IBM Cloud Docs
クライアントとサイト間の VPN サーバーについて

クライアントとサイト間の VPN サーバーについて

クライアント VPN for VPC は、クライアントからサイトへの接続を提供します。これにより、リモート・デバイスは、 OpenVPN ソフトウェア・クライアントを使用して VPC ネットワークに安全に接続できます。 このソリューションは、セキュアな接続を維持しながら、ホーム・オフィスなどのリモート・ロケーションから IBM Cloud に接続することを希望する通信業者に役立ちます。

ハイライトは以下のとおりです。

  • インターネット経由の TLS1.2/1.3 ベースのセキュア/暗号化接続
  • スタンドアロン (パイロット) デプロイメントと高可用性 (実動) デプロイメントの両方をサポート
  • IBM パブリック・クラウド上のクラシック IaaS および VPC をプライベートに相互接続
  • 世界の MZR で使用可能
  • ゾーンをまたいで高可用性を実現するのでパフォーマンスと回復力が向上する
  • 統合認証方式を使用したセキュリティーのレイヤーの追加

アーキテクチャー

図 1 は、VPC の内側と外側にあるリソースに接続するための VPN サーバーのセットアップ例を示しています。 VPN サーバーは、ユーザーの VPC 内の 2 つのサブネットでプロビジョンされます。 アクティブ/アクティブ高可用性 (HA) モードで動作する VPN サーバー・メンバーも 2 つあります。 すべての VPN サーバー・メンバーがターゲット・リソースと通信できます。 各メンバーに 1 つのパブリック IP アドレスが割り当てられ、VPN サーバーの DNS ホスト名レコードが作成されます。 ホスト名は、VPN メンバーのパブリック IP アドレスに解決されます。 VPN クライアントは DNS 解決によって 2 つのパブリック IP アドレスを取得し、VPN メンバーの一方に接続するために 2 つの IP アドレスをランダムに試行します。 VPN クライアントは、1 つのメンバーがダウンすると、アクティブな VPN サーバー・メンバーへの再接続と切り替えを試みます。

DNS サービスは、VPN サービスの一部としてデプロイされます。 指定される DNS 名の末尾は appdomain.cloud になります。

クライアント/サイト間 VPN サーバー・アーキテクチャー
図 1. クライアントとサイト間の VPN サーバーのアーキテクチャー

始めに

Client VPN for VPCの使用を開始するには、以下の手順を実行します。

  1. VPN サーバーに関する計画時の考慮事項を確認します。
  2. 始める前ににあるすべての前提条件を満たすようにしてください。
  3. 1 つのサブネットにスタンドアロン VPN サーバーをプロビジョンするか、2 つのサブネットに高可用性 VPN サーバーをプロビジョンします。 手順については、VPN サーバーの作成を参照してください。
  4. VPN 経路を作成します。
  5. VPN クライアント環境をセットアップして VPN サーバーに接続します

VPN サーバーのユース・ケース

IBM Cloud Client VPN for VPC サービスを実装するためのいくつかの方法を示します。

ユース・ケース 1: デプロイ済み MZR 内の VPC へのアクセス

VPN サーバーは、選択されたマルチゾーン・リージョン (MZR) および VPC にデプロイされます。 すべての仮想サーバー・インスタンスは、単一の VPC 内の VPN クライアントからアクセス可能です。

ネットワーク・トポロジー: VPN クライアントは、VPN サーバーを介して、デプロイされた MZR 内の仮想サーバー・インスタンスにアクセスできます。
図 2. ネットワーク・トポロジー: VPN クライアントは、デプロイ済み MZR 内の仮想サーバー・インスタンスに VPN サーバーを経由してアクセスすることができます

ユース・ケース 2: VPN クライアントが VPN サーバーを経由してインターネットにアクセスすることができる

管理者が VPN サーバーに全トンネル・モードを適用すると、お客様デバイスからのすべてのトラフィック (インターネット・トラフィックを含む) が VPN サーバーに送信されます。 VPN サーバーはインターネット・トラフィックを IBM Cloud インフラストラクチャーのエッジ・ノードに転送し、最後にインターネットに到達します。

ネットワーク・トポロジー: VPN クライアントは、VPN サーバーを介してインターネットにアクセスできます
図 3. ネットワーク・トポロジー: VPN クライアントは、VPN サーバーを経由してインターネットにアクセスすることができます

ユース・ケース 3: 中継ゲートウェイとの統合

一般に、冗長性を確保するために、VPC リソースを複数のリージョンにプロビジョンすることをお勧めします。 個人用デバイスからすべてのリージョンのリソースにアクセスするための 1 つのアプローチとして、1 つの VPC につきクライアントとサイト間の VPN サーバーをリージョンごとに 1 つ作成し、すべての VPN サーバーへの VPN 接続を確立することができます。 このアプローチでは複数の VPN サーバーを維持する必要もあります。 これには手間がかかる可能性がありますが、より安全な方法です。 もう 1 つのアプローチとして、中継ゲートウェイを使用してこれらすべての VPC を接続する方法もあります。 この場合、VPC にアクセスするために必要な VPN サーバーは 1 つだけです。

ネットワーク・トポロジー: 中継ゲートウェイとの統合
図 4. ネットワーク・トポロジー: 中継ゲートウェイとの統合

クライアントとサイト間の VPN サーバーを中継ゲートウェイと統合する場合は、宛先を他の VPC またはクラシック・ネットワークのサブネットの CIDR に設定した 1 つ以上の VPN 経路を追加し、経路アクションを translate に設定する必要があります。 詳しくは、『VPN 経路の管理』を参照してください。

ユース・ケース 4: サイト間 VPN ゲートウェイとの統合

IBM VPC に接続すると同時にオンプレミスのプライベート・ネットワークにもアクセスする場合は、サイト間 VPN ゲートウェイと統合します。 このユース・ケースでは、複数の VPN サーバーを同時に維持する必要がなくなります。 オンプレミスのプライベート・ネットワークには、クライアントとサイト間の VPN サーバーから直接アクセスすることができます。

ネットワーク・トポロジー: サイト間の VPN ゲートウェイとの統合
の図 5。 ネットワーク・トポロジー: サイト間 VPN ゲートウェイとの統合