IT・ビジネススキル・人材育成の情報を掲載 | 人材育成のトレノケート【公式ブログ】

OCI AWS 連携|VPN接続手順を画像付きで詳しく解説

作成者: 久保玉井 純|2025-08-11
こんにちは!好きなラーメンは二郎系!
Oracle Cloud Infrastructure 認定講師の久保玉井です。

先日ご案内した「Oracleクラウド入門|OCI Foundation Associateで学ぶ1日集中トレーニング」では、OCI(Oracle Cloud Infrastructure)の基礎を効率よく学べる内容をご紹介しました。

今回はそのトレーニングでも活用される演習環境「Oracle MyLearn」を使って、OCI と AWS を VPN で接続する手順を、画像付きで詳しく解説します。

OCI をこれから学び始める方や、クラウド間連携の実践スキルを身につけたい方にとって、参考になる内容となっています。

目次[非表示]

  1. はじめに|OCIとAWSのVPN接続は本当にできるのか?
  2. OCI AWS連携に使える演習環境とは?|Oracle MyLearnの概要
  3. Oracle MyLearn で VPN 接続ができる?!
    1. まずは MyLearn で PDF 教材を確認してみる
    2. 制限、割当ておよび使用状況を確認してみたら・・
    3. OCI と AWS を VPN 接続してみた
    4. まずは結果です
  4. OCIとAWSをVPN接続する手順|画像付きで詳しく解説
    1. AWS:TransitGateway の作成
    2. AWS:一時的なカスタマーゲートウェイの作成
    3. AWS:Site-to-Site VPN 接続の作成
    4. AWS:設定ファイルのダウンロード
    5. OCI:DynamicRoutingGateway の作成
    6. OCI:顧客構内機器の作成
    7. OCI:サイト間 VPN の作成
    8. AWS:本番用カスタマーゲートウェイの作成
    9. AWS:Site-to-Site VPN 接続の設定変更
    10. OCIとAWS:疎通確認
    11. OCIとAWS:アタッチメント処理とルーティング追加
  5. OCI トレーニングでマルチクラウド対応スキルを身につける

 

はじめに|OCIとAWSのVPN接続は本当にできるのか?

OCIとAWSのVPN接続は「可能」です。本記事を読むことで以下の事が分かります。はじめに、「OCIとAWSのVPN接続は本当にできるのか?」ということで、本記事を読むことで以下の事が分かります。

  1. Oracle の演習環境で何ができるかを確認し、操作できるようになる
  2. OCI と AWS を Site-to-Site VPN接続できるようになる

VPN の接続手順については皆さんも演習環境で利用できます。

ぜひマルチクラウド環境を体験してみてください!

OCI AWS連携に使える演習環境とは?|Oracle MyLearnの概要

Oracle Cloud Infrastructure(OCI)を学ぶための公式学習プラットフォームとして、Oracle MyLearnは非常に充実した環境を提供しています。

 

昨年より弊社ではOCIの中級編コースを提供しており、【Oracle認定試験対応】国内初のOCIトレーニングとして多くの方にご参加いただいています。詳細は下記ブログでご紹介しておりますので、ぜひご確認ください。

【Oracle認定試験対応】国内初!Oracle Cloud Infrastructureトレーニングの提供を開始

 

Oracle MyLearnは、OCIを体系的に学べる教材が揃っており、PDF形式の資料やハンズオン演習が用意されています。

2025年度の日本語版教材も新たに公開され、私自身も知識のアップデートとして活用しています。

特に魅力的なのは、OCI関連の教材が無料で閲覧できる点です。さらに、サブスクリプション契約をすると、実際のクラウド環境で演習ができるようになり、OCIの操作を実践的に学ぶには最適な環境です。

参考:Oracle MyLearn

 

Oracle MyLearn で VPN 接続ができる?!

さて、2025年度 Oracle Cloud Infrastructure Foundation Associate が 最近日本語版が提供開始されました。実際に内容的にどのような事ができるのかを確認してみました。

Oracle MyLearnでは、OCIとAWSのVPN接続を実際に試せる演習環境が提供され、弊社のそれぞれのOCIトレーニングでも活用されています。

  • 初級編

Oracle Cloud Infrastructure Foundation Associate:Hands-on Workshop | IT研修のトレノケート

 

  • 中級編

Oracle Cloud Infrastructure Architect Associate: Hands-on Workshop | IT研修のトレノケート

Oracle Cloud Infrastructure Architect Associate: Hands-on Workshop (バウチャー付) | IT研修のトレノケート

まずは MyLearn で PDF 教材を確認してみる

まずは 教材となる PDF の内容を確認します。

基本的な説明もあり、詳細な演習手順も公開されています。

制限、割当ておよび使用状況を確認してみたら・・

さて説明資料以外に演習環境も確認してみました。ちなみに演習環境の利用については、過去ブログ記事をご参照下さい!

OCIクラウドのTerraformでインフラ自動化 | MyLearn無料枠とサブスクの違いも紹介

 

演習環境で何ができるのか?「制限、割当ておよび使用状況」を確認してみると色々使える事がわかりました。

作成可能なVCN数 170
作成可能なDRG数 25
登録可能な顧客構内機器数(CPE) 50
作成可能なSite-to-Site VPN数 10

 

?!もしかしてVPN 接続も登録できるの?

うぉぉぉぉ!!!なんか色々できそう!

利用できるのか気になったので検証してみることにしました。

 OCI と AWS を VPN 接続してみた

物理環境と違い、クラウドって「思い立ったらすぐ試せる」というメリットがあります。実際に接続できるか確認してみることにしました。

幸いにも Oracle 公式ドキュメントとしても手順が公開されていました。

参考:AWSへのVPN接続

まずは結果です。

まず結論からお知らせします。演習環境でも VPN 接続できました。

私は AWS の認定インストラクターでもあるので、すぐ試せる環境が手元にあり、本当にさくっとVPN接続が出来ました。

※今回の接続検証は2025年7月時点での検証結果となります。今後演習環境の内容が変わり接続出来なくなる可能性もございますので、予めご了承下さい。

 

VPN接続の構成を理解したら、次はOCI全体の設計・運用スキルを体系的に学びませんか?

弊社のOCIトレーニングでは、OCIの基礎理解から実践スキルの習得までに役立つ演習環境が多数提供されています。

  • 初級編

Oracle Cloud Infrastructure Foundation Associate:Hands-on Workshop | IT研修のトレノケート

 

  • 中級編

Oracle Cloud Infrastructure Architect Associate: Hands-on Workshop | IT研修のトレノケート

Oracle Cloud Infrastructure Architect Associate: Hands-on Workshop (バウチャー付) | IT研修のトレノケート

 

 

OCIとAWSをVPN接続する手順|画像付きで詳しく解説

OCIとAWSをVPN接続する手順について、最初に大まかな手順を以下に記載します。基本 OCI の公式ドキュメントに沿えば問題ありません。

  1. AWS:Amazon VPC Transit Gateway の作成
  2. AWS:一時的なカスタマーゲートウェイの作成
  3. AWS:Site-to-Site VPN 接続の作成
  4. AWS:設定ファイルのダウンロード
  5. OCI:Dynamic Routing Gateway の作成
  6. OCI:顧客構内機器の作成
  7. OCI:サイト間 VPN の作成
  8. AWS:本番用カスタマーゲートウェイの作成
  9. AWS:Site-to-Site VPN 接続の設定変更
  10. OCIとAWS:疎通確認
  11. OCIとAWS:アタッチメント処理とルーティング追加

肝はAWS側での作業ですね。

  • カスタマーゲートウェイを作り直して再度登録する
  • トンネル内のIPアドレスで利用できる範囲が OCI 側で制限があるので合わせる
  • IPSecの事前共有キーの文字列で OCI 側で使えない文字列があるので合わせる
  • IPSecパラメーターも OCI 側と合わせる

ちょっと上記が注意必要になります。

参考:AWSへのVPN接続

1.AWS:Amazon VPC Transit Gateway の作成

ネットワーク同士をつなげるサービスとして AWS では Amazon VPC Transit Gateway、OCI では Dynamic Routing Gatewayがそれぞれありますね。

あと AWS のネットワーク:VPC に接続するためにも AWS 側は Amazon VPC Transit Gateway を作っておきます。ちなみに ASN は64512を指定しました。

 

さくっと出来ました。

2.AWS:一時的なカスタマーゲートウェイの作成

次に AWS にて「OCI 側の VPN 接続先」となるカスタマーゲートウェイを作成します。しかしまだ OCI 側では何も準備していないので接続先のIPアドレスがわかりません。

このあと AWS 側で作成する Site-to-Site VPN 接続でこのカスタマーゲートウェイを使うのですが、Site-to-Site VPN 接続で指定するカスタマーゲートウェイは変更が出来るので、「一時的なカスタマーゲートウェイ」として作成します。

あとで変更してこのカスタマーゲートウェイは削除するので、名前もIPアドレスも適当な内容で登録します。

すぐに出来ました。

3.AWS:Site-to-Site VPN 接続の作成

一時的なカスタマーゲートウェイが出来上がりました。ここで AWS 側の Site-to-Site VPN の設定を行いますが、ここが OCI と接続する際の今回の肝になります。

理由として、OCI 側の仕様に合わせ各種設定に気をつける必要があります。まずは基本の設定項目から埋めていきましょう。

  • 名前タグ:VPN接続名
  • ターゲットゲートウェイのタイプ:Transit Gateway
  • カスタマーゲートウェイ:先ほど作成した一時的なカスタマーゲートウェイ

ここまでは問題ありません。

次のトンネルオプションの部分に注意が必要です。

実は OCIでは、トンネル内IPに次のIP範囲を使用することはできません。

  • 169.254.10.0-169.254.19.255
  • 169.254.100.0-169.254.109.255
  • 169.254.192.0-169.254.201.255

よって上記範囲外のIP範囲を指定する必要があります。私は今回は169.254.21.0/30と169.254.22.0/30をそれぞれのトンネルに指定するようにしました。

次に、事前共有キーです。実は OCI では事前共有キーも使える文字、使えない文字など決まりがあります。

事前共有キー:トンネルの事前共有キーを自動生成するためにAWSに依存している場合、生成されたキーにはピリオドまたはアンダースコア(.または_)文字が含まれている可能性があります。OCIでは、事前共有キーでこれらの文字はサポートされていません。AWSで自動生成されたパスワードにこれらの文字が含まれている場合は、VPN構成を完了する前に、関連するトンネル用の事前共有キーを変更します。

よって、アンダースコアやピリオドを使わないように、事前共有キーを設定しました。

必要な設定は、まだあります。

IPSec トンネル確立時の暗号化アルゴリズムも OCI 側で仕様がありますのでそれに準じるようにしていきます。

参考:OCI サポートされているIPSecパラメータ

具体的には以下のように設定しました。

  • フェーズ1暗号化アルゴリズム:AES256
  • フェーズ2暗号化アルゴリズム:AES256
  • フェーズ1整合性アルゴリズム:SHA2-384
  • フェーズ2整合性アルゴリズム:SHA2-256
  • フェーズ1DHグループ番号:20
  • フェーズ2DHグループ番号:5
  • IKEバージョン:ikev2

 

 

トンネル2側も同じように設定しても良いのですが、あまり意味がありません。

実は OCI 側では IPSec の両トンネルが単一の接続先の IPアドレスを指定になります。つまり OCI 側はトンネル単位でIPアドレスが指定出来ないので、今回の AWS 側のトンネル2を使わない事になります。

AWS 側の Site-to-Site VPN設定はこれで終わりなので作成します。

4.AWS:設定ファイルのダウンロード

Site-to-Site VPN 設定が作成して終わったら、OCI 側で参照するために設定ファイルをダウンロードします。

接続先相手が設定する際に参考となる資料をここでダウンロードするわけですが、様々な通信機器メーカーさんが一覧で出てきます。

今回は接続相手が OCI となりますので、汎用的な Generic を選択します。

ダウンロードした設定ファイルを開いてみると、OCI で利用する設定項目の確認ができます。

今回 OCI で使うのは以下の部分です。

 

  • Outside IP Address
    • Customer Gateway:先ほど仮で設定した一時的なCustomer Gateway のIPアドレス
    • Virtual Private Gateway:OCI 側で CPE を作成する時に指定する AWS 側のグローバル IP アドレス
  • Inside IP Address
    • Customer Gateway:OCI 側がトンネル内部で使う IPアドレス
    • Virtual Private Gateway: AWS 側がトンネル内部で使うIPアドレス
  • Virtual Private Gateway ASN: OCI 側が指定する AWS側の ASNです(デフォルトは64512

いったん AWS 側の作業が一段落したので、次は OCI 側の作業です

5.OCI:Dynamic Routing Gateway の作成

OCI でも ネットワーク同士をつなげるサービス Dynamic Routing Gateway(DRG) を作成します。これは OCI 側のサイト間 VPN を作成する際に指定する必要があるので前もって作成します。

少し待ちますが、利用料無料のDRGが作成できました。

 

6.OCI:顧客構内機器の作成

いよいよ AWS 側で作成した Site-to-Site VPN のグローバルIPアドレスを OCI 側では顧客構内機器(CPE)として登録します。

 

先ほどダウンロードした設定ファイルの Virtual Private Gateway の IP アドレスを CPEとして登録します。なお、ベンダーは Other で問題ありません。

この CPE の登録はさくっと終わります。

 

7.OCI:サイト間 VPN の作成

DRG や CPE の準備も済んだので、サイト間VPN にて IPSec接続 を作成します。

 

名前を入力し、顧客構内機器と動的ルーティングゲートウェイは登録したものを選択します。

次に事前共有キーを入力していきます。AWS 側で登録した共有シークレットをカスタム共有シークレットとして設定します。もちろんIKEのバージョンはIKEv2です

先程ダウンロードした設定ファイルに記載されている各種情報を参照しながら設定します。

  • ルーティングは、BGP動的ルーティングを選択
  • BGP ASNは「Virtual Private  Gateway ASN 」
  • IPv4トンネル内インターフェイス-CPEは「Virtual Private GatewayのIPアドレス」
  • IPv4トンネル内インターフェイス-Oracleは「Customer GatewayのIPアドレス」

それぞれ入力します。入力が終わったら IPSec 接続の作成ボタンを押します。

 

少し待ちますが無事に作成できました。

 

作成後、グローバルIPアドレスが発行されるのでこれを新たに AWS側のカスタマーゲートウェイとして登録します。

 

8.AWS:本番用カスタマーゲートウェイの作成

最初に一時的に作成した AWS のカスタマーゲートウェイ。

OCI 側でグローバルIPアドレスがわかったので差し替え登録します。

名前はわかりやすいように設定します。また BGP ASN は Oracleは 31898 を指定します(ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です)

IP アドレスは先程発行された OCI 側のグローバル IP アドレスを指定してカスタマーゲートウェイを登録します。

一時的なカスタマーゲートウェイと本番用カスタマーゲートウェイと2つが揃いました。

9.AWS:Site-to-Site VPN 接続の設定変更

本番用カスタマーゲートウェイが登録出来たので、AWS で登録した Site-to-Site VPN 接続の設定を変更します。

具体的には一時的なカスタマーゲートウェイから本番用カスタマーゲートウェイへの差し替えです。

作成済の VPN 接続を選択し、アクションから 「VPN 接続を変更」を押します。

カスタマーゲートウェイを本番用に差し替えて、変更を保存を押します。

変更処理に時間がかかって少し待ちますが、無事に更新されました。

更新後は一時的なカスタマーゲートウェイは削除して問題ありません。

 

10.OCIとAWS:疎通確認

AWS 側の Site-to-Site VPN の更新が終わったら疎通確認をしてみましょう。状態が変わるのに少し待ち時間が必要なので、このあたりでトイレ休憩に入ったほうが良さそうです。

少し待つと、AWS側では VPN 接続のトンネルの詳細から状況確認ができます。

 

OCI 側ではサイト間VPNの設定を選択し、トンネル情報を見ると確認ができます。

無事にそれぞれTunnel1が繋がってますね。BGP もアップして稼働しています。

 

11.OCIとAWS:アタッチメント処理とルーティング追加

OCI、AWS ともにネットワークを集約する機能(Transit Gateway や Dynamic Routing Gateway)で VPN 接続出来ました。あとは VPC や VCN 等、それぞれのネットワークなどにアタッチし、そのネットワークで経路を追加してあげれば良いですね。

  アタッチするネットワーク機能 経路設定箇所
 OCI VPC VPCのサブネットに関連付けたルートテーブル
 AWS VCN VCNのサブネットに関連付けたルートテーブル

AWS だとTransit Gateway で VPC にアタッチメント処理

アタッチしたVPCのサブネットに関連付けられたルートテーブルで、OCI 側 CIDRブロックの経路を指定

同様に OCI でもDynamic Routing Gateway で VCN へアタッチメント処理をします。

 

その後、アタッチしたVCNのサブネットに関連付けたルートテーブルで AWS 側 CIDRブロックの経路指定

それぞれの経路設定が終わると、伝播して情報として確認ができます。

OCI だと受信した BGP ルートがトンネル情報ページから確認できますね。

 

ちなみに OCI はデフォルトで作成されるセキュリティリストはsshポートがフルオープンなので、プライベートIP指定でAWSからssh接続もすぐ出来ちゃいます。

 

さくっと検証が出来ました。

Oracle MyLearn の演習環境で VPN 接続も出来るとは思わなかったのでちょっとした驚きです。

 

 

OCI トレーニングでマルチクラウド対応スキルを身につける

今回ご紹介したOCIの演習は、一見制限されたトレーニング環境での体験ですが、内容をきちんと理解すれば、実際の業務にもすぐ応用できる強力なスキルとなります。

VPN 接続のようなオープンな技術を使いこなせると、OCI はもちろん、他のクラウドにも応用できる「マルチクラウド人材」への第一歩にもなります。

 

また、今回の演習で登場した「Dynamic Routing Gateway(DRG)」や「顧客構内機器(CPE)」など、OCIならではの技術要素や概念についても、私が担当するトレーニングコースでは、他クラウドとの違いや実例を交えて、より深く・実践的に学べるように構成しています。

 

「クラウドの構築って難しそう…」
「いろんなクラウドサービスを使い分けたいが覚えづらい…」
 
初級編については、手を動かしながら楽しく学べる初心者向けのカリキュラムになっています。
  • 初級編

Oracle Cloud Infrastructure Foundation Associate:Hands-on Workshop | IT研修のトレノケート

 

中級編は、3日間のコースでより深くOCIの実践スキルを習得したい経験者の方におすすめです。

  • 中級編

Oracle Cloud Infrastructure Architect Associate: Hands-on Workshop | IT研修のトレノケート

Oracle Cloud Infrastructure Architect Associate: Hands-on Workshop (バウチャー付) | IT研修のトレノケート

 
弊社では、OCIやマルチクラウドのスキルアップを目指す皆様の知識習得をサポートいたします。
ぜひ、一緒に楽しく実務に役立つスキルを身に付けましょう!
OCIトレーニング|OCIの基礎習得ならIT研修のトレノケート

 
完全な記事を表示