暗号化されたFastConnect: パブリック・ピアリング

ORACLE WHITE PAPER | 2019年8月

2 | ENCRYPTED FASTCONNECT: PUBLIC PEERING

免責事項 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を

唯一の目的とするものであり、いかなる契約にも組み込むことはできません。マテリアルやコード、

機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料

になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期に

ついては、弊社の裁量により決定されます。

改訂履歴 このホワイト・ペーパーには、初版発行以来、次の改訂が加えられています。 更新日

改訂内容

2019年8月30日 初版発行

3 | ENCRYPTED FASTCONNECT: PUBLIC PEERING

目次 概要 4

前提条件 4

暗号化されたFastConnect 4

パブリック・ピアリングを使用したFastConnect 5

パブリック・ピアリングを使用したFastConnectを介したIPSecの実装 6

高容量の実現 8

1つのVCNへの複数のVPN Connect接続の作成 8

それぞれ別のVPN Connect接続での複数のVCNの作成 10

参考資料 11

4 | ENCRYPTED FASTCONNECT: PUBLIC PEERING

概要 FastConnectおよびVPN Connectは、お客様がOracle Cloud Infrastructureに接続するための2つの

重要な方法です。FastConnectは、お客様のオンプレミス・ネットワークとOracle Cloud Infrastructureとの間のプライベート接続を提供し、パフォーマンスを予測できます。VPN Connectは、インターネットを介した安全な(暗号化された)接続を提供しますが、レイテンシやパフォーマ

ンスを予測できない可能性があります。 企業の中には、セキュリティおよびコンプライアンスの要件を満たすためにFastConnectにおける

データ・フローを暗号化したり、オンプレミスからクラウドへの転送時に機微情報やビジネスクリ

ティカルな情報を保護したりする必要がある企業もあります。FastConnectサービスとVPN Connectサービスを組み合せて使用すると、これを実現できます。VPN Connectでは、業界標準の

暗号化および暗号化アルゴリズムを使用するIPSec (IP Security)トンネリング・テクノロジを活用

します。FastConnect仮想回線と併用すると、安全な専用の接続が提供され、パフォーマンスも予

測できます。

前提条件 このドキュメントは、ルーティングのプロトコルと概念、IPSec VPNテクノロジ(暗号化)と構成、

Oracle Cloud Infrastructureの基礎、およびOracle Cloud Infrastructureコンソールに精通しているこ

とを前提としています。 このドキュメントに記載されたオプションを使用するには、仮想クラウド・ネットワーク(VCN)が構成されており、FastConnectを使用してオンプレミス・ネットワークからOracle Cloud Infrastructureに接続する必要があります。

暗号化されたFastConnect FastConnectには、プライベートとパブリックの2つのピアリング・オプションが用意されていま

す。このドキュメントでは、パブリック・ピアリングを使用したFastConnectの暗号化に焦点を当

てています。 オラクルのプロバイダ、サードパーティ・プロバイダ、オラクルとのコロケーションといった現在

利用可能なFastConnectオプションを使用して、このソリューションをデプロイできます。このド

キュメントの図では、FastConnectを灰色の雲で表しています。

注意: このドキュメントでは、プライベート・ピアリングを使用したFastConnectについては触れていません。

プライベート・ピアリングの事例をお知りになりたい場合は、oci_c3pm_us_grp@oracle.comにメッセージ

をお送りください。

5 | ENCRYPTED FASTCONNECT: PUBLIC PEERING

パブリック・ピアリングを使用したFastConnect オンプレミス・ネットワークからOracle Cloud InfrastructureへのFastConnectのデプロイを正常に

終えたら、Oracleコンソールでパブリック仮想回線(図1の青い線)を構成します。接続を確立したら、

Oracleコンソールで顧客構内設備(CPE)オブジェクトおよびIPSec接続を作成します。次に、オン

プレミスVPN CPEを構成し、オラクル側ヘッドエンドへのIPSecトンネル(図1の緑の線)を確立し

ます。 図1では、FastConnectの終端のオンプレミス・ネットワークのCPEが、VPN機能も担うものとし

ています。VPN CPEは、別個のデバイスとしてCPEの背後に配置することもできます。

図1 FastConnectパブリック・ピアリングを介したIPSec VPN Connectをデプロイすると、デフォルトでは、冗長性のために2つのVPNヘッドエンドが提供

されます。単純化するために、このドキュメントの図では1つのトンネルのみを示しています。オ

ラクル側ヘッドエンドのパブリックIPアドレスは、パブリック仮想回線を作成すると、各リージョ

ンのOracle Services Networkのパブリック・サブネットの一部としてアドバタイズされます。これ

らのIPアドレスは、Border Gateway Protocol (BGP)を介して通知されるため、パブリック仮想回線

が確立された時点ですでにルートテーブルに含まれているはずです。VPN CPEのIPアドレスは、

BGP接続を介してOracle Cloudにアドバタイズします。IPSecトンネルは、パブリック仮想回線を

介して確立され、インターネットを経由しません。パブリック・ピアリングがインターネットのか

わりです。 このソリューションをデプロイするときは、次の点を考慮してください。

• VPNの終端は、オラクル側VPNヘッドエンドです。VPNトンネルは、Oracleコンソールを

使用して構成します。

• 暗号化によってオーバーヘッドが増し、サブスクライブしているFastConnectの帯域幅を

フルに活用できない可能性があります。

6 | ENCRYPTED FASTCONNECT: PUBLIC PEERING

• デフォルトでは、2つのVPNヘッドエンドが提供されるため、基本的にVPN Connectごと

にトンネルが2つあります。これらのトンネルは両方ともアクティブですが、オンプレミ

ス・ネットワークへのトラフィックの送信には1つのトンネルが常に使用されます。

• FastConnectに冗長性がデプロイされていることを確認します。

• ルーティングには2つの部分があります。

o FastConnect: FastConnectパブリック仮想回線を介して、オラクル側ヘッドエンドの

パブリックIPアドレスとVPN CPEがBGPを使用して交換されます。

o VPN Connect: BGPまたは静的ルーティングを使用したVPN Connectの標準構成に従

います。静的ルーティングを使用する場合、オンプレミス側からVCNへのトラフィッ

クはVPN CPEのVPNインタフェースをポイントするようにする必要があります。

• オンプレミス・ネットワークのセキュリティ・リストとVCNは、アプリケーションの要件

に基づいてトラフィックを許可する必要があります。

• FIPS 140-2検証は、Government Cloudリージョンでのみ利用可能です。

• VPN Connect接続の問題をトラブルシューティングする際にサポートが必要な場合は、オ

ラクル社サポートにご連絡ください。 パブリック・ピアリングを使用したFastConnectを介したIPSecの実装 この項には、パブリック・ピアリングを使用してFastConnectを介したIPSecを実装するための一

般的なステップを示します。パブリック・ピアリングおよびVPN Connectを使用してFastConnectをデプロイする方法の詳細な手順は、巻末の「参考資料」の項またはステップ全般で示すリンクを

参照してください。 次のステップでは、Oracle Cloud Infrastructureおよびテナントをすでに持っているものとします。

1. Oracle Cloud Infrastructureで、VCNを作成します。

2. VCN内にサブネットを作成します。これは、コンピュート・インスタンスをホストするサ

ブネットです。

3. 動的ルーティング・ゲートウェイ(DRG)を作成します。

4. DRGをVCNにアタッチします。

5. プロバイダ(オラクルまたはサードパーティ)またはオラクルとのコロケーションを介して

FastConnectを作成します。詳細な手順は、FastConnectのドキュメントを参照してくださ

い。

6. FastConnectのプロビジョニングに成功したら、パブリック仮想回線を作成します。CPEとオラクル側エッジとの間にBGPピアリング関係を確立します。このステップを完了する

には、パブリックASNおよび登録されたパブリックIPアドレス(VPN CPEのIPアドレス)を指定する必要があります。

7 | ENCRYPTED FASTCONNECT: PUBLIC PEERING

アドバタイズの前にIPアドレスがお客様に属していることが確認されます。オラクル側

VPNヘッドエンドのIPアドレスは、アドバタイズされるパブリック・サブネットの一部で

す。パブリック仮想回線を介してBGPピアをアドレス指定する/30サブネットが提供されま

す。

7. BGPとレイヤー3機能がCPEとオラクルの間で確立されていることを確認します。

8. コンソールでCPEオブジェクトを作成し、VPN Connectを構成します。詳細な手順は、

「VPN Connectの設定」のタスク2gを参照してください。これは、VPN CPEの論理表現で、

オンプレミス・ネットワーク上のIPSecトンネルの終端です。

9. VPN CPEとDRGの間の接続であるIPSec接続を作成します。このステップでは、VPN CPEとDRGの間で静的ルーティングを使用するか、動的ルーティング(BGP)を使用するか

を選択できます。詳細な手順は、「VPN Connectの設定」のタスク2hを参照してください。

10. VPN CPEを構成し、これより前のステップで示されたオラクル側VPNヘッドエンドへの

IPSecトンネルを設定します。詳細な手順は、「VPN Connectの設定」のタスク3を参照し

てください。

11. VCNおよびオンプレミス・ネットワークのセキュリティ・リストを更新して、アプリケー

ションの要件に基づいてトラフィックを許可します。

図2は、構成の結果を示しています。FastConnect、VPN Connect、DRG、VCN、顧客構

内およびルーティングといったソリューションを構成する様々なコンポーネントを確認で

きます。

図2 FastConnectパブリック・ピアリングを介したIPSec - ルーティング

8 | ENCRYPTED FASTCONNECT: PUBLIC PEERING

12. オンプレミス・ネットワークとOracle Cloudから保護対象のトラフィックを開始して、ト

ンネルを起動します。これを行うには、オンプレミス・ネットワーク(10.0.x.x/16)のデバイ

スとVCN (10.40.x.x/16)のサブネット上のVMの間でpingを開始します。

保護対象のトラフィックがトンネルを通過すると、VPN CPEでフェーズ1とフェーズ2が起

動し、トンネルが稼働中状態を示すはずです。そうでない場合は、トンネルの構成パラ

メータと事前共有鍵をトラブルシューティングして、IPSecパラメータが両側で一致する

ことを確認します。また、VPNトラフィックをブロックしている可能性のあるオンプレミ

ス・ネットワークのファイアウォールも確認します。

2つのエンドポイント間のpingが成功した場合、FastConnectを介したトラフィックが暗号

化されているということです。そうでない場合は、サブネット・レベルおよびVPNレベル

でルーティングをチェックし、正しいルートを受信していることを確認します。また、セ

キュリティ・リストをチェックして、pingが許可され、要件のアプリケーショントラ

フィックが許可されていることを確認します。

高容量の実現 暗号化は接続のオーバーヘッドを増大させ、接続のスループットに直接影響を与えます。

FastConnect接続の通信速度が10Gbpsだとしても、暗号化を実行するデバイスでこの速度を維持で

きない可能性があります。オンプレミス・ネットワークとOracle Cloudの間で帯域幅を増やす(アグ

リゲーション)には、次のタスクを実行します。

• 1つのVCNへの複数のVPN Connect接続を作成します。

• それぞれ別のVPN Connect接続で複数のVCNを作成します。

この方法には、ルーティング・エンジニアリング、接続の両端でのトラフィックの分離、トンネル

間でIPアドレスの重複がないこと、および仮想回線またはVCNごとの個々のVPNヘッドエンドが必

要です。また、ソリューションの複雑さが増し、サポートとトラブルシューティングのための詳細

なドキュメントが必要になります。 1つのVCNへの複数のVPN Connect接続の作成 図3は、1Gbps FastConnect接続およびパブリック仮想回線(青い線)を示しています。コンソールで

作成したVPN Connect接続ごとに2つのVPNヘッドエンドが提供されます。複数のVPN Connect接続を作成するには、VPN CPEに複数のパブリックIPアドレスを指定する必要があります。その後、

各VPN CPEを表す追加のCPEオブジェクトをOracleコンソールで作成できます。お客様側には

VPNヘッドエンドが2つあり、それぞれが緑の線で表されるトンネルを作成します。

9 | ENCRYPTED FASTCONNECT: PUBLIC PEERING

図3 FastConnectを介したIPSec: 複数トンネル

注意: オラクルは、リージョンごとに最大4つの異なるヘッドエンド・ペアを提供できます。このソリュー

ションの制限は、お客様とオラクルが提供できる一意のパブリックVPN CPEの数です。

オラクル側ヘッドエンドとVPN CPE 1の間に構築されたVPN Connect 1(緑の実線)では、

10.10.10.0/24と10.40.10.0/24の間のトラフィックが許可されます。オラクル側ヘッドエンドと

VPN CPE 2の間に構築されたVPN Connect 2(緑の点線)では、10.10.20.0/24と10.40.20.0/24の間の

トラフィックが許可されます。 各トンネルが250Mbpsをサポートできると仮定すると、2つのトンネルを作成することにより、

1Gbps FastConnect接続で500Mbpsをサポートできます。 ルーティングには、2つの部分があります。

• FastConnect

パブリック仮想回線を介して、リージョンのすべてのパブリック・サブネットがアドバタ

イズされます。ヘッドエンドのIPアドレスは、これらのサブネットの一部です。お客様側

では、VPN CPE 1および2のパブリックIPアドレスをアドバタイズします。

• VPN Connect

o オラクル側からは、BGPによって、2つのトンネルを介してすべてのVCNサブネットが

アドバタイズされます。すべてのVCNサブネットを受け入れるかわりに、VPN CPE 1および2で受信するサブネットをフィルタし、それぞれサブネット1 (10.40.10.0/24)および

2 (10.40.20.0/24)を受け入れます。静的ルーティングを使用する場合、VPN Connect 1を介して10.10.10.0/24を、VPN Connect 2を介して10.10.20.0/24をアドバタイズします。

o BGPを介して、VPN CPE 1から10.10.10.0/24を、VPN CPE 2から10.10.20.0/24をアド

バタイズします。静的ルーティングを使用する場合、10.40.10.0/24をVPN CPE 1に、

10.40.20.0/24をVPN CPE 2にポイントします。

10 | ENCRYPTED FASTCONNECT: PUBLIC PEERING

このソリューションでは、any-to-any通信は許可されていません。設計は非常に細分化されており、

それがこのソリューションの制限となっています。VPNヘッドエンドの容量制限内にあり、異なる

VPN Connect接続の一部である他のリソースと通信する必要がない場合、同じトンネル内に異なる

タイプのトラフィックをバンドルできます。このソリューションでは、複数のトンネルを多重化し

て高帯域幅を実現することはできません。

それぞれ別のVPN Connect接続での複数のVCNの作成 帯域幅を増やす別の方法は、Oracle Cloud内に複数のVCNを作成することです。概念は、前述の例

と同じです。ただし、このケースでは、分離を必要とする異なるプロジェクトまたはビジネス・ユ

ニットが存在するため、同じリージョン内の異なるコンパートメントの同じテナント内に複数の

VCNを作成します。VPN Connect接続ごとに2つのヘッドエンドが提供されます。各DRGはそれぞ

れ独自のVPN Connect接続を持ちます。1つのVPN CPEを使用できますが、構築できるVPN Connect接続の数は、オラクルがリージョン内で提供できるヘッドエンドの数とVPN CPEの容量に

制限されます。 このソリューションでは、オンプレミス・ネットワークからのトラフィックは、それぞれのVPN Connect接続を介して各VCNに接続できます。VPN Connect 1を介して10.40.0.0/16に、VPN Connect 2を介して10.50.0.0/16に接続できます。各DRGが独自のルートテーブルを持つため、

ルーティングを調整する必要はありません。動的ルーティング(BGP)または静的ルーティングを使

用できます。オンプレミス側から、重複しないIPアドレスで2つの異なるVCNに接続しているため、

2つの独立したVPN Connect接続があります。

図4 FastConnectを介したIPSec: 複数VCN

FastConnect

Virtual CloudNetwork 1

10.40.0.0/16

ORACLE CLOUD INFRASTRUCTURE (REGION 1)

Oracle’sEdge

DynamicRoutingGateway

DRG

Oracle Public Services

CustomerPremises10.0.0.0/16

Virtual CloudNetwork 2

10.50.0.0/16DRG

11 | ENCRYPTED FASTCONNECT: PUBLIC PEERING

参考資料 このドキュメントで参照されているサービスの詳細については、ドキュメントの次のページを参照

してください。

• FastConnect

• VPN Connect

• VCN

• DRG

Oracle Corporation, World Headquarters Worldwide Inquiries 500 Oracle Parkway Phone: +1.650.506.7000 Redwood Shores, CA 94065, USA Fax: +1.650.506.7200

CONNECT WITH US

blogs.oracle.com/oracle

facebook.com/oracle

twitter.com/oracle

oracle.com

Copyright © 2019, Oracle and/or its affiliates.All rights reserved.本文書は情報提供のみを目的として提供されており、ここに記

載されている内容は予告なく変更されることがあります。本文書は一切間違いがないことを保証するものではなく、さらに、

口述による明示または法律による黙示を問わず、特定の目的に対する商品性もしくは適合性についての黙示的な保証を含み、

いかなる他の保証や条件も提供するものではありません。オラクル社は本文書に関するいかなる法的責任も明確に否認し、本

文書によって直接的または間接的に確立される契約義務はないものとします。本文書はオラクル社の書面による許可を前もっ

て得ることなく、いかなる目的のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または送信すること

はできません。

OracleおよびJavaはオラクルおよびその関連会社の登録商標です。その他の社名、商品名等は各社の商標または登録商標であ

る場合があります。

Intel、Intel Xeonは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに使用し、

SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMDロゴ、AMD Opteronロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXは、The Open Groupの登録商標です。 0819

暗号化されたFastConnect: パブリック・ピアリング 2019年8月 原本著者: Javier Ramirez