Oracle Cloud Infrastructureドキュメント

リモートVCNピアリング(リージョン間)

このトピックは「リモートVCNピアリング」についてです。 この場合、remoteは、VCNが「異なるリージョンで」に存在することを意味します。 接続するVCNが同じリージョンにある場合は、「ローカルVCNピアリング(リージョン内)」を参照してください。

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

リモートVCNピアリングの概要

「リモートVCNピアリング」は、異なるリージョン(ただし同じテナンシ)で2つのVCNを接続するプロセスです。 ピアリングにより、VCNリソースは、インターネット経由またはオンプレミス・ネットワーク経由でトラフィックをルーティングせずにプライベートIPアドレスを使用して通信することができます。 ピアリングしない場合、特定のVCNは、「インターネット・ゲートウェイ」およびパブリックIPアドレスを必要とします。このインスタンスは別のリージョンの別のVCNと通信する必要があります。

リモート・ピアリングのためのネットワーキング・コンポーネントの要約

高いレベルでは、リモート・ピアリングに必要なネットワーキング・サービス・コンポーネントは次のとおりです:

  • リモート・ピアリングをサポートする異なるリージョンに、重複しないCIDRを持つ2つのVCN。 VCNは同じテナンシでなければなりません。

    ノート

    すべてのVCN CIDRが重複してはならない

    ピアリング関係の2つのVCNには、重複するCIDRがあってはなりません。 また、特定のVCNが複数のピアリング関係を持つ場合、それらの他のVCNは互いに重複するCIDRを持つことはできません。 たとえば、VCN-1がVCN-2およびVCN-3とピアリングされている場合、VCN-2とVCN-3は重複するCIDRを持つことはできません。

  • ピアリング関係で各VCNにアタッチされた動的ルーティング・ゲートウェイ(DRG)。 IPSec VPNまたはOracle Cloud Infrastructure FastConnectプライベート仮想回線を使用している場合、VCNにはすでにDRGがあります。
  • ピアリング関係にある各DRGの「リモート・ピアリング接続 (RPC)」
  • これら2つのRPC間の接続
  • トラフィックが接続上を流れることを可能にするルート・ルールをサポートし、必要に応じてそれぞれのVCN内の選択されたサブネットのみに/から選択します。
  • 他のVCNと通信する必要があるサブネット内のインスタンスに許可されるトラフィックのタイプを制御するセキュリティ・リスト・ルールをサポートします。

次の図は、コンポーネントを示しています。

このイメージは、リモートでピアリングされた2つのVCNの基本レイアウトを示しています。それぞれ、DRG上のリモート・ピアリング接続

ノート

特定のVCNは、接続されたRPCを使用して、VCN以外の宛先(インターネットやオンプレミス・ネットワークなど)ではなく、他のVCNのVNICにのみ接続できます。
たとえば、前の図のVCN-1がインターネット・ゲートウェイを持つ場合、VCN-2のインスタンスはインターネット上のエンドポイントにトラフィックを送信するためにこのインスタンスを使用できませんでした。 ただし、VCN-2はVCN-1経由でインターネットからのトラフィックをreceiveすることができることに注意してください。 詳細は、「ピアリングの重要な含意」を参照してください。

両側から要求される明示的合意

ピアリングには、同じテナンシの2つのVCNが含まれます。これらのVCNは、同じパーティまたは2つの異なるVCNによって管理される可能性があります。 関係者はどちらも会社にいるかもしれませんが、異なる部署にいるかもしれません。

2つのVCN間のピアリングには、各パーティが独自のVCNコンパートメントに対して実装するOracle Cloud Infrastructure Identity and Access Managementポリシーの形式で、両方のパーティからの明示的なアグリーメントが必要です。

重要なリモート・ピアリングの概念

次の概念は、VCNピアリングの基本とリモート・ピアリングの確立方法を理解するのに役立ちます。

ピアリング
ピアリングは、2つのVCN間の単一のピアリング関係です。 例: VCN-1が2つの他のVCNとピア・ツー・ピアする場合、2つのピアリングが存在します。 「リモート・ピアリング」remote部分は、VCNが異なるリージョンにあることを示します。 リモート・ピアリングの場合、VCNは同じテナンシでなければなりません。
vcn管理者
一般的に、VCNピアリングは、両方のVCN管理者が同意する場合にのみ発生します。 実際には、これは2人の管理者が次のことを行う必要があることを意味します:
  • いくつかの基本的な情報を互いに共有します。
  • ピアリングを有効にするために必要なOracle Cloud Infrastructure Identity and Access Managementポリシーを設定するように調整します。
  • ピアリングのVCNを構成します。
状況に応じて、1人の管理者がVCNと関連ポリシーの両方を担当する可能性があります。 VCNは同じテナンシでなければなりません。
必要なポリシーとVCN構成の詳細については、「リモート・ピアリングの設定」を参照してください。
アクセプタとリクエスタ
ピアリングに必要なIAMポリシーを実装するには、2人のVCN管理者が1人の管理者をrequestorとして、もう1人をacceptorとして指定する必要があります。 リクエスタは、2つのRPCの接続リクエストを開始するものでなければなりません。 次に、アクセプタは、アクセプタ・コンパートメント内のRPCに接続するリクエスタ権限を付与する特定のIAMポリシーを作成する必要があります。 このポリシーがないと、リクエスタの接続リクエストは失敗します。
リージョン・サブスクリプション
別のリージョンのVCNとピアリングするには、そのリージョンに最初に加入する必要があります。 サブスクライブの詳細については、「リージョンの管理」を参照してください。
リモート・ピアリング接続 (rpc)
「リモート・ピアリング接続(RPC)」は、VCNにアタッチされたDRGで作成するコンポーネントです。 RPCジョブは、リモートでピアリング済VCNの接続ポイントとして機能することです。 VCNの構成の一部として、各管理者はVCN上でDRGのRPCを作成する必要があります。 所与のDRGは、VCN (借用当たり最大10個のRPC)用に確立された各遠隔ピアリングに対して別個のRPCを持たなければなりません。 前の例を続行するには: VCN-1上のDRGには、2つの他のVCNとピアリングするための2つのRPCがあります。 APIでは、RemotePeeringConnectionはピアリングに関する情報を含むオブジェクトです。 RPCを後で使用して別のピアリングを確立することはできません。
2つのRP間の接続
リクエスタが(コンソールまたはAPI内の)ピアリング・リクエストを開始すると、「2つのRPCを接続」をリクエストします。 つまり、リクエスタには各RPCを識別するための情報(RPCリージョンやOCIDなど)が必要です。
VCN管理者は、RPCを削除してピアリングを終了できます。 その場合、他のRPCステータスはREVOKEDに切り替わります。 管理者は、トラフィックが接続を介して流れるようにするルート・ルールまたはセキュリティ・リストを削除することで、接続を機能しなくすることができます(次のセクションを参照)。
drgへのルーティング
VCNの構成の一環として、各管理者はVCN間でトラフィックが流れるように「VCNルーティング」を更新する必要があります。 他のVCNと通信する必要がある各サブネットに対して、サブネット・ルート表を更新します。 ルート・ルールは、ターゲット・トラフィックCIDRとDRGをターゲットとして指定します。 DRGは、そのルールに一致するトラフィックを他のDRGにルーティングします。このDRGは、トラフィックを他のVCNの次のホップにルーティングします。
次の図では、VCN-1とVCN-2がピアリングされています。 VCN-2 (192.168.0.15)のインスタンスを宛先とするサブネットA (10.0.0.15)のインスタンスからのトラフィックは、サブネットAルート表のルールに基づいてDRG-1にルーティングされます。 そこから、トラフィックはRPCを介してDRG-2にルーティングされ、そこからサブネットXの宛先にルーティングされます。
このイメージは、あるDRGから他のDRGにルーティングされたトラフィックのルート表とパスを示しています。
ノート

前述のように、特定のVCNは、接続されたRPCを使用して、VCN以外の宛先(インターネットやオンプレミス・ネットワークなど)ではなく、他のVCNのVNICにのみ接続できます。 たとえば、前の図では、VCN-2はVCN-1にアタッチされたインターネット・ゲートウェイを使用できません。

セキュリティ・リストのルール
VCNの各サブネットには、パケット・レベルでサブネットVNICに出入りするトラフィックを制御する1つ以上の「セキュリティ・リスト」があります。 セキュリティ・リストを使用して、他のVCNで許可されているトラフィックのタイプを制御できます。 VCNの構成の一環として、各管理者は、それぞれのVCN内のどのサブネットが他のVCN内のVNICと通信し、それに応じてサブネット・セキュリティ・リストを更新する必要があるかを判断する必要があります。

ピアリングの重要な含意

まだ設定していない場合は、「ピアリングの重要な含意」を読んで、ピアリング済VCNの重要なアクセス制御、セキュリティ、およびパフォーマンスへの影響を理解してください。

リモート・ピアリングの設定

このセクションでは、異なるリージョンの2つのVCN間でピアリングを設定する一般的なプロセスについて説明します。

重要

次の手順では:

  1. RPCを作成する: 各VCN管理者は、それぞれ独自のVCN DRG用にRPCを作成します。
  2. 情報共有: 管理者は基本的な必要な情報を共有します。
  3. 接続に必要なIAMポリシーを設定する: 管理者は、IAMポリシーを設定して、接続を確立できるようにします。
  4. 接続を確立する: リクエスタは2つのRPCを接続します。
  5. ルート表を更新する: 各管理者は、VCNルート表を更新して、ピアリング済VCN間のトラフィックを必要に応じて有効にします。
  6. セキュリティ・リストを更新する: 各管理者は、VCNセキュリティ・リストを更新して、ピアリング済VCN間のトラフィックを必要に応じて有効にします。

必要に応じて、管理者は接続を確立する前にタスクEとFを実行できます。 各管理者は、CIDRブロックまたは特定のサブネットを他のVCNから知り、それをタスクBで共有する必要があります。

タスクA: RPCを作成
タスクB: 情報共有
タスクC: IAMポリシーを設定
タスクD: 接続を確立
タスクE: ルート表を構成
タスクF: セキュリティ・リストを構成

コンソールを使用した場合

リモート・ピアリング接続を削除するには

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

RPCを管理して接続を作成するには、次の操作を使用します: