インストールガイド / Oracle Cloud編

ここでは、パブリッククラウドサービスの Oracle Cloud 環境上に、本製品をセットアップする手順を説明します。

Note
以下の説明には、Oracle Cloud固有の用語が多く含まれています。Oracle Cloudの各種用語や概念、より詳細な情報については、Oracle Cloudのドキュメントを参照してください。また、掲載している画面例は作成時のものであり、変更される場合があります。あらかじめご了承ください。

手順概要

本製品をOracle Cloud上にセットアップする大まかな手順は次のとおりです。

コンパートメントの作成
本製品に関連する各種リソースをグループ化して管理するためのコンパートメントを作成します。
バケットの作成
本製品のイメージファイルを格納するためのバケットを作成します。
イメージのアップロード
本製品のイメージファイルをバケットにアップロードします。
カスタム・イメージの作成
アップロードしたイメージファイルから仮想マシン用のカスタム・イメージを作成します。
仮想マシンインスタンスの作成
カスタム・イメージから本製品の仮想マシンインスタンスを作成します。
本製品Web GUIへのアクセス許可
仮想ネットワークのファイアウォールルールを編集して本製品のWeb GUIにアクセスできるよう設定します。
ユーザーネットワークとの接続
ユーザーネットワークとの間にIPsec VPNを構築し、本製品とユーザーネットワーク上の機器が安全に通信できるようにします。

コンパートメントの作成

本製品で使用するためのコンパートメント（リソース管理用のグループ）を作成します。
本ページではこれ以降、ここで新規作成したコンパートメント「AR-Cloud」を使うものとして説明します。
既存のコンパートメントを使用する場合は次の「バケットの作成」に進んでください。

左のメニュータブから「アイデンティティとセキュリティ」＞「コンパートメント」を選択します。
「コンパートメントの作成」ボタンをクリックします。
「名前」と「説明」を入力し、「コンパートメントの作成」ボタンをクリックします。
作成したコンパートメントが一覧に表示されることを確認します。

バケットの作成

本製品のイメージファイルを格納するためのバケットを作成します。

左のメニュータブから「ストレージ」＞「バケット」を選択します。
左メニューの「コンパートメント」から事前に用意したコンパートメントを選択し、「バケットの作成」ボタンをクリックします。
「バケット名」を入力して「作成」ボタンをクリックします。
作成したバケットが一覧に表示されることを確認します。

イメージのアップロード

本製品のイメージファイルをバケットにアップロードします。

前の手順で作成したバケット名をクリックします。
「アップロード」ボタンをクリックします。
「コンピュータからファイルを選択」欄に本製品のCDに収録されているOracle Cloud用のCOWイメージファイル（拡張子「.cow」のファイル）をドラッグ＆ドロップし、表示されたイメージファイル名を選択して「アップロード」ボタンをクリックします。
（ドラッグ＆ドロップする代わりに、「ファイルを選択」をクリックしてファイル選択ダイアログからファイルを選択することもできます）
イメージファイル名の右側に「終了済」と表示されたことを確認し、「閉じる」ボタンをクリックします。
アップロードしたイメージファイルが一覧に表示されることを確認します。

カスタム・イメージの作成

前の手順でアップロードした本製品のイメージファイルを起動可能なカスタム・イメージとして登録します。

左のメニュータブから「コンピュート」＞「カスタム・イメージ」を選択します。
「イメージのインポート」ボタンをクリックします。
以下のとおり入力・選択し、「イメージのインポート」ボタンをクリックします。

Note
インポートには数分～数十分かかります。
- コンパートメントに作成：事前に用意したコンパートメントを選択
- 名前：任意のカスタム・イメージ名を入力
- オペレーティングシステム：「Generic Linux」を選択
- 「オブジェクト・ストレージ・バケットからインポート」を選択
- XXXのバケット：事前に作成したバケットを選択（XXXはコンパートメント名）
- オブジェクト名：事前にアップロードしたイメージファイルを選択
- イメージ・タイプ：「QCOW2」を選択
- 起動モード：「準仮想化モード」を選択
作業リクエスト欄の「イメージの作成」が成功していることを確認します。

仮想マシンインスタンスの作成

前の手順で作成したカスタム・イメージから本製品の仮想マシンインスタンスを作成します。

左のメニュータブから「コンピュート」＞「インスタンス」を選択します。
「インスタンスの作成」ボタンをクリックします。
以下、3-1 から 3-5 まで順に入力・設定を行い、最後に 3-6 で画面最下部の「作成」ボタンをクリックします。
- 3-1) 以下のとおり入力・選択します。
  - 名前：任意のインスタンス名を入力
  - コンパートメントに作成：事前に用意したコンパートメント
- 3-2) 「イメージとシェイプ」欄の「編集」をクリックします。
  - 3-2-1) 「イメージの変更」ボタンをクリックします。
  - 3-2-2) 以下のとおり選択し、「イメージの選択」ボタンをクリックします。
    - 「マイ・イメージ」を選択
    - 「カスタム・イメージ」を選択
    - コンパートメント：事前に用意したコンパートメントを選択
    - カスタム・イメージ名：事前に作成したカスタム・イメージを選択
- 3-3) 手順3-2-1の画面にある「Change Shape」ボタンをクリックし、表示された次の画面で以下のとおり入力・選択して「シェイプの選択」をクリックします。
  - インスタンス・タイプ：「仮想マシン」を選択
  - シェイプ・シリーズ：「専門と前世代」を選択
  - Image：下記スペック（推奨値）以上に設定
    - シェイプ：VM.Standard E3 Flex
    - OCPU数：2
    - メモリー量：4
- 3-4) イメージとシェイプ（Shape）がそれぞれ選択した内容になっていることを確認します。
- 3-5) 「プライマリVNIC情報」欄の右上にある「編集」をクリックして以下のとおり入力・選択します。
  
  Note
  「編集」をクリックすると同リンクが「縮小」に変わります。
  
  Note
  SSHキーを設定していない場合、SSH接続に関するメッセージが表示されますが、無視して問題ありません。
  ≪プライマリVNIC情報≫
  - VNIC名オプション：任意のVNIC名を入力
  - プライマリ・ネットワーク：「新規仮想クラウド・ネットワークの作成」を選択
  - 新規仮想クラウド・ネットワーク名：任意の仮想クラウド・ネットワーク名を入力
  - コンパートメントに作成：事前に用意したコンパートメントを選択
  - サブネット：「新規パブリック・サブネットの作成」を選択
  - 新規サブネット名：任意のサブネット名を入力
  - コンパートメントに作成：事前に用意したコンパートメントを選択
  - CIDRブロック：クラウド内部で使用する任意のIPサブネットアドレスを入力
  ≪プライマリVNIC IPアドレス≫
  - プライベートIPv4アドレス：「プライベートIPv4アドレスの自動割当て」を選択
  - パブリックIPv4アドレス：「パブリックIPv4アドレスの自動割当て」にチェック
- 3-6) 画面の最下部にある「作成」ボタンをクリックします。
作業リクエスト欄の「インスタンスの作成」が成功していることを確認します。
インスタンスに割り当てられたパブリックIPアドレス宛てにSSH接続し、本製品にSSHアクセス可能なことを確認します。

本製品Web GUIへのアクセス許可

仮想クラウド・ネットワークのファイアウォールルールを編集して、本製品のWeb GUIにアクセスできるようにします。

左のメニュータブから「ネットワーキング」＞「仮想クラウド・ネットワーク」を選択します。
前の手順で作成したネットワークを選択します。
前の手順で作成したサブネットを選択します。
仮想クラウド・ネットワークのデフォルトセキュリティ・リストを選択します。

5．「イングレス・ルールの追加」ボタンをクリックします。
HTTPSアクセスを許可するルールを設定し、「イングレス・ルールの追加」ボタンをクリックします。
- ソースタイプ：CIDR（初期値）
- ソースCIDR：本製品へのアクセスを許可する任意のIPアドレス範囲を入力
- IPプロトコル：TCP
- ソースポート範囲：All（初期値）
- 宛先ポート範囲：443
- 説明：任意の説明を入力
インスタンスに割り当てられたパブリックIPアドレス宛てにHTTPS接続し、本製品のWeb GUIにアクセス可能なことを確認します。

Note
本製品インスタンスのパブリックIPアドレスは、Oracle Cloudダッシュボードのインスタンス画面から確認できます。

ユーザーネットワークとの接続

ユーザーネットワークから本製品を利用するためには、Oracle Cloudの仮想クラウド・ネットワークとユーザーネットワークを接続する必要があります。
これは、AT-AR4000S-Cloud自身とユーザーネットワークのVPNルーターの間にIPsecトンネルを構築することで実現できます。
ここでは、ユーザーネットワーク側のVPNルーターとして弊社のAT-AR4050S（以下、「ARルーター」）を使う場合を例に、その方法を説明します。

AR4000S-CloudのVPN機能を使う方法

本製品（AT-AR4000S-Cloud）のVPN機能を使って本製品とユーザーネットワークを接続する場合の基本構成は次のとおりです。

この構成では、AT-AR4000S-Cloud自身がVPNルーターとなって、ユーザーネットワーク側VPNルーター（ARルーター）との間にIPsecトンネルを構築します。
そのため、VPN接続の設定は本製品自身に対して行います。VPN接続自体についてOracle Cloud（VPC）側の設定は基本的に不要ですが、セキュリティ・リストに関しては、ARルーターからのVPN通信を許可するようイングレス・ルールを追加してください。

なお、以下は参考例ですので、実環境では適宜設定を調節してください。

表 1：ユーザーネットワークとの接続パラメーター
	AT-AR4000S-Cloud	ARルーター
トンネルインターフェース名	tunnel0	tunnel0
トンネル動作モード	IPsec (IPv4)	IPsec (IPv4)
トンネル終端アドレス（本製品から見た場合）	10.0.0.100 （eth0のプライベートIP）	10.2.1.1 （パブリックIP）
トンネル終端アドレス（ARルーターから見た場合）	10.1.1.1 （インスタンスのパブリックIP）	10.2.1.1 （パブリックIP）
トンネルI/Fに設定するアドレス	172.16.0.1/30	172.16.0.2/30
ISAKMPフェーズ1 ID	arcloud（ホスト名形式文字列）	10.2.1.1（IPアドレス）
ISAKMP事前共有鍵	abcdefghijklmnopqrstuvwxyz1234

Note
本製品インスタンスのパブリックIPアドレスは、Oracle Cloudダッシュボードのインスタンス画面から確認できます。

Oracle Cloud側の設定

本製品のインスタンスに適用されているセキュリティ・リストに対し、ARルーターからのVPN通信を許可するイングレス・ルールを追加します。

ソースタイプ	ソースCIDR	IPプロトコル	ソースポート範囲	宛先ポート範囲	説明
CIDR（初期値）	10.2.1.1（ARルーターのパブリックIPアドレス）	UDP	All（初期値）	500	ISAKMP（任意）
CIDR（初期値）	10.2.1.1（ARルーターのパブリックIPアドレス）	UDP	All（初期値）	4500	NAT-T（任意）

AR4000S-Cloud側の設定

本製品には、ARルーターと同等のVPN機能が実装されているため、設定内容は後述するARルーターのものと類似しています。

ただし、本製品自身にはプライベートIPアドレス（10.0.0.100）が設定されており、本製品のパブリックIPアドレス（10.1.1.1）はOracle CloudのNAT機能で変換されたものであることから、ARルーター側でISAKMP接続時に本製品を正しく識別できるよう、tunnel local nameで自装置の名前（ホスト名形式文字列）を送信するよう設定する必要があります。

ARルーター（10.2.1.1）との間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
```
crypto isakmp key abcdefghijklmnopqrstuvwxyz1234 address 10.2.1.1
```
IPsecトンネルインターフェース tunnel0 を作成します。
これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

・ローカル側トンネル終端アドレス（tunnel source） - 本製品の eth0 インターフェースを指定します
・リモート側トンネル終端アドレス（tunnel destination） - ARルーターのパブリックIPアドレスを指定します
・ISAKMPローカル名（tunnel local name） - ARルーターが本製品を識別できるよう任意の文字列を指定します
・トンネリング方式（tunnel mode ipsec）
・トンネルインターフェースに対するIPsec保護の適用（tunnel protection ipsec）
・トンネルインターフェースのIPアドレス（ip address）
・トンネルインターフェースにおけるMSS書き換え設定（ip tcp adjust-mss）
・トンネルインターフェースのMTU（mtu）
```
interface tunnel0
 tunnel source eth0
 tunnel destination 10.2.1.1
 tunnel local name arcloud
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip address 172.16.0.1/30
 ip tcp adjust-mss 1260
 mtu 1300
```
ユーザーネットワーク（192.168.1.0/24）への経路を設定します。これにはip routeコマンドを使います。
ただし、VPN接続が有効になるまでは、同経路を使用できないように設定します。
```
ip route 192.168.1.0/24 tunnel0
ip route 192.168.1.0/24 null 254
```

ARルーター側の設定

次にユーザーネットワーク側のVPNルーターである、ARルーター側のVPN設定について説明します。

ここでは、ARルーターがppp0インターフェースでインターネットと接続しているものと仮定します。
また、インターネット接続設定や、AR4000S-Cloud側の設定は、完了していることを前提とします。

前述のとおり、本製品自身にはプライベートIPアドレス（10.0.0.100）が設定されており、本製品のパブリックIPアドレス（10.1.1.1）はOracle CloudのNAT機能で変換されたものであることから、ARルーター側ではISAKMP接続時に本製品を正しく識別できるよう、tunnel remote nameで本製品に設定したのと同じ文字列を指定する必要があります。

本製品との間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
本製品のパブリックIPは実際にはNAT変換されたものであるため、ここでは本製品をホスト名形式の文字列IDで識別しています。
```
crypto isakmp key abcdefghijklmnopqrstuvwxyz1234 hostname arcloud
```
IPsecトンネルインターフェース tunnel0 を作成します。
これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

・ローカル側トンネル終端アドレス（tunnel source） - ARルーターの ppp0 インターフェースを指定します
・リモート側トンネル終端アドレス（tunnel destination） - 本製品のパブリックIPアドレスを指定します
・ISAKMPリモート名（tunnel local name） - NAT経由で相手を識別するため、本製品に設定したのと同じ文字列を指定します
・トンネリング方式（tunnel mode ipsec）
・トンネルインターフェースに対するIPsec保護の適用（tunnel protection ipsec）
・トンネルインターフェースのIPアドレス（ip address）
・トンネルインターフェースにおけるMSS書き換え設定（ip tcp adjust-mss）
・トンネルインターフェースのMTU（mtu）
```
interface tunnel0
 tunnel source ppp0
 tunnel destination 10.1.1.1
 tunnel remote name arcloud
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip address 172.16.0.2/30
 ip tcp adjust-mss 1260
 mtu 1300
```
本製品側サブネット（10.0.0.0/24）への経路を設定します。これにはip routeコマンドを使います。
ただし、VPN接続が有効になるまでは、同経路を使用できないように設定します。
```
ip route 10.0.0.0/24 tunnel0
ip route 10.0.0.0/24 null 254
```

ここまでくれば、Oracle Cloud上の本製品とユーザーネットワークのIP通信ができるようになっています。

ファームウェアの更新

本製品のファームウェアを更新するには、software-upgradeコマンドを使います。

前提条件

弊社ホームページから、本製品のメンテナンスファームウェア（ISOイメージファイル）をダウンロードし、Oracle Cloud上の本製品にアップロードしておく必要があります。

ISOファイル、COWファイルについて

Oracle Cloudで使用する本製品のファームウェアはいくつかの形式で配布されていますが、それぞれ次のように用途が異なります。
ファームウェアの更新に使うのは ISOイメージファイルのほうです。

本製品のCDに収録されているCOWイメージファイルは、Oracle Cloudにアップロードして本製品のカスタム・イメージを作成するためのものです。
詳しくは、「イメージのアップロード」、「カスタム・イメージの作成」をご参照ください。
弊社ホームページで提供するISOイメージファイルは、すでにOracle Cloud上で動作している本製品のファームウェアを更新するためのものです。

更新手順

本製品のファームウェアを更新するには、本製品のCLIにログインして、下記の手順を実行します。

ファイルシステム上にISOイメージファイルが存在することを確認します。

awplus# dir ↓
...
xxxxxxxxx -rw- XXX XX 2XXX XX:XX:XX AR4000S-Cloud-5.5.5-0.2.iso ← 新しいファームウェア

software-upgradeコマンドでISOイメージファイルを指定します。確認メッセージが表示されるので「y」を入力してください。

awplus# software-upgrade AR4000S-Cloud-5.5.5-0.2.iso ↓
Install this release to disk? (y/n): y
Upgrade succeeded, the changes will take effect after rebooting the device.

新しいファームウェアで再起動します。
```
awplus# reboot ↓
```

PN: 613-003066 Rev.M