IBM Cloud Docs
クライアントとサイト間の VPN サーバーについて

クライアントとサイト間の VPN サーバーについて

クライアント VPN for VPC は、クライアントからサイトへの接続を提供します。これにより、リモート・デバイスは、 OpenVPN ソフトウェア・クライアントを使用して VPC ネットワークに安全に接続できます。 このソリューションは、安全な接続性を維持しながら、ホーム・オフィスなどの遠隔地からIBM Cloudに接続したい在宅勤務者に便利です。

ハイライトは以下のとおりです。

  • インターネット経由の TLS1.2/1.3 ベースのセキュア/暗号化接続
  • スタンドアロン (パイロット) デプロイメントと高可用性 (実動) デプロイメントの両方をサポート
  • IBM パブリック・クラウド上のクラシック IaaS および VPC をプライベートに相互接続
  • 世界の MZR で使用可能
  • ゾーンをまたいで高可用性を実現するのでパフォーマンスと回復力が向上する
  • 統合認証方式を使用したセキュリティーのレイヤーの追加

アーキテクチャー

図 1 は、VPC の内側と外側にあるリソースに接続するための VPN サーバーのセットアップ例を示しています。 VPN サーバーは、ユーザーの VPC 内の 2 つのサブネットでプロビジョンされます。 アクティブ/アクティブ高可用性 (HA) モードで動作する VPN サーバー・メンバーも 2 つあります。 すべての VPN サーバー・メンバーがターゲット・リソースと通信できます。 各メンバーに 1 つのパブリック IP アドレスが割り当てられ、VPN サーバーの DNS ホスト名レコードが作成されます。 ホスト名は、VPN メンバーのパブリック IP アドレスに解決されます。 VPN クライアントは DNS 解決によって 2 つのパブリック IP アドレスを取得し、VPN メンバーの一方に接続するために 2 つの IP アドレスをランダムに試行します。 VPN クライアントは、1 つのメンバーがダウンすると、アクティブな VPN サーバー・メンバーへの再接続と切り替えを試みます。

DNS サービスは、VPN サービスの一部としてデプロイされます。 指定される DNS 名の末尾は appdomain.cloud になります。

クライアント・ツー・サイトVPNサーバ・アーキテクチャ*
VPNサーバ・

始めに

クライアントVPN for VPCの使用を開始するには、以下の手順に従ってください:

  1. VPN サーバーに関する計画時の考慮事項を確認します。
  2. 始める前ににあるすべての前提条件を満たすようにしてください。
  3. 1 つのサブネットにスタンドアロン VPN サーバーをプロビジョンするか、2 つのサブネットに高可用性 VPN サーバーをプロビジョンします。 手順については、VPN サーバーの作成を参照してください。
  4. VPN 経路を作成します。
  5. VPN クライアント環境をセットアップして VPN サーバーに接続します

VPN サーバーのユース・ケース

IBM Cloud Client VPN for VPC サービスを実装するためのいくつかの方法を示します。

ユース・ケース 1: デプロイ済み MZR 内の VPC へのアクセス

VPN サーバーは、選択されたマルチゾーン・リージョン (MZR) および VPC にデプロイされます。 すべての仮想サーバー・インスタンスは、単一の VPC 内の VPN クライアントからアクセス可能です。

![ネットワーク・トポロジー:VPN クライアントは、VPN"){: caption="を経由して、配備された MZR 内の仮想サーバーインスタンスにアクセスできます](images/vpn-server-usecase-vms.png "VPNクライアントは、VPNサーバー" caption-side="bottom"}て、配備されたMZR内の仮想サーバーインスタンスにアクセスできます

ユース・ケース 2: VPN クライアントが VPN サーバーを経由してインターネットにアクセスすることができる

管理者が VPN サーバーに全トンネル・モードを適用すると、お客様デバイスからのすべてのトラフィック (インターネット・トラフィックを含む) が VPN サーバーに送信されます。 VPN サーバーは、 IBM Cloud インフラストラクチャーを介してトラフィックをインターネットに転送します。

ネットワーク・トポロジー:VPNクライアントは、VPNサーバーを経由してインターネットにアクセスできます
VPNクライアントは、VPN
を経由してインターネットにアクセスできます

ユース・ケース 3: 中継ゲートウェイとの統合

一般に、冗長性を確保するために、VPC リソースを複数のリージョンにプロビジョンすることをお勧めします。 個人用デバイスからすべてのリージョンのリソースにアクセスするための 1 つのアプローチとして、1 つの VPC につきクライアントとサイト間の VPN サーバーをリージョンごとに 1 つ作成し、すべての VPN サーバーへの VPN 接続を確立することができます。 このアプローチでは複数の VPN サーバーを維持する必要もあります。 これには手間がかかる可能性がありますが、より安全な方法です。 もう 1 つのアプローチとして、中継ゲートウェイを使用してこれらすべての VPC を接続する方法もあります。 この場合、VPC にアクセスするために必要な VPN サーバーは 1 つだけです。

ネットワークのトポロジートランジットゲートウェイとの統合
ネットワークトポロジー:
との統合

クライアントからサイトへのVPNサーバをトランジットゲートウェイに統合する場合、他のVPCまたはクラシックネットワークのサブネットのCIDRを宛先に設定したVPNルートを1つ以上追加し、ルートアクションを Deliver または Translate に設定する必要があります。 詳しくは、 VPN 経路の管理 を参照してください。

ユース・ケース 4: サイト間 VPN ゲートウェイとの統合

IBM VPC に接続すると同時にオンプレミスのプライベート・ネットワークにもアクセスする場合は、サイト間 VPN ゲートウェイと統合します。 このユース・ケースでは、複数の VPN サーバーを同時に維持する必要がなくなります。 オンプレミスのプライベート・ネットワークには、クライアントとサイト間の VPN サーバーから直接アクセスすることができます。

ネットワークのトポロジーサイト間 VPN ゲートウェイとの統合
ネットワークトポロジー:サイト間VPNゲートウェイ
との統合