Oracle Cloud Infrastructureドキュメント

ルート表

このトピックでは、仮想クラウド・ネットワーク(VCN)のルート表を管理する方法について説明します。

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用して、クラウド・リソースに説明、タグまたはわかりやすい名前を割り当てる場合、機密情報を入力することは避けてください。

VCNのルーティングの概要

VCNでは、仮想ルート表を使用して、VCNから(インターネット、オンプレミス・ネットワーク、ピアリングされたVCNなどに)トラフィックを送信します。これらの仮想ルート表には、すでに使い慣れている従来のネットワーク・ルート・ルールのように動作するルールがあります。各ルールでは、宛先CIDRブロックと、そのCIDRに一致するトラフィックのターゲット(ネクスト・ホップ)を指定します。

VCNでのルーティングの基本は次のとおりです:

  • 基本的なルーティング・シナリオは、VCN外部の宛先にサブネットのトラフィックを送信するためのものです。サブネットには、選択した単一のルート表が関連付けられます。そのサブネット内のすべてのVNICは、ルート表のルールの対象になります。ルールは、サブネットから送信されるトラフィックのルーティング方法を制御します。
  • VCN内のトラフィックは、VCNのローカル・ルーティングで自動的に処理されます。そのトラフィックを有効化するために必要なルート・ルールはありません。一般的に、特定のVCNに属するルート表については、そのVCNのCIDR (またはサブセクション)をルールの宛先としてリストするルールを作成できません。Oracleでサブネットのルート表が使用されるのは、宛先IPアドレスがVCNのCIDRブロック内に存在しない場合のみです。
  • ルート表に重複するルールがある場合、Oracleでは表内で最も特定的なルール(最長接頭辞一致を満たすルール)を使用してトラフィックをルーティングします。
  • VCNの外部でルーティングするためのネットワーク・トラフィックと一致するルート・ルールがない場合、トラフィックは破棄(ブラックホール化)されます。
  • IPv6アドレス指定およびルーティングは、現在、米国Government Cloudでのみサポートされています。詳細は、IPv6アドレスを参照してください。

VCNとオンプレミス・ネットワーク間のルーティングに関する重要な詳細は、オンプレミス・ネットワークへの接続のルーティング詳細を参照してください。

ルート表とルート・ルールの作業

各VCNには、ルールのないデフォルト・ルート表が自動的に付属しています。特に指定しない場合は、すべてのサブネットでVCNのデフォルト・ルート表が使用されます。VCNにルート・ルールを追加する場合、必要に応じてデフォルト表に簡単に追加できます。ただし、パブリック・サブネットとプライベート・サブネットの両方が必要な場合(たとえば、シナリオC: VPNを使用したパブリック・サブネットとプライベート・サブネットを参照)、かわりにサブネットごとに個別の(カスタム)ルート表を作成します。

VCN内の各サブネットは、単一のルート表を使用します。サブネットの作成時に、どれを使用するかを指定します。いつでもサブネットが使用するルート表を変更できます。また、ルート表のルールを編集したり、表からすべてのルールを削除することもできます。

オプションとして、作成時にカスタム・ルート表にわかりやすい名前を割り当てることができます。一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子をルート表に自動的に割り当てます。詳細は、リソース識別子を参照してください。

ルート・ルールでは、宛先CIDRブロックと、そのCIDRに一致するトラフィックのターゲット(ネクスト・ホップ)を指定します。ルート・ルールで許可されるタイプのターゲットは次のとおりです:

ノート

特定のリソースがルート・ルールのターゲットである場合、それを削除することはできません。たとえば、トラフィックがルーティングされているインターネット・ゲートウェイは削除できません。最初に、そのインターネット・ゲートウェイをターゲットとしている(すべてのルート表の)すべてのルールを削除する必要があります。

ルート表にルート・ルールを追加するときに、宛先CIDRブロックとターゲット(およびそのターゲットが存在するコンパートメント)を指定します。例外: ターゲットがサービス・ゲートウェイである場合、宛先CIDRブロックのかわりに、対象サービスのパブリック・エンドポイントを表すOracle提供の文字列を指定します。この方法では、時間の経過とともに変化する可能性のあるサービスのCIDRブロックをすべて把握する必要はありません。

ルールを誤って構成した(たとえば、間違った宛先CIDRブロックを入力した)場合、ルーティングしようとしているネットワーク・トラフィックは、破棄(ブラックホール化)されるか、意図しないターゲットに送信される可能性があります。

ルート表は、コンパートメント間で移動できます。ルート表の移動は、VCNまたはサブネットへのアタッチメントには影響しません。ルート表を新しいコンパートメントに移動すると、固有のポリシーがただちに適用され、ルート表へのアクセスが影響を受けます。詳細は、アクセス制御を参照してください。

VCNのデフォルト・ルート表は削除できません。カスタム・ルート表を削除するには、サブネットにまだ関連付けられていない必要があります。または、転送ルーティングの拡張シナリオでは、それがVCNのDRGアタッチメントまたはLPGに関連付けられていない必要があります。

ルート表およびルート・ルールの最大数の詳細は、サービス制限を参照してください。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者が記述するポリシー で、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどれを使用しているかにかかわらず、必要なアクセスのタイプを付与されている必要があります。アクションを実行しようとしたときに、権限がない、または認可されていないというメッセージが表示された場合は、付与されているアクセスのタイプと作業するコンパートメントを管理者に確認してください。

管理者用: ネットワーキングに対するIAMポリシーを参照してください。

拡張シナリオ: 転送ルーティング

このドキュメントでは、ネットワーキング・サービスを理解するためのいくつかの基本ネットワーキング・シナリオと、一般にコンポーネントがどのように連携するかについて説明します。ネットワーキング・シナリオのシナリオA、BおよびCを参照してください。

シナリオA–Cは、FastConnectまたはVPN接続を介してVCNに接続され、そのVCN内のリソースにのみアクセスするオンプレミス・ネットワークを示しています。

次の拡張ルーティング・シナリオでは、接続されたVCNのリソースに加えてオンプレミス・ネットワークに追加のアクセス権を付与します。トラフィックは、オンプレミス・ネットワークからVCNに移動し、VCNからその宛先に転送されます。次のトピックを参照してください:

両方の転送ルーティング・シナリオには、サブネットのかわりにゲートウェイに関連付けるルート表の作成が含まれます。

例:

ネットワーキング・サービスでは、ルート表の使用方法が制限されます:

  • DRGアタッチメント: VCNのDRGアタッチメントにルート表を関連付ける場合、VCNのLPG、VCNのサービス・ゲートウェイ、またはVCNのプライベートIPをターゲットとして使用するルールのみをルート表に含めることができます。
  • LPGまたはサービス・ゲートウェイ: LPGまたはサービス・ゲートウェイにルート表を関連付ける場合、VCNにアタッチされたDRGまたはVCNのプライベートIPをターゲットとして使用するルールのみをルート表に含めることができます。

DRGアタッチメントまたはLPGは、ルート表が関連付けられていない状態でも存在できます。ただし、ルート表をDRGアタッチメントまたはLPGに関連付けた後は、常にルート表が関連付けられている必要があります。ただし、異なるルート表を関連付けることもできます。表のルールの編集や、ルールの一部またはすべての削除も可能です。

ルート・ターゲットとしてのプライベートIPの使用

プライベートIPの定義がよくわからない場合は、プライベートIPアドレスを参照してください。要するに、プライベートIPとは、プライベートIPアドレスと関連プロパティを含み、独自のOCIDを持つオブジェクトです。

一般的な使用例

前述のように、Oracleでは、宛先IPアドレスがVCN外部にあるトラフィックに対してのみ、特定のサブネットのルート表が使用されます。通常は、1つ以上のルールを設定して、そのトラフィックをVCNのゲートウェイにルーティングします(たとえば、オンプレミス・ネットワークに接続されたDRGや、インターネットに接続されたインターネット・ゲートウェイなど)。ただし、最初にVCNのインスタンス経由で(VCN外部の宛先に向かう)そのトラフィックをルーティングすることもできます。その場合、VCNのゲートウェイではなく、VCNのプライベートIPをターゲットとして使用できます。これを行う理由はいくつかあります:

  • インスタンスからの送信トラフィックをフィルタするファイアウォールや侵入検出などの仮想ネットワーク・アプライアンス(NVA)を実装するため。
  • VCNでオーバーレイ・ネットワークを管理することにより、コンテナ・オーケストレーション・ワークロードを実行するため。
  • VCNにネットワーク・アドレス変換(NAT)を実装するため。かわりに、VCNでNATゲートウェイを使用することをお薦めします。一般的に、NATは、直接インターネットに接続できないインスタンスのアウトバウンド・インターネット・アクセスを可能にします。

このような使用例を実装するには、単純にトラフィックをインスタンスにルーティングするよりも多くの処理が必要です。また、インスタンス自体の構成も必要です。

ヒント

セカンダリ・プライベートIPアドレスを使用することで、プライベートIPルート・ターゲットの高可用性を有効にできます。障害に備えて、同じサブネット内の既存のVNICから別のVNICにセカンダリ・プライベートIPを移動できます。セカンダリ・プライベートIPを同じサブネット内の別のVNICに移動するには(コンソールの手順)およびUpdatePrivateIp (APIの手順)を参照してください。

ターゲットとしてプライベートIPを使用するための要件

  • プライベートIPは、ルート表と同じVCN内にある必要があります。
  • プライベートIPのVNICは、VNICがトラフィックを転送できるように、ソース/宛先チェックをスキップするように構成する必要があります。デフォルトでは、VNICはチェックを実行するように構成されます。詳細は、ソース/宛先チェックを参照してください。
  • パケットを転送するようにインスタンス自体を構成する必要があります。
  • ルート・ルールでは、IPアドレス自体ではなく、プライベートIPのOCIDをターゲットとして指定する必要があります。例外: コンソールを使用する場合、ターゲットとしてプライベートIPアドレス自体を指定することもできます。また、コンソールによって、ルール内で対応するOCIDが決定され、使用されます。

    重要

    プライベートIPターゲットを持つルート・ルールは、次の場合にブラックホールとなることがあります:

    • プライベートIPが割り当てられているインスタンスが停止または終了します
    • プライベートIPが割り当てられているVNICが更新されて、ソース/宛先チェックが有効になるか、削除されます
    • プライベートIPがVNICから割当て解除されます

    ターゲットのプライベートIPが終了すると、コンソールでは、ターゲットOCIDが存在しなくなったことを示す注意がルート・ルールに表示されます。

    フェイルオーバーの場合: ターゲット・インスタンスが終了した後で、セカンダリ・プライベートIPをスタンバイに移動する場合は、スタンバイ上の新しいターゲット・プライベートIPのOCIDを使用するようにルート・ルールを更新する必要があります。ルールではターゲットのOCIDが使用され、プライベートIPアドレス自体は使用されません。

一般的な設定プロセス

  1. トラフィックを受信および転送するインスタンス(NATインスタンスなど)を決定します。
  2. インスタンスのプライベートIPを選択します(インスタンスのプライマリVNICまたはセカンダリVNICのどちらでも可能)。フェイルオーバーを実装する場合は、インスタンスのVNICのいずれかにセカンダリ・プライベートIPを設定します。
  3. プライベートIPのVNICでソース/宛先チェックを無効にします。ソース/宛先チェックを参照してください。
  4. プライベートIPのOCIDを取得します。コンソールを使用している場合、OCIDまたはプライベートIPアドレス自体を、プライベートIPのコンパートメント名とともに取得できます。
  5. プライベートIPにトラフィックをルーティングする必要があるサブネットについて、サブネットのルート表を表示します。表に、同じ宛先CIDRで異なるターゲットを持つルールがすでにある場合、そのルールを削除します。
  6. 次を含むルート・ルールを追加します:

    • ターゲット・タイプ: プライベートIP。
    • 宛先CIDRブロック: サブネットから送信されるすべてのトラフィックがプライベートIPに移動する必要がある場合、0.0.0.0/0を使用します。
    • コンパートメント: プライベートIPのコンパートメント。
    • ターゲット: プライベートIPのOCID。コンソールを使用しており、かわりにプライベートIPアドレス自体を入力する場合、コンソールによって、対応するOCIDが決定され、それがルート・ルールのターゲットとして使用されます。
    • 説明: ルールのオプションの説明。

前述のように、パケットを転送するようにインスタンス自体を構成する必要があります。

コンソールの使用

VCNのデフォルト・ルート表を表示するには
既存のルート表内のルールを更新するには
ルート表を作成するには
サブネットが使用するルート表を変更するには
ルート表を別のコンパートメントに移動するには
ルート表を削除するには
ルート表のタグを管理するには

APIの使用

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKの詳細は、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

VCNのルート表を管理するには、次の操作を使用します: