VPNサービス(SSL-VPN)#
機能概要#
本機能では、システム上に構築した仮想環境へ安全に接続するためのSSL-VPN接続機能を提供します。これにより、クライアント端末からSSL-VPNを介して安全にシステム上の仮想サーバへアクセスできます。
以下の機能を提供します。
SSL-VPN接続の利用方法#
SSL-VPN接続の利用には、準備が必要です。事前準備からSSL-VPN接続を作成するまでの流れを以下に示します。
図: VPN環境構築の流れ(SSL-VPN)
- 事前準備(必須)
VPNサービスの作成には、以下に示す仮想ルータの作成や設定変更などの事前準備が必要です。
1.1. 仮想ルータの作成
仮想ルータを作成します(仮想ルータ参照)。
1.2. 仮想ルータへのゲートウェイ設定
作成した仮想ルータにゲートウェイを設定します(仮想ルータ編集参照)。
1.3. 仮想ネットワークの作成
仮想ネットワークを作成します(仮想ネットワーク参照)。
1.4. 仮想ルータへのインターフェース追加
1.1で作成した仮想ルータの詳細画面からインターフェースを追加します。
・ サブネットに1.3で設定したサブネットを指定します。
・ IPアドレスにはサブネット内の未使用のIPアドレスを入力します。 - VPNサービス構築
事前準備の完了後、VPNサービスやSSL-VPN接続を作成します。
2.1. VPNサービスの作成
[ネットワーク]→[VPNサービス]を押下し、VPNサービス一覧画面から「+」ボタンをクリックします。
図: VPNサービス作成画面
VPNサービスを作成する際に必要な設定項目を以下に示します。
表: VPNサービス作成時の設定項目
| 項目名 | 設定内容 | 対象リージョン 東日本第1/第2 西日本第1/第2 |
対象リージョン 東日本第3 西日本第3 |
|---|---|---|---|
| AZ | 事前に準備した仮想ルータと同じアベイラビリティゾーンを選択します。 ※AZ選択後に対応する仮想ルータが選択可能です。 |
○ | - |
| 仮想ルータ名 | 1.1で作成した仮想ルータを選択します。 ※仮想ルータを選択後、サブネット名が指定可能です。 |
○ | ○ |
| サブネット名 | 1.3で設定したサブネットを指定します。 | ○ | ○ |
| VPNサービス名 | VPNサービスの名前を入力します。 | ○ | ○ |
| 説明 | VPNサービスの説明を入力します。 | ○ | ○ |
| 管理状態 | trueまたはfalseを選択します(初期値:true)。 | ○ | ○ |
VPNサービス作成後、VPNサービス一覧画面にVPNサービスが表示されます。
図: VPNサービス一覧画面
SSL-VPN接続の作成
SSL-VPN接続は、VPNサービス詳細画面から作成します。
図: VPNサービス詳細画面
※「SSL-VPN V3 接続」は、東日本第3/西日本第3でのみ設定可能です。
※「SSL-VPN V2 接続」は、東日本第3/西日本第3では 2024年12月16日に提供終了予定であり、以降は表示されません。
SSL-VPN接続を作成する際に必要な設定項目を以下に示します。
表: SSL-VPN接続作成時の設定項目
| 項目名 | 設定内容 | 対象リージョン 東日本第1/第2 西日本第1/第2 | 対象リージョン 東日本第3 西日本第3 | |
|---|---|---|---|---|
| V2接続 | V2接続 | V3接続 | ||
| SSL-VPN接続名 | SSL-VPN接続名を入力します。 | ○ | ○ | ○ |
| プロトコル | TCPまたはUDPを選択します(初期値:TCP)。 東日本第3/西日本第3では「TCP」のみ設定可能です。 | ○ | ○ | |
| 管理状態 | trueまたはfalseを選択します(初期値:true)。 | ○ | ○ | ○ |
| 証明書 | 使用する証明書を選択します(初期値:FJcloud証明書)。 FJCloud証明書以外の証明書を使用する場合は、事前にAPIにより証明書を登録してください。 | ○ | ○ | ○ |
| セキュリティグループ | 使用するセキュリティグループにチェックを入れます。 指定可能なセキュリティグループは6個以下です。 | ○ | ||
| グローバルIP | 使用するグローバルIPを選択します。※ 東日本第3/西日本第3では自動割当のみ設定可能です。 | ○ | ○ | ○ |
| クライアントIPプール | クライアントIPプールをCIDR形式(192.168.10.0/24等)で設定します。※ 【重要】 - 以下のネットワークアドレスは指定しないでください。 - 使用しているネットワークアドレス - クライアントPCが接続しているローカルネットワークアドレス 誤って設定した場合には通信ができなくなる可能性があります。その場合はヘルプデスクへご連絡してください。 - 「192.168.122.0/24」は利用できません。 | ○ | ○ | ○ |
| ワンタイムパスワード | trueまたはfalseを選択します(初期値:true)。 シークレットシードの作成および削除は、VPNサービス詳細画面のアクションより操作可能です。 | ○ | ||
※東日本第3/西日本第3では、設定可能なグローバルIPアドレスおよびクライアントIPプールは1つです。
SSL-VPN接続の「+」ボタンをクリックし、各画面の項目を入力します。最後に「作成」をクリックするとSSL-VPN接続が作成されます。
図: SSL-VPN接続作成画面
3.ファイアーウォール設定(任意)
ファイアーウォールのルール設定は任意です。構築した仮想環境へ安全に接続するためには、ファイアーウォールのルール設定を推奨します。
3.1. ファイアーウォールルールの作成
ファイアーウォールルールを作成します(ファイアーウォール参照)。
3.2. ファイアーウォールポリシーの作成
作成したファイアーウォールルールが適用されたファイアーウォールポリシーを作成します。
3.3 ファイアーウォールの作成
ファイアーウォールを作成します(ファイアーウォール)。
ファイアーウォール作成時にはファイアーウォールポリシーと仮想ルータを選択してください。
留意事項#
- SSL-VPN接続作成時にFJcloud証明書以外の証明書を使用する場合は、APIにより事前に証明書を登録してください。(IaaS 機能説明書 (VPN SSL-VPN)、IaaS API リファレンス(Management Administration編)参照)。
- SSL-VPN接続の作成後、OpenVPNクライアント等により対象の仮想サーバに接続してください。
- OpenVPNクライアントのセットアップ方法は下記をご参照ください。
IaaS 機能説明書「付録 SSL-VPNクライアントのセットアップ(Windows編)」
IaaS 機能説明書「付録 SSL-VPNクライアントのセットアップ(CentOS編)」