インストールガイド / Oracle Cloud編
ここでは、パブリッククラウドサービスの Oracle Cloud 環境上に、本製品をセットアップする手順を説明します。手順概要
本製品をOracle Cloud上にセットアップする大まかな手順は次のとおりです。- コンパートメントの作成
本製品に関連する各種リソースをグループ化して管理するためのコンパートメントを作成します。
- バケットの作成
本製品のイメージファイルを格納するためのバケットを作成します。
- イメージファイルの準備
アップロードするイメージファイルを用意します。
- イメージのアップロード
本製品のイメージファイルをバケットにアップロードします。
- カスタム・イメージの作成
アップロードしたイメージファイルから仮想マシン用のカスタム・イメージを作成します。
- 仮想マシンインスタンスの作成
カスタム・イメージから本製品の仮想マシンインスタンスを作成します。
- 本製品Web GUIへのアクセス許可
仮想ネットワークのファイアウォールルールを編集して本製品のWeb GUIにアクセスできるよう設定します。
- ユーザーネットワークとの接続
ユーザーネットワークとの間にIPsec VPNを構築し、本製品とユーザーネットワーク上の機器が安全に通信できるようにします。
コンパートメントの作成
本製品で使用するためのコンパートメント(リソース管理用のグループ)を作成します。本ページではこれ以降、ここで新規作成したコンパートメント「AR-Cloud」を使うものとして説明します。
既存のコンパートメントを使用する場合は次の「バケットの作成」に進んでください。
- 左のメニュータブから「アイデンティティとセキュリティ」>「コンパートメント」を選択します。
- 「コンパートメントの作成」ボタンをクリックします。
- 「名前」と「説明」を入力し、「コンパートメントの作成」ボタンをクリックします。
- 作成したコンパートメントが一覧に表示されることを確認します。
バケットの作成
本製品のイメージファイルを格納するためのバケットを作成します。- 左のメニュータブから「ストレージ」>「バケット」を選択します。
- 左メニューの「コンパートメント」から事前に用意したコンパートメントを選択し、「バケットの作成」ボタンをクリックします。
- 「バケット名」を入力して「作成」ボタンをクリックします。
- 作成したバケットが一覧に表示されることを確認します。
イメージファイルの準備
あらかじめ本製品のファームウェアイメージファイル(COWイメージファイル)を用意しておきます。ファームウェアイメージファイルの入手方法については「インストールガイド」/「はじめに」をご参照ください。
カスタム・イメージの作成に使用するイメージファイルは以下のとおりです。「X.Y.Z-A.B」の部分にはバージョンが入ります。
AR4000S-Cloud-X.Y.Z-A.B.cow
イメージのアップロード
本製品のイメージファイルをバケットにアップロードします。- 前の手順で作成したバケット名をクリックします。
- 「アップロード」ボタンをクリックします。
- 「コンピュータからファイルを選択」欄にあらかじめ用意したCOWイメージファイル(拡張子「.cow」のファイル)をドラッグ&ドロップし、表示されたイメージファイル名を選択して「アップロード」ボタンをクリックします。
(ドラッグ&ドロップする代わりに、「ファイルを選択」をクリックしてファイル選択ダイアログからファイルを選択することもできます)
- イメージファイル名の右側に「終了済」と表示されたことを確認し、「閉じる」ボタンをクリックします。
- アップロードしたイメージファイルが一覧に表示されることを確認します。
カスタム・イメージの作成
前の手順でアップロードした本製品のイメージファイルを起動可能なカスタム・イメージとして登録します。- 左のメニュータブから「コンピュート」>「カスタム・イメージ」を選択します。
- 「イメージのインポート」ボタンをクリックします。
- 以下のとおり入力・選択し、「イメージのインポート」ボタンをクリックします。
- コンパートメントに作成:事前に用意したコンパートメントを選択
- 名前:任意のカスタム・イメージ名を入力
- オペレーティングシステム:「Generic Linux」を選択
- 「オブジェクト・ストレージ・バケットからインポート」を選択
- XXXのバケット:事前に作成したバケットを選択(XXXはコンパートメント名)
- オブジェクト名:事前にアップロードしたイメージファイルを選択
- イメージ・タイプ:「QCOW2」を選択
- 起動モード:「準仮想化モード」を選択
- コンパートメントに作成:事前に用意したコンパートメントを選択
- 作業リクエスト欄の「イメージの作成」が成功していることを確認します。
仮想マシンインスタンスの作成
前の手順で作成したカスタム・イメージから本製品の仮想マシンインスタンスを作成します。- 左のメニュータブから「コンピュート」>「インスタンス」を選択します。
- 「インスタンスの作成」ボタンをクリックします。
- 以下、3-1 から 3-5 まで順に入力・設定を行い、最後に 3-6 で画面最下部の「作成」ボタンをクリックします。
- 3-1) 以下のとおり入力・選択します。
- 名前:任意のインスタンス名を入力
- コンパートメントに作成:事前に用意したコンパートメント
- 名前:任意のインスタンス名を入力
- 3-2) 「イメージとシェイプ」欄の「編集」をクリックします。
- 3-2-1) 「イメージの変更」ボタンをクリックします。
- 3-2-2) 以下のとおり選択し、「イメージの選択」ボタンをクリックします。
- 「マイ・イメージ」を選択
- 「カスタム・イメージ」を選択
- コンパートメント:事前に用意したコンパートメントを選択
- カスタム・イメージ名:事前に作成したカスタム・イメージを選択
- 「マイ・イメージ」を選択
- 3-2-1) 「イメージの変更」ボタンをクリックします。
- 3-3) 手順3-2-1の画面にある「Change Shape」ボタンをクリックし、表示された次の画面で以下のとおり入力・選択して「シェイプの選択」をクリックします。
- インスタンス・タイプ:「仮想マシン」を選択
- シェイプ・シリーズ:「専門と前世代」を選択
- Image:下記スペック(推奨値)以上に設定
- シェイプ:VM.Standard E3 Flex
- OCPU数:2
- メモリー量:4
- シェイプ:VM.Standard E3 Flex
- インスタンス・タイプ:「仮想マシン」を選択
- 3-4) イメージとシェイプ(Shape)がそれぞれ選択した内容になっていることを確認します。
- 3-5) 「プライマリVNIC情報」欄の右上にある「編集」をクリックして以下のとおり入力・選択します。
≪プライマリVNIC情報≫
- VNIC名 オプション:任意のVNIC名を入力
- プライマリ・ネットワーク:「新規仮想クラウド・ネットワークの作成」を選択
- 新規仮想クラウド・ネットワーク名:任意の仮想クラウド・ネットワーク名を入力
- コンパートメントに作成:事前に用意したコンパートメントを選択
- サブネット:「新規パブリック・サブネットの作成」を選択
- 新規サブネット名:任意のサブネット名を入力
- コンパートメントに作成:事前に用意したコンパートメントを選択
- CIDRブロック:クラウド内部で使用する任意のIPサブネットアドレスを入力
≪プライマリVNIC IPアドレス≫
- プライベートIPv4アドレス:「プライベートIPv4アドレスの自動割当て」を選択
- パブリックIPv4アドレス:「パブリックIPv4アドレスの自動割当て」にチェック
- VNIC名 オプション:任意のVNIC名を入力
- 3-6) 画面の最下部にある「作成」ボタンをクリックします。
- 3-1) 以下のとおり入力・選択します。
- 作業リクエスト欄の「インスタンスの作成」が成功していることを確認します。
- インスタンスに割り当てられたパブリックIPアドレス宛てにSSH接続し、本製品にSSHアクセス可能なことを確認します。
本製品Web GUIへのアクセス許可
仮想クラウド・ネットワークのファイアウォールルールを編集して、本製品のWeb GUIにアクセスできるようにします。- 左のメニュータブから「ネットワーキング」>「仮想クラウド・ネットワーク」を選択します。
- 前の手順で作成したネットワークを選択します。
- 前の手順で作成したサブネットを選択します。
- 仮想クラウド・ネットワークのデフォルトセキュリティ・リストを選択します。
5.「イングレス・ルールの追加」ボタンをクリックします。
- HTTPSアクセスを許可するルールを設定し、「イングレス・ルールの追加」ボタンをクリックします。
- ソースタイプ:CIDR(初期値)
- ソースCIDR:本製品へのアクセスを許可する任意のIPアドレス範囲を入力
- IPプロトコル:TCP
- ソースポート範囲:All(初期値)
- 宛先ポート範囲:443
- 説明:任意の説明を入力
- ソースタイプ:CIDR(初期値)
- インスタンスに割り当てられたパブリックIPアドレス宛てにHTTPS接続し、本製品のWeb GUIにアクセス可能なことを確認します。
ユーザーネットワークとの接続
ユーザーネットワークから本製品を利用するためには、Oracle Cloudの仮想クラウド・ネットワークとユーザーネットワークを接続する必要があります。これは、AT-AR4000S-Cloud自身とユーザーネットワークのVPNルーターの間にIPsecトンネルを構築することで実現できます。
ここでは、ユーザーネットワーク側のVPNルーターとして弊社のAT-AR4050S(以下、「ARルーター」)を使う場合を例に、その方法を説明します。
AR4000S-CloudのVPN機能を使う方法
本製品(AT-AR4000S-Cloud)のVPN機能を使って本製品とユーザーネットワークを接続する場合の基本構成は次のとおりです。この構成では、AT-AR4000S-Cloud自身がVPNルーターとなって、ユーザーネットワーク側VPNルーター(ARルーター)との間にIPsecトンネルを構築します。
そのため、VPN接続の設定は本製品自身に対して行います。VPN接続自体についてOracle Cloud(VPC)側の設定は基本的に不要ですが、セキュリティ・リストに関しては、ARルーターからのVPN通信を許可するようイングレス・ルールを追加してください。
なお、以下は参考例ですので、実環境では適宜設定を調節してください。
| トンネルインターフェース名 | ||
| トンネル動作モード | ||
| トンネル終端アドレス(本製品から見た場合) | (eth0のプライベートIP) |
(パブリックIP) |
| トンネル終端アドレス(ARルーターから見た場合) | (インスタンスのパブリックIP) |
(パブリックIP) |
| トンネルI/Fに設定するアドレス | ||
| ISAKMPフェーズ1 ID | ||
| ISAKMP事前共有鍵 | ||
Oracle Cloud側の設定
本製品のインスタンスに適用されているセキュリティ・リストに対し、ARルーターからのVPN通信を許可するイングレス・ルールを追加します。| CIDR(初期値) | 10.2.1.1(ARルーターのパブリックIPアドレス) | UDP | All(初期値) | 500 | ISAKMP(任意) |
| CIDR(初期値) | 10.2.1.1(ARルーターのパブリックIPアドレス) | UDP | All(初期値) | 4500 | NAT-T(任意) |
AR4000S-Cloud側の設定
本製品には、ARルーターと同等のVPN機能が実装されているため、設定内容は後述するARルーターのものと類似しています。ただし、本製品自身にはプライベートIPアドレス(10.0.0.100)が設定されており、本製品のパブリックIPアドレス(10.1.1.1)はOracle CloudのNAT機能で変換されたものであることから、ARルーター側でISAKMP接続時に本製品を正しく識別できるよう、tunnel local nameで自装置の名前(ホスト名形式文字列)を送信するよう設定する必要があります。
- ARルーター(10.2.1.1)との間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
crypto isakmp key abcdefghijklmnopqrstuvwxyz1234 address 10.2.1.1
- IPsecトンネルインターフェース tunnel0 を作成します。
これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。
・ローカル側トンネル終端アドレス(tunnel source) - 本製品の eth0 インターフェースを指定します
・リモート側トンネル終端アドレス(tunnel destination) - ARルーターのパブリックIPアドレスを指定します
・ISAKMPローカル名(tunnel local name) - ARルーターが本製品を識別できるよう任意の文字列を指定します
・トンネリング方式(tunnel mode ipsec)
・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec)
・トンネルインターフェースのIPアドレス(ip address)
・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss)
・トンネルインターフェースのMTU(mtu)
interface tunnel0 tunnel source eth0 tunnel destination 10.2.1.1 tunnel local name arcloud tunnel mode ipsec ipv4 tunnel protection ipsec ip address 172.16.0.1/30 ip tcp adjust-mss 1260 mtu 1300
- ユーザーネットワーク(192.168.1.0/24)への経路を設定します。これにはip routeコマンドを使います。
ただし、VPN接続が有効になるまでは、同経路を使用できないように設定します。
ip route 192.168.1.0/24 tunnel0 ip route 192.168.1.0/24 null 254
ARルーター側の設定
次にユーザーネットワーク側のVPNルーターである、ARルーター側のVPN設定について説明します。ここでは、ARルーターがppp0インターフェースでインターネットと接続しているものと仮定します。
また、インターネット接続設定や、AR4000S-Cloud側の設定 は、完了していることを前提とします。
前述のとおり、本製品自身にはプライベートIPアドレス(10.0.0.100)が設定されており、本製品のパブリックIPアドレス(10.1.1.1)はOracle CloudのNAT機能で変換されたものであることから、ARルーター側ではISAKMP接続時に本製品を正しく識別できるよう、tunnel remote nameで本製品に設定したのと同じ文字列を指定する必要があります。
- 本製品との間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
本製品のパブリックIPは実際にはNAT変換されたものであるため、ここでは本製品をホスト名形式の文字列IDで識別しています。
crypto isakmp key abcdefghijklmnopqrstuvwxyz1234 hostname arcloud
- IPsecトンネルインターフェース tunnel0 を作成します。
これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。
・ローカル側トンネル終端アドレス(tunnel source) - ARルーターの ppp0 インターフェースを指定します
・リモート側トンネル終端アドレス(tunnel destination) - 本製品のパブリックIPアドレスを指定します
・ISAKMPリモート名(tunnel local name) - NAT経由で相手を識別するため、本製品に設定したのと同じ文字列を指定します
・トンネリング方式(tunnel mode ipsec)
・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec)
・トンネルインターフェースのIPアドレス(ip address)
・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss)
・トンネルインターフェースのMTU(mtu)
interface tunnel0 tunnel source ppp0 tunnel destination 10.1.1.1 tunnel remote name arcloud tunnel mode ipsec ipv4 tunnel protection ipsec ip address 172.16.0.2/30 ip tcp adjust-mss 1260 mtu 1300
- 本製品側サブネット(10.0.0.0/24)への経路を設定します。これにはip routeコマンドを使います。
ただし、VPN接続が有効になるまでは、同経路を使用できないように設定します。
ip route 10.0.0.0/24 tunnel0 ip route 10.0.0.0/24 null 254
ここまでくれば、Oracle Cloud上の本製品とユーザーネットワークのIP通信ができるようになっています。
ファームウェアの更新
本製品のファームウェアを更新するには、software-upgradeコマンドを使います。前提条件
あらかじめ更新先バージョンのファームウェアイメージファイル(ISOイメージファイル)を用意し、Oracle Cloud上の本製品にアップロードしておく必要があります。ファイルの入手方法については「インストールガイド」/「はじめに」をご参照ください。
ISOファイル、COWファイルについて
本製品のファームウェアイメージファイルはいくつかの形式で配布されていますが、それぞれ次のように用途が異なります。Oracle Cloud環境のファームウェア更新に使うのはISOイメージファイルのほうです。
- COWイメージファイル(.cow)は、Oracle Cloudにアップロードして本製品のカスタム・イメージを作成するためのものです。
詳しくは、「イメージファイルの準備」、「イメージのアップロード」、「カスタム・イメージの作成」をご参照ください。
- ISOイメージファイル(.iso)は、すでにOracle Cloud上で動作している本製品のファームウェアを更新するためのものです。
更新手順
本製品のファームウェアを更新するには、本製品のCLIにログインして、下記の手順を実行します。- ファイルシステム上にISOイメージファイルが存在することを確認します。
awplus# dir ... xxxxxxxxx -rw- XXX XX 2XXX XX:XX:XX AR4000S-Cloud-5.5.6-0.2.iso ← 新しいファームウェア
- software-upgradeコマンドでISOイメージファイルを指定します。確認メッセージが表示されるので「y」を入力してください。
awplus# software-upgrade AR4000S-Cloud-5.5.6-0.2.iso Install this release to disk? (y/n): y Upgrade succeeded, the changes will take effect after rebooting the device.
- 新しいファームウェアで再起動します。
awplus# reboot