VPN ゲートウェイの作成
IBM Cloud VPN for VPCを作成すると、VPCをオンプレミスネットワークや別のVPCなどの別のプライベートネットワークに安全に接続できます。
始める前に、VPNゲートウェイ のプランニングに関する考慮事項と、VPNゲートウェイ の既知の制限事項、問題点、および制限事項を確認してください。
コンソールでVPNゲートウェイを作成する
UIを使用してVPNゲートウェイを作成する:
-
ブラウザから、 IBM Cloud コンソールを開き、アカウントにログインします。
-
ナビゲーションメニュー「
選択し、「インフラ > ネットワーク > VPN クリックする。
-
「サイト間ゲートウェイ (Site-to-site gateways)」>「VPN ゲートウェイ (VPN gateways)」 タブを選択していることを確認します。
-
「VPC の VPN (VPNs for VPC)」ページで、**「作成」をクリックして「サイト間 (Site-to-site)」**ゲートウェイ・タイルを選択します。
-
以下の情報を指定します。
- VPN ゲートウェイ名 - VPN ゲートウェイの名前 (
my-vpn-gateway
など) を入力します。 - リソース・グループ - VPN ゲートウェイのリソース・グループを選択します。
- タグ - オプションで、この VPN ゲートウェイを識別するタグを追加します。
- アクセス管理タグ-オプションで、アクセス制御関係の編成に役立つアクセス管理タグをリソースに追加します。 サポートされるアクセス管理タグの形式は
key:value
のみです。 詳しくは、タグを使用したリソースに対するアクセス権限の制御を参照してください。 - Region- VPCが配置され、VPNゲートウェイがプロビジョニングを行う地域を示します。
- 仮想プライベート・クラウド - VPN ゲートウェイの VPC を選択します。
- サブネット - VPN ゲートウェイを作成するサブネットを選択します。 サブネットの重要な情報については、計画時の考慮事項を参照してください。
- モード-ポリシー・ベースまたは経路ベースの VPN のいずれかを選択します。 VPN のタイプについて詳しくは、VPN の機能を参照してください。
- VPN ゲートウェイ名 - VPN ゲートウェイの名前 (
-
「VPC の VPN 接続 (VPN connection for VPC)」 セクションで、スイッチをオンに切り替えて、このゲートウェイと VPN 外部のネットワークとの間の接続を確立します。 ゲートウェイのプロビジョニング後にVPN接続を追加することもできます。
-
VPN 接続名 - 接続の名前 (
my-connection
など) を入力します。 -
ピア・ゲートウェイ・アドレス-VPC 外部のネットワークの VPN ゲートウェイのパブリック IP アドレスまたは FQDN を使用して、ピア・デバイスを指定します。
-
確立モード- 「双方向」 または 「ピアのみ」 のいずれかを選択します。
- 双方向モードは、VPNゲートウェイのどちら側からでもIKEプロトコルのネゴシエーション(またはリキー処理)を開始します。
- 「ピアのみ」 モードでは、ピアはこの VPN ゲートウェイ接続の IKE プロトコル・ネゴシエーションを開始できます。 ピアは、接続が確立された後に鍵再設定プロセスを開始することも担当します。
ピア・デバイスが NAT デバイスの背後にあり、パブリック IP アドレスを持っていない場合は、必ず 「ピアのみ」 を指定してください。
-
事前共有鍵 - VPC 外部のネットワークの VPN ゲートウェイの認証鍵を指定します。 事前共有鍵は、16 進数字のストリング、または印刷可能な ASCII 文字のパスフレーズです。 ほとんどのピア・ゲートウェイのタイプに対応できるように、このストリングは以下の規則に従う必要があります。
- 数字、小文字、大文字、以下の特殊文字の組み合わせが可能:
- + & ! @ # $ % ^ * ( ) . , :
- ストリングの長さは 6 文字から 128 文字まででなければならない。
- 先頭文字を
0x
や0s
にすることはできない。
- 数字、小文字、大文字、以下の特殊文字の組み合わせが可能:
-
トラフィックを分散する(ルートベースVPNのみ)- VPCルートのネクストホップがVPN接続である場合に、VPNゲートウェイ接続の
Up
トンネル間でトラフィックを分散できるようにします。 このチェックボックスが選択されていない場合、VPNゲートウェイはプライマリ・イグレス・パスとして小さなパブリックIPを持つトンネルを使用し、プライマリ・イグレス・パスが無効になっている場合にのみ、トラフィックはセカンダリ・パスを経由します。 詳しくは、ユースケース4:ルートベースVPNのトラフィック分散 をご覧ください。 -
ローカル・サブネット (ポリシー・ベースの VPN のみ) - VPN トンネルを介して接続する VPC のサブネットを 1 つ以上指定します。
-
ピア・サブネット (ポリシー・ベースの VPN のみ) - VPN トンネルを介して接続する相手側のネットワークのサブネットを 1 つ以上指定します。
ローカル・サブネットとピア・サブネットのサブネット範囲がオーバーラップすることは許可されません。
-
-
デッドピア検出セクションで、VPNゲートウェイがどのようにメッセージを送信してピアゲートウェイがアクティブであるかをチェックするかを設定します。 以下の情報を指定します。
- アクション - ピア・ゲートウェイが応答を停止した場合に実行する非活動ピア検出アクション。 例えば、ゲートウェイで即時に接続の再ネゴシエーションを実行する場合は、**「再始動」**を選択します。
- 間隔 (秒) (Interval (sec)) - ピア・ゲートウェイがアクティブであることを確認する頻度。 デフォルトでは、メッセージは 2 秒間隔で送信されます。
- タイムアウト(秒) - ピア・ゲートウェイからの応答を待機する時間。 デフォルトでは、応答が 10 秒以内に受信されない場合、ピア・ゲートウェイはアクティブでないと見なされます。
-
**「ポリシー」**セクションで、接続のフェーズ 1 およびフェーズ 2 のネゴシエーションに使用する Internet Key Exchange (IKE) および Internet Protocol Security (IPsec) オプションを指定します。
- ゲートウェイが接続の確立を自動的に試行するように設定する場合は、**「自動」**を選択します。
- 特定のセキュリティ要件を強制する必要がある場合、または他のネットワークのVPNゲートウェイがオートネゴシエーションで試行されるセキュリティ提案をサポートしていない場合は、カスタムポリシーを選択または作成します。
接続のために指定する IKE および IPsec のセキュリティー・オプションは、VPC 外部のネットワークのピア・ゲートウェイに設定されているオプションと同じである必要があります。
-
「拡張オプション」セクションでは、デフォルトの IKE ID を使用する代わりに、ローカルおよびピアの IKE ID をカスタマイズすることができます。 ピア IKE ID は多くても 1 つしか指定できません。
ポリシー・ベースの VPN ゲートウェイの場合、最大で 1 つのローカル IKE ID を構成できます。 経路ベースの VPN ゲートウェイの場合、ローカル IKE ID を構成するには、2 つを指定する必要があります。 メンバーに値を指定することも、入力フィールドを空のままにすることもできます。
-
ローカル IKE ID-ローカル IKE ID のタイプを選択し、その値を入力します。 例えば、4オクテットの IPv4 アドレス(
9.168.3.4
)、FQDN(my-vpn.example.com
)、ホスト名(my-host
)、または base64-encoded キーID(MTIzNA==
)を1つ入力できます。-
静的経路モードは、アクティブ/アクティブ・モードの 2 つのメンバーで構成されます。最初の ID は最初のメンバーに適用され、2 番目の ID は 2 番目のメンバーに適用されます。 ローカル IKE ID を指定しない場合、タイプは IPv4 アドレスになり、値はメンバーの VPN 接続トンネルのパブリック IP アドレスになります。
-
ポリシー・モードは、アクティブ/スタンバイ・モードの 2 つのメンバーで構成されます。 ローカル IKE アイデンティティはアクティブメンバーに適用されます。 値を指定しない場合、ローカルIKE IDはVPNゲートウェイのパブリックIPアドレスになります。
-
-
ピア IKE ID-ピア IKE ID のタイプを選択し、その値を入力します。 たとえば、 IPv4 アドレス(
9.168.3.4
)、FQDN(my-vpn.example.com
)、ホスト名(my-host
)、 base64-encoded キーID(MTIzNA==
)を入力できます。ピア IKE アイデンティティはアクティブメンバーに適用されます。 値を指定しない場合、ピア・ゲートウェイのIPv4アドレスまたはFQDNを使用します。
-
CLIからVPNゲートウェイを作成する
開始する前に、 CLI 環境をセットアップします。
CLIからVPNゲートウェイを作成するには、以下のコマンドを入力する:
ibmcloud is vpn-gateway-create VPN_GATEWAY_NAME SUBNET
[--mode policy | route]
[--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME]
[--output JSON] [-q, --quiet]
ここで、
VPN_GATEWAY_NAME
- VPNゲートウェイの名前。
SUBNET
- サブネットの ID。
--mode
- VPN ゲートウェイのモード。 の一つ:
policy
route
. --resource-group-id
- リソース・グループの ID。 このオプションは
--resource-group-name
と同時に指定することはできません。 --resource-group-name
- リソース・グループの名前。 このオプションは
--resource-group-id
と同時に指定することはできません。 --output
- JSON形式で出力する。
-q, --quiet
- 詳細出力を抑止するオプション。
コマンドの例
-
特定のサブネット ID を指定して経路ベースの VPN ゲートウェイを作成します。
ibmcloud is vpn-gateway-create my-vpc-gateway fee82deba12e4c0fb69c3b09d1f12345 --mode route
-
Defaultリソースグループを使用して、ポリシーベースのVPNゲートウェイを作成する:
ibmcloud is vpn-gateway-create my-vpc-gateway fee82deba12e4c0fb69c3b09d1f12345 --mode policy --resource-group-name Default
-
特定のリソース・グループIDを使用して、ルート・ベースのVPNゲートウェイを作成し、JSON形式で出力する:
ibmcloud is vpn-gateway-create my-vpc-gateway fee82deba12e4c0fb69c3b09d1f12345 --mode route --resource-group-id fee82deba12e4c0fb69c3b09d1f12345 --output JSON
APIを使用したVPNゲートウェイの作成
API を使用してポリシー・ベースの VPN ゲートウェイを作成するには、以下の手順を実行します。
-
適切な変数を設定して API 環境をセットアップします。
-
API コマンドで使用する追加の変数を格納します。次に例を示します。
ResourceGroupId
-get resource groups
コマンドを使用してリソース・グループ ID を確認してから、変数に設定します。
export ResourceGroupId=<your_resourcegroup_id>
SubnetId
-get subnet
コマンドを使用してサブネット ID を確認してから、変数に設定します。
export SubnetId=<your_subnet_id>
-
すべての変数を設定したら、VPN ゲートウェイを作成します。
curl -X POST "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2" \ -H "Authorization: $iam_token" \ -d '{ "name": "my-new-vpn-gateway", "mode": "policy", "subnet": { "id": "'$SubnetId'" }, "resource_group": { "id": "'$ResourceGroupId'" } }'
Terraform を使用した VPN ゲートウェイの作成
以下の例では Terraform を使用して VPN ゲートウェイを作成しています。
resource "ibm_is_vpn_gateway" "is_vpn_gateway" {
name = "my-vpn-gateway"
subnet = ibm_is_subnet.is_subnet.id
mode = "route"
}
詳しくは Terraformレジストリを参照。
次のステップ
VPN ゲートウェイを作成したら、以下を行えます。
- 自動ネゴシエーションの代わりにカスタムIKEポリシーを使用する場合は、 IKEポリシーを作成 します。
- オートネゴシエーションの代わりにカスタムIPsecポリシーを使用する場合は、 IPsecポリシーを作成する。
- VPNゲートウェイのプロビジョニング時に、まだVPN接続を作成していない場合は、VPN接続を作成します。 詳しくは、VPN ゲートウェイへの接続の追加を参照してください。
- 経路ベースの VPN を作成するには、まず ルーティング・テーブルを作成 してから、 VPN 接続タイプを使用して経路を作成 します。