OCIを使い始めて1年以上が経ちました。
理解が深まり、色々と試している日々です。
しばらく 平和に過ごしていたのに、今度は、Azureで、Iaasを構築することになってしまいました。
Azure AD関連のサービスは使っていたのですが、インフラサービスは、やったことないので、学びなおしですよ。
とりあえず、無料アカウント作って、試してみました。
そんな中のひとネタです。
OCIとAuzreって、Fast Connectのような接続が出来るのは、知識として知っていました。
じゃー、IPsecで接続って出来るのかな
ということで、やってみました。
1.
OCIで、ipsecの設定を行います。
仮想クラウド・ネットワークとサブネットは、適当に作っておいて下さい。
ネットワーキングメニューから、顧客接続性を選択します。
顧客構内機器(Azureの 仮想ネットワーク ゲートウェイ のこと)を選択すると、CPE(Public IPのこと)の作成が出来るので、作成します。
ここで重要なのは、Public IPだけです。後は、適当で良さそうです。
名前は、適当 ベンダーは、OtherでOK
Public IPは、4で構築するAzureの仮想ネットワーク ゲートウェイのPublic IPになります。
なので、4を先に作業しなきゃダメですかね
2.
OCIで、ネットワーキングメニュー - 顧客接続性から、動的ルーティング・ゲートウェイを選択し、作成します。
こいつは、仮想クラウド・ネットワークで、良い感じにルーテングしてくれる論理ルーターです。
作成後、使う仮想クラウド・ネットワークを選択する必要があるので、繋げたいサブネットが存在する仮想クラウド・ネットワークにアタッチする必要があります。
仮想クラウド・ネットワーク・アタッチメントの作成を押下して、仮想クラウド・ネットワークを選択します。
3.
OCIで、ネットワーキングメニュー - 顧客接続性から、サイト間VPNを選択します。
いよいよipsecを作成します。
Create IPSec connectionを押下します。
コンパートメント(OCI作成時に決定)、顧客構内機器(1.で作成)、動的ルーティング・ゲートウェイ(2.で作成)を選択します。
今回、BGP動的ルーティングで行いますよ。
トンネルは、冗長性を考慮して2つ作らされちゃいます。
トンネル1
IKE:Version2
BGP ASN:65515
IPv4トンネル内インタフェース - CPE:169.254.21.1/30
IPV4トンネル内インタフェース - Oracle:169.254.21.2/30
トンネル2
IKE:Version2
BGP ASN:65515
IPv4トンネル内インタフェース - CPE:10.99.99.1/30
IPV4トンネル内インタフェース - Oracle:10.99.99.2/30
拡張オプション
| デッド・ピア検出タイムアウト(秒) | 45 |
フェーズone (ISAKMP)構成
| カスタム構成の設定 | Check |
| カスタム暗号化アルゴリズム | AES_256_CBC |
| カスタム認証アルゴリズム | SHA2_256 |
| カスタムDiffie-Hellmanグループ | GROUP24 |
| IKEセッション・キー存続期間 | 27000 |
フェーズtwo (IPSec)構成
| カスタム構成の設定 | Check |
| カスタム暗号化アルゴリズム | AES_256_CBC |
| カスタム認証アルゴリズム | HMAC_SHA2_256_128 |
| IPSecセッション・キー存続期間 | 3600 |
| 完全な前方秘匿性の有効化 | No Check |
作成完了すると、各トンネルの共有シークレットが発行されるので、これを記録しておきましょう。
BGPを使うので、Oracle BGP ASNを記録しておきましょう。
それと、各トンネルのエンドポイントIPv4アドレス(Oracle VPN IP address)を記録しましょうね。
4.
Azureのネットワークを構築します。
とりあえず、仮想ネットワークを構築し、ゲートウェイ サブネットを構築しておいて下さい。
ゲートウェイ サブネットが無いと、外部との通信が出来ないのですね。
さて、ipsecする為の基盤のゲートウェイを構築するには、仮想ネットワーク ゲートウェイ という物を構築する必要があります。
仮想ネットワーク ゲートウェイ のプロパティ
サブスクリプション、リソースグループ、名前、地域、SKU、世代は、適宜選択して下さい。
パブリック IPの項目ですが、無ければ新規で、余っていれば、それを使って下さい。
| ゲートウェイの種類 | VPN |
| 仮想ネットワーク | 仮想ネットワーク |
| サブネット | ゲートウェイ サブネットのGatewaySubnet |
| 可用性ゾーン | ゾーン冗長 |
| アクティブ/アクティブ モードの有効化 | 無効 |
| BGP の構成 | 有効 |
| 自律システム番号 (ASN) | 65515 |
| カスタムの Azure APIPA BGP IP アドレス | 169.254.21.1 |
5.
Azure作業です。
次に ローカル ネットワーク ゲートウェイ を構築します。
こいつは、仮想ネットワーク ゲートウェイのトンネルのようなやつです。
サブスクリプション、リソースグループ、名前、地域は、適宜選択して下さい。
| エンドポイント | IPアドレス |
| IP アドレス | IPv4アドレス(Oracle VPN IP address) |
| アドレス空間 | [空白] |
| BGP 設定の構成 | はい |
| 自律システム番号 (ASN) | Oracle BGP ASN |
| BGP ピアの IP アドレス | 169.254.21.2 |
6.
Azure作業です。
最後に 接続 を構築します。
接続って思いますけど、そういう名前のリソースですので気にしないで下さい。
サブスクリプション、リソースグループ、名前、地域は、適宜選択して下さい。
| 接続の種類 | サイト対サイト(IPSec) |
| 仮想ネットワーク ゲートウェイ | 4で構築したやつ |
| ローカルネットワークゲートウェイ | 5で構築したやつ |
| 共有キー | 共有シークレット |
| IKEプロトコル | IKEv2 |
| BGP | 有効 |
| カスタム BGP アドレスを有効にする | 有効 |
| プライマリ カスタム BGP アドレス | 169.254.21.1 |
| IPsecおよびIKEポリシー | カスタム |
| IKE フェーズ 1 | 暗号化:AES256 整合性またはPRF:SHA256 DHグループ:DHGroup24 |
| IKE フェーズ 2 | IPsec暗号化:AES256 IPsec整合性:SHA256 PFSグループ:None |
| IPsec SA の有効期間 | 27000 |
| DPD タイムアウト | 45 |
これで接続出来るようになったのですが、1トンネル分しか接続出来ていませんよね。
2トンネル目を構築しようと思ったのですが、無料クレジットがなくなってしまったので、出来なくなりました。
ローカル ネットワーク ゲートウェイをもう一つ構築すれば良さそうですが、今回は、無念の離脱です。