AWS と IBM Cloud 間のマネージドルートベースの静的 VPNはどのように設定すればよいですか?

所要時間2分
0

AWS と IBM Cloud 間の静的な AWS Site-to-Site VPN 接続をセットアップしたいと考えています。

解決方法

AWS と IBM Cloud の間の Site-to-Site VPN 接続をセットアップするには、以下を実行する必要があります:

  • IBM Cloud で、仮想プライベートクラウド (VPC)、サブネット、ルートテーブル、セキュリティグループ、およびアクセス制御リスト (ACL) ルールを設定します。
  • AWS 側で、VPC、サブネット、ルーティングを設定します。

AWS の設定

  1. Amazon VPC コンソールを開き、カスタマーゲートウェイを作成します。IBM VPN ゲートウェイの IP アドレスがまだわからないので、任意で詳細情報を追加します。後から、正しいカスタマーゲートウェイの IP アドレスと AS 番号 (ASN) を指定できます。

    **注:**カスタマーゲートウェイを作成するには、AWS を使用する必要があります。Amazon VPC コンソールでは、設定後にカスタマーゲートウェイを変更できますが、IBM Cloud では変更できません。

  2. Amazon VPC console (Amazon VPC コンソール) を開き、仮想プライベートゲートウェイを作成して、Amazon VPC にアタッチします。

  3. VPN 接続を作成します[Virtual private gateway (仮想プライベートゲートウェイ)] で、作成した仮想プライベートゲートウェイの名前を選択します。[Customer gateway (カスタマーゲートウェイ) ID] で、作成したカスタマーゲートウェイの ID を選択します。[Routing Options (ルーティングオプション)][Static (静的)] を選択します。(オプション) [Advanced Options for Tunnel 1 (トンネル 1 の詳細オプション)] で、高度な暗号化アルゴリズムをオンにします。

  4. 一般的な Site-to-Site VPN 設定ファイルをダウンロードします。このファイルの情報を使用して、IBM コンソールで VPN トンネルを設定します。

IBM Cloud の構成

  1. IBM Cloud を開き、IBM Web サイトの指示に従って IKE ポリシーを作成します。ポリシーの名前を入力し、次の詳細を入力します:

    [Region (リージョン)]: ワシントン DC
    [IKE version (IKE バージョン)]: 2
    [Authentication (認証)]: sha1
    [Encryption (暗号化)]: aes128
    Diffie-Hellman Group: 2
    [Key lifetime (キー寿命)]: 28800

  2. [Create an IPsec policy (IPSec ポリシーを作成する)]。ポリシーの名前を入力し、次の詳細を入力します:

    [Region (リージョン)]: ワシントン DC
    [IKE version (IKE バージョン)]: 2
    [Authentication (認証)]: sha1
    [Perfect forward secrecy]: オンになっています
    Diffie-Hellman Group: 2
    [Key lifetime (キー寿命)]: 3600

  3. IBM Cloud で Site-to-Site VPN 接続を作成します。作成した IKE ポリシーと IPSec ポリシーの詳細を入力します。VPN 接続を作成するには、AWS の Peer Gateway IP address (ピアゲートウェイ IP アドレス)Pre-Shared Keys (事前共有キー) が必要です。VPN の設定を続ける前に、AWS からダウンロードした設定ファイルのこの情報を書き留めておきます。

  4. IBM 側で Site-to-Site VPN を作成すると、[Tunnel1] のパブリック IP アドレスを表示できます。次の手順で使用する IP アドレスを書き留めておきます。

Amazon VPC コンソールに VPN ゲートウェイを設定する

  1. Amazon VPC コンソールを開き、カスタマーゲートウェイを作成します[IP address (IP アドレス)] には、セカンダリ IP アドレスではなく IBM VPN の IP アドレスを入力します。
  2. Site-to-Site VPN 接続に移動します。[Actions (アクション)] を選択し、次に [Modify VPN Connection (VPN 接続の変更)] を選択します。カスタマーゲートウェイの [target type (ターゲットタイプ)] を更新します。IBM VPN IP アドレスを使用する新しいカスタマーゲートウェイを選択します。

**注:**AWS が Site-to-Site VPN 接続を変更および更新するのに数分かかります。

トンネルのステータスが UP であることを確認し、接続をテストを行います

  1. AWS が Site-to-Site VPN 接続の変更を完了したら、トンネルが UP (稼働している) ことを確認します。AWS 側と IBM 側の両方でこれを確認する必要があります。また、ルーティングが正しいことを確認してください。トンネルが稼働している場合、デフォルトではどちらのクラウドもトラフィックのフローを許可しません。
  2. IBM Cloud で、IBM と AWS 間でトラフィックが流れるように[セキュリティグループと ACL を設定します](https://cloud.ibm.com/docs/vpc?topic=vpc-using-security-groups)。
  3. Amazon VPC コンソールで、接続に関連するネットワーク ACLセキュリティグループ を設定します。これにより、トラフィックが AWS と IBM の間を流れるようになります。
  4. 双方向接続テストを実行して、IBM と AWS 間のトンネル接続を確認します。必ず AWS から IBM へと IBM から AWS への ping テストを行ってください。
AWS公式
AWS公式更新しました 1年前
コメントはありません