ローカル・ピアリング・ゲートウェイを使用したローカルVCNピアリング

このトピックでは、ローカルVCNピアリングについて説明します。この場合、ローカルとは、VCNが同じリージョン内に存在することを意味します。VCNが異なるリージョンにある場合は、レガシーDRGを使用したリモートVCNピアリングを参照してください。

ローカル・ピアリング・ゲートウェイはまだサポートされています。このシナリオでは、レガシーDRGを使用していることを想定しています。Oracleでは、現在、アップグレードされたDRGを介したローカルVCNピアリングの説明に従って、アップグレードされたDRGを介してVCN間でトラフィックをルーティングすることをお薦めします。

ローカルVCNピアリングの概要

ローカルVCNピアリングとは、同じリージョン内の2つのVCNを接続し、それらのリソースがインターネット経由またはオンプレミス・ネットワーク経由でトラフィックをルーティングすることなく、プライベートIPアドレスを使用して通信できるようにするプロセスです。VCNは、同じOracle Cloud Infrastructureテナンシまたは異なるテナンシに配置できます。ピアリングを行わない場合、特定のVCNは、別のVCNと通信する必要があるインスタンスに対してインターネット・ゲートウェイおよびパブリックIPアドレスを必要とします。

制限関連の情報については、ゲートウェイの制限およびサービス制限の引上げのリクエストを参照してください。

詳細は、他のVCNへのアクセス: ピアリングを参照してください。

LPGを使用したピアリングのネットワーキング・コンポーネントのサマリー

ローカル・ピアリングに必要なネットワーキング・サービス・コンポーネントの概要は次のとおりです:

  • 重複しないCIDRを含む同じリージョン内の2つのVCN
  • ピアリング関係の各VCN上のローカル・ピアリング・ゲートウェイ(LPG)
  • 2つのLPG間の接続
  • 接続を介したトラフィックのフローを可能にするルート・ルールのサポート。各VCN内の選択サブネットに対してのみ有効にします(必要な場合)。
  • 他のVCNと通信する必要があるサブネット内のインスタンス間で許可されるトラフィックのタイプを制御するセキュリティ・ルールのサポート。

次の図は、これらのコンポーネントを示しています。

この図は、ローカル・ピアリングされた2つのVCNの基本的なレイアウトを示しています。各VCNはローカル・ピアリング・ゲートウェイを持っています。
ノート

特定のVCNでは、ピアリングされたLPGを使用して次のリソースに到達できます:

  • 他のVCN内のVNIC
  • 転送ルーティングと呼ばれる拡張ルーティング・シナリオがVCNに設定されている場合に、他のVCNにアタッチされているオンプレミス・ネットワーク

VCNは、ピアリングされたVCNを使用して、VCN外部の他の宛先(インターネットなど)に到達することはできません。たとえば、前の図のVCN-1にインターネット・ゲートウェイがあっても、VCN-2のインスタンスはそれを使用してインターネット上のエンドポイントにトラフィックを送信できません。ただし、VCN-2は、VCN-1を経由してインターネットからトラフィックを受信できます。詳細は、VCNピアリングの重要な意味を参照してください。

両方の側から必要な明示的合意

ピアリングには、同じ当事者または異なる2つの当事者が所有する2つのVCNが関係します。2つの当事者は、どちらも自分の会社に存在していても、異なる部門に属する場合があります。または、2つの当事者は、完全に異なる会社に属することもあります(サービス・プロバイダ・モデルなど)。

2つのVCN間のピアリングでは、各当事者が独自のVCNのコンパートメントまたはテナンシに対して実装するOracle Cloud Infrastructure Identity and Access Managementポリシーの形式で、両方の当事者からの明示的な合意が必要です。VCNが異なるテナンシにある場合、各管理者はテナンシOCIDを提供し、ピアリングを有効にする特別なポリシー・ステートメントを用意する必要があります。

拡張シナリオ: 転送ルーティング

転送ルーティングと呼ばれる高度なルーティング・シナリオでは、単一のOracle Cloud Infrastructure FastConnectまたはサイト間VPNを介したオンプレミス・ネットワークと複数のVCN間の通信が可能になります。各VCNは、同じリージョンに存在し、ハブ・アンド・スポーク・レイアウトでローカル・ピアリングされる必要があります。シナリオの一部として、ハブとして機能するVCNには、各LPGに関連付けられたルート表があります(通常、ルート表はVCNのサブネットに関連付けられます)。

LPGを作成するときに、オプションでルート表を関連付けることができます。または、ルート表のない既存のLPGがすでにある場合、ルート表をそれに関連付けることができます。ルート表はLPGのVCNに属している必要があります。LPGに関連付けられたルート表には、ターゲットとしてVCNにアタッチされたDRGを使用するルールのみを含めることができます。また、VCN内のインスタンスへのプライベートIPネクスト・ホップ・ルートをサポートすることもできます。

LPGは、ルート表が関連付けられていない状態でも存在できます。ただし、ルート表をLPGに関連付けた後は、常にルート表が関連付けられている必要があります。ただし、異なるルート表を関連付けることもできます。表のルールの編集や、ルールの一部またはすべての削除も可能です。

ローカル・ピアリングの重要な概念

次の概念は、VCNピアリングの基本およびローカル・ピアリングの確立方法を理解するのに役立ちます。

ピアリング
ピアリングは、2つのVCN間の単一のピアリング関係です。例: 他の3つのVCNを持つVCN-1ピアがある場合、3つのピアリングがあります。ローカル・ピアリングローカルという部分は、VCNが同じリージョン内にあることを示します。特定のVCNは、一度に最大10個のローカル・ピアリングを持つことができます。
注意

ピアリング関係内の2つのVCNは、重複するCIDRを持つことはできません。ただし、VCN-1が他の3つのVCNとピアリングされている場合、それらの3つのVCNは、相互に重複するCIDRを持つことができます。ターゲットのピアリングVCNにトラフィックを転送するルート・ルールを持つように、VCN-1のサブネットを設定します。
VCN管理者
通常、VCNピアリングは、両方のVCN管理者が同意している場合にのみ実行できます。実際には、2人の管理者が次を行う必要があります:
  • 一定の基本情報を相互に共有します。
  • ピアリングを有効にするために必要なOracle Cloud Infrastructure Identity and Access Managementポリシーを設定するように調整します。
  • ピアリング用にVCNを構成します。
状況によっては、一方の管理者が両方のVCNおよび関連ポリシーを担当します。
必要なポリシーおよびVCN構成の詳細は、ローカル・ピアリングの設定を参照してください。
アクセプタおよびリクエスタ
ピアリングに必要なIAMポリシーを実装するには、2人のVCN管理者が1人の管理者をリクエスタとして、もう1人をアクセプタとして割り当てる必要があります。リクエスタは、2つのLPGを接続するリクエストを開始する必要があります。一方、アクセプタは、アクセプタのコンパートメント内のLPGに接続するためのリクエスタ権限を付与する特定のIAMポリシーを作成する必要があります。このポリシーがないと、リクエスタの接続リクエストは失敗します。
ローカル・ピアリング・ゲートウェイ(LPG)
ローカル・ピアリング・ゲートウェイ(LPG)は、ローカル・ピアリングされたVCNにトラフィックをルーティングするためのVCN上のコンポーネントです。VCN構成の一環として、各管理者は、VCN用のLPGを作成する必要があります。特定のVCNでは、確立されるローカル・ピアリングごとに個別のLPGが必要です(VCNごとに最大で10のLPG)。前の例を続行する場合: VCN-1には、他の3つのVCNとピアリングするための3つのLPGがあります。APIでは、LocalPeeringGatewayはピアリングに関する情報を含むオブジェクトです。後で別のピアリングを確立するためにLPGを再利用することはできません。
ピアリング接続
リクエスタが(コンソールまたはAPIで)ピアへのリクエストを開始すると、2つのLPGを接続するように事実上求められます。リクエスタには、各LPGを識別する情報(LPGのコンパートメントと名前、またはLPGのOCIDなど)が必要です。各管理者は、コンパートメントまたはテナンシに必要なIAMポリシーを設定する必要があります。
どちらのVCN管理者も、LPGを削除することでピアリングを終了できます。この場合、他のLPGのステータスはREVOKEDに切り替わります。かわりに、管理者は、接続でのトラフィック・フローを可能にするルート・ルールまたはセキュリティ・ルールを削除することで、接続を停止できます(次の各項を参照してください)。
LPGへのルーティング
VCN構成の一環として、各管理者は、VCN間のトラフィック・フローを可能にするようにVCNのルーティングを更新する必要があります。実際には、これはゲートウェイ(インターネット・ゲートウェイ動的ルーティング・ゲートウェイなど)に設定したルーティングに似ています。他のVCNと通信する必要があるサブネットごとに、サブネットのルート表を更新します。ルート・ルールでは、宛先トラフィックのCIDRとLPGをターゲットとして指定します。LPGは、そのルールに一致するトラフィックを他のLPGにルーティングし、さらにそこから他のVCN内のネクスト・ホップにトラフィックをルーティングします。
次の図で、VCN-1とVCN-2はピアリングされています。サブネットA (10.0.0.15)のインスタンスからのトラフィックのうち、VCN-2 (192.168.0.15)のインスタンスに対して送信されるものは、サブネットAのルート表にあるルールに基づいてLPG-1にルーティングされます(コールアウト1: サブネットAルート表を参照)。トラフィックは、そこからLPG-2にルーティングされ、さらにサブネットXの宛先にルーティングされます。
この図は、一方のローカル・ピアリング・ゲートウェイから他方にルーティングされるトラフィックのパスを示しています。
コールアウト1: サブネットAルート表
宛先CIDR ルート・ターゲット
0.0.0.0/0 インターネット・ゲートウェイ
172.16.0.0/12 DRG
192.168.0.0/16 LPG-1
コールアウト2: サブネットXルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 LPG-2
ノート

前述のように、特定のVCNは、ピアリングされたLPGを使用して他のVCNのVNICに到達することも、転送ルーティングがVCNに設定されている場合はオンプレミス・ネットワークにアクセスすることもできます。ただし、VCNは、ピアリングされたVCNを使用して、VCN外部の他の宛先(インターネットなど)に到達することはできません。たとえば、前の図で、VCN-2はVCN-1にアタッチされたインターネット・ゲートウェイを使用できません。

セキュリティ・ルール
VCNの各サブネットには、パケット・レベルでサブネットのVNIC内外のトラフィックを制御する1つ以上のセキュリティ・リストがあります。セキュリティ・リストを使用して、他のVCNで許可されるトラフィックのタイプを制御できます。VCNの構成の一環として、各管理者は、他のVCN内のVNICと通信し、サブネットのセキュリティ・リストを一致するように更新する必要がある独自のVCN内のサブネットを選択する必要があります。
ネットワーク・セキュリティ・グループ(NSG)を使用してセキュリティ・ルールを実装する場合、トラフィックのソースまたは宛先として別のNSGを指定するNSG用セキュリティ・ルールを記述するオプションがあることに注意してください。ただし、2つのNSGは同じVCNに属している必要があります

VCNピアリングの重要な意味

まだ参照していない場合は、ピアリングの重要な意味を読んで、ピアリングされたVCNのアクセス制御、セキュリティおよびパフォーマンスに対する重要な影響を理解してください。

ローカル・ピアリングの設定

同じリージョン内の2つのVCN間にピアリングを設定するための一般的なプロセスを次に示します:

  1. LPGの作成: 各VCN管理者は、独自のVCN用にLPGを作成します。
  2. 情報の共有: 管理者は基本的な必須情報を共有します。
  3. 接続に必要なIAMポリシーの設定: 管理者は、IAMポリシーを設定して、接続を確立できるようにします。
  4. 接続の確立: リクエスタは2つのLPGを接続します。
  5. ルート表の更新: 各管理者は、VCNのルート表を更新して、ピアリングされたVCN間のトラフィックを必要に応じて有効にします。
  6. セキュリティ・ルールの更新: 各管理者は、VCNのセキュリティ・ルールを更新して、ピアリングされたVCN間のトラフィックを必要に応じて有効にします。

必要に応じて、管理者は接続を確立する前にタスクEおよびFを実行できます。その場合、各管理者は、他のVCNのCIDRブロックまたは特定のサブネットを把握して、タスクBでそれを共有する必要があります。接続の確立後、独自のLPGの詳細をコンソールで確認することにより、他のVCNのCIDRブロックを取得することもできます。「ピア通知CIDR」を確認してください。または、APIを使用している場合は、peerAdvertisedCidrパラメータを参照してください。

また、段階的なプロセスを実行する前に、グループなどの一部のIAM設定を事前構成する必要もあります。

タスクB: 情報の共有

自分がリクエスタである場合は、次の情報をアクセプタに提供します(電子メールや他のアウト・オブ・バンド方式などを使用):

  • VCNが同じテナンシ内にある場合: アクセプタのコンパートメントに接続を作成する権限を付与する必要があるIAMグループの名前。次のタスクの例では、このグループはRequestorGrpです。
  • VCNが異なるテナンシ内にある場合: 自分のテナンシのOCIDと、アクセプタのコンパートメントに接続を作成する権限を付与する必要があるIAMグループのOCID。次のタスクの例では、これはRequestorGrpのOCIDです。
  • オプション: VCNのCIDR、または他のVCNとピアリングするための特定のサブネット。

自分がアクセプタである場合は、次の情報をリクエスタに提供します:

  • VCNが同じテナンシ内にある場合: LPGのOCID。オプションとして、VCN、LPGおよびそれぞれが属するコンパートメントの名前があります。
  • VCNが異なるテナンシ内にある場合: LPGのOCID、およびテナンシのOCID。
  • オプション: VCNのCIDR、または他のVCNとピアリングするための特定のサブネット。
タスクC: IAMポリシーの設定

両方のVCNが同じテナンシにある場合は、同じテナンシ内のLPG (VCN)を使用したローカル・ピアリングのポリシーを使用します。

VCNが異なるテナンシにある場合は、異なるテナンシ内のLPG (VCN)を使用したローカル・ピアリングのポリシーを使用します。

タスクD: 接続の確立

別のLPGへの接続の手順を参照してください。

タスクE: ルート表の構成

LPGを使用するためのVCNルート表の構成の手順を使用して、タスクB: 情報の共有で指定した他のVCNの情報を使用するようにルート表を構成します。

タスクF: セキュリティ・ルールの構成

LPGを使用するためのセキュリティ・ルールの構成の手順を使用して、タスクB: 情報の共有で指定した他のVCNの情報を使用するようにセキュリティ・ルールを構成します。