Oracle Cloud Infrastructureドキュメント

ローカルVCNピアリング(リージョン内)

このトピックは「ローカルVCNピアリング」についてです。 この場合、localは、VCNが「同じリージョン」に存在することを意味します。 VCNが異なるリージョンにある場合は、「リモートVCNピアリング(リージョン間)」を参照してください。

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

ローカルVCNピアリングの概要

「ローカルVCNピアリング」は、同じリージョン内の2つのVCNを接続して、リソースがプライベートIPアドレスを使用してインターネットまたはオンプレミス・ネットワーク経由でトラフィックをルーティングせずに通信できるようにするプロセスです。 VCNは、Oracle Cloud Infrastructureテナンシが同一である場合も、異なる場合もあります。 ピアリングがなければ、特定のVCNは、別のVCNと通信する必要があるインスタンスの「インターネット・ゲートウェイ」およびパブリックIPアドレスを必要とします。

詳細は、「他のVCNへのアクセス: ピアリング」を参照してください。

ピアリングのためのネットワーキング・コンポーネントの概要

高レベルでは、ローカル・ピアリングに必要なネットワーキング・サービス・コンポーネントは次のとおりです:

  • 同じリージョン内に重複しないCIDRを持つ2つのVCN
  • ピアリング関係にある各VCNの「ローカル・ピアリング・ゲートウェイ(LPG)」
  • これらの2つのLPG間の接続
  • トラフィックが接続を通過できるようにルート・ルールをサポートし、各VCN内の選択されたサブネット(必要な場合)に対してのみトラフィックを実行できるようにします。
  • 他のVCNと通信する必要があるサブネット内のインスタンスとの間で許可されるトラフィックのタイプを制御するセキュリティ・ルールをサポートします。

次の図は、コンポーネントを示しています。

このイメージはローカル・ピアリングされた2つのVCNの基本レイアウトを示し、それぞれローカル・ピアリング・ゲートウェイを備えています。

ノート

指定されたVCNは、peered LPGを使用して次のリソースにアクセスできます:

  • そのほかのVCNのVNIC
  • 「転送ルーティング」と呼ばれる拡張ルーティング・シナリオがVCNに設定されている場合、他方のVCNにアタッチされているオンプレミス・ネットワーク

VCNは、VCN外部の他の宛先(インターネットなど)に到達するために、peered VCNを使用することはできません。 たとえば、前のダイアグラム内のVCN-1がインターネット・ゲートウェイを持つ場合、VCN-2内のインスタンスは、そのインターネット上のエンドポイントへのトラフィックの送信に使用できませんでした。 ただし、VCN-2はVCN-1経由でインターネットからのトラフィックをreceiveできることに注意してください。 詳細は、「VCNピアリングの重要な含意」を参照してください。

両側から要求される明示的合意

ピアリングには、同じ関係者または2つの異なるVCNが所有する2つのVCNが含まれます。 関係者はどちらも会社にいるかもしれませんが、異なる部署にいるかもしれません。 あるいは、2つの当事者がまったく異なる企業にいるかもしれません(例えば、サービス・プロバイダ・モデルの場合)。

2つのVCN間のピアリングには、各パーティが独自のVCNコンパートメントまたはテナンシ用に実装するOracle Cloud Infrastructure Identity and Access Managementポリシーの形式で、両方のパーティからの明示的なアグリーメントが必要です。 VCNが異なるテナンシにある場合、各管理者がテナンシOCIDを提供し、便利なポリシー文に配置して、ピアリングを可能にする必要があります。

拡張シナリオ: 転送ルーティング

「転送ルーティング」と呼ばれる拡張ルーティングのシナリオがあり、「単一」 Oracle Cloud Infrastructure FastConnectまたはIPSec VPN上でのオンプレミス・ネットワークと複数のVCN間の通信を可能にします。 VCNは、同じリージョンにあり、ハブ・アンド・スポークのレイアウトでローカルでピアされる必要があります。 シナリオの一部として、ハブとして動作しているVCNにルート表「各LPGに関連付け済」があります(通常、ルート表はVCNサブネットに関連付けられています)。

LPGを作成するときに、オプションでルート表をその表に関連付けることができます。 または、ルート表のない既存のLPGがすでにある場合は、「ルート表をそれに関連付けることができます。」を使用します。 ルート表はLPG VCNに属している必要があります。 LPGに関連付けられたルート表には、ターゲットとしてVCN 「アタッチされているDRG」を使用するルールのみを含めることができます。

ルート表が関連付けられていないLPGは存在できます。 ただし、ルート表をLPGに関連付けた後は、ルート表が必ず関連付けられる必要があります。 ただし、「異なる」ルート表を関連付けることができます。 表ルールを編集したり、一部またはすべてのルールを削除することもできます。

重要なローカル・ピアリングの概念

次の概念は、VCNピアリングの基本とローカル・ピアリングの確立方法を理解するのに役立ちます。

ピアリング
ピアリングは、2つのVCN間の単一のピアリング関係です。 例: VCN-1が3つの他のVCNとピア・ツー・ピアする場合、3つのピアリングが存在します。 「ローカル・ピアリング」local部分は、VCNが同じリージョンにあることを示します。 特定のVCNは、一度に最大10のローカル・ピアリングを持つことができます。
警告

ピアリング関係の2つのVCNには、重複するCIDRがあってはなりません。
しかし、VCN-1が他の3つのVCNとピアリングされている場合、これら3つのVCNは互いに重複するCIDRを持つことができます。 VCN-1のサブネットを設定して、トラフィックを宛先のピアリング済VCNに送信するルート・ルールを設定します。
vcn管理者
一般的に、VCNピアリングは、両方のVCN管理者が同意する場合にのみ発生します。 実際には、これは2人の管理者が次のことを行う必要があることを意味します:
  • いくつかの基本的な情報を互いに共有します。
  • ピアリングを有効にするために必要なOracle Cloud Infrastructure Identity and Access Managementポリシーを設定するように調整します。
  • ピアリングのVCNを構成します。
状況に応じて、1人の管理者がVCNと関連ポリシーの両方を担当する可能性があります。
必要なポリシーとVCN構成の詳細については、「ローカル・ピアリングの設定」を参照してください。
アクセプタとリクエスタ
ピアリングに必要なIAMポリシーを実装するには、2人のVCN管理者が1人の管理者をrequestorとして、もう1人をacceptorとして指定する必要があります。 リクエスタは、2つのLPGの接続リクエストを開始する必要があります。 次に、アクセプタは、アクセプタ・コンパートメント内のLPGに接続するリクエスタ権限を付与する特定のIAMポリシーを作成する必要があります。 このポリシーがないと、リクエスタの接続リクエストは失敗します。
ローカル・ピアリング・ゲートウェイ(lpg)
「ローカル・ピアリング・ゲートウェイ(LPG)」は、ローカルにピアリング済VCNにトラフィックをルーティングするための、VCN上のコンポーネントです。 VCNの構成の一環として、各管理者はVCN用のLPGを作成する必要があります。 所与のVCNは、それが確立する各ローカル・ピアリング(VCN当たり最大10個のLPG)に対して個別のLPGを持たなければなりません。 前の例を続行するには: VCN-1は、3つの他のVCNとピア・ツー・ピアする3つのLPGを有します。 APIでは、LocalPeeringGatewayはピアリングに関する情報を含むオブジェクトです。 後で別のピアリングを確立するためにLPGを再利用することはできません。
ピアリング接続
リクエスタが(コンソールまたはAPI内の)ピアリング・リクエストを開始すると、「2つのLPGを接続」をリクエストします。 リクエスタには、各LPG (LPGコンパートメントと名前、LPG OCIDなど)を識別する情報が必要です。 各管理者は、コンパートメントまたはテナンシ用に必要なIAMポリシーを配置する必要があります。
VCN管理者は、LPGを削除してピアリングを終了できます。 その場合、他のLPGステータスはREVOKEDに切り替わります。 かわりに、管理者は接続間でトラフィックのフローを可能にするルート・ルールまたはセキュリティ・ルールを削除することで、機能しない接続をレンダリングすることもできます(次の項を参照)。
lpgへのルーティング
VCNの構成の一環として、各管理者はVCN間でトラフィックが流れるように「VCNルーティング」を更新する必要があります。 実際には、これはどのゲートウェイ(「インターネット・ゲートウェイ」「動的ルーティング・ゲートウェイ」など)に対しても設定したルーティングのように見えます。 他のVCNと通信する必要がある各サブネットに対して、サブネット・ルート表を更新します。 ルート・ルールは、ターゲット・トラフィックCIDRとLPGをターゲットとして指定します。 LPGは、そのルールに一致するトラフィックを他のLPGにルーティングします。そのトラフィックは、トラフィックを他のVCNの次のホップにルーティングします。
次の図では、VCN-1とVCN-2がピアリングされています。 VCN-2 (192.168.0.15)のインスタンスを宛先とするサブネットA (10.0.0.15)のインスタンスからのトラフィックは、サブネットAルート表のルールに基づいてLPG-1にルーティングされます。 そこからトラフィックはLPG-2にルートされ、そこからサブネットXの宛先にルートされます。
このイメージは、あるローカル・ピアリング・ゲートウェイから別のローカル・ピアリング・ゲートウェイにルーティングされたトラフィックのルート表とパスを示しています。
ノート

前述のように、指定のVCNは、peered LPGを使用して他のVCN内のVNICに到達したり、VCNに対して「転送ルーティング」が設定されている場合はオンプレミス・ネットワークを使用できます。 ただし、VCNは、VCN外部の他の宛先(インターネットなど)に到達するために、peered VCNを使用することはできません。 たとえば、前の図では、VCN-2はVCN-1にアタッチされたインターネット・ゲートウェイを使用できません。

セキュリティ・ルール
VCNの各サブネットには、パケット・レベルでサブネットVNICに出入りするトラフィックを制御する1つ以上の「セキュリティ・リスト」があります。 セキュリティ・リストを使用して、他のVCNで許可されているトラフィックのタイプを制御できます。 VCNの構成の一環として、各管理者は、それぞれのVCN内のどのサブネットが他のVCN内のVNICと通信し、それに応じてサブネット・セキュリティ・リストを更新する必要があるかを判断する必要があります。
「ネットワーク・セキュリティ・グループ」 (NSG)を使用してセキュリティ・ルールを実装する場合は、ソースまたは宛先として「別」 NSGを指定するNSGのセキュリティ・ルールを記述するオプションがあります。 ただし、2つのNSG 「同一のVCNに属している必要があります」です。

VCNピアリングの重要な含意

まだ設定していない場合は、「ピアリングの重要な含意」を読んで、ピアリング済VCNの重要なアクセス制御、セキュリティ、およびパフォーマンスへの影響を理解してください。

ローカル・ピアリングの設定

同じリージョン内の2つのVCN間でピアリングを設定する一般的なプロセスを次に示します:

  1. LPGを作成する: 各VCN管理者は、それぞれのVCNのLPGを作成します。
  2. 情報共有: 管理者は基本的な必要な情報を共有します。
  3. 接続に必要なIAMポリシーを設定する: 管理者は、IAMポリシーを設定して、接続を確立できるようにします。
  4. 接続を確立する: リクエスタは、2つのLPGを接続します。
  5. ルート表を更新する: 各管理者は、VCNルート表を更新して、ピアリング済VCN間のトラフィックを必要に応じて有効にします。
  6. セキュリティ・ルールを更新します: 各管理者は、VCNのセキュリティ・ルールを更新し、必要に応じてピアリング済VCN間のトラフィックを有効にします。

必要に応じて、管理者は接続を確立する前にタスクEとFを実行できます。 その場合、各管理者はCIDRブロックまたは他のVCNからの特定のサブネットを認識し、それをタスクBで共有する必要があります。 接続が確立されたら、コンソールで独自のLPGの詳細を表示して、他のVCNのCIDRブロックを取得することもできます。 「ピア通知CIDR」を探します。 または、APIを使用している場合は、peerAdvertisedCidrパラメータを参照してください。

タスクA: LPGの作成
タスクB: 情報共有
タスクC: IAMポリシーを設定(同じテナンシのVCN)
タスクC: IAMポリシーを設定(異なるテナンシにあるVCN)
タスクD: 接続を確立
タスクE: ルート表を構成
タスクF: セキュリティ・ルールの構成

コンソールを使用した場合

ルート表を既存のローカル・ピアリング・ゲートウェイに関連付けるには
ローカル・ピアリング・ゲートウェイを削除するには
ローカル・ピアリング・ゲートウェイのタグを管理するには
ローカル・ピアリング・ゲートウェイを別のコンパートメントに移動するには

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

LPGを管理して接続を作成するには、次の操作を行います: