動的 BGP を使用して AWS と Oracle Cloud Infrastructure の間に VPN トンネルを作成する方法を教えてください。

解決方法

AWS と OCI の間に AWS Site-to-Site VPN トンネルを設定するには、次の手順に従います。

• OCI 側では、仮想クラウドネットワーク (VCN)、サブネット、セキュリティリストおよびルールを設定します。
• AWS 側では、Amazon Virtual Private Cloud (Amazon VPC)、サブネット、ルーティングを設定します。

AWS の設定

1. Amazon VPC コンソールを開き、カスタマーゲートウェイを作成します。OCI VPN ゲートウェイの IP アドレスがまだわからないので、任意で詳細情報を追加できます。後で、正しいカスタマーゲートウェイの IP アドレスと AS 番号 (ASN) を指定できます。
   **注:**カスタマーゲートウェイを作成するには、AWS を使用する必要があります。Amazon VPC コンソールでは、設定後にカスタマーゲートウェイを変更できますが、OCI では変更できません。
2. Amazon VPC コンソールを開き、仮想プライベートゲートウェイを作成して Amazon VPC にアタッチします。
3. VPN 接続を作成します。[Virtual private gateway] (仮想プライベートゲートウェイ) で、作成した仮想プライベートゲートウェイの名前を選択します。[Customer gateway ID] (カスタマーゲートウェイ ID) で、作成したカスタマーゲートウェイの ID を選択します。[Routing Options] (ルーティングオプション) で [Dynamic (requires BGP)] (ダイナミック (BGP が必要)) を選択します。(オプション) [Advanced Options for Tunnel 1] (トンネル 1 の詳細オプション) で、高度な暗号化アルゴリズムをオンにします。
   重要:P再共有キーに文字と数字のみが含まれていることを確認してください。OCI は特定の文字をサポートしていません。また、AWS は事前共有キーでのスペースの使用をサポートしていません。独自の事前共有キーを入力して、文字と数字のみを含むようにすることもできます。
4. 一般的な Site-to-Site VPN 設定ファイルをダウンロードします。このファイルの情報を使用して、OCI コンソールで VPN トンネルを設定します。

OCI の設定

1. Oracle Cloud コンソールを開きます。
2. Oracle のウェブサイトの指示に従って、顧客宅内機器を作成します。ナビゲーションペインから [Networking] (ネットワーク) を選択し、次に [Customer-Premises Equipment] (顧客宅内機器) を選択します。
3. パブリック IP アドレスには、ダウンロードした設定ファイルからトンネル A の外部 IP アドレスを入力します。
4. [Dynamic Routing Gateway] (動的ルーティングゲートウェイ) を選択し、動的ルーティングゲートウェイを作成します。動的ルーティングゲートウェイを VCN にアタッチします。VCN は、Oracle Cloud コンソールで作成することも、既存の VCN にアタッチすることもできます。VCN を検索するには、ナビゲーションペインから [Networking] (ネットワーク) を選択します。次に、[Virtual Cloud Networks] (仮想クラウドネットワーク) を選択します。
5. Oracle Cloud コンソールで Site-to-Site VPN 接続を作成します。作成した顧客宅内機器と動的ルーティングゲートウェイの詳細を入力します。
   重要:****[Create IPSec Connection] (IPsec 接続の作成) を選択する前に、Tunnel1 と Tunnel2 の設定を構成する必要があります。****[Show Advanced Options] (詳細オプションを表示) を選択し、ダウンロードした設定ファイルから事前共有キーと BGP の詳細を入力します。Tunnel2 には、OCI で 2 つ目のトンネルを構成できないため、任意の情報を入力してください。[Routing Type] (ルーティングタイプ) を [BGP] に設定します。
6. OCI 側で Site-to-Site VPN を作成すると、AWS-Tunnel1 のパブリック IP アドレスを表示できます。次の手順で使用する IP アドレスを書き留めておきます。

Amazon VPC コンソールで VPN ゲートウェイを設定する

1. Amazon VPC コンソールを開き、カスタマーゲートウェイを作成します。[IP アドレス]** には**、AWS-Tunnel1 の IP アドレスを入力します。[BGP ASN] には、「31898」と入力します。これは、動的ルーティングゲートウェイのデフォルトの BGP ASN です。
2. Site-to-Site VPN 接続に移動します。[アクション] を選択し、次に [Modify VPN Connection] (VPN 接続の変更) を選択します。カスタマーゲートウェイのターゲットタイプを更新し、カスタマーゲートウェイを選択します。

**注:**AWS が Site-to-Site VPN 接続を変更および更新するのに数分かかります。

トンネルのステータスが UP であることを確認し、接続をテストします

1. AWS が Site-to-Site VPN 接続の変更を完了したら、トンネルと BGP が UP ステータスになっていることを確認します。AWS 側と OCI 側の両方でこれを確認する必要があります。また、ルーティングが正しいことを確認してください。トンネルが稼働している場合、デフォルトではどちらのクラウドもトラフィックのフローを許可しません。
2. Oracle Cloud コンソールで、セキュリティリストとネットワークセキュリティ・グループを構成して、OCI と AWS 間のトラフィックのフローを許可します。
3. Amazon VPC コンソールで、接続に関連するネットワーク ACL とセキュリティグループを設定して、トラフィックが AWS と OCI の間を流れるようにします。
4. 双方向接続テストを実行して、OCI と AWS 間のトンネル接続を確認します。必ず、AWS から OCI へ、OCI から AWS への ping テストを行ってください。

AWS と OCI 間に冗長 VPN 接続を設定する

AWS と OCI の両方の Site-to-Site VPN サービスを設定するには、オンプレミス IP アドレス (カスタマーゲートウェイ IP アドレス) を 1 つだけ使用できます。2 つ目の Site-to-Site VPN 接続を作成するには、前の手順をすべて繰り返す必要があります。1 つのアクティブなトンネルと 1 つの複製トンネルを使用して、1 つのトンネルがダウンした場合に BGP ルーティングが 2 番目のトンネルを経由するようにします。