IBM Cloud Docs
VPC 用の VPN の概要

VPC 用の VPN の概要

IBM Cloud には 2 つの VPN サービスがあります。 VPN for VPC はサイト・ツー・サイト・ゲートウェイを提供し、お客様のオンプレミス・ネットワークを IBM Cloud VPC ネットワークに接続します。 Client VPN for VPC クライアント・ツー・サイト・サーバーを提供し、インターネット上のクライアントが安全な接続を維持したままVPNサーバーに接続できるようにする。

サイト間のゲートウェイ

IBM Cloud VPN for VPCは、高度にスケーラブルで堅牢なサイト間VPNゲートウェイのためのシンプルかつ強力なソリューションを提供します。 このサービスを使用すると、セキュアで暗号化された接続を実現するためのサイト間 VPN トンネルを作成できます。 オンプレミス・サイトから IBM Cloud VPC 上の VPN ゲートウェイとオンプレミスのピア・ゲートウェイを介して、IBM Cloud に接続します。

このサービスは、業界標準のセキュリティー・オプションと暗号化オプションを併せ持つほか、事前共有鍵 (PSK) 認証のサポートも提供します。 このサービスでは、事前に定義された設定を使用するオプションを使用して、VPN接続をすばやく追加および削除できます。 詳しくは、サイト間 VPN ゲートウェイについてを参照してください。

IBM Cloud の Site-to-site VPN では、オンプレミスネットワークを IBM Cloud VPC ネットワークに接続するための以下のオプションが提供されます:

ポリシーベースVPN

このVPNモードでは、定義されたセキュリティ・ポリシーを使用して、どのトラフィックを暗号化してVPNトンネルを通して送信するかを決定する。 管理者は、トラフィックをトンネリングするソース、宛先、サービスを指定できるため、送信内容をきめ細かく制御できる。

ルートベースVPN

このVPNモードは、VPNトンネルを通してトラフィックを誘導するルーティング・テーブルに依存している。 ルートベースのコンフィギュレーションでは、トラフィックは特定のポリシーではなく、利用可能なルートに基づいてトンネルを経由して送信される。 このアプローチは、動的なルーティングが必要とされる大規模で複雑なネットワークにとって有益であり、より優れたスケーラビリティとネットワーク・トポロジーの変化への適応を可能にする。

ルートベースVPNは、さらに以下の接続タイプをサポートしている:

静的ルートベースのVPN接続

スタティック・ルート・ベースの接続では、ルートは手動で指定され、ルーティング・テーブルに設定される。 このオプションは、ネットワーク・トポロジーが固定された安定した環境に最適である。

ダイナミック・ルート・ベースのVPN接続

動的経路ベースの接続では、経路は自動的に発見され、経路情報はBGPなどのプロトコルでネットワーク間で交換される。 このオプションは、管理を簡素化し、ネットワークの変化に対応するため、大規模な環境や進化する環境に最適です。

サイト間 VPN ゲートウェイには以下のような機能がある:

  • セキュア・トンネル - ルート・ベース・モードまたはポリシー・ベース・モードで VPN を作成して、ご使用の VPC とオンプレミス・プライベート・ネットワーク間、または VPC と他の VPC との間に IPsec サイト間トンネルをセットアップします。
  • 高可用性 - 2 つの VPN デバイス上に構築され、アプライアンス・レベルの冗長性を提供します。
  • 定義済みおよびカスタムの暗号化プロポーザル - カスタマイズ可能なインターネット・キー・エクスチェンジ(IKE)フェーズ1およびフェーズ2の暗号化設定を備えた、迅速でセキュアなVPN設定のための複数の定義済みプロポーザルから選択できます。
  • モニタリング - モニタリング・ダッシュボードを表示して、すべてのトンネルおよび接続の現在の状況を確認します。 また、いつでも個人 VPN 接続を一時停止および再起動することができます。

クライアントとサイト間のサーバー

IBM Cloud Client VPN for VPC は、ユーザーがセキュアで暗号化された接続を通して IBM Cloud のリソースに接続できる、オープンソース互換のクライアントとサイト間の VPN ソリューションを提供します。

ユーザーがリモート・ワーク中や移動中、またはサイト間 VPN 接続がない場所で作業している場合、OpenVPN クライアントを使用して IBM Cloud VPC の VPN サーバーに接続できます。 詳しくは、クライアントとサイト間の VPN サーバーについてを参照してください。

クライアント・ツー・サイトVPNには以下の機能が含まれる:

  • セキュアで暗号化された接続性 - TLS 1.2/1.3-based、従業員(または個人)が IBM Cloud VPC にリモートアクセスするためのセキュアで暗号化された方法です。 クライアント接続用に設定された VPN サーバーとTransit Gatewayのサポートにより、IBM Cloud上のClassic IaaS およびその他の VPC に非公開に相互接続することもできます。
  • 高可用性 - 高スループットと回復力を確保するために、複数の可用性ゾーンにまたがります。
  • 多要素認証 - VPN サーバーとクライアント接続に適用され、コンプライアンスとセキュリティー要件を満たすための追加のセキュリティー層を提供します。
  • 操作と管理 - VPN サーバー・ダッシュボードを表示して状況をモニターし、VPN サーバーとそのクライアント接続のライフサイクルを管理します。 さまざまなビジネス・シナリオで、サーバーに接続されているクライアントを削除することもできます。