Oracle Cloud Infrastructureドキュメント

リモート・オンランプ

リモート・オンランプ・シナリオでは、VCNが異なるリージョンまたはテナンシに存在する場合でも、単一のFastConnect仮想回線またはサイト間VPN IPSec接続を介して、オンプレミス・ネットワークが2つ以上の仮想クラウド・ネットワーク(VCN)にアクセスできるようにする方法を示します。

概要

このシナリオでは、VCNとオンプレミス・ネットワーク間の接続は確立されますが、VCN間は確立されません。このルーティング・ポリシーは、動的ルーティング・ゲートウェイ(DRG)のルーティング表を構成することで実装されます。それ以外では、このシナリオはリモート・ピアリングに似ています。

このシナリオは、アップグレードされたDRGでのみ使用できます。

シングル・オンランプのネットワーキング・コンポーネントのサマリー

シングル・オンランプに必要なネットワーキング・サービス・コンポーネントの概要は次のとおりです:

  • 重複しないCIDRを含む異なるリージョン内の2つのVCN。

    ノート

    VCN CIDRは重複できません

    ピアリング関係にある2つのVCNは、重複するCIDRを持つことができません。また、ある特定のVCNが複数のピアリング関係を持つ場合、他のVCN間で重複するCIDRがないことも必要です。たとえば、VCN-1がVCN-2とピアリングされ、さらにVCN-3ともピアリングされている場合、VCN-2とVCN-3に重複するCIDRがない必要があります。

    このシナリオを構成する場合は、計画ステージでこの要件を満たす必要があります。CIDRが重複している場合にルーティングの問題が発生する可能性がありますが、コンソールまたはAPI操作によって、問題の原因となる構成を作成できなくなることはありません。

  • ピアリング関係にある各VCNにアタッチされた動的ルーティング・ゲートウェイ(DRG)。サイト間VPNまたはOracle Cloud Infrastructure FastConnectプライベート仮想回線を使用している場合、VCNにはすでにDRGがあります。
  • 2つのカスタムDRGルート表: VCNへの1つのルーティング・トラフィックと、オンプレミス・ネットワークへの1つのルーティング・トラフィック。構成の完了後、デフォルトのDRGルート表(1つはローカルVCNアタッチメント用で、もう1つはその他すべてのアタッチメント用)は使用されません。
  • ピアリング関係にある各DRG上のリモート・ピアリング接続(RPC)
  • これらの2つのRPC間に確立されたリモート・ピアリング接続
  • トラフィックがその接続を介して、また(必要な場合は)各VCN内の選択サブネットとの間でのみ流れることを可能にする、サポート・ルート・ルール
  • 他のVCNと通信する必要があるサブネット内のインスタンス間で許可されるトラフィックのタイプを制御する、サポート・セキュリティ・ルール

次の図は、これらのコンポーネントを示しています。主要な目的がVCN-2にアクセスすることである場合、VCN-1はオプションです。トラフィックの有効化には、各VCNでルート表およびセキュリティ・ルールのサポートが必要です。

この図は、リモートでピアリングされた2つのVCNの基本レイアウトを示しています。それぞれがDRG上でリモート・ピアリング接続を使用しています
ノート

特定のVCNは、接続されたRPCのみを使用して、DRGに接続されたオンプレミス・ネットワークまたはVCNに到達できます。たとえば、前の図のVCN-1にインターネット・ゲートウェイがある場合、VCN-2のインスタンスがそれを使用してインターネット上のエンドポイントにトラフィックを送信することはできません。詳細は、ピアリングの重要な意味を参照してください。

ピアリングの重要な意味

まだ参照していない場合は、ピアリングの重要な意味を読んで、ピアリングされたVCNのアクセス制御、セキュリティおよびパフォーマンスに対する重要な影響を理解してください。

異なるテナンシのVCNのピアリングには、両方のテナンシで解決する必要がある権限の問題がいくつかあります。必要な権限の詳細は、VCN間をルーティングするためのIAMポリシーを参照してください。

リモート・ピアリングの重要な概念

次の概念は、VCNピアリングの基本およびリモート・ピアリングの確立方法を理解するのに役立ちます。

ピアリング
ピアリングは、2つのVCN間の単一のピアリング関係です。例: VCN-1が他の2つのVCNとピアリングしている場合、2つのピアリングが存在します。リモート・ピアリングリモートという部分は、VCNが異なるリージョンに存在することを示します。このリモート・ピアリング方法では、VCNは同じテナンシに存在することも、異なるテナンシに存在することもできます。
VCN管理者
通常、VCNピアリングは、両方のVCN管理者が同意している場合にのみ実行できます。実際には、2人の管理者が次を行う必要があります:
  • 一定の基本情報を相互に共有します。
  • ピアリングを有効にするために必要なOracle Cloud Infrastructure Identity and Access Managementポリシーを設定するように調整します。
  • ピアリング用にVCNを構成します。
状況によっては、一方の管理者が両方のVCNおよび関連ポリシーを担当します。VCNは同じテナンシに存在することも、異なるテナンシに存在することもできます。
必要なポリシーおよびVCN構成の詳細は、VCN間をルーティングするためのIAMポリシーを参照してください。
アクセプタおよびリクエスタ
ピアリングに必要なIAMポリシーを実装するには、2人のVCN管理者が1人の管理者をリクエスタとして、もう1人をアクセプタとして指定する必要があります。リクエスタは、2つのRPCを接続するリクエストを開始する必要があります。一方、アクセプタは、アクセプタのコンパートメント内のRPCに接続するためのリクエスタ権限を付与する特定のIAMポリシーを作成する必要があります。このポリシーがないと、リクエスタの接続リクエストは失敗します。
リージョン・サブスクリプション
別のリージョン内のVCNとピアリングするには、テナンシがそのリージョンにサブスクライブされている必要があります。サブスクライブの詳細は、リージョンの管理を参照してください。
リモート・ピアリング接続(RPC)
リモート・ピアリング接続(RPC)は、VCNにアタッチされたDRG上に作成するコンポーネントです。RPCの役割は、リモートにピアリングされたVCNの接続ポイントとなることです。VCNの構成の一部として、各管理者はVCN上にDRGのRPCを作成する必要があります。1つのDRGでは、VCNに対して確立するリモート・ピアリングごとに、個別のRPCが必要です。前の例から続行する場合: VCN-1のDRGには、他の2つのVCNとピアリングするための2つのRPCがあります。APIでは、RemotePeeringConnectionはピアリングに関する情報を含むオブジェクトです。後で別のピアリングを確立するためにRPCを再利用することはできません。
2つのRPC間の接続
(コンソールまたはAPIで)リクエスタがピアリングのリクエストを開始するとき、実際には2つのRPCの接続を要求することになります。リクエスタは各RPCを特定する情報(RPCのリージョンやOCIDなど)を持っている必要があります。
どちらのVCN管理者も、自分のRPCを削除することでピアリングを終了できます。その場合、もう一方のRPCのステータスがREVOKEDに切り替わります。また、管理者は、接続でのトラフィック・フローを可能にするルート・ルールを削除することで、接続を無効化できます(次の項を参照)。
DRGへのルーティング
VCN構成の一環として、各管理者は、VCN間のトラフィック・フローを可能にするようにVCNのルーティングを更新する必要があります。オンプレミス・ネットワークと通信する必要があるサブネットごとに、サブネットのルート表を更新します。ルート・ルールでは、宛先トラフィックのCIDRとDRGをターゲットとして指定します。DRGは、そのルールに一致するトラフィックを他のDRGにルーティングし、さらにそこから他のVCN内のネクスト・ホップにトラフィックをルーティングします。
セキュリティ・ルール
VCNの各サブネットには、パケット・レベルでサブネットのVNIC内外のトラフィックを制御する1つ以上のセキュリティ・リストがあります。セキュリティ・リストを使用して、他のVCNで許可されるトラフィックのタイプを制御できます。VCN構成の一環として、各管理者は、自分のVCN内のどのサブネットが他のVCN内のVNICと通信する必要があるかを判断し、それに応じてサブネットのセキュリティ・リストを更新する必要があります。
ネットワーク・セキュリティ・グループ(NSG)を使用してセキュリティ・ルールを実装する場合、トラフィックのソースまたは宛先として別のNSGを指定するNSG用セキュリティ・ルールを記述できることに注意してください。ただし、2つのNSGは同じVCNに属している必要があります

シングル・オンランプの設定

このシナリオを実装する前に、次を確認してください:

  1. VCN-1は、DRGへのVCNのアタッチのステップに従って、リージョン1のDRG-1にアタッチされています。
  2. VCN-2は、DRGへのVCNのアタッチのステップに従って、リージョン2のDRG-2にアタッチされています。
  3. VCN-2は、アップグレードされたDRGを介したリモートVCNピアリングのステップに従ってVCN-1にピアリングされます
  4. 他の方法では両方のDRGは変更されていません。
  5. FastConnect仮想回線1はリージョン1にあり、FastConnectのドキュメントに記載されているように、仮想回線(Oracleパートナ、Oracleコロケーション、サードパーティ・プロバイダ)のソースに応じて適切な方法に従ってDRG-1に接続されています。

次の図は、このシナリオを実装する前の開始状態を示しています。VCN-1とVCN-2はピアリングされています。サブネットA (10.0.0.15)のインスタンスからのトラフィックのうち、VCN-2 (192.168.0.15)のインスタンスに対して送信されるものは、サブネットAのルート表にあるルールに基づいてDRG-1にルーティングされます。トラフィックは、そこからRPCを介してDRG-2にルーティングされ、さらにサブネットX内の宛先にルーティングされます。オンプレミス・ネットワークは、VCN-1のリソースには対処できますが、VCN-2には対処できません。

この図は、一方のDRGから他方にルーティングされるトラフィックのルート表およびパスを示しています。

コールアウト1: サブネットAルート表
宛先CIDR ルート・ターゲット
0.0.0.0/0 インターネット・ゲートウェイ
192.168.0.0/16 DRG-1
172.16.0.0/12 DRG-1

コールアウト2: サブネットXルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 DRG-2

次の図で説明する実装されたオンランプ・シナリオでは、VCNはトラフィックを相互にルーティングできません。VCN-1とVCN-2はピアリングされています。ネットワーク(172.16.0.10)のオンプレミス・リソースからのトラフィックのうち、VCN-2 (192.168.0.15)のインスタンスに対して送信されるものは、IPSEC_TUNNELアタッチメント・ルート表To-on-premisesにあるルールに基づいてDRG-1にルーティングされます。トラフィックは、そこからRPCアタッチメントを介してDRG-2にルーティングされ、さらにサブネットX内の宛先にルーティングされます。

この図は、一方のDRGから他方にルーティングされるトラフィックのルート表およびパスを示しています。
コールアウト1: DRG-1ルート表RT-OnPrem
宛先CIDR ルート・ターゲット タイプ
10.0.0.0/16 VCNアタッチメント 動的
192.168.0.0/16 RPCアタッチメント 動的
コールアウト2: DRG-1ルート表RT-VCN
宛先CIDR ルート・ターゲット タイプ
172.16.0.0/12 仮想回線アタッチメント 動的
コールアウト3: DRG-1ルート表RT-RPC
宛先CIDR ルート・ターゲット タイプ
172.16.0.0/12 仮想回線アタッチメント 動的
コールアウト4: サブネットXルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG-2
ノート

前述のように、特定のVCNは、接続されたDRGのRPCアタッチメントを使用してオンプレミス・ネットワーク内のVNICにのみ到達でき、インターネット上の宛先には到達できません。たとえば、前の図で、VCN-2はVCN-1にアタッチされたインターネット・ゲートウェイを使用できません。

ステップ

これらのステップは、すべてDRG-1で実行されます:

ステップ1: 新しいDRGルート表の作成

この表に静的ルートは必要ありません。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。

  2. 目的のDRG (DRG-1)をクリックします。
  3. 「リソース」で、「DRGルート表」をクリックします。
  4. 「DRGルート表の作成」をクリックします。

  5. 次を入力します:

    • 名前: "RT-VCN"と入力するか、他のわかりやすい名前を選択します。

  6. 「DRGルート表の作成」をクリックします。

次のタスクに移動する前に、これらのステップを繰り返して、"RT-OnPrem"および"RT-RPC"という名前の2つの空のルート表を作成します。

ステップ2: "RT-VCN"のインポート・ルート・ディストリビューションの作成

VCN-1で使用されるDRGアタッチメントのインポート・ルート・ディストリビューションを作成します。インポート・ルート・ディストリビューションには1つの文が含まれ、仮想回線タイプのアタッチメントからのルートを受け入れます。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。

  2. 目的のDRG (DRG-1)をクリックします。
  3. 「リソース」で、「ルート・ディストリビューションのインポート」をクリックします。
  4. 「ルート・ディストリビューションのインポートの作成」をクリックします。

  5. 次を入力します:

    • 名前: "Import-VCN"と入力するか、他のわかりやすい名前を選択します。
    • 優先度: "10"と入力するか、他の優先度番号を選択します。
    • 一致タイプ: 「アタッチメント・タイプ」を選択します。

      アタッチメント・タイプ: 「仮想回線」を選択します。

    ノート

    「アタッチメント・タイプ」オプションを使用すると、インポート・ルート・ディストリビューションには、すべてのアタッチメントから、選択したタイプを持つこのDRGへのルートが含まれます。

  6. 終了したら、「ルート・ディストリビューションのインポートの作成」 をクリックします。

  7. 「リソース」で、「DRGルート表」をクリックします。
  8. 新しいインポート・ルート・ディストリビューションに割り当てるルート表の名前"RT-VCN"をクリックします。
  9. 「編集」をクリックします。
  10. 「ルート・ディストリビューションのインポートの有効化」をクリックします。このオプションを使用すると、インポート・ルート・ディストリビューションをルート表に割り当てて、BGP通知に基づいて新しいルートを動的に学習できます。
    • 前のステップで作成した"Import-VCN"というインポート・ルート・ディストリビューションを選択します
  11. 「変更の保存」をクリックします。
ステップ3: "RT-OnPrem"のインポート・ルート・ディストリビューションの作成

仮想回線アタッチメントで使用されるDRGアタッチメントのインポート・ルート・ディストリビューションを作成します。インポート・ルート・ディストリビューションには2つの文が含まれます。1つはVCNタイプのアタッチメントからのルートを受け入れる文で、もう1つはRPCタイプのアタッチメントからのルートを受け入れる文です。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。

  2. 目的のDRG (DRG-1)をクリックします。
  3. 「リソース」で、「ルート・ディストリビューションのインポート」をクリックします。
  4. 「ルート・ディストリビューションのインポートの作成」をクリックします。

  5. 次を入力します:

    • 名前: "Import-OnPrem"と入力するか、他のわかりやすい名前を選択します。
    • 優先度: "10"と入力するか、他の優先度番号を選択します。
    • 一致タイプ: 「アタッチメント・タイプ」を選択します。

      アタッチメント・タイプ: 「仮想クラウド・ネットワーク」を選択します。

  6. 「+別の文」をクリックして、別のルート・ディストリビューション文を追加します。
    • 優先度: "20"と入力するか、他の優先度番号を選択します。
    • 一致タイプ: 「アタッチメント・タイプ」を選択します。

    • アタッチメント・タイプ: 「リモート・ピアリング接続」を選択します。

      ノート

      「アタッチメント・タイプ」オプションを使用すると、インポート・ルート・ディストリビューションには、すべてのアタッチメントから、RPCタイプを持つこのDRGへのルートが含まれます。他のリージョンのVCNへのRPC接続がすべて含まれます。

  7. 終了したら、「ルート・ディストリビューションのインポートの作成」をクリックします。

  8. 「リソース」で、「DRGルート表」をクリックします。
  9. 新しいインポート・ルート・ディストリビューションに割り当てるルート表の名前"RT-OnPrem"をクリックします。
  10. 「編集」をクリックします。
  11. 「ルート・ディストリビューションのインポートの有効化」をクリックします。このオプションを使用すると、インポート・ルート・ディストリビューションをルート表に割り当てて、BGP通知に基づいて新しいルートを動的に学習できます。
    • 前のステップで作成した"Import-OnPrem"というインポート・ルート・ディストリビューションを選択します
  12. 「変更の保存」をクリックします。
ステップ4: "RT-RPC"のインポート・ルート・ディストリビューションの作成

リモート・ピアリング接続アタッチメントで使用されるDRGアタッチメントのインポート・ルート・ディストリビューションを作成します。インポート・ルート・ディストリビューションには1つの文が含まれ、仮想回線タイプのアタッチメントからのルートを受け入れます。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。

  2. 目的のDRG (DRG-1)をクリックします。
  3. 「リソース」で、「ルート・ディストリビューションのインポート」をクリックします。
  4. 「ルート・ディストリビューションのインポートの作成」をクリックします。

  5. 次を入力します:

    • 名前: "Import-RPC"と入力するか、他のわかりやすい名前を選択します。
    • 優先度: "10"と入力するか、他の優先度番号を選択します。
    • 一致タイプ: 「アタッチメント・タイプ」を選択します。

      アタッチメント・タイプ: 「仮想回線」を選択します。

    ノート

    リージョン間VCNが相互に通信できるようにするには、RT-VCNで使用されるディストリビューションのインポートにRPCアタッチメントをインポートし、RT-RPCで使用されるディストリビューションのインポートにVCNアタッチメントをインポートします。

  6. 終了したら、「ルート・ディストリビューションのインポートの作成」をクリックします。

  7. 「リソース」で、「DRGルート表」をクリックします。
  8. 新しいインポート・ルート・ディストリビューションに割り当てるルート表の名前"RT-RPC"をクリックします。
  9. 「編集」をクリックします。
  10. 「ルート・ディストリビューションのインポートの有効化」をクリックします。このオプションを使用すると、インポート・ルート・ディストリビューションをルート表に割り当てて、BGP通知に基づいて新しいルートを動的に学習できます。
    • 前のステップで作成した"Import-RPC"というインポート・ルート・ディストリビューションを選択します
  11. 「変更の保存」をクリックします。
ステップ5: アタッチメント・ルート表の再割当て

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。

  2. 目的のDRG (DRG-1)の名前をクリックします。
  3. 「リソース」で、「仮想クラウド・ネットワーク・アタッチメント」をクリックします。
  4. VCN-1で使用されるDRGアタッチメントの名前をクリックします。
  5. 「編集」をクリックします。
  6. 「拡張オプションの表示」をクリックします。
  7. DRGルート表を、VCNアタッチメントの自動生成されたルート表から"RT-VCN"に変更します
  8. 「変更の保存」をクリックします。
  9. 画面上部のブレッドクラムで、目的のDRG (DRG-1)の名前をクリックします。
  10. 「リソース」で、「仮想回線アタッチメント」をクリックします。
  11. 仮想回線1で使用されるDRGアタッチメントの名前をクリックします。
  12. 「編集」をクリックします。
  13. 「拡張オプションの表示」をクリックします。
  14. DRGルート表を、RPC、VIRTUAL_CIRCUITおよびIPSEC_TUNNELアタッチメントの自動生成されたルート表から"RT-OnPrem"に変更します。
  15. 「変更の保存」をクリックします。
  16. 画面上部のブレッドクラムで、目的のDRG (DRG-1)の名前をクリックします。
  17. 「リソース」で、「リモート・ピアリング接続アタッチメント」をクリックします。
  18. RPC-1で使用されるDRGアタッチメントの名前をクリックします。
  19. 「編集」をクリックします。
  20. 「拡張オプションの表示」をクリックします。
  21. DRGルート表を、RPC、VIRTUAL_CIRCUITおよびIPSEC_TUNNELアタッチメントの自動生成されたルート表から"RT-RPC"に変更します。

これで、シングル・オンランプの構成が完了しました。この時点で、ローカルまたはリモートのVCNからオンプレミス・ネットワークに送信されたパケットは、相互にアタッチされたDRGに送信され、次にオンプレミス・ネットワークに送信されます。