Oracle Cloud Infrastructureドキュメント

伝送ルーティング : 同じリージョン内の複数のVCNへのアクセス

「伝送ルーティング」は、オンプレミス・ネットワークで接続済仮想クラウド・ネットワーク(VCN)を使用し、VCNを超えてOracleのリソースまたはサービスにアクセスするネットワーク設定を示します。 オンプレミス・ネットワークをFastConnectまたはVPN接続でVCNに接続し、VCNを介してトラフィック「VCNを使用したトランザクション」をVCNを外部の宛先に接続するようにVCNルーティングを構成します。

2つのプライマリ転送ルーティングのシナリオがあります:

  • 同じリージョン内の複数のVCNへのアクセス権: このトピックで説明するシナリオ。 このシナリオでは、FastConnectの単一の個人用仮想回線または「VPN接続」経由で、同じリージョン内のオンプレミス・ネットワークと複数のVCN間の通信が可能です。
  • Oracleサービスへのプライベート・アクセス: このシナリオでは、オンプレミス・ネットワークプライベート・アクセスとOracleサービスを提供し、オンプレミス・ホストがプライベートIPアドレスを使用し、トラフィックがインターネットを経由しないようにします。 「伝送ルーティング: Oracle Servicesへのプライベート・アクセス」も参照してください。

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

ハイライト

  • 単一のFastConnectまたはIPSec VPNを使用して、同じリージョン内の「複数」 VCNによってオンプレミス・ネットワークをhub-and-spokeレイアウト内で接続できます。
  • VCNは同じリージョンにある必要がありますが、別のテナンシに存在することがあります。 正確なルーティングの場合、オンプレミス・ネットワークの関心のある様々なサブネットのCIDRブロックとVCNは重複しないようにしてください。
  • 「ハブ」として機能するVCNは、「ダイナミック・ルーティング・ゲートウェイ」 (DRG)を使用してオンプレミス・ネットワークと通信します。 この「ハブ」 VCNのピアは、スポーク(このトピックでは「スポーク」 VCNと呼ばれます)として動作する各VCNと連携します。 ハブおよびスポークVCNは、「ローカル・ピアリング・ゲートウェイ」 (LPG)を使用して通信します。
  • ハブVCNを介してピアリング済スポークVCNに移動するオンプレミス・ネットワークから目的のトラフィックを有効にするには、ハブVCN DRGアタッチメントおよびLPGのルート・ルールを、スポークVCNサブネットに実装します。
  • 必要に応じて、転送ルーティング「ハブVCNのプライベートIPを介した場合」を設定できます。 たとえば、オンプレミス・ネットワークとスポークVCNの間のトラフィックをフィルタ処理または検査する場合です。 この場合、ハブVCN内のインスタンス上のプライベートIPにトラフィックをルーティングして検査を行い、結果のトラフィックはその宛先に続いています。 このトピックでは、両方の状況について説明: ハブVCN上のゲートウェイ間での直接の転送ルーティング、およびプライベートIP経由の転送ルーティング。
  • ハブVCNに存在するルート表を構成することで、ピアリング済スポークVCNの特定のサブネットがオンプレミス・ネットワークに通知されているかどうか、およびオンプレミス・ネットワークの特定のサブネットがピアリング済スポークVCNに通知されているかどうかを制御できます。

転送ルーティングの概要

基本的なネットワークのシナリオには、Oracle Cloud Infrastructure FastConnectまたはIPSec VPNのいずれかを使用して、オンプレミス・ネットワークをVCNに接続することが含まれます。 次の2つの基本的なシナリオで、レイアウトについて説明します: シナリオB: VPNとのプライベート・サブネットおよびシナリオC: VPNを使用したパブリック・サブネットとプライベート・サブネット

単一のFastConnectまたはIPSec VPNを使用してオンプレミス・ネットワークから「複数VCN」と通信できる、高度なネットワーク・シナリオが用意されています。 VCNは同じリージョンにある必要がありますが、別のテナンシに存在することがあります。

転送ルーティングを使用する理由の基本的な例を次に示します: 別の部門を持ち、それぞれに独自のVCNを持つ大規模な組織があります。 オンプレミス・ネットワークには、別のVCNへのアクセスが必要ですが、各VCNからオンプレミス・ネットワークへのセキュアな接続を維持するために管理オーバーヘッドが必要ないようにします。 かわりに、単一のFastConnectまたはIPSec VPNを使用します。

次の図に示すように、シナリオではhub-and-spokeレイアウトが使用されます。 ここで「ハブVCN」という用語は、このハブ・アンド・スポーク設計でVCNがハブとして機能することのみを意味します。

このイメージは、オンプレミス・ネットワークに接続されたVCNの基本的なハブおよびスポーク・レイアウトを示しています。

VCNの1つがハブ(vcn-h)として機能し、FastConnectまたはIPSec VPNを介してオンプレミス・ネットワークに接続します。 その他のVCNは「ハブVCNとローカルでピア」されます。 ハブVCNを介してオンプレミス・ネットワークとピアリング済VCNの間のトラフィック。 VCNは同じリージョンにある必要がありますが、別のテナンシに存在することがあります。

転送ルーティングに関連するゲートウェイ

次の図は、VCNのゲートウェイを示しています。 ハブVCNには、オンプレミス・ネットワークとの通信パスである「動的ルーティング・ゲートウェイ(DRG)」があります。 ローカルにピアリング済各スポークVCNには、ピア接続をアンカーしている「ローカル・ピアリング・ゲートウェイ(LPG)」のペアがあります。 一方のLPGはハブVCN上にあり、もう一方はスポークVCN上にあります。

このイメージは、VCNの基本的なハブおよびスポーク・レイアウトを、必要なゲートウェイとともに示しています。

ハブVCNのプライベートIPを介した転送ルーティング

必要に応じて、ハブVCNのインスタンスのプライベートIPを介して、すべてのトラフィックをルーティングできます。 たとえば、ハブVCNのインスタンスにファイアウォールまたは侵入検出システムを設定し、オンプレミス・ネットワークとスポークVCN間のトラフィックをフィルタ処理または検査できます。 次に、そのインスタンスのプライベートIPに転送トラフィックがルーティングされるように、ハブVCNルーティングを構成します。 プライベートIP VNICには「ソース/宛先チェックを無効にします」が必要です。 結果のトラフィックが、スポークVCNまたはオンプレミス・ネットワークでその宛先に移動します。 次の図に、アイデアを示します。 プライベートIP経由のルーティングを選択するかどうかに関係なく、同じゲートウェイが必要です。 ただし、ハブVCNルーティングは若干異なる方法で構成します。

このイメージは、ハブVCNのNVAを経由するトラフィックがある同じダイアグラムを示しています。

操作性のある「ネットワーキング」サービス・ユーザーの新規コンセプトの要約

ネットワーキング・サービスおよびローカルVCNピアリングにすでに理解している場合、これらは最も重要な新しい概念であるため理解する必要があります。

  • オンプレミス・ネットワークとの通信を必要とする各スポークVCNサブネットについて、オンプレミス・ネットワークに転送されるすべてのトラフィックのスポークVCN LPGとしてターゲット(次のホップ)を設定するルールでサブネット・ルート表を更新する必要があります。
  • ハブVCNにルート表を追加し、それを「DRGアタッチメント」に関連付けて、状況に依存するターゲットにルート・ルールを追加する必要があります:

    • ゲートウェイを介した直接の転送ルーティング: ターゲット(次のホップ)を、そのスポークVCNで送信されるすべてのトラフィック(またはそのVCNの特定のサブネット)のハブVCN LPG (そのスポーク用)に設定します。
    • プライベートIPを介した転送ルーティング: そのスポークVCNで送信されるすべてのトラフィック(またはそのVCNの特定のサブネット)に対して、ターゲット(次のホップ)をインスタンスのプライベートIPに設定します。 プライベートIP VNIC用の「ソース/宛先チェックを無効にします」であることを確認してください。
  • ハブVCNに別のルート表を追加し、「ハブVCN LPG」 (そのスポークの場合)に関連付けて、状況に応じたターゲットにルート・ルールを追加する必要があります:

    • ゲートウェイを介した直接の転送ルーティング: ターゲット(次のホップ)をオンプレミス・ネットワーク(またはそのネットワークの特定のサブネット)用に送信されたすべてのトラフィックのDRGに設定します。
    • プライベートIPを介した転送ルーティング: オンプレミス・ネットワーク(またはそのネットワークの特定のサブネット)が宛先したすべてのトラフィックのターゲット(次のホップ)をそのインスタンスの プライベートIPに設定します。 ここでも、プライベートIP VNIC用の「ソース/宛先チェックを無効にします」を確認します。 ここに示す例では、インスタンスの「二次VNIC」のプライベートIPは別のサブネットにあります。 後続のダイアグラムでは、サブネットは「フロントエンド」サブネットおよびbackendサブネットと呼ばれます。

ゲートウェイを介した直接の転送ルーティングの詳細は、次の特定のタスクを参照してください:

プライベートIP経由の転送ルーティングの場合 : 詳細は、次の各タスクを参照してください:

例: ハブおよび単一スポークのコンポーネントとルーティング

この項の例は、ハブとして動作するVCNと、簡略化のために1つのスポークVCNのみを示しています。

ノート

ハブ・アンド・スポーク・モデルでは、ハブVCNに複数のスポークが存在する場合があるため、LPG (1スポーク当たり1つ)が複数存在します。
このトピックでは、「ハブVCN LPG」という句を使用するため、あいまいになる可能性があります。 フレーズがここで使用される場合、「関心のある特定のスポーク」のハブLPGを意味 次のダイアグラムでは、LPG-H-1です。 追加スポークには、LPG-H-2、LPG-H-3などの作成が必要です。

ゲートウェイを介した直接転送ルーティングの場合
プライベートIP経由の転送ルーティングの場合

理解するための重要な転送ルーティングの制限

この項では、ルーティングに関する重要な詳細をいくつか示します:

  • DRGアタッチメントのルート表:

    • DRGアタッチメントに関連付けられたルート表は、LPG 「またはプライベートIP」をターゲットとするルールのみを持つことができます。
    • DRGアタッチメントは、ルート表が関連付けられていない状態で存在することがあります。 ただし、ルート表をDRGアタッチメントに関連付けると、必ずルート表が関連付けられている必要があります。 ただし、「異なる」ルート表を関連付けることができます。 表ルールを編集したり、一部またはすべてのルールを削除することもできます。
  • LPGのルート表:

    • LPGに関連付けられたルート表には、DRG 「またはプライベートIP」をターゲットとするルールのみを指定できます。
    • ルート表が関連付けられていないLPGは存在できます。 ただし、ルート表をLPGに関連付けた後は、ルート表が必ず関連付けられる必要があります。 ただし、異なるルート表を関連付けることができます。 表ルールを編集したり、一部またはすべてのルールを削除することもできます。
  • ハブVCNを介したトラフィック: ここで説明するルート表は、オンプレミス・ネットワークのロケーションとスポークVCNのロケーション間でハブVCNを介してトラフィックを移動するためのみを対象としています。 ハブでプライベートIPを使用している場合は、プライベートIPが 「から」 「ハブ」へのトラフィック・パスに配置されるように、これらのルート表を構成します。
  • ハブVCNへのインバウンド・トラフィック: 前述の文はtrueですが(ハブのトラフィックからに関して)、サブネットハブVCN内へのインバウンド・トラフィックは常に許可されます。 DRGアタッチメントのルート表またはハブLPGルート表でこのインバウンド・トラフィックに対して明示的なルールを設定する必要はありません。 このタイプのインバウンド・トラフィックがDRGまたはハブLPGに到達すると、これらのトラフィックはハブVCN 「by the VCNローカル・ルーティングの宛先に自動的にルーティングされます。 VCNローカル・ルーティングがあるため、特定のVCNに属するルート表に対しては、VCN CIDR (またはサブセクション)がルール宛先としてリストするルールを作成できません。
  • プライベートIP経由での転送ルーティングのハブVCNトラフィック: VCNローカル・ルーティングに関する直前の文は、オンプレミス・ネットワークとスポークVCNの間で移動中にのみハブVCNを使用することを意味します。 ハブVCN自体にワークロードを設定しないでください。 詳細は、ハブVCNでプライベートIPを介して転送ルーティングを設定している場合、そのプライベートIPを介して「ハブVCN」トラフィックをルーティングすることもできません。 たとえば、前述の図で、宛先CIDRが172.16.0.0/12ではなく0.0.0.0/0になるようにLPG-H-1ルート表のルート・ルールを変更すると、VCN-1から送信され、ハブVCNのCIDRブロック「外」のアドレスに対して送信されたトラフィックのみがプライベートIPを介してルーティングされます。 VCNローカル・ルーティングにより、VCN内でアドレスに対して送信されるトラフィックはすべて、宛先IPアドレスに直接自動的にルーティングされます。 VCNのローカル・ルーティングは、LPG-H-1ルート表(通常、すべてのVCNルート表)よりも優先されます。

CIDRの重複について

この例では、様々なネットワークでCIDRブロックが重複していません(172.16.0.0/12対10.0.0.0/16あるいは192.168。0.0/16)。 ネットワーキング・サービスでは、CIDRsと重なる2つのVCN間のローカルVCNピアリングは許可されません。 つまり、各スポークはハブと重ならないようにします。

ただし、ネットワーキング・サービスは、スポークVCN自体が互いにオー・バー・ラップするかどうか、またはVCNのいずれかがオンプレミス・ネットワークと重複するかどうかを検証しません。 相互に通信する必要があるすべてのサブネットのCIDRsが重複しないようにする必要があります。 そうでない場合は、トラフィックが削除される可能性があります。

ネットワーキング・サービス・ルート表には、まったく同じ宛先CIDRを持つ2つのルールを含めることはできません。 ただし、同じルート表内の2つのルールで宛先CIDRsが重複している場合は、表内の最も具体的なルールがトラフィックのルーティングに使用されます(つまり、「最長接頭辞マッチ」のルール)。

オンプレミス・ネットワークおよびスポークVCNへの通知のルーティング

セキュリティ観点からは、オンプレミス・ネットワークの特定のサブネットのみがスポークVCNに通知されるようにルート通知を制御できます。 同様に、スポークVCN内のどのサブネットがオンプレミス・ネットワークに通知されるかを制御できます。

オンプレミス・ネットワークに通知されるルートは、次で構成されます:

  • DRGアタッチメントに関連付けられたルート表にリストされるルール(192.168.0.0/16)
  • ハブVCN内の個々のサブネット

スポークVCNに通知されるルートは、次で構成されます:

  • ハブVCN内の個々のサブネット
  • スポークのハブVCN LPGに関連付けられているルート表にリストされたルール(172.16.0.0/12)

そのため、管理者「ハブVCNの」単独で、ルートをオンプレミス・ネットワークとスポークVCNに通知することを制御できます。

前の例では、関連するルートは宛先としてオンプレミス・ネットワークとスポークVCNの完全なCIDRブロックを使用しています(172.16.0.0/12、192.168.0.0/16など)。かわりに、これらのネットワークのサブネットを使用して特定のサブネットへのルーティングを制限することもできます。

異なるトラフィック・パスに対するルーティングの詳細

前述の例でルーティングが行われる様子をさらに説明するには、トラフィックの様々なパスをさらに詳しく調べます。 同じダイアグラムが再度表示されます。

まず、ハブVCN上のゲートウェイを介して直接転送ルーティングする場合:

このイメージは、シナリオの設定時に必要なルート表およびルールを示しています。

2つ目は、ハブVCNのプライベートIPを介して転送ルーティングの場合:

このイメージは、ハブVCNのネットワーク仮想アプライアンスにシナリオを設定する際に必要なルート表およびルールを示しています。

オンプレミス・ネットワークからスポークVCNへのトラフィック
スポークVCNからオンプレミス・ネットワークへのトラフィック
スポークVCNからハブVCNのサブネットへのトラフィック(ゲートウェイ間で直接ルーティングするのみ)

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者が作成するポリシーで、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどちらを使用しているかにかかわらず、必要なタイプのアクセスを付与する必要があります。 アクションを実行しようとしたときに、権限のないメッセージや権限のないメッセージを取得する場合は、管理者に付与されているアクセスのタイプと作業するコンパートメントを確認してください。

管理者グループのメンバーである場合、転送ルーティングを設定するために必要なアクセス権がすでにあります。 そうでない場合は、ネットワーキング・サービスにアクセスし、インスタンスを起動する機能が必要になります。 「ネットワーキングのIAMポリシー」を参照してください。

コンソールでのVCN転送ルーティングの設定

ゲートウェイ間で直接ルーティングする場合
プライベートIPを介したルーティング用

転送ルーティングをオフにします

転送ルーティングをオフにするには、次からルールを削除します:

  • DRGアタッチメントに関連付けられたルート表。
  • ハブVCN上の各LPGに関連付けられたルート表。

ルート表はリソースに関連付けられますが、ルールはありません。 少なくとも1つのルールがないと、ルート表には何も実行されません。

割当表が関連付けられていないDRGアタッチメントまたはLPGが存在できます。 ただし、DRGアタッチメントまたはLPGにルート表を関連付けた後は、ルート表が必ず関連付けられている必要があります。 ただし、「異なる」ルート表を関連付けることができます。 表ルールを編集したり、一部またはすべてのルールを削除することもできます。

APIへの変更

転送ルーティングをサポートするためのネットワーキング・サービスAPIへの変更の詳細は、「転送ルーティングリリース・ノート」を参照してください。