Oracle Cloud Infrastructureドキュメント

ローカル・ピアリング・ゲートウェイ(LPG)

Compute Cloud@Customerでは、ローカル・ピアリング・ゲートウェイを構成できます。VCNピアリングは、リソースがプライベートIPアドレスを使用して通信できるように、複数の仮想クラウド・ネットワーク(VCN)を接続するプロセスです。

VCNピアリングを使用すると、複数のVCNにネットワークを分割できます。たとえば、部門や事業部門に基づいて、各VCNは他のVCNに直接プライベート・アクセスします。他のすべてのSCNがプライベートにアクセスできる単一のVCNに共有リソースを配置することもできます。2つのピアリングされたSCNは、同じテナンシまたは異なるものにすることができます。

ポリシー

2つのVCN間のピアリングでは、各パーティが独自のVCNコンパートメントまたはテナンシ用に実装するIAMポリシーの形式で、両者からの明示的な同意が必要です。VCNが異なるテナンシにある場合、各管理者はテナンシOCIDを指定し、ピアリングを有効にするために特別な調整ポリシー・ステートメントを設定する必要があります。

ピアリングに必要なIAMポリシーを実装するには、2人のVCN管理者が一方の管理者をリクエスタとして、他方の管理者をアクセプタとして指定する必要があります。リクエスタは、2つのLPGを接続するリクエストを開始する必要があります。一方、アクセプタは、アクセプタのコンパートメント内のLPGに接続するためのリクエスタ権限を付与する特定のIAMポリシーを作成する必要があります。このポリシーがないと、リクエスタの接続リクエストは失敗します。どちらのVCN管理者も、LPGを削除することでピアリング接続を削除できます。

ルーティングとトラフィック制御

VCNの構成の一環として、各管理者がVCNルーティングを更新して、トラフィックがVCN間で流れるようにする必要があります。実際には、これはインターネット・ゲートウェイや動的ルーティング・ゲートウェイなどのゲートウェイに設定したルーティングと同様です。他のVCNと通信する必要があるサブネットごとに、サブネット・ルート表を更新します。ルート・ルールでは、宛先トラフィックのCIDRとLPGをターゲットとして指定します。LPGは、そのルールに一致するトラフィックを他のLPGにルーティングし、さらにそこから他のVCN内のネクスト・ホップにトラフィックをルーティングします。

VCN内のルート表を使用してピアリング接続上のパケット・フローを制御できます。たとえば、トラフィックを他のVCNの特定のサブネットのみに制限できます。ピアを削除せずに、VCNから他のVCNにトラフィックを転送するルート・ルールを削除することで、他のVCNへのトラフィック・フローを停止できます。また、他のVCNとのイングレス・トラフィックまたはエグレス・トラフィックを有効にするセキュリティ・リスト・ルールを削除することでも、トラフィックを実質上停止できます。この場合、ピアリング接続を介するトラフィック・フローは停止されず、VNICレベルでトラフィック・フローが停止されます。

セキュリティ・ルール

各VCN管理者は、他のVCNとのアウトバウンド・トラフィックおよびインバウンド・トラフィックがすべて意図され、予測され、適切に定義されていることを確認する必要があります。実際には、これは、VCNが他方に送信して他方から受け入れることができるトラフィックのタイプを明示的に示すセキュリティ・リスト・ルールを実装することを意味します。サブネットでデフォルト・セキュリティ・リストを使用する場合、任意の場所からのSSHおよびICMPイングレス・トラフィックを許可する2つのルールがあり、他のVCNも許可されます。これらのルールと、それらを保持するかどうかを評価します。

セキュリティ・リストおよびファイアウォールの他に、VCNインスタンス上のその他のOSベースの構成を評価します。独自のVCN CIDRに適用されないが、他のVCN CIDRに意図せず適用されるデフォルト構成がある場合があります。

ローカル・ピアリング・ゲートウェイを介したVCNsの接続

Compute Cloud@Customerでは、ローカル・ピアリング・ゲートウェイ(LPG)は、プライベートIPアドレスを使用しても各VCN内の要素が通信できるようにVCNsを接続する方法です。

ピアリング接続を設定するには、次のコンポーネントが必要です:

  • CIDRが重複していない2つのVCN

  • ピアリング関係の各VCN上のローカル・ピアリング・ゲートウェイ(LPG)

  • 2つのLPG間の接続

  • それぞれのVCN内の目的のサブネットとの間のピアリング接続を介したトラフィックを有効にするルート・ルール

  • 問題のサブネット内のインスタンス間で許可されるトラフィックのタイプを制御するセキュリティ・ルール

    1. Compute Cloud@Customerコンソールのナビゲーション・メニューの「ネットワーキング」で、「Virtual Cloud Networks」をクリックします。

      コンパートメントに以前に構成されたVCNsのリストが表示されます。ローカル・ピアリング・ゲートウェイを作成するコンパートメントが表示されない場合は、ドロップダウン・メニューを使用して正しいコンパートメントを選択します。

    2. VCN名をクリックします。

    3. 「Resources」メニューで、「Local Peering Gateways」をクリックします。

    4. ローカル・ピアリング・ゲートウェイの作成をクリックします。

    5. 必須情報を入力します:

      • 名前:名前を入力します。機密情報を入力しないでください。

      • コンパートメントに作成:ローカル・ピアリング・ゲートウェイを作成するコンパートメントを選択します。

      • タグ付け: (オプション)このリソースに1つ以上のタグを追加します。タグは後で適用することもできます。リソースのタグ付けの詳細は、リソース・タグを参照してください。

    6. ローカル・ピアリング・ゲートウェイの作成をクリックします。

      ローカル・ピアリング・ゲートウェイは、VCNsを「ピアリング接続の確立」に接続する準備が整い、ルート・ルールまたはセキュリティ設定を追加する準備ができました。

  • 指定されたVCNの新しいローカル・ピアリング・ゲートウェイ(LPG)を作成するには、oci network local-peering-gateway createコマンドと必要なパラメータを使用します。

    oci network local-peering-gateway create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> [OPTIONS]

    CLIのコマンド、フラグおよびオプションの完全なリストは、コマンドライン・リファレンスを参照してください。

  • CreateLocalPeeringGateway操作を使用して、指定したVCNの新しいローカル・ピアリング・ゲートウェイ(LPG)を作成します。

    APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。