OCI技術資料 : 外部接続 VPN接続 詳細

Transcript

1. 外部接続 詳細 VPN接続(IPSec) Connectivity 200 – VPN Connection (IPsec) Oracle

   Cloud Infrastructure 技術資料 2026年02月

2. 外部接続資料一覧 本資料はこちらをメインに解説 Copyright © 2026 Oracle and/or its affiliates. 2

3. 1. インターネット • グローバルIP通信 • セキュリティはFWとSSL通信等で確保 • 通信速度・帯域はベストエフォート • 月10TBを超える外部へのデータ転送が課金対象

   2. VPN接続 (IPsec) • プライベートIP通信 • IPsecによりセキュリティを確保(認証,暗号化) • 通信速度・帯域はベストエフォート • VPN接続は無料、インターネット通信料金の対象 • OCIのVPN接続サービス、もしくはソフトウェアVPN 3. FastConnect • プライベートIP/グローバルIP通信 • プライベート回線による高いセキュリティ • 通信キャリアによる速度・帯域・品質の保証 * • 固定額のポート料金のみ課金、データ転送に伴う従量課 金なし、回線費用が別途必要 Oracle Cloud Infrastructure への接続方式 3 Copyright © 2026 Oracle and/or its affiliates. お客様 ネットワーク OCI VCN VCN Internet 専用線 インターネット + SSL 閉域網 FastConnect VPN Internet Gateway Dynamic Routing Gateway Customer Data Center

4. 仮想クラウド・ネットワーク (VCN) をオンプレミスネットワークに接続するには、設計上の考慮事項が必要 • どのくらいの 帯域幅(スループット) がアプリケーションに必要ですか? • 遅延(レイテンシ) にセンシティブなアプリケーションですか？

   • 単一障害点を避けるため、オンプレミスとの接続に冗長性を確保する必要がありますか？ • セキュアなプライベート専用接続が必要ですか？ それともインターネット上のパブリック接続ですか？ • サービスの成長をどう見ていますか？ アプリケーションの帯域を動的にスケールする必要がありますか？ オンプレミス・ネットワークへの接続計画 Copyright © 2026 Oracle and/or its affiliates. 4

5. パブリックネットワークに仮想化専用回線を作成し、プラ イベート通信を実現する技術 IPsecトンネル • IPsec技術によりトラフィックをカプセル化 • インターネット経由でプライベートIPによるセキュア通 信が可能 • 高価な専用回線は不要

   認証 • 終端のVPN装置同士が認証 暗号化 • IPsecトンネルを通るすべてのIPパケットを暗号化 ルーティング • スタティック・ルーティング：特定の宛先トラフィックを 事前設定した方向に送信するように静的に構成 • ダイナミック・ルーティング：BGPなどのルーティングプ ロトコルを使用して、動的に経路を制御 Virtual Private Network(VPN)の基礎 VPN接続 Private Network 1 Private Network 2 IPsecトンネル VPNルーター Internet VPNルーター Copyright © 2026 Oracle and/or its affiliates. 5

6. IPsec VPN を介してオンプレミスネットワークをVCNにセキュア に接続するマネージドVPNサービス • サイトツーサイト(拠点間)の接続 • IPsecプロトコルによる通信暗号化の提供 • 1トンネルあたりの帯域：ベストエフォート

   参考値（ネットワークの混雑状況やCPEの性能によって異なります） インターネット経由 ：約250Mbps FastConnect経由 ：約1Gbps未満 • サービス料金は無償 (外部データ転送課金の対象には 含まれる) • VPN接続あたり物理的に冗長化された2つのトンネル・エ ンドポイントを提供 • 共有秘密鍵(PSK)によるIKEv1、IKEv2をサポート • 動的ルーティング(BGP)、静的ルーティング OCI VPN接続 (IPsec VPN) 6 Copyright © 2026 Oracle and/or its affiliates. お客様 ネットワーク OCI VCN VCN DRG Customer Premises Equipment (CPE) Route Table Destination Route Target 0.0.0.0/0 DRG VPN

7. • 動的ルーティング・ゲートウェイ (DRG) • VPN接続のOCI側のVPNヘッドエンド • Customer Premise Equipment（CPE）/ 顧客構内機器

   • オンプレミスネットワークの実際のVPNルーター/エッジデバイス（ハードウェアまたはソフトウェア） • VPNをセットアップするとき、CPEオブジェクトと呼ばれるオンプレミスルーターの仮想表現を作成 • CPEオブジェクトの作成 - 名前と外部パブリックIPアドレス • IPSec接続 • CPEオブジェクトとDRGを作成した後、IPSec接続を作成してそれらを接続、これにより複数の冗長IPSecトンネルが 作成される • IPSec接続の作成中に、ルーティングのタイプを構成 • BGPダイナミックルーティング • スタティックルーティング • CIDR範囲を指定したポリシー・ベースルーティング • IPSec VPNを設定すると、デフォルトでOracleは各トンネルの共有秘密/事前共有キーを提供する、代わりに独自の共 有秘密キーを指定することも可能 OCI VPN接続 概念 Copyright © 2026 Oracle and/or its affiliates. 7

8. 顧客データセンター VCN とインターネット以外のネットワークとの間の プライベート通信経路を提供する仮想ルーター IPsec VPN または FastConnect (プライベート、専 用接続)

   を介してオンプレミスネットワークとの接 続を確立するために使用できる 通信フローを有効にするには、 VCN に DRG をア タッチした後 VCN のルート表に DRGへのルートを ルールとして追加する必要がある DRG はスタンドアロンオブジェクトのため、VCN と 別個に作成したあと VCN にアタッチする必要があ る。 動的ルーティング・ゲートウェイ(DRG) 8 Copyright © 2026 Oracle and/or its affiliates. リージョン 可用性ドメイン VCN 10.0.0.0/16 プライベートサブネット サブネットB 10.0.2.0/24 宛先CIDR ルート ターゲット 0.0.0.0/0 DRG ルート表 顧客構内設備 (CPE) DRG

9. VPN作成時に2つの冗長IPSecトンネルを作成し、別々のCPEで構成することを推奨。 ルーティングの選択肢。1トンネルごとにルーティングの種類を選択。 • 静的ルーティング • Border Gateway Protocol (BGP) による動的ルーティング

   • CIDR範囲を指定したポリシー・ベースルーティング • BGPを明示的に構成しない場合は静的ルーティングがデフォルトのタイプ。静的ルーティングの場合は最低1～最大10 のスタティック・ルートを設定する必要がある。 • BGPを選択する場合各トンネルにASNとともに2つのIPアドレスを付与する必要がある。 ルーティングタイプの変更 • IPSecトンネルを維持したまま変更が可能。ただし、トンネル内を流れるトラフィックは再構成時とCPE側構成変更時に に一時的に破棄される。 • 静的ルーティングからBGPに変更する場合、1トンネルずつ実行することでVPN接続全体がダウンすることを防げる。 • BGPから静的ルーティングに変更する際には、IPSec接続自体に少なくとも1つのスタティック・ルートが紐づいていることを 確認すること。 VPNのルーティングの選択 Copyright © 2026 Oracle and/or its affiliates. 9

10. 1. (準備)グローバルIPと顧客構内機器(CPE)の準備 2. 仮想クラウドネットワーク(VCN)を作成 3. 動的ルーティングゲートウェイ(DRG)を作成 4. DRGをVCNにアタッチ 5. VCNのルート表を編集し、オンプレミス・ネットワークへのトラ

    フィックの宛先をDRGに設定 6. OCIで顧客構内機器(CPE)リソースを作成、この際にCPEに 設定するグローバルIPが必要 7. DRG内にCPEとの間でIPsec接続を作成し、ルーティング(BGP または静的)を設定 8. 顧客構内機器(CPE)を設定、その際にステップ7で入手でき るOCI側エンドポイントのグローバルIPとPSKを入力 9. ルーターを編集し、オンプレミスネットワークからVCNへの適切 なルーティングを設定 青字 : OCIでの作業 / 緑字 : オンプレミスでの作業 VPN接続までのステップ Copyright © 2026 Oracle and/or its affiliates. 10

11. VPN接続の冗長化 VPN Redundancy Copyright © 2026 Oracle and/or its affiliates.

    11

12. 以下の考慮が必要 1. IPsecトンネルとOCI側接続先(ヘッドエンド)の冗長化 2. CPE(顧客側ルーター)の冗長化 3. 顧客ネットワーク側のインターネット接続回線の冗長化 4. 非対称ルーティングの考慮 5.

    OCI側からの通信経路の制御 6. 顧客ネットワーク側からの通信経路の制御 VPN接続 冗長化構成時の考慮ポイント Copyright © 2026 Oracle and/or its affiliates. 12

13. • VCNに対してVPNを接続するには、プライベート 接続のための仮想ルーターである動的ルーティン グ・ゲートウェイ(DRG)をVCNにアタッチする • 1つの拠点と接続するにあたり、1つのCPE(顧客 側ルーター)に対して1つのVPN接続を作成する。 この時点でOCI側には2つの接続先(ヘッドエンド) が用意され、2つのVPNトンネルが作成される •

    この2つのVPNトンネルを両方リンクアップさせてお くことで、OCI側のルーター障害やメンテナンス時に も、利用する経路を切り替えることで継続した利 用が可能 1. IPsecトンネルとOCI側接続先(ヘッドエンド)の冗長化 Copyright © 2026 Oracle and/or its affiliates. 13

14. • 顧客側ルーターの障害に備えて機器を複数台用意し、 障害時に切り替える • 簡単なのは、全く同じ設定のルーターを待機させ、障 害時に物理的にケーブルをつなぎかえる方法 • 一定のダウンタイムが許容できるのであればOK • 通信断を短縮したい場合は自動切替を考える

    • VRRPのような仮想IP(VIP)によるフェイルオーバーだけでは不 十分、正常な切り替えには以下も必要 • OCIからみてのIPアドレスが変わらない • フェイルオーバー時にVPNトンネルを作成するルーターも切り替わ る • フェイルオーバー後にルートテーブルの状態も引き継がれる • オンプレ側ネットワークの状態 (Active/Standby) も同期して切り 替わる • これらは、通常ルーター機器固有の機能で実現する • 例 : Juniper SRX Chassis Cluster (JSRP) : 2台の機器を仮想的に 1台ルータのように同期させ、フェイルオーバー時にIPやルートテー ブル、VPNトンネルの状態も含めて切り替える 2. CPE(顧客側ルーター)の冗長化 – Active-Standby切り替えパターン VCN OCIリージョン 顧客ネットワーク CPE Internet VCN OCIリージョン 顧客ネットワーク CPE Internet Active Standby Active Headend 1 Headend 2 Headend 1 Headend 2 Copyright © 2026 Oracle and/or its affiliates. 14

15. • 顧客側ルーターの障害に備えて機器を複数台用意し、 両方の機器を有効化する • OCI側の「VPN接続」ごとに1つのCPEと接続するため、2 つのCPEと同時に接続するにはOCI側に2つのVPN接続 を作成する • 同一VPN接続内の2つのトンネルを異なるCPEに接続する ような構成は不可能

    • このため左図のように都合4本のIPsecトンネルが作成 される、基本的には4本全てのIPsecトンネルの有効化 を推奨 2. CPE(顧客側ルーター)の冗長化 – Active-Activeパターン Copyright © 2026 Oracle and/or its affiliates. 15 VCN OCIリージョン 顧客ネットワーク CPE2 Internet CPE1 VPN接続1 VPN接続2 VPN接続1 CPE1 CPE2

16. • 1つのVPN接続には2つのIPsecトンネルが用意され、それぞれ OCIリージョン内で異なる物理ルーターに接続される • このため、2つのVPN接続を作成し、それぞれ1つずつのトンネ ルしか有効化しない場合、選択によっては2本のトンネルが同 じ物理ルーターに接続され、単一障害点になる可能性がある (左図の青い経路) • トンネル4本全ての有効化が推奨だが、もし2本しか有効化し

    ない場合には、同一物理ルーターに接続されていない2本を 選択することが重要 • トンネル有効化前に接続している物理ルーターをOCIコンソー ルから確認することはできないが、2本のトンネル有効化後に 「DRG冗長性ステータスの取得」機能を使い、正しく冗長構 成ができているかを確認することができる →間違った構成の場合は警告が表示される • DRG冗長性ステータスの取得 https://docs.oracle.com/ja-jp/iaas/Content/Network/Tasks/drg- get-redundancy-status.htm 2. CPE(顧客側ルーター)の冗長化 – Active-Activeパターン(続き) Copyright © 2026 Oracle and/or its affiliates. 16 OCIリージョン 顧客ネットワーク CPE2 Internet CPE1 VPN接続1 VPN接続2 物理ルーター 1 物理ルーター 2 間違った組み合わせの例(青経路) : 同じ物理ルーター1に接続されてい る2本のトンネルを選択して有効化しているため、単一障害点となってい る 物理ルーター2に接続されているトンネルを有効化することで、物理ルー ターが単一障害点となっている状態を解消できる

17. • 物理的な接続経路やISPの障害でVPN接続が切断 されるリスクがあるため、CPEから接続するインターネット 回線についても冗長化が望ましい • 2つのインターネット回線を利用するのに伴い、OCI側 でCPEを2つ登録する 3. 顧客ネットワーク側のインターネット接続回線の冗長化 VCN

    OCIリージョン 顧客ネットワーク CPE2 Internet CPE1 VPN接続1 VPN接続2 Copyright © 2026 Oracle and/or its affiliates. 17 ISP1 ISP2

18. • 複数の経路がある場合、それぞれのルーター の経路選択の方法によって、往き(青)と復り (緑)のパケットが異なる経路を通る非対称 ルーティングが発生する場合がある • 非対称ルーティングは通常問題ないが、顧客 ネットワーク側のファイアウォールなどで非対称 ルーティングを許可しない設定にしている場 合にはパケットがドロップされるので注意が必

    要 • 経路の優先設定はできるが、非対称ルーティン グの発生を完全に抑止するのは困難なので、 ファイアウォール側で許可する方が良い 4. 非対称ルーティングの考慮 VCN OCIリージョン 顧客ネットワーク CPE2 Internet CPE1 VPN接続1 VPN接続2 パケット 破棄 Firewall Copyright © 2026 Oracle and/or its affiliates. 18

19. • 動的ルーティング・ゲートウェイ(DRG)による経路選択の優先 度は以下 1. ロンゲストマッチを優先 2. FastConnectとVPNを同時に利用する場合は FastConnect優先 3. BGPを利用したVPN接続

    4. 静的ルーティングを利用したVPN接続 • 同じタイプの接続(例えば同じ宛先への静的ルートが設定された2つ のVPN接続)がある場合「最も古い確立済ルート」を優先的に使用 • DRG側からの優先経路を設定するには以下いずれかを実施 1. BGP利用の上、CPE側でASパスプリペンドを行うことで、CPEから OCI側に広告する経路情報を通じてOCI側が優先利用する経 路を制御 2. 静的ルーティング利用の上、非優先経路側の宛先プレフィクス長 をより短く設定することで、ロンゲストマッチを利用して制御 (例 : 優先 10.0.0.0/8, 非優先 0.0.0.0/0) • MED値、DRGでのローカルプリファレンス設定による制御は不可 5. OCI (DRG) 側からの通信経路の優先制御 VCN OCIリージョン 顧客ネットワーク CPE2 Internet CPE1 VPN接続1 VPN接続2 Copyright © 2026 Oracle and/or its affiliates. 19 優先経路 非優先経路

20. • 顧客ネットワーク側からOCIに向けた通信の経 路制御は、いくつかの方法がある • 左図は、CPEがOCI側からアドバタイズされた ルートを、顧客側ネットワークの内部に動的 ルーティングプロトコル(BGP/OSPFなど)を使って 再広告する方式 • メリット

    : ルーティング・プロトコルにより優先経路を 統合的に制御しやすい 6. 顧客ネットワーク側からの通信経路の優先制御 – 動的ルーティングの場合 VCN OCIリージョン 顧客ネットワーク CPE2 Internet CPE1 VPN接続1 VPN接続2 経路交換 経路交換 Copyright © 2026 Oracle and/or its affiliates. 20

21. • 顧客ネットワーク側からOCIに向けた通信の経路制御 は、いくつかの方法がある • 左図は、CPEとして利用する機器のIPsecトンネルを 監視する機能を利用する方式 • ルーターにより実装は異なる、また全てのルーター機器が利 用できるとは限らない •

    例えば、Cisco製ルーターでは、IP SLA監視機能でIPsec トンネルの状態を監視し、異常時にはルーターの冗長化機 能であるHSRPを組みあわせて経路のフェイルオーバーを行 う機能がある • このケースの場合は、静的ルーティングを利用する場合 も多い 6. 顧客ネットワーク側からの通信経路の優先制御 – IPsecトンネルの状態を監視 VCN OCIリージョン 顧客ネットワーク CPE2 Internet CPE1 VPN接続1 VPN接続2 HSRP 監視 IP SLA priority 101 priority 100 Copyright © 2026 Oracle and/or its affiliates. 21

22. 日本語マニュアル –VPN接続 • https://docs.oracle.com/ja-jp/iaas/Content/Network/Tasks/managingIPsec.htm Oracle Whitepaper - IPSec VPN Best

    Practices • https://docs.cloud.oracle.com/en-us/iaas/Content/Resources/Assets/whitepapers/ipsec-vpn-best- practices.pdf Oracle Whitepaper – Connectivity Redundancy Guide • https://docs.cloud.oracle.com/en-us/iaas/Content/Resources/Assets/whitepapers/connectivity-redundancy- guide.pdf VCN 関連の技術情報 Copyright © 2026 Oracle and/or its affiliates. 22

23. チュートリアル - Oracle Cloud Infrastructureを使ってみよう • https://community.oracle.com/docs/DOC-1019313 Oracle Japan主催 セミナー、ハンズオン・ワークショップ

    • https://www.oracle.com/search/events/_/N-1z13zi1?Nr=111 Oracle Cloud Infrastructure – General Forum (英語) • https://cloudcustomerconnect.oracle.com/resources/9c8fa8f96f/summary Oracle Cloud Infrastructure トレーニング・技術フォーラム Copyright © 2026 Oracle and/or its affiliates. 23

24. Oracle Cloud Infrastructure マニュアル (日本語 / 英語) • https://docs.cloud.oracle.com/iaas/api/ -

    APIリファレンス • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/aqswhitepapers.htm - テクニカル・ホワイ ト・ペーパー • https://docs.cloud.oracle.com/iaas/releasenotes/ - リリースノート • https://docs.cloud.oracle.com/ja-jp/iaas/Content/knownissues.htm - 既知の問題(Known Issues) • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/graphicsfordiagrams.htm - OCIアイコン・ダ イアグラム集(PPT、SVG、Visio用) ※ 日本語版は翻訳のタイムラグのため情報が古い場合があります。最新情報は英語版をご確認ください Oracle Cloud Infrastructure マニュアル・ドキュメント Copyright © 2026 Oracle and/or its affiliates. 24

25. Oracle Cloud Infrastructure 活用資料集 • https://oracle-japan.github.io/ocidocs/ チュートリアル - Oracle Cloud

    Infrastructureを使ってみよう • https://oracle-japan.github.io/ocitutorials/ Oracle Cloud ウェビナーシリーズ • https://www.oracle.com/goto/ocws-jp Oracle 主催 セミナー、ハンズオン・ワークショップ • https://www.oracle.com/search/events/_/N-2bu/ Oracle Cloud Infrastructure – General Forum (英語) • https://cloudcustomerconnect.oracle.com/resources/9c8fa8f96f/summary Oracle Cloud Infrastructure トレーニング・技術フォーラム Copyright © 2026 Oracle and/or its affiliates. 25

26. Thank you Copyright © 2026 Oracle and/or its affiliates. 26

27. None

28. Our mission is to help people see data in new

    ways, discover insights, unlock endless possibilities.