Oracle Cloud Infrastructureドキュメント

拡張シナリオ : 転送ルーティング

このトピックでは、「転送ルーティング」と呼ばれる拡張ネットワーク・シナリオについて説明します。 このシナリオでは、単一のOracle Cloud Infrastructure FastConnectまたはIPSec VPNを介したオンプレミス・ネットワークと複数の仮想クラウド・ネットワーク(VCN)間の通信が可能になります。

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

ハイライト

  • 単一のFastConnectまたはIPSec VPNを使用して、同じリージョン内の「複数」 VCNによってオンプレミス・ネットワークをhub-and-spokeレイアウト内で接続できます。
  • VCNは同じリージョンにある必要がありますが、別のテナンシに存在することがあります。 正確なルーティングの場合、オンプレミス・ネットワークの関心のある様々なサブネットのCIDRブロックとVCNは重複しないようにしてください。
  • 「ハブ」 VCNは、「動的ルーティング・ゲートウェイ」 (DRG)を使用してオンプレミス・ネットワークと通信します。 ハブVCNは、各「スポーク」VCNとピアします。 ハブおよびスポークVCNは、「ローカル・ピアリング・ゲートウェイ」 (LPG)を使用して通信します。
  • ハブVCNを介してピアリング済スポークVCNに移動するオンプレミス・ネットワークから目的のトラフィックを有効にするには、ハブVCN DRGアタッチメントおよびLPGのルート・ルールを、スポークVCNサブネットに実装します。
  • ハブVCNに存在するルート表を構成することで、ピアリング済スポークVCNの特定のサブネットがオンプレミス・ネットワークに通知されているかどうか、およびオンプレミス・ネットワークの特定のサブネットがピアリング済スポークVCNに通知されているかどうかを制御できます。

転送ルーティングの概要

基本的なネットワークのシナリオには、Oracle Cloud Infrastructure FastConnectまたはIPSec VPNのいずれかを使用して、オンプレミス・ネットワークをVCNに接続することが含まれます。 次の2つの基本的なシナリオで、レイアウトについて説明します: シナリオB: VPNとのプライベート・サブネットおよびシナリオC: VPNを使用したパブリック・サブネットとプライベート・サブネット

単一のFastConnectまたはIPSec VPNを使用してオンプレミス・ネットワークから「複数VCN」と通信できる、高度なネットワーク・シナリオが用意されています。 VCNは同じリージョンにある必要がありますが、別のテナンシに存在することがあります。

転送ルーティングを使用する理由の基本的な例を次に示します: 別の部門を持ち、それぞれに独自のVCNを持つ大規模な組織があります。 オンプレミス・ネットワークには、別のVCNへのアクセスが必要ですが、各VCNからオンプレミス・ネットワークへのセキュアな接続を維持するために管理オーバーヘッドが必要ないようにします。 かわりに、単一のFastConnectまたはIPSec VPNを使用します。

次の図に示すように、このシナリオではハブとスポークのレイアウトが使用されます。

このイメージは、オンプレミス・ネットワークに接続されたVCNの基本的なハブおよびスポーク・レイアウトを示しています。

VCNの1つがハブ(vcn-h)として機能し、FastConnectまたはIPSec VPNを介してオンプレミス・ネットワークに接続します。 その他のVCNは「ハブVCNとローカルでピア」されます。 ハブVCNを介してオンプレミス・ネットワークとピアリング済VCNの間のトラフィック。 VCNは同じリージョンにある必要がありますが、別のテナンシに存在することがあります。

転送ルーティングに関連するゲートウェイ

次の図は、VCNのゲートウェイを示しています。 ハブVCNには、オンプレミス・ネットワークとの通信パスである「動的ルーティング・ゲートウェイ(DRG)」があります。 ローカルにピアリング済各スポークVCNには、ピア接続をアンカーしている「ローカル・ピアリング・ゲートウェイ(LPG)」のペアがあります。 一方のLPGはハブVCN上にあり、もう一方はスポークVCN上にあります。

このイメージは、VCNの基本的なハブおよびスポーク・レイアウトを、必要なゲートウェイとともに示しています。

ヒント

ネットワーキング・サービスおよびローカルVCNピアリングにすでに理解している場合、これらは最も重要な新しい概念であるため理解する必要があります。

  • オンプレミス・ネットワークとの通信を必要とする各スポークVCNサブネットについて、オンプレミス・ネットワークに転送されるすべてのトラフィックのスポークVCN LPGとしてターゲット(次のホップ)を設定するルールでサブネット・ルート表を更新する必要があります。
  • ルート表をハブVCNに追加し、「DRGアタッチメント」と関連付け、そのターゲット(その次のホップ)をハブVCN LPG (そのスポークの)として設定するルート・ルールを、そのスポークVCN (またはそのVCNの特定のサブネット)に追加する必要があります。
  • もう1つのルート表をハブVCNに追加し、「ハブVCN LPG」 (そのスポークの)に関連付け、そのターゲット(次のホップ)を、構内ネットワーク上のすべてのトラフィック通信先ネットワーク(またはそのネットワーク内の特定のサブネット)のDRGとして設定するルート・ルールを追加する必要があります。

「タスク5: スポークVCNサブネットにルート・ルールを追加します」および「タスク6: ハブVCN上のDRGとLPG間のイングレス・ルーティングの設定」の手順を参照してください。

例: ハブおよび単一スポークのコンポーネントとルーティング

この例には、Hub VCNおよび簡易化するための1つのスポークVCNのみが含まれます。 各VCNには、簡易性のために1つのサブネットもあります。 転送ルーティングが機能するようにするために、ハブVCNにサブネットを作成する必要がないことに注意してください。 ただし、必要に応じて設定できます。 サブネットには、オンプレミス・ネットワークまたはスポークVCNを使用する必要のあるクラウド・リソースを含めることができます。

次の図は、この例の基本的なレイアウトを示しています。

ノート

ハブ・アンド・スポーク・モデルでは、ハブVCNに複数のスポークが存在する場合があるため、LPG (1スポーク当たり1つ)が複数存在します。
このトピックでは、「ハブVCN LPG」という句を使用するため、あいまいになる可能性があります。 フレーズがここで使用される場合、「関心のある特定のスポーク」のハブLPGを意味します。 次のダイアグラムは、LPG-H-1です。 追加スポークには、LPG-H-2、LPG-H-3などの作成が必要です。

このイメージは、シナリオの設定時に必要なルート表およびルールを示しています。

また、この図は、ハブVCNを介して転送ルーティングのために必要なネットワーキング・サービス・ルート表とルーティング・ルールを示しています。 ダイアグラムには、それぞれ異なるリソースに関連付けられた4つのルート表があります。

  • DRGアタッチメント:

    • ルート表はハブVCNに属し、DRG attachmentに関連付けられています。 DRG自体ではなく、どちらがアタッチされるのですか。 DRGはスタンドアロン・リソースであるため、DRGと同じリージョンおよびテナンシでVCNにアタッチできます。 アタッチメント自体は、どのVCNかを識別します。
    • ルート表は、オンプレミス・ネットワークからのインバウンド・トラフィックのうち、スポークVCN (VCN-1)には宛先となるトラフィックをルーティングします。 このルールによって、LPG-H-1にトラフィックが送信されます。
  • LPG-H-1:

    • このルート表はハブVCNに属し、LPG-H-1に関連付けられています。
    • ルート表は、VCN-1からの、オンプレミス・ネットワーク用の宛先のインバウンド・トラフィックをルーティングします。 このルールによって、そのトラフィックがDRGに送信されます。
  • Subnet-H

    • このルート表はハブVCNに属し、サブネット-Hに関連付けられています。
    • オンプレミス・ネットワークでトラフィックを使用可能にするルールと、subnet-1を使用するルールが含まれます。
  • Subnet-1

    • このルート表はスポークVCNに属し、subnet-1に関連付けられています。
    • サブネット・ワーク-ホームおよびオンプレミス・ネットワークのトラフィックを有効にするルールが含まれます。

次に、注意する必要がある追加の重要な詳細を示します。

  • DRGアタッチメントに関連付けられたルート表には、LPGをターゲットとするルールのみを含めることができます。 反対に、LPGに関連付けられたルート表には、DRGをターゲットとするルールのみを含めることができます。 これらのルールは、トラフィック「から」 (Hub VCN)およびスポークVCNまたはオンプレミス・ネットワークにルーティングします。
  • 前述の文がtrueでも、サブネット「ハブVCN内」へのインバウンド・トラフィックは引き続き許可されています。 DRGアタッチメントのルート表またはハブLPGルート表でこのインバウンド・トラフィックに対して明示的なルールを設定する必要はありません。 この種類のインバウンド・トラフィックがDRGまたはハブLPGに達すると、トラフィックはハブVCN内の宛先に自動的にルーティングされます。 一般的: 指定したVCNに属するルート表について、ルール宛先としてVCN CIDR (またはサブセクション)がリストされたルールは作成できません。
  • DRGアタッチメントは、ルート表が関連付けられていない状態で存在することがあります。 ただし、ルート表をDRGアタッチメントに関連付けると、必ずルート表が関連付けられている必要があります。 ただし、「異なる」ルート表を関連付けることができます。 表ルールを編集したり、一部またはすべてのルールを削除することもできます。

CIDRの重複について

この例では、様々なネットワークでCIDRブロックが重複していません(172.16.0.0/12対10.0.0.0/16あるいは192.168。0.0/16)。 ネットワーキング・サービスでは、CIDRsと重なる2つのVCN間のローカルVCNピアリングは許可されません。 つまり、各スポークはハブと重ならないようにします。

ただし、ネットワーキング・サービスは、スポークVCN自体が互いにオー・バー・ラップするかどうか、またはVCNのいずれかがオンプレミス・ネットワークと重複するかどうかを検証しません。 相互に通信する必要があるすべてのサブネットのCIDRsが重複しないようにする必要があります。 そうでない場合は、トラフィックが削除される可能性があります。

ネットワーキング・サービス・ルート表には、まったく同じ宛先CIDRを持つ2つのルールを含めることはできません。 ただし、同じルート表内の2つのルールで宛先CIDRsが重複している場合は、表内の最も具体的なルールがトラフィックのルーティングに使用されます(つまり、「最長接頭辞マッチ」のルール)。

オンプレミス・ネットワークおよびスポークVCNへの通知のルーティング

セキュリティ観点からは、オンプレミス・ネットワークの特定のサブネットのみがスポークVCNに通知されるようにルート通知を制御できます。 同様に、スポークVCN内のどのサブネットがオンプレミス・ネットワークに通知されるかを制御できます。

オンプレミス・ネットワークに通知されるルートは、次で構成されます。

  • DRGアタッチメントに関連付けられたルート表にリストされるルール(192.168.0.0/16)
  • ハブVCN内の個々のサブネット

スポークVCNに通知されるルートは、次で構成されます。

  • ハブVCN内の個々のサブネット
  • スポークのハブVCN LPGに関連付けられているルート表にリストされたルール(172.16.0.0/12)

そのため、管理者「ハブVCNの」単独で、ルートをオンプレミス・ネットワークとスポークVCNに通知することを制御できます。

前の例では、関連するルートは宛先としてオンプレミス・ネットワークとスポークVCNの完全なCIDRブロックを使用しています(172.16.0.0/12、192.168.0.0/16など)。かわりに、これらのネットワークのサブネットを使用して特定のサブネットへのルーティングを制限することもできます。

異なるトラフィック・パスに対するルーティングの詳細

前述の例でルーティングが行われる様子をさらに説明するには、トラフィックの様々なパスをさらに詳しく調べます。 ここには、同じダイアグラムが再度表示されます。

このイメージは、シナリオの設定時に必要なルート表およびルールを示しています。

オンプレミス・ネットワークからスポークVCNへのトラフィック
スポークVCNからオンプレミス・ネットワークへのトラフィック
ハブVCN内のサブネットへのスポークVCNからのトラフィック

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者が作成するポリシーで、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどちらを使用しているかにかかわらず、必要なタイプのアクセスを付与する必要があります。 アクションを実行しようとしたときに、権限のないメッセージや権限のないメッセージを取得する場合は、管理者に付与されているアクセスのタイプと作業するコンパートメントを確認してください。

管理者グループのメンバーである場合、転送ルーティングを設定するために必要なアクセス権がすでにあります。 そうでない場合は、ネットワーキング・サービスにアクセスし、インスタンスを起動する機能が必要になります。 「ネットワーキングのIAMポリシー」を参照してください。

コンソールでのVCN転送ルーティングの設定

ヒント

この拡張シナリオでは、すでに必要なネットワーキング・コンポーネントと接続の多くが設定されている場合があります。
そのため、次のタスクの一部をスキップできる場合があります。 オンプレミス・ネットワークにすでにハブVCNに接続していて、スポークVCNがローカルにピアされる場合には、タスク5とタスク6が最も重要です。 これによりオンプレミス・ネットワークとスポークVCN間でトラフィックをルーティングできます。

タスク1: ハブVCNの設定
タスク2: ハブVCNをオンプレミス・ネットワークと接続
タスク3: 少なくとも1つのサブネットでスポークVCNの設定
タスク4: ハブVCNとスポークVCNの間のローカル・ピアリングの設定
タスク5: スポークVCNサブネットにルート・ルールを追加
タスク6: ハブVCN上のDRGとLPG間のイングレス・ルーティングの設定

さらにスポークVCNが必要な場合は、各スポークVCNの一般プロセスを次に示します。

  1. 新規スポークVCNのタスク3-5を繰り返します。
  2. 次の変更を行ってタスク6を繰り返します。

    • ステップ1用: DRGアタッチメントの新規ルート表を作成するかわりに、既存のルート表を更新して、新規スポークVCNの新規ルールを含めます。 宛先CIDRは、スポークVCN CIDR (または内のサブネット)です。 ターゲットは、新規スポークのハブVCN LPGです。
    • ステップ2用: DRGアタッチメントはすでにそのルート表に関連付けられているため、このステップ全体をスキップします。
    • ステップ3用: そのまま繰り返します。 ルート表のスポークの種類に従って、新しいルート表に名前を付けます(たとえば、2番目のスポークの場合は「ハブLPG-2ルート表」)。
    • ステップ4用: そのまま繰り返します。 ステップ3で作成した新しいルート表を、新規スポークのハブVCN LPGに関連付けます。

転送ルーティングをオフにする

転送ルーティングをオフにするには、次からルールを削除します。

  • DRGアタッチメントに関連付けられたルート表。
  • ハブVCN上の各LPGに関連付けられたルート表。

ルート表はリソースに関連付けられますが、ルールはありません。 少なくとも1つのルールがないと、ルート表には何も実行されません。

割当表が関連付けられていないDRGアタッチメントまたはLPGが存在できます。 ただし、DRGアタッチメントまたはLPGにルート表を関連付けた後は、ルート表が必ず関連付けられている必要があります。 ただし、「異なる」ルート表を関連付けることができます。 表ルールを編集したり、一部またはすべてのルールを削除することもできます。

APIへの変更

転送ルーティングをサポートするためのネットワーキング・サービスAPIへの変更の詳細は、「転送ルーティングリリース・ノート」を参照してください。