Cloud Service
OCI Site-to-Site VPN
オンプレミス拠点と VCN を IPsec で暗号化接続するマネージド VPN サービス。AWS の Site-to-Site VPN に相当。
- 1.拠点と VCN を IPsec トンネルで安全に結ぶハイブリッド接続。
- 2.1接続あたり冗長な2トンネルが張られ可用性を確保。
- 3.BGP 動的ルーティングと静的ルーティングの両方に対応。
解決する課題
専用線を引かずに、オンプレミス拠点やデータセンターと OCI の VCN をインターネット経由で安全に接続できます。
- 拠点と VCN を暗号化して相互通信したい(インターネットを通すが盗聴・改ざんを防ぎたい)
- 物理的な回線調達を待たず、短時間でハイブリッド接続を立ち上げたい
- 専用線(FastConnect)導入までのつなぎや、専用線のバックアップ経路が欲しい
- 単一トンネル障害でも通信を止めない冗長性を確保したい
主要概念と用語
Site-to-Site VPN は、複数のコンポーネントを組み合わせて IPsec トンネルを構成します。
- Site-to-Site VPN(旧称 VPN Connect / IPSec VPN): 拠点と VCN を IPsec で接続するマネージドサービス本体
- DRG(Dynamic Routing Gateway / 動的ルーティングゲートウェイ): VCN とオンプレミスをつなぐ仮想ルータ。VPN や FastConnect の終端点になる(AWS の仮想プライベートゲートウェイに相当)
- CPE(Customer-Premises Equipment / 顧客構内機器): 拠点側のルータ/ファイアウォール。OCI 上ではそのパブリック IP を表すオブジェクトとして登録する(AWS のカスタマーゲートウェイに相当)
- IPSec Connection(IPSec 接続): DRG と CPE の間に張る論理接続。1接続につき冗長な2つのトンネルが自動で提供される
- トンネル(Tunnel): 実際の IPsec トンネル。各トンネルが OCI 側に異なる終端 IP を持ち、フェイルオーバーに使う
- ルーティング方式: トンネルごとにBGP 動的ルーティング、静的ルーティング、ポリシーベースルーティングから選択
- IKE / フェーズ1・フェーズ2: 鍵交換と暗号化パラメータのネゴシエーション。IKEv1 と IKEv2 をサポート
仕様・制限・クォータ
- 1つの IPSec 接続につき2本のトンネルが提供され、両方を有効化して冗長化するのが前提
- ルーティングはBGP(動的)/ 静的 / ポリシーベースから選択。複数経路の自動切替や経路広報を行うなら BGP を推奨
- IKEv1 / IKEv2 に対応し、AES などの暗号化・整合性アルゴリズムをサポート。利用可能なパラメータの組み合わせは公式ドキュメントのサポート表に従う
- CPE 側ルータは主要ベンダの設定例が公開されており、OCI が CPE 向けの設定テンプレートを生成できる
- リージョン/テナンシ単位の**サービス制限(リミット)**があり、必要に応じて引き上げ申請が可能
- スループットはインターネット経由かつ IPsec のオーバーヘッドの影響を受けるため、安定した高帯域・低遅延が必要なら FastConnect を検討する
内部の仕組み
オンプレミスの CPE と OCI の DRG の間で IKE による鍵交換(フェーズ1)を行い、続いて IPsec の暗号化トンネル(フェーズ2)を確立します。確立後は、拠点と VCN の間のトラフィックがトンネル内で暗号化されて流れます。
1つの IPSec 接続では OCI が2本のトンネルを別々の終端で提供します。CPE 側で両トンネルを設定し、BGP を使えば一方のトンネル障害時に経路が自動で他方へ切り替わります。静的ルーティングの場合は、両トンネルにルートを設定して冗長性を確保します。DRG は VCN 側のルートテーブルと連携し、オンプレミス宛のトラフィックを VPN トンネルへ向けます。
冗長な2トンネルのうち1本しか設定しないと、そのトンネルや経路に障害が起きた瞬間に通信が全断します。両トンネルを有効化し、BGP で自動フェイルオーバーさせる構成を基本としてください。
設計パターン / ベストプラクティス
- 両トンネル+BGP を基本構成にして、トンネル障害時に自動フェイルオーバーさせる
- 重要な本番ワークロードは FastConnect を主回線、Site-to-Site VPN をバックアップにする冗長設計が定石
- CPE には OCI が生成するベンダ別の設定テンプレートを使い、暗号化パラメータの不一致による接続失敗を避ける
- オンプレミスと VCN の IP アドレス空間(CIDR)が重複しないように設計する
- DRG に複数 VCN をアタッチしてハブ&スポークでルーティングを集約する
- 経路広報の範囲を絞り、不要なサブネットを相手に広報しない
運用・監視
- OCI Monitoring で VPN/トンネルのメトリクス(トンネルの稼働状態、受送信トラフィック量など)を監視し、片側トンネルのダウンを検知する
- コンソールや API で各トンネルの IPsec ステータス / BGP セッション状態(UP / DOWN)を確認する
- メトリクスにアラームを設定し、トンネルダウンや両トンネル同時断を即時通知する
- CPE 側のログ(IKE ネゴシエーション、フェーズ1/2 の確立状況)と突き合わせて、暗号パラメータや事前共有鍵の不一致を切り分ける
- 定期的にフェイルオーバー試験を行い、片トンネルを落としても通信が継続することを確認する
コスト
Site-to-Site VPN は、専用線(FastConnect)に比べて初期コストが低く短期間で開始できるのが利点です。一般に VPN のトンネル/接続そのものに対する料金は低く抑えられている一方、トラフィックはインターネット経由のデータ転送として扱われる点に注意します。高帯域・低遅延・安定したスループットが恒常的に必要なら、専用線の FastConnect のほうが総合的に有利になる場合があります。具体的な料金は変動するため、最新の公式料金ページで確認してください。
| 観点 | Site-to-Site VPN | FastConnect(専用線) |
|---|---|---|
| 接続経路 | インターネット経由の暗号化トンネル | 専用の物理/論理回線 |
| 立ち上げ速度 | 速い(短時間で開始可能) | 回線手配に時間がかかる |
| 帯域・遅延の安定性 | ベストエフォート(変動しうる) | 安定・低遅延・高帯域 |
| 初期コスト | 低い | 相対的に高い |
| 主な用途 | つなぎ・バックアップ・小規模拠点 | 本番の基幹接続 |
セキュリティ
- 通信は IPsec で暗号化され、インターネット経由でも盗聴・改ざんを防げる
- 事前共有鍵(PSK)は十分に強度の高い値を使い、Vault などで安全に管理する
- 暗号化・整合性アルゴリズムは強度の高い組み合わせ(AES や十分な鍵長の DH グループなど)を選ぶ
- VCN 側は**セキュリティリスト / ネットワークセキュリティグループ(NSG)**で、オンプレミスからの到達範囲を必要最小限に絞る
- DRG のルートテーブルで、オンプレミスへ流す経路を意図したサブネットのみに限定する
片方のトンネルだけ設定して「とりあえずつながった」で運用に乗せるのは危険です。両トンネル未構成=単一障害点となり、メンテナンスや障害でトンネルが落ちると即全断します。冗長な2トンネルは必ず両方有効化してください。
Well-Architected の観点
- 信頼性(Reliability): 1接続に冗長な2トンネルが提供される。両トンネル+BGP で自動フェイルオーバーを構成し、さらに FastConnect との併用で経路冗長を高める
- セキュリティ(Security): IPsec による暗号化、強固な事前共有鍵と暗号スイート、NSG/セキュリティリストによる到達制御で多層防御する
試験で問われるポイント
- DRG は VCN 側の終端(仮想ルータ)、CPE は拠点側ルータを表すオブジェクト、という役割分担
- 1つの IPSec 接続には冗長な2トンネルが付き、可用性のため両方を使うのが推奨
- ルーティングは BGP(動的)/ 静的 / ポリシーベースから選択でき、自動フェイルオーバーには BGP が向く
- IKEv1 と IKEv2 の両方に対応する点
- Site-to-Site VPN はインターネット経由、FastConnect は専用線という違いと使い分け(VPN をバックアップ、FastConnect を主回線にする冗長設計)
- AWS の対応関係: Site-to-Site VPN → Site-to-Site VPN、DRG → 仮想プライベートゲートウェイ、CPE → カスタマーゲートウェイ
関連サービス・比較
OCI の各コンポーネントは AWS のハイブリッド接続コンポーネントとほぼ一対一で対応します。
| 観点 | OCI | AWS |
|---|---|---|
| IPsec VPN サービス | Site-to-Site VPN | Site-to-Site VPN |
| VCN 側の終端ゲートウェイ | DRG(動的ルーティングゲートウェイ) | 仮想プライベートゲートウェイ / Transit Gateway |
| 拠点側ルータの表現 | CPE(顧客構内機器) | カスタマーゲートウェイ |
| 専用線サービス | FastConnect | Direct Connect |
| 仮想ネットワーク | VCN | VPC |
| 動的ルーティング | BGP 対応 | BGP 対応 |
| 冗長トンネル | 1接続に2トンネル | 1接続に2トンネル |
ハンズオン / CLI例
# DRG(VCN 側の終端ゲートウェイ)を作成
oci network drg create \
--compartment-id ocid1.compartment.oc1..xxxx \
--display-name hybrid-drg
# CPE(拠点側ルータのパブリック IP)を登録
oci network cpe create \
--compartment-id ocid1.compartment.oc1..xxxx \
--display-name onprem-cpe \
--ip-address 203.0.113.10
# IPSec 接続を作成(DRG と CPE を結び、オンプレミス側 CIDR を静的ルートで指定)
# 作成すると冗長な2トンネルが自動的に提供される
oci network ip-sec-connection create \
--compartment-id ocid1.compartment.oc1..xxxx \
--drg-id ocid1.drg.oc1..xxxx \
--cpe-id ocid1.cpe.oc1..xxxx \
--display-name onprem-to-vcn \
--static-routes '["192.168.0.0/16"]'
# 各トンネルの状態(IPsec / BGP の UP・DOWN)を確認
oci network ip-sec-connection-tunnel list \
--ipsc-id ocid1.ipsecconnection.oc1..xxxx
# CPE 向けの設定テンプレート(ベンダ別設定例)を取得
oci network cpe get-cpe-device-config-content \
--cpe-id ocid1.cpe.oc1..xxxx \
--file ./cpe-config.txt
OCI Service
OCI Site-to-Site VPNを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
ネットワーキング
比較で見る軸
クラウド: OCI / カテゴリ: ネットワーキング / 難易度: intermediate
導入後に効く点
1接続あたり冗長な2トンネルが張られ可用性を確保。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
- クラウド
- OCI
- カテゴリ
- ネットワーキング
- 難易度
- intermediate
- 関連資格
- —
- 設計柱
- reliability / security
判断チェックリスト
- 自社の用途が「ネットワーキング / reliability」に近いか確認する。
- 強みである「拠点と VCN を IPsec トンネルで安全に結ぶハイブリッド接続。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。