FUJITSU Cloud Service K5
IaaS 設計・構築ガイド(デザインパターン・実装サンプル集)

IPSecVPN接続パターン


要求事項

以下のように、K5上のシステムに対して、専用線など高コストな回線を使用せずに、
外部から安全にアクセスする経路を作りたいといった要求事項に対応するパターンです。

  • 企業内システムなどで各拠点から安全にアクセスしたい
  • ビジネスパートナーとK5上のシステムを安全に共有したい
  • K5の複数ドメインや複数のリージョンにまたがってシステムを連携したい



対応するK5デザインパターン概要

K5と対向拠点との間に IPSecVPNトンネルを敷設することで、インターネット回線を使用したVPN接続が可能です。
K5と複数の顧客環境を接続したり、K5の環境間で接続したりすることができます。

本パターンでは、実装サンプル で、K5で IPSecVPN を構築する上で一般的に必要な事前準備についてと、
構造 (イメージ図) のように K5 環境間で 1対1 で IPSecVPN接続をする基本的な 実装例 を記載します。

また、複数の顧客環境との接続などその他の利用シーンについて、K5上で IPSecVPNで利用可能な接続形態と、
利用不可の接続形態を、その他 で記載します。



構造 (イメージ図)

K5の IPSecVPN では、1つのIPSecVPNトンネルで仮想ルータに直接接続される1つのサブネットと、
同じK5の仮想ルータ または 顧客環境のルータ等の対向ゲートウェイに接続される1つのサブネット間で通信が可能です。

※複数の顧客環境との接続などその他の利用シーンについては、その他 で記載します。
※K5間での接続の場合は、以下のような形態が可能です。

K5での接続形態
備考
別リージョン間で接続東日本リージョンと、西日本リージョンを接続する際の形態です。
IPSecVPN で接続します。
別ドメイン間で接続契約単位のドメインが異なる環境で接続する際の形態です。
IPSecVPN で接続します。
別プロジェクト間で接続
同一ドメインでプロジェクトが異なる環境で接続する際の形態です。
IPSecVPN でも接続できますが、ドメイン内でのプロジェクト間接続機能を推奨します。
別AZ間で接続同一リージョン、同一プロジェクトで、AZ間を接続する際の形態です。
同一リージョン、同一プロジェクトでAZ間を接続する場合は、通常はネットワークコネクタでの接続を推奨します。
IPSecVPNでも接続できますが、以下のようにAZ間接続では不要の処理があります。
どうしてもファイアーウォールを使いたいといった要望がない限り、IPSecVPNによる別AZ間接続はおすすめできません。
  • IPSecVPNでは、外部ネットワークに接続したセグメントしか通信できません。
  • ネットワークコネクタより IPSecVPNの方が、通信の暗号化等があるため処理が重くなります。
    ネットワークコネクタには暗号化機能は含まないため比較すると処理が軽くなります。
  • IPSecVPN では、インターネット向けにファイアーウォールを解放する必要があります。
    ネットワークコネクタは、インターネット向けにファイアーウォールを解放する必要はありません。



実装サンプル

1.事前準備

 (1) IPSecVPN通信用のネットワーク機器の用意(対向が顧客環境の場合)
  対向が顧客環境の場合、IPSecVPN通信用のネットワーク機器を用意してください。

  • 顧客環境のインターネット接続で、IPSecVPN利用が可能であるかを各回線業者に確認してください。
  • 対向ゲートウェイとして、IPSecVPN通信が利用可能なネットワーク機器を、顧客環境に用意してください。
  • 対向ゲートウェイとして全てのIPSecVPN通信用のネットワーク機器との接続を保証するものではありません。
    事例情報の確認、事前検証が必要です。
  • 顧客環境側とK5側とで、IPSecVPNに関するポリシー設定を同じにする必要があります。
    (IKEポリシー、IPsecポリシー、認証鍵[PSK])

 (2) 内部IPアドレスの整理

  • K5の仮想ルータに対して、対向を20拠点まで設定することができます。
  • IPSecVPNの接続元、接続先、およびそれぞれが到達できる範囲のIPアドレスが重複しないよう、
    ネットワーク設計を確認してください。
  • 複数の環境が存在する場合、全環境でのサブネットが競合しないよう、ネットワーク設計を確認してください。

 (3) K5でサポートする IPSecVPNのポリシー
  以下の、IPSecVPN接続に関する項目と、暗号化関連のIKEポリシーとIPSecポリシーの各項目を決定してください。

  • IPSecVPN接続に関する設定項目
IPSecVPN接続に関する項目
サポートする方式
認証方式事前共有鍵方式
DPD Peer検出時のアクションhold, restart
DPD検出間隔1秒以上
DPD検出タイムアウトDPD検出間隔よりも大きな値
イニシエータモードbi-directional, response-only

  • サポートする暗号化関連設定項目
IKEポリシーの項目
サポートする方式
認可アルゴリズムsha1
暗号化アルゴリズムAES-128, AES-192, AES-256
IKE versionV1
ライフタイム60~86400(units: seconds)
PFSgroup2, 5, 14
鍵交換モードmain
IPSecポリシーの項目
サポートする方式
認可アルゴリズムsha1
カプセルモードtunnel
暗号化アルゴリズムAES-128, AES-192, AES-256
ライフタイム60~86400(units: seconds)
PFSgroup 2, 5, 14
トランスフォームプロトコルesp

 (4) アクセス制御の確認
  対向との間の通信でファイアーウォールでアクセス制御する設定内容や、
  同じく対向との間の通信でセキュリティグループで設定する設定内容を確認してください。



2.K5環境で、同一プロジェクト/同一AZ/異なるサブネット間で 1対1 で IPSecVPN接続

以下の作業フローのとおり、まず事前準備で接続に必要な情報を確認した後、
同一プロジェクト/同一AZ/異なるサブネット間で 1対1 で IPSecVPN接続する手順を記載します。

事前準備
 - ネットワーク機器の用意
  (K5どうしのため省略)
 - 内部IPアドレスの整理
 - IPSecVPNのポリシー確認
 - アクセス制御の確認
 → 
ルータ1、ルータ2作業
 - 各種情報 (ID値) 確認
 - FloatingIP付与
 - VPNService作成
 - IKE policy作成
 - IPSec policy作成
 → 
IPSecVPN接続
 - ファイアーウォールの設定
 - セキュリティグループの設定
 - ルータ1→ルータ2 への IPSecVPN接続
 - ルータ2→ルータ1 への IPSecVPN接続
 - IPSecVPN接続の確認



2-1.事前準備

 (1) 内部IPアドレスの整理
  本サンプルでは、同じ AZ に存在する以下の 2組の構成のネットワークを使用します。

仮想ルータ名
内部
ネットワーク名		サブネットデフォルト
ゲートウェイ		ファイア
ウォール名		仮想サーバ名仮想サーバ
IPアドレス		セキュリティ
グループ名
ルータ1ネットワーク1192.168.1.0/24192.168.1.1FW1VM1192.168.1.26SG1
ルータ2ネットワーク2192.168.5.0/24192.168.5.1FW2VM2192.168.5.4SG2

 (2) IPSecVPNのポリシー確認
  本サンプルでは、IPSecVPN接続に関する設定、IKEポリシーとIPSecポリシーは以下のとおりとします。

IPSecVPN接続に関する項目
設定値
認証方式事前共有鍵方式
DPD Peer検出時のアクションhold
DPD検出間隔60秒
DPD検出タイムアウト240秒
イニシエータモードbi-directional
IKEポリシーの項目
設定値
認可アルゴリズムsha1
暗号化アルゴリズムAES-128
IKE versionV1
ライフタイム7,200秒
PFSgroup 5
鍵交換モードmain
IPSecポリシーの項目
設定値
認可アルゴリズムsha1
カプセルモードtunnel
暗号化アルゴリズムAES-128
ライフタイム7,200秒
PFSgroup 5
トランスフォームプロトコルesp

 (3) アクセス制御の確認
  対向との間の通信でファイアーウォールでアクセス制御する設定内容や、
  同じく対向との間の通信でセキュリティグループで設定する設定内容を確認してください。



2-2.ルータ1、ルータ2 の設定

 以下の (1) ~ (5) の手順を、IPSecVPN接続を行うネットワーク1、ネットワーク2の環境で実施してください。


 (1) 各種情報を確認
  ポータルを使って、以下の ID の値を確認します。
  確認した ID の値は APIで使用します。
  ネットワーク1、ネットワーク2 の環境で API操作をする際に、
  それぞれの環境ごとに以下の各変数に値を設定してください。

IDの取得対象
取得方法ID の値を設定する変数
仮想ルータ「ネットワーク」→「仮想ルータ」と選択した画面で、対象のルータをクリック。
「仮想ルータ概要」の項目にある「仮想ルータID」を確認。		$ROUTER_ID
内部ネットワーク「ネットワーク」→「仮想ネットワーク」と選択した画面で、対象のネットワークをクリック。
「仮想ネットワーク概要」の項目にある「仮想ネットワークID」を確認。		$NETWORK_ID
サブネット「ネットワーク」→「仮想ネットワーク」と選択した画面で、対象のネットワークをクリック。
「サブネット」の項目にある対象のサブネットをクリックし、「サブネットID」を確認。		$SUBNET_ID
ポート「ネットワーク」→「仮想ルータ」と選択した画面で、対象のルータをクリック。
「インターフェース」の項目で、ルータのデフォルトゲートウェイのIPアドレスが表示されている
ポートをクリックし、「ポートID」を確認		$VM_PORT_ID

 (2) 仮想ルータに FloatingIP (グローバルIPアドレス) 付与
    仮想ルータのポートに FloatingIP を付与します。ポータルで設定可能です。

  • 「ネットワーク」⇒「グローバルIP」と選択し、「グローバルIPアドレス一覧」画面を表示します。
    • グローバルIPアドレスを新規に確保して仮想ルータに割り当てる場合には、画面右上の「+」ボタンをクリックします。
      続けて、「グローバルIPプール」として、外部ネットワークを選択します。
      グローバルIP アドレスを付与する仮想ルータが接続している外部ネットワークを選択して、「次へ」をクリックします。
    • すでに確保しているグローバルIPアドレスを割り当てる場合には、グローバルIPアドレスの「アクション」⇒「割当」を選択します。
  • 「グローバルIP割当」画面の「グローバルIPアドレス割当ポート」で、グローバルIP アドレスを付与する仮想ルータを選択します。
    仮想ルータを選択して「次へ」をクリックすると、仮想ルータにグローバルIPアドレスが割り当てられます。
  • 「グローバルIPアドレス一覧」画面で、グローバルIPが仮想ルータに割り当てられていることを確認します。



 (3) VPNService作成

  (a) VPNService作成
    仮想ルータに VPNService を作成します。
    以下のAPIに、設定項目(json)を設定し、実行してください。
    作成された際に表示される ID を、変数に設定してください。

  • 設定項目(json)
項目
設定値
内容
$SUBNET_ID(設定済)サブネットのID
$ROUTER_ID(設定済)仮想ルータのID
$VPN_SERVICE_NAME"ip_vpn_service_1_AZ2"APIを実行している環境にあわせて、
以下のいずれかを設定してください。
"ip_vpn_service_1_AZ2":ネットワーク1 のルータ1 で作成した場合
"ip_vpn_service_2_AZ2":ネットワーク2 のルータ2 で作成した場合
$ADMIN_STATE_UP"true""true" を設定してください
$AZ"jp-east-1b"アベイラビリティゾーン
AZ1:"jp-east-1a"
AZ2:"jp-east-1b"
  • 実行API

curl -s $NETWORK/v2.0/vpn/vpnservices -X POST -H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" -d '{"vpnservice":{"subnet_id": "'$SUBNET_ID'", "router_id": "'$ROUTER_ID'", "name": "'$VPN_SERVICE_NAME'", "admin_state_up": "'$ADMIN_STATE_UP'", "availability_zone": "'$AZ'" }}' | jq .

  • 生成された ID を設定する変数
    それぞれのネットワークでのAPIの実行結果に含まれる ID を、以下の変数に設定してください。
変数
内容
$VPN_SERVICE_ID1ネットワーク1 のルータ1 で作成した VPNService の ID
$VPN_SERVICE_ID2ネットワーク2 のルータ2 で作成した VPNService の ID



  (b) 作成したVPNServiceを確認
    作成された VPNService を確認するには、以下のAPIを実行してください。

  • 実行API

curl -s $NETWORK/v2.0/vpn/vpnservices -X GET -H "X-Auth-Token:$OS_AUTH_TOKEN" -H "Content-Type:application/json" | jq .



 (4) IKE policy 作成
  IKE policy を作成します。
  以下のAPIに、設定項目(json)を設定し、実行してください。
  作成された際に表示される ID を、変数に設定してください。

  • 設定項目(json)
項目
設定値
内容
$AUTH_ALGORITHM"sha1"認可アルゴリズム
$ENCRYPTION_ALGORITHM"aes-128"暗号化アルゴリズム
$IKE_VERSIONv1"IKE version"
$LIFETIME_UNITS"seconds"ライフタイム単位
$LIFETIME_VALUE"7200"ライフタイム秒
$PFS"group5"PFS
$PHASE_NEGOTIATION_MODE"main"鍵交換モード
$IKE_POLICY_NAME"ip_vpn_ikepolicy_1_AZ2"APIを実行している環境にあわせて、
以下のいずれかを設定してください。
"ip_vpn_ikepolicy_1_AZ2":ネットワーク1 で作成した場合
"ip_vpn_ikepolicy_1_AZ2":ネットワーク2 で作成した場合
$AZ"jp-east-1b"アベイラビリティゾーン
AZ1:"jp-east-1a"
AZ2:"jp-east-1b"
  • 実行API

curl -s $NETWORK/v2.0/vpn/ikepolicies -X POST -H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" -d '{ "ikepolicy": { "phase1_negotiation_mode": "'$PHASE_NEGOTIATION_MODE'", "auth_algorithm": "'$AUTH_ALGORITHM'", "encryption_algorithm": "'$ENCRYPTION_ALGORITHM'", "pfs": "'$PFS'", "lifetime": { "units": "'$LIFETIME_UNITS'", "value": '$LIFETIME_VALUE' }, "ike_version": "'$IKE_VERSION'", "name": "'$IKE_POLICY_NAME'", "availability_zone": "'$AZ'" } }' | jq .

  • 生成された ID を設定する変数
    それぞれのネットワークでのAPIの実行結果に含まれる ID を、以下の変数に設定してください。
変数
内容
$IKE_POLICY_ID1ネットワーク1 で作成した IKE policy の ID
$IKE_POLICY_ID2ネットワーク2 で作成した IKE policy の ID



 (5) IPSec policy 作成
  IKE policy を作成します。
  以下のAPIに、設定項目(json)を設定し、実行してください。
  作成された際に表示される ID を、変数に設定してください。

  • 設定項目(json)
項目
設定値
内容
$AUTH_ALGORITHM"sha1"認可アルゴリズム
$ENCAPSULATION_MODE"tunnel"カプセルモード
$ENCRYPTION_ALGORITHM"aes-128"暗号化アルゴリズム
$LIFETIME_UNITS"seconds"ライフタイム単位
$LIFETIME_VALUE"7200"ライフタイム秒
$PFS"group5"PFS
$TRASFORM_PROTOCOL"esp"トランスフォームプロトコル
$IPSEC_POLICY_NAME"ip_vpn_ipsecpolicy_1_AZ2"APIを実行している環境にあわせて、
以下のいずれかを設定してください。
"ip_vpn_ipsecpolicy_1_AZ2":ネットワーク1 で作成した場合
"ip_vpn_ipsecpolicy_2_AZ2":ネットワーク2 で作成した場合
$AZ"jp-east-1b"アベイラビリティゾーン
AZ1:"jp-east-1a"
AZ2:"jp-east-1b"
  • 実行API

curl -s $NETWORK/v2.0/vpn/ipsecpolicies -X POST -H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" -d '{ "ipsecpolicy": { "name": "'$IPSEC_POLICY_NAME'", "transform_protocol": "'$TRASFORM_PROTOCOL'", "auth_algorithm": "'$AUTH_ALGORITHM'", "encapsulation_mode": "'$ENCAPSULATION_MODE'", "encryption_algorithm": "'$ENCRYPTION_ALGORITHM'", "pfs": "'$PFS'", "lifetime": { "units": "'$LIFETIME_UNITS'", "value": '$LIFETIME_VALUE' }, "availability_zone": "'$AZ'" } }' | jq .

  • 生成された ID を設定する変数
    それぞれのネットワークでのAPIの実行結果に含まれる ID を、以下の変数に設定してください。
変数
内容
$IPSEC_POLICY_ID1ネットワーク1 で作成した IPSec policy の ID
$IPSEC_POLICY_ID2ネットワーク2 で作成した IPSec policy の ID



2-3.IPSecVPN 接続

 (1) ファイアーウォールの設定
  ネットワーク1 とネットワーク2 の仮想ルータで、それぞれ対向のルータの FloatingIP を許可する設定を追加してください。

ファイアーウォール
内容
FW1ネットワーク2 の仮想ルータに設定した FloatingIP との双方向の通信を許可
FW2ネットワーク1 の仮想ルータに設定した FloatingIP との双方向の通信を許可

※ファイアーウォールの設定手順は、セキュリティグループ/ファイアーウォール併用パターン を参照してください。


 (2) セキュリティグループの設定
  ネットワーク1 とネットワーク2 のセキュリティグループも、それぞれ対向のサブネットを許可する設定を追加してください。

セキュリティグループ
内容
SG1サブネット2 (192.168.5.0/24) との双方向の通信を許可
SG2サブネット1 (192.168.1.0/24) との双方向の通信を許可

※セキュリティグループの設定手順は、セキュリティグループ活用パターン を参照してください。


 (3) ルータ1 から ルータ2 への IPSecVPN接続

  (a) IPSecVPN接続の実施
    ネットワーク1 のルータ1 から ネットワーク2 のルータ2 へ IPSecVPN接続します。
    以下のAPIに、設定項目(json)を設定し、実行してください。
    作成された際に表示される ID を、変数に設定してください。

  • 設定項目(json)
項目
設定値
内容
$PSK"secret"認証鍵
$INITIATOR"bi-directional"イニシエータモード
$IPSEC_POLICY_ID$IPSEC_POLICY_ID1ネットワーク1 の IPSec ポリシー の ID
$ADMIN_STATE_UP"true""true" を設定してください
$PEER_CIDRS"192.168.5.0/24"対向のルータのローカルIP (CIDR形式)
$MTU"1500"MTU値
$IKE_POLICY_ID$IKE_POLICY_ID1ネットワーク1 の IKE ポリシー の ID
$DPD_ACTION"hold"DPD Peer検出時のアクション:"hold" または "restart" を指定
$DPD_INTERVAL"60"DPD検出間隔
$DPD_TIMEOUT"240"DPD検出タイムアウト
$VPN_SERVICE_ID$VPN_SERVICE_ID1ネットワーク1 の VPNService の ID
$PEER_ADDRESS"xxx.xxx.xxx.xxx"対向ルータ(ルータ2)の FloatingIP
$PEER_ID"xxx.xxx.xxx.xxx"対向ルータ(ルータ2)の FloatingIP
$IPSEC_SITE_NAME"ip_vpn_ipsec_site_1_AZ2"
$AZ"jp-east-1b"アベイラビリティゾーン
AZ1:"jp-east-1a"
AZ2:"jp-east-1b"
  • 実行API

curl -s $NETWORK/v2.0/vpn/ipsec-site-connections -X POST -H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" -d '{"ipsec_site_connection": {"psk": "'$PSK'", "initiator": "'$INITIATOR'", "ipsecpolicy_id": "'$IPSEC_POLICY_ID'", "admin_state_up": '$ADMIN_STATE_UP', "peer_cidrs": ["'$PEER_CIDRS'"], "mtu": "'$MTU'", "ikepolicy_id": "'$IKE_POLICY_ID'", "dpd": {"action": "'$DPD_ACTION'", "interval": '$DPD_INTERVAL', "timeout": '$DPD_TIMEOUT'}, "vpnservice_id": "'$VPN_SERVICE_ID'", "peer_address": "'$PEER_ADDRESS'", "peer_id": "'$PEER_ID'", "name": "'$IPSEC_SITE_NAME'", "availability_zone": "'$AZ'"}}' | jq .



  (b) IPSecVPN接続設定の確認
    IPSecVPN接続の設定を確認するには、以下のAPIを実行してください。

  • 実行API:VPNサービスの一覧

curl -s $NETWORK/v2.0/vpn/vpnservices -X GET -H "X-Auth-Token:$OS_AUTH_TOKEN" -H "Content-Type:application/json" | jq .


  • 実行API:VPN接続の一覧確認

curl -s $NETWORK/v2.0/vpn/ipsec-site-connections -X GET -H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" | jq .



 (4) ルータ2 から ルータ1 への IPSecVPN接続

  (a) IPSecVPN接続の実施
    ネットワーク2 のルータ2 から ネットワーク1 のルータ1 へ IPSecVPN接続します。
    以下のAPIに、設定項目(json)を設定し、実行してください。
    作成された際に表示される ID を、変数に設定してください。

  • 設定項目(json)
項目
設定値
内容
$PSK"secret"認証鍵
$INITIATOR"bi-directional"イニシエータモード
$IPSEC_POLICY_ID$IPSEC_POLICY_ID2ネットワーク2 の IPSec ポリシー の ID
$ADMIN_STATE_UP"true""true" を設定してください
$PEER_CIDRS"192.168.1.0/24"対向のルータのローカルIP (CIDR形式)
$MTU"1500"MTU値
$IKE_POLICY_ID$IKE_POLICY_ID2ネットワーク2 の IKE ポリシー の ID
$DPD_ACTION"hold"DPD Peer検出時のアクション:"hold" または "restart" を指定
$DPD_INTERVAL"60"DPD検出間隔
$DPD_TIMEOUT"240"DPD検出タイムアウト
$VPN_SERVICE_ID$VPN_SERVICE_ID2ネットワーク2 の VPNService の ID
$PEER_ADDRESS"xxx.xxx.xxx.xxx"対向ルータ(ルータ1)の FloatingIP
$PEER_ID"xxx.xxx.xxx.xxx"対向ルータ(ルータ1)の FloatingIP
$IPSEC_SITE_NAME"ip_vpn_ipsec_site_1_AZ2"
$AZ"jp-east-1b"アベイラビリティゾーン
AZ1:"jp-east-1a"
AZ2:"jp-east-1b"
  • 実行API

curl -s $NETWORK/v2.0/vpn/ipsec-site-connections -X POST -H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" -d '{"ipsec_site_connection": {"psk": "'$PSK'", "initiator": "'$INITIATOR'", "ipsecpolicy_id": "'$IPSEC_POLICY_ID'", "admin_state_up": '$ADMIN_STATE_UP', "peer_cidrs": ["'$PEER_CIDRS'"], "mtu": "'$MTU'", "ikepolicy_id": "'$IKE_POLICY_ID'", "dpd": {"action": "'$DPD_ACTION'", "interval": '$DPD_INTERVAL', "timeout": '$DPD_TIMEOUT'}, "vpnservice_id": "'$VPN_SERVICE_ID'", "peer_address": "'$PEER_ADDRESS'", "peer_id": "'$PEER_ID'", "name": "'$IPSEC_SITE_NAME'", "availability_zone": "'$AZ'"}}' | jq .



  (b) IPSecVPN接続設定の確認
    IPSecVPN接続の設定を確認するには、以下のAPIを実行してください。

  • 実行API:VPNサービスの一覧

curl -s $NETWORK/v2.0/vpn/vpnservices -X GET -H "X-Auth-Token:$OS_AUTH_TOKEN" -H "Content-Type:application/json" | jq .


  • 実行API:VPN接続の一覧確認

curl -s $NETWORK/v2.0/vpn/ipsec-site-connections -X GET -H "X-Auth-Token: $OS_AUTH_TOKEN" -H "Content-Type: application/json" | jq .



 (5) IPSecVPN接続の確認
  仮想サーバ VM1 から 仮想サーバ VM2 へ ping や ssh接続を試行する等で、IPSecVPN接続を確認してください。



メリット・効果

IPSecVPN接続パターンを利用した場合のメリット・効果は以下の通りです。

  • ハウジング接続やFENICS接続など個別の回線を敷設することなく、オンプレミスやS5等との接続が可能
  • ハウジング接続など個別の回線を敷設することなく、K5のリージョン間/ドメイン間の接続が可能



注意事項

  • IPSecVPN用ルータをハブとした、対向となる拠点同士の通信はできません。
  • モバイル端末等からVPNのアプリケーションを利用したリモートアクセス方式による
    IPSecVPN接続(リモート端末からのL2TP/IPSecVPNによる利用)は対応しておりません。
  • IPSecVPNの接続元、接続先、およびそれぞれが到達できる範囲のIPアドレスが重複しないよう、
    ネットワーク設計を確認してください。
  • IPSecVPNはグローバルIPアドレス間でのみ接続できます。
  • 仮想ルータに直接接続される1つのサブネットと、対向ゲートウェイに接続される1つのサブネット間のみ、
    VPN通信が可能です。
  • IPSecVPNで接続できる拠点数は、最大で20拠点です。(制限事項・注意事項2-60)



その他

1.IPSecVPN のその他の利用シーンについて

 (1) 利用シーン:複数のK5環境⇔K5環境
  以下のように、複数のK5環境と IPSecVPN通信が可能です。
  K5の仮想ルータに対して、対向を20拠点まで設定することができます。

  下図は、別リージョン間での接続イメージです。

※K5間での接続の場合は、以下のような形態が可能です。

K5での接続形態備考
別リージョン間で接続
東日本リージョンと、西日本リージョンを接続する際の形態です。
別ドメイン間で接続契約単位のドメインが異なる環境で接続する際の形態です。
別プロジェクト間での接続同一ドメインでプロジェクトが異なる環境で接続する際の形態です。
別AZ間で接続同一リージョン、同一プロジェクトで、AZ間を接続する際の形態です。
同一リージョン、同一プロジェクトでAZ間を接続する場合は、通常はネットワークコネクタで接続しますが、
接続する際に環境間でのアクセス制御を仮想ルータにまとめて行いたい場合などは
IPSecVPNでも接続できます。



 (2) 利用シーン:複数の顧客環境⇔K5環境
  複数のK5環境の接続と同様に、複数の顧客環境の拠点とK5環境との間で IPSecVPN通信が可能です。
  K5の仮想ルータに対して、対向を20拠点まで設定することができます。



 (3) 利用NGシーン:IPSecVPNトンネルに接続されていないセグメントとの通信
  K5環境のIPSecVPNでは、直接IPSecVPNトンネルに接続されていないセグメントとは通信できません。



 (4) 利用NGシーン:K5環境のIPSecVPNでハブ&スポーク機能を使った顧客環境間の通信
  K5環境のIPSecVPNでは、ハブ&スポーク機能を使った顧客環境間の通信は利用できません。
  顧客環境間の通信を行う場合は、顧客環境のIPSecVPN機能をもったルータ同士で接続設定を行ってください。



 (5) 利用NGシーン:リモート端末からのL2TP/IPSecVPNによる利用
  モバイル端末等からVPNのアプリケーションを利用したリモートアクセス方式によるIPSecVPN接続(リモート端末からの
  L2TP/IPSecVPNによる利用)は対応しておりません。



2.K5とのIPsecVPN接続で実績のある機器について

  K5とのIPsecVPN接続で実績のある機器は以下のとおりです。

装置名ファームVL備考
Cisco ASA 5505Software Version 9.0(1)
[DPD検出間隔]の設定可能最大値が
10秒なので本機器のみ10秒で確認
他機器は60秒で確認
Juniper Networks SSG5Software Version: 6.1.0r7.0
FUJITSU Network Si-R G100Firm Ver. : V02.10 NY0071
FUJITSU IPCOM EX2000A INE20L31 NF0301
  • 上記は、接続を保証するものではありません。
  • 必ず、事例情報の確認、個別での事前検証をお願いします。



関連資料

  • FUJITSU Cloud Service K5 マニュアル
    http://jp.fujitsu.com/solutions/cloud/k5/document/
    • サービスご紹介資料
    • IaaS 機能説明書
    • IaaS サービスポータルユーザーズガイド
    • IaaS APIユーザーズガイド
    • IaaS APIリファレンスマニュアル
    • IaaS HEATテンプレート解説書

(2017年5月検証)