Skip to main content

 

 

 

 
Language:
 
 
 
OutSystems

OutSystems CloudへのVPNを設定する

このトピックでは、オンプレミスネットワークとOutSystems Cloudの間でセキュアな通信を可能にするサイト間VPN(仮想プライベートネットワーク)接続を設定する方法について詳しく説明します。

ご利用のOutSystems CloudエディションでVPNサービスを使用できるかどうかをクラウドサービスカタログで確認してください。

VPNとOutSystems Cloud

OutSystems Cloud環境は、Amazon Web Services(AWS)でホスティングされ、仮想プライベートクラウド(VPC)内で保護されます。VPCは、インターネットおよびAWSクラウド内の他の仮想ネットワークから論理的に分離されています。

オンプレミスネットワークとOutSystems Cloudの間にセキュアな接続を確立するには、インターネットプロトコルセキュリティ(IPSec)を使用して、サイト間仮想プライベートネットワーク(VPN)接続を作成します。

以下の図は単一のVPN接続を示しています。図の左側にはAWSでホスティングされているOutSystems Cloudがあり、図の右側にはオンプレミスネットワークがあります。

OutSystems CloudへのVPN接続

VPNトンネルは、OutSystems Cloud側が仮想プライベートゲートウェイに固定され、オンプレミスネットワーク側がVPNゲートウェイに固定されています。

VPN接続は2つのVPNトンネルで構成されます。VPNゲートウェイが非対称ルーティングをサポートしていて、最初のVPNトンネルが一時的に無効になっている場合、VPN接続は自動的に2番目のVPNトンネルに切り替えて、アクセスが中断されないようにします。

独自のAWS Transit Gatewayを使用してOutSystems Cloudと企業ネットワークを接続する場合、ユーザー側でOutSystems Cloudへの内部トラフィックを管理することになります。以下の点にご注意ください。

  • ご覧になっている手順は適用されません。ユーザー側でAWS Transit Gatewayを使用して必要なVPN接続の設定を行う必要があります。

  • AWS Transit GatewayによるOutSystems Cloudへの接続をリクエストする場合、ユーザー側で既存のVPN接続を再構成する必要があります。AWS Transit Gatewayとの接続が稼働し次第、以前リクエストした既存のVPN接続は停止されます。

VPNの仕様

VPNネットワークトラフィック

オンプレミスネットワークから一定のネットワークトラフィックを生成して、VPN接続の開始と維持を行う必要があります。OutSystems CloudからVPNトンネルを開始することはできません。サイト間VPN接続でアイドル時間(構成に応じて通常は10秒間)が発生すると、トンネルがダウンする場合があります。VPN接続を開始して動作を維持するには、以下のいずれかのオプションを使用します。

  • VPNゲートウェイを使用してネットワークトラフィックを生成します。そのためには、サービスレベル合意書(SLA)モニターなどの機能を使用します。

または

  • OutSystems CloudのDNSサーバーにpingを実行します。
冗長性

VPNゲートウェイが非対称ルーティングをサポートしている場合は、VPN接続の高可用性を確保するために2つのVPNトンネルを構成します。Amazonは仮想プライベートゲートウェイに対して日常的な保守を実行しているため、いずれかのVPNトンネルが短期間無効になる場合があります。2つのVPNトンネルを構成することで、最初のVPNトンネルがダウンした場合に、2番目のVPNトンネルへのフェイルオーバーが保証されます。

Cisco ASAデバイスは最初に構成されたピアとの接続のみを確立し、2番目のピアIPはダウンのままにします(「スタンバイ」は最初のピアに到達できない場合にのみ接続されます)。

仮想プライベートゲートウェイデバイス
AWSでは、仮想プライベートゲートウェイデバイスに対応するVPNハードウェアメーカーを「Amazon AWS VPC with VPN Service」と定義しています。
制限事項
現在、サイト間VPNはIPv6トラフィックをサポートしていません。

OutSystems CloudへのVPNを設定する

以下の手順は、LifeTime管理コンソール11.6.1以降を実行しているOutSystems Cloudにのみ適用されます。これより前のLifeTimeバージョンの場合は、「LifeTime 11.6.0以前を使用してVPNを設定する」の手順に従います。

開始する前に

VPNの設定を開始する前に、以下の要件を遵守していることと、続行に必要な情報が収集済みであることを確認してください。

VPNゲートウェイの要件を確認する

VPNゲートウェイは、物理デバイスまたはソフトウェアデバイスにすることができます。AWSが提供するリストをチェックして、AWSがサイト間VPNでVPNゲートウェイをテスト済みかどうかを確認してください。ご利用のVPNゲートウェイがこのリストにない場合は、以下の要件を満たしている必要があります。

  • 同じ静的パブリックIPアドレスの保持

  • 事前共有鍵を使用したIKE v1またはIKE v2セキュリティアソシエーションの確立

  • トンネルモードでのIPSecセキュリティアソシエーションの確立

  • IPsecデッドピア検出(DPD)の使用

  • AES128ビットまたはAES256ビットの暗号化関数の使用

  • SHA-1またはSHA-256のハッシュ関数の使用

  • グループ2(1024ビット)、5(1536ビット)、14~18(2048ビット)、22、23、または24(2048ビット)でのDiffie-Hellman完全前方秘匿性の使用

必要な情報を収集する

VPN接続を作成する前に、以下の情報を入手していることを確認してください。

  • ご利用のインターネットゲートウェイのパブリックIP。NATトラバーサル(NAT-T)が有効になっているネットワークアドレス変換(NAT)デバイスの内側にVPNゲートウェイがある場合は、NATデバイスのパブリックIPアドレスを使用します。

  • VPNにアクセスする内部ネットワークのIP範囲。

  • VPNゲートウェイがサポートするルーティングのタイプ。ゲートウェイがボーダーゲートウェイプロトコル(BGP)をサポートしている場合は、動的ルーティングを使用します。サポートしていない場合は、静的ルーティングを使用します。

オンプレミスネットワークを確認する

オンプレミスネットワークの内部IPアドレス範囲は、OutSystems Cloudの内部IPアドレス範囲と重複することはできません。詳細については、OutSystems Cloudの内部IPアドレス範囲を調べる方法をご覧ください。

必要な権限があることを確認する

VPNを作成するには、LifeTimeAdministratorロールが必要です。

設定の概要

VPN設定の概要

続行する前に、必ず前のセクションをご覧ください。

手順1.VPNをリクエストする

OutSystems CloudへのVPNの作成をリクエストするには、以下の手順を実行します。

1.https://<LifeTime環境>/lifetimeにアクセスしてLifeTimeを開きます。<LifeTime環境>は、ご利用のLifeTime環境のアドレスです。

1.[Environments]タブを選択し、[Options]ドロップダウンを開きます。

1.最初のVPNを作成する場合は、[Create VPN]を選択します。それ以外の場合は、[VPN Management]を選択して[Create new VPN]ボタンをクリックします。

![LifeTimeでのVPN管理](images/vpn-option-create-lt.png?width=900)

1.フォームの各フィールドに値を入力します。

* この新しいVPNの目的。

* **インターネットゲートウェイのパブリックIP**。NATトラバーサル(NAT-T)が有効になっているネットワークアドレス変換(NAT)デバイスの内側にVPNゲートウェイがある場合は、NATデバイスのパブリックIPアドレスを使用します。

* **VPNにアクセスする内部ネットワークIP範囲**(静的ルーティングの場合)。

* VPNゲートウェイがサポートする**ルーティング**のタイプ。VPNゲートウェイがボーダーゲートウェイプロトコル(BGP)をサポートしている場合は、**動的**ルーティングを選択します。サポートしていない場合は、**静的**ルーティングを選択します。

* **ASN**の値(動的ルーティングの場合)

1.[Create VPN]ボタンをクリックします。

![VPNの作成](images/vpn-create-lt.png?width=700)

OutSystemsは新しいVPNの作成を開始します。[Environments > Options > VPN Management]にある[Your VPN Connections]画面で、プロセスのステータスを確認できます。

指定した情報を使用してOutSystemsがVPN接続を作成できない場合は、[Create VPN]ボタンをクリックした後に、原因を示すエラーメッセージが表示されます。詳細については、こちらのガイドラインをご覧ください。

手順2.OutSystemsがVPN接続を作成し、準備ができたらユーザーに通知する

OutSystemsによってOutSystems CloudにVPN接続が作成されます。VPNを作成したら、OutSystemsはLifeTimeでVPNを作成したユーザーにメールを送信します。このメールでは、VPN構成ファイルをダウンロードする準備ができたことを通知するほか、オンプレミスネットワークでVPNゲートウェイを構成するために必要な情報を提供します。

手順3.構成ファイルをダウンロードする

VPNが作成されたことを通知するOutSystemsのメールを受信したら、以下の手順でVPN構成ファイルをダウンロードする必要があります。

1.LifeTimeで[Environments]タブを選択します。

1.[Options]ドロップダウンを開き、[VPN Management]を選択します。

1.VPN接続のリストで新しいVPNを探し、[Download file]リンクをクリックします。

![VPN構成ファイルのダウンロード](images/vpn-download-file-lt.png?width=900)

手順4.VPNゲートウェイを構成する

この手順は、ネットワークエンジニアが実行する必要があります。

手順3でダウンロードした構成ファイルに指定された値を使用してVPNゲートウェイを構成します。

独自の構成を使用する場合は、VPNゲートウェイの構成値が以下のAWSの要件を満たしていることを確認してください。

フェーズ1のパラメータ
プロトコル IKE v1またはIKE v2
認証方式 事前共有鍵
プロトコル通信 カプセル化されたUDPポート500、NAT-T(UDPポート4500)
暗号化アルゴリズム AES-128、AES-256
Diffie-Hellmanグループ 2(1024ビット)、14~18(2048ビット)、22、23、および24(2048ビット)
完全前方秘匿性(PFS) 有効
整合性のためのハッシュアルゴリズム SHA-1、SHA-256
再ネゴシエーション時間 28800秒
モード メイン
フェーズ2のパラメータ
プロトコル IKEフェーズII(IPSEC SA)
IPSecプロトコル ESP、UDPポート500。NAT-Tはユーザー側でサポートされている。
暗号化アルゴリズム AES-128、AES-256
暗号化モード トンネル
Diffie-Hellmanグループ 2(1024ビット)、5(1536ビット)、14~18(2048ビット)、22、23、および24(2048ビット)
整合性のためのハッシュアルゴリズム SHA-1、SHA-256
ライフタイム測定 時間
ライフタイムの時間 3600秒

手順5.ファイアウォールを構成する

この手順は、ネットワークエンジニアが実行する必要があります。

オンプレミスネットワークがインターネットとVPNゲートウェイの間にファイアウォールを備えている場合は、ファイアウォールに以下のルールを実装します。

  • VPNゲートウェイとOutSystems Cloudへの各VPNトンネルとの間のポート500UDPトラフィックを許可して、IKEパケットの送信を有効にします。4つのルール(各VPNトンネルの受信ルールと送信ルールのペア)が必要です。

  • VPNゲートウェイとOutSystems Cloudへの各VPNトンネルとの間のカプセル化セキュリティペイロード(ESP)トラフィック(IPプロトコル番号50)を許可して、暗号化されたネットワークトラフィックを含むIPSecパケットの送信を有効にします。4つのルール(各VPNトンネルの受信ルールと送信ルールのペア)が必要です。

  • OutSystems Cloudがオンプレミスネットワーク上のシステムにアクセスする必要がある場合は、他の受信と送信のファイアウォールルールを追加します。各VPNトンネルの受信ルールと送信ルールを必ず作成してください。 たとえば、SQL Serverデータベースにアクセスするにはポート1433TCPトラフィックを許可し、Oracleデータベースにアクセスするにはポート1521TCPトラフィックを許可します。

  • VPNゲートウェイでNAT-Tを使用している場合は、ポート4500UDPトラフィックを許可します。送信と受信のファイアウォールルールを追加します。

VPNの内部IP範囲を変更する

VPNにアクセスするオンプレミスネットワークの内部IP範囲が変更された場合、VPNにその変更を反映させる必要があります。

静的VPN

VPNが静的ルーティングを使用している場合、[VPN Management]領域でVPNの内部IP範囲を変更できます。

1.LifeTimeで[Environments]タブを選択します。

1.[Options]ドロップダウンを開き、[VPN Management]を選択します。

1.VPN接続のリストで変更するVPNを探し、[Edit]ボタンをクリックします。

![VPNの編集](images/vpn-edit-lt.png?width=900)

1.[Internal network IP range]を新しい値に設定します。

![内部ネットワークIP範囲の設定](images/vpn-edit-ip-range-lt.png?width=900)

1.[Save]ボタンを選択します。

このアクションによってVPN構成、セキュリティグループ、ファイアウォールが更新され、新しいIP範囲からのトラフィックが許可されます。数分後、VPNが使用可能になります。

指定した情報を使用してOutSystemsがVPNの内部IP範囲を変更できない場合は、[Save]ボタンをクリックした後に、原因を示すエラーメッセージが表示されます。詳細については、こちらのガイドラインをご覧ください。

動的VPN

VPNが動的ルーティングを使用している場合、新しいIP範囲に応じてOutSystemsでセキュリティグループを変更する必要があります。サポートケースをオープンして、ユーザーのオンプレミスネットワークの新しいIP範囲を含めるようにしてください。

トラブルシューティング

「VPN接続およびトラブルシューティングガイド」をご覧ください。