アップグレード済DRGを介したローカルVCNピアリング
このシナリオでは、アップグレードされたDRGへの相互接続を使用して、2つ以上のVCNs間のトラフィックを有効にする方法について説明します。
概要
ローカル・ピアリング接続を使用するかわりに、同じリージョン内の2つ以上の仮想クラウド・ネットワーク(VCN)間でプライベート・ネットワーク通信を確立するには、それらを共通の動的ルーティング・ゲートウェイ(DRG)にアタッチし、VCNおよびDRGルート表に対して適切に調整します。
このシナリオは、アップグレードされたDRGでのみ使用できます。
レガシーDRGを使用している場合は、ローカル・ピアリング・ゲートウェイを使用したローカルVCNピアリングのシナリオの説明に従って、ローカル・ピアリング・ゲートウェイ(LPG)を使用して同じリージョン内の2つのVCNをピアリングできます。DRGを介した同じリージョン内の2つのVCNのピアリングでは、ルーティングの柔軟性が向上し、管理が簡素化されますが、仮想ルーターのDRGを介してトラフィックをルーティングするため、マイクロ秒単位のレイテンシが増加するというコストが発生します。
このサンプル・シナリオでは、2つのVCNがピアリングされます。このシナリオを実装する前に、次を確認してください:
- VCN-AはDRGにアタッチされていません
- VCN-BはDRGにアタッチされていません
- VCN-AおよびVCN-Bには重複しないCIDRがあります
異なるテナンシのピアリングVCNsには、クロステナンシ認可用のIAMポリシーがさらに必要です。必要な権限の詳細は、VCNs間のルーティングのIAMポリシーを参照してください。別のリージョンのVCNをDRGにアタッチする場合は、別のテナンシ内のVCNへのDRGのアタッチのステップを使用します。このシナリオのステップのほとんどは、DRGと両方のVCNsが同じテナンシにあることを前提としています。
ステップ
DRGを使用して同じリージョン内の2つのVCN間にピアリングを設定するための一般的なプロセスを次に示します:
- DRGの作成: タスクA: DRGの作成を参照してください。
- VCN AのDRGへのアタッチ: タスクB: DRGへのVCN-Aのアタッチを参照してください。
- VCN BのDRGへのアタッチ: タスクC: DRGへのVCN-Bのアタッチを参照してください。
- VCN BのCIDRを宛先とするトラフィックをDRGに送信するためのVCN Aでのルート表の構成: タスクD: VCN-BのCIDRを宛先とするトラフィックをDRGアタッチメントに送信するためのVCN-Aでのルート表の構成を参照してください。
- VCN AのCIDRを宛先とするトラフィックをDRGに送信するためのVCN Bでのルート表の構成: タスクE: VCN-AのCIDRを宛先とするトラフィックをDRGアタッチメントに送信するためのVCN-Bでのルート表の構成を参照してください。
- セキュリティ・ルールの更新: 各VCNのセキュリティ・ルールを更新して、ピアリングされたVCNs間のトラフィックを意図したとおりに有効にします。タスクF: セキュリティ・ルールの更新を参照してください。
このページでは、ピアリングされたVCNに関するアクセス制御、セキュリティおよびパフォーマンスへの影響についてまとめます。IAMポリシー、各VCNのルート表、DRGのルート表および各VCNのセキュリティ・リストを使用して、2つのピアリングされたVCNs間のアクセスおよびトラフィックを制御できます。
DRGを介したピアリングのネットワーキング・コンポーネントのサマリー
DRGを介したローカル・ピアリングに必要なネットワーキング・サービス・コンポーネントの概要は次のとおりです:
- 重複しないCIDRを含む同じリージョン内の2つのVCN
- 各ピアVCNにアタッチされた単一のDynamic Routing Gateway (DRG)。
- 接続を介したトラフィックのフローを可能にするルート・ルールのサポート。各VCN内の選択サブネットに対してのみ有効にします(必要な場合)。
- 他のVCNと通信する必要があるサブネット内のインスタンス間で許可されるトラフィックのタイプを制御するセキュリティ・ルールのサポート。
次の図は、これらのコンポーネントを示しています。
指定されたVCNは次のリソースにアクセスできます:
- 他のVCN内のVNIC
- 転送ルーティングと呼ばれる拡張ルーティング・シナリオがVCNに設定されている場合に、他のVCNにアタッチされているオンプレミス・ネットワーク
DRGと相互接続された2つのVCNは、LPG経由の転送ルーティングを除き、他のクラウド・ゲートウェイ(インターネット・ゲートウェイやNATゲートウェイなど)にアクセスできません。たとえば、前の図のVCN-1にインターネット・ゲートウェイがあっても、VCN-2のインスタンスはそれを使用してインターネット上のエンドポイントにトラフィックを送信できません。ただし、VCN-2は、VCN-1経由でインターネットからトラフィックを受信できます。詳細は、VCNピアリングの重要な意味を参照してください。
ローカル・ピアリングの重要な概念
次の概念は、DRGを使用したVCNピアリングの基本およびローカル・ピアリングの確立方法を理解するのに役立ちます。
- ピアリング
- ピアリングは、2つのVCNs間の関係で、どちらも同じDRGに接続し、トラフィックを相互にルーティングできます。ローカル・ピアリングのローカルという部分は、VCNが同じリージョン内にあることを示します。1つのDRGは、一度に最大300個のローカルDRGアタッチメントを持つことができます。
- 管理者
- 通常、VCNピアリングは、関連するすべてのVCN管理者およびDRG管理者が同意している場合にのみ実行できます。状況によっては、1人の管理者が、関連するすべてのDRG、VCNおよび関連ポリシーを担当します。
- DRGへのルーティング
- VCN構成の一環として、各管理者は、VCN間のトラフィック・フローを可能にするようにVCNのルーティングを更新する必要があります。実際には、これはゲートウェイ(インターネット・ゲートウェイや動的ルーティング・ゲートウェイなど)に設定したルーティングと同様です。他のVCNと通信する必要があるサブネットごとに、サブネットのルート表を更新します。ルート・ルールでは、宛先トラフィックのCIDRとDRGをターゲットとして指定します。VCNは、そのルールに一致するトラフィックをDRGにルーティングし、さらにそこから他のVCN内のネクスト・ホップにトラフィックをルーティングします。
-
コールアウト1: サブネットAルート表 宛先CIDR ルート・ターゲット 172.16.0.0/12 DRG 192.168.0.0/16 DRG 0.0.0.0/0 インターネット・ゲートウェイ コールアウト2: サブネットXルート表 宛先CIDR ルート・ターゲット 172.16.0.0/12 DRG 10.0.0.0/16 DRG - セキュリティ・ルール
- VCNの各サブネットには、パケット・レベルでサブネットのVNIC内外のトラフィックを制御する1つ以上のセキュリティ・リストがあります。セキュリティ・リストを使用して、他のVCNで許可されるトラフィックのタイプを制御できます。VCN構成の一環として、各管理者は、自分のVCN内のどのサブネットが他のVCN内のVNICと通信する必要があるかを判断し、それに応じてサブネットのセキュリティ・リストを更新する必要があります。
コンソールでのこのシナリオの設定
2021年5月より前に作成されたDRGでは、オンプレミス・ネットワークと複数のVCN間のルーティングを実行したり、VCN間のローカル・ピアリングを提供することはできません。この機能が必要で、「DRGのアップグレード」ボタンをクリックすると表示されます。
「DRGのアップグレード」ボタンをクリックすると、既存のすべてのBGPセッションがリセットされ、DRGのアップグレード中はオンプレミス・ネットワークからのトラフィックが一時的に中断されます。アップグレードはロールバックできないことに注意してください。
ピアリングするVCNと同じリージョンで作業しているときに、次のステップを実行します:
- ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「動的ルーティング・ゲートウェイ」を選択します。
- 「リスト範囲」で、in.Theページの更新を操作する権限があるコンパートメントを選択し、そのコンパートメント内のリソースのみを表示します。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
- 「動的ルーティング・ゲートウェイの作成」をクリックします。
-
次の項目を入力します:
- 名前: DRGのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
- コンパートメントに作成: DRGを作成するコンパートメント(現在作業しているコンパートメントと異なる可能性があります)。
- タグ: リソースの作成権限がある場合は、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後で適用できます。
- 「動的ルーティング・ゲートウェイの作成」をクリックします。
新しいDRGが作成され、選択したコンパートメントの「Dynamic Routing Gateways」ページに表示されます。DRGは、短い間「プロビジョニング中」状態になります。プロビジョニングの完了後にのみ、ネットワークの他の部分に接続できます。
プロビジョニングには、2つのルート表の作成が含まれます。1つは接続されたVCN用のルート表、もう1つは仮想回線やIPSecトンネルなどのその他のリソース用のルート表です。デフォルト・ルート表は削除できませんが、編集できます。未変更のままにした場合、DRGのデフォルト・ルーティング・ポリシーにより、アタッチされているすべてのVCN間でトラフィックをルーティングできます。
アップグレードされたDRGのデフォルト・ルーティング表は、下位互換性のためにレガシーDRGと同じルーティング動作を実装しています。
アップグレードされたDRGは多くのVCNにアタッチできますが、VCNは一度に1つのDRGにのみアタッチできます。アタッチメントはVCNを保持するコンパートメントに自動的に作成されます。VCNは、アップグレードされたDRGと同じコンパートメントまたはテナンシに存在する必要はありません。
同じリージョン内の複数のVPNを同じDRGに接続し、DRGルーティング表を適切に構成した場合、ネットワーク設計全体からローカル・ピアリング接続を除外できます。
異なるテナンシのピアリングVCNsには、クロステナンシ認可用のIAMポリシーがさらに必要です。必要な権限の詳細は、VCNs間のルーティングのIAMポリシーを参照してください。別のリージョンのVCNをDRGにアタッチする場合は、別のテナンシ内のVCNへのDRGのアタッチのステップを使用します。
次の手順では、アップグレードされたDRGに移動して、アタッチするVCNを選択します。かわりに、VCNに移動して、アタッチするするDRGを選択することもできます。
- ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「動的ルーティング・ゲートウェイ」を選択します。
- VCN AにアタッチするアップグレードされたDRGをクリックします。
- 「Resources」で、「Virtual Cloud Network Attachment」をクリックします。
- 「VCNアタッチメントの作成」をクリックします。
- (オプション)アタッチメント・ポイントにわかりやすい名前を付けます。名前を指定しない場合、自動的に作成されます。
- リストからVCN Aを選択します。VCNが現在のコンパートメント内にない場合は、「コンパートメントの変更」をクリックして別のコンパートメントを選択し、リストからVCN Aを選択することもできます。
- (オプション)転送ルーティング用の高度なシナリオを設定している場合は、VCNルート表をDRGアタッチメントに関連付けることができます(これは後から実行できます):
- 「拡張オプションの表示」をクリックします。
- 「VCNルート表」タブをクリックします。
- DRGのVCNアタッチメントに関連付けるルート表を選択します。「なし」を選択すると、デフォルトのVCNルート表が使用されます。
- 「VCNアタッチメントの作成」をクリックします。
短い間、アタッチメントは「アタッチ中」状態になります。
アタッチメントの準備ができたら、このDRGにサブネット・トラフィックを転送するルート・ルールを作成します。サブネットのトラフィックをDRGにルーティングするにはを参照してください。
DRGは多くのVCNにアタッチできますが、VCNは一度に1つのDRGにのみアタッチできます。アタッチメントはVCNを保持するコンパートメントに自動的に作成されます。VCNは、DRGと同じコンパートメントに存在する必要はありません。
同じリージョン内の複数のVPNを同じDRGに接続し、DRGルーティング表を適切に構成した場合、ネットワーク設計全体からローカル・ピアリング接続を除外できます。
異なるテナンシのピアリングVCNsには、クロステナンシ認可用のIAMポリシーがさらに必要です。必要な権限の詳細は、VCNs間のルーティングのIAMポリシーを参照してください。別のリージョンのVCNをDRGにアタッチする場合は、別のテナンシ内のVCNへのDRGのアタッチのステップを使用します。
次の手順では、DRGに移動して、アタッチするVCNを選択します。かわりに、VCNに移動して、アタッチするするDRGを選択することもできます。
- ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「動的ルーティング・ゲートウェイ」を選択します。
- VCN BにアタッチするDRGをクリックします。
- 「Resources」で、「Virtual Cloud Network Attachment」をクリックします。
- 「VCNアタッチメントの作成」をクリックします。
- (オプション)アタッチメント・ポイントにわかりやすい名前を付けます。名前を指定しない場合、自動的に作成されます。
- リストからVCN Bを選択します。「コンパートメントの変更」をクリックして、VCN Bを含むコンパートメントを選択し、リストからVCN Bを選択することもできます。
- (オプション)転送ルーティング用の高度なシナリオを設定している場合は、VCNルート表をDRGアタッチメントに関連付けることができます(これは後から実行できます):
- 「拡張オプションの表示」をクリックします。
- 「VCNルート表」タブをクリックします。
- DRGのVCNアタッチメントに関連付けるルート表を選択します。「なし」を選択すると、デフォルトのVCNルート表が使用されます。
- 「VCNアタッチメントの作成」をクリックします。
短い間、アタッチメントは「アタッチ中」状態になります。
アタッチメントの準備ができたら、このDRGにサブネット・トラフィックを転送するルート・ルールを作成します。サブネットのトラフィックをDRGにルーティングするにはを参照してください。
前述のように、各管理者はVCNがDRGにアタッチされる前後にこのタスクを実行できます。
前提条件: 各管理者には、他のVCNのCIDRブロックまたは特定のサブネットが必要です。
VCN Aの場合:
- VCN-A内のどのサブネットが他方のVCNと通信する必要があるかを判断します。
-
それらの各サブネットのルート表を更新し、他方のVCN CIDR宛のトラフィックをDRGに転送する新しいルールを含めます:
- ナビゲーション・メニューを開き、「ネットワーキング」、「仮想クラウド・ネットワーク」の順に選択します。
- 目的のVCN (VCN-A)をクリックします。
- 「リソース」で、「ルート表」をクリックします。
- 目的のルート表をクリックします。
-
「ルート・ルールの追加」をクリックし、次の情報を入力します:
- ターゲット・タイプ: 動的ルーティング・ゲートウェイ。
- 接続先CIDRブロック: VCN-BのCIDRブロック。必要に応じて、VCN-BのCIDRの任意のサブネットまたは特定のサブセットを指定できます。
- ターゲット・コンパートメント:他方のVCNが配置されているコンパートメント(現在のコンパートメントではない場合)。
- ターゲット: DRG。
- 説明: ルールのオプションの説明。
- 「ルート・ルールの追加」をクリックします。
ルールに一致する宛先のサブネット・トラフィックは、DRGにルーティングされます。ルート・ルールの設定の詳細は、VCNルート表を参照してください。
今後、ピアリングが不要になってピアリング関係を終了する場合は、他方をターゲットとして指定しているVCN内のすべてのルート・ルールを最初に削除します。
必要なルーティングがない場合、トラフィックはピアリングされたVCN間を流れません。ピアリング関係を一時的に停止する必要がある状況が発生した場合は、トラフィックを有効にするルート・ルールを削除します。
前述のように、各管理者はVCNがDRGにアタッチされる前後にこのタスクを実行できます。
前提条件: 各管理者には、他のVCNのCIDRブロックまたは特定のサブネットが必要です。
VCN-Bの場合:
- VCN B内のどのサブネットが他方のVCNと通信する必要があるかを判断します。
-
それらの各サブネットのルート表を更新し、他方のVCN CIDR宛のトラフィックをDRGに転送する新しいルールを含めます:
- ナビゲーション・メニューを開き、「ネットワーキング」、「仮想クラウド・ネットワーク」の順に選択します。
- 目的のVCN (VCN-B)をクリックします。
- 「リソース」で、「ルート表」をクリックします。
- 目的のルート表をクリックします。
-
「ルート・ルールの追加」をクリックし、次の情報を入力します:
- ターゲット・タイプ: 動的ルーティング・ゲートウェイ。
- 接続先CIDRブロック: VCN-AのCIDRブロック。必要に応じて、VCN AのCIDRブロックの任意のサブネットまたは特定のサブセットを指定できます。
- ターゲット・コンパートメント:他方のVCNが配置されているコンパートメント(現在のコンパートメントではない場合)。
- ターゲット: DRG。
- 説明: ルールのオプションの説明。
- 「ルート・ルールの追加」をクリックします。
ルールに一致する宛先のサブネット・トラフィックは、DRGにルーティングされます。ルート・ルールの設定の詳細は、VCNルート表を参照してください。
後でピアリングが不要になってピアリング関係を終了する場合は、他方のVCNをターゲットとして指定しているVCN内のすべてのルート・ルールを削除します。
必要なルーティングがない場合、トラフィックはピアリングされたVCN間を流れません。ピアリングを一時的に停止する必要がある状況が発生した場合は、トラフィックを有効にするルート・ルールのみを削除できます。
前述のように、各管理者は接続の確立前後にこのタスクを実行できます。
前提条件: 各管理者には、他のVCNのCIDRブロックまたは特定のサブネットが必要です。通常は、タスクE: ルート表の構成にあるルート表のルールで使用したものと同じCIDRブロックを使用します。
どのルールを追加する必要がありますか。
- 他方のVCN (特にVCNのCIDRや特定のサブネット)から許可するトラフィックのタイプに関するイングレス・ルール。
- 自分のVCNから他方のVCNへの送信トラフィックを許可するエグレス・ルール。サブネットに、すべての宛先(0.0.0.0/0)へのすべてのタイプのプロトコルに対応する広範囲のエグレス・ルールがすでにある場合は、他方のVCN用に特別なルールを追加する必要はありません。
各VCNについて:
- VCN内のどのサブネットが他方のVCNと通信する必要があるかを判断します。
-
それらの各サブネットのセキュリティ・リストを更新して、目的の(他方のVCNのCIDRブロックまたはサブネットを使用する)エグレス・トラフィックまたはイングレス・トラフィックを許可するルールを含めます:
- コンソールで、目的のVCNを表示している状態で、「セキュリティ・リスト」をクリックします。
- 関心のあるセキュリティ・リストをクリックします。
- 「リソース」で、使用するルールのタイプに応じて、「イングレス・ルール」または「エグレス・ルール」のいずれかをクリックします。
-
ルールを追加する場合は、「イングレス・ルールの追加」(または「エグレス・ルールの追加」)をクリックします。
例他方のVCN CIDRからのイングレスHTTPS (ポート443)トラフィックを有効化するステートフル・ルールを追加するとします。ルールを追加する際の基本的なステップは次のとおりです:
- 「ステートレス」チェック・ボックスは選択を解除したままにします。
- ソース・タイプ: 「CIDR」のままにします。
- ソースCIDR: ルート・ルールで使用するのと同じCIDRブロックを入力します(タスクE: ルート表の構成を参照)。
- IPプロトコル: TCPのままにします。
- ソース・ポート範囲: 「すべて」のままにします。
- 宛先ポート範囲: 443と入力します。
- 説明: ルールのオプションの説明。
- 既存のルールを削除する場合は、「アクション」メニュー(
)をクリックして、「削除」をクリックします。 - 既存のルールを編集する場合は、「アクション」メニュー()をクリックして、「編集」をクリックします。
セキュリティ・ルールの詳細は、セキュリティ・ルールを参照してください。