その他のVCNへのアクセス: ピアリング
VCNピアリングは、複数の仮想クラウド・ネットワーク(VCN)を接続するプロセスです。4つのタイプのVCNピアリングがあります:
- LPGを使用したローカルVCNピアリング(リージョン内)
- RPCを使用したリモートVCNピアリング(リージョン間)
- アップグレード済DRGを介したローカルVCNピアリング
- アップグレード済DRGを介したリモートVCNピアリング
VCNピアリングを使用すると、ネットワークを(たとえば、部門や営業品目に基づいて)複数のVCNに分割し、各VCNに他のVCNへの直接のプライベート・アクセス権を持たせることができます。トラフィックがインターネットを通過したり、サイト間VPNまたはFastConnect経由でオンプレミス・ネットワークを通過する必要はありません。また、共有リソースを、他のすべてのVCNがプライベート・アクセスできる1つのVCN内に配置することもできます。
各VCNは、最大10個のローカル・ピアリング・ゲートウェイを保有し、1つのDRGにのみアタッチできます。1つのDRGで最大300のVCNアタッチメントがサポートされるため、DRGのルート表の指示に従って、それらの間のトラフィックが流れます。多数のVCNとピアリングする必要がある場合は、DRGを使用することをお薦めします。同じリージョン内の2つのVCN間で非常に高い帯域幅と超低レイテンシ・トラフィックが必要な場合は、ローカル・ピアリング・ゲートウェイを使用したローカルVCNピアリングで説明されているシナリオを使用します。アップグレードされたDRGを介したローカルVCNピアリングでは、アタッチメントの数が多いため、ルーティングの柔軟性が向上します。
リモートVCNピアリングは複数のリージョンにわたるため、これを使用すると、(たとえば)異なるリージョン間でデータベースのミラーリングやバックアップを行うことができます。
ローカルVCNピアリングの概要
ローカルVCNピアリングとは、同じリージョン内の2つのVCNを接続し、それらのリソースがインターネット経由またはオンプレミス・ネットワーク経由でトラフィックをルーティングすることなく、プライベートIPアドレスを使用して通信できるようにするプロセスです。VCNは、同じOracle Cloud Infrastructureテナンシまたは異なるテナンシに配置できます。ピアリングを行わない場合、特定のVCNは、別のVCNと通信する必要があるインスタンスに対してインターネット・ゲートウェイおよびパブリックIPアドレスを必要とします。
アップグレードされたDRGを介したローカルVCNピアリングにより、ルーティングの柔軟性と管理の簡素化が実現されますが、仮想ルーターであるDRGを介したトラフィックのルーティングにより、レイテンシが(マイクロ秒単位で)増加するコストがかかります。
ピアリングの重要な意味
この項では、ピアリングされたVCNに関するアクセス制御、セキュリティおよびパフォーマンスへの影響についてまとめます。通常は、IAMポリシー、各VCN内のルート表、および各VCN内のセキュリティ・リストを使用して、ピアリングされた2つのVCN間のアクセスとトラフィックを制御できます。
ピアリングの確立の制御
IAMポリシーを使用すると、次のことを制御できます:
- テナンシを別のリージョンにサブスクライブできるユーザー(リモートVCNピアリングで必要)
- VCNピアリングを確立する権限を持つ組織内のユーザー(例については、ローカル・ピアリングの設定とリモート・ピアリングの設定のIAMポリシーを参照してください)。これらのIAMポリシーを削除しても既存のピアリングには影響せず、将来のピアリングを作成する機能にのみ影響します。
- ルート表およびセキュリティ・リストを管理できるユーザー
接続でのトラフィック・フローの制御
VCNと他のVCNの間にピアリング接続が確立されている場合でも、VCN内のルート表を使用して接続上のパケット・フローを制御できます。たとえば、トラフィックを他のVCNの特定のサブネットのみに制限できます。
ピアリングを終了しなくても、VCNから他のVCNにトラフィックを転送するルート・ルールを削除するだけで、他のVCNへのトラフィック・フローを停止できます。また、他のVCNとのイングレス・トラフィックまたはエグレス・トラフィックを有効にするセキュリティ・リスト・ルールを削除することでも、トラフィックを実質上停止できます。この場合、ピアリング接続を介するトラフィック・フローは停止されず、VNICレベルでトラフィック・フローが停止されます。
ルーティングおよびセキュリティ・リストの詳細は、次の各項の説明を参照してください:
ローカル・ピアリング・グループを使用したローカルVCNピアリング:
リモート・ピアリング接続を使用したリモートVCNピアリング:
Dynamic Routing Gateway (DRG)を使用したローカルVCNピアリング:
- ローカル・ピアリングの重要な概念
- タスクD: VCN-BのCIDRを宛先とするトラフィックをDRGアタッチメントに送信するためのVCN-Aでのルート表の構成
- タスクE: VCN-AのCIDRを宛先とするトラフィックをDRGアタッチメントに送信するためのVCN-Bでのルート表の構成
- タスクF: セキュリティ・ルールの更新
動的ルーティング・ゲートウェイ(DRG)を使用したリモートVCNピアリング:
許可されている特定のタイプのトラフィックの制御
各VCN管理者は、他のVCNとのアウトバウンド・トラフィックおよびインバウンド・トラフィックがすべて意図または予期されたものであり、適切に定義されていることを確認することが重要です。これは、実際には、VCNが他のVCNに送信できるトラフィックのタイプおよび他のVCNから受入れできるトラフィックのタイプを明示的に示すセキュリティ・リスト・ルールを実装するということです。
プラットフォーム・イメージを実行しているインスタンスには、そのインスタンスへのアクセスを制御するOSファイアウォール・ルールもあります。インスタンスへのアクセスのトラブルシューティングを行う場合は、次の項目がすべて正しく設定されていることを確認してください:
- インスタンスが存在するネットワーク・セキュリティ・グループ内のルール
- インスタンスのサブネットに関連付けられているセキュリティ・リスト内のルール
- インスタンスのOSファイアウォール・ルール
インスタンスでOracle Autonomous Linux 8.x、Oracle Autonomous Linux 7、Oracle Linux 8、Oracle Linux 7またはOracle Linux Cloud Developer 8を実行している場合は、firewalldを使用してiptablesルールを操作する必要があります。参照用に、ポート(この例では1521)をオープンするためのコマンドを次に示します:
sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
sudo firewall-cmd --reload
ISCSIブート・ボリュームを持つインスタンスでは、前述の--reload
コマンドで問題が発生することがあります。詳細および回避策については、firewall-cmd --reloadの実行後にインスタンスでシステム・ハングが発生しますを参照してください。
セキュリティ・リストおよびファイアウォールの他に、VCNのインスタンス上のその他のOSベースの構成を評価する必要があります。自分のVCN CIDRには適用されないが、他のVCNのCIDRに意図せず適用されるデフォルト構成がある場合があります。
デフォルト・セキュリティ・リストのルールの使用
VCNのサブネットでデフォルト・セキュリティ・リストを付属のデフォルト・ルールで使用する場合、任意の場所(つまり、0.0.0.0/0。したがって他のVCN)からのイングレス・トラフィックを許可する2つのルールがあることに注意してください:
- 0.0.0.0/0および任意のソース・ポートからのTCPポート22 (SSH)トラフィックを許可するステートフル・イングレス・ルール
- 0.0.0.0/0および任意のソース・ポートからのICMPタイプ3、コード4トラフィックを許可するステートフル・イングレス・ルール
これらのルールと、それらを保持するか更新するかを評価します。前述したように、許可するすべてのインバウンド・トラフィックまたはアウトバウンド・トラフィックが、意図/予期したものであり、適切に定義されていることを確認します。
パフォーマンスへの影響およびセキュリティ・リスクに対する準備
一般に、他のVCNによる影響を考慮して自分のVCNを準備します。たとえば、VCNまたはそのインスタンスに対する負荷が増加する可能性があります。または、他のVCNから直接、あるいは他のVCN経由で自分のVCNが悪意のある攻撃を受ける可能性があります。
パフォーマンスについて: 自分のVCNが他のVCNにサービスを提供している場合、他のVCNの需要に備えてサービスをスケール・アップする準備をします。これは、必要に応じて追加のインスタンスを起動する準備のことかもしれません。または、VCNへのネットワーク・トラフィックのレベルが高いことが懸念される場合は、VCNが実行する必要のある接続トラッキングのレベルを制限するためにステートレス・セキュリティ・リスト・ルールの使用を検討します。ステートレス・セキュリティ・リスト・ルールによって、サービス拒否(DoS)攻撃の影響を抑えることもできます。
セキュリティ上のリスクについて: 他のVCNがインターネットに接続しているかどうかを制御できるとはかぎりません。接続している場合は、VCNがバウンス攻撃にさらされ、インターネット上の悪意のあるホストがピアリング相手のVCNからのように見せかけてVCNにトラフィックを送信する可能性があります。これを防ぐには、前述のとおり、セキュリティ・リストを使用して、他のVCNからのインバウンド・トラフィックを、予期されており、適切に定義されたトラフィックに慎重に制限します。