Oracle Cloud Infrastructureドキュメント

Microsoft Azureへのアクセス

OracleおよびMicrosoftでは、特定のリージョンでOracle Cloud InfrastructureとMicrosoft Azureの間にクロスクラウド接続が作成されています。 この接続により、インターネットを経由したクラウド間のトラフィックを発生させずに、クロスクラウド・ワークロードを設定できます。 このトピックでは、この種のクロスクラウド・デプロイメントを有効にするために仮想ネットワーク・インフラストラクチャ・リソースを設定する方法について説明します。

ハイライト

  • Oracle Cloud Infrastructure仮想クラウド・ネットワーク(VCN)を使用してMicrosoft Azure仮想ネットワーク(VNet)を接続し、クロスクラウド・ワークロードを実行できます。 通常のユースケースでは、Oracle DatabaseをOracle Cloud Infrastructureにデプロイして、Microsoft AzureにOracle、.NETまたはカスタム・アプリケーションをデプロイします。
  • 2つの仮想ネットワークは同じ会社に属している必要があり、重複するCIDRを持っていない必要があります。 この接続では、Azure ExpressRoute回線およびOracle Cloud Infrastructure FastConnectの仮想回線を作成する必要があります。
  • 現在、接続は次の領域でのみ使用できます:

サポートされているトラフィックの概要

サポートされるトラフィックのタイプの詳細は、次のとおりです。

VNetからVCNへの接続: あるクラウドから別のクラウドへの拡張

プライベートIPアドレスを使用するトラフィックがクロスクラウド接続に渡るように、VNetおよびVCNに接続できます。

たとえば、次の図はVCNに接続されているVNetを示しています。 VNet内のリソースでは、VCN内の「データベース」サービス・リソース上で実行されるOracleデータベースにアクセスする.NETアプリケーションが実行されています。 アプリケーションとデータベース間のトラフィックでは、AzureとOracle Cloud Infrastructureの間のクロスクラウド接続で実行される論理回線が使用されます。

この図は、Azure VNetとOracle VCN間の接続を示しています。

VNetとVCN間の接続を有効にするには、Azure ExpressRoute回線とOracle Cloud Infrastructure FastConnectの仮想回線を設定します。 接続には組込み冗長性があります。つまり、単一のExpressRoute circuitおよび単一のFastConnectのvirtual circuitのみを設定する必要があります。 接続の帯域幅は、ExpressRoute回線用に選択する帯域幅の値です。

手順については、「VNetからVCNへの接続の設定」を参照してください。

接続でサポートされないトラフィックのタイプ

このクロスクラウド接続では、VNetを経由したオンプレミス・ネットワークとVCNを通じたトラフィック、またはVCNを介したオンプレミス・ネットワークからVNetへのトラフィックは使用できません。

また、この接続では、同じOracle Cloud Infrastructureリージョンまたは別のリージョンで、接続されたVCNを経由してピアリング済VCNへVNetからのトラフィックのフローを可能にしていません。 同様に、接続では、接続しているVNetを経由してVCNからのトラフィックをピアリング済VNetに流入できるようにしていません。

クラウドの接続に関する重要な意味

この項では、VCNをVNetに接続する際のアクセス制御、セキュリティおよびパフォーマンスへの影響の一部をまとめます。 通常は、IAMポリシーを使用して、VCN内の表をルーティングし、VCN内のセキュリティ・ルールを使用して、アクセスおよびトラフィックを制御できます。

この後の項では、VCNのパースペクティブから見た影響について説明します。 VNetにも同様の問題があります。 VCNの場合と同様に、ルート表やネットワーク・セキュリティ・グループなどのAzureリソースを使用して、VNetを保護できます。

接続の設定の制御

Oracle Cloud Infrastructure IAMポリシーを使用して、次のものを制御できます:

接続上のトラフィック・フローの制御

VCNとVNetの間に接続が確立されている場合でも、VCNのルート表を使用した接続でパケット・フローを制御できます。 たとえば、VNet内の特定のサブネットのみにトラフィックを制限できます。

接続を終了せずに、VCNからVNetへのトラフィックを指示するルート・ルールを削除するだけで、VNetへのトラフィック・フローを停止できます。 また、VNetを使用してイングレスまたはエグレス・トラフィックを可能にするセキュリティ・ルールを削除することで、トラフィックを効率的に停止できます。 これは、接続の上にあるトラフィックを停止するのではなく、VNICレベルで停止します。

許可される特定のトラフィック・タイプの制御

VNetを使用するすべてのアウトバウンド・トラフィックおよびインバウンド・トラフィックが意図したとおりに定義されていることを確認することが重要です。 これは、実際には、Azureのネットワーク・セキュリティ・グループおよびOracleセキュリティ・ルールを実装していて、一方のクラウドが他方に送信し、他方から承認できるトラフィックのタイプを明示的に指定することを意味します。

重要

Oracleが提供するLinuxイメージまたはWindowsイメージを実行するOracle Cloud Infrastructureインスタンスには、そのインスタンスへのアクセスを制御するファイアウォール・ルールもあります。 インスタンスへのアクセスをトラブルシューティングするときに、次のアイテムがすべて正しく設定されていることを確認してください: インスタンスが属しているネットワーク・セキュリティ・グループ、インスタンス・サブネットに関連付けられているセキュリティ・リストおよびインスタンス・ファイアウォール・ルール。 詳細は、「Oracle提供のイメージ」を参照してください。

インスタンスがOracle Linux 7を実行している場合、firewalldを使用してiptablesルールと対話する必要があります。 参考までに、ポートを開くためのコマンドを以下に示します(この例では1521):

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

iSCSIブート・ボリュームを持つインスタンスでは、前述の--reloadコマンドは問題を引き起こすことがあります。 詳細および回避策については、「Firewall-cmd --reloadの実行後、インスタンスの経験システムがハングしました」を参照してください。

セキュリティ・ルールおよびファイアウォールの他に、VCNのインスタンスに関する他のosベースの構成を評価する必要があります。 独自のVCN CIDRには適用しないデフォルト構成も存在する可能性がありますが、VNet CIDRに誤って適用されます。

VCNによるデフォルトのセキュリティ・リスト・ルールの使用

VCNサブネットがデフォルト・ルールで「デフォルト・セキュリティ・リスト」を使用する場合、次の2つのルールがあり、これらのルールによってはどこからでもイングレス・トラフィックを戻すことができます(つまり、0.0.0.0/0,など、VNetは次のようになります):

  • 0.0.0.0/0からのTCPポート22 (SSH)トラフィックと任意のソース・ポートを許可するステートフルなイングレス・ルール
  • ICMPタイプ3、0.0.0.0/0からのコード4トラフィック、および任意のソース・ポートを許可するステートフルなイングレス・ルール

これらのルールを評価し、それらのルールを維持または更新するかどうかを確認してください。 前述のように、許可するすべてのインバウンド・トラフィックまたはアウトバウンド・トラフィックが、意図されているか、予期されており、明確に定義されていることを確認する必要があります。

パフォーマンスへの影響とセキュリティのリスクの準備

通常、VNetによる影響を受ける可能性がある方法についてVCNを準備する必要があります。 たとえば、VCNまたはそのインスタンスの負荷が増加する可能性があります。 または、VCNがVNetを介して直接悪意のある攻撃を発生させる可能性があります。

パフォーマンスについて: VCNがVNetにサービスを提供している場合、VNetの要求に対応できるようにサービスをスケール・アップする準備ができます。 これは、必要に応じて追加のインスタンスを起動する準備ができている可能性があります。 または、VCNに到達するネットワーク・トラフィックの高レベルが懸念される場合は、「ステートレス・セキュリティ・ルール」を使用して、VCNが実行する必要がある接続トラッキングのレベルを制限することを検討してください。 ステートレス・セキュリティ・ルールは、サービス拒否(DoS)攻撃の影響を遅らせるのに役立ちます。

セキュリティ上のリスク: VNetがインターネットに接続されている場合、VCNが、インターネット上の悪意のあるホストがVCNにトラフィックを送信できるが、VNetからのトラフィックのように見えるバウンス攻撃に公開されている可能性があることに注意してください。 これを回避するには、前述のように、セキュリティ・ルールを使用して、VNetのインバウンド・トラフィックを予想して適切に定義されたトラフィックに慎重に制限します。

VNetからVCNへの接続の設定

この項では、VNetとVCN間の論理接続を設定する方法について説明します(バックグラウンドについては、「サポートされているトラフィックの概要」を参照)。

前提条件: 必要なリソース

すでに持っている必要があります:

注意事項として、次に、接続の各側面に関与する比較可能なネットワーク・コンポーネントを示す表があります。

コンポーネント Azure Oracle Cloud Infrastructure
仮想ネットワーク VNet VCN
仮想回線 ExpressRoute回線 FastConnectプライベート仮想回線
ゲートウェイ 仮想ネットワーク・ゲートウェイ 動的ルーティング・ゲートウェイ(DRG)
ルーティング ルート表 ルート表
セキュリティ・ルール ネットワーク・セキュリティ・グループ(NSG) ネットワーク・セキュリティ・グループ(NSGs)、セキュリティ・リスト

前提条件: 必要なBGP情報

VNetとVCN間の接続はBGP動的ルーティングを使用します。 Oracleの仮想回線を設定するときは、OracleとAzureの間の2つの冗長BGPセッションに使用されるBGP IPアドレスを指定します:

  • BGPアドレスのプライマリ・ペア(Oracle側では1つのIPアドレス、Azure側では1つのIPアドレス)
  • BGPアドレスの別個のセカンダリ・ペア(Oracle側では1つのIPアドレス、Azure側では1つのIPアドレス)

「それぞれのペアについて、別々の/30ブロックのアドレスを指定する必要があります」 (各/30には4つのIPアドレスがあります)。

各/30の2番目と3番目のアドレスは、BGP IPアドレス・ペアで使用されます。 具体的には、次のようになります。

  • ブロック内の2番目のアドレスは、BGPセッションのOracle側用です。
  • ブロック内の3番目のアドレスは、BGPセッションのAzure側用です。

ブロック内の最初と最後のアドレスは、他の内部で使用されます。

たとえば、/30が10.0.0.20/30の場合、ブロック内のアドレスは次のようになります:

  • 10.0.0.20/30
  • 10.0.0.21/30: Oracle側でこれを使用
  • 10.0.0.22/30: Azure側でこれを使用します(Oracle コンソールでは顧客サイドとも呼ばれます)
  • 10.0.0.23/30

セカンダリBGPアドレス用に/30ブロックも指定する必要があることに注意してください。 例えば: 10.0.0.24/30. この場合、10.0.0.25/30はOracle側用で、10.0.0.26/30はAzure側用です。

前提条件: 必要なIAMポリシー

関連するAzureおよびOracleネットワーク・リソースの作成および操作に必要なAzure Active DirectoryアクセスおよびOracle Cloud Infrastructure IAMアクセス権があることを前提としています。 特にIAM: ユーザーが管理者グループにいる場合は、必要な権限を持っています。

ユーザーがそうでない場合、このようなポリシーは通常、すべての「ネットワーキング」リソースをカバーします:

Allow group NetworkAdmins to manage virtual-network-family in tenancy

仮想回線を作成および管理のみを行うには、次のようなポリシーが必要です:

Allow group VirtualCircuitAdmins to manage drgs in tenancy

Allow group VirtualCircuitAdmins to manage virtual-circuits in tenancy

詳細は、「ネットワーキングのIAMポリシー」を参照してください。

プロセス全体

次のフロー・チャートは、VNetおよびVCNを接続するための全体的なプロセスを示しています。

このフロー・チャートには、Azure VNetおよびOracle VCNを接続するためのステップが表示されます

タスク1: ネットワーク・セキュリティ・グループおよびセキュリティ・ルールの構成
タスク2: Azure ExpressRoute回線の設定
タスク3: Oracle Cloud Infrastructure FastConnect仮想回線の設定
タスク4: 両方の回線がプロビジョニングされていることを確認
タスク5: ルート表を構成
タスク6: 接続のテスト

重要

接続を終了する場合は、特定のプロセスに従う必要があります。
「Azureへの接続を終了するには」も参照してください。

VNetからVCNへの接続の管理

FastConnect仮想回線のステータスを取得するには
FastConnect仮想回線を編集するには
Azureへの接続を終了するには