サイト間 VPN ゲートウェイについて
IBM Cloud VPN for VPC サービスを使用して、仮想プライベート・クラウド (VPC) を別のプライベート・ネットワークに安全に接続できます。 ルートベースVPNまたはポリシーベースVPNを使用して、VPCとオンプレミスのプライベートネットワークまたは別のVPCとの間にIPsecサイト間トンネルを設定します。
ポリシー・ベースのVPNに加え、ルート・ベースのVPNも利用できるようになった。 まず、VPNゲートウェイを作成する際のモードとしてルートベースを選択し、VPN接続タイプを使用してルートを作成します。 さらに、ルートベースVPNは、VPNが自動的にルートを学習するダイナミック接続をサポートするようになった。 ダイナミック・ルート・ベースの接続を設定するための プランニングの考慮 事項を参照してください。
VPN for VPC の機能
IBM Cloud site-to-site VPN for VPC サービスには以下の特徴がある:
MD-5 および SHA-1 認証アルゴリズム、2および5のDHグループ、および3-DES暗号化アルゴリズムは、2022年9月20日に非推奨となり、コンソールではサポートされなくなりました。
-
認証 - IBM Cloud VPN for VPC は、フェーズ 1 ピア認証用の事前共有鍵をサポートします。 両フェーズでサポートされている認証アルゴリズムには、
SHA-256、SHA-384、SHA-512がある。 -
高可用性 - IBM Cloud VPN for VPC は、アプライアンス・レベルの冗長性を提供するために 2 つの VPN デバイス上に構築されています。 ポリシー・ベースVPNは、メンバー間で共有される単一のVPNゲートウェイIPでアクティブ・スタンバイ・モードで動作します。一方、ルート・ベースVPNは、2つのVPNゲートウェイIPでアクティブ・バックアップとアクティブ・アクティブの両方の冗長モードを提供します。
ルートベース VPN の Active-Backup モードでは、 IBM ゲートウェイとピア VPN ゲートウェイの間に二つのトンネルが設定される。 しかし、 IBM ゲートウェイは常に、プライマリ・イグレス・パスとして、より小さいパブリックIPを持つトンネルを使用する。 より大きなIPを持つもう1つのトンネルは、セカンダリー・イグレス・パスとして機能する。 両方のトンネルがアクティブである限り、 IBM VPCからオンプレムネットワークへのトラフィックはプライマリのイグレスパスを経由する。 プライマリEgressパスに障害が発生した場合、トラフィックは自動的にセカンダリEgressパスに切り替わる。 この設定は、「トラフィックの分散」機能が有効になっていない場合に使用される。 オンプレミスのVPNゲートウェイも同じコンフィギュレーションを使用して、同じ優先パスを選択する必要がある。 詳細はこちら
-
デッドピアの検出- IPsec ピアの可用性を検出する構成可能なメカニズム。
-
Diffie-Hellman (DH) - VPN ピア間の共有秘密鍵を生成するためにフェーズ 1 で使用される鍵交換プロトコル。 オプションで、ユーザーはフェーズ 2 の IPsec ネゴシエーションのために Perfect Forward Secrecy (PFS) と DH グループを有効にすることができます。 IBM Cloud VPN VPC は DH グループ
14-24および31をサポートしています。 -
暗号化- IBM Cloud VPN for VPCは、
AES-128、AES-192、AES-256、IKEフェーズ1とフェーズ2の両方でデータ暗号化をサポートします。 -
Internet Key Exchange (IKE) - IKE は、IPsec プロトコルの一部であり、VPN 接続の確立に使用されます。 IKE のフェーズ 1 では、VPN ピア同士で Diffie-Hellman (DH) の鍵交換を使用して、認証された安全な通信チャネルを作成します。 IKE フェーズ 2 では、ピアはフェーズ 1 のセキュア・チャネルを使用して、IPsec トンネルのパラメーターをネゴシエーションします。 IBM Cloud VPN for VPC は、IKEv1 (メインモード) と IKEv2 の両方をサポートします。 サポートされる組み合わせについては、ポリシーのネゴシエーションについてを参照してください。
-
IPsec - デバイス間の安全な通信を提供するプロトコル・スイート。 IBM Cloud VPN for VPCは、トンネルモードでIPsec Encapsulating Security Protocol (ESP) Packetsの UDP Encapsulationを使用し、認証とパケット全体の暗号化を提供します。
-
VPNゲートウェイのモード- IBM Cloud VPN for VPCは、 ポリシーベースと ルートベースの VPNゲートウェイのモードを提供します。
- ポリシー・ベースVPN- ポリシー・ベースVPNでは、定義されたセキュリティ・ポリシーに基づいてネゴシエートされたCIDR範囲に一致するトラフィックがVPNを通過します。
- ルートベースVPN- ルートベースVPNでは、ルーティングテーブルのエントリに基づいて仮想トンネルインターフェイスが作成され、カスタムルートでこれらの論理インターフェイスにルーティングされたトラフィックはすべてVPNを通過します。 どちらの VPN オプションも同じ機能を提供します。 ルートベースVPNはさらに、スタティックVPN接続とダイナミックVPN接続をサポートしている。
- スタティックVPN接続- スタティック・ルート・ベースの接続では、ユーザーはルーティング・テーブル内のルートを手動で定義・設定する必要があります。 まず、VPNゲートウェイを作成する際のモードとして Staticを選択し、VPN接続タイプを使用して ルートを作成 します。
- ダイナミックVPN接続- ダイナミック・ルート・ベースの接続では、手動設定が必要なスタティック・ルーティングとは異なり、BGPを使用してネットワーク間のルートが自動的に検出・管理される。 ダイナミック・コンフィギュレーションは、より優れたスケーラビリティ、ネットワーク管理、高可用性を提供する。 まずは、VPNゲートウェイを作成する際に、接続タイプとしてダイナミックを選択してください。 この接続は、 Transit Gateway使用しなければならないことに留意してください。 ダイナミック・ルート・ベースVPNの プランニングの考慮 点を参照。
-
Perfect Forward Secrecy (PFS) - PFS は、DH で生成された鍵が IPsec の再ネゴシエーションで再度使用されることがないようにします。 鍵が盗まれても、保護されていたセキュリティー・アソシエーションの存続期間中の転送データにしかアクセスできません。
VPN ゲートウェイの概要
VPN を作成する前に、まず、VPN およびその他のリソースのために VPC と 1 つ以上のサブネットを作成する必要があります。
必須ではありませんが、少なくとも16個のIP(プレフィックス /28 以下)のサブネットをVPNゲートウェイに専用することをお勧めします。 その VPN サブネット内に追加のリソースをプロビジョンすることにした場合は、リカバリーおよび保守のタスクで VPN ゲートウェイに使用できる IP が常に 4 つ以上あることを確認してください。 VPN ゲートウェイに必要な 4 つの IP に加えて、サブネット内の最大 5 つの IP が内部ネットワーク用に予約されているため、サブネットの大きさが十分であることを確認してください。
VPN ゲートウェイを作成するには、以下の大まかな手順に従います。
-
オンプレミス・ネットワークと IBM Cloud VPN ゲートウェイの間で VPN トラフィックが流れるように、 ネットワーク ACL が 設定されていることを確認してください。
-
NAT トラバーサルがピア・デバイスでサポートされていて、ピア・デバイスで有効にされていることを確認します。 詳細については、 VPNゲートウェイの既知の 問題を参照してください。
-
プランニングの 検討事項を確認し、 VPNゲートウェイを作成 します。
-
VPN接続を作成 し、VPNゲートウェイとオンプレミスネットワーク間の接続を確立します。
IBM Cloud VPN for VPC は、VPC ごとにゾーンごとに 1 つの経路ベース VPN のみをサポートします。
-
静的ルートベースの VPN 接続の場合は、 静的ルーティング用のルーティング テーブルを選択または作成し、 VPN 接続タイプを使用して ルートを作成します。
-
ダイナミック・ルート・ベースのVPN接続の場合は、 Transit Gateway作成し、それをVPNゲートウェイに関連付けます。 既存のTransit Gatewayある場合は、それをVPNゲートウェイに接続することもできます。 接続の追加を 参照してください。
-
VPN接続が利用可能であることを、トンネルを横切ってピアネットワーク上のデバイスにpingまたはデータトラフィックを送信して確認します。
アーキテクチャー
以下の図は、複数のオンプレミス・ネットワークがある VPN セットアップの例を示しています。 この VPN はユーザーの VPC 内の 1 つのサブネットに構成されていますが、ゾーン内のすべてのサブネットのインスタンスで共有できます。 IKEおよびIPsecポリシーは、1つまたは複数のVPN接続で使用することもできる。
ポリシーのネゴシエーションについて
IKE ネゴシエーションの両方のフェーズにおいて、IPsec ピア間で、サポートするものとしてそれぞれに構成されているセキュリティー・パラメーターの候補を交換し、一連の構成について合意する必要があります。 カスタム IKE ポリシーおよび IPsec ポリシーにより、IBM Cloud VPN for VPC ユーザーは、このネゴシエーション中に使用されるこれらのセキュリティー・パラメーターを構成できます。
VPN 接続の構成に IKE ポリシーと IPsec ポリシーを使用することはオプションです。 ポリシーを選択しない場合は、オートネゴシエーション と呼ばれるプロセスによって、デフォルトのプロポーザルが自動的に選択されます。
このネゴシエーション・プロセスに関係する主なセキュリティー・パラメーターは、以下のとおりです。
- IKE のフェーズ
- 暗号化アルゴリズム
- 認証アルゴリズム
- Diffie-Hellman グループ (暗号鍵交換プロトコル)
IBM Cloud のオートネゴシエーションでは IKEv2 が使用されるため、オンプレミスのデバイスでも IKEv2 を使用する必要があります。 オンプレミスのデバイスが IKEv2 をサポートしていない場合は、カスタマイズした IKE ポリシーを使用してください。
IKE オートネゴシエーション (フェーズ 1)
暗号化、認証、Diffie-Hellman グループについての次のオプションを任意の組み合わせで使用できます。
| 暗号化 | 認証 | DH グループ | |
|---|---|---|---|
| 1 | aes128 | sha256 | 14-24, 31 |
| 2 | aes192 | sha384 | 14-24, 31 |
| 3 | aes256 | sha512 | 14-24, 31 |
IPsec オートネゴシエーション (フェーズ 2)
以下の暗号化オプションと認証オプションを任意に組み合わせて使用することも、認証を無効にする必要がある以下の結合モード暗号化オプションを使用することもできます。
デフォルトでは、PFS は IBM Cloud VPN for VPC に対して無効になっています。 一部のベンダーでは、フェーズ 2 で PFS を有効にする必要があります。 ベンダーの指示を確認し、PFS が必要な場合はカスタム・ポリシーを使用してください。
| 暗号化 | 認証 | DH グループ | |
|---|---|---|---|
| 1 | aes128 | sha256 | 無効 |
| 2 | aes192 | sha384 | 無効 |
| 3 | aes256 | sha512 | 無効 |
| 暗号化 | 認証 | DH グループ | |
|---|---|---|---|
| 1 | aes128gcm16 | 無効 | 無効 |
| 2 | aes192gcm16 | 無効 | 無効 |
| 3 | aes256gcm16 | 無効 | 無効 |
VPN for VPC のユース・ケース
使用例1:1つまたは複数のピアネットワークに関連する、同じタイプの単一のリモートピアデバイスへのVPN接続
経路ベース VPN でもポリシー・ベース VPN でも、1 つ以上のネットワークに関連付けられている単一のリモート・ピア・デバイスにユーザーを接続できます。
このユースケースは、ポリシー・ベースVPNとルート・ベースVPN間の接続には適用できない。 詳細については、 VPNゲートウェイの既知の 問題を参照してください。
ユース・ケース 2: 複数のリモート・ピア・デバイスへの VPN 接続
ポリシーベースVPNもルートベースVPNも、ユーザーは複数のVPN接続を使用することで、異なるVPCや環境に関連する複数のリモート・ピアデバイスに接続することができる。
ユースケース3:FQDNを使用したVPNの詳細設定
以下のユース・ケースは、 IBM Cloud に VPC が 1 つあり、オンプレミス・サイトを単一の VPN ゲートウェイに接続することを希望するお客様を示しています。 オンプレミスサイトのVPNゲートウェイはNATデバイスの後ろにあり、パブリックIPアドレスを持っていない。 この場合、NATされたIPアドレスにFQDN(完全修飾ドメイン名)を関連付けることができる。 VPN接続を作成する際に、IPアドレスの代わりにこのFQDNを使用することができます。 オンプレミスVPNゲートウェイのローカルIKE IDは、それが所有するプライベートIPアドレスである。 1 つの FQDN が NAT デバイスのパブリック IP アドレスに関連付けられています。
ユースケース4:ルートベースVPNのトラフィック分散
ルートベースVPNには、2つのパブリックIPが付属している。 冗長性のために、1つまたは両方のIPに接続することを選択できます。 1つのパブリックIPに接続したい場合は、どちらかを選ぶことができる。 ただし、両方のパブリックIPに接続したい場合は、以下のオプションがある:
ルートベースVPN接続のアクティブバックアップモード
このモードでは、トンネル上のVPNトラフィックをルーティングするために、常に1つのトンネルだけが使用される。
VPNは常に、より小さいパブリックIPを持つトンネルをプライマリ・イグレス・パスとして使用する。 プライマリのイグレスパスが無効になると、トラフィックはセカンダリパスを流れる。 トラフィックのルーティングに1つのトンネルしか使わない理由は、非対称ルーティングの問題を避けるためである。
たとえば、スタティック・ルート・ベースのVPN接続で tunnel 1 と tunnel 2 の両方が立ち上がっているときに、宛先を 10.1.0.0/24 とし、VPN接続をネクスト・ホップとするルートを作成すると、ルート作成のためにVPNアプライアンスのプライベートIP 10.254.0.2 が返されます。 このモードでは、 Distributeトラフィックは有効にならない。
次の図は、スタティック・ルート・ベースの接続のデフォルト設定を示しています。
仮想ネットワークインターフェース上のプロトコルステートフィルタリングは、非対称ルーティング問題に対処するオプションを提供する。 詳細については、プロトコル状態フィルタリングモード を参照のこと。
ダイナミック・ルート・ベースのVPN接続におけるアクティブ・バックアップ・モードの動作は、スタティック接続に似ています。 しかし、ルートはTransit Gateway自動的に発見されるので、ルートを作成する必要はない。 この場合、VPNトラフィックをトンネル上でルーティングするために使用されるトンネルは、常に1つだけである。 VPNは常に、より小さいパブリックIPを持つトンネルをプライマリ・イグレス・パスとして使用する。 プライマリのイグレスパスが無効になると、トラフィックはセカンダリパスを流れる。
Transit Gateway両者間のトラフィックをルーティングするためには、仮想サーバー・インスタンスが置かれているサブネット( 10.255.0.0/24 )が、VPNゲートウェイのサブネット( 10.254.0.0/24 )と異なっている必要があります。 次の図は、ダイナミック・ルート・ベースの接続のデフォルト設定を示しています。
ルートベースVPN接続のアクティブ-アクティブモード
このモードでは、トラフィックのイグレスは動的に2つのトンネルにルーティングされる。
たとえば、 tunnel 1 と tunnel 2 の両方が稼働していて、宛先が 10.1.0.0/24 でネクストホップが VPN 接続のルートを作成すると、プライベート IP アドレス 10.254.0.2 と 10.254.0.3 が返され、VPC ネットワークサービスは 2 つのルートを作成します。 これらのルートは同じ優先度を持つため、VPCルートのネクストホップがVPN接続である場合、トラフィックは動的に
tunnel 1 、 tunnel 2。 このアクティブ-アクティブ冗長モードを実現するには、VPNゲートウェイへの接続を 作成 または 追加 するときに、 トラフィックを分散するチェックボックスを有効にする必要があります。 次の図は、スタティック・ルート・ベースの接続のコンフィギュレーションを表しています。
この機能を使用してより高いネットワーク・パフォーマンスを得るには、オンプレミス・デバイスが非対称ルーティングをサポートしている必要がある。 また、すべてのオンプレミスVPNゲートウェイがこのユースケースをサポートしているわけではないことに留意してください。 例えば、VPNトラフィックのイグジットとイングジットが異なるトンネルの場合、オンプレミスのVPNデバイスやファイアウォールによってトラフィックがブロックされる可能性がある。
ダイナミック・ルート・ベースのVPN接続のアクティブ・アクティブ・モードの動作は、スタティック・ルート・ベースの接続の動作と似ています。 VPNゲートウェイに接続を追加する際にトラフィックを分散させるチェックボックスを有効にすると、トラフィックは両方のトンネルを同時に流れます。 Transit Gateway、ルートの発見、学習、管理を行う。 次の図は、ダイナミック・ルート・ベースの接続のデフォルト設定を示しています。
ユースケース5:シングルゾーンのダイナミックルートベースのVPN接続。 Transit Gateway
ダイナミック・ルート・ベースVPNでは、 Transit Gateway を使用して、VPCとオンプレミスのプライベート・ネットワークとの間にシングル・ゾーンのVPN接続を確立することができます。 このセットアップにより、自動経路検出、双方向トラフィックフロー、デバイス間の動的経路交換が可能になり、ネットワーク管理が簡素化され、手動コンフィギュレーションが削減される。
ユースケース6:クロスゾーンVPNによる動的ルートベースVPN接続 Transit Gateway
VPN接続で地域ごとの完全な高可用性を実現するには、各可用性ゾーンにVPNゲートウェイをプロビジョニングし、 Transit Gateway各VPNゲートウェイへの個別のVPN接続を確立します。 この設定により、ゾーン間の冗長性が確保され、1つのゾーンに障害が発生しても、継続的なパケットフローと動的なルート交換が可能になる。
使用例7:直接接続のバックアップとしてのVPN接続
ダイレクトリンクとVPN接続の両方をTransit Gateway接続することで、高可用性と柔軟なルーティングが可能になります。 VPNゲートウェイにルートを追加すると、通常の状態ではトラフィックはVPNパスよりもダイレクトリンクパスを優先する。 ダイレクト・リンク接続に障害が発生した場合、トラフィックは自動的にVPN接続に切り替わり、ネットワーク間の中断のない接続を維持することができます。 ダイレクトリンクがVPNよりも優先されるように、BGPルーティングプリファレンスを設定する必要があります。 このルーティング・プリファレンスを設定するには、ダイレクト・リンクにはより短いASパスを設定し、VPNにはより長いASパスを設定して、ダイレクト・リンクが優先されるようにします。
使用例8:ゾーン・アフィニティによる高可用性ダイナミック・ルート・ベースVPN
IBM Cloud VPN ゲートウェイを複数のゾーンに配置することで、動的なルートベースVPNセットアップの高可用性を実現できます。 つまり、 Power Virtual Server、 Transit Gateway、VPN接続がすべて同じゾーンにある場合、トラフィックはそのゾーンを優先的に経由する。 トラフィックは、現在のゾーンのVPNゲートウェイが利用できなくなった場合にのみ、別のゾーンに移行する。
VPNトラフィックはIPsecで保護され、BGPによる自動経路探索が有効になっている。 オンプレミスのネットワークは、 Transit Gateway Power Virtual Servers に接続することができます。 図に示されているように、ダイナミック・ルート・ベースのVPN接続を作成すると、2つのVPNトンネルが確立されます。 トラフィックの分散オプションを有効にすると、トラフィックが両方のトンネルを動的に流れるため、スループットが向上します。
この設定を行うには、以下の手順に従う:
- ゾーン1とゾーン3にVPNゲートウェイをプロビジョニングする。 VPNゲートウェイの作成 」を参照してください。
- プロビジョニングされたゲートウェイにVPN接続を追加し、オンプレミスのネットワークに接続します。 VPNゲートウェイへの接続の追加を 参照してください。
- IBM Cloud VPN と Transit Gateway の接続をセットアップする。 Transit Gateway作る を参照。