Azure と OCI を S2S VPN 接続する

Azure と OCI を S2S VPN 接続する

今回は Azure と OCI を Site-to-Site 接続します。Azure 仮想ネットワークゲートウェイの SKU の都合で静的ルーティングです。

構成手順

前提条件

Azure

  • 仮想ネットワークを展開済み
  • 仮想ネットワークゲートウェイを展開済み

OCI

  • 仮想クラウドネットワーク (VCN) を作成済み

OCI: 動的ルーティング・ゲートウェイを作成

まずは OCI 側の VPN 接続エンドポイントとなる動的ルーティング・ゲートウェイ (DRG) を作成します。OCI コンソールにて、[ネットワーキング]>[顧客接続性]>[動的ルーティング・ゲートウェイ] を開き、[動的ルーティング・ゲートウェイの作成] をクリックします。

[動的ルーティング・ゲートウェイの作成][名前] で DRG の名前を指定して [動的ルーティング・ゲートウェイの作成] をクリックします。

作成した DRG を VCN にアタッチします。[ネットワーキング]>[仮想クラウド・ネットワーク] から作成済みの VCN を開きます。メニューから [動的ルーティング・ゲートウェイのアタッチメント] を開き、[DRG アタッチメントの作成] をクリックします。

[DRG アタッチメントの作成] にて、[名前] でアタッチメントの名前を指定して、[DRG アタッチメントの作成] をクリックします。

OCI: 顧客構内機器を作成

続いて、接続先 (Azure) の情報を定義するための顧客構内機器を作成します。

[ネットワーキング]>[顧客接続性]>[顧客構内機器] を開き、[顧客構内機器の作成] をクリックします。

[顧客構内機器の作成] にて、[名前] に顧客構内機器を識別する名前を指定し、[パブリック IP アドレス] に Azure 仮想ネットワークゲートウェイの IP アドレスを入力して [CPE の作成] をクリックします。

OCI: IPsec 接続を作成

[ネットワーキング]>[顧客接続性]>[サイト間VPN (IPsec)] を開き、[IPsec接続の作成] をクリックします。

[IPsec接続の作成] にて、次のように入力して [IPsec接続の作成] をクリックします。

  • [名前]: IPsec 接続の名前を指定
  • [(テナンシー) の顧客構内機器]: 作成済みの CPE を選択
  • [(テナンシー) の動的ルーティング・ゲートウェイ・コンパートメント]: 作成済みの DRG を選択
  • [静的ルート]: Azure 仮想ネットワークのアドレス範囲を指定

作成された IPsec 接続のトンネルを選択し、[Oracle VPN IP アドレス] [共有シークレット] を参照して接続に用いる接続情報を確認します。

また、[編集] をクリックして IPsec トンネルの構成情報を変更します。

[IKEバージョン][IKEv2] にして [変更の保存] をクリックします。

Azure: ローカルネットワークゲートウェイを作成

Azure 側で接続の設定をします。Azure ポータルにて [すべてのサービス]>[ネットワーキング]>[ローカル ネットワーク ゲートウェイ] を開き、[作成] をクリックします。[ローカル ネットワーク ゲートウェイの作成] にて、次のように設定し [作成] をクリックします。

  • [名前]: ローカルネットワークゲートウェイの名前を指定
  • [エンドポイント]: [IP アドレス]
  • [IP アドレス]: OCI の VPN IP アドレスを指定
  • [アドレス範囲]: OCI の VCN アドレス範囲を指定
  • [サブスクリプション]: ローカルネットワークゲートウェイを展開するサブスクリプションを指定
  • [リソース グループ]: ローカルネットワークゲートウェイを展開するリソースグループを指定
  • [場所]: ローカルネットワークゲートウェイを展開するリージョンを指定

Azure: IPsec 接続を作成

IPsec 接続の情報を作成します。作成済みの仮想ネットワークゲートウェイを開き、[接続] をクリックして上部の [追加] をクリックします。

  • [名前]: 接続の名前を指定
  • [仮想ネットワーク ゲートウェイ]: 作成済みの仮想ネットワークゲートウェイを指定
  • [ローカル ネットワーク ゲートウェイ]: 作成したローカルネットワークゲートウェイを指定
  • [共有キー]: OCI で確認した共有キーを指定
  • [Azure プライベート IP アドレスを使用する]: [無効]
  • [BGP を有効にする]: [無効]
  • [IKE プロトコル]: [IKEv2]

接続確認

Azure と OCI それぞれで接続が確立することを確認します。

あとは OCI 側でルートテーブルやセキュリティリストも設定しておきます。OCI 側は Azure と違ってデフォルトの通信許可が厳しいので注意しましょう。