Oracle Cloud Infrastructureドキュメント

伝送ルーティング : Oracle Servicesへのプライベート・アクセス

「伝送ルーティング」は、オンプレミス・ネットワークで接続済仮想クラウド・ネットワーク(VCN)を使用し、VCNを超えてOracleのリソースまたはサービスにアクセスするネットワーク設定を示します。 オンプレミス・ネットワークをFastConnectまたはVPN接続でVCNに接続し、VCNを介してトラフィック「VCNを使用したトランザクション」をVCNを外部の宛先に接続するようにVCNルーティングを構成します。

2つのプライマリ転送ルーティングのシナリオがあります:

  • Oracleサービスへのプライベート・アクセス: このトピックで説明するシナリオ。 このシナリオでは、オンプレミス・ネットワーク「プライベート・アクセス」とOracleサービスを提供し、オンプレミス・ホストがプライベートIPアドレスを使用し、トラフィックがインターネットを経由しないようにします。 そのかわりに、トラフィックでは、FastConnectプライベートの仮想回線または「VPN接続」を介して、仮想クラウド・ネットワーク(VCN)、およびサービス・ゲートウェイを介して関心のあるOracle serviceに転送されます。
  • 同じリージョン内の複数のVCNへのアクセス権: このシナリオでは、単一のFastConnectプライベート仮想回線またはVPN接続経由で、同じリージョン内のオンプレミス・ネットワークと複数のVCN間の通信を可能にします。 「伝送ルーティング: 同じリージョン内の複数のVCNへのアクセス」も参照してください。

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

ハイライト

  • VCNを介して、オンプレミスのネットワークでOracle Services Network内の「プライベート・アクセス」からOracleのサービスが提供されるように、VCNを設定できます。 オンプレミス・ネットワークのホストは、プライベートIPアドレスと通信します。
  • VCNは、「ダイナミック・ルーティング・ゲートウェイ」 (DRG)を使用してオンプレミス・ネットワークと通信します。 Oracleサービスへのアクセスは、VCNの「サービス・ゲートウェイ」を介して行います。 VCNからOracleサービスへのトラフィックは、Oracleネットワーク・ファブリックを経由して、インターネットを走査しません。
  • サービス・ゲートウェイはリージョンで、VCNとしてサポートされているOracleサービス「同じリージョン」にのみアクセスが可能です。
  • サポートされるOracleサービスは、Oracleサービス・ネットワーク内のOracle Cloud Infrastructure Object Storageなどです。 リストについては、「サービス・ゲートウェイ: Oracle Services Networkでサポートされているクラウド・サービス」を参照してください。
  • サービス・ゲートウェイでは、「サービスCIDRラベル」の概念が使用されます。これは、対象となるサービスまたはサービスのグループのすべてのリージョンのパブリックIPアドレス範囲を表す文字列です(たとえば、OCI PHXオブジェクト・ストレージは、us-phoenix-1オブジェクト・ストレージの文字列です)。 サービスへのトラフィックを制御するためにサービス・ゲートウェイおよび関連するルート・ルールを構成する場合、そのサービスCIDRラベルを使用します。 オプションで、セキュリティ・ルールの構成時にこれを使用できます。 サービスのパブリックIPアドレスが将来変更された場合は、これらのルールを調整する必要はありません。
  • VCNからOracleサービスを介してオンプレミス・ネットワークから必要なトラフィックを使用可能にするには、VCN DRGのアタッチおよびサービス・ゲートウェイのルート・ルールを実装します。
  • 必要に応じて、転送ルーティング「VCNのプライベートIP経由」を設定できます。 たとえば、オンプレミス・ネットワークとOracle service間のトラフィックをフィルタ処理または検査できます。 この場合、VCN内のインスタンス上のトラフィックを検査用にプライベートIPにルーティングし、結果のトラフィックはその宛先に継続します。 このトピックでは、両方の状況について説明: VCN上のゲートウェイ間での直接の転送ルーティング、およびプライベートIP経由の転送ルーティング。

Oracle Services Networkの概要

Oracle Services Networkは、Oracleサービス用に予約されているOracle Cloud Infrastructureの概念的なネットワークです。 これらのサービスには、通常インターネット経由でアクセスする「パブリックIPアドレス」があります。 ただし、Oracle Services Network 「トラフィックがインターネットを経由して進行していない場合」にアクセスできます。 アクセスが必要なホストに応じて、方法は異なります:

Oracle Servicesへのオンプレミスのネットワーク・プライベート・アクセスの概要

次の図は、Oracleサービスへのオンプレミス・ネットワークのプライベート・アクセスを提供するための基本レイアウトを示しています。

このイメージは、ネットワークの基本的な配置を示しています。

オンプレミス・ネットワークでは、FastConnectプライベート仮想回線または「VPN接続」を介してVCNに接続します。 これらの各タイプの接続は、VCNにアタッチされた動的ルーティング・ゲートウェイ(DRG)で終了します。 VCNにはサービス・ゲートウェイもあり、このゲートウェイを使用して、Oracle Services NetworkにVCNのアクセスを可能にします。 オンプレミス・ネットワークからのトラフィックは、VCNを介して、サービス・ゲートウェイを介して、および関心のあるOracle serviceに転送されます。 レスポンスはサービス・ゲートウェイおよびVCNを介してオンプレミス・ネットワークに戻ります。

サービス・ゲートウェイを設定すると、「サービスCIDRラベル」が有効化されます。これは、サービス・ゲートウェイを介してアクセスするサービスまたはサービス・グループのすべてのリージョンのパブリックIPアドレス範囲を表す文字列です。 たとえば、「Oracle Services NetworkのすべてのPHXサービス」は、サービス・ゲートウェイを介してus-phoenix-1で使用可能なOracleサービス用のサービスCIDRラベルです。 Oracleでは、DRGでBorder Gateway Protocol (BGP)を使用して、それらのリージョンのパブリックIPアドレス範囲をオンプレミス・ネットワークに(顧客が提供する機器またはCPEとも呼ばれる)エッジ・デバイスに通知します。 サービス・ゲートウェイで使用可能な範囲のリストは、「Oracle Services Network (サービス・ゲートウェイ)のパブリックIPアドレス範囲」を参照してください。

Oracle Servicesへの複数接続パス

冗長性やその他の理由により、Oracle Cloud InfrastructureおよびOracleサービスへの複数の接続パスを使用してオンプレミス・ネットワークを構成できます。 たとえば、FastConnect public peeringとFastConnect private peeringの両方を使用できます。 複数のパスを持っている場合、エッジ・デバイスでは、Oracleサービスの公開IPアドレス範囲のルート通知を複数のパスにわたって受け取ります。 エッジ・デバイスを正しく構成する方法に関する重要な情報は、「オンプレミス・ネットワークへの接続のルーティング詳細」を参照してください。

Oracle Servicesへのプライベート・アクセス権のある複数のVCN

組織では、それぞれがサービス・ゲートウェイを持つ複数のVCNを使用して、VCNリソースにOracleサービスへのアクセス権を付与することを選択しているとします。 たとえば、組織内の部門ごとに異なるVCNを設定できます。

alsoで、サービス・ゲートウェイを備えたVCNを介してOracleサービスへのプライベート・アクセスを使用してオンプレミス・ネットワークを設定する場合、このセクションでは、使用可能な2つの異なるネットワーク・レイアウトについて説明します。

最初のレイアウトでは、次のダイアグラムに示されているハブ・アンド・スポーク・レイアウトのVCNを使用して、「単一」 DRGを設定します。 ハブとして機能するVCNは、Oracleサービスへのプライベート・アクセスを備えたオンプレミス・ネットワークの提供専用です。 他のVCNは、ハブVCNを持つ「ローカル・ピアド」です。 「Oracle Servicesへのプライベート・アクセスの設定」の手順に従って、ハブVCNのみを構成します。 このハブ・アンド・スポーク・レイアウトをお薦めし、「伝送ルーティング: 同じリージョン内の複数のVCNへのアクセス」で詳細に説明します。

このイメージは、単一のDRGに接続されたオンプレミス・ネットワークを示しています。

2番目のレイアウトでは、各VCNに個別のDRGがあり、それぞれのFastConnect専用仮想回線または「VPN接続」がオンプレミス・ネットワークから各DRGに分かれています。 DRGとVCNを1つ専用にし、Oracleサービスへのプライベート・アクセスでオンプレミス・ネットワークを提供します。 次のダイアグラムでは、これは中央のVCNです。 VCNを構成するには、「Oracle Servicesへのプライベート・アクセスの設定」の手順に従います。

このイメージは、複数のDrgに接続されているオンプレミス・ネットワークを示しています。

これら両方のレイアウトで、オンプレミス・ネットワークは、単一のVCNサービス・ゲートウェイ(この目的専用のもの)経由でのみOracleサービスにアクセスでき、他のVCNのサービス・ゲートウェイを介してアクセスできないことに注意してください。 他のVCNについては、それらのVCNがVCNサービス・ゲートウェイからOracleサービスにアクセスできるリソースは、insideのみです。

選択したレイアウトに関係なく、IAMポリシーを記述して「オブジェクト・ストレージ」バケットへのアクセスを制限し、「特定のVCNサービス・ゲートウェイを介したリクエストのみ」にそのバケットへのアクセスを許可することができます。 これらのいずれかのレイアウトで、「複数」 VCNからのリクエストを許可するようにポリシーを書き込むことができます。 次の例のポリシーでは、例のObjectBackupグループ内のリソースは、ABCというコンパートメント内に存在するdb-backupと呼ばれる既存のバケットにオブジェクトを書き込むことができます。 このようなポリシーを記述する場合は、1つ以上のVCN OCIDsを指定できます。 この例には3が示されています。

Allow group ObjectBackup to read buckets in compartment ABC

Allow group ObjectBackup to manage objects in compartment ABC where
   all {target.bucket.name='db-backup', 
        any {request.vcn.id='<hub_VCN_OCID>', request.vcn.id='<spoke_1_VCN_OCID>', request.vcn.id='<spoke_2_VCN_OCID>'},
        any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

詳細は、サービス・ゲートウェイの設定手順で「タスク4: (オプション)オブジェクト・ストレージ・バケットへのアクセスを制限するためのIAMポリシーの更新」を参照してください。

Oracle Servicesからクライアントへのリクエスト

サービス・ゲートウェイでは、VCNまたはオンプレミス・ネットワークへの着信接続リクエストを許可していません。 Oracle serviceからオンプレミス・ネットワークに接続するリクエストは、インターネットまたはFastConnectパブリック・ピアリングなどのパブリック・パスを介して行われる必要があります。

Oracle Analytics Cloudを使用してクライアントへの接続リクエストを開始し、alsoがオンプレミス・ネットワーク用にOracleサービスへのプライベート・アクセスを設定する場合は、この「既知の問題」を参照してください。

Oracle Servicesへのプライベート・アクセスのための転送ルーティング・オプション

VCNを介してOracleサービスへのプライベート・アクセスをルーティングするには、次の2つの方法があります:

  • ゲートウェイを介した直接の転送ルーティング: VCNを介してゲートウェイ間でトラフィックを直接ルーティングします。
  • プライベートIPを介した転送ルーティング: VCNでインスタンスを設定して、オンプレミス・ネットワークとOracle Services Networkの間のトラフィックをフィルタ処理または検査し、インスタンスのプライベートIPを介してトラフィックをルーティングします。

次の項に示す例では、VCNにはオンプレミス・ネットワークまたはOracle Services Networkにアクセスする必要があるワークロードが含まれていないことを前提としています。 VCNはトラフィック「VCN経由」の転送ルーティングにのみ使用されています。

ゲートウェイを介した直接の転送ルーティング
VCN内のプライベートIPを介した転送ルーティング

理解するための重要な転送ルーティングの制限

この項では、ルーティングに関する重要な詳細をいくつか示します:

  • DRGアタッチメントのルート表:

    • DRGアタッチメントに関連付けられたルート表は、サービス・ゲートウェイ「プライベートIPまたはローカル・ピアリング・ゲートウェイ」をターゲットとするルールのみを持つことができます。
    • DRGアタッチメントは、ルート表が関連付けられていない状態で存在することがあります。 ただし、ルート表をDRGアタッチメントに関連付けると、必ずルート表が関連付けられている必要があります。 ただし、「異なる」ルート表を関連付けることができます。 表ルールを編集したり、一部またはすべてのルールを削除することもできます。
  • サービス・ゲートウェイのルート表:
    • サービス・ゲートウェイに関連付けられたルート表には、DRG 「またはプライベートIP」をターゲットとするルールのみを指定できます。
    • サービス・ゲートウェイは、ルート表が関連付けられていないと存在できます。 ただし、ルート表をサービス・ゲートウェイに関連付けると、必ずルート表が関連付けられている必要があります。 ただし、異なるルート表を関連付けることができます。 表ルールを編集したり、一部またはすべてのルールを削除することもできます。
  • VCNを経由したトラフィックのトランザクション: ここで説明するルート表は、オンプレミス・ネットワークとOracle Services Network内のロケーション間でVCNのトラフィックの移動のみを目的としています。 VCNでプライベートIPを使用している場合は、プライベートIPをそのトラフィック・パスに 「から」 the VCNに置くように、ルート表を構成します。
  • VCNへのインバウンド・トラフィック: 前述の文はtrueの場合でも(からはVCNのトラフィックに関する)、サブネットVCN内へのインバウンド・トラフィックは常に許可されています。 DRGアタッチメント・ルート表またはサービス・ゲートウェイ・ルート表でこのインバウンド・トラフィックに対して明示的なルールを設定する必要はありません。 このタイプのインバウンド・トラフィックがDRGまたはサービス・ゲートウェイに到達すると、VCN 「by the VCNローカル・ルーティングでその宛先にトラフィックが自動的にルーティングされます。 VCNのローカル・ルーティングにより、特定のVCNに属する任意のルート表に対して、VCN CIDR (またはサブセクション)がルール宛先としてリストするルールを作成することはできません。
  • プライベートIP経由で転送ルーティングのVCNトラフィック: VCNローカル・ルーティングに関する直前の文は、オンプレミス・ネットワークとスポークVCNの間でVCNのみを移動中に使用することを意味します。 ワークロードをVCN自体に設定しないでください。 VCNのプライベートIP経由で転送ルーティングを設定している場合は、そのプライベートIP経由でVCNトラフィックをルーティングすることもできません。 たとえば、前述の図で、宛先のCIDRが172.16.0.0/12ではなく0.0.0.0/0になるようにサービス・ゲートウェイのルート表のルート・ルールを変更すると、Oracle Services NetworkからのトラフィックおよびVCNのCIDRブロック「外」のアドレスに送信されたトラフィックのみがプライベートIPを介してルーティングされます。 VCNローカル・ルーティングにより、VCN内でアドレスに対して送信されるトラフィックはすべて、宛先IPアドレスに直接自動的にルーティングされます。 VCNのローカル・ルーティングは、サービス・ゲートウェイのルート表(通常、VCNのいずれかのルート表)より優先されます。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者が作成するポリシーで、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどちらを使用しているかにかかわらず、必要なタイプのアクセスを付与する必要があります。 アクションを実行しようとしたときに、権限のないメッセージや権限のないメッセージを取得する場合は、管理者に付与されているアクセスのタイプと作業するコンパートメントを確認してください。

管理者グループのメンバーである場合、転送ルーティングを設定するために必要なアクセス権がすでにあります。 そうでない場合は、ネットワーキング・サービスにアクセスし、インスタンスを起動する機能が必要になります。 「ネットワーキングのIAMポリシー」を参照してください。

Oracle Servicesへのプライベート・アクセスの設定

この項では、コンソールを使用してVCNで転送ルーティングを設定し、オンプレミスのネットワーク・プライベート・アクセスをOracleサービスに付与する方法を示します。

ゲートウェイ間で直接ルーティングする場合
プライベートIPを介したルーティング用

転送ルーティングをオフにします

転送ルーティングをオフにするには、次からルールを削除します:

  • DRGアタッチメントに関連付けられたルート表。
  • サービス・ゲートウェイに関連付けられたルート表。

ルート表はリソースに関連付けられますが、ルールはありません。 少なくとも1つのルールがないと、ルート表には何も実行されません。

DRGアタッチまたはサービス・ゲートウェイは、ルート表を関連付けずに存在できます。 ただし、ルート表をDRGアタッチまたはサービス・ゲートウェイに関連付けると、常にルート表が関連付けられている必要があります。 ただし、「異なる」ルート表を関連付けることができます。 表ルールを編集したり、一部またはすべてのルールを削除することもできます。