Oracle Cloud Infrastructureドキュメント

伝送ルーティング : Oracle Servicesへのプライベート・アクセス

「伝送ルーティング」は、オンプレミス・ネットワークで接続済仮想クラウド・ネットワーク(VCN)を使用し、VCNを超えてOracleのリソースまたはサービスにアクセスするネットワーク設定を示します。 オンプレミス・ネットワークをFastConnectまたはVPN接続でVCNに接続し、VCNを介してトラフィック「VCNを使用したトランザクション」をVCNを外部の宛先に接続するようにVCNルーティングを構成します。

2つのプライマリ転送ルーティングのシナリオがあります:

  • Oracleサービスへのプライベート・アクセス: このトピックで説明するシナリオ。 このシナリオでは、オンプレミス・ネットワークの「プライベート・アクセス」からOracleサービスにアクセスできるため、オンプレミス・ホストはプライベートIPアドレスを使用でき、トラフィックはパブリック・インターネットを経由しません。 そのかわりに、トラフィックでは、FastConnectプライベートの仮想回線または「VPN接続」を介して、仮想クラウド・ネットワーク(VCN)、およびサービス・ゲートウェイを介して関心のあるOracle serviceに転送されます。
  • 同じリージョン内の複数のVCNへのアクセス権: このシナリオでは、単一のFastConnectプライベート仮想回線またはVPN接続経由で、同じリージョン内のオンプレミス・ネットワークと複数のVCN間の通信を可能にします。 「伝送ルーティング: 同じリージョン内の複数のVCNへのアクセス」も参照してください。

ハイライト

  • VCNを介して、オンプレミスのネットワークでOracle Services Network内の「プライベート・アクセス」からOracleのサービスが提供されるように、VCNを設定できます。 オンプレミス・ネットワークのホストは、プライベートIPアドレスと通信します。
  • VCNは、「ダイナミック・ルーティング・ゲートウェイ」 (DRG)を使用してオンプレミス・ネットワークと通信します。 Oracleサービスへのアクセスは、VCNの「サービス・ゲートウェイ」を介して行います。 VCNからOracle serviceへのトラフィックは、Oracleネットワーク・ファブリックを経由して移動するため、パブリック・インターネットを通過することはありません。
  • サービス・ゲートウェイはリージョンで、VCNとしてサポートされているOracleサービス「同じリージョン」にのみアクセスが可能です。
  • サポートされるOracleサービスは、Oracleサービス・ネットワーク内のOracle Cloud Infrastructure Object Storageなどです。 リストについては、「サービス・ゲートウェイ: Oracle Services Networkでサポートされているクラウド・サービス」を参照してください。
  • サービス・ゲートウェイは「サービスCIDRラベル」の概念を使用します。これは、対象となるサービスまたはサービスのグループのすべてのリージョンのパブリックIPアドレス範囲を表す文字列です(たとえば、「OCI PHXオブジェクト・ストレージ」は、「US West (フェニックス)」「オブジェクト・ストレージ」の文字列です)。 サービスへのトラフィックを制御するためにサービス・ゲートウェイおよび関連するルート・ルールを構成する場合、そのサービスCIDRラベルを使用します。 オプションで、セキュリティ・ルールの構成時にこれを使用できます。 サービスのパブリックIPアドレスが将来変更された場合は、これらのルールを調整する必要はありません。
  • VCNからOracleサービスを介してオンプレミス・ネットワークから必要なトラフィックを使用可能にするには、VCN DRGのアタッチおよびサービス・ゲートウェイのルート・ルールを実装します。
  • 必要に応じて、転送ルーティング「VCNのプライベートIP経由」を設定できます。 たとえば、オンプレミス・ネットワークとOracle service間のトラフィックをフィルタ処理または検査できます。 この場合、VCN内のインスタンス上のトラフィックを検査用にプライベートIPにルーティングし、結果のトラフィックはその宛先に継続します。 このトピックでは、両方の状況について説明: VCN上のゲートウェイ間での直接の転送ルーティング、およびプライベートIP経由の転送ルーティング。

Oracle Services Networkの概要

Oracle Services Networkは、Oracleサービス用に予約されているOracle Cloud Infrastructureの概念的なネットワークです。 これらのサービスは、通常はパブリック・インターネット経由でアクセスする「パブリックIPアドレス」を備えています。 ただし、Oracle Services Network 「トラフィックがパブリック・インターネットを経由していない場合」にアクセスできます。 アクセスが必要なホストに応じて、方法は異なります:

Oracle Servicesへのオンプレミスのネットワーク・プライベート・アクセスの概要

次の図は、Oracleサービスへのオンプレミス・ネットワークのプライベート・アクセスを提供するための基本レイアウトを示しています。

このイメージは、ネットワークの基本的な配置を示しています。

オンプレミス・ネットワークでは、FastConnectプライベート仮想回線または「VPN接続」を介してVCNに接続します。 これらの各タイプの接続は、VCNにアタッチされた動的ルーティング・ゲートウェイ(DRG)で終了します。 VCNにはサービス・ゲートウェイもあり、このゲートウェイを使用して、Oracle Services NetworkにVCNのアクセスを可能にします。 オンプレミス・ネットワークからのトラフィックは、VCNを介して、サービス・ゲートウェイを介して、および関心のあるOracle serviceに転送されます。 レスポンスはサービス・ゲートウェイおよびVCNを介してオンプレミス・ネットワークに戻ります。

サービス・ゲートウェイを設定すると、「サービスCIDRラベル」が有効化されます。これは、サービス・ゲートウェイを介してアクセスするサービスまたはサービス・グループのすべてのリージョンのパブリックIPアドレス範囲を表す文字列です。 たとえば、「Oracle Services NetworkのすべてのPHXサービス」は、サービス・ゲートウェイを介して「US West (フェニックス)」で使用可能なOracleサービス用のサービスCIDRラベルです。 Oracleでは、DRGでBorder Gateway Protocol (BGP)を使用して、それらのリージョンのパブリックIPアドレス範囲をオンプレミス・ネットワークに(顧客が提供する機器またはCPEとも呼ばれる)エッジ・デバイスに通知します。 サービス・ゲートウェイで使用可能な範囲のリストは、「VCNおよびOracle Services Network用のパブリックIPアドレス」を参照してください。

Oracle Servicesへの複数接続パス

冗長性やその他の理由により、Oracle Cloud InfrastructureおよびOracleサービスへの複数の接続パスを使用してオンプレミス・ネットワークを構成できます。 たとえば、FastConnect public peeringとFastConnect private peeringの両方を使用できます。 複数のパスを持っている場合、エッジ・デバイスでは、Oracleサービスの公開IPアドレス範囲のルート通知を複数のパスにわたって受け取ります。 エッジ・デバイスを正しく構成する方法に関する重要な情報は、「オンプレミス・ネットワークへの接続のルーティング詳細」を参照してください。

Oracle Servicesへのプライベート・アクセス権のある複数のVCN

組織では、それぞれがサービス・ゲートウェイを持つ複数のVCNを使用して、VCNリソースにOracleサービスへのアクセス権を付与することを選択しているとします。 たとえば、組織内の部門ごとに異なるVCNを設定できます。

alsoで、サービス・ゲートウェイを備えたVCNを介してOracleサービスへのプライベート・アクセスを使用してオンプレミス・ネットワークを設定する場合、このセクションでは、使用可能な2つの異なるネットワーク・レイアウトについて説明します。

最初のレイアウトでは、次のダイアグラムに示されているハブ・アンド・スポーク・レイアウトのVCNを使用して、「単一」 DRGを設定します。 ハブとして機能するVCNは、Oracleサービスへのプライベート・アクセスを備えたオンプレミス・ネットワークの提供専用です。 他のVCNは、ハブVCNを持つ「ローカル・ピアド」です。 「Oracle Servicesへのプライベート・アクセスの設定」の手順に従って、ハブVCNのみを構成します。 このハブ・アンド・スポーク・レイアウトをお薦めし、「伝送ルーティング: 同じリージョン内の複数のVCNへのアクセス」で詳細に説明します。

このイメージは、単一のDRGに接続されたオンプレミス・ネットワークを示しています。

2番目のレイアウトでは、各VCNに個別のDRGがあり、それぞれのFastConnect専用仮想回線または「VPN接続」がオンプレミス・ネットワークから各DRGに分かれています。 DRGとVCNを1つ専用にし、Oracleサービスへのプライベート・アクセスでオンプレミス・ネットワークを提供します。 次のダイアグラムでは、これは中央のVCNです。 VCNを構成するには、「Oracle Servicesへのプライベート・アクセスの設定」の手順に従います。

このイメージは、複数のDrgに接続されているオンプレミス・ネットワークを示しています。

これら両方のレイアウトで、オンプレミス・ネットワークは、単一のVCNサービス・ゲートウェイ(この目的専用のもの)経由でのみOracleサービスにアクセスでき、他のVCNのサービス・ゲートウェイを介してアクセスできないことに注意してください。 他のVCNについては、それらのVCNがVCNサービス・ゲートウェイからOracleサービスにアクセスできるリソースは、insideのみです。

選択したレイアウトに関係なく、IAMポリシーを記述して「オブジェクト・ストレージ」バケットへのアクセスを制限し、「特定のVCNサービス・ゲートウェイを介したリクエストのみ」にそのバケットへのアクセスを許可することができます。 これらのいずれかのレイアウトで、「複数」 VCNからのリクエストを許可するようにポリシーを書き込むことができます。 次の例のポリシーでは、例のObjectBackupグループ内のリソースは、ABCというコンパートメント内に存在するdb-backupと呼ばれる既存のバケットにオブジェクトを書き込むことができます。 このようなポリシーを記述する場合は、1つ以上のVCN OCIDsを指定できます。 この例には3が示されています。

Allow group ObjectBackup to read buckets in compartment ABC

Allow group ObjectBackup to manage objects in compartment ABC where
   all {target.bucket.name='db-backup', 
        any {request.vcn.id='<hub_VCN_OCID>', request.vcn.id='<spoke_1_VCN_OCID>', request.vcn.id='<spoke_2_VCN_OCID>'},
        any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

詳細は、サービス・ゲートウェイの設定手順で「タスク4: (オプション)オブジェクト・ストレージ・バケットへのアクセスを制限するためのIAMポリシーの更新」を参照してください。

Oracle Servicesからクライアントへのリクエスト

サービス・ゲートウェイでは、VCNまたはオンプレミス・ネットワークへの着信接続リクエストを許可していません。 Oracle serviceからオンプレミス・ネットワークに接続するリクエストは、インターネットまたはFastConnectパブリック・ピアリングなどのパブリック・パスを介して行われる必要があります。

Oracle Analytics Cloudを使用してクライアントへの接続リクエストを開始し、alsoがオンプレミス・ネットワーク用にOracleサービスへのプライベート・アクセスを設定する場合は、この「既知の問題」を参照してください。

Oracle Servicesへのプライベート・アクセスのための転送ルーティング・オプション

VCNを介してOracleサービスへのプライベート・アクセスをルーティングするには、次の2つの方法があります:

  • ゲートウェイを介した直接の転送ルーティング: VCNを介してゲートウェイ間でトラフィックを直接ルーティングします。
  • プライベートIPを介した転送ルーティング: VCNでインスタンスを設定して、オンプレミス・ネットワークとOracle Services Networkの間のトラフィックをフィルタ処理または検査し、インスタンスのプライベートIPを介してトラフィックをルーティングします。

次の項に示す例では、VCNにはオンプレミス・ネットワークまたはOracle Services Networkにアクセスする必要があるワークロードが含まれていないことを前提としています。 VCNはトラフィック「VCN経由」の転送ルーティングにのみ使用されています。

ゲートウェイを介した直接の転送ルーティング
VCN内のプライベートIPを介した転送ルーティング

理解するための重要な転送ルーティングの制限

この項では、ルーティングに関する重要な詳細をいくつか示します:

  • DRGアタッチメントのルート表:

    • DRGアタッチメントに関連付けられたルート表は、サービス・ゲートウェイ「プライベートIPまたはローカル・ピアリング・ゲートウェイ」をターゲットとするルールのみを持つことができます。
    • DRGアタッチメントは、ルート表が関連付けられていない状態で存在することがあります。 ただし、ルート表をDRGアタッチメントに関連付けると、必ずルート表が関連付けられている必要があります。