Oracle Cloud Infrastructureドキュメント

中央ネットワーク仮想アプライアンスを介したトラフィックのルーティング

3つの主要な転送ルーティング・シナリオは:

  • ネットワーク間にファイアウォールがある単一のDRGを介した複数のネットワーク間のアクセス: このトピックで説明するシナリオ。このシナリオでは、DRGをハブとして使用し、パケットを別のネットワークに送信する前に、専用Virtual Cloud Network (VCN)内のファイアウォール・インスタンスを介してパケットを送信するようにルーティングが構成されます。
  • 同じリージョン内の複数のVCNへのアクセス: このシナリオでは、VCNをハブとして使用し、単一のFastConnectプライベート仮想回線またはサイト間VPNを介した、オンプレミス・ネットワークと同じリージョン内の複数のVCNの間の通信を可能にします。ハブVCN内の転送ルーティングを参照してください
  • Oracleサービスへのプライベート・アクセス: このシナリオでは、オンプレミス・ホストがプライベートIPアドレスを使用でき、トラフィックがインターネットを経由することがないように、VCNをハブとして使用し、オンプレミス・ネットワークにOracleサービスへのプライベート・アクセス権を付与します。Oracleサービスへのプライベート・アクセスを参照してください。

ハイライト

  • FastConnectまたはサイト間VPNを使用して、ハブアンドスポーク・トポロジで、オンプレミス・ネットワークを同じリージョン内または別のリージョン内の複数のVCNと接続できます。
  • Dynamic Routing Gateway (DRG)がハブとして機能する場合、すべてのVCNを異なるリージョンまたはテナンシに配置できます。正確なルーティングのために、オンプレミス・ネットワークおよび接続されている他のVCNにアクセス可能な様々なサブネットのCIDRブロックは、重複しないようにする必要があります。
  • 動的ルーティング・ゲートウェイは、ハブとして機能し、VCN間またはオンプレミス・ネットワークと通信できます。このDRGには、VCNへのピアリング接続用のアタッチメントがあります(このトピックではスポークVCNと呼ばれます)。
  • スポークVCNからDRGおよびハブVCNを介して(ネットワーク仮想アプライアンスを使用して)他のアタッチされたネットワークへの目的のトラフィックを有効にするには、スポークVCNのサブネット、スポークVCNのDRGアタッチメント、ハブVCNのDRGアタッチメント、およびハブVCNのサブネットに対するルート・ルールを作成します。
  • ハブVCN内のプライベートIPを介した転送ルーティングを設定できます。たとえば、オンプレミス・ネットワークとスポークVCNの間のトラフィックのフィルタ処理または検査が必要な場合があります。その場合、トラフィックを検査のためにハブVCNのネットワーク仮想アプライアンス上のプライベートIPにルーティングし、結果のトラフィックをその宛先に送信します。
  • ルート表を構成することで、ピアリングされたスポークVCN内の特定のサブネットをオンプレミス・ネットワークに通知するかどうかを制御できます。
ヒント

別のシナリオで、オンプレミス・ネットワークを複数のVCNに接続することもできます。単一のDRGおよびハブアンドスポーク・トポロジを使用するのではなく、各VCNに対する個別のDRGと、単一のFastConnectを介した個別のプライベート仮想回線を設定します。ただし、このシナリオを使用できるのは、サード・パーティ・プロバイダまたはOracleとのコロケートを通じてFastConnectを使用する場合のみです。VCNは同じリージョンおよび同じテナンシに存在する必要があります。詳細は、複数のDRGおよびVCNがあるFastConnectを参照してください。

プライベートIPを介した転送ルーティングの概要

転送ルーティングは、中央のハブVCNを介してVCNまたはオンプレミス・ネットワークにトラフィックを単純にルーティングします。転送ルーティングを使用する理由を示す基本例: 大きな組織があり、各部門にそれぞれのVCNがあります。各VCNでは他のVCNへのアクセスが必要ですが、ファイアウォールを実行している仮想ネットワーク・アプライアンスを介してすべてのトラフィックを送信することで、セキュリティを確保する必要があります。

ノート

ハブは、ハブアンドスポーク・トポロジにおける論理的な概念です。スポークが相互に直接通信する場合は、ハブをDRGにすることができます。すべてのスポークツースポーク・トラフィックがネットワーク仮想アプライアンスを通過する場合、ハブは、DRGとネットワーク仮想アプライアンスを含むハブVCNの組合せです。

このネットワーキング・シナリオでは、オプションで、Oracle Cloud Infrastructure FastConnectまたはサイト間VPNを使用してオンプレミス・ネットワークをVCNに接続します。そのトポロジは、2つの基本的なシナリオ(シナリオB: VPNを使用したプライベート・サブネットおよびシナリオC: VPNを使用したパブリック・サブネットとプライベート・サブネット)で示されています。

このシナリオでは、次の図に示すようにハブアンドスポーク・トポロジを使用します。ここでのハブという用語は、あるスポークがこのハブアンドスポーク設計で別のスポークと通信するときにルーティングする必要があるネットワーク仮想アプライアンスがVCNにあることのみを意味します。ネットワーク仮想アプライアンスを介してオンプレミス・ネットワークとスポークVCN間のNorth-South通信を有効にする方法の詳細は、後続の詳細なステップの最後の項を参照してください。

ファイアウォールVCNを使用したDRG転送ルーティング

このシナリオは、ハブアンドスポーク・トポロジを作成し、ハブ内のネットワーク仮想アプライアンスを介してスポーク間のすべてのトラフィックをルーティングする場合に使用します。すべてのVCNは同じリージョン内にあり、そのリージョン内のDRGに接続されますが、異なるリージョンまたは異なるテナンシに配置することができます。表示されているオンプレミス・ネットワークはオプションで、別のリージョンまたはテナンシのVCNにすることができます。このシナリオでは、トラフィックはオンプレミス・ネットワークからDRGに送信され、次にVCN-Hubのネットワーク仮想アプライアンスに送信され、DRGに戻されてVCN-Bにルーティングされます。同様に、VCN-Aから送信されたトラフィックは、最初にDRGによってVCN-Hubに、次にVCN-Cにルーティングされます。

上級ネットワーキング・サービス・ユーザーに対する新しい概念のサマリー

ネットワーキング・サービスおよびローカル・ピアリングについてすでに習熟しているユーザーの場合、理解する必要がある最も重要な新しい概念は:

  • DRGにアタッチされている別のネットワークと通信する必要があるスポークVCNサブネットごとに、サブネットのルート表を、すべてのトラフィックのターゲット(ネクスト・ホップ)をDRGとして設定するルールで更新します。
  • スポークVCNアタッチメントの新しいDRGルート表を追加し、このルート表を各スポークVCNアタッチメント(DRG内)に関連付けます。ハブVCNアタッチメントのターゲット(ネクスト・ホップ)を使用して、静的デフォルト・ルートを作成します。これにより、すべてのスポークVCNトラフィックが、ネットワーク仮想アプライアンスのあるハブVCNにルーティングされます。

  • ハブVCNアタッチメントの新しいDRGルート表を追加し、それをハブVCNアタッチメント(DRG内)に関連付けます。新しいインポート・ルート・ディストリビューションをこのDRGルート表に関連付けて、VCN-Hubから到達できる必要のあるすべての宛先に関連付けられたアタッチメントをインポートするポリシーを作成します。

  • 別のVCNルート表をハブVCN (VCN-Hub)に追加し、それをDRGに対するハブVCNのアタッチメントに関連付けて、状況に応じたターゲットを設定したルート・ルールを追加します:

    • プライベートIPを介したスポークVCNへのトラフィックのルーティング: 別のスポークVCN (またはそのVCN内の特定のサブネット)を宛先とするすべてのトラフィックに対して、ターゲット(ネクスト・ホップ)をインスタンス上のプライベートIPに設定します。必ず、プライベートIPのVNICのソース/宛先チェックを無効にしてください。
    • プライベートIPを介したオンプレミス・ネットワークへのトラフィックのルーティング: オンプレミス・ネットワークを宛先とするすべてのトラフィックに対して、ターゲット(ネクスト・ホップ)をインスタンス上のプライベートIPに設定します。必ず、プライベートIPのVNICのソース/宛先チェックを無効にしてください。
  • ハブVCNのサブネット・ルート表を、すべてのスポークVCNおよびオンプレミス・ネットワークのターゲット(ネクスト・ホップ)をDRGとして設定するルールで更新します。

開始する前に

このシナリオを実装する前に、次を確認してください:

  1. VCN-A、VCN-BおよびVCN-C (スポークVCN)はすべてすでに作成されており、いずれもDRGにアタッチされていません。
  2. VCN-Hubはすでに作成されており、そのサブネットSubnet-HにはプライベートIPv4アドレスを持つネットワーク仮想アプライアンスがあります。このVCNはまだどのDRGにもアタッチされていません。
  3. シナリオのすべてのVCNに重複しないCIDRがあります。
  4. オンプレミス・ネットワークは、FastConnectまたはサイト間VPNを使用してDRGに接続されています。
  5. 必要なすべてのIAMポリシーはすでに準備されています。詳細は、VCN間のルーティングのIAMポリシーを参照してください。

プロセス・サマリー

転送ルーティングの構成には、次のステップが含まれます:

  1. DRG-Hubという名前のDRGを作成します。
  2. スポークVCNのVCN-A、VCN-BおよびVCN-CをDRG-Hubにアタッチします。
  3. VCN-HubをDRG-Hubにアタッチします。
  4. すべてのトラフィックをVCN-Hubのアタッチメントに送信する単一の静的ルールを使用して、"RT-Spoke"という名前のルート表をDRG-Hubに作成します。
  5. スポークVCNアタッチメントで使用されるDRGルート表を"RT-Spoke"に変更します。
  6. 3つの文を使用して"Import-Hub"というDRG-HubにインポートDRGルート・ディストリビューションを作成し、それぞれがVCN-A、VCN-BおよびVCN-Cで使用されるVCNアタッチメントからルートをインポートします。インポート・ルート・ディストリビューションの詳細は、動的ルーティング・ゲートウェイの概要を参照してください
  7. DRG-Hubに"RT-Hub"というDRGルート表を作成し、そのインポート・ルート・ディストリビューションを"Import-Hub"に指定します。
  8. "RT-Hub"ルート表を使用するように、VCN-HubのアタッチメントのDRGルート表を更新します。
  9. すべての受信トラフィックをネットワーク仮想アプライアンス・インスタンスに送信するように、VCN-Hubのデフォルト・ルート表を構成します。
  10. VCN-A、VCN-BおよびVCN-CのVCN CIDR内のアドレスを宛先とするすべてのトラフィックをDRGアタッチメントに送信するように、Subnet-Hを構成します。

例: アタッチされたVCN内のDRGハブおよびネットワーク仮想アプライアンスを使用した転送ルーティング

この項の例では、ハブとして機能するDRGと、ファイアウォールのあるアタッチされたVCNを示しています。タスク2: スポークVCNのアタッチを繰り返して、必要な数のスポークVCNを構成できます。

転送ルーティングが有効なDRGおよびハブVCNを示す図
コールアウト1: DRGルート表"RT-Spoke" (すべてのスポーク・アタッチメントからDRGに進入するトラフィックに影響)
宛先CIDR ルート・ターゲット タイプ
0.0.0.0/0 VCN-Hub 静的
コールアウト2: DRGルート表"RT-Hub" (ハブ・アタッチメントからDRGに進入するトラフィックに影響)
宛先CIDR ルート・ターゲット タイプ
172.16.0.0/16 仮想回線 動的
192.168.10.0/24 VCN-A 動的
192.168.20.0/24 VCN-B 動的
192.168.30.0/24 VCN-C 動的
コールアウト3: Subnet-1ルート表(Subnet-1を退出するトラフィックに影響)
宛先CIDR ルート・ターゲット
172.16.0.0/16 DRG
192.168.20.0/24 DRG
192.168.30.0/24 DRG
コールアウト4: VCN-Hubルート表"VCN-Hub-Ingress" (VCN-Hubに進入するトラフィックに影響)
宛先CIDR ルート・ターゲット
172.16.0.0/16 10.0.0.10
192.168.10.0/24 10.0.0.10
192.168.20.0/24 10.0.0.10
192.168.30.0/24 10.0.0.10
コールアウト5: Subnet-Hルート表(Subnet-Hを退出するトラフィックに影響)
宛先CIDR ルート・ターゲット
172.16.0.0/16 DRG
192.168.10.0/24 DRG
192.168.20.0/24 DRG
192.168.30.0/24 DRG
コールアウト6: Subnet-2ルート表
宛先CIDR ルート・ターゲット
172.16.0.0/16 DRG
192.168.10.0/24 DRG
192.168.30.0/24 DRG
コールアウト7: Subnet-3ルート表
宛先CIDR ルート・ターゲット
172.16.0.0/16 DRG
192.168.10.0/24 DRG
192.168.20.0/24 DRG
タスク1: DRGの作成

アタッチされたすべてのVCN間にトラフィックをルーティングするDRG (DRG-Hubという名前)を作成します。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。
  2. 「リスト範囲」で、in.Theページの更新を操作する権限があるコンパートメントを選択し、そのコンパートメント内のリソースのみを表示します。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
  3. 「動的ルーティング・ゲートウェイの作成」をクリックします。

  4. 次の項目を入力します:

    • 名前: DRG-Hub
    • コンパートメントに作成: DRGを作成するコンパートメント(現在作業しているコンパートメントと異なる可能性があります)。
  5. 「動的ルーティング・ゲートウェイの作成」をクリックします。

新しいDRGが作成され、選択したコンパートメントの「動的ルーティング・ゲートウェイ」ページに表示されます。DRGは、短い間「プロビジョニング中」状態になります。プロビジョニングの完了後にのみ、ネットワークの他の部分に接続できます。

DRGのプロビジョニングには、2つのデフォルト・ルート表の作成が含まれます。1つはVCNアタッチメント用のDRGルート表、もう1つは仮想回線やIPSecトンネルなどのその他すべてのリソース用のDRGルート表です。これらのルート表は、DRGに進入するトラフィックのルーティングに使用されます。

タスク2: スポークVCNのアタッチ

VCN-A、VCN-BおよびVCN-CをDRG-Hubにアタッチします。

ノート

DRGアタッチメントにトラフィックを送信するVCNサブネット・ルート表は、他の2つのVCNのCIDRを考慮する必要があります。これは、サマリー・アドレスまたはデフォルト・ルートで実現することもできます。
ノート

DRGは多くのVCNにアタッチできますが、VCNは一度に1つのDRGにのみアタッチできます。アタッチメントはVCNを保持するコンパートメントに自動的に作成されます。VCNは、DRGと同じコンパートメントに存在する必要はありません。

同じリージョン内の複数のVCNを同じDRGに接続し、DRGルーティング表を適切に構成した場合、ネットワーク設計全体からローカル・ピアリング接続を除外できます。

次の手順では、DRGに移動して、アタッチするVCNを選択します。3つのすべてのVCN (VCN-A、VCN-BおよびVCN-C)に対してこのタスクを繰り返し、VCNごとに異なるDRGアタッチメントを作成します。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。
  2. VCN A (DRG-Hub)にアタッチするDRGをクリックします。
  3. 「リソース」で、「仮想クラウド・ネットワーク・アタッチメント」をクリックします。
  4. 「仮想クラウド・ネットワーク・アタッチメントの作成」をクリックします。
  5. 次を入力します:
    • (オプション) VCN-Aと入力するか、アタッチメント・ポイントに他のわかりやすい名前を付けます。名前を指定しない場合、自動的に作成されます。
    • VCNのリストから「VCN-A」を選択します。
  6. 「仮想クラウド・ネットワーク・アタッチメントの作成」をクリックします。

短い間、アタッチメントは「アタッチ中」状態になります。各スポークVCNは一意のアタッチメントを取得します。

3つのすべてのVCN (VCN-A、VCN-BおよびVCN-C)に対してこれを実行すると、これらのVCN間で直接ルーティングが行われます。

タスク3: ハブVCNのアタッチ

VCN-FireをDRG-Transitにアタッチします。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。
  2. VCN (この場合はDRG-Hub)にアタッチするDRGをクリックします。
  3. 「リソース」で、「仮想クラウド・ネットワーク・アタッチメント」をクリックします。
  4. 「仮想クラウド・ネットワーク・アタッチメントの作成」をクリックします。
  5. 次を入力します:
    • (オプション) VCN-Hubと入力するか、アタッチメント・ポイントに他のわかりやすい名前を付けます。名前を指定しない場合、自動的に作成されます。
    • VCNのリストから「VCN-Hub」を選択します。
  6. 「VCNアタッチメントの作成」をクリックします。

短い間、アタッチメントは「アタッチ中」状態になります。VCNアタッチメントでは、VCNにデフォルトのDRGルート表が使用されます。アタッチメントが完了するまで待機してから続行します。

タスク4: イングレス・トラフィックをネットワーク仮想アプライアンスに送信するDRGルート表の作成

すべてのトラフィックをVCN-Hubのアタッチメントに送信する単一の静的ルールを使用して、"RT-Spoke"という名前のDRGルート表をDRG-Transitに作成します。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。
  2. 目的のDRG (DRG-Hub)をクリックします。
  3. 「リソース」で、「DRGルート表」をクリックします。
  4. 「DRGルート表の作成」をクリックします。

  5. 次を入力します:

    • 名前: RT-Spokeと入力するか、他のわかりやすい名前を選択します。
    • 宛先CIDR: VCN-FireのCIDRを入力します。この例では0.0.0.0/0を使用します。これは、すべてのVCN-A、VCN-BおよびVCN-CトラフィックをハブVCNに送信する静的ルートです。
    • ネクスト・ホップ・アタッチメント・タイプ: 「仮想クラウド・ネットワーク」を選択します。
    • ネクスト・ホップ・アタッチメント: リストから「VCN-Hub」を選択します。

  6. 「ルート表の作成」をクリックします。

タスク5: スポークVCNアタッチメントのルート表の更新

スポークVCNアタッチメント(VCN-A、VCN-BおよびVCN-C)で使用されるDRGルート表を変更し、以前のタスクで作成したルート表(RT-Spoke)を使用して、すべての受信トラフィックをVCN-Hubに送信します。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。
  2. 目的のDRG (DRG-Hub)をクリックします。
  3. 「リソース」で、「仮想クラウド・ネットワーク・アタッチメント」をクリックします。
  4. VCNのいずれかで使用されるDRGアタッチメントの名前をクリックします。
  5. 「編集」をクリックします。
  6. 「拡張オプションの表示」をクリックします。
  7. 「DRGルート表」タブで、使用可能なルート表のリストから「RT-Spoke」を選択します。
  8. 「変更の保存」をクリックします。

次のタスクに進む前に、3つのすべてのスポークVCNアタッチメント(VCN-A、VCN-BおよびVCN-C)に対してこのタスクを繰り返します。

タスク6: インポート・ルート・ディストリビューションの作成

このタスクでは、3つの文を使用してDRG-Hubにインポート・ルート・ディストリビューションを作成し、それぞれがVCN-A、VCN-BおよびVCN-Cで使用されるVCNアタッチメントからルートをインポートします。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。
  2. 目的のDRG (DRG-Hub)をクリックします。
  3. 「リソース」で、「ルート・ディストリビューションのインポート」をクリックします。
  4. 「ルート・ディストリビューションのインポートの作成」をクリックします。
  5. 表示される画面で、インポート・ルート・ディストリビューションに、Import-Hubのように簡単に認識できる名前を指定し、「+別の文」を2回クリックします。3つの各文について、次の詳細を追加します:
    • 優先度: 文ごとに異なる優先度番号を選択します。たとえば、10、20および30です。
    • 一致タイプ: 「アタッチメント」を選択します。
    • アタッチメント・タイプ・フィルタ: 「仮想クラウド・ネットワーク」を選択します。
    • DRGアタッチメント: VCN-A、VCN-BまたはVCN-Cに対して以前に作成したVCNアタッチメントを選択します。
  6. 終了したら、「ルート・ディストリビューションのインポートの作成」をクリックします。
タスク7: VCN-Hubからのイングレス用のDRGルート表の作成

DRG-Hubに"RT-Hub"というルート表を作成し、そのインポート・ルート・ディストリビューションを以前に作成したディストリビューションに設定します。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。
  2. 目的のDRG (DRG-Hub)をクリックします。
  3. 「リソース」で、「DRGルート表」をクリックします。
  4. 「DRGルート表の作成」をクリックします。
  5. DRGルート表に名前(RT-Hubなど)を割り当てます。
  6. 「拡張オプションの表示」をクリックします。
  7. 「ルート・ディストリビューションのインポートの有効化」をクリックします。
  8. タスク6で作成したインポート・ルート・ディストリビューションのImport-Hubを選択します。

  9. 「ルート表の作成」をクリックします。

    ルート表が作成され、選択したコンパートメントの「ルート表」ページに表示されます。

タスク8: VCN-Hubのアタッチメントの更新

"RT-Hub" DRGルート表を使用するように、VCN-HubのアタッチメントのDRGルート表を更新します。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。
  2. 目的のDRG (DRG-Hub)をクリックします。
  3. 「リソース」で、「仮想クラウド・ネットワーク・アタッチメント」をクリックします。
  4. VCN-Hubで使用されるDRGアタッチメントの名前をクリックします。
  5. 「編集」をクリックします。
  6. 「拡張オプションの表示」をクリックします。
  7. 「DRGルート表」タブで、使用可能なルート表のリストから「RT-Hub」を選択します。
  8. 「変更の保存」をクリックします。
タスク9: VCN-Hubルート表内のルーティングの構成

VCN-Hubでイングレス・ルーティングを構成し、すべてのインバウンド・トラフィックをファイアウォール・インスタンスに送信します。

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 目的のVCN (VCN-Hub)をクリックします。
  3. 「リソース」で、「ルート表」をクリックします。
  4. 「ルート表の作成」をクリックします。

  5. VCNルート表にVCN-Hub-Ingressという名前を付け、次のルート・ルールを入力します:

    • ターゲット・タイプ 「プライベートIP」を選択します。
    • 宛先タイプ 「CIDRブロック」を選択します。
    • 宛先CIDRブロック VCN-AのCIDRブロックを入力します。
    • ターゲット選択 ファイアウォール・インスタンスVNICのプライベートIPv4アドレスの10.0.0.10を入力します。
  6. 「+別のルート・ルール」をクリックし、3つのスポークVCN (VCN-A、VCN-BおよびVCN-C)それぞれにルールが割り当てられるまで繰り返します

  7. 「作成」をクリックします。

    VCNルート表が作成され、VCNの「ルート表」ページに表示されます。

  8. 「リソース」で、「動的ルーティング・ゲートウェイのアタッチメント」をクリックします。
  9. VCN-Hubで使用されるDRGアタッチメントの名前をクリックします。
  10. 「編集」をクリックします。
  11. 「拡張オプションの表示」をクリックします。
  12. 「VCNルート表」タブで、「既存の選択」をクリックし、使用可能なルート表のリストから「VCN-Hub-Ingress」を選択します。
  13. 「変更の保存」をクリックします。
タスク10: VCNエグレス・ルーティングの構成

VCN-A、VCN-BおよびVCN-CのVCN CIDR内のアドレスを宛先とするすべてのトラフィックをDRGアタッチメントに送信するように、Subnet-HというVCN-HubのサブネットでVCNエグレス・ルーティングを構成します。

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 目的のVCN (VCN-Hub)をクリックします。
  3. 「リソース」で、「ルート表」をクリックします。
  4. Subnet-Hで使用されるルート表の名前をクリックします。
  5. 「ルート・ルールの追加」をクリックします。

  6. 次を入力します:

    • ターゲット・タイプ: 「動的ルーティング・ゲートウェイ」を選択します。
    • 宛先CIDRブロック: VCN-AのCIDRブロックを入力します。
  7. 「+別のルート・ルール」をクリックし、3つのスポークVCN (VCN-A、VCN-BおよびVCN-C)それぞれにルールが割り当てられるまで繰り返します。
  8. 「ルート・ルールの追加」をクリックします。

これで、転送ルーティングの構成が完了しました。この時点で、あるスポークVCNから別のスポークVCNに送信されたパケットは、相互にアタッチされたDRGに送信され、ハブVCN内のファイアウォールにリダイレクトされます。ファイアウォールで許可されているパケットは、DRGに戻されて宛先VCNにルーティングされます。

ネットワーク仮想アプライアンスを介したnorth-southトラフィックの有効化

あるスポークVCNからオンプレミス・ネットワークに送信されたパケットが、相互にアタッチされたDRGに送信され、ハブVCN内のネットワーク仮想アプライアンスにリダイレクトされるように構成を設定できます。ネットワーク仮想アプライアンスで許可されているパケットは、DRGに戻されてオンプレミスの宛先にルーティングされます。

タスク1: イングレス・オンプレミス・トラフィックをネットワーク仮想アプライアンスに送信するDRGルート表の作成

すべてのトラフィックをVCN-Hubのアタッチメントに転送する複数の静的ルールを使用して、"RT-OnPrem"という名前のDRGルート表をDRG-Hubに作成します。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。
  2. 目的のDRG (DRG-Hub)をクリックします。
  3. 「リソース」で、「DRGルート表」をクリックします。
  4. 「DRGルート表の作成」をクリックします。
  5. 次を入力します:
    • 名前: RT-OnPremと入力するか、他のわかりやすい名前を選択します。
    • 宛先CIDR: VCN-AのCIDRブロックを入力します。
    • ネクスト・ホップ・アタッチメント・タイプ: 「仮想クラウド・ネットワーク」を選択します。
    • ネクスト・ホップ・アタッチメント: リストから「VCN-Hub」を選択します。
  6. 「+別のルート・ルール」をクリックし、VCN-B、VCN-CおよびVCN-HubのCIDRブロックを表す静的ルートを追加するプロセスを複数回繰り返します。
  7. 「ルート表の作成」をクリックします。
ノート

このDRGルート表のすべての静的ルート・エントリは、このDRGルート表が適用される各アタッチメントのBGPを介してオンプレミス・ネットワークに通知されます。

タスク2: オンプレミス・アタッチメントのルート表の更新

オンプレミス・アタッチメントで使用されるDRGルート表を"RT-OnPrem"に変更します。この例ではFastConnectを使用していますが、同じプロセスをサイト間VPN IPSecトンネルに適用できます。

オンプレミス・アタッチメント(FastConnect仮想回線またはサイト間VPN IPSecトンネル)で使用されるDRGルート表を変更し、以前のタスクで作成したルート表を使用して、すべての受信トラフィックをVCN-Hubに送信します。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。
  2. 目的のDRG (DRG-Hub)をクリックします。
  3. 「リソース」で、「仮想回線アタッチメント」をクリックします。
  4. 仮想回線のいずれかで使用されるDRGアタッチメントの名前をクリックします。
  5. 「編集」をクリックします。
    • DRGルート表の選択: ドロップダウンで使用可能なルート表のリストから「RT-OnPrem」を選択します。
  6. 「変更の保存」をクリックします。

次のタスクに進む前に、すべてのオンプレミス・アタッチメント(VCN-A、VCN-BおよびVCN-C)に対してこのタスクを繰り返します。

タスク3: インポート・ルート・ディストリビューションImport-Hubの更新

このタスクでは、VCN-Hubアタッチメントで使用されるインポート・ルート・ディストリビューションを更新して、オンプレミス接続からルートをインポートします。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。
  2. 目的のDRG (DRG-Hub)をクリックします。
  3. 「リソース」で、「ルート・ディストリビューションのインポート」をクリックします。
  4. 目的のインポート・ルート・ディストリビューション(Import-Hub)をクリックします。
  5. 「文の管理」をクリックします。
  6. 「+別の文」をクリックします。
  7. 新しい文ごとに、次の詳細を入力します:
    • 優先度: 文ごとに異なる優先度番号を選択します。たとえば、40です。
    • 一致タイプ: 「アタッチメント・タイプ」を選択します。
    • アタッチメント・タイプ: 「仮想回線」を選択します。
  8. 終了したら、「ルート・ディストリビューションのインポートの作成」をクリックします。

ハブVCNから到達できる必要のあるすべてのオンプレミス・アタッチメント(FastConnect仮想回線またはサイト間IPSec VPN)に対してこのステップを繰り返します。

タスク4: VCN-Hubルート表内のルーティングの更新

VCN-Hubでイングレス・ルーティングを更新し、すべてのインバウンド・トラフィックをファイアウォール・インスタンスに送信します。

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 目的のVCN (VCN-Hub)をクリックします。
  3. 「リソース」で、「ルート表」をクリックします。
  4. VCN-Hub-Ingressルート表を選択します。
  5. 「ルート・ルールの追加」をクリックし、次のルート・ルールを入力します:
    • ターゲット・タイプ: 「プライベートIP」を選択します。
    • 宛先: 「CIDRブロック」を選択します。
    • 宛先CIDRブロック: オンプレミス・ネットワークのCIDRブロックを入力します。
    • ターゲット選択: ファイアウォール・インスタンスVNICのプライベートIPv4アドレスを入力します。
  6. 「ルート・ルールの追加」をクリックします。

VCN-Hub-Ingressルート表は、オンプレミス・ネットワークのルートで更新されます。

タスク5: ルート・ルールの追加

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 目的のVCN (VCN-Hub)をクリックします。
  3. 「リソース」で、「ルート表」をクリックします。
  4. Subnet-Hで使用されるルート表の名前をクリックします。
  5. 「ルート・ルールの追加」をクリックします。
  6. 次を入力します:
    • ターゲット・タイプ: 「動的ルーティング・ゲートウェイ」を選択します。
    • 宛先CIDRブロック: オンプレミス・ネットワークのCIDRブロックを入力します。
  7. 「ルート・ルールの追加」をクリックします。

スポークVCN (VCN-A、VCN-BおよびVCN-C)のルート表ごとにこれらのステップを繰り返し、オンプレミスを宛先とするすべてのトラフィックを、アタッチされたDRG (DRG-Hub)にルーティングします。

これで、north-south転送ルーティングの構成が完了しました。この時点で、あるスポークVCNからオンプレミスに送信されたパケットは、相互にアタッチされたDRGに送信され、ハブVCN内のネットワーク仮想アプライアンスにリダイレクトされます。ネットワーク仮想アプライアンスで許可されているパケットは、DRGに戻されてオンプレミスの宛先にルーティングされます。