OCI AWS 連携｜VPN接続手順を画像付きで詳しく解説

2025-08-12 久保玉井純人材育成

人材育成, クラウド, ITスキル, スキルアップ, Oracle, OCI

こんにちは！好きなラーメンは二郎系！

Oracle Cloud Infrastructure 認定講師の久保玉井です。

先日ご案内した「Oracleクラウド入門｜OCI Foundation Associateで学ぶ1日集中トレーニング」では、OCI（Oracle Cloud Infrastructure）の基礎を効率よく学べる内容をご紹介しました。

今回はそのトレーニングでも活用される演習環境「Oracle MyLearn」を使って、OCI と AWS を VPN で接続する手順を、画像付きで詳しく解説します。

OCI をこれから学び始める方や、クラウド間連携の実践スキルを身につけたい方にとって、参考になる内容となっています。

目次[非表示]

はじめに｜OCIとAWSのVPN接続は本当にできるのか？
OCI AWS連携に使える演習環境とは？｜Oracle MyLearnの概要
Oracle MyLearn で VPN 接続ができる？！
OCIとAWSをVPN接続する手順｜画像付きで詳しく解説
OCI トレーニングでマルチクラウド対応スキルを身につける

はじめに｜OCIとAWSのVPN接続は本当にできるのか？

OCIとAWSのVPN接続は「可能」です。本記事を読むことで以下の事が分かります。はじめに、「OCIとAWSのVPN接続は本当にできるのか？」ということで、本記事を読むことで以下の事が分かります。

Oracle の演習環境で何ができるかを確認し、操作できるようになる
OCI と AWS を Site-to-Site VPN接続できるようになる

VPN の接続手順については皆さんも演習環境で利用できます。

ぜひマルチクラウド環境を体験してみてください！

OCI AWS連携に使える演習環境とは？｜Oracle MyLearnの概要

Oracle Cloud Infrastructure（OCI）を学ぶための公式学習プラットフォームとして、Oracle MyLearnは非常に充実した環境を提供しています。

昨年より弊社ではOCIの中級編コースを提供しており、【Oracle認定試験対応】国内初のOCIトレーニングとして多くの方にご参加いただいています。詳細は下記ブログでご紹介しておりますので、ぜひご確認ください。

【Oracle認定試験対応】国内初！Oracle Cloud Infrastructureトレーニングの提供を開始

Oracle MyLearnは、OCIを体系的に学べる教材が揃っており、PDF形式の資料やハンズオン演習が用意されています。

2025年度の日本語版教材も新たに公開され、私自身も知識のアップデートとして活用しています。

特に魅力的なのは、OCI関連の教材が無料で閲覧できる点です。さらに、サブスクリプション契約をすると、実際のクラウド環境で演習ができるようになり、OCIの操作を実践的に学ぶには最適な環境です。

参考：Oracle MyLearn

Oracle MyLearn で VPN 接続ができる？！

さて、2025年度 Oracle Cloud Infrastructure Foundation Associate が最近日本語版が提供開始されました。実際に内容的にどのような事ができるのかを確認してみました。

Oracle MyLearnでは、OCIとAWSのVPN接続を実際に試せる演習環境が提供され、弊社のそれぞれの OCIトレーニングでも活用されています。

初級編

Oracle Cloud Infrastructure Foundation Associate：Hands-on Workshop | IT研修のトレノケート

中級編

Oracle Cloud Infrastructure Architect Associate: Hands-on Workshop | IT研修のトレノケート

Oracle Cloud Infrastructure Architect Associate: Hands-on Workshop (バウチャー付) | IT研修のトレノケート

まずは MyLearn で PDF 教材を確認してみる

まずは教材となる PDF の内容を確認します。

基本的な説明もあり、詳細な演習手順も公開されています。

制限、割当ておよび使用状況を確認してみたら・・

さて説明資料以外に演習環境も確認してみました。ちなみに演習環境の利用については、過去ブログ記事をご参照下さい！

OCIクラウドのTerraformでインフラ自動化 | MyLearn無料枠とサブスクの違いも紹介

演習環境で何ができるのか？「制限、割当ておよび使用状況」を確認してみると色々使える事がわかりました。

作成可能なVCN数	170
作成可能なDRG数	25
登録可能な顧客構内機器数（CPE）	50
作成可能なSite-to-Site VPN数	10

？！もしかしてVPN 接続も登録できるの？

うぉぉぉぉ！！！なんか色々できそう！

利用できるのか気になったので検証してみることにしました。

OCI と AWS を VPN 接続してみた

物理環境と違い、クラウドって「思い立ったらすぐ試せる」というメリットがあります。実際に接続できるか確認してみることにしました。

幸いにも Oracle 公式ドキュメントとしても手順が公開されていました。

参考：AWSへのVPN接続

まずは結果です。

まず結論からお知らせします。演習環境でも VPN 接続できました。

私は AWS の認定インストラクターでもあるので、すぐ試せる環境が手元にあり、本当にさくっとVPN接続が出来ました。

※今回の接続検証は2025年7月時点での検証結果となります。今後演習環境の内容が変わり接続出来なくなる可能性もございますので、予めご了承下さい。

OCIのトレーニング用検証環境
実はSite-To-Site VPN接続も出来るんです

トンネル内で利用できるIPアドレスとか事前共有キーとかOCI仕様に合わせる必要がありますが、AWSとOCIでもサクッと接続できますね

ただトンネル単位で対向のIPアドレスが指定できると良いんだけどなぁ〜#OCI #AWS pic.twitter.com/ZzKPOcP1CT
— くぼたまいじゅん@ AWS / OCI 認定インストラクター (@maijun2) July 10, 2025

VPN接続の構成を理解したら、次はOCI全体の設計・運用スキルを体系的に学びませんか？

弊社の OCIトレーニングでは、OCIの基礎理解から実践スキルの習得までに役立つ演習環境が多数提供されています。

初級編

Oracle Cloud Infrastructure Foundation Associate：Hands-on Workshop | IT研修のトレノケート

中級編

Oracle Cloud Infrastructure Architect Associate: Hands-on Workshop | IT研修のトレノケート

Oracle Cloud Infrastructure Architect Associate: Hands-on Workshop (バウチャー付) | IT研修のトレノケート

OCIとAWSをVPN接続する手順｜画像付きで詳しく解説

OCIとAWSをVPN接続する手順について、最初に大まかな手順を以下に記載します。基本 OCI の公式ドキュメントに沿えば問題ありません。

AWS：Amazon VPC Transit Gateway の作成
AWS：一時的なカスタマーゲートウェイの作成
AWS：Site-to-Site VPN 接続の作成
AWS：設定ファイルのダウンロード
OCI：Dynamic Routing Gateway の作成
OCI：顧客構内機器の作成
OCI：サイト間 VPN の作成
AWS：本番用カスタマーゲートウェイの作成
AWS：Site-to-Site VPN 接続の設定変更
OCIとAWS：疎通確認
OCIとAWS：アタッチメント処理とルーティング追加

肝はAWS側での作業ですね。

カスタマーゲートウェイを作り直して再度登録する
トンネル内のIPアドレスで利用できる範囲が OCI 側で制限があるので合わせる
IPSecの事前共有キーの文字列で OCI 側で使えない文字列があるので合わせる
IPSecパラメーターも OCI 側と合わせる

ちょっと上記が注意必要になります。

参考： AWSへのVPN接続

1.AWS：Amazon VPC Transit Gateway の作成

ネットワーク同士をつなげるサービスとして AWS では Amazon VPC Transit Gateway、OCI では Dynamic Routing Gatewayがそれぞれありますね。

あと AWS のネットワーク：VPC に接続するためにも AWS 側は Amazon VPC Transit Gateway を作っておきます。ちなみに ASN は64512を指定しました。

さくっと出来ました。

2.AWS：一時的なカスタマーゲートウェイの作成

次に AWS にて「OCI 側の VPN 接続先」となるカスタマーゲートウェイを作成します。しかしまだ OCI 側では何も準備していないので接続先のIPアドレスがわかりません。

このあと AWS 側で作成する Site-to-Site VPN 接続でこのカスタマーゲートウェイを使うのですが、Site-to-Site VPN 接続で指定するカスタマーゲートウェイは変更が出来るので、「一時的なカスタマーゲートウェイ」として作成します。

あとで変更してこのカスタマーゲートウェイは削除するので、名前もIPアドレスも適当な内容で登録します。

すぐに出来ました。

3.AWS：Site-to-Site VPN 接続の作成

一時的なカスタマーゲートウェイが出来上がりました。ここで AWS 側の Site-to-Site VPN の設定を行いますが、ここが OCI と接続する際の今回の肝になります。

理由として、OCI 側の仕様に合わせ各種設定に気をつける必要があります。まずは基本の設定項目から埋めていきましょう。

名前タグ：VPN接続名
ターゲットゲートウェイのタイプ：Transit Gateway
カスタマーゲートウェイ：先ほど作成した一時的なカスタマーゲートウェイ

ここまでは問題ありません。

次のトンネルオプションの部分に注意が必要です。

実は OCIでは、トンネル内IPに次のIP範囲を使用することはできません。

169.254.10.0-169.254.19.255
169.254.100.0-169.254.109.255
169.254.192.0-169.254.201.255

よって上記範囲外のIP範囲を指定する必要があります。私は今回は169.254.21.0/30と169.254.22.0/30をそれぞれのトンネルに指定するようにしました。

次に、事前共有キーです。実は OCI では事前共有キーも使える文字、使えない文字など決まりがあります。

事前共有キー: トンネルの事前共有キーを自動生成するためにAWSに依存している場合、生成されたキーにはピリオドまたはアンダースコア(.または_)文字が含まれている可能性があります。OCIでは、事前共有キーでこれらの文字はサポートされていません。AWSで自動生成されたパスワードにこれらの文字が含まれている場合は、VPN構成を完了する前に、関連するトンネル用の事前共有キーを変更します。

よって、アンダースコアやピリオドを使わないように、事前共有キーを設定しました。

必要な設定は、まだあります。

IPSec トンネル確立時の暗号化アルゴリズムも OCI 側で仕様がありますのでそれに準じるようにしていきます。

参考： OCI サポートされているIPSecパラメータ

具体的には以下のように設定しました。

フェーズ1暗号化アルゴリズム：AES256
フェーズ2暗号化アルゴリズム：AES256
フェーズ1整合性アルゴリズム：SHA2-384
フェーズ2整合性アルゴリズム：SHA2-256
フェーズ1DHグループ番号：20
フェーズ2DHグループ番号：5
IKEバージョン：ikev2

トンネル2側も同じように設定しても良いのですが、あまり意味がありません。

実は OCI 側では IPSec の両トンネルが単一の接続先の IPアドレスを指定になります。つまり OCI 側はトンネル単位でIPアドレスが指定出来ないので、今回の AWS 側のトンネル2を使わない事になります。

AWS 側の Site-to-Site VPN設定はこれで終わりなので作成します。

4.AWS：設定ファイルのダウンロード

Site-to-Site VPN 設定が作成して終わったら、OCI 側で参照するために設定ファイルをダウンロードします。

接続先相手が設定する際に参考となる資料をここでダウンロードするわけですが、様々な通信機器メーカーさんが一覧で出てきます。

今回は接続相手が OCI となりますので、汎用的な Generic を選択します。

ダウンロードした設定ファイルを開いてみると、OCI で利用する設定項目の確認ができます。

今回 OCI で使うのは以下の部分です。

Outside IP Address
- Customer Gateway：先ほど仮で設定した一時的なCustomer Gateway のIPアドレス
- Virtual Private Gateway：OCI 側で CPE を作成する時に指定する AWS 側のグローバル IP アドレス
Inside IP Address
- Customer Gateway：OCI 側がトンネル内部で使う IPアドレス
- Virtual Private Gateway： AWS 側がトンネル内部で使うIPアドレス
Virtual Private Gateway ASN： OCI 側が指定する AWS側の ASNです（デフォルトは64512）

いったん AWS 側の作業が一段落したので、次は OCI 側の作業です

5.OCI：Dynamic Routing Gateway の作成

OCI でもネットワーク同士をつなげるサービス Dynamic Routing Gateway(DRG) を作成します。これは OCI 側のサイト間 VPN を作成する際に指定する必要があるので前もって作成します。

少し待ちますが、利用料無料のDRGが作成できました。

6.OCI：顧客構内機器の作成

いよいよ AWS 側で作成した Site-to-Site VPN のグローバルIPアドレスを OCI 側では顧客構内機器（CPE）として登録します。

先ほどダウンロードした設定ファイルの Virtual Private Gateway の IP アドレスを CPEとして登録します。なお、ベンダーは Other で問題ありません。

この CPE の登録はさくっと終わります。

7.OCI：サイト間 VPN の作成

DRG や CPE の準備も済んだので、サイト間VPN にて IPSec接続を作成します。

名前を入力し、顧客構内機器と動的ルーティングゲートウェイは登録したものを選択します。

次に事前共有キーを入力していきます。AWS 側で登録した共有シークレットをカスタム共有シークレットとして設定します。もちろんIKEのバージョンはIKEv2です

先程ダウンロードした設定ファイルに記載されている各種情報を参照しながら設定します。

ルーティングは、BGP動的ルーティングを選択
BGP ASNは「Virtual Private Gateway ASN 」
IPv4トンネル内インターフェイス-CPEは「Virtual Private GatewayのIPアドレス」
IPv4トンネル内インターフェイス-Oracleは「Customer GatewayのIPアドレス」

それぞれ入力します。入力が終わったら IPSec 接続の作成ボタンを押します。

少し待ちますが無事に作成できました。

作成後、グローバルIPアドレスが発行されるのでこれを新たに AWS側のカスタマーゲートウェイとして登録します。

8.AWS：本番用カスタマーゲートウェイの作成

最初に一時的に作成した AWS のカスタマーゲートウェイ。

OCI 側でグローバルIPアドレスがわかったので差し替え登録します。

名前はわかりやすいように設定します。また BGP ASN は Oracleは 31898 を指定します（ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です）

IP アドレスは先程発行された OCI 側のグローバル IP アドレスを指定してカスタマーゲートウェイを登録します。

一時的なカスタマーゲートウェイと本番用カスタマーゲートウェイと２つが揃いました。

9.AWS：Site-to-Site VPN 接続の設定変更

本番用カスタマーゲートウェイが登録出来たので、AWS で登録した Site-to-Site VPN 接続の設定を変更します。

具体的には一時的なカスタマーゲートウェイから本番用カスタマーゲートウェイへの差し替えです。

作成済の VPN 接続を選択し、アクションから「VPN 接続を変更」を押します。

カスタマーゲートウェイを本番用に差し替えて、変更を保存を押します。

変更処理に時間がかかって少し待ちますが、無事に更新されました。

更新後は一時的なカスタマーゲートウェイは削除して問題ありません。

10.OCIとAWS：疎通確認

AWS 側の Site-to-Site VPN の更新が終わったら疎通確認をしてみましょう。状態が変わるのに少し待ち時間が必要なので、このあたりでトイレ休憩に入ったほうが良さそうです。

少し待つと、AWS側では VPN 接続のトンネルの詳細から状況確認ができます。

OCI 側ではサイト間VPNの設定を選択し、トンネル情報を見ると確認ができます。

無事にそれぞれTunnel1が繋がってますね。BGP もアップして稼働しています。

11.OCIとAWS：アタッチメント処理とルーティング追加

OCI、AWS ともにネットワークを集約する機能（Transit Gateway や Dynamic Routing Gateway）で VPN 接続出来ました。あとは VPC や VCN 等、それぞれのネットワークなどにアタッチし、そのネットワークで経路を追加してあげれば良いですね。

	アタッチするネットワーク機能	経路設定箇所
OCI	VPC	VPCのサブネットに関連付けたルートテーブル
AWS	VCN	VCNのサブネットに関連付けたルートテーブル