Oracle Cloud Infrastructureドキュメント

Interconnect for Google Cloud

このトピックでは、Oracle Interconnect for Google Cloudの設定方法について説明します。

Oracle Interconnect for Google Cloudでは、特定のリージョンのOracle Cloud InfrastructureとGoogle Cloud Platform (GCP)の間にクロスクラウド接続を作成できます。この接続では、クラウドからクラウドへのワークロードを設定でき、クラウド間のトラフィックはインターネットを経由しません。このトピックでは、仮想ネットワーキング・インフラストラクチャ・リソースを設定して、このデプロイメントを有効にする方法について説明します。

ハイライト

  • Oracle Cloud Infrastructure (OCI)仮想クラウド・ネットワーク(VCN)とGCP仮想プライベート・クラウド(VPC)を接続して、クラウド間のワークロードを実行できます。典型的な使用例では、Oracle DatabaseをOCIにデプロイし、カスタム・アプリケーションをGCPにデプロイします。
  • この2つの仮想ネットワークは同じ会社または組織に属する必要があり、CIDRは重複できません。Oracle Interconnect for Google Cloudでは、パートナ・インターコネクト回線およびOCI FastConnect仮想回線を作成する必要があります。

可用性

Oracle Interconnect for Google Cloudを使用できるのは、次の地図および表に示すペアのリージョンのみです。GCPリージョンの場所の詳細は、GCPドキュメントの「Colocation Facilities」の「Locations table」を参照してください。

次の図には、Oracle Interconnect for Google Cloudのリージョンを示しています。すべての商用OCIリージョンを表示し、AzureまたはGCPと相互接続するリージョンを記載しています。参加しているGCPリージョンは、後続の表にもリストされています。

AzureまたはGCPと相互接続するリージョンを示すマップ。

Oracle Interconnect for Google Cloudを含むUS Government Cloudのリージョンは、US Government Cloudのドキュメントにリストされています。

アジア太平洋

OCIリージョン - キー Google Cloudリージョン

オーストラリア東部(シドニー) / ap-sydney-1 - SYD

シドニー(australia-southeast1)

オーストラリア南東部(メルボルン) / ap-melbourne-1 - MEL

メルボルン(australia-southeast2)

インド西部(ムンバイ) / ap-mumbai-1 - BOM

ムンバイ(asia-south1)

日本東部(東京) / ap-tokyo-1 - NRT

東京(asia-northeast1)
シンガポール(シンガポール) / ap-singapore-1 - SIN

シンガポール(asia-southeast1)

ヨーロッパ、中東、アフリカ(EMEA)

OCIリージョン - キー Google Cloudリージョン

ドイツ中央部(フランクフルト) / eu-frankfurt-1 - FRA

フランクフルト(europe-west3)

スペイン中央部(マドリード) / eu-madrid-1 - MAD

マドリード(europe-southwest1)

英国南部(ロンドン) / uk-london-1 - LHR

ロンドン(europe-west2)

スイス北部(チューリッヒ) / eu-zurich-1 - ZRH

チューリッヒ(europe-west6)

ラテン・アメリカ(LATAM)

OCIリージョン - キー Google Cloudリージョン

ブラジル東部(サンパウロ) /sa-saopaulo-1 - GRU

サンパウロ(southamerica-east1)

北アメリカ(NA)

OCIの場所 - キー Google Cloudリージョン

カナダ南東部(モントリオール) (ca-montreal-1) - YUL

モントリオール(northamerica-northeast1)

カナダ南東部(トロント) (ca-toronto-1) - YYZ

トロント(northamerica-northeast2)

米国東部(アッシュバーン) (us-ashburn-1) - IAD

北バージニア(us-east4)

米国西部(フェニックス) (us-phoenix-1) - PHX

ロサンゼルス(us-west2)

サポートされているトラフィックの概要

サポートされるトラフィックのタイプの詳細は次のとおりです。

VCNからVPCへの接続: あるクラウドから別のクラウドへの拡張

VCNとVPCを接続して、プライベートIPアドレスを使用するトラフィックがクラウド間接続を経由できるようにします。

たとえば、次の図は、VPCに接続されているVCNを示しています。VPC内のリソースは、VCN内のデータベース・サービス・リソースで実行されるOracleデータベースにアクセスするアプリケーションを実行しています。アプリケーションとデータベース間のトラフィックでは、GCPとOCIの間のクラウド間接続で実行される論理回線が使用されます。

この図は、GCP VPCとOCI VCNの間の接続を示しています。

VPCとVCN間の接続を有効にするには、GCP VLANアタッチメントとOCI FastConnect仮想回線を設定します。接続には冗長性が組み込まれていないため、2つ目のOracle Interconnect for Google Cloud接続を設定して、可用性が高く、回復可能なネットワーク設計にする必要があります。

詳しい手順については、「接続の設定」を参照してください。

ピアリングされたVCN

接続トラフィックはVPCから、同じOCIリージョンまたは他のOCIリージョンにあるピアリングされた1つ以上のVCNに向かわせることができます。

接続でサポートされないトラフィックのタイプ

この接続では、OCIを介したオンプレミス・ネットワークからVPC、またはGCPを介したオンプレミス・ネットワークからOCIへのトラフィックは有効になりません。

クラウド接続の重要な意味

この項では、Oracle Interconnect for Google Cloudがアクセス制御、セキュリティおよびパフォーマンスに及ぼす影響についてまとめます。通常は、IAMポリシー、VCN内のルート表およびVCN内のセキュリティ・ルールを使用して、アクセスおよびトラフィックを制御できます。

後続の各項では、VCNの観点からの影響について説明します。VPCにも同様の影響があります。VCNと同様に、ルート表やネットワーク・セキュリティ・グループなどのGCPリソースを使用して、VPCを保護できます。

接続の確立の制御

Oracle Cloud Infrastructure IAMポリシーでは、次のものを制御できます:

接続でのトラフィック・フローの制御

VCNとVPCの間に接続が確立されている場合でも、VCN内のルート表を使用して接続上のパケット・フローを制御できます。たとえば、VPCの特定のサブネットのみにトラフィックを制限できます。

接続を終了しなくても、VCNからVPCにトラフィックを転送するルート・ルールを削除することで、VPCへのトラフィック・フローを停止できます。また、VPCのイングレス・トラフィックまたはエグレス・トラフィックを有効にするセキュリティ・ルールを削除することでも、トラフィックを実質上停止できます。この場合、接続上ではトラフィック・フローは停止されず、VNICレベルでトラフィック・フローが停止されます。

許可されている特定のタイプのトラフィックの制御

VPCとのアウトバウンド・トラフィックおよびインバウンド・トラフィックがすべて意図または予期されたものであり、定義されていることを確認してください。一方のクラウドから他方のクラウドへ送信できるトラフィックのタイプおよび一方のクラウドが他方のクラウドから受け入れるトラフィックのタイプを明示的に示す、GCPセキュリティおよびOracleセキュリティ・ルールを実装します。

重要

LinuxまたはWindowsのプラットフォーム・イメージを実行しているOracle Cloud Infrastructureインスタンスにも、そのインスタンスへのアクセスを制御するファイアウォール・ルールがあります。インスタンスへのアクセスのトラブルシューティングを行う際は、次の項目が正しく設定されていることを確認してください: インスタンスが存在するネットワーク・セキュリティ・グループ、インスタンスのサブネットに関連付けられているセキュリティ・リスト、およびインスタンスのファイアウォール・ルール。

インスタンスでOracle Autonomous Linux 8.x、Oracle Autonomous Linux 7、Oracle Linux 8、Oracle Linux 7またはOracle Linux Cloud Developer 8を実行している場合は、firewalldを使用してiptablesルールを操作する必要があります。参照用に、ポート(この例では1521)をオープンするためのコマンドを次に示します:

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

ISCSIブート・ボリュームを持つインスタンスでは、前述の--reloadコマンドで問題が発生することがあります。詳細および回避策については、firewall-cmd --reloadの実行後にインスタンスでシステム・ハングが発生しますを参照してください。

セキュリティ・ルールおよびファイアウォールを使用する他に、VCNのインスタンス上のその他のOSベースの構成を評価します。VCNのCIDRには適用されないが、VPCのCIDRに意図せず適用されるデフォルト構成が存在する場合があります。

VCNでのデフォルトのセキュリティ・リスト・ルールの使用

VCNのサブネットでデフォルト・セキュリティ・リストをデフォルト・ルールで使用する場合、そのリスト内の2つのルールによって、任意の場所(0.0.0.0/0。たとえば、VPC)からのイングレス・トラフィックが許可されます:

  • 0.0.0.0/0および任意のソース・ポートからのTCPポート22 (SSH)トラフィックのトラフィックを許可するステートフル・イングレス・ルール
  • 0.0.0.0/0および任意のソース・ポートからのICMPタイプ3、コード4トラフィックのトラフィックを許可するステートフル・イングレス・ルール

これらのルールと、それらを保持するか更新するかを評価します。前述したように、許可されるすべてのインバウンド・トラフィックまたはアウトバウンド・トラフィックが、意図または予期したものであり、定義されていることを確認してください。

パフォーマンスへの影響およびセキュリティ・リスクに対する準備

一般的には、VPCによる影響を考慮してVCNを準備します。たとえば、VCNまたはそのインスタンスに対する負荷が高くなる可能性があります。または、VPCから直接、あるいはVPC経由でVCNが悪意のある攻撃を受ける可能性があります。

パフォーマンスについて: VCNがVPCにサービスを提供している場合、VPCの需要に備えてサービスをスケール・アップする準備をします。これは、必要に応じて、さらにインスタンスを作成できるよう備えるということです。または、VCNへのネットワーク・トラフィックが多いことが懸念される場合は、ステートレス・セキュリティ・ルールを使用して、VCNが実行する必要のある接続トラッキングのレベルを制限することを検討してください。ステートレス・セキュリティ・ルールによって、サービス拒否(DoS)攻撃の影響を抑えることもできます。

セキュリティ・リスク関連: VPCがインターネットに接続されている場合、VCNがバウンス攻撃にさらされる可能性があります。バウンス攻撃では、インターネット上の悪意のあるホストが、VPCからのように見せかけてVCNにトラフィックを送信します。これを防ぐには、前述のとおり、セキュリティ・ルールを使用して、VPCからのインバウンド・トラフィックを、予期される定義済のトラフィックに慎重に制限します。

接続の設定

この項では、Oracle Interconnect for Google Cloudを設定する方法について説明します(背景については、「サポートされているトラフィックの概要」を参照してください)。

この接続のGoogle Cloud Platform側では、GoogleでPartner Interconnectと呼ばれているものを使用します。OCI側では、FastConnect Oracleパートナの方法を使用します。

前提条件: 必要なリソース

すでに次のものを備えている必要があります:

  • サブネット、Google Cloud Router、サービス境界を備えたGCP VPC
  • サブネットおよびアタッチされた動的ルーティング・ゲートウェイ(DRG)を持つOracle Cloud Infrastructure VCN。作成後、VCNにDRGをアタッチすることを忘れないでください。オンプレミス・ネットワークとVCNの間にすでにサイト間VPNまたはFastConnectがある場合、VCNにはすでにDRGがアタッチされています。GCPへの接続を設定するとき、同じDRGを使用します。
  • 必要なOCIコンポーネントに必要なリソースを構成するためのIAM権限。
  • 接続するリージョンのOCIとGCPの両方で有効なサブスクリプション

念のため、接続の各側に含まれる同等のネットワーキング・コンポーネントをリストした表を次に示します。

コンポーネント GCP Oracle Cloud Infrastructure
仮想ネットワーク 仮想プライベート・クラウド(VPC) VCN
仮想回線 VLANアタッチメント FastConnectプライベート仮想回線
ゲートウェイ Google Cloud Router 動的ルーティング・ゲートウェイ(DRG)
ルーティング ルート表 ルート表
セキュリティ・ルール サービス境界 ネットワーク・セキュリティ・グループ(NSG)またはセキュリティ・リスト

前提条件: 必要なBGP情報

VPCとVCNの間の接続には、BGP動的ルーティングが使用されます。Oracle仮想回線を設定する場合は、OracleとGCPの間の2つの冗長BGPセッションに使用するBGP IPアドレスを指定します:

  • BGPアドレスのプライマリ・ペア(Oracle側に1つ、GCP側に1つのIPアドレス)
  • 別のBGPアドレスのセカンダリ・ペア(Oracle側に1つ、GCP側に1つのIPアドレス)

ペアごとに、/28から/31までのサブネット・マスクを持つ個別のアドレス・ブロックを指定する必要があります

各アドレス・ブロックの2番目と3番目のアドレスは、BGP IPアドレス・ペアに使用されます。

  • ブロック内の2番目のアドレスはBGPセッションのOracle側用です
  • ブロック内の3番目のアドレスはBGPセッションのGCP側用です

ブロック内の最初のアドレスと最後のアドレスは、他の内部目的に使用されます。たとえば、CIDRが10.0.0.20/30の場合、ブロックのアドレスは次のようになります:

  • 10.0.0.20
  • 10.0.0.21: Oracle側ではこれを使用します(Oracle Consoleで、10.0.0.21/30というアドレスを入力します)
  • 10.0.0.22: GCP側ではこれを使用します(Oracle Consoleで、10.0.0.22/30というアドレスを入力します。このアドレスは、コンソールでは顧客側と呼ばれることに注意してください)
  • 10.0.0.23

セカンダリBGPアドレスにも、同じサイズの2番目のブロックを指定する必要があることに注意してください。例: 10.0.0.24/30。この場合、10.0.0.25はOracle側、10.0.0.26はGCP側のものです。Oracle Consoleでは、これらを10.0.0.25/30および10.0.0.26/30と入力する必要があります。

前提条件: 必要なIAMポリシー

関連するGCPおよびOracleのネットワーキング・リソースを作成および使用するために、必要なGCPアクセス権とOracle Cloud Infrastructure IAMアクセス権があると想定します。管理者グループ内のユーザー・アカウントの場合は、必要な権限がある可能性が高いです。そうでない場合は、次のようなポリシーで、すべてのネットワーキング・リソースがカバーされます:

Allow group NetworkAdmins to manage virtual-network-family in tenancy

仮想回線の作成および管理のみの場合、次のようなポリシーが必要です:

Allow group VirtualCircuitAdmins to manage drgs in tenancy

Allow group VirtualCircuitAdmins to manage virtual-circuits in tenancy

詳細は、ネットワーキングに対するIAMポリシーを参照してください。

全体的なプロセス

次の図は、VPCとVCNを接続するプロセス全体を示しています。

このスイムレーン図は、GCP VPCとOCI VCNを接続するためのステップを示しています
タスク1: ネットワーク・セキュリティの構成

最初のタスクは、VPCおよびVCN内の関連するサブネット間に必要なトラフィック・フローを判別して、サービス境界とVCNセキュリティ・ルールを適宜構成することです。追加する一般的なルールのタイプは、次のとおりです:

  • 他のクラウドの関連サブネットから許可するトラフィックのタイプについてのイングレス・ルール。
  • 他のクラウドへの送信トラフィックを許可するエグレス・ルール。VCNのサブネットに、すべての宛先(0.0.0.0/0)へのすべてのタイプのプロトコルに対応する広範囲のエグレス・ルールがすでにある場合は、VPCへのトラフィック用に特別なルールを追加する必要はありません。VCNのデフォルトのセキュリティ・リストには、非常に幅広いデフォルトのエグレス・ルールが含まれています。

VPCとVCNの間で許可するトラフィックの推奨タイプは、次のとおりです:

  • 接続をそれぞれの側からテストするための両方向のPingトラフィック
  • SSH (TCPポート22)
  • Oracleデータベースへのクライアント接続(TCPポート1521でのSQL*NET)

対象となる特定のアドレス範囲(たとえば、他方のクラウドの関連サブネット)との間のトラフィックのみを許可します。

VPCの場合: VPC内のどのサブネットがVCNと通信する必要があるかを判断します。次に、トラフィックが許可されるよう、それらのサブネットのサービス境界を構成します。

VCNの場合:

ノート

次の手順ではセキュリティ・リストを使用しますが、かわりに1つ以上のネットワーク・セキュリティ・グループにセキュリティ・ルールを実装し、VCNの関連リソースをNSGに配置することもできます。
  1. VCN内のどのサブネットがVPCと通信する必要があるかを判断します。

  2. これらの各サブネットのセキュリティ・リストを更新して、(VPCのCIDRブロックまたはVPCのサブネットを使用する)エグレス・トラフィックまたはイングレス・トラフィックを許可するルールを含めます:

    1. コンソールで、目的のVCNを表示している状態で、「セキュリティ・リスト」を選択します。
    2. 目的のセキュリティ・リストを選択します。

    3. 「すべてのルールの編集」を選択し、1つ以上のルールを作成します。各ルールは、許可する特定のタイプのトラフィックに対応します。後続のルールの例を参照してください。

    4. 終了したら、ダイアログ・ボックスの下部にある「セキュリティ・リスト・ルールの保存」を選択します。

    セキュリティ・ルールの設定の詳細は、セキュリティ・ルールを参照してください。

例: VCNからVPCへの送信ping

次のエグレス・セキュリティ・ルールにより、インスタンスはVCNの外部のホストに対してpingリクエストを作成できるようになります(エコー・リクエスト(ICMPタイプ8))。これは、レスポンスを自動的に許可するステートフル・ルールです。エコー・リプライ(ICMPタイプ0)用に別のイングレス・ルールは必要ありません。

  1. 「エグレスのルール許可」セクションで、「+ルールの追加」を選択します。
  2. 次の値を入力して、このセキュリティ・ルールを作成します:
    • 「ステートレス」チェック・ボックスは選択を解除したままにします。
    • 宛先CIDR: VPCの関連サブネット(前述の図の10.0.0.0/16)
    • IPプロトコル: ICMP
    • タイプとコード: 8
    • 説明: ルールのオプションの説明。
  3. ダイアログ・ボックスの下部にある「セキュリティ・リスト・ルールの保存」を選択します。
例: VPCからVCNへの受信ping

次のイングレス・セキュリティ・ルールにより、インスタンスはVPCのホストからpingリクエストを受信できます(エコー・リクエスト(ICMPタイプ8))。これは、レスポンスを自動的に許可するステートフル・ルールです。エコー・リプライ(ICMPタイプ0)用に別のエグレス・ルールは必要ありません。

  1. 「エグレスのルール許可」セクションで、「+ルールの追加」を選択します。
  2. 次の値を入力して、このセキュリティ・ルールを作成します:
    • 「ステートレス」チェック・ボックスは選択を解除したままにします。
    • ソースCIDR: VPCの関連サブネット(前述の図の10.0.0.0/16)
    • IPプロトコル: ICMP
    • タイプとコード: 8
    • 説明: ルールのオプションの説明。
  3. ダイアログ・ボックスの下部にある「セキュリティ・リスト・ルールの保存」を選択します。
例: VCNへの受信SSH

次のイングレス・セキュリティ・ルールにより、インスタンスはVPCのホストからSSH接続(TCPポート22)を受信できます。

  1. 「エグレスのルール許可」セクションで、「+ルールの追加」を選択します。
  2. 次の値を入力して、このセキュリティ・ルールを作成します:
    • 「ステートレス」チェック・ボックスは選択を解除したままにします。
    • ソースCIDR: VPCの関連サブネット(前述の図の10.0.0.0/16)
    • IPプロトコル: TCP
    • ソース・ポート範囲: すべて
    • 宛先ポート範囲: 22
    • 説明: ルールのオプションの説明。
  3. ダイアログ・ボックスの下部にある「セキュリティ・リスト・ルールの保存」を選択します。
例: データベースへのSQL接続

次のイングレス・セキュリティ・ルールでは、VPCのホストからのSQL接続(TCPポート1521)が許可されます。

  1. 「エグレスのルール許可」セクションで、「+ルールの追加」を選択します。
  2. 次の値を入力して、このセキュリティ・ルールを作成します:
    • 「ステートレス」チェック・ボックスは選択を解除したままにします。
    • ソースCIDR: VPCの関連サブネット(前述の図の10.0.0.0/16)
    • IPプロトコル: TCP
    • ソース・ポート範囲: すべて
    • 宛先ポート範囲: 1521
    • 説明: ルールのオプションの説明。
  3. ダイアログ・ボックスの下部にある「セキュリティ・リスト・ルールの保存」を選択します。
タスク2: Google Cloud Interconnect VLANアタッチメントの作成

Oracle Cloud Infrastructure FastConnectへのパートナ・インターコネクト接続のペアを作成します。設定中に、次のパラメータを設定します:

  • ネットワーク: デフォルトを使用します。
  • リージョン: インターコネクトを使用できるリージョンを選択します。「可用性」を参照してください。
  • クラウド・ルーター: OCI VCNに接続するVPCとすでに連携しているクラウド・ルーターを選択します。
  • MTU: 1500を選択します。これは、最も問題を引き起こしにくいサイズです。OCIにおけるMTUのサイズの詳細は、「ハングしている接続」の記事を参照してください。

GCPからペアリング・キーを受け取ります。「暗号化されていないVLANアタッチメントを作成する」のステップ10を参照してください。次のステップでFastConnect仮想回線を設定する際にオラクル社に知らせる必要があるため、このペアリング・キーは記録または格納します。ペアリング・キーは一意のキーで、OCIがGoogle Cloud VPCネットワークおよび関連するクラウド・ルーターを識別して接続できるようになります。OCIでは、VLANアタッチメントの構成を完了するためにこのキーが必要です。

ノート

VLANアタッチメントを作成したら、「有効化」ボックスを選択してVLANアタッチメントを事前アクティブ化します。すぐにこれを行うと、「タスク4 (オプション): 接続のアクティブ化」をスキップできます。
ノート

インターコネクトVLANアタッチメントの冗長ペアを作成し、可用性を高めることをお薦めします。冗長性を作成すると、ペアリング・キーが2つになります。冗長性が必要ない場合、作成するVLANアタッチメントは1つでかまいません(後からいつでも冗長化できます)。そうすることで、ペアリング・キーは1つになります。

次のタスクで、Google Cloud PlatformへのFastConnectプライベート仮想回線を設定します。その仮想回線のプロビジョニングが終了すると、VLANアタッチメントが更新され、プライベート・ピアリングが有効になっていることが示されます。

タスク3: OCI FastConnect仮想回線の設定
  1. コンソールで、対象のコンパートメントを表示していることを確認します。不明な場合は、接続先のDRGを含むコンパートメントを使用してください。このコンパートメントの選択は、対応するIAMポリシーとともに、これから作成する仮想回線にアクセスできるユーザーを制御します。

  2. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続性」で、「FastConnect」を選択します。

    結果の「FastConnect」ページは、新しい仮想回線を作成したり、仮想回線を管理する必要がある場合に戻ることのできるページです。

  3. 「FastConnectの作成」を選択します。
  4. FastConnectパートナを選択し、リストから「Google Cloud: OCIインターコネクト」を選択します。

  5. 「単一の仮想回線」(デフォルト)または「冗長仮想回線」のいずれかを選択して、同じFastConnectの場所で別々の物理デバイスを使用する仮想回線を構成します。冗長性の詳細は、「FastConnect冗長性のベスト・プラクティス」を参照してください。「単一の仮想回線」を選択しても、後から戻って冗長仮想回線を追加できます。

  6. 「次」を選択します。

  7. 仮想回線(「冗長仮想回線」を選択した場合は、「仮想回線1」)について、次の入力を行います:

    • 名前: 仮想回線のわかりやすい名前。値は仮想回線の中で一意にする必要はなく、後で変更できます。機密情報の入力は避けてください。
    • コンパートメントに作成: そのままにします(作業中のコンパートメント)。
    • 「パートナ」を選択し、リストからパートナを選択します。
      ノート

      パートナとしてMegaportを選択した場合は、記載されているオプションのステップで、回線のパートナ側をプロビジョニングできます。

  8. 「プライベート」仮想回線タイプを選択します。冗長仮想回線はどちらもプライベートにするか、どちらもパブリックにする必要があるため、この設定はもう一方の仮想回線で照合されます。次の入力を行います:

    • 「すべてのトラフィック」または「FastConnect経由のIPSecトラフィックのみ」を選択します。仮想回線は、いずれを選択してもFastConnect経由のIPSecに使用できますが、仮想回線で暗号化されたトラフィックのみを許可するよう選択することが可能です。冗長仮想回線は同じ設定にする必要があるため、これはもう一方の仮想回線で照合されます。
    • 動的ルーティング・ゲートウェイ: FastConnectトラフィックのルーティング先となるDRGを選択します。FastConnect経由のIPSecには、アップグレードされたDRGが必要です。このDRGは、複数のVCN、またはVCNがアタッチされた他のDRGにアタッチできます。
    • プロビジョニングされた帯域幅: 値を選択します。帯域幅を後で拡張する必要がある場合は、別の値を使用するように仮想回線を更新できます(「仮想回線を編集するには」を参照)。
    • パートナ・サービス・キー(オプション): Googleから取得したサービス・キーを入力します。このキーを今すぐ入力するか、後で回線を編集できます。

    BGPセッションがOracleに接続すると(「基本的なネットワークの図」を参照)、ダイアログ・ボックスにBGPセッションの他のフィールドが表示されます:

    • 顧客BGP IPアドレス: エッジ(CPE)用のBGPピアリングIPアドレスで、/28から/31までのサブネット・マスクが使用されます。
    • Oracle BGP IPアドレス: Oracleエッジ(DRG)に使用するBGPピアリングIPアドレスで、/28から/31までのサブネット・マスクが使用されます。
    • IPv6アドレス割当ての有効化: IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。FastConnectおよびIPv6を参照してください。
    • 顧客BGP ASN: Google VCPのパブリックASNまたはプライベートASN。
    • BGP MD5認証キーを使用します(オプション): MD5認証が必要な場合は、このチェックボックスを選択し、キーを指定します。Oracleは128ビットのMD5認証までをサポートしています。
    • 双方向転送検出の有効化(オプション): このチェックボックスを選択すると、双方向転送検出が有効になります。
      ノート

      双方向転送検出を使用する場合、ペア・デバイスは、300ミリ秒の最小間隔と3の乗数を使用するように構成する必要があります。
  9. 冗長仮想回線を作成する場合は、もう一方の仮想回線(仮想回線2)に必要な情報を入力します。「冗長仮想回線」を選択した場合、仮想回線2の仮想回線タイプ(プライベートまたはパブリック)および「すべてのトラフィック」または「FastConnect経由のIPSecトラフィックのみ」の設定は、すでに仮想回線1と一致するように設定されています。もう一方の回線で設定を変更すると、一致するよう自動的に変更されることに注意してください。
    ノート

    「冗長仮想回線」を選択し、選択したパートナがOCIへのレイヤー3接続を作成する場合、冗長仮想回線の作成はオプションです。ただし、選択したパートナがレイヤー2接続を作成する場合は、冗長仮想回線が必要です。レイヤー2およびレイヤー3接続の詳細は、「FastConnect冗長性のベスト・プラクティス」を参照してください。

  10. 「作成」を選択します。

    仮想回線が作成され、ステータス・ページが表示されます。「閉じる」を選択して、仮想回線のリストに戻ります。

  11. 作成した仮想回線の名前を選択します。仮想回線の状態が「パートナ保留中」の場合、そのOCIDおよびパートナのポータルへのリンクが、ページ上部の「接続が作成されました」という確認ボックスに表示されます。仮想回線のOCIDは、もう一方の仮想回線の詳細でも使用可能です。OCIDをコピーして別の場所に貼り付けます。次のタスクで、それをOracleパートナに渡します。作成した場合は、冗長回線のOCIDもコピーします。

FastConnect仮想回線を作成したら、OCIによる接続の構成を待機します。作成した仮想回線の詳細ページを表示し、「仮想回線情報」タブで、仮想回線情報のライフサイクル状態が「プロビジョニング済」に変わっていることを確認します。また、「BGP情報」タブを表示して、BGPセッションが確立されていることを確認します。BGPセッションが「確立済」の状態に変わるまで、数分間待機します。「FastConnect仮想回線のステータスを取得するには」も参照してください。

タスク4 (オプション): 接続のアクティブ化

このステップが必要なのは、「タスク2: Google Cloud Interconnect VLANアタッチメントの作成」でペアリング・キーを指定したときに、GCP VLANアタッチメントを事前アクティブ化しなかった場合のみです。

GCP VLANアタッチメントを事前アクティブ化しなかった場合は、OCI側での構成とプロビジョニングが完了した後に、Google Cloudから電子メール通知が送られてきます。電子メールを受信したら、Google CloudコンソールからVLANアタッチメントを有効化する必要があります。Google Cloudとの接続が確立されたことを確認するには、接続をアクティブ化し、そのアクティブ化のステータスを確認する必要があります。

タスク5: ルート表の構成

VPCの場合: VPC内のどのサブネットがVCNと通信する必要があるかを判断します。次に、それらのサブネットのBGP通知を構成し、必要に応じてトラフィックがルーティングされるようにします。

VCNの場合:

  1. VCN内のどのサブネットがVPCと通信する必要があるかを判断します。

  2. それらの各サブネットのルート表を更新し、VPCのCIDR宛のトラフィックをDRGに転送する新しいルールを含めます:

    1. コンソールで、目的のVCNを表示している状態で、「ルート表」を選択します。
    2. 目的のルート表を選択します。
    3. 「ルート・ルールの編集」を選択します。

    4. 「+別のルート・ルール」を選択し、次の情報を入力します:

      • ターゲット・タイプ: 動的ルーティング・ゲートウェイ。VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。
      • 宛先CIDRブロック: VPCの関連サブネット(前述の図の10.0.0.0/16)。
      • 説明: ルールのオプションの説明。
    5. 「保存」を選択します。

ルールに一致する宛先のサブネット・トラフィックは、DRGにルーティングされます。DRGでは、仮想回線のBGPセッション情報に基づいて、トラフィックをVPCにルーティングすることが認識されます。

その後、接続が不要になってDRGを削除する場合は、DRGをターゲットとして指定しているVCN内のすべてのルート・ルールを最初に削除する必要があります。

ルート・ルールの設定の詳細は、VCNルート表を参照してください。

タスク6: 接続の検証およびテスト
重要

接続を終了する場合は、特定のプロセスに従う必要があります。「Oracle Interconnect for Google Cloudを終了するには」を参照してください。
  1. Border Gateway Protocol (BGP)セッションがGoogle Cloudで確立されていることを確認します。
    BGPセッションは、「タスク3: OCI FastConnect仮想回線の設定」で作成した仮想回線の詳細ページの「BGP情報」タブを参照することで、OCIコンソールから検証できます。BGPセッションの状態が「確立済」であることを確認するまで、続行しないでください。「FastConnect仮想回線のステータスを取得するには」も参照してください。
  2. VPCサービス境界およびVCNセキュリティ・ルール(「タスク1: ネットワーク・セキュリティの構成」を参照)がすべて正しく構成されていることを確認します。
  3. VCNにテスト・インスタンスを作成します。
  4. テスト・インスタンスを使用してSSHでVPCのホストにアクセスするか、VPCのホストを使用してテスト・インスタンスにアクセスします。
ステップ4が成功すると、接続を使用できるようになります。

BGPの状態が確立されていない場合は、OCIまたはGoogle Cloudのサポート・チームに連絡してください。

Oracle Interconnect for Google Cloudの管理

FastConnect仮想回線のステータスを取得するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続性」で、「FastConnect」を選択します。
  2. 接続が存在するコンパートメントを選択します。
  3. 目的の接続を選択します。仮想回線のアイコンが緑色で「稼働中」を示している場合は、仮想回線がプロビジョニングされており、BGPが正しく構成されています。仮想回線を使用する準備ができています。
FastConnect仮想回線を編集するには

仮想回線の次の項目を変更できます:

  • 名前
  • 使用するDRG
注意

仮想回線が「プロビジョニング済」状態の場合、使用するDRGを変更すると、状態が「プロビジョニング中」に切り替わり、接続がダウンする可能性があります。 Oracleが仮想回線を再プロビジョニングすると、状態は「プロビジョニング済」に戻ります。接続が再び稼働中になり、機能していることを確認します。
  1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続性」で、「FastConnect」を選択します。
  2. 接続が存在するコンパートメントを選択し、接続を選択します。
  3. 仮想回線を選択します。
  4. 「編集」を選択して、変更を行います。機密情報の入力は避けてください。
  5. 「保存」を選択します。
Oracle Interconnect for Google Cloudを終了するには

次のステップは、Oracle Interconnect for Google Cloudを終了するプロセス全体を示しています。

  1. GCPポータルで、クラウド・インターコネクトを表示し、そのVLANアタッチメントを表示して、クラウド・インターコネクトにまだVLANアタッチメントが存在していることを確認します。詳細は、VLANアタッチメントの表示を参照してください。VLANアタッチメントが残っている場合は、「ネットワークの切断」を参照して、すべてのVLANアタッチメントを削除します。
  2. Oracleポータルで、FastConnect仮想回線を削除します:
    1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続性」で、「FastConnect」を選択します。
    2. 接続が存在するコンパートメントを選択し、接続を選択します。
    3. 仮想回線を選択します。
    4. 「削除」を選択します。

    5. プロンプトが表示されたら確認します。

      仮想回線のライフサイクル状態が「終了中」に切り替わります。

Oracle Interconnect for Google Cloudが終了します。