Oracleサービスへのプライベート・アクセス
転送ルーティングとは、オンプレミス・ネットワークが仲介を使用してOracleリソースまたはサービスまたはVCNsに到達するネットワーク・トポロジのことです。仲介者は、VCN、またはオンプレミス・ネットワークがすでにアタッチされているDynamic Routing Gateway (DRG)です。FastConnectまたはサイト間VPNを使用してオンプレミス・ネットワークをDRGに接続し、トラフィックがその宛先に転送されるようにルーティングを構成します。
3つの主要な転送ルーティング・シナリオは:
- Oracleサービスへのプライベート・アクセス: このトピックで説明するシナリオです。このシナリオでは、オンプレミス・ホストがプライベートIPアドレスを使用でき、トラフィックがパブリック・インターネットを経由することがないように、オンプレミス・ネットワークにOracleサービスへのプライベート・アクセス権を付与します。かわりに、トラフィックはFastConnectプライベート仮想回線またはサイト間VPNを経由し、Virtual Cloud Network (VCN)を経由してから、サービス・ゲートウェイを介して目的のOracle serviceに転送されます。このシナリオは、レガシーまたはアップグレードされたDRGを使用する実装で使用できます。
- Access between multiple networks through a single DRG with a firewall between networks: This scenario connects several VCNs to a single DRG, with all routing configured to send packets through a firewall in a hub VCN before they can be sent to another network.中央ネットワーク仮想アプライアンスを介したトラフィックのルーティングを参照してください。このシナリオは、アップグレードされたDRGを使用する実装でのみ使用できます。
- 同じリージョン内の複数のVCNsへのアクセス:このシナリオでは、単一のFastConnectプライベート仮想回線またはサイト間VPNを介して、オンプレミス・ネットワークと同じリージョン内の複数のVCNs間の通信を有効にし、VCNをハブとして使用します。ハブVCN内の転送ルーティングを参照してください。このシナリオは、レガシーDRGを使用する実装で使用できます。
ハイライト
- オンプレミス・ネットワークがVCN経由でOracle Services Network内のOracleサービスにプライベート・アクセスできるように、VCNを設定できます。オンプレミス・ネットワーク内のホストは、それぞれのプライベートIPアドレスと通信します。
- VCNは、動的ルーティング・ゲートウェイ(DRG)を使用して、オンプレミス・ネットワークと通信します。Oracleサービスへのアクセスは、VCN上のサービス・ゲートウェイを介して行われます。VCNからOracleサービスへのトラフィックは、Oracleネットワーク・ファブリック上を移動し、パブリック・インターネットを通過することはありません。
- サービス・ゲートウェイはリージョナルであり、これを使用すると、VCNと同じリージョン内のサポートされているOracleサービスのみにアクセスできます。
- サポートされているOracleサービスは、Oracle Services NetworkのOracle Cloud Infrastructure Object Storageなどです。リストについては、Oracle Services Networkのサービス・ゲートウェイ: サポートされているクラウド・サービスを参照してください。
- サービス・ゲートウェイでは、サービスCIDRラベルの概念を使用します。これは、関心のあるサービスまたはサービス・グループのすべてのリージョン・パブリックIPアドレス範囲を表す文字列です(たとえば、OCI PHXオブジェクト・ストレージは、米国西部のオブジェクト・ストレージ(フェニックス)の文字列です。そのサービスCIDRラベルは、サービス・ゲートウェイおよび関連するルート・ルールを構成してサービスへのトラフィックを制御する場合に使用します。これは、セキュリティ・ルールを構成するときにオプションで使用できます。サービスのパブリックIPアドレスが将来変わった場合に、それらのルールを調整する必要はありません。
- オンプレミス・ネットワークからの目的のトラフィックがVCNを経由してOracleサービスに送信されるようにするには、VCNのDRGアタッチメントおよびサービス・ゲートウェイに対してルート・ルールを実装します。
- 必要に応じて、VCN内のプライベートIPを介した転送ルーティングを設定できます。たとえば、オンプレミス・ネットワークとOracleサービスの間のトラフィックのフィルタ処理または検査が必要な場合があります。その場合、トラフィックを検査のためにVCNのインスタンス上のプライベートIPにルーティングし、結果のトラフィックをその宛先に送信します。このトピックでは、VCNのゲートウェイ間での直接の転送ルーティングと、プライベートIPを介した転送ルーティングの両方の状況について説明します。
Oracle Services Networkの概要
Oracle Services Networkは、Oracleサービス用に予約されているOracle Cloud Infrastructureの概念的なネットワークです。これらのサービスには、通常はパブリック・インターネットを介してアクセスするパブリックIPアドレスがあります。ただし、パブリック・インターネット経由のトラフィックを発生させずにOracle Services Networkにアクセスすることもできます。どのホストからアクセスする必要があるかによって、方法は異なります:
-
オンプレミス・ネットワーク内のホスト:
- FastConnectプライベート・ピアリングまたはサイト間VPNを使用した、VCNを介したプライベート・アクセス: このシナリオはこのトピックで説明されています。オンプレミス・ホストはプライベートIPアドレスを使用し、VCNおよびVCNのサービス・ゲートウェイを経由してOracle Services Networkに到達します。
- FastConnectパブリック・ピアリングを使用したパブリック・アクセス: オンプレミス・ホストはパブリックIPアドレスを使用します。
- VCN内のホスト:
- サービス・ゲートウェイを介するプライベート・アクセス: VCNのホストではプライベートIPアドレスが使用されます。
オンプレミス・ネットワークからOracleサービスへのプライベート・アクセスの概要
次の図は、オンプレミス・ネットワークにOracleサービスへのプライベート・アクセス権を付与するための基本的なレイアウトを示しています。
オンプレミス・ネットワークは、FastConnectプライベート仮想マシンまたはサイト間VPNを使用してVCNに接続します。これらのタイプの接続はそれぞれ、VCNにアタッチされているDynamic Routing Gateway (DRG)で終了します。また、VCNにはサービス・ゲートウェイもあり、これによってVCNにOracle Services Networkへのアクセス権が付与されます。オンプレミス・ネットワークからのトラフィックは、VCN、サービス・ゲートウェイを順に経由して目的のOracleサービスに到達します。レスポンスは、サービス・ゲートウェイおよびVCNを介してオンプレミス・ネットワークに返されます。
サービス・ゲートウェイを設定するときには、サービスCIDRラベルを有効にします。これは、サービス・ゲートウェイを介してアクセスするサービスまたはサービス・グループのすべてのリージョナル・パブリックIPアドレス範囲を表す文字列です。たとえば、「Oracle Services NetworkのすべてのPHXサービス」は、サービス・ゲートウェイを介して米国西部(フェニックス)で使用可能なOracleサービスを表すサービスCIDRラベルです。Oracleは、DRG上でBorder Gateway Protocol (BGP)を使用して、これらのリージョナル・パブリックIPアドレス範囲をオンプレミス・ネットワーク内のエッジ・デバイス(顧客構内機器またはCPEとも呼ばれる)に通知します。サービス・ゲートウェイを介して使用可能なこれらの範囲のリストは、VCNのパブリックIPアドレスおよびOracle Services Networkを参照してください。
Oracleサービスへの複数の接続パス
冗長性などの理由で、Oracle Cloud InfrastructureおよびOracleサービスへの複数の接続パスを含むオンプレミス・ネットワークを構成できます。たとえば、FastConnectパブリック・ピアリングとFastConnectプライベート・ピアリングの両方を使用できます。複数のパスがある場合、エッジ・デバイスは、複数のパスを経由してOracleサービスのパブリックIPアドレス範囲のルート通知を受信します。エッジ・デバイスを正しく構成する方法の詳細は、オンプレミス・ネットワークへの接続のルーティング詳細を参照してください。
Oracle Servicesへのプライベート・アクセスを持つ複数のVCNs
組織が、複数のVCNを使用し、それぞれにサービス・ゲートウェイを設定して、VCNのリソースにOracleサービスへのアクセス権を付与することを選択する場合があります。たとえば、組織の部門ごとに異なるVCNを設定する場合などです。
さらに、サービス・ゲートウェイを設定したVCNを介してOracleサービスにプライベート・アクセスできるオンプレミス・ネットワークも設定する必要がある場合、この構成で説明されている2種類のネットワーク・レイアウトを使用できます。
1つ目のレイアウトでは、次の図に示すように、ハブアンドスポーク・レイアウトのVCNを使用して単一のDRGを設定します。ハブとして機能するVCNは、オンプレミス・ネットワークがOracleサービスにプライベート・アクセスできるようにするための専用のVCNです。他のVCNは、ハブVCNとローカルにピアリングされています。Oracleサービスへのプライベート・アクセスの設定の手順に従って、ハブVCNのみを構成します。このハブアンドスポーク・レイアウトは推奨されるレイアウトであり、ハブVCN内の転送ルーティングで詳しく説明されています。
2つ目のレイアウトでは、VCNごとに個別のDRGがあり、オンプレミス・ネットワークから各DRGへの個別のFastConnectプライベート仮想回線またはサイト間VPNが使用されます。オンプレミス・ネットワークがOracleサービスにプライベート・アクセスできるようにするための専用のDRGおよびVCNを1つ設定します。次の図では、中央にあるのがそのVCNです。そのVCNを構成するには、Oracleサービスへのプライベート・アクセスの設定の手順に従ってください。
どちらのレイアウトでも、オンプレミス・ネットワークは単一のVCNのサービス・ゲートウェイ(この目的専用のもの)を介してのみOracleサービスに到達でき、他のVCNのサービス・ゲートウェイを介しては到達できないことに注意してください。他のVCNでは、そのVCN内部のリソースのみがそのVCNのサービス・ゲートウェイを介してOracleサービスに到達できます。
選択したレイアウトに関係なく、オブジェクト・ストレージ・バケットに対して、特定のVCNのサービス・ゲートウェイを介して入ってきたリクエストのみが許可されるようにアクセスを制限するIAMポリシーを記述できます。どちらのレイアウトでも、複数のVCNからのリクエストを許可するポリシーを記述することができます。特定のVCNへのアクセスを制限するには、ネットワーク・ソースを作成して許可されるVCNを指定してから、ネットワーク・ソースのみへのアクセスを制限するポリシーを記述します。1つのネットワーク・ソースで複数のVCNを指定することも、VCNごとに1つのネットワーク・ソースを作成することもできます。ネットワーク・ソースの作成の詳細は、ネットワーク・ソースの管理を参照してください。
次のポリシーの例では、各VCNに1つのネットワーク・ソースを設定することを想定しています。このポリシーでは、ObjectBackupグループ例のリソースが、ABCというコンパートメントにあるdb-backupという既存のバケットにオブジェクトを書き込めるようにします。このようなポリシーを記述するときには、1つ以上のネットワーク・ソースを指定できます。この例では、3つ示されています。
Allow group ObjectBackup to read buckets in compartment ABC
Allow group ObjectBackup to manage objects in compartment ABC where
all {target.bucket.name='db-backup',
any {request.networkSource.name='<hub_VCN_network_source>', request.networkSource.name='<spoke_1_VCN_network_source>', request.networkSource.name='<spoke_2_VCN_network_source>'},
any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}詳細は、サービス・ゲートウェイの設定手順のコンソールでのサービス・ゲートウェイの設定を参照してください。
Oracleサービスからクライアントへのリクエスト
サービス・ゲートウェイでは、VCNまたはオンプレミス・ネットワークへの着信接続リクエストは許可されません。Oracle serviceからオンプレミス・ネットワークへの接続リクエストは、インターネットやFastConnectパブリック・ピアリングなどのパブリック・パスを経由する必要があります。
クライアントへの接続リクエストを開始するためにOracle Analytics Cloudを使用している場合、オンプレミス・ネットワークに対してOracleサービスへのプライベート・アクセスも設定するには、この既知の問題を参照してください。
Oracleサービスへのプライベート・アクセスのための転送ルーティング・オプション
Oracleサービスへのプライベート・アクセスのためにVCNを介したルーティングを行う場合、2つのオプションがあります:
- ゲートウェイを介した直接の転送ルーティング: ゲートウェイ間でVCNを介してトラフィックを直接ルーティングします。
- プライベートIPを介した転送ルーティング: オンプレミス・ネットワークとOracle Services Network間のトラフィックをフィルタ処理または検査するためのインスタンスをVCN内に設定し、そのインスタンス上のプライベートIPを介してトラフィックをルーティングします。
次の各項に示す例では、オンプレミス・ネットワークまたはOracle Services Networkにアクセスする必要のあるワークロードがVCNに含まれていないことを前提にしています。VCNは、VCNを介したトラフィックの転送ルーティングにのみ使用されています。
この例では、VCN上の2つのゲートウェイを介して直接ルーティングします: Dynamic Routing Gateway (DRG) およびサービス・ゲートウェイ。次の図を参照してください。
図のコールアウトでは、それぞれ異なるリソースに関連付けられた2つのルート表が示されています:
-
DRGアタッチメント:
- VCNルート表がDRGアタッチメントに関連付けられます。なぜDRG自体ではなくアタッチメントなのでしょうか。DRGは、DRGと同じリージョンおよびテナンシ内の任意のVCNにアタッチできるスタンドアロン・リソースであるためです。アタッチメントそのものが、どのVCNかを識別します。
- VCNルート表は、オンプレミス・ネットワークを出発点としてサポートされているOracleサービスを宛先とするインバウンド・トラフィックをルーティングします。そのトラフィックをサービス・ゲートウェイに送信するルールを構成します。
コールアウト1: DRGアタッチメントのVCNルート表 宛先CIDR ルート・ターゲット リージョン内のすべてのOSNサービス サービス・ゲートウェイ -
サービス・ゲートウェイ:
- このVCNルート表はサービス・ゲートウェイに関連付けられます。
- VCNルート表は、サポートされているOracleサービスを出発点としてオンプレミス・ネットワークを宛先とするレスポンス・トラフィックをルーティングします。そのトラフィックをDRGに送信するルールを構成します。
コールアウト2: サービス・ゲートウェイのVCNルート表 ルート・ターゲット ルート・ターゲット 172.16.0.0/12 DRG
この例では、オンプレミス・ネットワークとOracle Services Networkの間のトラフィックをフィルタ処理または検査するために、ファイアウォールまたは侵入検出システムとして機能するインスタンスをVCN内に設定します。次の図を参照してください。
| 宛先CIDR | ルート・ターゲット |
|---|---|
| 172.16.0.0/12 | DRG |
| 宛先CIDR | ルート・ターゲット |
|---|---|
| リージョン内のすべてのOSNサービス | サービス・ゲートウェイ |
| 宛先CIDR | ルート・ターゲット |
|---|---|
| リージョン内のすべてのOSNサービス | 10.0.4.3 |
| 宛先CIDR | ルート・ターゲット |
|---|---|
| 172.16.0.0/12 | 10.0.8.3 |
インスタンスには2つのVNICがあり、それぞれがプライベートIPを持っています。VNICの1つが、オンプレミス・ネットワークに面するサブネット(ここではフロントエンド・サブネット)内にあります。もう1つのVNICが、Oracle Services Networkに面するサブネット(ここではバックエンド・サブネット)内にあります。フロントエンドVNICはプライベートIP 10.0.4.3を持ち、バックエンドVNICはプライベートIP 10.0.8.3を持ちます。
図では、それぞれ異なるリソースに関連付けられた4つのルート表が示されています:
-
DRGアタッチメント:
- このVCNルート表はDRGアタッチメントに関連付けられます。なぜDRG自体ではなくアタッチメントなのでしょうか。DRGは、DRGと同じリージョンおよびテナンシ内の任意のVCNにアタッチできるスタンドアロン・リソースであるためです。アタッチメントそのものが、どのVCNかを識別します。
- VCNルート表は、オンプレミス・ネットワークを出発点としてサポートされているOracleサービスを宛先とするインバウンド・トラフィックをルーティングします。トラフィックをフロントエンド・サブネット内のプライベートIPに送信するルールを構成します。
-
サービス・ゲートウェイ:
- このVCNルート表はサービス・ゲートウェイに関連付けられます。
- VCNルート表は、サポートされているOracleサービスを出発点としてオンプレミス・ネットワークを宛先とするレスポンス・トラフィックをルーティングします。そのトラフィックをバックエンド・サブネット内のプライベートIPに送信するルールを構成します。
-
Subnet-frontend:
- このVCNルート表はSubnet-frontendに関連付けられます。
- これには、オンプレミス・ネットワークとの間のトラフィックを有効化するルールが含まれています。
-
Subnet-backend:
- このVCNルート表はSubnet-backendに関連付けられます。
- これには、リージョナルOracle Services Networkとの間のトラフィックを有効化するルールが含まれています。
理解しておく必要がある重要な転送ルーティング制限
この項では、ルーティングに関する追加の重要な詳細を示します。
-
DRGアタッチメントのルート表:
- DRGアタッチメントに関連付けられたVCNルート表には、サービス・ゲートウェイ、プライベートIPまたはローカル・ピアリング・ゲートウェイをターゲットにしたルールのみを含めることができます。
- DRGアタッチメントには常にルート表が関連付けられますが、異なるルート表の関連付け、表のルールの編集、一部または削除を行うことができます。
- サービス・ゲートウェイのルート表:
- サービス・ゲートウェイに関連付けられたVCNルート表には、DRGまたはプライベートIPをターゲットにしたルールのみを含めることができます。
- サービス・ゲートウェイは、ルート表が関連付けられていない状態でも存在できます。ただし、ルート表をサービス・ゲートウェイに関連付けた後は、常にルート表が関連付けられている必要があります。ただし、別のルート表を関連付けることもできます。表のルールの編集や、ルールの一部またはすべての削除も可能です。
- VCNを介して転送されるトラフィック: ここで説明するルート表は、オンプレミス・ネットワーク内の場所とOracle Services Network内の場所の間でVCNを介してトラフィックを移動する場合のみに該当するものです。VCN内でプライベートIPを使用している場合、VCNを介してそのトラフィック・パスにプライベートIPが配置されるようにルート表を構成します。
- VCNへのインバウンド・トラフィック: (VCNを介するトラフィックについての)前出の記述に該当する場合でも、VCN内のサブネットへのインバウンド・トラフィックは常に許可されます。DRGアタッチメントのルート表またはサービス・ゲートウェイのルート表で、このインバウンド・トラフィックに対する明示的なルールを設定する必要はありません。この種類のインバウンド・トラフィックがDRGまたはサービス・ゲートウェイに到達すると、トラフィックはVCNローカル・ルーティングによってVCN内のその宛先に自動的にルーティングされます。VCNローカル・ルーティングがあるため、特定のVCNに属するルート表について、そのVCNのCIDR (またはサブセクション)をルールの宛先としてリストするルールは作成できません。
- プライベートIPを介した転送ルーティング時のVCNトラフィック: VCNローカル・ルーティングに関する直前の文は、オンプレミス・ネットワークとスポークVCNs間の転送にVCNのみを使用することを意味します。VCNそのものの中にワークロードを設定しないでください。より明確に言うと、VCN内にプライベートIPを介する転送ルーティングを設定した場合、同時にそのプライベートIPを介してVCNのトラフィックをルーティングすることはできません。前述の図を参照して、宛先CIDRが172.16.0.0/12ではなく0.0.0.0/0になるようにサービス・ゲートウェイのルート表内のルート・ルールを変更する場合、Oracle Services Networkからのトラフィックのみで、VCNのCIDRブロックの外部のアドレス宛てはプライベートIPを介してルーティングされます。VCNローカル・ルーティングがあるため、VCN内のアドレスを宛先とするトラフィックはすべて、自動的に宛先IPアドレスに直接ルーティングされます。VCNローカル・ルーティングは、サービス・ゲートウェイのルート表より(一般的にはVCNのどののルート表より)優先されます。
必要なIAMポリシー
Oracle Cloud Infrastructureを使用するには、管理者がテナンシ管理者によってポリシーでセキュリティ・アクセス権が付与されたグループのメンバーである必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、どのタイプのアクセス権があり、どのコンパートメントでアクセスが機能するかをテナンシ管理者に確認してください。
管理者グループのメンバーであれば、転送ルーティングを設定するために必要なアクセス権はすでに持っています。そうでない場合は、ネットワーキング・サービスへのアクセス権が必要であり、インスタンスを起動できる必要もあります。ネットワーキングに対するIAMポリシーを参照してください。
Oracleサービスへのプライベート・アクセスの設定
この項では、コンソールを使用して、VCNを含む転送ルーティングを設定して、オンプレミス・ネットワークにOracleサービスへのプライベート・アクセス権を付与する方法を示します。
この拡張シナリオで必要なネットワーキング・コンポーネントおよび接続の多くは、すでに設定が完了している可能性があります。このため、以降のタスクの一部はスキップできる場合があります。オンプレミス・ネットワークに接続されたVCNと、そのVCNに対するサービス・ゲートウェイを含むネットワーク・レイアウトがすでにある場合、タスク4が最も重要です。これにより、オンプレミス・ネットワークとOracle Services Networkの間でトラフィック・ルーティングが可能になります。
このタスクでは、VCNにサービス・ゲートウェイを追加し、リージョナルOracle Services Networkに対するゲートウェイを有効にします。
サービス・ゲートウェイに関連付けるルート表は、まだ作成しません。これは以降のタスクで行います。
- コンソールで、VCNの詳細を表示します。
- 「リソース」で、「サービス・ゲートウェイ」をクリックします。
- 「サービス・ゲートウェイの作成」をクリックします。
-
次の値を入力します。
- 名前: サービス・ゲートウェイのわかりやすい名前。一意である必要はありません。機密情報の入力は避けてください。
- コンパートメントに作成: サービス・ゲートウェイを作成するコンパートメント(現在作業しているコンパートメントと異なる場合)。
- サービス: Oracle Services Networkのすべての<region>サービス。
-
「サービス・ゲートウェイの作成」をクリックします。
選択したコンパートメント内にサービス・ゲートウェイが作成され、「サービス・ゲートウェイ」ページに表示されます。
静的ルーティングを使用するサイト間VPNを使用していて、オンプレミス・ネットワークがOracleサービスにプライベート・アクセスできるようにVCNが構成されている場合、DRGによって(サービス・ゲートウェイを介して)プライベート・パス経由で通知されるOracle Services NetworkパブリックIP範囲のルートを使用してエッジ・デバイスを構成する必要があります。これらの範囲のリストについては、VCNのパブリックIPアドレスおよびOracle Services Networkを参照してください。
| 宛先CIDR | ルート・ターゲット |
|---|---|
| リージョン内のすべてのOSNサービス | サービス・ゲートウェイ |
| 宛先CIDR | ルート・ターゲット |
|---|---|
| 172.16.0.0/12 | DRG |
このタスクでは、DRGアタッチメントおよびサービス・ゲートウェイにルート表を設定します。
前提条件:
- すでにDRGがVCNにアタッチされています。
- サービス・ゲートウェイがすでにあります。
-
DRGアタッチメントのルート表を作成します:
- コンソールで、VCNの詳細を表示します。
- 「リソース」で「ルート表」をクリックして、VCNのルート表を表示します。
- 「ルート表の作成」をクリックします。
-
次を入力します:
- 名前: ルート表のわかりやすい名前。例: VCNイングレス・ルート表。機密情報の入力は避けてください。
- コンパートメントに作成: そのままにします。
-
「+追加ルート・ルール」をクリックし、ルート・ルールに関する次の情報を入力します:
- ターゲット・タイプ: サービス・ゲートウェイ。
- 宛先サービス: Oracle Services Networkのすべての<region>サービス。
- コンパートメント: サービス・ゲートウェイが配置されているコンパートメント。
- ターゲット: サービス・ゲートウェイ。
- 説明: ルールのオプションの説明。
-
「ルート表の作成」をクリックします。
ルート表が作成され、リストに表示されます。
-
この例では、ルート表(VCNイングレス・ルート表)を、VCNのDRGアタッチメントに関連付けます:
- VCNの詳細がまだ表示されている状態で、「動的ルーティング・ゲートウェイ」をクリックして、アタッチされたDRGを表示します。
- 「アクション」メニュー(
)をクリックし、「ルート表との関連付け」をクリックします。 -
次を入力します:
- ルート表コンパートメント: DRGアタッチメントのルート表のコンパートメントを選択します。
- ルート表: DRGアタッチメントのルート表を選択します。
-
「関連付け」をクリックします。
ルート表がDRGアタッチメントに関連付けられます。
-
サービス・ゲートウェイのルート表を作成します:
- VCNの詳細がまだ表示されている状態で、「ルート表」をクリックします。
- 「ルート表の作成」をクリックします。
-
次を入力します:
- コンパートメントに作成: そのままにします。
- 名前: ルート表のわかりやすい名前。例: サービス・ゲートウェイのルート表。機密情報の入力は避けてください。
-
「+追加ルート・ルール」をクリックし、ルート・ルールに関する次の情報を入力します:
- ターゲット・タイプ: 動的ルーティング・ゲートウェイ。VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。
- 宛先CIDRブロック: オンプレミス・ネットワークのCIDR (前の例では172.16.0.0/12)。
- 説明: ルールのオプションの説明。
-
「ルート表の作成」をクリックします。
ルート表が作成され、リストに表示されます。
-
ルート表(この例ではサービス・ゲートウェイのルート表)をサービス・ゲートウェイに関連付けます:
- VCNの詳細がまだ表示されている状態で、「サービス・ゲートウェイ」をクリックします。
- サービス・ゲートウェイについて、「アクション」メニュー()をクリックし、「ルート表との関連付け」をクリックします。
-
次を入力します:
- ルート表コンパートメント: サービス・ゲートウェイのルート表のコンパートメントを選択します。
- ルート表: サービス・ゲートウェイのルート表を選択します。
-
「関連付け」をクリックします。
ルート表がサービス・ゲートウェイに関連付けられます。
この拡張シナリオで必要なネットワーキング・コンポーネントおよび接続の多くは、すでに設定が完了している可能性があります。このため、以降のタスクの一部はスキップできる場合があります。オンプレミス・ネットワークに接続されたVCNと、そのVCNに対するサービス・ゲートウェイを含むネットワーク・レイアウトがすでにある場合、タスク4と5が最も重要です。これにより、オンプレミス・ネットワークとスポークVCNの間でトラフィックをルーティングできます。
このタスクでは、VCNを設定します。この例には2つのサブネットもあります。1つはインスタンス上のフロントエンドVNIC用、もう1つはインスタンス上のバックエンドVNIC用です。リージョナル・プライベート・サブネットの使用をお薦めします。
詳細および手順の参照先:
このタスクでは、VCNにサービス・ゲートウェイを追加し、リージョナルOracle Services Networkに対するゲートウェイを有効にします。
サービス・ゲートウェイに関連付けるルート表は、まだ作成しません。これは以降のタスクで行います。
- コンソールで、VCNの詳細を表示します。
- 「リソース」で、「サービス・ゲートウェイ」をクリックします。
- 「サービス・ゲートウェイの作成」をクリックします。
-
次の値を入力します。
- 名前: サービス・ゲートウェイのわかりやすい名前。一意である必要はありません。機密情報の入力は避けてください。
- コンパートメントに作成: サービス・ゲートウェイを作成するコンパートメント(現在作業しているコンパートメントと異なる場合)。
- サービス: Oracle Services Networkのすべての<region>サービス。
-
「サービス・ゲートウェイの作成」をクリックします。
選択したコンパートメント内にサービス・ゲートウェイが作成され、「サービス・ゲートウェイ」ページに表示されます。
静的ルーティングを使用するサイト間VPNを使用していて、オンプレミス・ネットワークがOracleサービスにプライベート・アクセスできるようにVCNが構成されている場合、DRGによって(サービス・ゲートウェイを介して)プライベート・パス経由で通知されるOracle Services NetworkパブリックIP範囲のルートを使用してエッジ・デバイスを構成する必要があります。これらの範囲のリストについては、VCNのパブリックIPアドレスおよびOracle Services Networkを参照してください。
- 2つのサブネットを含むVCNがすでにあります。
- ルート・ターゲットとしてのプライベートIPの使用の情報を確認します。
- VCN内にインスタンスを作成します(まだ作成していない場合)。インスタンスの作成を参照してください。指定したサブネット内にプライマリVNICが作成されます。
- もう一方のサブネットにセカンダリVNICを作成し、それを使用するようにOSを構成します。Managing VNICsを参照してください。
- 各VNICでソース/宛先チェックを無効にします。VNICと物理NICの概要を参照してください。
- 各VNICについて、ルーティング・ターゲットとして使用するプライベートIPを決定します。VNICのプライマリ・プライベートIPのかわりにセカンダリ・プライベートIPを使用する場合は、そのセカンダリ・プライベートIPを割り当てて、それを使用するようにOSを構成します。VNICへの新しいセカンダリ・プライベートIPの割当てを参照してください。
- 作成したプライベートIPごとに、プライベートIPアドレス(例: 10.0.4.3)を記録します。
- 実行するジョブで必要な設定をインスタンスに構成します(たとえば、ファイアウォールまたは侵入検出システムをインスタンスに構成します)。
| 宛先CIDR | ルート・ターゲット |
|---|---|
| 172.16.0.0/12 | DRG |
| 宛先CIDR | ルート・ターゲット |
|---|---|
| リージョン内のすべてのOSNサービス | サービス・ゲートウェイ |
| 宛先CIDR | ルート・ターゲット |
|---|---|
| リージョン内のすべてのOSNサービス | 10.0.4.3 |
| 宛先CIDR | ルート・ターゲット |
|---|---|
| 172.16.0.0/12 | 10.0.8.3 |
このタスクでは、DRGアタッチメントおよびサービス・ゲートウェイにルート表を設定します。
前提条件:
- すでにDRGがVCNにアタッチされています。
- サービス・ゲートウェイがすでにあります。
- ルーティング・ターゲットとして使用する2つのプライベートIPがすでにあります(前のタスクを参照)。
-
DRGアタッチメントのルート表を作成します:
- コンソールで、VCNの詳細を表示します。
- 「リソース」で「ルート表」をクリックして、VCNのルート表を表示します。
- 「ルート表の作成」をクリックします。
-
次を入力します:
- 名前: ルート表のわかりやすい名前。例: VCNイングレス・ルート表。機密情報の入力は避けてください。
- コンパートメントに作成: そのままにします。
-
「+追加ルート・ルール」をクリックし、ルート・ルールに関する次の情報を入力します:
- ターゲット・タイプ: プライベートIP。
- 宛先: サービス。
- 宛先サービス: Oracle Services Networkのすべての<region>サービス
- コンパートメント: フロントエンド・サブネットのプライベートIPが配置されているコンパートメント。
- ターゲット: 前のタスクで記録したフロントエンド・サブネットのプライベートIP (例では10.0.4.3)。
- 説明: ルールのオプションの説明。
-
「ルート表の作成」をクリックします。
ルート表が作成され、リストに表示されます。
-
この例では、ルート表(VCNイングレス・ルート表)を、VCNのDRGアタッチメントに関連付けます:
- VCNの詳細がまだ表示されている状態で、「動的ルーティング・ゲートウェイ」をクリックして、アタッチされたDRGを表示します。
- 「アクション」メニュー()をクリックし、「ルート表の関連付け」をクリックします。
- ルート表を選択します。
-
「ルート表の関連付け」をクリックします。
ルート表がDRGアタッチメントに関連付けられます。
-
サービス・ゲートウェイのルート表を作成します:
- VCNの詳細がまだ表示されている状態で、「ルート表」をクリックします。
- 「ルート表の作成」をクリックします。
-
次を入力します:
- コンパートメントに作成: そのままにします。
- 名前: ルート表のわかりやすい名前。例: サービス・ゲートウェイのルート表。機密情報の入力は避けてください。
-
「+追加ルート・ルール」をクリックし、ルート・ルールに関する次の情報を入力します:
- ターゲット・タイプ: プライベートIP。
- 宛先: CIDRブロック。
- 宛先CIDRブロック: オンプレミス・ネットワークのCIDR (前の例では172.16.0.0/12)。
- コンパートメント: プライベートIPが配置されているコンパートメント。
- ターゲット: 前のタスクで記録したバックエンド・サブネットのプライベートIP (例では10.0.8.3)。
- 説明: ルールのオプションの説明。
-
「ルート表の作成」をクリックします。
ルート表が作成され、リストに表示されます。
-
ルート表(この例ではサービス・ゲートウェイのルート表)をサービス・ゲートウェイに関連付けます:
- VCNの詳細がまだ表示されている状態で、「サービス・ゲートウェイ」をクリックします。
- サービス・ゲートウェイについて、「アクション」メニュー()をクリックし、「ルート表との関連付け」をクリックします。
-
次を入力します:
- ルート表コンパートメント: サービス・ゲートウェイのルート表のコンパートメントを選択します。
- ルート表: サービス・ゲートウェイのルート表を選択します。
-
「関連付け」をクリックします。
ルート表がサービス・ゲートウェイに関連付けられます。
転送ルーティングの無効化
転送ルーティングを無効にするには、次のものからルールを削除します:
- DRGアタッチメントに関連付けられたルート表。
- サービス・ゲートウェイに関連付けられたルート表。
ルート表は、ルールなしでリソースに関連付けられている場合もあります。少なくとも1つのルールがないと、ルート表は何も行いません。
DRGアタッチメントまたはサービス・ゲートウェイは、ルート表が関連付けられていない状態でも存在できます。ただし、ルート表をDRGアタッチメントまたはサービス・ゲートウェイに関連付けた後は、常にルート表が関連付けられている必要があります。ただし、異なるルート表を関連付けることもできます。表のルールの編集や、ルールの一部またはすべての削除も可能です。