Anypoint VPN のメンテナンス

Anypoint VPN の更新

MuleSoft Anypoint VPN は、AWS サイト間 VPN 接続に裏打ちされた管理されたサービスです。VPN の使用は、オンプレミスまたは外部プラットフォームへの接続が必要なインテグレーションやフローにとって重要です。更新する Anypoint VPN が BGP ルーティングを使用するトンネルのペアがまったくない状態でセットアップされていると、更新時にダウンタイムが発生します。詳細は、​「Anypoint VPN 高可用性」​を参照してください。

2022 年 10 月の四半期メンテナンス期間以降は、Anypoint VPN では四半期ごとの顧客による自己アップグレードはサポートされません。この時点以降、Anypoint VPN に更新を行う場合、AWS の標準的な継続的アップグレードプロセスに従って行われます。アップグレードはオンデマンドで適用され、メンテナンス期間のスケジュールはパブリッシュされず、顧客によるオプトインの自己アップグレード機能は提供されませんが、​高可用性 (HA) VPN 実装がない顧客の場合は (限定的な) ダウンタイムが発生する可能性があります​。

高可用性 VPN​ソリューションをデプロイして、AWS で配信されるセキュリティ更新に関連付けられたダウンタイムを回避してください。推奨事項とトラブルシューティングの情報については、下のセクションを参照してください。

オンデマンドメンテナンス中のダウンタイムの回避または短縮

Anypoint VPN 接続を使用する Mule アプリケーションは、オンデマンドメンテナンス中に影響を受けます。Anypoint VPN に対する影響は VPN 設定によって異なります。

  • トリガー時にトンネルをリセットするための BGP ルーティングと DPD (デッドピア検出) で設定されているトンネルのペアが 1 つ以上ある Anypoint VPN では、ダウンタイムが最小限に抑えられます。切り替えに要する時間は数秒です。DPD と VPN の説明は、 「DPD (Dead Peer Detection) and Anypoint VPN (Virtual Private Networking) (DPD (デッドピア検出) と Anypoint VPN (仮想プライベートネットワーキング))^」​を参照してください。

  • 静的ルーティングで設定されている Anypoint VPN トンネルペアでは、再接続前に多少のダウンタイムが発生します。失敗したトンネルを検出する自動フェールオーバーメカニズムがない場合、再接続に要する時間が長くなります。

  • BGP ルーティングまたはフェールオーバーメカニズムなしで設定されているか、1 つのトンネルしか設定されていない Anypoint VPN では、更新が行われ、元のトンネルが復旧するまでの停止時間が最大 60 分となります。

Anypoint VPN のオンデマンドメンテナンス中の問題のトラブルシューティング

オンデマンドメンテナンス中に、次のような問題が発生する可能性があります。

トンネルが表示されない

いずれかの時点で 10 ~ 15 分以内にトンネルが再び表示されない場合は、再び表示されるようにトンネルを再起動してみてください。

VPN が静的ルーティングで設定されている場合は、VPN が表示されるように Anypoint VPN に対する「興味深いトラフィック」(Anypoint VPN 接続で暗号化する必要があるトラフィック) を生成してみてください。詳細は、 「How to Generate Interesting Traffic for Anypoint VPN (Anypoint VPN の興味深いトラフィックの生成方法)^」​を参照してください。

非アクティブが原因でトンネルがダウンする

VPN トンネルを経由するトラフィックがない場合、非アクティブが原因でダウンします。この場合、興味深いトラフィックを生成してください。BGP に移行することをお勧めします。

IKE フェーズの有効期間が一致しない

IKEv2 を使用している場合:

オンデマンドメンテナンス後に信頼性の高いトンネル操作を維持するには、IKEv2 フェーズ 1 とフェーズ 2 の有効期間が​「IPsec の設定」​で説明されているように設定されていることを確認してください。

  • IKE フェーズ 1 の有効期間: 28000 秒

  • IKE フェーズ 2 の有効期間: 3000 秒

AWS ドキュメントでは、IKE フェーズ 1 の有効期間は 28800 秒、IKE フェーズ 2 の有効期間は 3600 秒と記されています。MuleSoft では、ファイアウォールデバイスが最初にタイムアウトになり、鍵再設定プロセスが制御されるように、28000/3000 の組み合わせを推奨しています。

IKEv1 を使用している場合:

IKEv1 を使用している場合は、デフォルトの組み合わせ (フェーズ 1 の有効期間には 28800 秒、フェーズ 2 の有効期間には 3600 秒) を使用してください。

IPsec フェーズ 2 で PFS が有効になっていないことが原因で Anypoint VPN が定期的にダウンする

Azure VPN を使用している場合は、PFS が有効になっていることを確認して、フェーズ 2 の有効期間を調整してください。詳細は、以下を参照してください。

更新後に BGP ルーティングがある Anypoint VPN が非同期モードになる

同じ VPN の 2 つのトンネルの AS パスが異なる場合、オンデマンドメンテナンス後に Anypoint VPN は非同期モードになります。詳細は、 「Anypoint VPN with BGP Routing Enters Asymmetric Mode after Upgrade (アップグレード後に BGP ルーティングがある Anypoint VPN が非同期モードになる)^」​を参照してください。

VPN ログに IPsec DPD エラーが表示される

DPD 設定が正しく定義されていることを確認してください。詳細は、 「VPN ログに IPsec DPD エラーが表示される」​を参照してください。

その他の問題

Anypoint VPN の他の問題については、​「Anypoint VPN のトラブルシューティング」​を参照してください。