FCIとAWSの接続(Transit Gateway経由)
このガイドでは、UnifyポータルでAWSとOPSプラットフォーム間のVPNaaSを接続する方法を説明します。
- I. FCI CloudでのVPN Site-to-Site設定
- II. AWSでのVPN Site-to-Site設定
- III. 新しいAWS VPN IPでFCI CloudのVPN Site-to-Site設定を更新
この例では、以下のトポロジーのパラメーターを使用してVPN Site-to-Site接続を作成します。
FCI CloudでのVPN Site-to-Site設定
ステップ1. Customer Gatewaysを作成します。
1.1 以下の手順でCustomer Gatewayを作成します。
1.2 以下の情報を入力します。
1.3 結果:
注意: AWS VPNをまだ作成していないため、ここではダミーIPを使用します。このガイドの最後でセクション1.1のIPを更新します。
ステップ2. VPN connectionを作成します。 VPN Connectionのパラメーターは3つの主要セクションで構成されます。
- General information(接続の基本情報)
- Remote VPN Information(暗号化設定およびお客様側情報)
- Dead Peer Detection(接続問題発生時の自動リトライ回数)
セクション1: General information
セクション2: Remote VPN information 
Providers「AWS」を選択すると、IKEおよびIPSecの設定が自動入力されます。
IKEの設定:
- Encryption algorithm: aes-256
- Authorization algorithm: sha256
- IKE version: ikev2
- Lifetime units: seconds
- Lifetime value: 28800
- DH Group: GROUP_14
- Phase 1 negotiation mode: main
IPSecの設定:
- Encapsulation mode: tunnel
- Encryption algorithm: aes-256
- Authorization algorithm: sha256
- Lifetime units: seconds
- Lifetime value: 3600
- Perfect forward secrecy (PFS): GROUP_14
- Transform protocol: esp
セクション3: Remote VPN information 
DelayとMax failureの値を入力し、Create VPN Connection を選択します。
HAN VPNの初期化が完了すると、2つのLANネットワーク範囲を接続するVPN ConnectionがONLINEになり、VMはLAN IPで相互通信できるようになります。
AWSでのVPN Site-to-Site設定
ステップ1. Customer Gateway を作成します。 Customer Gateway は、オンプレミスネットワークの ゲートウェイ デバイスを表すAWSのリソースです。 Customer Gatewayを作成するには:
- https://console.aws.amazon.com/vpc/ にアクセスします。
- Customer gateways > Create customer gateway を選択します。
必須フィールドを入力します。IPアドレスにはFCI VPN GatewayのLocal IP publicを使用します。
- Create Customer gateway を選択します。
作成された Customer gateway の詳細:
ステップ2. Transit Gatewayを作成します。 Transit Gatewayを作成するには:
- ナビゲーションペインで Transit gateway > Create transit gateway を選択します。
- 作成後の結果。
- 作成した Transit Gateway を VPC にアタッチします。
ステップ3. VPN connectionを作成します。
3.1 上記で作成した Customer Gateway(セクションI.4.3) と Transit Gateway を使用して VPN connection を作成します。 VPN connectionを作成するには:
- ナビゲーションペインで Site-to-Site VPN connections を選択します。
- Create VPN connection を選択します。
- Target gateway type を Transit Gateway に設定します。
- 作成した Transit Gateway とCustomer Gatewayを選択します。
- Routing optionに Static を選択し、static IP prefixesにFCI側のサブネット範囲(172.16.8.0/24)を入力します。
- Local IPv4 network: FCI側のサブネット範囲を入力します。
- Remote IPv4 network: AWS側のサブネット範囲を入力します。
- tunnel1 と tunnel2 のパラメーターを編集します。
- Create VPN connection を選択します。
3.2 Transit Gateway を VPN connection にアタッチします。
結果: 
ステップ4. ルーティングを設定します。
Transit Gateway を経由して、VPC(AWS)からCustomer Gateway(FCI)へトラフィックを誘導するルーティングを設定します。
VPN connectionのルートをルートテーブルに追加します(FCIのサブネット: 172.16.8.0/16)。
ステップ5. Security groupsを更新します。 SSH、RDP、ICMP アクセスを許可するよう Security groups を更新します。 Security group にルールを追加するには:
- ナビゲーションペインで Security groups を選択します。
- アクセスを許可したいVPC内のインスタンスのSecurity groupを選択します。
- Inbound rules タブで Edit inbound rules を選択します。FCI側のサブネット範囲をAll Trafficで許可します。
- インバウンドのSSH、RDP、ICMPを許可するルールを追加し、Save rules を選択します。
VPN Connectionが正常に初期化され、ステータスが 'Available' になります。次に、Route table のルーティングが正しく設定されているか確認します。
ステップ6. 設定ファイルをダウンロードします。 VPN connectionを作成したら、FCI VPCの設定に使用する 設定ファイル をダウンロードできます。 設定ファイルをダウンロードするには:
- VPN connectionのページにアクセスします。
- 作成したConnectionを選択し、Download configuration を選択します。
- Vendor: pfSense、IKE version: IKEv1(またはIKEv2) を選択し、Download をクリックします。
この設定ファイルを使用してFCI側のVPN Site-to-Siteを作成します。
新しいAWS VPN IPでFCI CloudのVPN Site-to-Site設定を更新
- Tunnel 1のIPを使用してFCI側の設定を更新します。
- 作成した新しいAWSのIPでCustomer Gatewayを編集します。
Remote IP publicフィールドにAWS TunnelのIPを入力します。
- これでAWSとFCI Cloud間のVPN Site-to-Site設定が完了しました。
- 接続が成功すると、FCI Cloud側のVPN connectionの Operation status が Online になり、AWS側のtunnel 1が UP と表示されます。
- AWS側の接続ステータス確認: VPN connections に移動し、VPN connection を選択して Tunnel details を確認します。接続が成功していれば、トンネルの status が UP になります。
- 結果の確認:
VPN Site-to-Siteで設定したネットワーク範囲内で各VPCのVMを起動し、両側からpingを実行して確認します。
FCIからAWSへのping結果
AWSからFCI Cloudへのping結果