Oracle Cloud Infrastructureドキュメント

動的ルーティング・ゲートウェイ(DRG)

このトピックでは、動的ルーティング・ゲートウェイ(DRG)の管理方法について説明します。 このトピックでは、用語「動的ルーティング・ゲートウェイ」DRGを同じ意味で使用しています。 コンソール「動的ルーティング・ゲートウェイ」という用語を使用しますが、APIの簡潔さにはDRGを使用します。

既存のオンプレミス・ネットワークを仮想クラウド・ネットワーク(VCN)に1つ(または両方)で接続するときは、DRGを使用します:

また、別のリージョンにあるVCNを使用してVCNをピアリングする場合は、DRGを使用します:

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

動的ルーティング・ゲートウェイの概要

DRGは、VCNリージョン外部のネットワーク間のプライベート・トラフィック(つまり、プライベートIPv4アドレスを使用するトラフィック)のパスを提供する仮想ルーターと考えることができます。

たとえば、IPSec VPNまたはOracle Cloud Infrastructure FastConnect (またはその両方)を使用してオンプレミス・ネットワークをVCNにアタッチすると、そのプライベートIPv4アドレス・トラフィックは、作成してVCNにアタッチするDRGを経由します。 DRGを使用してVCNをオンプレミス・ネットワークに接続するシナリオについては、「ネットワークのシナリオ」を参照してください。 オンプレミス・ネットワークへのルーティングの重要な詳細は、「オンプレミス・ネットワークへの接続のルーティング詳細」を参照してください。

また、別のリージョンのVCNを使用してVCNをピアに決定した場合、VCN DRGは、(トラフィック経由でインターネットを横断することなく)リージョンを接続するプライベート・バック・ボンを介して他のVCNにトラフィックをルーティングします。 異なるリージョンでのVCNの接続の詳細は、「リモートVCNピアリング(リージョン間)」を参照してください。

DRGおよびDRGアタッチメントの使用

アクセス制御の目的で、DRGを作成するときは、DRGを配置する場所でコンパートメントを指定する必要があります。 使用するコンパートメントが不明な場合は、DRGをVCNと同じコンパートメントに入れてください。 詳細は、「アクセス制御」を参照してください。

オプションで、DRGにわかりやすい名前を割り当てることができます。 ユニークである必要はなく、後で変更することもできます。 Oracleは自動的にDRGにOracle Cloud ID (OCID)という一意の識別子を割り当てます。 詳細は、「リソース識別子」を参照してください。

DRGはスタンドアロン・オブジェクトです。 これを使用するには、VCNにアタッチする必要があります。 VCNは一度に1つのDRGにのみアタッチでき、DRGは一度に1つのVCNにのみアタッチできます。 DRGをデタッチしていつでも再接続できます。 APIでは、アタッチするプロセスによって、独自のOCIDを持つDrgAttachmentオブジェクトが作成されます。 DRGをデタッチするには、そのアタッチメント・オブジェクトを削除します。

DRGをアタッチした後は、DRGを使用するためにVCN内のルーティングを更新する必要があります。 そうでない場合、VCNからのトラフィックはDRGに流れません。 「サブネット・トラフィックを動的ルーティング・ゲートウェイにルーティングするには」も参照してください。

DRGを削除するには、VCNにアタッチしたり、IPSec VPN、Oracle Cloud Infrastructure FastConnect、またはリモートVCNピアリングを介して別のネットワークに接続したりしないでください。 また、ターゲットとしてDRGをリストするルート・ルールを使用しないでください。

DRGの数については、「サービス制限」を参照してください。

サブネット・トラフィックのDRGへのルーティング

基本的なルーティングのシナリオでは、VCN内のサブネットからDRGにトラフィックを送信します。 たとえば、サブネットからオンプレミス・ネットワークにトラフィックを送信する場合は、「サブネットのルート表にルールを設定します」を指定します。 ルール宛先CIDRはオンプレミス・ネットワーク(またはサブネット内)のCIDRであり、ルール・ターゲットはDRGです。 詳細については、「ルート表」を参照してください。

拡張シナリオ: 伝送ルーティング

このドキュメントには、ネットワーキング・サービスを理解するのに役立ついくつかの基本的なネットワーク・シナリオと、一般にコンポーネントの連携について説明します。 「ネットワークのシナリオ」のシナリオA、BおよびCを参照

シナリオA-Cは、FastConnectまたはVPN接続を介してVCNに接続し、そのVCNのリソースにのみアクセスする業務用ネットワークを示しています。

次の拡張ルーティング・シナリオでは、接続されたVCNのリソースを超えてオンプレミス・ネットワークに追加のアクセス権が付与されます。 トラフィックはオンプレミス・ネットワークからVCNに移動し、「遷移」がVCNをその宛先に移動します。 次のトピックを参照してください。

転送ルーティングのシナリオでは、VCNにはルート表「そのDRGアタッチメントに関連付け」が含まれます(通常、ルート表はVCNサブネットに関連付けられています)。 そのルート表では、オンプレミス・ネットワークに接続されているトラフィック「VCN経由」のルーティングを管理できます。

DRGをVCNにアタッチすると、オプションでルート表をアタッチメントに関連付けることができます。 または、すでにDRGアタッチメントがある場合は、「ルート表をそれに関連付けることができます。」をクリックします。 ルート表は、アタッチされたVCNに属している必要があります。 DRGアタッチに関連付けられたルート表には、ターゲットとして次のいずれかを使用するルールのみを含めることができます:

DRGアタッチメントは、ルート表が関連付けられていない状態で存在することがあります。 ただし、ルート表をDRGアタッチメントに関連付けると、必ずルート表が関連付けられている必要があります。 ただし、「異なる」ルート表を関連付けることができます。 表ルールを編集したり、一部またはすべてのルールを削除することもできます。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者が作成するポリシーで、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどちらを使用しているかにかかわらず、必要なタイプのアクセスを付与する必要があります。 アクションを実行しようとしたときに、権限のないメッセージや権限のないメッセージを取得する場合は、管理者に付与されているアクセスのタイプと作業するコンパートメントを確認してください。

管理者向け: 「ネットワーキングのIAMポリシー」を参照してください。

コンソールを使用した場合

一般的に、DRGを使用するには、次のステップを完了する必要があります:

  1. DRGを作成します。
  2. DRGをVCNにアタッチします。
  3. サブネット・トラフィックをDRGにルーティングします。 これには、DRGにトラフィックを送信する必要がある各サブネットに関連付けられたルート表が更新されます。 すべてのサブネットでVCNデフォルト・ルート表が使用されている場合は、その1つの表のみを更新する必要があります。
動的ルーティング・ゲートウェイを作成するには
VCNに動的ルーティング・ゲートウェイをアタッチメントするには
サブネット・トラフィックを動的ルーティング・ゲートウェイにルーティングするには
ルート表を既存の動的ルーティング・ゲートウェイのアタッチメントに関連付けるには
VCNから動的ルーティング・ゲートウェイをデタッチするには

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

DRGを管理するには、次の操作を使用します:

ルート表操作の詳細については、「ルート表」を参照してください。