OCIサイト間VPNトンネルを次世代のOCI VPNサービスへのアップグレード

※ 本記事は、Misha Kasvinによる”Upgrade your OCI Site-to-Site VPN tunnels to the next generation OCI VPN service“を翻訳したものです。

2021年初頭、Oracle Cloud Infrastructure（OCI）は、次世代のサイト間IPsec VPNサービスをリリースしました。このサービスでは、ポリシーベースのVPNのサポート、ロギングによる可視性の向上、トンネルの可用性と回復性の向上、他のIPsec VPNソリューションとの相互運用性の向上によって、OCI VPNサービスのオリジナル・バージョンに対するいくつかの機能拡張が追加されました。このサービスの詳細は、前のお知らせブログを参照してください。

それ以来、ルーティングの可視性の向上や、デッドピア検出（DPD）、IKE開始、フェーズ1およびフェーズ2パラメータなどのIPsec関連機能をカスタマイズする機能など、さらなる機能強化により、次世代VPNサービスの改善を続けています。これらの機能に関するお知らせブログでは、これらの特定の機能改善の詳細をお読みいただけます。

このブログでは、自己移行のための推奨されるベスト・プラクティス・アプローチについて詳しく説明します。追加の利点を活用したい、またはトンネルの移行について通知を受けており、事前にアップグレードしたいと考えているOCIサイト間VPNの顧客は、このブログをご利用いただけます。

はじめに

このプロセスには、新しいIPsec接続の作成、新しいVPNエンドポイントとのIPsecトンネルを確立するためのCPEの構成、および新しいトンネルを使用するようにトラフィックをルーティングすることが含まれます。新しいトンネルを介してトラフィックがルーティングされた後、以前のv1 IPsec接続を削除できます。

開始する前に、移行するIPsec接続がVPN v1サービスで終了していることを確認します。既存のIPSec接続を参照し、「IPsec Connection Information」タブでバージョンを確認することで確認できます。

移行するIPsec接続を識別した後、新しいIPsec接続にレプリケートする接続をメモします。また、IPsec接続で使用されるCPEオブジェクトおよびDRGを識別して、再利用できます。

新しい接続で現在のIPSec接続に関連する特定の設定を再利用して、このプロセス中に構成する必要がある量を最小限に抑えることができます。次のOCIコンポーネントを再利用できます。:

• CPE object

• DRG

次のトンネル設定を再利用できます。:

• Shared secret

• Phase 1 and Phase 2 parameters

• IKE version

• ルーティング・タイプ（ボーダー・ゲートウェイ・プロトコル（BGP）や静的など）

次のトンネル属性は異なる必要があります。:

• Oracle VPNパブリックIPアドレス

• トンネル内インタフェースIPは既存のトンネルと重複できません。v1 IPsec接続でIPを再利用する場合は、まずIPを削除する必要がありますが、これはお薦めしません。

構成

IPsec接続の作成

これで、IPsec接続をプロビジョニングできます。新しいIPSec接続を作成すると、次世代のサイト間VPNサービスが自動的に使用され、使用可能なすべての拡張機能にアクセスできます。

終了するまで、既存のv1 IPsec接続を削除しないでください。削除した場合、v1 Site-to-Site VPNサービスを使用して新しいIPsec接続を作成することはできません。

新しいIPsec接続の作成時に構成を簡略化するには、以前に使用したものと同じCPEおよびDRGを選択します。

同じ共有シークレットを使用する場合は、「Provide custom shared secret」を選択し、既存のトンネルで使用されるキーを入力します。このオプションを選択しない場合、各トンネルは自動的に生成されたキーを使用します。

次に、IKEバージョンおよびルーティング構成を含むすべてのトンネル設定を構成します。ポリシーベースのルーティングの新しいオプションが表示されます。サポートされている様々なIPsecトンネル・タイプの詳細は、サポートされている暗号化ドメインまたはプロキシIDを参照してください。

ルーティング・タイプとしてBGPを使用している場合は（推奨）、内部トンネルIPに新しい/30を選択します。これらの設定は既存のトンネルと重複できません。後で、現在のトンネルで使用されている/30と一致するように変更することもできます。

詳細オプションでは、さらに新しいオプションがあります。IKEの開始、NAT走査、フェーズ1とフェーズ2のパラメータ、およびDPDに関連する設定をカスタマイズできるようになりました。

必要なすべてのIPsec接続設定の構成が完了したら、「Create IPSec Connection」ボタンをクリックして、新しいリソースのプロビジョニングを開始します。構成の詳細は、サイト間VPNの設定を参照してください。

OCI検証

Oracle Cloudコンソールで新しいIPsec接続を参照します。バージョンは、次世代のVPNサービスを使用していることを確認するv2としてリストされます。新しいIPsec接続が次世代のVPNサービスを使用していることを確認したら、新しいトンネルを起動してルーティングを構成できます。

CPEの構成: IPsec VPN

新しいトンネルを起動するようにCPEを構成します。Oracle VPN IPアドレスの列には、各トンネルに使用するパブリックIPがリストされます。これらのIPは、以前のIPsec接続とは異なります。デバイスの構成方法については、OCI CPEのドキュメントまたはCPEベンダーのドキュメントを参照してください。

CPEの構成: ルーティング

トンネルが構成されている場合は、コンソールのIPsec接続で各トンネルの状態を確認できます。ルーティング・タイプとしてBGPを使用している場合は、IPsecステータスおよびBGPステータスに「up」と表示されます。

新しいトンネルが構成され、各トンネルの状態を確認したら、トラフィックを再ルーティングしてトラバースできます。すべてのトラフィックを変更する前に、オンプレミスとOCIの間のすべてのトラフィックをテストとして、新しいトンネルまたは単一のホストなどのサブセットにルーティングすることを選択できます。

静的ルーティング

トンネルに静的ルーティングを使用している場合は、新しいトンネルがシステムによって優先されるように、最長の接頭辞一致を使用します。OCIが新しいトンネルにトラフィックを送り返すように、IPsec接続ごとに静的ルートを構成します。前の図は、静的ルーティングを使用した、異なるIPsec接続内のトンネル間の対称ルーティングの確認の例を示しています。

BGP

BGPを使用している場合は、ローカル・プリファレンスなどのBGP属性を使用して、OCIへのトラフィックの送信に使用するトンネル、およびOCIがオンプレミス・エンドポイントへのトラフィックの送信方法に影響を与えます。新しいトンネルを通過するトラフィックが対称になるようにルーティングを構成します。前の図は、BGPローカル・プリファレンスとASパス・プリペンドを使用して、すべてのサブネットの両方の方向でトラフィックに影響を与える方法の詳細を示しています。ルーティングの設計方法の詳細は、オンプレミス・ネットワークへの接続のルーティング詳細を参照してください。

接続のテスト

pingなどのユーティリティを使用して、新しいトンネルに対するエンドツーエンドの接続を確認します。サイト間VPNメトリックを使用してトンネル・トラフィックの統計を確認することで、トラフィックが新しいトンネルを経由していることを確認することもできます。

IPsec接続を削除

新しいトンネルが機能していることを確認したら、すべてのトラフィックが以前のv1 IPsec接続のトンネルではなく新しいトンネルを使用するようにルーティングを構成します。

すべてのトラフィックが新しいトンネルを介してルーティングされ、到達可能性が検証された場合にのみ、以前のv1 IPsec接続を安全に削除できます。古いIPsec接続を参照し、赤い「Terminate」ボタンをクリックして削除します。すべてのトラフィックが新しいVPNトンネルに移行された後でのみ使用されなくなった古いv1 IPsec接続を削除することをお薦めします。

このプロセスは、テナンシに存在する既存のv1 IPsec接続に対して繰り返すことができます。この設定プロセス中に構成の問題が発生した場合は、サービス要求をオープンしてください。移行の影響を受ける顧客の場合は、メンテナンス、スケジュールなどの詳細が送信されます。