その他のVCNへのアクセス: ピアリング
VCN peering is the process of connecting many virtual cloud networks (VCNs).4つのタイプのVCNピアリングを使用できます:
- LPGを使用したローカルVCNピアリング(リージョン内)
- RPCを使用したリモートVCNピアリング(リージョン間)
- アップグレード済DRGを介したローカルVCNピアリング
- アップグレード済DRGを介したリモートVCNピアリング
You can use VCN peering to divide a large network into several VCNs (for example, based on departments or lines of business), with each VCN having direct, private access to the others.トラフィックがインターネットを通過したり、サイト間VPNまたはFastConnect経由でオンプレミス・ネットワークを通過したりする必要はありません。また、共有リソースを、他のすべてのVCNがプライベート・アクセスできる1つのVCN内に配置することもできます。
各VCNは最大10のローカル・ピアリング・ゲートウェイを保有でき、1つのDRGにのみアタッチできます。1つのDRGで最大300個のVCNアタッチメントがサポートされるため、それらの間のトラフィックはDRGのルート表によって指示されたとおりにフローできます。We recommend using the DRG if you need to peer with many VCNs.If you want the highest possible bandwidth and super low-latency traffic between two VCNs in the same region, use the scenario described in Local VCN Peering using Local Peering Gateways.アップグレードされたDRGを介したローカルVCNピアリングでは、アタッチメントの数が多いため、ルーティングの柔軟性が向上します。
リモートVCNピアリングは複数のリージョンにわたっているため、これを使用すると、(たとえば)異なるリージョン間のデータベースのミラー化やバックアップを行うことができます。
ローカルVCNピアリングの概要
Local VCN peering is the process of connecting two VCNs in the same region so that their resources can communicate using private IP addresses without routing the traffic over the internet or through an on-premises network.VCNsは、同じOracle Cloud Infrastructureテナンシまたは異なるテナンシに配置できます。ピアリングを行わない場合は、特定のVCNで、別のVCNと通信する必要があるインスタンスに対してインターネット・ゲートウェイおよびパブリックIPアドレスが必要です。
アップグレードされたDRGを介したローカルVCNピアリングにより、ルーティングおよび簡略化された管理の柔軟性が向上しますが、仮想ルーターであるDRGを介したトラフィックのルーティングからレイテンシが(マイクロ秒単位で)増加します。
ピアリングの重要な意味
この項では、ピアリングされたVCNに関するアクセス制御、セキュリティおよびパフォーマンスへの影響についてまとめます。一般的に、IAMポリシー、各VCNのルート表および各VCNのセキュリティ・リストを使用して、2つのピアリングされたVCNs間のアクセスとトラフィックを制御できます。
ピアリングの確立の制御
IAMポリシーを使用すると、次のことを制御できます:
- テナンシを別のリージョンにサブスクライブできるユーザー(リモートVCNピアリングで必要)
- VCNピアリングを確立する権限を持つ組織内のユーザー(例については、ローカル・ピアリングのセットアップとリモート・ピアリングのセットアップのIAMポリシーを参照してください。)これらのIAMポリシーを削除した場合、既存のピアリングは影響せず、将来のピアリングを作成する機能のみに影響します。
- ルート表およびセキュリティ・リストを管理できるユーザー
接続でのトラフィック・フローの制御
Even if a peering connection has been established between one VCN and another, you can control the packet flow over the connection with route tables in the VCN.たとえば、トラフィックを他のVCNの特定のサブネットのみに制限できます。
ピアリングを停止しなくても、VCNから他のVCNにトラフィックを転送するためのルート・ルールを削除するだけで、他のVCNへのトラフィック・フローを停止できます。また、他のVCNとのイングレス・トラフィックまたはエグレス・トラフィックを有効にするセキュリティ・リスト・ルールを削除することでも、トラフィックを実質上停止できます。この場合、ピアリング接続を介するトラフィック・フローは停止されず、VNICレベルでトラフィック・フローが停止されます。
ルーティングおよびセキュリティ・リストの詳細は、次の各項の説明を参照してください:
ローカル・ピアリング・グループを使用したローカルVCNピアリング:
リモート・ピアリング接続を使用したリモートVCNピアリング:
Dynamic Routing Gateway (DRG)を使用したローカルVCNピアリング:
- ローカル・ピアリングの重要な概念
- タスクD: VCN-BのCIDRを宛先とするトラフィックをDRGアタッチメントに送信するためのVCN-Aでのルート表の構成
- タスクE: VCN-AのCIDRを宛先とするトラフィックをDRGアタッチメントに送信するためのVCN-Bでのルート表の構成
- タスクF: セキュリティ・ルールの更新
動的ルーティング・ゲートウェイ(DRG)を使用したリモートVCNピアリング:
許可されている特定のタイプのトラフィックの制御
各VCN管理者は、他のVCNとのアウトバウンド・トラフィックおよびインバウンド・トラフィックがすべて意図または予期されたものであり、定義されていることを確認できます。In practice, this means implementing security list rules that explicitly state the types of traffic one VCN can send to the other and accept from the other.
プラットフォーム・イメージを実行しているコンピュート・インスタンスには、そのインスタンスへのアクセスを制御するOSファイアウォール・ルールもあります。インスタンスへのアクセスのトラブルシューティングを行う場合は、次の項目すべてが正しく設定されているか確認してください:
- インスタンスが存在するネットワーク・セキュリティ・グループ内のルール
- インスタンスのサブネットに関連付けられているセキュリティ・リスト内のルール
- インスタンスのOSファイアウォール・ルール
インスタンスがOracle Autonomous Linux 8.x、Oracle Autonomous Linux 7、Oracle Linux 8、Oracle Linux 7、またはOracle Linux Cloud Developer 8を実行している場合は、iptablesルールと相互作用するにはfirewalldを使用する必要があります。参照用に、ポート(この例では1521)をオープンするためのコマンドを次に示します:
sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
sudo firewall-cmd --reload
ISCSIブート・ボリュームを持つインスタンスでは、前述の--reload
コマンドで問題が発生することがあります。詳細および回避策については、firewall-cmd --reloadの実行後にインスタンスでシステム・ハングが発生しますを参照してください。
セキュリティ・リストおよびファイアウォールの他に、ローカルVCNのインスタンス上のその他のOSベースの構成を評価します。ローカルVCNのCIDRには適用されないが、他のVCNのCIDRに意図せず適用されるデフォルト構成がある場合もあります。
デフォルト・セキュリティ・リストのルールの使用
VCNのサブネットでデフォルトのセキュリティ・リストを付属のデフォルト・ルールで使用する場合、任意の場所(つまり、0.0.0.0/0。したがって他のVCN)からのイングレス・トラフィックを許可する2つのルールがあります:
- 0.0.0.0/0および任意のソース・ポートからのTCPポート22 (SSH)トラフィックを許可するステートフル・イングレス・ルール
- 0.0.0.0/0および任意のソース・ポートからのICMPタイプ3、コード4トラフィックを許可するステートフル・イングレス・ルール
これらのルールと、それらを保持するか更新するかを評価します。前述したように、許可するすべてのインバウンド・トラフィックまたはアウトバウンド・トラフィックが、意図または予期されたものであり、定義されていることを確認してください。
パフォーマンスへの影響およびセキュリティ・リスクに対する準備
一般に、他のVCNによる影響を考慮してローカルVCNを準備します。たとえば、ローカルVCNまたはそのインスタンスに対する負荷が増加する可能性があります。Or the local VCN could experience a malicious attack directly from or by way of the other VCN.
パフォーマンスについて: ローカルVCNが別のサービスにサービスを提供している場合は、他のVCNの要求に対応するようにサービスをスケール・アップする準備をしてください。これは、必要に応じてより多くのコンピュート・インスタンスを作成する準備が整っていることを意味します。または、ローカルVCNへのネットワーク・トラフィックのレベルが高いことを懸念する場合は、ステートレス・セキュリティ・リスト・ルールを使用して、ローカルVCNが実行する必要のある接続トラッキングのレベルを制限することを検討します。ステートレス・セキュリティ・リスト・ルールによって、サービス拒否(DoS)攻撃の影響を抑えることもできます。
セキュリティ・リスクについて: 他のVCNがインターネットに接続されているかどうかは必ずしも制御できません。これにより、ローカルVCNがバウンス攻撃にさらされ、インターネット上の悪意のあるホストが、ピアリング元のVCNからのものであるかのように見えるローカルVCNにトラフィックが送信される可能性があります。これを防ぐには、前述のとおり、セキュリティ・リストを使用して、他のVCNからのインバウンド・トラフィックは、予期されており、定義されたトラフィックに慎重に制限します。