AWS と IBM Cloud 間のマネージドルートベースの静的 VPNはどのように設定すればよいですか?

解決方法

AWS と IBM Cloud の間の Site-to-Site VPN 接続をセットアップするには、以下を実行する必要があります:

• IBM Cloud で、仮想プライベートクラウド (VPC)、サブネット、ルートテーブル、セキュリティグループ、およびアクセス制御リスト (ACL) ルールを設定します。
• AWS 側で、VPC、サブネット、ルーティングを設定します。

AWS の設定

1. Amazon VPC コンソールを開き、カスタマーゲートウェイを作成します。IBM VPN ゲートウェイの IP アドレスがまだわからないので、任意で詳細情報を追加します。後から、正しいカスタマーゲートウェイの IP アドレスと AS 番号 (ASN) を指定できます。

   **注:**カスタマーゲートウェイを作成するには、AWS を使用する必要があります。Amazon VPC コンソールでは、設定後にカスタマーゲートウェイを変更できますが、IBM Cloud では変更できません。

2. Amazon VPC console (Amazon VPC コンソール) を開き、仮想プライベートゲートウェイを作成して、Amazon VPC にアタッチします。

3. VPN 接続を作成します。[Virtual private gateway (仮想プライベートゲートウェイ)] で、作成した仮想プライベートゲートウェイの名前を選択します。[Customer gateway (カスタマーゲートウェイ) ID] で、作成したカスタマーゲートウェイの ID を選択します。[Routing Options (ルーティングオプション)] で [Static (静的)] を選択します。(オプション) [Advanced Options for Tunnel 1 (トンネル 1 の詳細オプション)] で、高度な暗号化アルゴリズムをオンにします。

4. 一般的な Site-to-Site VPN 設定ファイルをダウンロードします。このファイルの情報を使用して、IBM コンソールで VPN トンネルを設定します。

IBM Cloud の構成

1. IBM Cloud を開き、IBM Web サイトの指示に従って IKE ポリシーを作成します。ポリシーの名前を入力し、次の詳細を入力します:

   [Region (リージョン)]: ワシントン DC
   [IKE version (IKE バージョン)]: 2
   [Authentication (認証)]: sha1
   [Encryption (暗号化)]: aes128
   Diffie-Hellman Group: 2
   [Key lifetime (キー寿命)]: 28800

2. [Create an IPsec policy (IPSec ポリシーを作成する)]。ポリシーの名前を入力し、次の詳細を入力します:

   [Region (リージョン)]: ワシントン DC
   [IKE version (IKE バージョン)]: 2
   [Authentication (認証)]: sha1
   [Perfect forward secrecy]: オンになっています
   Diffie-Hellman Group: 2
   [Key lifetime (キー寿命)]: 3600

3. IBM Cloud で Site-to-Site VPN 接続を作成します。作成した IKE ポリシーと IPSec ポリシーの詳細を入力します。VPN 接続を作成するには、AWS の Peer Gateway IP address (ピアゲートウェイ IP アドレス) と Pre-Shared Keys (事前共有キー) が必要です。VPN の設定を続ける前に、AWS からダウンロードした設定ファイルのこの情報を書き留めておきます。

4. IBM 側で Site-to-Site VPN を作成すると、[Tunnel1] のパブリック IP アドレスを表示できます。次の手順で使用する IP アドレスを書き留めておきます。

Amazon VPC コンソールに VPN ゲートウェイを設定する

1. Amazon VPC コンソールを開き、カスタマーゲートウェイを作成します。[IP address (IP アドレス)] には、セカンダリ IP アドレスではなく IBM VPN の IP アドレスを入力します。
2. Site-to-Site VPN 接続に移動します。[Actions (アクション)] を選択し、次に [Modify VPN Connection (VPN 接続の変更)] を選択します。カスタマーゲートウェイの [target type (ターゲットタイプ)] を更新します。IBM VPN IP アドレスを使用する新しいカスタマーゲートウェイを選択します。

**注:**AWS が Site-to-Site VPN 接続を変更および更新するのに数分かかります。

トンネルのステータスが UP であることを確認し、接続をテストを行います

1. AWS が Site-to-Site VPN 接続の変更を完了したら、トンネルが UP (稼働している) ことを確認します。AWS 側と IBM 側の両方でこれを確認する必要があります。また、ルーティングが正しいことを確認してください。トンネルが稼働している場合、デフォルトではどちらのクラウドもトラフィックのフローを許可しません。
2. IBM Cloud で、IBM と AWS 間でトラフィックが流れるように[セキュリティグループと ACL を設定します](https://cloud.ibm.com/docs/vpc?topic=vpc-using-security-groups)。
3. Amazon VPC コンソールで、接続に関連するネットワーク ACL と セキュリティグループ を設定します。これにより、トラフィックが AWS と IBM の間を流れるようになります。
4. 双方向接続テストを実行して、IBM と AWS 間のトンネル接続を確認します。必ず AWS から IBM へと IBM から AWS への ping テストを行ってください。