FJcloud実践
拠点間VPNゲートウェイを利用してFJcloud-VとOracle Alloyを接続する
「FJcloud-V」ではお客様の環境や他クラウドにセキュアに接続可能な拠点間VPNゲートウェイというインターネットVPNサービスを提供しています。
また、「Fujitsu クラウドサービス powered by Oracle Alloy」(以降Oracle Alloyと記載)でも同様なサービスとしてサイト間VPNを提供しています。
これらのサービスを活用することで比較的容易にマルチクラウドの環境を構築することができます。
本記事では「FJcloud-V」と「Oracle Alloy」を接続する流れを検証します。
前提条件
本記事は、以下の前提知識がある方を想定しています。
- FJcloud-Vの基本的なコントロールパネルの操作、サービスを利用する知識
- Oracle Alloyの基本的なコンソールの操作、サービスを利用する知識
各コントロールパネルの操作方法については省略しています。
操作方法を知りたい場合は以下のリンク先をご確認ください。
- クラウド操作方法ガイド(ネットワーク:ネットワーク) (FJcloud-V)
- サイト間VPN (Oracle Alloy)
検証概要
上図のようにプライベートLAN(Oracle Alloy側はVCN)を用意してIPsecで双方のネットワークを接続します。
各環境にサーバーを1台ずつ作成し、接続確認を行います。
事前準備
それぞれの環境でIPsec接続を行うネットワークを用意します。
※設定項目は主なものを記載。デフォルトのままの項目は省略しています。
プライベートLANの作成 (FJcloud-V)
以下の設定でプライベートLANを作成します。
| 設定項目 | 設定値 |
|---|---|
| プライベートLAN名 | PrivateLAN01 |
| ゾーン | west-21 |
| CIDR | 10.0.1.0/24 |
仮想クラウド・ネットワーク(VCN)の作成 (Oracle Alloy)
以下の設定でVCNを作成します。
| 設定項目 | 設定値 |
|---|---|
| 名前 | testVCN |
| IPv4 CIDRブロック | 10.70.0.0/16 |
合わせてサブネットも作成します。
| 設定項目 | 設定値 |
|---|---|
| 名前 | testsubnet |
| IPv4 CIDRブロック | 10.70.1.0/24 |
動的ルーティングゲートウェイ(DRG)の作成 (Oracle Alloy)
ルーティング設定に必要なDRGを作成します。
| 設定項目 | 設定値 |
|---|---|
| 名前 | DRG |
DRGアタッチメントの作成 (Oracle Alloy)
DRGアタッチメントを作成してVCNと接続します。
| 設定項目 | 設定値 |
|---|---|
| 名前 | vcn-attachment |
| 仮想クラウド・ネットワーク | testVCN |
設定手順
事前準備で作成した双方のネットワークをIPsecで接続する設定を行います。
拠点間VPNゲートウェイの作成 (FJcloud-V)
作成したプライベートLANに拠点間VPNゲートウェイを作成します。
最初に拠点間VPNゲートウェイで利用するファイアウォールグループを作成します。
| 設定項目 | 設定値 |
|---|---|
| ファイアウォールグループ名 | VPNGWFW |
| ゾーン | west-21 |
ここでは接続先(Oracle Alloy)のIPアドレスが未定のため、INルール設定でプライベートLANの通信の許可ルールのみ追加します。
| プロトコル | 宛先ポート | 接続先種別 | IP/CIDR・グループ |
|---|---|---|---|
| ANY | - | CIDR(IPv4) | 10.0.1.0/24 |
作成したファイアウォール、プライベートLAN(PrivateLAN01)を利用して拠点間VPNゲートウェイを作成します。
| 設定項目 | 設定値 |
|---|---|
| 拠点間VPNGW名 | VPNGW01 |
| ゾーン | west-21 |
| タイプ | vpngw.small |
| 対抗機器側ネットワーク:ネットワーク名 | 共通グローバル |
| 対抗機器側ネットワーク:IPアドレス | 空欄 |
| 内部ネットワーク:ネットワーク名 | PrivateLAN01(10.0.1.0/24) |
| 内部ネットワーク:IPアドレス | 10.0.1.10 |
| ファイアウォール設定 | VPNGWFW(作成したファイアウォールを指定) |
作成が完了したら、共通グローバルのIPアドレスを確認します。(Oracle Alloy側の設定で利用します)
ここでは 「203.0.113.1」というIPアドレスとします。
CPEの作成 (Oracle Alloy)
IPsec接続の作成時に利用する顧客構内機器の設定(CPE)を作成します。
| 設定項目 | 設定値 |
|---|---|
| 名前 | cpe |
| IPアドレス | 203.0.113.1 (FJcloud-Vの拠点間VPNのIPアドレスを指定) |
| ベンダー | Other |
IPsec接続の作成 (Oracle Alloy)
IPsec接続を作成します。
| 設定項目 | 設定値 |
|---|---|
| 名前 | FJcloud-V ipsec |
| 顧客構内機器 | cpe (203.0.113.1) |
| 動的ルーティング・ゲートウェイ | DRG |
| オンプレミス・ネットワークへの静的ルート | 10.0.1.0/24 |
トンネル1
| 設定項目 | 設定値 |
|---|---|
| 名前 | tunnel1 |
| 共有シークレット | vpnkey(任意の文字列) |
| IKEバージョン | IKEv2 |
| ルーティング・タイプ | 静的ルーティング |
※トンネル2は使用しないため、デフォルトのまま
拡張オプション
フェーズ1 (ISAKMP)構成
設定項目 設定値 カスタム暗号化アルゴリズム AES_256_CBC カスタム認証アルゴリズム SHA2_256 カスタムDiffie-Hellmanグループ GROUP20 IKEセッション・キー存続期間(秒) 28800 フェーズ2 (IPSEC)構成
設定項目 設定値 カスタム暗号化アルゴリズム AES_256_CBC カスタム認証アルゴリズム HMAC_SHA2_256_128 IPSecセッション・キー存続期間 3600 完全な前方匿名性Diffie-Hellmanグループ GROUP20
作成が完了したら、IPアドレスを確認します。(FJcloud-V側の設定で利用します)
ここでは 「203.0.113.2」というIPアドレスとします。
これでOracle Alloy側のIPsec接続の設定は完了です。
引き続きFJcloud-V側の設定を行います。
ファイアウォールルールの追加 (FJcloud-V)
Oracle Alloy側のIPアドレスが確定したので、拠点間VPNゲートウェイのファイアウォールに以下のルールを追加します。
| プロトコル | 宛先ポート | 接続先種別 | IP/CIDR・グループ |
|---|---|---|---|
| UDP | 500-500 | IPアドレス(IPv4) | 203.0.113.2 (Oracle Alloy側のグローバルIPアドレス) |
| UDP | 4500-4500 | IPアドレス(IPv4) | 203.0.113.2 (Oracle Alloy側のグローバルIPアドレス) |
| ESP | - | IPアドレス(IPv4) | 203.0.113.2 (Oracle Alloy側のグローバルIPアドレス) |
カスタマーゲートウェイの作成 (FJcloud-V)
VPNコネクションの作成時に利用するカスタマーゲートウェイを作成します。
| 設定項目 | 設定値 |
|---|---|
| カスタマーゲートウェイ名 | CGW01 |
| 対向機器IPアドレス | 203.0.113.2 (Oracle Alloy側グローバルIPアドレスを指定) |
| 接続方式 | IPsec |
| 対向機器LAN側IPアドレス帯 | 10.70.1.0/24 (Oracle Alloy側サブネットのCIDRを指定) |
| 対向機器LAN側IPアドレス | 空欄 |
VPNコネクションの作成 (FJcloud-V)
作成した拠点間VPNゲートウェイ、カスタマーゲートウェイを利用してVPNコネクションを作成します。
| 設定項目 | 設定値 |
|---|---|
| カスタマーゲートウェイ | CGW01 |
| 接続方式 | IPsec VTI |
| IKEバージョン | IKEv2 |
| 暗号化アルゴリズム | AES256 |
| 認証アルゴリズム | SHA1 |
| 事前共有鍵 | vpnkey (Oracle Alloy側の共有シークレットと同じ文字列を指定) |
| IKE lifetime | デフォルトのまま |
| ESP lifetime | デフォルトのまま |
| DH Group | デフォルト |
以上でIPsec接続の設定は完了です。
接続確認
FJcloud-V側、Oracle Alloy側の双方にサーバーを用意して接続を確認します。
今回はFJcloud-V側は Rocky Linux 9.7、Oracle Alloy側は Oracle Linux 9 でサーバーを作成します。
サーバー作成方法は省略します。ファイアウォール、セキュリティ・リスト等も適切に設定してください。
| 作成先 | サーバー名 | IPアドレス |
|---|---|---|
| FJcloud-V | testVM01 | 10.0.1.3 |
| Oracle Alloy | testVM02 | 10.70.1.243(IPアドレス設定は自動) |
ルーティング設定
FJcloud-V側のサーバーにログインできたら、ルーティング設定を行います。
# ip route add [対向ネットワーク] via [拠点間VPNGWのプライベートIP]
# ip route add 10.70.1.0/24 via 10.0.1.10Oracle Alloy側は仮想クラウド・ネットワーク(testVCN)のルート・ルールで設定します。
| 設定項目 | 設定値 |
|---|---|
| 宛先 | 10.0.1.0/24 |
| ターゲット・タイプ | 動的ルーティング・ゲートウェイ |
| ターゲット | DRG |
| ルート・タイプ | 静的 |
ping実行
FJcloud-V側のサーバーからOracle Alloy側のサーバーにpingコマンドを実行します。
接続確認ができました。
Terraformでの設定
本記事のIPsec接続の設定内容のterraform構成ファイルを用意しました。
必要に応じてご利用ください。
利用手順
terraform.zipファイルをダウンロードして解凍してください。
Terraformの作業ディレクトリの初期化、認証情報の設定を行います。詳細な手順は以下を確認してください。
FJcloud-V:クラウドCLI(コマンドラインツールについて)
Oracle Alloy:TerraformでOCIの構築を自動化する
※リンク先はOCIですが、Oracle Alloyも同様の手順です。環境に合わせて.tfファイルを編集してください。
変更が必要な主な項目は以下の通りです。
・provider.tf
FJcloud-VとOracle Alloyの認証情報を設定します。詳細は 2.のリンク先を確認してください。・variables.tf
Oracle Alloyのコンパートメント、DRGのIDを指定します。設定項目の詳細は.tfファイル内のコメントを参照してください。
Oracle AlloyはOCIと接続先ドメインが異なるため、以下の手順で環境変数を設定してください。
・Windows環境の場合
> set OCIDEFAULTREALM=xxxxxxxxxxxxxxx.jp・Linux環境の場合
# export OCIDEFAULTREALM=xxxxxxxxxxxxxx.jp※設定するドメインはOracle Alloy契約時のドキュメントを確認してください。
Terraformを実行します。
Terraformを実行し、必要に応じて接続確認以降の作業を実施してください。
まとめ
今回の検証でFJcloud-VとOracle Alloyをブラウザからの操作だけでインターネットVPN接続できることが確認できました。
本検証での各種設定値はあくまでも例のため、実際に利用する場合は要件に沿った適切な設定を行ってください。
注意事項
- 本記事の他社サイトへのリンクにつきまして、リンク切れの際はご容赦ください。
- 拠点間VPNゲートウェイは冗長化されていますが、機器故障等が発生した場合は5分程度の接続断が発生します。
- 本記事の手順は参考情報となり、FJcloud-VやOracle Alloyのサポート対象外となります。
- Oracle Alloyとの接続はFJcloud-Vで接続確認を行っていません。確認済みの接続先については接続確認済みの機器またはOSをご確認ください。
- 本記事で記載した各サービスの機能等は、2026年5月時点の情報です。ご利用の際は、各サービスの機能の最新情報をご確認ください。
