Oracle Cloud Infrastructureドキュメント

ローカル・ピアリング・ゲートウェイを使用したローカルVCNピアリング

このトピックでは、ローカルVCNピアリングについて説明します。この場合、ローカルとは、VCNsが同じリージョン内に存在することを意味します。VCNが異なるリージョンにある場合は、レガシーDRGを使用したリモートVCNピアリングを参照してください。

ローカル・ピアリング・ゲートウェイはまだサポートされています。このシナリオでは、レガシーDRGを使用していることを前提としています。We recommend routing traffic from one VCN to another through an upgraded DRG as described in Local VCN Peering Through an Upgraded DRG.

ローカルVCNピアリングの概要

Local VCN peering is the process of connecting two VCNs in the same region so that their resources can communicate using private IP addresses without routing the traffic over the internet or through an on-premises network.VCNsは、同じOracle Cloud Infrastructureテナンシまたは異なるテナンシに配置できます。ピアリングを行わないと、VCNは、別のVCNと通信する必要があるインスタンスに対してインターネット・ゲートウェイおよびパブリックIPアドレスを必要になります。

制限関連の情報については、ゲートウェイの制限およびサービス制限の引上げのリクエストを参照してください。

詳細は、他のVCNへのアクセス: ピアリングを参照してください。

LPGを使用したピアリングのネットワーキング・コンポーネントのサマリー

ローカル・ピアリングに必要なネットワーキング・サービス・コンポーネントの概要は次のとおりです:

  • CIDRが重複しない同じリージョン内の2つのVCNs
  • ピアリング関係の各VCN上のローカル・ピアリング・ゲートウェイ(LPG)
  • 2つのLPG間の接続
  • トラフィックが接続上、および各VCNs内の選択したサブネットとの間のみ(必要な場合)に流れることを可能にするルート・ルール。
  • 他のVCNと通信する必要があるサブネット内のインスタンスとの間で許可されるトラフィックのタイプを制御する、セキュリティ・ルール。

次の図は、これらのコンポーネントを示しています。

この図は、ローカル・ピアリングされた2つのVCNの基本的なレイアウトを示しています。各VCNはローカル・ピアリング・ゲートウェイを持っています。
ノート

VCNでは、ピアリングされたLPGを使用して次のリソースにアクセスできます:

  • 他のVCN内のVNIC
  • 転送ルーティングと呼ばれる拡張ルーティング・シナリオがVCNに設定されている場合に、他のVCNにアタッチされているオンプレミス・ネットワーク

VCNは、ピアリングされたVCNを使用して、VCN外部の他の宛先(インターネットなど)に到達することはできません。たとえば、前の図のVCN-1にインターネット・ゲートウェイがあっても、VCN-2のインスタンスはそれを使用してインターネット上のエンドポイントにトラフィックを送信できません。ただし、VCN-2は、VCN-1経由でインターネットからトラフィックを受信できます。詳細は、VCNピアリングの重要な意味を参照してください。

両方の側から必要な明示的合意

ピアリングには、同じ当事者または異なる2つの当事者が所有する2つのVCNが関係します。2つの当事者は、どちらも同じ会社に存在しても、異なる部門に属する場合があります。または、2つの当事者は、完全に異なる会社に属することもあります(サービス・プロバイダ・モデルなど)。

2つのVCNs間のピアリングには、各当事者が独自のVCNのコンパートメントまたはテナンシに対して実装するOracle Cloud Infrastructure Identity and Access Managementポリシーの形式での、両当事者からの明示的な合意が必要です。VCNが異なるテナンシにある場合、各管理者はテナンシOCIDを提供し、ピアリングを有効にする特別なポリシー・ステートメントを用意する必要があります。

拡張シナリオ: 転送ルーティング

The advanced routing scenario called transit routing crfeates communication between an on-premises network and several VCNs over a single Oracle Cloud Infrastructure FastConnect or Site-to-Site VPN.各VCNは、同じリージョンに存在し、ハブ・アンド・スポーク・レイアウトでローカル・ピアリングされる必要があります。シナリオの一部として、ハブとして機能しているVCNには、各LPGに関連付けられたルート表があります(通常、ルート表はVCNのサブネットに関連付けられます)。

LPGを作成するときに、オプションでルート表を関連付けることができます。または、ルート表のない既存のLPGがすでにある場合、ルート表をそれに関連付けることができます。ルート表はLPGのVCNに属している必要があります。LPGに関連付けられたルート表には、ターゲットとしてVCNにアタッチされたDRGを使用するルールのみを含めることができます。また、VCN内のインスタンスへのプライベートIPネクスト・ホップ・ルートをサポートすることもできます。

LPGは、ルート表が関連付けられていない状態でも存在できます。ただし、ルート表をLPGに関連付けた後は、常にルート表が関連付けられている必要があります。ただし、異なるルート表を関連付けることもできます。表のルールの編集や、ルールの一部またはすべての削除も可能です。

ローカル・ピアリングの重要な概念

次の概念は、VCNピアリングの基本およびローカル・ピアリングの確立方法を理解するのに役立ちます。

ピアリング
ピアリングは、2つのVCN間の単一のピアリング関係です。Example: If VCN-1 peers with three other VCNs, three peerings exist.ローカル・ピアリングローカルという部分は、VCNが同じリージョン内にあることを示します。特定のVCNは、一度に最大10個のローカル・ピアリングを持つことができます。
注意

ピアリング関係内の2つのVCNは、重複するCIDRを持つことはできません。ただし、VCN-1が他の3つのVCNとピアリングされている場合、それらの3つのVCNは、相互に重複するCIDRを持つことができます。ターゲットのピアリングVCNにトラフィックを転送するルート・ルールを持つように、VCN-1のサブネットを設定します。
VCN管理者
通常、VCNピアリングは、両方のVCN管理者が同意している場合にのみ実行できます。実際には、2人の管理者が次を行う必要があります:
  • 一定の基本情報を相互に共有します。
  • ピアリングを有効にするために必要なOracle Cloud Infrastructure Identity and Access Managementポリシーを設定するように調整します。
  • ピアリング用にVCNを構成します。
状況によっては、一方の管理者が両方のVCNおよび関連ポリシーを担当します。
必要なポリシーおよびVCN構成の詳細は、ローカル・ピアリングの設定を参照してください。
アクセプタおよびリクエスタ
ピアリングに必要なIAMポリシーを実装するには、2人のVCN管理者が1つの管理者をリクエスタとして、もう1人をアクセプタとして指定する必要があります。2つのLPGを接続するリクエストを行うには、リクエスタがリクエスタである必要があります。次に、アクセプタは、アクセプタのコンパートメント内のLPGに接続する権限をリクエスタに付与する特定のIAMポリシーを作成する必要があります。このポリシーがないと、リクエスタの接続リクエストは失敗します。
ローカル・ピアリング・ゲートウェイ(LPG)
ローカル・ピアリング・ゲートウェイ(LPG)は、ローカル・ピアリングされたVCNにトラフィックをルーティングするためのVCN上のコンポーネントです。VCN構成の一環として、各管理者は、VCN用のLPGを作成する必要があります。特定のVCNでは、確立されるローカル・ピアリングごとに個別のLPGが必要です(VCNごとに最大で10のLPG)。前の例を続行する場合: VCN-1には、他の3つのVCNとピアリングするための3つのLPGがあります。APIでは、LocalPeeringGatewayはピアリングに関する情報を含むオブジェクトです。後で別のピアリングを確立するためにLPGを再利用することはできません。
ピアリング接続
リクエスタがピア(コンソールまたはAPI)にリクエストを行うと、2つのLPGの接続を効率的に要求します。リクエスタには、各LPGを識別する情報(LPGのコンパートメントと名前、またはLPGのOCIDなど)が必要です。各管理者は、コンパートメントまたはテナンシに必要なIAMポリシーを設定する必要があります。
どちらのVCN管理者でも、LPGを削除することでピアリングを終えることができます。この場合、他のLPGのステータスはREVOKEDに切り替わります。かわりに、管理者は、接続におけるトラフィック・フローを可能にするルート・ルールまたはセキュリティ・ルールを削除することで、接続を停止できます(次の各項を参照)。
LPGへのルーティング
VCN構成の一環として、各管理者は、VCN間のトラフィック・フローを可能にするようにVCNのルーティングを更新する必要があります。実際には、これはゲートウェイ(インターネット・ゲートウェイ動的ルーティング・ゲートウェイなど)に設定したルーティングと類似しています。他のVCNと通信する必要があるサブネットごとに、サブネットのルート表を更新します。ルート・ルールでは、宛先トラフィックのCIDRとLPGをターゲットとして指定します。The LPG routes traffic that matches that rule to the other LPG, which in turn routes the traffic to the next hop in the other VCN.
次の図で、VCN-1とVCN-2はピアリングされています。サブネットA (10.0.0.15)のインスタンスからのトラフィックのうち、VCN-2 (192.168.0.15)のインスタンスに対して送信されるものは、サブネットAのルート表にあるルールに基づいてLPG-1にルーティングされます(コールアウト1: サブネットAルート表を参照)。トラフィックは、そこからLPG-2にルーティングされ、さらにサブネットXの宛先にルーティングされます。
この図は、一方のローカル・ピアリング・ゲートウェイから他方にルーティングされるトラフィックのパスを示しています。
コールアウト1: サブネットAルート表
宛先CIDR ルート・ターゲット
0.0.0.0/0 インターネット・ゲートウェイ
172.16.0.0/12 DRG
192.168.0.0/16 LPG-1
コールアウト2: サブネットXルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 LPG-2
ノート

前述のように、特定のVCNは、ピアリングされたLPGを使用して他のVCNのVNICに到達することも、VCNsに転送ルーティングが設定されている場合はオンプレミス・ネットワークにアクセスすることもできます。ただし、VCNは、ピアリングされたVCNを使用して、VCN外部の他の宛先(インターネットなど)に到達することはできません。たとえば、前の図で、VCN-2はVCN-1にアタッチされたインターネット・ゲートウェイを使用できません。

セキュリティ・ルール
VCNの各サブネットには、パケット・レベルでサブネットのVNIC内外のトラフィックを制御する1つ以上のセキュリティ・リストがあります。セキュリティ・リストを使用して、他のVCNで許可されるトラフィックのタイプを制御できます。As part of configuring the VCNs, each administrator must decide which subnets in their own VCN need to communicate with VNICs in the other VCN and update their subnet's security lists to match.
ネットワーク・セキュリティ・グループ(NSG)を使用してセキュリティ・ルールを実装する場合、トラフィックのソースまたは宛先として別のNSGを指定するNSG用セキュリティ・ルールを記述するオプションがあることに注意してください。ただし、2つのNSGは同じVCNに属している必要があります

VCNピアリングの重要な意味

まだ参照していない場合は、ピアリングの重要な意味を読んで、ピアリングされたVCNのアクセス制御、セキュリティおよびパフォーマンスに対する重要な影響を理解してください。

ローカル・ピアリングの設定

同じリージョン内の2つのVCN間にピアリングを設定するための一般的なプロセスを次に示します:

  1. LPGの作成: 各VCN管理者は、独自のVCN用にLPGを作成します。
  2. 情報の共有: 管理者は基本的な必須情報を共有します。
  3. 接続に必要なIAMポリシーの設定:管理者は、IAMポリシーを設定して、接続を確立できるようにします。
  4. 接続の確立: リクエスタは2つのLPGを接続します。
  5. ルート表の更新:各管理者は、VCNのルート表を更新して、必要に応じてピアリングされたVCNs間のトラフィックを有効にします。
  6. セキュリティ・ルールの更新:各管理者は、VCNのセキュリティ・ルールを更新して、ピアリングされたVCNs間のトラフィックを必要に応じて有効にします。

管理者は、接続を確立するに、タスクEおよびFを実行できます。その場合、各管理者は、他のVCNのCIDRブロックまたは特定のサブネットを把握して、タスクBでそれを共有する必要があります。接続の確立後、コンソールでローカルのLPGの詳細を表示して、他のVCNのCIDRブロックを取得します。「ピア通知CIDR」を確認してください。または、APIを使用している場合は、peerAdvertisedCidrパラメータを参照してください。

また、ステップバイステップ・プロセスを実行する前に、グループなどの一部のIAM設定を構成する必要があります。

タスクA: LPGの作成

ローカル・ピアリング・ゲートウェイの作成の手順を参照してください。LPGに関連するその他のタスクについては、ローカル・ピアリング・ゲートウェイの管理を参照してください。

タスクB: 情報の共有

自分がリクエスタである場合は、この情報をアクセプタと共有します(電子メールや他のアウト・オブ・バンド方式など)を使用):

  • VCNsが同じテナンシ:アクセプタのコンパートメントに接続を作成する権限を付与されたIAMグループの名前。
  • VCNsが別のテナンシの場合: テナンシのOCIDおよびIAMグループのOCIDで、アクセプタのコンパートメントに接続を作成する権限を付与します。
  • オプション: ローカルVCNのCIDR、または他のVCNとピアリングするための特定のサブネット。

自分がアクセプタである場合は、以下の情報を依頼者と共有します:

  • VCNsが同じテナンシにある場合: LPGのOCID。オプションで、VCN、LPGおよびそれぞれが属するコンパートメントの名前もあります。
  • VCNsが別のテナンシ: LPGのOCIDおよびアクセプタ・テナンシのOCID。
  • オプション: VCNのCIDR、または他のVCNとピアリングするための特定のサブネット。
タスクC: IAMポリシーの設定

両方のVCNが同じテナンシにある場合は、同じテナンシ内のLPG (VCNs)を使用したローカル・ピアリングのポリシーを使用します。

VCNsが異なるテナンシにある場合は、異なるテナンシ内のLPG (VCNs)を使用したローカル・ピアリングのポリシーを使用します。

タスクD: 接続の確立

「別のLPGへの接続」の手順を参照してください。LPGに関連するその他のタスクについては、ローカル・ピアリング・ゲートウェイの管理を参照してください。

タスクE: ルート表の構成

LPGを使用するためのVCNルート表の構成の手順を使用して、タスクB: 情報の共有から他のVCNの情報を使用するようにルート表を構成します。

タスクF: セキュリティ・ルールの構成

LPGを使用するためのセキュリティ・ルールの構成の手順を使用して、タスクB: 情報の共有のその他のVCNの情報を使用するようにセキュリティ・ルールを構成します。