IBM Cloud Docs
サイト間VPNゲートウェイに関するFAQ

サイト間VPNゲートウェイに関するFAQ

IBM Cloud® の VPN for VPC を使用していると、以下のよくある質問が生じる可能性があります。

VPN ゲートウェイを作成するときに同時に VPN 接続を作成することはできますか?

IBM Cloud コンソールでは、ゲートウェイと接続を同時に作成できます。 API または CLI を使用する場合は、VPN ゲートウェイを作成した後で VPN 接続を作成する必要があります。

VPN 接続が関連付けられている VPN ゲートウェイを削除した場合、その接続はどうなりますか?

VPN 接続は VPN ゲートウェイと共に削除されます。

VPN ゲートウェイまたは VPN 接続を削除した場合、IKE ポリシーまたは IPsec ポリシーは削除されますか?

いいえ、IKE ポリシーと IPsec ポリシーは複数の接続に適用できます。

VPN ゲートウェイが存在するサブネットを削除すると、そのゲートウェイはどうなりますか?

仮想サーバー・インスタンス (VPN ゲートウェイを含む) が存在するサブネットは削除できません。

デフォルトの IKE ポリシーと IPsec ポリシーはありますか?

ポリシー ID (IKE または IPsec) を指定せずに VPN 接続を作成すると、オートネゴシエーションが使用されます。

VPN ゲートウェイをプロビジョニングするときにサブネットを選択する必要があるのはなぜですか?

接続を提供するには、VPN ゲートウェイを VPC にデプロイする必要があります。 すべてのゾーンに接続できるように、経路ベースの VPN を構成することができます。 高可用性および自動メンテナンスを実現するために、VPN ゲートウェイのサブネットには、使用可能なプライベート IP アドレスが 4 つなければなりません。 サイズ 16 (サブネット接頭部の長さが 28 以下) の専用のサブネットを VPN ゲートウェイに使用することがベストです。

VPN ゲートウェイのデプロイに使用したサブネットで ACL を使用する場合は、何をする必要がありますか?

管理トラフィックと VPN トンネル・トラフィックを許可するために、必ず ACL ルールを設定してください。 詳細については、 VPNで使用するネットワークACLの設定を 参照してください。

オンプレミスのプライベート・ネットワークと通信する必要があるサブネットで ACL を使用する場合は、何をする必要がありますか?

VPC 内の仮想サーバー・インスタンスとオンプレミスのプライベート・ネットワークの間のトラフィックを許可する ACL ルールを設定する必要があります。 詳しくは、 VPNで使用するACLの設定を 参照してください。

VPN for VPC では高可用性構成はサポートされますか?

はい。 VPN for VPC は、ポリシー・ベースのVPNではActive-Standby構成で、スタティック・ルート・ベースのVPNではActive-Active構成で、高可用性をサポートしています。

SSL VPN を利用できるプランはありますか?

いいえ。IPsec サイト間のみがサポートされています。

サイト間 VPNaaS のスループットに上限はありますか?

最大 650 Mbps のスループットがサポートされます。

VPNaaS で事前共有鍵 (PSK) 認証と証明書ベースの IKE 認証はサポートされていますか?

PSK 認証のみがサポートされています。

VPN for VPC を IBM Cloud クラシック・インフラストラクチャーの VPN ゲートウェイとして使用できますか?

いいえ クラシック環境にVPNゲートウェイを設定するには、 IPsec VPNを使用する必要があります。

鍵再設定が競合するとどうなりますか?

IKEv1 を使用する場合は、鍵再設定が競合すると IKE/IPsec セキュリティー・アソシエーション (SA) が削除されます。 IKE/IPsec SA を再作成するには、接続管理状態を down に設定してから、再び up にします。 IKEv2 を使用すると、鍵再設定競合を最小限に抑えることができます。

ポリシー・ベースの VPN で VPC サイドからオンプレミス・サイドにすべてのトラフィックを送信するにはどうすればよいですか?

VPC 側からオンプレミス側にすべてのトラフィックを送信するには、接続の作成時にピア CIDR を 0.0.0.0/0 に設定します。

接続が正常に作成されると、VPN サービスは 0.0.0.0/0 via <VPN gateway private IP> 経路を VPC のデフォルト・ルーティング・テーブルに追加します。 ただし、この新しい経路により、ルーティングの問題が発生する可能性があります。例えば、異なるサブネット内の仮想サーバーが相互に通信できない場合や、VPN ゲートウェイがオンプレミスの VPN ゲートウェイと通信しない場合などです。

ルーティングの問題をトラブルシューティングするには、 VPN ゲートウェイまたは仮想サーバー・インスタンスが通信しないのはなぜですか? を参照してください。

IBM はデータ・プレーン VPN アプライアンスの四半期 ASV スキャンを実行しますか。

承認済みのスキャン・ベンダー (ASV) による四半期ごとのスキャンは、Payment Card Industry (PCI) Security Standards Council の要件です。 VPN データ・プレーン・アプライアンスの ASV スキャンは、もっぱらお客様の責任で行ってください。 IBM は、ASV を使用したデータ・プレーン・アプライアンスのスキャンを行いません。これらのスキャンは、カスタマー・ワークロードの機能とパフォーマンスに悪影響を及ぼす可能性があるためです。

VPCにVPNゲートウェイを使用している場合、どのようなメトリクスに課金されますか?

VPN ゲートウェイ料金の請求のために、毎月以下のメトリックが収集されます。

  • VPN ゲートウェイのインスタンス時間: VPN ゲートウェイ・インスタンスが稼働している時間の長さ。
  • VPN 接続時間: VPN ゲートウェイで各 VPN 接続が確立され、維持される時間の長さ。
  • 浮動 IP: VPN ゲートウェイ・インスタンスで使用されているアクティブな浮動 IP アドレスの数。

VPNゲートウェイを使用している間は、VPCデータレートで課金されるすべてのアウトバウンドのパブリックインターネットトラフィックも課金されます。

経路ベースの VPN ゲートウェイがトラフィックを経路指定しないのはなぜですか?

VPC 経路を構成し、そのネクスト・ホップが VPN 接続である場合、以下のユース・ケースでは、VPN 接続を介して転送されるトラフィックがブロックされます。

  • VPC インスタンスに関連付けられているセキュリティー・グループはトラフィックを許可しません。VPC インスタンスのサブネットに関連付けられているネットワーク ACL と VPN ゲートウェイがトラフィックをブロックしました。 セキュリティグループとネットワークACLの設定については、「 VPNで使用するネットワークACLの設定 」を参照してください。
  • トラフィック送信元 IP は、VPC ルーティング・テーブルに関連付けられたどのサブネットにもありません。 例えば、VPC ルーティング・テーブルはサブネット A に関連付けられており、ネクスト・ホップが VPN 接続である経路を含んでいます。 ただし、トラフィックが VPN ゲートウェイに到達すると、送信元 IP は、サブネット A にも、ルーティング・テーブルに関連付けられている他のサブネットにもありません。 したがって、VPN ゲートウェイはトラフィックをドロップします。