その他のVCNへのアクセス: ピアリング

VCNピアリングは、複数の仮想クラウド・ネットワーク(VCN)を接続するプロセスです。4つのタイプのVCNピアリングがあります:

VCNピアリングを使用すると、ネットワークを(たとえば、部門や営業品目に基づいて)複数のVCNに分割し、各VCNに他のVCNへの直接のプライベート・アクセス権を持たせることができます。トラフィックがインターネットを通過したり、サイト間VPNまたはFastConnectを経由する必要はありません。また、共有リソースを、他のすべてのVCNがプライベート・アクセスできる1つのVCN内に配置することもできます。

各VCNには、最大10個のローカル・ピアリング・ゲートウェイと1つのDRGを含めることができます。単一のDRGでは、最大300個のVCN添付がサポートされます。多数のVCNと通信する必要がある場合は、DRGを使用することをお薦めします。また、同じリージョン内の2つのVCN間で非常に高い帯域幅と超低レイテンシのトラフィックが必要な場合は、ローカル・ピアリング・ゲートウェイを使用したローカルVCNピアリングで説明されているシナリオを使用します。DRGを介して同じリージョンにVCNをピアリングすると、アタッチメントの数が多いため、ルーティングの柔軟性が向上します。

リモートVCNピアリングは複数のリージョンにわたるため、これを使用すると、(たとえば)異なるリージョン間でデータベースのミラーリングやバックアップを行うことができます。

ローカルVCNピアリングの概要

ローカルVCNピアリングとは、同じリージョン内の2つのVCNを接続し、それらのリソースがインターネット経由またはオンプレミス・ネットワーク経由でトラフィックをルーティングすることなく、プライベートIPアドレスを使用して通信できるようにするプロセスです。VCNが存在する場所は、同じOracle Cloud Infrastructureテナンシ内である場合と、異なる場合があります。ピアリングを行わない場合、特定のVCNは、別のVCNと通信する必要があるインスタンスに対してインターネット・ゲートウェイおよびパブリックIPアドレスを必要とします。

同じリージョン内の2つのVCN間で非常に高い帯域幅と超低レイテンシのトラフィックが必要な場合は、ローカル・ピアリング・ゲートウェイを使用したローカルVCNピアリングで説明されているシナリオを使用します。DRGを介して同じリージョンにVCNをピアリングすると、ルーティングの柔軟性が向上しますが、待機時間が長くなり、帯域幅が低下する可能性があります。

ピアリングの重要な意味

この項では、ピアリングされたVCNに関するアクセス制御、セキュリティおよびパフォーマンスへの影響についてまとめます。通常は、IAMポリシー、各VCN内のルート表、および各VCN内のセキュリティ・リストを使用して、ピアリングされた2つのVCN間のアクセスとトラフィックを制御できます。

ピアリングの確立の制御

IAMポリシーを使用すると、次のことを制御できます:

接続でのトラフィック・フローの制御

VCNと他のVCNの間にピアリング接続が確立されている場合でも、VCN内のルート表を使用して接続上のパケット・フローを制御できます。たとえば、トラフィックを他のVCNの特定のサブネットのみに制限できます。

ピアリングを終了しなくても、VCNから他のVCNにトラフィックを転送するルート・ルールを削除するだけで、他のVCNへのトラフィック・フローを停止できます。また、他のVCNとのイングレス・トラフィックまたはエグレス・トラフィックを有効にするセキュリティ・リスト・ルールを削除することでも、トラフィックを実質上停止できます。この場合、ピアリング接続を介するトラフィック・フローは停止されず、VNICレベルでトラフィック・フローが停止されます。

ルーティングおよびセキュリティ・リストの詳細は、次の各項の説明を参照してください:

ローカル・ピアリング・グループを使用したローカルVCNピアリング:

リモート・ピアリング接続を使用したリモートVCNピアリング:

動的ルーティング・ゲートウェイ(DRG)を使用したローカルVCNピアリング:

動的ルーティング・ゲートウェイ(DRG)を使用したリモートVCNピアリング:

許可されている特定のタイプのトラフィックの制御

各VCN管理者は、他のVCNとのアウトバウンド・トラフィックおよびインバウンド・トラフィックがすべて意図または予期されたものであり、適切に定義されていることを確認することが重要です。これは、実際には、VCNが他のVCNに送信できるトラフィックのタイプおよび他のVCNから受入れできるトラフィックのタイプを明示的に示すセキュリティ・リスト・ルールを実装するということです。

重要

プラットフォーム・イメージを実行しているインスタンスには、そのインスタンスへのアクセスを制御するOSファイアウォール・ルールもあります。インスタンスへのアクセスのトラブルシューティングを行う場合は、次の項目がすべて正しく設定されていることを確認してください:

  • インスタンスが存在するネットワーク・セキュリティ・グループ内のルール
  • インスタンスのサブネットに関連付けられているセキュリティ・リスト内のルール
  • インスタンスのOSファイアウォール・ルール

インスタンスでOracle Autonomous Linux 7、Oracle Linux 8、Oracle Linux 7またはOracle Linux Cloud Developer 8を実行している場合は、iptablesルールと相互作用するにはfirewalldを使用する必要があります。参照用に、ポート(この例では1521)をオープンするためのコマンドを次に示します:

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

ISCSIブート・ボリュームを持つインスタンスでは、前述の--reloadコマンドで問題が発生することがあります。詳細および回避策については、firewall-cmd --reloadの実行後にインスタンスでシステム・ハングが発生しますを参照してください。

セキュリティ・リストおよびファイアウォールの他に、VCNのインスタンス上のその他のOSベースの構成を評価する必要があります。自分のVCN CIDRには適用されないが、他のVCNのCIDRに意図せず適用されるデフォルト構成がある場合があります。

デフォルト・セキュリティ・リストのルールの使用

VCNのサブネットでデフォルト・セキュリティ・リストを付属のデフォルト・ルールで使用する場合、任意の場所(つまり、0.0.0.0/0。したがって他のVCN)からのイングレス・トラフィックを許可する2つのルールがあることに注意してください:

  • 0.0.0.0/0および任意のソース・ポートからのTCPポート22 (SSH)トラフィックを許可するステートフル・イングレス・ルール
  • 0.0.0.0/0および任意のソース・ポートからのICMPタイプ3、コード4トラフィックを許可するステートフル・イングレス・ルール

これらのルールと、それらを保持するか更新するかを評価します。前述したように、許可するすべてのインバウンド・トラフィックまたはアウトバウンド・トラフィックが、意図/予期したものであり、適切に定義されていることを確認します。

パフォーマンスへの影響およびセキュリティ・リスクに対する準備

一般に、他のVCNによる影響を考慮してVCNを準備します。たとえば、VCNまたはそのインスタンスに対する負荷が増加する可能性があります。または、他のVCNから直接、あるいは他のVCN経由で自分のVCNが悪意のある攻撃を受ける可能性があります。

パフォーマンスについて: 自分のVCNが他のVCNにサービスを提供している場合、他のVCNの需要に備えてサービスをスケール・アップする準備をします。これは、必要に応じて追加のインスタンスを起動する準備のことかもしれません。または、VCNへのネットワーク・トラフィックのレベルが高いことが懸念される場合は、VCNが実行する必要のある接続トラッキングのレベルを制限するためにステートレス・セキュリティ・リスト・ルールの使用を検討します。ステートレス・セキュリティ・リスト・ルールによって、サービス拒否(DoS)攻撃の影響を抑えることもできます。

セキュリティ上のリスクについて: 他のVCNがインターネットに接続しているかどうかを制御できるとはかぎりません。接続している場合、VCNがバウンス攻撃にさらされ、インターネット上の悪意のあるホストがピアリングしているVCNからのように見えてVCNにトラフィックを送信する可能性があります。これを防ぐには、前述のとおり、セキュリティ・リストを使用して、他のVCNからのインバウンド・トラフィックを、予期されており、適切に定義されたトラフィックに慎重に制限します。