Oracle Cloud Infrastructureドキュメント

ハブVCN内の転送ルーティング

転送ルーティングとは、オンプレミス・ネットワークが仲介者を使用してOracleリソース(サービス)またはVCNに到達するためのネットワーク・トポロジを示します。仲介者は、VCNにすることも、オンプレミス・ネットワークがすでにアタッチされている動的ルーティング・ゲートウェイ(DRG)にすることもできます。FastConnectまたはサイト間VPNを使用してオンプレミス・ネットワークをDRGに接続し、トラフィックがその宛先に仲介者を経由して転送されるようにルーティングを構成します。

3つの主要な転送ルーティング・シナリオは:

  • ネットワーク間にファイアウォールがある単一のDRGを介した複数のネットワーク間のアクセス: このシナリオでは、DRGをハブとして使用し、別のネットワークに送信する前にVCN内のファイアウォールを介してパケットを送信するようにルーティングが構成されます。中央ネットワーク仮想アプライアンスを介したトラフィックのルーティングを参照してください。このシナリオは、アップグレードされたDRGを使用する実装でのみ使用できます。
  • 同じリージョン内の複数のVCNへのアクセス: このトピックで説明するシナリオです。このシナリオでは、VCNをハブとして使用し、単一のFastConnectプライベート仮想回線またはサイト間VPNを介した、オンプレミス・ネットワークと同じリージョン内の(ローカル・ピアリングを介して接続された)複数のVCNの間の通信を可能にします。Oracleでは、かわりに前のシナリオを使用することをお薦めします。このシナリオは、レガシーまたはアップグレードされたDRGを使用する実装で使用できます。
  • Oracleサービスへのプライベート・アクセス: このシナリオでは、VCNをハブとして使用し、オンプレミス・ホストがプライベートIPアドレスを使用でき、トラフィックがインターネットを経由することがないように、オンプレミス・ネットワークにOracleサービスへのプライベート・アクセス権を付与します。Oracleサービスへのプライベート・アクセスを参照してください。このシナリオは、レガシーまたはアップグレードされたDRGを使用する実装で使用できます。

ハイライト

  • 単一のFastConnectまたはサイト間VPN接続を使用して、ハブアンドスポーク・トポロジで、オンプレミス・ネットワークを同じリージョン内の複数のVCNと接続できます。
  • これらのVCNは同じリージョンに存在している必要がありますが、テナンシは異なっていてもかまいません。正確なルーティングのために、オンプレミス・ネットワークおよびVCNで対象となる様々なサブネットのCIDRブロックは重複しないでください。
  • ハブとして機能するVCNは、動的ルーティング・ゲートウェイ(DRG)を使用してオンプレミス・ネットワークと通信します。このハブVCNは、スポーク(このトピックではスポークVCNと表す)として機能する各VCNとピアリングされます。ハブとスポークVCNは、ローカル・ピアリング・ゲートウェイ(LPG)を使用して通信します。
  • オンプレミス・ネットワークからの目的のトラフィックがハブを経由してピアリングされたスポークVCNに送信されるようにするには、そのハブDRGまたはハブVCNのDRGアタッチメントおよびLPGと、スポークVCNのサブネットに対して、ルート・ルールを実装します。
  • 必要に応じて、ハブVCN内のプライベートIPを介した転送ルーティングを設定できます。たとえば、オンプレミス・ネットワークとスポークVCNの間のトラフィックのフィルタ処理または検査が必要な場合があります。その場合、トラフィックを検査のためにハブVCNのインスタンス上のプライベートIPにルーティングし、結果のトラフィックをその宛先に送信します。このトピックでは、ハブVCNのゲートウェイ間での直接の転送ルーティングと、プライベートIPを介した転送ルーティングの両方の状況について説明します。
  • ハブVCNに存在するルート表を構成することで、ピアリングされたスポークVCN内の特定のサブネットをオンプレミス・ネットワークに通知するかどうか、およびオンプレミス・ネットワーク内の特定のサブネットをピアリングされたスポークVCNに通知するかどうかを制御できます。
ヒント

別のシナリオで、オンプレミス・ネットワークを複数のVCNに接続することもできます。単一のDRGおよびハブアンドスポーク・トポロジを使用するのではなく、各VCNに対する個別のDRGと、単一のFastConnectを介した個別のプライベート仮想回線を設定します。ただし、このシナリオを使用できるのは、サード・パーティ・プロバイダまたはOracleとのコロケートを通じてFastConnectを使用する場合のみです。VCNは同じリージョンおよび同じテナンシに存在する必要があります。詳細は、複数のDRGおよびVCNがあるFastConnectを参照してください。

転送ルーティングの概要

転送ルーティングは、中央のハブVCNを介して仮想クラウド・ネットワーク(VCN)またはオンプレミス・ネットワークにトラフィックを単純にルーティングします。転送ルーティングを使用する理由を示す基本例: 大きな組織があり、各部門にそれぞれのVCNがあります。オンプレミス・ネットワークは各VCNにアクセスする必要がありますが、各VCNからオンプレミス・ネットワークへのセキュアな接続を維持するための管理オーバーヘッドは抑える必要があります。かわりに、単一のFastConnectまたはサイト間VPNを使用します。

基本的なネットワーキング・シナリオでは、Oracle Cloud Infrastructure FastConnectまたはサイト間VPNを使用してオンプレミス・ネットワークをVCNに接続します。そのトポロジは、2つの基本的なシナリオ(シナリオB: VPNを使用したプライベート・サブネットおよびシナリオC: VPNを使用したパブリック・サブネットとプライベート・サブネット)で示されています。

このシナリオでは、次の図に示すようにハブアンドスポーク・トポロジを使用します。ここで、ハブという語は、このハブアンドスポーク設計においてVCNがハブとして機能しているという意味にすぎません。

この図は、VCNがオンプレミス・ネットワークに接続された、基本的なハブアンドスポーク・レイアウトを示しています。

VCNの1つがハブ(VCN-H)として機能し、FastConnectまたはサイト間VPN経由でオンプレミス・ネットワークに接続します。他のVCNは、ハブVCNとローカルにピアリングされています。オンプレミス・ネットワークとピアリング済VCNの間のトラフィックは、ハブVCNを介して転送されます。これらのVCNは同じリージョンに存在している必要がありますが、テナンシは異なっていてもかまいません。

転送ルーティングに関与するゲートウェイ

次の図は、各VCNのゲートウェイを示しています。ハブVCNには、オンプレミス・ネットワークとの通信パスである動的ルーティング・ゲートウェイ(DRG)があります。ローカルにピアリングされた各スポークVCNに対して、ピアリング接続を支える1対のローカル・ピアリング・ゲートウェイ(LPG)があります。一方のLPGはハブVCN上にあり、もう一方はスポークVCN上にあります。

この図は、必要なゲートウェイを含むVCNの基本的なハブアンドスポーク・レイアウトを示しています。

上級ネットワーキング・サービス・ユーザーに対する新しい概念のサマリー

ネットワーキング・サービスおよびローカルVCNピアリングについてすでに習熟しているユーザーは、次の新しい重要な概念を理解する必要があります:

  • オンプレミス・ネットワークと通信する必要のあるスポークVCNサブネットごとに、オンプレミス・ネットワークを宛先とするすべてのトラフィックに対して、ターゲット(ネクスト・ホップ)をスポークVCNのLPGに設定するルールを含めて、サブネットのルート表を更新します。

  • ルート表をハブVCNに追加し、それをDRGアタッチメントに関連付けて、そのスポークVCN (またはそのVCN内の特定のサブネット)を宛先とするすべてのトラフィックに対して、ターゲット(ネクスト・ホップ)を(そのスポークの)ハブVCNのLPGに設定するルート・ルールをターゲットで追加します。

  • 別のルート表をハブVCNに追加し、それを(そのスポークの)ハブVCNのLPGに関連付けて、オンプレミス・ネットワーク(またはそのネットワーク内の特定のサブネット)を宛先とするすべてのトラフィックに対して、DRGとしてターゲット(ネクスト・ホップ)を設定するルート・ルールを追加します:

ゲートウェイを介した直接の転送ルーティングを行う場合、詳細は次の特定のタスクを参照してください:

プライベートIPを介した転送ルーティングを行う場合: 詳細は、次の特定のタスクを参照してください:

例: ハブと単一のスポークで構成される場合のコンポーネントおよびルーティング

この項の例では、簡略化するために、ハブとして機能するVCNと単一のスポークVCNのみを示しています。

ノート

ハブアンドスポーク・モデルでは、ハブVCNに複数のスポーク、したがって複数のLPG (各スポークに1つずつ)を含めることができます。このトピックでは、ハブVCNのLPGという表現を使用しているため、あいまいになる可能性があります。ここでこの表現が使用されている場合、対象となる特定のスポークに対するハブLPGという意味です。次の図では、ハブはLPG-H-1です。追加のスポークを設定する場合は、LPG-H-2、LPG-H-3のように作成していきます。
ゲートウェイを介した直接の転送ルーティングを行う場合

次の図は、ゲートウェイを介した直接の転送ルーティングを行う場合に必要なネットワーキング・サービス・ルート表およびルート・ルールを示しています。ハブVCNに転送ルーティング処理を行うためのサブネットは必要ありませんが、ここに示した例ではSubnet-Hというサブネットを使用しています。

この図は、シナリオの設定時に必要なルート表およびルールを示しています。
コールアウト1: Subnet-Hに関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
192.168.0.0/16 LPG-H-1
コールアウト2: Subnet-1に関連付けられたルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 LPG-1
172.16.0.0/12 LPG-1
コールアウト3: DRGアタッチメントに関連付けられたVCNルート表
宛先CIDR ルート・ターゲット
192.168.0.0/16 LPG-H-1
コールアウト4: LPG-H-1に関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG

図のシナリオでは、それぞれ異なるリソースに関連付けられた4つのルート表が使用されています:

  • Subnet-H:

    • このルート表はハブVCNに属し、Subnet-Hに関連付けられています。
    • このルート表には、オンプレミス・ネットワークを宛先とするトラフィックをDRGにルーティングするルールが含まれます。また、スポークVCNを宛先とするトラフィックをLPG-H-1にルーティングするルールも含まれます。

  • Subnet-1:

    • このルート表はスポークVCNに属し、Subnet-1に関連付けられています。
    • このルート表には、ハブVCNまたはオンプレミス・ネットワークを宛先とするトラフィックをLPG-1にルーティングするルールが含まれます。

  • DRGアタッチメントのVCNルート表:

    • ルート表はハブVCNに属し、DRGアタッチメントに関連付けられています。なぜDRG自体ではなくアタッチメントなのでしょうか。DRGは、DRGと同じリージョンおよびテナンシ内の任意のVCNにアタッチできるスタンドアロン・リソースであるためです。アタッチメントそのものが、どのVCNかを識別します。
    • ルート表は、オンプレミス・ネットワークを出発点としてスポークVCN (VCN-1)を宛先とするインバウンド・トラフィックをルーティングします。そのトラフィックをLPG-H-1に送信するルールを構成します。

  • LPG-H-1のVCNルート表:

    • このルート表はハブVCNに属し、LPG-H-1に関連付けられています。
    • ルート表は、VCN-1を出発点としてオンプレミス・ネットワークを宛先とするインバウンド・トラフィックをルーティングします。そのトラフィックをDRGに送信するルールを構成します。
プライベートIPを介した転送ルーティングを行う場合

次の図は、ハブVCN内のインスタンスのプライベートIPを介して転送ルーティングを行う場合に必要なネットワーキング・サービス・ルート表およびルート・ルールを示しています。このシナリオの実装は、VNICを1つにするか複数にするかを選択できます。次の図では、2つのVNICがあります。1つはSubnet-H-Frontendというサブネットに属し、もう1つはSubnet-H-Backendというサブネットに属しています。フロントエンドVNICはプライベートIP 10.0.4.3を持ち、バックエンドVNICはプライベートIP 10.0.8.3を持ちます。

この図は、ハブVCNでネットワーク仮想アプライアンスを使用するシナリオを設定するときに必要なルート表およびルールを示しています。
コールアウト1: Subnet-H-Frontendに関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
192.168.0.0/16 10.0.4.3
コールアウト2: Subnet-H-Backendに関連付けられたルート表
宛先CIDR ルート・ターゲット
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
コールアウト3: Subnet-1に関連付けられたルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 LPG-1
172.16.0.0/12 LPG-1
コールアウト4: DRGアタッチメントに関連付けられたルート表
宛先CIDR ルート・ターゲット
192.168.0.0/16 10.0.4.3
コールアウト5: LPG-H-1に関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 10.0.8.3

LPG-1に関連付けられた特別なルート表はありません。

図では、それぞれ異なるリソースに関連付けられた5つのルート表が示されています:

  • DRGアタッチメント:

    • ルート表はハブVCNに属し、DRGアタッチメントに関連付けられています。なぜDRG自体ではなくアタッチメントなのでしょうか。DRGは、DRGと同じリージョンおよびテナンシ内の任意のVCNにアタッチできるスタンドアロン・リソースであるためです。アタッチメントそのものが、どのVCNかを識別します。
    • ルート表は、オンプレミス・ネットワークを出発点としてスポークVCN (VCN-1)を宛先とするインバウンド・トラフィックをルーティングします。トラフィックをフロントエンド・サブネット内のプライベートIPに送信するルールを構成します。

  • LPG-H-1:

    • このルート表はハブVCNに属し、LPG-H-1に関連付けられています。
    • ルート表は、VCN-1を出発点としてオンプレミス・ネットワークを宛先とするインバウンド・トラフィックをルーティングします。そのトラフィックをバックエンド・サブネット内のプライベートIPに送信するルールを構成します。

  • Subnet-H-Frontend:

    • このルート表はハブVCNに属し、Subnet-H-Frontendに関連付けられています。
    • このルート表には、オンプレミス・ネットワークを宛先とするトラフィックをDRGにルーティングするルールが含まれます。
    • ワークロードをハブVCNのサブネットに配置することはお薦めしませんが、インスタンスによるフィルタ処理を行うために、スポークVCNを宛先とするトラフィックをフロントエンド・サブネット(10.0.4.3)内のプライベートIPにルーティングするルート・ルールも図に示しています。この例のルーティングのより適切な図を示すために、2番目のルールをここに示しています。

  • Subnet-H-Backend:

    • このルート表はハブVCNに属し、Subnet-H-Backendに関連付けられています。
    • このルート表には、スポークVCN (VCN-1)を宛先とするトラフィックをLPG-H-1にルーティングするルールが含まれます。
    • ワークロードをハブVCNのサブネットに配置することはお薦めしませんが、インスタンスによるフィルタ処理を行うために、オンプレミス・ネットワークを宛先とするトラフィックをバックエンド・サブネット(10.0.8.3)内のプライベートIPにルーティングするルート・ルールも図に示しています。この例のルーティングのより適切な図を示すために、2番目のルールをここに示しています。

  • Subnet-1:

    • このルート表はスポークVCNに属し、Subnet-1に関連付けられています。
    • このルート表には、ハブVCNまたはオンプレミス・ネットワークを宛先とするトラフィックをLPG-1にルーティングするルールが含まれます。

理解しておく必要がある重要な転送ルーティング制限

この項では、ルーティングに関する追加の重要な詳細を示します。

  • DRGアタッチメントのルート表:

    • DRGアタッチメントに関連付けられたVCNルート表には、サービス・ゲートウェイ、プライベートIPまたはローカル・ピアリング・ゲートウェイをターゲットにしたルールのみを含めることができます。
    • DRGアタッチメントには常にルート表が関連付けられますが、異なるルート表の関連付け、表のルールの編集、一部またはすべてのルールの削除を行うことができます。

  • LPGのルート表:

    • DRGアタッチメントに関連付けられたVCNルート表には、サービス・ゲートウェイ、プライベートIPまたはローカル・ピアリング・ゲートウェイをターゲットにしたルールのみを含めることができます。
    • LPGは、ルート表が関連付けられていない状態でも存在できます。ただし、ルート表をLPGに関連付けた後は、常にルート表が関連付けられている必要があります。ただし、別のルート表を関連付けることもできます。表のルールの編集や、ルールの一部またはすべての削除も可能です。
  • ハブVCNを介したトラフィック: ここで説明するルート表は、オンプレミス・ネットワーク内の場所とスポークVCN内の場所の間でハブVCNを介してトラフィックを移動する場合のみに該当するものです。ハブ内でプライベートIPを使用している場合、ハブ経由するそのトラフィック・パスにプライベートIPが配置されるようにこれらのルート表を構成します。
  • ハブVCNへのインバウンド・トラフィック: (ハブを介するトラフィックについての)前出の記述に該当する場合でも、ハブVCN内のサブネットへのインバウンド・トラフィックは常に許可されます。DRGアタッチメントのルート表またはハブLPGのルート表で、このインバウンド・トラフィックに対する明示的なルールを設定する必要はありません。この種類のインバウンド・トラフィックがDRGまたはハブLPGに到達すると、トラフィックはVCNローカル・ルーティングによってハブVCN内のその宛先に自動的にルーティングされます。VCNローカル・ルーティングがあるため、特定のVCNに属するルート表について、そのVCNのCIDR (またはサブセクション)をルールの宛先としてリストするルールは作成できません。
  • プライベートIPを介した転送ルーティングを行う場合のハブVCNトラフィック: VCNローカル・ルーティングに関する直前の記述は、単にオンプレミス・ネットワークとスポークVCNの間の転送にハブVCNを使用するという意味です。ハブVCNそのものの中にワークロードを設定しないでください。より明確に言うと、ハブVCN内にプライベートIPを介する転送ルーティングを設定した場合、同時にそのプライベートIPを介してハブVCNのトラフィックをルーティングすることはできません。たとえば、前の図で、宛先CIDRが172.16.0.0/12ではなく0.0.0.0/0になるようにLPG-H-1ルート表のルート・ルールを変更する場合、プライベートIPを介してルーティングされるのは、VCN-1を出発点としてハブVCNのCIDRブロックのアドレスを宛先とするトラフィックのみです。VCNローカル・ルーティングがあるため、VCN内のアドレスを宛先とするトラフィックはすべて、自動的に宛先IPアドレスに直接ルーティングされます。VCNローカル・ルーティングは、LPG-H-1ルート表より(一般的にはVCNのどののルート表より)優先されます。

  • 次のトラフィック・フローはサポートされていません:

    サポートされていないルート・パス
    • トラフィックは、DRG-1を経由してVCN-1へのアタッチメントに向かいます。
    • トラフィックは、アタッチメントのイングレス・ルート表のルールを(VCN-2のLPG-2とピアリングされた) LPG-1と照合します。
    • トラフィックは、LPG-2のイングレス・ルート表のルールを(VCN-2にアタッチされた) DRG-2と照合します。

    これは一見すると動作するようですが、実際にはサポートされていません。同じリージョン内の2つのDRG間で示されているトラフィックを移動するためにサポートされている方法は、リージョン内リモート・ピアリング接続を使用することです。

CIDRの重複について

この例では、各ネットワークにCIDRブロックの重複はありません(172.16.0.0/12、10.0.0.0/16、192.168.0.0/16)。ネットワーキング・サービスでは、CIDRの重複がある2つのVCN間のローカルVCNピアリングは許可されません。つまり、各スポークはハブと重複していない必要があります。

ただし、ネットワーキング・サービスでは、各スポークVCNが互いに重複しているかどうか、またはオンプレミス・ネットワークと重複しているVCNがあるかどうかは検証されません。互いに通信する必要があるすべてのサブネットでCIDRに重複がないことを確認してください。そうしないと、トラフィックは破棄されます。

1つのネットワーキング・サービス・ルート表に、まったく同じ宛先CIDRを使用する2つのルールを含めることはできません。ただし、同じルート表内の2つのルールに重複する宛先CIDRがあると、その表で最も限定的なルール(接頭辞一致が最も長いルール)を使用してトラフィックがルーティングされます。

オンプレミス・ネットワークおよびスポークVCNへのルート通知

セキュリティ上の観点から、オンプレミス・ネットワーク内の特定サブネットのみがスポークVCNに通知されるようにルート通知を制御できます。同様に、スポークVCN内のどのサブネットをオンプレミス・ネットワークに通知するかを制御できます。

オンプレミス・ネットワークに通知されるルートは、次のもので構成されます:

  • DRGアタッチメントに関連付けられたルート表にリストされているルール(前出の図では192.168.0.0/16)
  • ハブVCN内の個々のサブネット

スポークVCNに通知されるルートは、次のもので構成されます:

  • ハブVCN内の個々のサブネット
  • スポークのハブVCNのLPGに関連付けられたルート表にリストされているルール(前出の図では172.16.0.0/12)

このため、ハブVCNの管理者のみが、オンプレミス・ネットワークおよびスポークVCNに通知されるルートを制御できます。

前出の例では、関連するルートは、オンプレミス・ネットワーク(172.16.0.0/12)およびスポークVCN (192.168.0.0/16)の完全CIDRブロックを宛先として使用しますが、かわりにこれらのネットワークのサブネットを使用して、ルーティングを特定のサブネットに制限することもできます。

様々なトラフィック・パスのルーティングの詳細

前出の例でルーティングがどのように行われるかをさらに示すために、トラフィックの様々なパスを詳しく見ていきます。ここでも、同じ図を使用します。

1つ目は、ハブVCNでゲートウェイを介した直接の転送ルーティングを行う場合です:

この図は、シナリオの設定時に必要なルート表およびルールを示しています。
コールアウト1: Subnet-Hに関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
192.168.0.0/16 LPG-H-1
コールアウト2: Subnet-1に関連付けられたルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 LPG-1
172.16.0.0/12 LPG-1
コールアウト3: DRGアタッチメントに関連付けられたルート表
宛先CIDR ルート・ターゲット
192.168.0.0/16 LPG-H-1
コールアウト4: LPG-H-1に関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG

LPG-1に関連付けられた特別なルート表はありません。

2つ目は、ハブVCN内でプライベートIPを介した転送ルーティングを行う場合です:

この図は、ハブVCNでネットワーク仮想アプライアンスを使用するシナリオを設定するときに必要なルート表およびルールを示しています。
コールアウト1: Subnet-H-Frontendに関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
192.168.0.0/16 10.0.4.3
コールアウト2: Subnet-H-Backendに関連付けられたルート表
宛先CIDR ルート・ターゲット
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
コールアウト3: Subnet-1に関連付けられたルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 LPG-1
172.16.0.0/12 LPG-1
コールアウト4: DRGアタッチメントに関連付けられたルート表
宛先CIDR ルート・ターゲット
192.168.0.0/16 10.0.4.3
コールアウト5: LPG-H-1に関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 10.0.8.3

LPG-1に関連付けられた特別なルート表はありません。

オンプレミス・ネットワークからスポークVCNへのトラフィック
  1. トラフィックはオンプレミス・ネットワークを出発してDRGに到着します。トラフィックの宛先は、Subnet-1内にあります(192.168.0.5など)。

  2. DRGアタッチメントの関連付けられたルート表には、192.168.0.0/16のルールが含まれます。これにより宛先が照合され、トラフィックがルート・ターゲットに送信されます。

    • ゲートウェイを介した直接の転送ルーティング: ルールのターゲットはLPG-H-1です。
    • プライベートIPを介した転送ルーティング: ルールのターゲットはプライベートIP 10.0.4.3です。インスタンスはトラフィックを受信して処理し、バックエンド・サブネットのVNICからの結果のトラフィックを送信します。バックエンド・サブネットのルート表は、そのトラフィックをLPG-H-1に送信します。

    DRGアタッチメントのルート表内のルールを使用して、スポークVCN内のどのサブネットをオンプレミス・ネットワークに通知するかを制御できることに注意してください。また、かわりにスポークVCNのサブネットのみをリストしたルールを設定することもできます。

  3. LPG-H-1がトラフィックを受信します。
  4. VCNを出発してLPGを経由するエグレス・トラフィックは、LPGのピアリングされたLPG (この場合はLPG-1)に自動的にルーティングされます。2つのLPG間にピアリング接続があるため、そのルーティングは自動的に行われます。
  5. LPG-1がトラフィックを受信します。
  6. VCNローカル・ルーティングがあるため、LPGを介してVCNに入ってきたトラフィックはVCN内の宛先に自動的にルーティングされます。明示的なルート・ルールは必要ありません。
スポークVCNからオンプレミス・ネットワークへのトラフィック
  1. トラフィックは、スポークVCN内のSubnet-1のインスタンスを出発します。トラフィックの宛先は、オンプレミス・ネットワーク内にあります(172.16.0.3など)。
  2. Subnet-1の関連付けられたルート表には、172.16.0.0/12のルールが含まれます。これにより宛先が照合され、トラフィックがルート・ターゲットであるLPG-1に送信されます。
  3. LPG-1がトラフィックを受信します。
  4. VCNを出発してLPGを経由するエグレス・トラフィックは、LPGのピアリングされたLPG (この場合はLPG-H-1)に自動的にルーティングされます。2つのLPG間にピアリング接続があるため、そのルーティングは自動的に行われます。
  5. LPG-H-1がトラフィックを受信します。

  6. LPG-H-1の関連付けられたルート表には、172.16.0.0/12のルールが含まれます。これにより宛先が照合され、トラフィックがルート・ターゲットに送信されます。

    • ゲートウェイを介した直接の転送ルーティング: ルールのターゲットはDRGです。
    • プライベートIPを介した転送ルーティング: ルールのターゲットはプライベートIP 10.0.8.3です。インスタンスはトラフィックを受信して処理し、フロントエンド・サブネットのVNICからの結果のトラフィックを送信します。フロントエンド・サブネットのルート表により、それがDRGに送信されます。

    LPGのルート表内のルールを使用して、オンプレミス・ネットワーク内のどのサブネットをスポークVCNに通知するかを制御できることに注意してください。また、かわりにオンプレミス・ネットワークのサブネットのみをリストしたルールを設定することもできます。

  7. DRGがトラフィックを受信します。
  8. VCNを出発してDRGを経由するエグレス・トラフィックは、サイト間VPNおよびFastConnectの構成に基づいてルーティングされます。DRGアタッチメントのルート表に明示的なルールは必要ありません。

スポークVCN内のSubnet-1とLPG-H-1にはどちらも、172.16.0.0/12が宛先CIDRとして設定されたルート・ルールがあります。これらのルールでまったく同じCIDRブロックを使用する必要はありません。ただし、必ず、両方のルールでスポークからオンプレミス・ネットワークにルーティングするトラフィックをカバーするようにしてください。Subnet-1のルート表内のルールは、Subnet-1からどのトラフィックをLPG-H-1にルーティングするかを制御します。LPG-H-1のルート表内のルールは、スポークVCNからどのトラフィックをオンプレミス・ネットワークへルーティングするかを制御します。LPG-H-1のルート・ルールがSubnet-1のルート・ルールよりも限定的である場合、サブネットを出発したトラフィックの一部が最終的にドロップされて、DRGに到達しない可能性があります。

スポークVCNからハブVCN内のサブネットへのトラフィック(ゲートウェイ間の直接のルーティングのみ)

状況によっては、オンプレミス・ネットワークとスポークVCNの間のトラフィックだけでなく、ハブVCNとスポークVCNのインスタンス間のトラフィックを有効化する必要がある場合もあります。ゲートウェイ間で直接のルーティングを行っている場合、これを行うことができます。スポークVCNからプライベートIPを介してトラフィックをハブVCN内の他のインスタンスにルーティングすることはできません。その理由は、この項の最後にあるノートで説明されています。

スポークVCNからハブVCN内のアドレスの宛先へのトラフィックの流れを次に示します:

  1. トラフィックは、スポークVCN内のSubnet-1のインスタンスを出発します。トラフィックの宛先は、ハブVCN内のサブネットにあります(10.0.0.3など)。
  2. Subnet-1の関連付けられたルート表には、10.0.0.0/16のルールが含まれます。これにより宛先が照合され、トラフィックがルート・ターゲットであるLPG-1に送信されます。
  3. LPG-1がトラフィックを受信します。
  4. VCNを出発してLPGを経由するエグレス・トラフィックは、LPGのピアリングされたLPG (この場合はLPG-H-1)に自動的にルーティングされます。2つのLPG間にピアリング接続があるため、そのルーティングは自動的に行われます。
  5. LPG-H-1がトラフィックを受信します。
  6. LPGを介してVCNに入ってきた、VCN内のアドレスを宛先とするトラフィックは、VCNローカル・ルーティングにより自動的に宛先にルーティングされます。明示的なルート・ルールは必要ありません。

Subnet-HからSubnet-1へのトラフィックについても同じような一連のルーティング・ステップが行われますが、方向が逆になります。Subnet-Hのルート表には、スポークVCNのCIDR (192.168.0.0/16)を照合してトラフィックをLPG-H-1に送信する(さらにここからLPG-1に転送する)ルールが含まれます。

ノート

ハブVCN内にプライベートIPを介する転送ルーティングを設定した場合、LPG-H-1ルート表により制御されるのは、ハブVCN外部のアドレスを宛先とするトラフィックのルーティングのみであることに注意してください。VCN内のアドレスを宛先とするトラフィックは、ハブVCNローカル・ルーティングによって処理されます。VCNローカル・ルーティングが優先され、トラフィックは常にパケットの宛先アドレスに直接ルーティングされます。つまり、ハブVCN内のアドレスを宛先とするトラフィックを、ハブを介する転送トラフィックに使用されているプライベートIPを介してルーティングすることはできません。LPG-H-1ルート表で宛先 = 0.0.0.0/0、ターゲット = 10.0.8.3を使用している場合でも、ハブVCNローカル・ルーティングが優先され、トラフィックはプライベートIPではなくハブVCN内の宛先に直接ルーティングされます。

必須IAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者からポリシーでセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。

管理者グループのメンバーであれば、転送ルーティングを設定するために必要なアクセス権はすでに持っています。そうでない場合は、ネットワーキング・サービスへのアクセス権が必要であり、インスタンスを起動できる必要もあります。ネットワーキングに対するIAMポリシーを参照してください。

コンソールでのVCN転送ルーティングの設定

この項では、コンソールを使用して、VCNが関与する転送ルーティングを設定して、オンプレミス・ネットワークに同じリージョン内の複数のVCNへのアクセス権を付与する方法を示します。

ゲートウェイ間の直接のルーティングを行う場合
ヒント

この拡張シナリオで必要なネットワーキング・コンポーネントおよび接続の多くは、すでに設定が完了している可能性があります。このため、以降のタスクの一部はスキップできる場合があります。オンプレミス・ネットワークに接続されたハブVCNと、そのハブVCNとローカルにピアリングされたスポークVCNを含むネットワーク・トポロジがすでにある場合、タスク5とタスク6が最も重要です。これにより、オンプレミス・ネットワークとスポークVCNの間でトラフィックをルーティングできます。
タスク1: ハブVCNの設定
この図は、タスク1: ハブVCNの設定を示しています。

このタスクでは、ハブVCNを設定します。ハブVCN内のサブネットはオプションです。ただし、この例には1つ含まれています。サブネットには、オンプレミス・ネットワークまたはスポークVCNで使用する必要があるクラウド・リソースを含めることができます。

詳細および手順の参照先:

タスク2: オンプレミス・ネットワークへのハブVCNの接続
この図は、タスク2: オンプレミス・ネットワークへのハブVCNの接続を示しています。
コールアウト1: Subnet-Hに関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
このタスクでは、ハブVCNとオンプレミス・ネットワークの間にFastConnectまたはサイト間VPNを設定します。このプロセスの一部として、DRGをハブVCNにアタッチし、ハブVCNとオンプレミス・ネットワークの間にルーティングを設定します。DRGアタッチメントに関連付けるルート表は、まだ作成しません。これは後のステップで実行します。詳細および手順:
タスク3: 1つ以上のサブネットを含むスポークVCNの設定
この図は、タスク3: スポークVCNの設定を示しています。

このタスクでは、1つ以上のサブネットを含むスポークVCNを設定します。詳細および手順の参照先:

タスク4: ハブVCNとスポークVCN間のローカル・ピアリングの設定
この図は、タスク4: ハブVCNとスポークVCN間のローカル・ピアリングの設定を示しています。
コールアウト1: Subnet-Hに関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
192.168.0.0/16 LPG-H-1
コールアウト2: Subnet-1に関連付けられたルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 LPG-1
このタスクでは、各VCNにLPGを追加し、LPG間に接続を確立して、一方のVCNのリソースが他方のVCNのリソースと通信できるようにルーティングを設定します。
重要

2つのVCN間にローカル・ピアリングを設定するときは、必ずLPG間に接続を確立してください。プロセスのその部分は見落としやすい部分です。
ハブVCNでLPG (LPG-H-1)と関連付けるルート表は、まだ作成しません。これは後のステップで実行します。詳細および手順:
タスク5: スポークVCNのサブネットへのルート・ルールの追加
この図は、タスク5: スポークVCNのサブネットへのルート・ルールの追加を示しています。
コールアウト1: Subnet-Hに関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
192.168.0.0/16 LPG-H-1
コールアウト2: Subnet-1に関連付けられたルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 LPG-1
172.16.0.0/12 LPG-1
このタスクでは、スポークVCNのサブネットに関連付けられたルート表にルールを追加します。このルールは、オンプレミス・ネットワークを宛先とするトラフィックをスポークVCNのLPG (図のLPG-1)にルーティングします。前提条件: スポークVCNのLPGと、オンプレミス・ネットワークと通信する必要がある(スポークVCN上の)サブネットに関連付けられたルート表がすでに存在します。
  1. スポークVCNについて、サブネットのリストを表示します。
  2. 目的のサブネットについて、その詳細を参照し、それに関連付けられたルート表のリンクをクリックします。

  3. トラフィックをオンプレミス・ネットワークに送信するルールを含めて、ルート表を編集します:

    1. 「ルート・ルールの追加」をクリックします。

    2. ルート・ルールに関する次の情報を入力します:

      • ターゲット・タイプ: ローカル・ピアリング・ゲートウェイ。
      • 宛先CIDRブロック: オンプレミス・ネットワークのCIDR (前の例では172.16.0.0/12)。
      • コンパートメント: スポークVCNのLPGが配置されているコンパートメント。
      • ターゲット・ローカル・ピアリング・ゲートウェイ: スポークVCNのLPG。
      • 説明: ルールのオプションの説明。
    3. 「ルート・ルールの追加」をクリックします。
タスク6: ハブVCNのDRGおよびLPGに対するイングレス・ルーティングの設定
この図は、タスク7: ハブVCNのDRGとLPG間のイングレス・ルーティングの設定を示しています。
コールアウト1: Subnet-Hに関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
192.168.0.0/16 LPG-H-1
コールアウト2: Subnet-1に関連付けられたルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 LPG-1
172.16.0.0/12 LPG-1
コールアウト3: DRGアタッチメントに関連付けられたルート表
宛先CIDR ルート・ターゲット
192.168.0.0/16 LPG-H-1
コールアウト4: LPG-H-1に関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG

このタスクでは、DRGアタッチメントに対するルート表と、目的のスポークのハブVCNのLPGに対するルート表(LPG-H-1)を設定します。

前提条件:

  • すでにDRGがハブVCNにアタッチされています。
  • 目的のスポークにハブVCN LPGがすでにあります。

  1. DRGアタッチメントのルート表を作成します:

    1. コンソールで、ハブVCNの詳細を表示します。
    2. 「リソース」「ルート表」をクリックして、VCNのルート表を表示します。
    3. 「ルート表の作成」をクリックします。

    4. 次を入力します:

      • 名前: ルート表のわかりやすい名前。例: DRGのルート表機密情報の入力は避けてください。
      • コンパートメントに作成: そのままにします。

    5. 「+追加ルート・ルール」をクリックし、ルート・ルールに関する次の情報を入力します:

      • ターゲット・タイプ: ローカル・ピアリング・ゲートウェイ。
      • 宛先CIDRブロック: このスポークVCNのCIDR (前の例では192.168.0.0/16)。この表内のルートを使用して、スポークVCN内のどのサブネットをオンプレミス・ネットワークに通知するかを制御できることに注意してください。また、かわりにオンプレミス・ネットワークのスポークVCNの特定のサブネットのみをリストしたルールを設定することもできます。
      • コンパートメント: ハブVCNのLPGが配置されているコンパートメント。
      • ターゲット: ハブVCNのLPG。
      • 説明: ルールのオプションの説明。

    6. 「ルート表の作成」をクリックします。

      ルート表が作成され、リストに表示されます。

  2. ルート表(この例ではDRGのルート表)を、ハブVCNのDRGアタッチメントに関連付けます:

    1. ハブVCNの詳細がまだ表示されている状態で、「動的ルーティング・ゲートウェイ」をクリックして、アタッチされたDRGを表示します。
    2. 「アクション」メニュー(アクション・メニュー)「ルート表の関連付け」の順にクリックします。
    3. ルート表を選択します。

    4. 「ルート表の関連付け」をクリックします。

      ルート表がDRGアタッチメントに関連付けられます。

  3. このスポークのハブVCNのLPGに対するルート表を作成します:

    1. ハブVCNの詳細がまだ表示されている状態で、「ルート表」をクリックします。
    2. 「ルート表の作成」をクリックします。

    3. 次を入力します:

      • コンパートメントに作成: そのままにします。
      • 名前: ルート表のわかりやすい名前。例: ハブLPG-#ルート表(#はスポークを識別します)。機密情報の入力は避けてください。

    4. 「+追加ルート・ルール」をクリックし、ルート・ルールに関する次の情報を入力します:

      • ターゲット・タイプ: 動的ルーティング・ゲートウェイ。VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。
      • 宛先CIDRブロック: オンプレミス・ネットワークのCIDR (前の例では172.16.0.0/12)。この表内のルートを使用して、オンプレミス・ネットワーク内のどのサブネットをこのスポークVCNに通知するかを制御できることに注意してください。また、かわりに、このスポークと通信する必要があるオンプレミス・ネットワークのサブネットのみをリストしたルールを設定することもできます。
      • 説明: ルールのオプションの説明。

    5. 「ルート表の作成」をクリックします。

      ルート表が作成され、リストに表示されます。

  4. ルート表(この例ではハブLPG-#ルート表)を、目的のスポークのハブVCNのLPGに関連付けます。

    1. ハブVCNの詳細がまだ表示されている状態で、「ローカル・ピアリング・ゲートウェイ」をクリックして、このスポークに対するハブVCNのLPGを表示します。
    2. 目的のLPGについて、「アクション」メニュー(アクション・メニュー)をクリックし、「ルート表との関連付け」をクリックします。

    3. 次を入力します:

      • ルート表コンパートメント: LPGのルート表のコンパートメントを選択します。
      • ルート表: LPGのルート表を選択します。

    4. 「関連付け」をクリックします。

      ルート表がLPGに関連付けられます。

後で追加のスポークVCNが必要になった場合
  1. 新しいスポークVCNについて、タスク3から5を繰り返します。

  2. タスク6を繰り返します(ただし、次のように変更します):

    • ステップ1: DRGアタッチメントにルート表を作成するのではなく、新しいスポークVCNに対する新しいルールを含めて既存のルート表を更新します。宛先CIDRは、スポークVCNのCIDR (またはその中のサブネット)にします。ターゲットは、新しいスポークのハブVCNのLPGにします。
    • ステップ2: DRGアタッチメントはすでにそのルート表に関連付けられているため、このステップはすべてスキップしてください。
    • ステップ3: そのまま繰り返します。新しいルート表に、ルート表に対するスポークに応じた名前を付けます(たとえば、2番目のスポークの場合はハブLPG-2ルート表にします)。
    • ステップ4: そのまま繰り返します。ステップ3で作成した新しいルート表を、新しいスポークのハブVCNのLPGに関連付けます。
プライベートIPを介したルーティングを行う場合
ヒント

この拡張シナリオで必要なネットワーキング・コンポーネントおよび接続の多くは、すでに設定が完了している可能性があります。このため、以降のタスクの一部はスキップできる場合があります。オンプレミス・ネットワークに接続されたハブVCNと、そのハブVCNとローカルにピアリングされたスポークVCNを含むネットワーク・トポロジがすでにある場合、タスク5から7までが最も重要です。これにより、オンプレミス・ネットワークとスポークVCNの間でトラフィックをルーティングできます。
タスク1: ハブVCNの設定
この図は、タスク1: ハブVCNの設定を示しています。

このタスクでは、ハブVCNを設定します。 ハブVCNには2つのサブネットが必要です。1つはインスタンス上のフロントエンドVNIC用、もう1つはインスタンス上のバックエンドVNIC用です。インターネット・アクセスを必要とするフロントエンド・サブネットにリソースを含めることがないかぎりは、リージョナル・プライベート・サブネットの使用をお薦めします。

詳細および手順の参照先:

タスク2: オンプレミス・ネットワークへのハブVCNの接続
この図は、タスク2: オンプレミス・ネットワークへのハブVCNの接続を示しています。
コールアウト1: Subnet-H-Frontendに関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
192.168.0.0/16 10.0.4.3
このタスクでは、ハブVCNとオンプレミス・ネットワークの間にFastConnectまたはサイト間VPNを設定します。このプロセスの一部として、DRGをハブVCNにアタッチし、ハブVCNとオンプレミス・ネットワークの間にルーティングを設定します。DRGアタッチメントに関連付けるルート表は、まだ作成しません。これは後のステップで実行します。詳細および手順:
タスク3: 1つ以上のサブネットを含むスポークVCNの設定
この図は、タスク3: スポークVCNの設定を示しています。
コールアウト1: Subnet-H-Frontendに関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
192.168.0.0/16 10.0.4.3

このタスクでは、1つ以上のサブネットを含むスポークVCNを設定します。詳細および手順の参照先:

タスク4: ハブVCNとスポークVCN間のローカル・ピアリングの設定
この図は、タスク4: ハブVCNとスポークVCN間のローカル・ピアリングの設定を示しています。
コールアウト1: Subnet-H-Frontendに関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
192.168.0.0/16 10.0.4.3
コールアウト2: Subnet-H-Backendに関連付けられたルート表
宛先CIDR ルート・ターゲット
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
コールアウト3: Subnet-1に関連付けられたルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 LPG-1
172.16.0.0/12 LPG-1
このタスクでは、各VCNにLPGを追加し、LPG間に接続を確立して、一方のVCNのリソースが他方のVCNのリソースと通信できるようにルーティングを設定します。
重要

2つのVCN間にローカル・ピアリングを設定するときは、必ずLPG間に接続を確立してください。プロセスのその部分は見落としやすい部分です。
ハブVCNでLPG (LPG-H-1)と関連付けるルート表は、まだ作成しません。これは後のステップで実行します。詳細および手順:
タスク5: スポークVCNのサブネットへのルート・ルールの追加
この図は、タスク5: スポークVCNのサブネットへのルート・ルールの追加を示しています。
コールアウト1: Subnet-H-Frontendに関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
192.168.0.0/16 10.0.4.3
コールアウト2: Subnet-H-Backendに関連付けられたルート表
宛先CIDR ルート・ターゲット
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
コールアウト3: Subnet-1に関連付けられたルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 LPG-1
172.16.0.0/12 LPG-1
このタスクでは、スポークVCNのサブネットに関連付けられたルート表にルールを追加します。このルールは、オンプレミス・ネットワークを宛先とするトラフィックをスポークVCNのLPG (図のLPG-1)にルーティングします。前提条件: スポークVCNのLPGと、オンプレミス・ネットワークと通信する必要がある(スポークVCN上の)サブネットに関連付けられたルート表がすでに存在します。
  1. スポークVCNについて、サブネットのリストを表示します。
  2. 目的のサブネットについて、その詳細を参照し、それに関連付けられたルート表のリンクをクリックします。

  3. トラフィックをオンプレミス・ネットワークに送信するルールを含めて、ルート表を編集します:

    1. 「ルート・ルールの追加」をクリックします。

    2. ルート・ルールに関する次の情報を入力します:

      • ターゲット・タイプ: ローカル・ピアリング・ゲートウェイ。
      • 宛先CIDRブロック: オンプレミス・ネットワークのCIDR (前の例では172.16.0.0/12)。
      • コンパートメント: スポークVCNのLPGが配置されているコンパートメント。
      • ターゲット・ローカル・ピアリング・ゲートウェイ: スポークVCNのLPG。
      • 説明: ルールのオプションの説明。
    3. 「ルート・ルールの追加」をクリックします。
タスク6: ハブVCNのインスタンスに対するプライベートIPの設定
この図は、タスク6: ハブVCN内のインスタンスの設定を示しています。
コールアウト1: Subnet-H-Frontendに関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
192.168.0.0/16 10.0.4.3
コールアウト2: Subnet-H-Backendに関連付けられたルート表
宛先CIDR ルート・ターゲット
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
コールアウト3: Subnet-1に関連付けられたルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 LPG-1
172.16.0.0/12 LPG-1

このタスクでは、2つのプライベートIPを持つインスタンスを設定します。

前提条件:

  1. ハブVCN内にインスタンスを作成します(まだ作成していない場合)。インスタンスの作成を参照してください。指定したサブネット内にプライマリVNICが作成されます。
  2. もう一方のサブネットにセカンダリVNICを作成し、それを使用するようにOSを構成します。「コンソールの使用」を参照してください。
  3. 各VNICでソース/宛先チェックを無効にします。VNICと物理NICの概要を参照してください。
  4. 各VNICについて、ルーティング・ターゲットとして使用するプライベートIPを決定します。VNICのプライマリ・プライベートIPのかわりにセカンダリ・プライベートIPを使用する場合は、そのセカンダリ・プライベートIPを割り当てて、それを使用するようにOSを構成します。VNICへの新規セカンダリ・プライベートIPの割当てを参照してください。
  5. 作成したプライベートIPごとに、プライベートIPアドレス(例: 10.0.4.3)を記録します。
  6. 実行するジョブで必要な設定をインスタンスに構成します(たとえば、ファイアウォールまたは侵入検出システムをインスタンスに構成します)。
タスク7: ハブVCNのDRGおよびLPGに対するイングレス・ルーティングの設定
この図は、ハブVCNでネットワーク仮想アプライアンスを使用するシナリオを設定するときに必要なルート表およびルールを示しています。
コールアウト1: Subnet-H-Frontendに関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
192.168.0.0/16 10.0.4.3
コールアウト2: Subnet-H-Backendに関連付けられたルート表
宛先CIDR ルート・ターゲット
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
コールアウト3: Subnet-1に関連付けられたルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 LPG-1
172.16.0.0/12 LPG-1
コールアウト4: DRGアタッチメントに関連付けられたルート表
宛先CIDR ルート・ターゲット
192.168.0.0/16 10.0.4.3
コールアウト5: LPG-H-1に関連付けられたルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 10.0.8.3

LPG-1に関連付けられた特別なルート表はありません。

このタスクでは、DRGアタッチメントに対するルート表と、目的のスポークのハブVCNのLPGに対するルート表(LPG-H-1)を設定します。

前提条件:

  • すでにDRGがハブVCNにアタッチされています。
  • 目的のスポークにハブVCN LPGがすでにあります。
  • ルーティング・ターゲットとして使用する2つのプライベートIPがすでにあります(前のタスクを参照)。

  1. DRGアタッチメントのルート表を作成します:

    1. コンソールで、ハブVCNの詳細を表示します。
    2. 「リソース」「ルート表」をクリックして、VCNのルート表を表示します。
    3. 「ルート表の作成」をクリックします。

    4. 次を入力します:

      • 名前: ルート表のわかりやすい名前。例: DRGのルート表機密情報の入力は避けてください。
      • コンパートメントに作成: そのままにします。

    5. 「+追加ルート・ルール」をクリックし、ルート・ルールに関する次の情報を入力します:

      • ターゲット・タイプ: プライベートIP。
      • 宛先CIDRブロック: このスポークVCNのCIDR (前の例では192.168.0.0/16)。この表内のルートを使用して、スポークVCN内のどのサブネットをオンプレミス・ネットワークに通知するかを制御できることに注意してください。また、かわりにオンプレミス・ネットワークのスポークVCNの特定のサブネットのみをリストしたルールを設定することもできます。
      • コンパートメント: フロントエンド・サブネットのプライベートIPが配置されているコンパートメント。
      • ターゲット: 前のタスクで記録したフロントエンド・サブネットのプライベートIP (例では10.0.4.3)。
      • 説明: ルールのオプションの説明。

    6. 「ルート表の作成」をクリックします。

      ルート表が作成され、リストに表示されます。

  2. ルート表(この例ではDRGのルート表)を、ハブVCNのDRGアタッチメントに関連付けます:

    1. ハブVCNの詳細がまだ表示されている状態で、「動的ルーティング・ゲートウェイ」をクリックして、アタッチされたDRGを表示します。
    2. 「アクション」メニュー(アクション・メニュー)をクリックし、「ルート表との関連付け」をクリックします。

    3. 次を入力します:

      • ルート表コンパートメント: DRGアタッチメントのルート表のコンパートメントを選択します。
      • ルート表: DRGアタッチメントのルート表を選択します。

    4. 「関連付け」をクリックします。

      ルート表がDRGアタッチメントに関連付けられます。

  3. このスポークのハブVCNのLPGに対するルート表を作成します:

    1. ハブVCNの詳細がまだ表示されている状態で、「ルート表」をクリックします。
    2. 「ルート表の作成」をクリックします。

    3. 次を入力します:

      • コンパートメントに作成: そのままにします。
      • 名前: ルート表のわかりやすい名前。例: ハブLPG-#ルート表(#はスポークを識別します)。機密情報の入力は避けてください。

    4. 「+追加ルート・ルール」をクリックし、ルート・ルールに関する次の情報を入力します:

      • ターゲット・タイプ: プライベートIP。
      • 宛先CIDRブロック: オンプレミス・ネットワークのCIDR (前の例では172.16.0.0/12)。この表内のルートを使用して、オンプレミス・ネットワーク内のどのサブネットをこのスポークVCNに通知するかを制御できることに注意してください。また、かわりに、このスポークと通信する必要があるオンプレミス・ネットワークのサブネットのみをリストしたルールを設定することもできます。
      • コンパートメント: プライベートIPが配置されているコンパートメント。
      • ターゲット: 前のタスクで記録したバックエンド・サブネットのプライベートIP (例では10.0.8.3)。
      • 説明: ルールのオプションの説明。

    5. 「ルート表の作成」をクリックします。

      ルート表が作成され、リストに表示されます。

  4. ルート表(この例ではハブLPG-#ルート表)を、目的のスポークのハブVCNのLPGに関連付けます。

    1. ハブVCNの詳細がまだ表示されている状態で、「ローカル・ピアリング・ゲートウェイ」をクリックして、このスポークに対するハブVCNのLPGを表示します。
    2. 目的のLPGについて、「アクション」メニュー(アクション・メニュー)をクリックし、「ルート表との関連付け」をクリックします。

    3. 次を入力します:

      • ルート表コンパートメント: LPGのルート表のコンパートメントを選択します。
      • ルート表: LPGのルート表を選択します。

    4. 「関連付け」をクリックします。

      ルート表がLPGに関連付けられます。

ワークロードをハブVCNのサブネットに配置することはお薦めしませんが、この例のルーティングのより適切な図を示すために、図にハブVCNのサブネット・ルート表内の2つの追加ルート・ルールを示しています。フロントエンド・サブネットには、インスタンスによるフィルタ処理を行うために、スポークVCNを宛先とするトラフィックをフロントエンド・サブネット(10.0.4.3)内のプライベートIPにルーティングするルート・ルールがあります。バックエンド・サブネットには、インスタンスによるフィルタ処理を行うために、オンプレミス・ネットワークを宛先とするトラフィックをバックエンド・サブネット(10.0.8.3)内のプライベートIPにルーティングするルート・ルールがあります。次の手順で、この2つのルート・ルールを追加します。

  1. スポークVCNについて、サブネットのリストを表示します。
  2. フロントエンド・サブネットについて、その詳細を参照し、それに関連付けられたルート表のリンクをクリックします。

  3. フロントエンド・サブネットのルート表を編集して、スポークVCNを宛先とするトラフィックをフロントエンド・サブネット内のプライベートIPに送信するルールを含めます:

    1. 「ルート・ルールの追加」をクリックします。

    2. ルート・ルールに関する次の情報を入力します:

      • ターゲット・タイプ: プライベートIP。
      • 宛先CIDRブロック: このスポークVCNのCIDR (前の例では192.168.0.0/16)。
      • コンパートメント: フロントエンド・サブネットのプライベートIPが配置されているコンパートメント。
      • ターゲット: 前のタスクで記録したフロントエンド・サブネットのプライベートIP (例では10.0.4.3)。
      • 説明: ルールのオプションの説明。
    3. 「ルート・ルールの追加」をクリックします。
  4. バックエンド・サブネットについて、その詳細を参照し、それに関連付けられたルート表のリンクをクリックします。

  5. バックエンド・サブネットのルート表を編集して、オンプレミス・ネットワークを宛先とするトラフィックをバックエンド・サブネット内のプライベートIPに送信するルールを含めます:

    1. 「ルート・ルールの追加」をクリックします。

    2. ルート・ルールに関する次の情報を入力します:

      • ターゲット・タイプ: プライベートIP。
      • 宛先CIDRブロック: オンプレミス・ネットワークのCIDR (前の例では172.16.0.0/12)。
      • コンパートメント: バックエンド・サブネットのプライベートIPが配置されているコンパートメント。
      • ターゲット: 前のタスクで記録したバックエンド・サブネットのプライベートIP (例では10.0.8.3)。
      • 説明: ルールのオプションの説明。
    3. 「ルート・ルールの追加」をクリックします。
後で追加のスポークVCNが必要になった場合
  1. 新しいスポークVCNについて、タスク3から5を繰り返します。

  2. タスク7を繰り返します(ただし、次のように変更します):

    • ステップ1: DRGアタッチメントにルート表を作成するのではなく、新しいスポークVCNに対する新しいルールを含めて既存のルート表を更新します。宛先CIDRは、スポークVCNのCIDR (またはその中のサブネット)にします。ターゲットは、フロントエンド・サブネットのプライベートIP 10.0.4.3にします。
    • ステップ2: DRGアタッチメントはすでにそのルート表に関連付けられているため、このステップはすべてスキップしてください。
    • ステップ3: そのまま繰り返します。新しいルート表に、ルート表に対するスポークに応じた名前を付けます(たとえば、2番目のスポークの場合はハブLPG-2ルート表にします)。
    • ステップ4: そのまま繰り返します。ステップ3で作成した新しいルート表を、新しいスポークのハブVCNのLPGに関連付けます。

転送ルーティングの無効化

転送ルーティングを無効にするには、次のものからルールを削除します:

  • DRGアタッチメントに関連付けられたルート表。
  • ハブVCNの各LPGに関連付けられたルート表。

ルート表は、ルールなしでリソースに関連付けられている場合もあります。少なくとも1つのルールがないと、ルート表は何も行いません。

DRGアタッチメントまたはLPGは、ルート表が関連付けられていない状態でも存在できます。ただし、ルート表をDRGアタッチメントまたはLPGに関連付けた後は、常にルート表が関連付けられている必要があります。ただし、異なるルート表を関連付けることもできます。表のルールの編集や、ルールの一部またはすべての削除も可能です。