オンプレミス・ネットワークへの接続のルーティング詳細
冗長性などの理由から、オンプレミス・ネットワークとVirtual Cloud Network (VCN)の間に複数のサイト間接続を使用することがあります。
For example, you might use both FastConnect private peering and Site-to-Site VPN to the Dynamic Routing Gateway (DRG) attached to a VCN.または、DRGへの冗長サイト間VPN接続を使用できます(シナリオの例は、複数の地理領域を使用したレイアウトの例を参照)。または、FastConnectパブリック・ピアリング、FastConnectプライベート・ピアリングおよびサイト間VPNを使用できます。
このトピックでは、複数の接続がある場合のルート通知とパス・プリファレンスに関する重要な詳細について説明します。
オンプレミス・ネットワークへのDRGルート通知
FastConnectプライベート・ピアリングとサイト間VPNは、オンプレミス・ネットワークに対してVCNへのプライベート・アクセスを提供します。両方のタイプの接続は、VCNにアタッチされている単一のDRGで終了します。サイト間VPNでは、Border Gateway Protocol (BGP)または静的ルーティング(あるいはその両方)を使用できます。FastConnectは、ルート通知に常にBGPを使用します。
動的ルーティングを使用するように構成された仮想マシンおよびIPSecトンネルへのアタッチメントの場合、DRGは、割り当てられたDRGルート表に含まれるすべてのルートを通知します。
If an attached VCN is using ingress routing to grant access to Oracle services through the VCN's service gateway , you can observe the route listed as a single mnenomic route using the ListDrgRouteRules API operation. When this route is propagated to another DRG through an RPC or advertised to the on-premises network using BGP, it appears as a set of literal rules. For a list of those ranges, see Public IP Addresses for VCNs and the Oracle Services Network.
静的ルーティングを使用するサイト間VPNを使用していて、オンプレミス・ネットワークがOracleサービスにプライベート・アクセスできるようにVCNが構成されている場合、DRGによって(サービス・ゲートウェイを介して)プライベート・パス経由で通知されるOracle Services NetworkパブリックIP範囲のルートを使用してエッジ・デバイスを構成する必要があります。これらの範囲のリストについては、VCNのパブリックIPアドレスおよびOracle Services Networkを参照してください。
AS_PATHを使用したOracleからオンプレミス・ネットワークへのルートの優先
この項では、BGPのAS_PATH属性を使用して、単一のDRGルート表のコンテキストでルート選択に影響を与える方法について詳細に説明します。
異なるパスのルートが同じ場合、Oracleは、Oracleへの接続の開始に使用されたパスには関係なく、オンプレミス・ネットワークにトラフィックを送信する際に最短のASパスを使用します。 したがって、非対称ルーティングが許可されます。ここでの非対称ルーティングは、リクエストに対するOracleのレスポンスが、リクエストとは異なるパスに従うことを意味します。たとえば、エッジ・デバイス(顧客構内機器またはCPEとも呼ばれる)の構成方法に応じて、サイト間VPNを介してリクエストを送信できますが、OracleレスポンスはFastConnectを介して戻ることができます。ルーティングを強制的に対称にするには、ルートの先頭にBGPおよびASパスを使用して、Oracleが接続に応答および開始するときに使用するパスに影響を与えることをお薦めします。
Oracleは、オンプレミス・ネットワークとVCN間の複数の異なる接続タイプでエッジ・デバイスが同じルートおよびルーティング属性を通知する場合に使用するパスのプリファレンスを確立するために、ASパス・プリペンドを実装しています。次の表に詳細を示します。他の方法でルーティングに影響を与えない場合、同じルートが接続のOracle終端にあるDRGへの複数のパスを経由して通知されるときに、Oracleにより次の順序でパスが優先されます:
| Oracleプリファレンス | パス | Oracleによるパス優先方法の詳細 | ルートのASパスの結果 |
|---|---|---|---|
| 1 | FastConnect | Oracleは、エッジ・デバイスが通知するルートにASNを追加せず、ASパスの合計長は1になります。 | オンプレミスASN |
| 2 | BGPルーティングを使用したサイト間VPN | Oracleは、エッジ・デバイスがBGPを使用したサイト間VPNを介して通知するすべてのルートに単一のプライベートASNを追加し、ASパスの合計長は2になります。 | プライベートASN、オンプレミスASN |
| 3 | 静的ルーティングを使用したサイト間VPN | Oracleは、指定した静的ルートに3つのプライベートASNを付加します(Oracleは、IPSec VPNのOracle側のDynamic Routing Gateway (DRG)にこれらのルートを通知します)。この結果、ASパスの合計長は3になります。 | プライベートASN、プライベートASN、プライベートASN |
前述の表では、ASパスに単一の自律システム番号を送信することを前提としています。Oracleは、ユーザーが送信する完全なASパスに従います。静的ルーティングを使用し、「オンプレミスASN」に加えて2つ以上の他のASNを含むASパスも送信すると、Oracleのルーティング・プリファレンスが変更される可能性があるため、予期しない動作が発生することがあります。
ポリシーベースのVPN静的ルーティングの動作については前述しましたが、Oracleでは、VPNバックアップでFastConnect接続を使用する場合は、IPSecルートベースのVPNでBGPを使用することもお薦めします。この方法では、フェイルオーバー動作を完全に制御できます。
オンプレミス・ネットワークからOracleまでの距離のルーティング・プリファレンス
オンプレミス・ネットワークからOracleにトラフィックを送信するときに、特定のパスを好むようにエッジ・デバイスを構成できます。次の項では、オンプレミス・ホストがOracleサービスを使用している場合に、一貫したトラフィック・パスを保証するためにそれを行う必要がある特定の状況について説明します。
オンプレミス・ネットワークは、複数のパスを介してオブジェクト・ストレージなどのパブリックOracle Services Networkサービスにアクセスできます。インターネットなどのパブリック・パス、またはFastConnectパブリック・ピアリングを使用できます。これらのパブリック・パスを使用する場合、オンプレミス・ホストは、パブリックIPアドレスを使用してOracleサービスと通信します。
You can also set up the on-premises network with private access to Oracle services through the VCN's service gateway . A service gateway lets hosts in the on-premises network use any of the services listed in Service Gateway: Supported Cloud Services in Oracle Services Network and communicate with those Oracle services from private IP addresses.
Oracleサービスへのいくつかの接続パスを使用してオンプレミス・ネットワークを構成した場合、エッジ・デバイスは、複数のパスにまたがるOracleサービスのパブリックIPアドレス・ルートのルート通知を受信する場合があります。オンプレミス・ネットワークで使用できる可能性のあるパスを次に示します:
- パブリック・アクセス・パス:
- インターネット・サービス・プロバイダ(ISP)
- FastConnectパブリック・ピアリング
- VCNのDRGおよびサービス・ゲートウェイを介したプライベート・アクセス・パス:
- FastConnectプライベート・ピアリング
- サイト間VPN
エッジ・デバイスは、DRGから(場合によってはルーターからパブリック・パスを経由して)ルート通知を受信します。DRGが通知するOracleサービスのほとんどのルートには、パブリック・アクセス・パスで通知されるOracleサービスのルートよりも長い接頭辞(より特定的なもの)があります。したがって、Oracleサービスへのパブリック・アクセスとプライベート・アクセスの両方を使用してネットワークを設定する場合、オンプレミス・ネットワークからOracleサービスへのトラフィックのためにDRGへのプライベート・アクセス・パスを好むようにエッジ・デバイスを構成する必要があります。パブリック・アクセスとプライベート・アクセスの両方を設定すると、Oracleサービスにアクセスするための一貫したパスが保証されます。
FastConnectパブリック・ピアリング経由で通知されます。FastConnectパブリック・ピアリングの通知ルートを参照してください。
プライベート・パス(サービス・ゲートウェイのあるVCN用)経由で通知されるリージョナル・パブリックIP範囲のリストは、VCNのパブリックIPアドレスおよびOracle Services Networkを参照してください。
ルート・フィルタリング
ルート・フィルタリングを使用すると、オンプレミス・ネットワークへのBGPアドバタイズメントに含めるルートを決定できます。RFC 5291では、ルート・フィルタリングおよびルートのBGP通知に関するより一般的な情報が提供されています。
プライベート仮想回線およびサイト間VPNでは、ルート・フィルタリングはサポートされていません。FastConnect上のパブリック仮想回路は、共有ルートの範囲を定義する選択したルート・フィルタリング設定に従ってルートを通知します。オプションは:
- リージョナル - この仮想回線のリージョンのエフェメラルIPアドレス範囲、予約済IPアドレス範囲およびOracle Services Networkで使用される使用可能なパブリック・ルートのみをオンプレミス・ネットワークに通知します。
- マーケット - この仮想回線のリージョンに対してエフェメラルIPアドレス範囲、予約済IPアドレス範囲およびOSNによって使用される使用可能なパブリック・ルートを通知し、世界中の同じ地域の他のリージョンをオンプレミス・ネットワークにルーティングします。これはデフォルト設定です。4つの各マーケットで使用可能なリージョンは、FastConnectパブリック・ピアリングの通知ルートの記事の表およびマップに示されています。
- グローバル - Oracleクラウドのすべての市場のすべてのリージョンについて、一時的IPアドレス範囲、予約済IPアドレス範囲およびOSNによって使用される使用可能なパブリック・ルートをオンプレミス・ネットワークに通知します。
- Oracle Services Network - ローカル・リージョンのOSNリソースによって使用されるパブリック・ルートのみをオンプレミス・ネットワークに通知します。
FastConnect仮想回路を設定するときに、ルート・フィルタリング・オプションを選択できます。詳細は、FastConnectパートナ、サードパーティ・プロバイダまたはコロケーションのどれを使用しているかによって異なります。
関連リソース
詳細は、次の関連リソースを参照してください: