Anypoint 仮想プライベートネットワーク
Anypoint VPN (仮想プライベートネットワーク) は、非公開スペースとオンプレミスネットワークの間に安全な接続を作成します。 Anypoint VPN を使用すると、非公開スペースで実行されているアプリケーションが企業ファイアウォールの背後にあるオンプレミスデータセンターのリソースにアクセスできます。
必要であれば、サイト間で複数の VPN を作成できます。
| 作成できる VPN の数は、アカウントで利用できるネットワーク接続エンタイトルメントの数によって異なります。 自分のアカウントに割り当てられているネットワーク接続エンタイトルメントの数が不明な場合は、MuleSoft アカウント担当者までお問い合わせください。 |
Anypoint VPN では、非公開スペースと VPN エンドポイント、ゲートウェイデバイス、ネットワーク内にある物理的なアプライアンスまたはソフトウェアアプライアンスとの間のサイト間でのインターネットプロトコルセキュリティ (IPsec) 接続がサポートされています。
接続の MuleSoft 側は、仮想プライベートゲートウェイ (VGW) の実装となります。 MuleSoft VGW は単一の非公開スペースに関連付けられますが、最大 10 件の VPN 接続をサポートできます。
| MuleSoft 実装の機能は、他の VGW 製品とは異なる場合があります。 |
ネットワークとの Anypoint VPN 接続を作成するには、「外部ネットワークへの接続を作成する」を参照してください。
Anypoint VPN の機能
各 Anypoint VPN 接続にはトンネルが 2 つあり、リモートロケーションにある 1 件のパブリック IP アドレスに接続できます。 リモートロケーションで接続するパブリック IP アドレスを 1 件増やすには、2 件の VPN 接続を作成する必要があります。
ルーチンメンテナンスによって VPN 接続の 2 つのトンネルの片方が短時間だけ無効になることがあります。 このときは VPN 接続が他方のトンネルに自動的にフェールオーバーするため、アクセスは中断されません。 このため、エンドポイントで両方のトンネルを設定する必要があります。 トンネルの選択は、VPN エンドポイントの容量とルーティング種別の選択によって決まります。
MuleSoft VGW 実装では、最大 1.25 Gbps のスループットをサポートします。同じ非公開スペースに対する複数の VPN 接続では、1 つの VGW のスループット容量が共有されます。 VPN 接続スループットは、VPN エンドポイントの容量、接続容量、平均パケットサイズ、プロトコル、ゲートウェイ間のネットワークレイテンシーなどの要因に左右されます。
Anypoint VPN は高可用性もサポートしており、各 Anypoint VPN 接続は 2 つのエンドポイントで構成されているため、接続障害の可能性が軽減されます。
IPsec 設定
Anypoint VPN では、以下の IPsec 設定の任意の組み合わせがサポートされています。
-
IKE バージョン 1
-
IKE バージョン 2 はルートベース VPN のみ
-
CBC と GCM の AES 128 または 256 ビット暗号化
-
SHA または SHA-2 (256、384、512) ハッシュ
-
Diffie-Hellman フェーズ 1 グループ 2、14 ~ 24
-
Diffie-Hellman フェーズ 2 グループ 2、5、14、24
-
IKEv1 のタイムアウト:
-
IKE (フェーズ 1) 有効期間: 28800 秒 (8 時間)
-
IPsec (フェーズ 2) 有効期間: 3600 秒 (1 時間)
-
-
IKEv2 のタイムアウト:
-
IKE (フェーズ 1) 有効期間: 28000 秒 (7 時間 50 分)
-
IPsec (フェーズ 2) 有効期間: 3000 秒 (50 分)
-
Anypoint VPN ルーティング
Anypoint VPN では、VPN 接続で動的ルーティングと静的ルーティングがサポートされています。
- 動的ルーティング
-
ユーザーのデバイスがボーダーゲートウェイプロトコル (BGP) を使用して Anypoint VPN へのルートを動的にアドバタイズします。
デバイスがこのプロトコルをサポートする場合は、BGP ルーティングを使用してください。
- 静的ルーティング
-
Anypoint VPN を介したアクセスを可能にするネットワークのルート (サブネット) を指定する必要があります。
静的 VPN 接続のルートを削除できます。
Anypoint VPN ルーティングの制限事項
-
VPN 接続の数には関係なく、非公開スペースごとに最大 95 件のルートテーブルエントリが許可されます。
この制限を超えないように、ネットワークを統合して接続数を可能な限り少なく抑えてください。
-
優先ルート (非公開ネットワークで使用されるルート) に一致するルートは追加できません。
-
一度に 1 つの接続のみがルートを使用できます。
非ローカル/インターネットゲートウェイ (IGW) ルートをルートテーブルに入力すると、CloudHub 2.0 によって別の接続がそのルートを使用していることが警告されます。
-
ルートは既存のルートと重複することはできません。
ルートテーブル内の別のルートと重複するルートを入力すると、警告が表示されます。
Anypoint VPN の制限事項
Anypoint VPN では、以下の機能と設定はサポートされていません。
-
ネットワークアドレス変換 (NAT)
-
IPv6
-
ポリシーベース VPN を使用した IKEv2
-
BGP または静的ルーティングでのデフォルトルート (0.0.0.0/0) のアドバタイズ
静的 VPN 接続の要件
静的 VPN 接続を作成するには、ユーザーの VPN エンドポイントで以下が可能である必要があります。
-
事前共有キー (PSK) を使用して IKE セキュリティアソシエーションを確立する
-
トンネルモードで IPsec セキュリティアソシエーションを確立する
-
MuleSoft がサポートする IPsec 設定の任意の組み合わせを使用する
-
暗号化前に IP パケットを分割する
送信するのに大きすぎるパケットは分割する必要があります。VPN デバイスは、パケットをカプセル化する前に分割できる必要があります。
-
トンネルごとの 1 つのセキュリティアソシエーション (SA) ペアの使用
Anypoint VPN では、トンネルごとに一意の 1 組の SA ペアがサポートされます (ペアとは、インバウンドとアウトバウンド接続のペアを意味します)。一部のポリシーベースのデバイスは、各 ACL (アクセスコントロールリスト) エントリに対して SA を作成します。この場合は、ルールを統合してから、不要なトラフィックを除去する必要があります。
-
IPsec デッドピア検出 (DPD) の使用
DPD により、デバイスはネットワーク条件の変化をすばやく特定できます。MuleSoft エンドポイントでの DPD は
DPD Interval: 10 と DPD Retries: 3 で有効化できます。 -
非対称ルーティングの許可
非対称ルーティングとは、ルーティングポリシーによってネットワークから非公開スペースに送信されるトラフィックと非公開スペースから返されるトラフィックが別々のトンネルを通るルーティング方式です。MuleSoft VPN エンドポイントは、内部アルゴリズムを使用してトンネルを選択するため、戻りパスは動的に決定されます。デバイスでアクティブ/アクティブトンネル設定を使用している場合は、各 Anypoint VPN 接続で非対称ルーティングを許可する必要があります。
-
IPsec の場合、上記のフェーズ 2 Diffie-Hellman グループを使用した Perfect Forward Secrecy (PFS) の有効化
動的 VPN 接続の要件
動的 VPN 接続を作成するには、静的 VPN 接続の要件に加えて、VPN エンドポイントで以下がサポートされている必要があります。
-
BGP ピアリングの確立
-
ルートベースの VPN の使用 (トンネルを論理インターフェースにバインドする)
-
IPsec の場合、上記のフェーズ 2 Diffie-Hellman グループを使用した Perfect Forward Secrecy (PFS) の有効化
Anypoint VPN の推奨事項
-
VPN トンネルに入る TCP パケットの最大セグメントサイズを調整してください。
VPN ヘッダーには追加スペースが必要であり、データで利用できるスペース量が少なくなります。
この影響を抑えるには、エンドポイントを TCP MSS 調整: 1387 バイトで設定します。
-
パケットで
DF フラグをリセットしてください。パケットに Don’t Fragment (
DF) フラグが付いていると、パケットの分割が禁止されます。 一部の VPN デバイスでは、DF フラグを変更して、必要であればパケットを無条件に分割できます。 利用できる場合は、Clear Don’t Fragment (DF) Bit 設定を有効にしてください。
VPN 高可用性
アプリケーションと関連する操作が Anypoint VPN の更新、問題、または個別のカスタマーゲートウェイのエラーの影響を受けないようにするには、高可用性 VPN 接続を実装します。冗長 VPN 接続をセットアップして、別の VPN または接続デバイスが使用できない場合に接続が失われるのを防ぎ、メンテナンスダウンタイムを可能にします。
冗長 VPN は、最初の VPN 設定からいくつかの設定を自動的に継承します。 たとえば、最初の VPN のルーティング種別が動的 (BGP) の場合、冗長 VPN も動的になります。
動的ルーティング用のリモート ASN など、冗長 VPN のその他の設定には最初の VPN の値が含まれていますが、その値を変更できます。
冗長 VPN 接続を設定するには、以下が必要です。
-
異なる公開 IP アドレスを使用する 2 つの VPN エンドポイントをネットワークで使用できるようにする。
各ゲートウェイデバイスが 1 つの VPN をサポートする。
-
非公開スペースに 2 つの VPN 接続を作成する。
Anypoint VPN を使用した高可用性の設定
次の例は、1 つの Anypoint VPC と 2 つの VPN 接続を使用した高可用性 VPN トポロジーを示しています。
MuleSoft 仮想プライベートゲートウェイ (VGW) でサポートしている Anypoint VPC 関連付けは 1 つですが、最大 10 個の VPN 接続をサポートしています。 VPN ゲートウェイは同じデータセンター内で見つけることも、異なる物理的な場所で見つけることもできます。
BGP ルーティングを使用して、VPN-1 と VPN-2 経由の同じルートをアドバタイズします。ルーティングプロトコルを使用したパス選択の制御手順については、 「Anypoint VPN Path Selection using BGP Routing (BGP ルーティングを使用した Anypoint VPN パスの選択)」を参照してください。
このシナリオでは、VPN ゲートウェイは VPN-1 Tunnel-1、VPN-1 Tunnel-2、VPN-2 Tunnel-1、VPN-2 Tunnel-2 の順に優先するように設定されています。 この設定により、VPN の接続で問題が発生した場合に別のトンネル、および別の VPN への自動フェールオーバーが実現されます。これによって Anypoint VPN ソリューションの弾力性と堅牢性が高まります。
高可用性 VPN 接続では、VPN-1 でエラーが発生した場合に備えて冗長性のあるスタンバイ接続として機能するように VPN-2 を確立する静的ルーティングもサポートしています。
VPN フェールオーバーのしくみ
冗長 VPN へのフェールオーバーは、ルーティング種別によって異なります。
-
Dynamic (BGP) (動的 (BGP))
-
Static (静的)
動的または BGP VPN のフェールオーバーは自動です。静的 VPN フェールオーバーの場合、ルートを変更して、他の使用可能な VPN に手動でフェールオーバーする必要があります。
VPN とトンネルの状況
作成した新しい VPN 接続は、非公開スペースの [Connections (接続)] セクションに表示されます。 インフラストラクチャの作成中は、両方の VPN トンネルには DOWN と最初に表示されます。
設定によっては、正常な動作中にもトンネルに DOWN と表示される場合があります。
| 状況 | トンネル 1/2 | 説明 |
|---|---|---|
|
|
VPN 接続が作成されたばかりで、アクションはバックグラウンドで待機中です。 VPN を作成してから 10 ~ 15 分は、この状況が表示されることがあります。 |
|
|
VPN 接続が作成されていますが、リモート側が設定されていないか、またはトラフィックを送信していません。 |
|
|
VPN 接続が作成され、リモート側が接続を正常に確立しました。 トンネルは、ルーティング設定と VPN デバイス種別により、アクティブ/アクティブモードまたはアクティブ/パッシブモードで動作します。 |
|
|
VPN 接続が作成されませんでした。 VPN を削除してやり直してください。この障害が再発する場合は、MuleSoft サポートにお問い合わせください。 |