暗号化アルゴリズムは、2022年9月20日に非推奨となり、コンソールではサポートされなくなりました。 sha-1 group_2 group_5 triple_des

IPSEC_POLICY_NAME - IPsec ポリシーの名前。
AUTHENTICATION_ALGORITHM - 認証アルゴリズム。 sha256、 sha384、 sha512、 disabled のいずれか。
ENCRYPTION_ALGORITHM - 暗号化アルゴリズム。 aes128、 aes192、 aes256、 aes128gcm16、 aes192gcm16、 aes256gcm16 のいずれか。
PFS - Diffie-Hellman のグループ。 disabled、 group_14、 group_15、 group_16、 group_17、 group_18、 group_19、 group_20、 group_21、 group_22、 group_23、 group_24、 group_31 のいずれか。
--key-lifetime value - 鍵ライフタイム (秒単位)。最大: 86400、最小: 1800。デフォルト値は 3600です。
--resource-group-id value - リソース・グループの ID。このオプションは --resource-group-name と同時に指定することはできません。
--resource-group-name value - リソース・グループの名前。このオプションは --resource-group-id と同時に指定することはできません。
--output value - JSON 形式の出力を指定します。
-q, --quiet - 詳細な出力を非表示にします。

ENCRYPTION_ALGORITHM が aes128gcm16、 aes192gcm16、 aes256gcm16 の場合に限り、 AUTHENTICATION_ALGORITHM は disabled でなければならない。

コマンドの例

SHA 256認証、AES 128暗号化、PFS with DH Group 14を使用してIPsecポリシーを作成します： ibmcloud is ipsec-policy-create my-ipsec-policy sha256 aes128 group_14
同じパラメーターと 3600 秒の存続時間を使用して IPsec ポリシーを作成します。 ibmcloud is ipsec-policy-create my-ipsec-policy sha256 aes128 group_14 --key-lifetime 3600
同じパラメーターとリソース・グループ ID を使用して IPsec ポリシーを作成します。 ibmcloud is ipsec-policy-create my-ipsec-policy sha256 aes128 group_14 --resource-group-id fee82deba12e4c0fb69c3b09d1f12345 --output JSON

APIでIPsecポリシーを作成する

API を使用して IPsec ポリシーを作成するには、以下の手順に従う：

適切な変数を設定して API 環境をセットアップします。
API コマンドで使用する追加の変数を格納します。次に例を示します。

ResourceGroupId - get resource groups コマンドを使用してリソース・グループ ID を確認してから、変数に設定します。
```
export ResourceGroupId=<your_resourcegroup_id>
```

すべての変数を設定したら、以下のようにして IPsec ポリシーを作成します。

   curl -X POST "$vpc_api_endpoint/v1/ipsec_policies?version=$api_version&generation=2" \
     -H "Authorization: $iam_token" \
     -d '{
        "name": "my-new-ipsec-policy",
        "authentication_algorithm": "sha256",
        "encryption_algorithm": "aes128",
        "pfs": "group_14",
        "resource_group": {
          "id": "'$ResourceGroupId'"
        }
      }'

Terraform を使用した IPsec ポリシーの作成

次の例では、Terraform を使用して IPsec ポリシーを作成できます。

   resource "ibm_is_ipsec_policy" "is_ipsec_policy" {
     name                     = "my-ipsec-policy"
     authentication_algorithm = "sha256"
     encryption_algorithm     = "aes128"
     pfs                      = "group_14"
   }

詳しくは Terraformレジストリを参照。

次のステップ

オートネゴシエーションの代わりにカスタムの IKE ポリシーを使用する場合は、IKE ポリシーを作成します。
VPN ゲートウェイの作成時に作成しなかった場合は、VPN 接続を作成します。 VPN 接続を作成しなかった場合は、VPN ゲートウェイのプロビジョン後に作成できます。詳しくは、VPN ゲートウェイへの接続の追加を参照してください。
経路ベースの VPN の場合は、ルーティング・テーブルを作成または選択してください。その後、「VPN 接続」タイプを使用して経路を作成します。