ローカル・ピアリング・ゲートウェイを使用したローカルVCNピアリング
このトピックでは、ローカルVCNピアリングについて説明します。この場合、ローカルとは、VCNsが同じリージョン内に存在することを意味します。VCNが異なるリージョンにある場合は、レガシーDRGを使用したリモートVCNピアリングを参照してください。
ローカル・ピアリング・ゲートウェイはまだサポートされています。このシナリオでは、レガシーDRGを使用していることを前提としています。We recommend routing traffic from one VCN to another through an upgraded DRG as described in Local VCN Peering Through an Upgraded DRG.
ローカルVCNピアリングの概要
Local VCN peering is the process of connecting two VCNs in the same region so that their resources can communicate using private IP addresses without routing the traffic over the internet or through an on-premises network.VCNsは、同じOracle Cloud Infrastructureテナンシまたは異なるテナンシに配置できます。ピアリングを行わないと、VCNは、別のVCNと通信する必要があるインスタンスに対してインターネット・ゲートウェイおよびパブリックIPアドレスを必要になります。
制限関連の情報については、ゲートウェイの制限およびサービス制限の引上げのリクエストを参照してください。
詳細は、他のVCNへのアクセス: ピアリングを参照してください。
LPGを使用したピアリングのネットワーキング・コンポーネントのサマリー
ローカル・ピアリングに必要なネットワーキング・サービス・コンポーネントの概要は次のとおりです:
- CIDRが重複しない同じリージョン内の2つのVCNs
- ピアリング関係の各VCN上のローカル・ピアリング・ゲートウェイ(LPG)
- 2つのLPG間の接続
- トラフィックが接続上、および各VCNs内の選択したサブネットとの間のみ(必要な場合)に流れることを可能にするルート・ルール。
- 他のVCNと通信する必要があるサブネット内のインスタンスとの間で許可されるトラフィックのタイプを制御する、セキュリティ・ルール。
次の図は、これらのコンポーネントを示しています。
VCNでは、ピアリングされたLPGを使用して次のリソースにアクセスできます:
- 他のVCN内のVNIC
- 転送ルーティングと呼ばれる拡張ルーティング・シナリオがVCNに設定されている場合に、他のVCNにアタッチされているオンプレミス・ネットワーク
VCNは、ピアリングされたVCNを使用して、VCN外部の他の宛先(インターネットなど)に到達することはできません。たとえば、前の図のVCN-1にインターネット・ゲートウェイがあっても、VCN-2のインスタンスはそれを使用してインターネット上のエンドポイントにトラフィックを送信できません。ただし、VCN-2は、VCN-1経由でインターネットからトラフィックを受信できます。詳細は、VCNピアリングの重要な意味を参照してください。
両方の側から必要な明示的合意
ピアリングには、同じ当事者または異なる2つの当事者が所有する2つのVCNが関係します。2つの当事者は、どちらも同じ会社に存在しても、異なる部門に属する場合があります。または、2つの当事者は、完全に異なる会社に属することもあります(サービス・プロバイダ・モデルなど)。
2つのVCNs間のピアリングには、各当事者が独自のVCNのコンパートメントまたはテナンシに対して実装するOracle Cloud Infrastructure Identity and Access Managementポリシーの形式での、両当事者からの明示的な合意が必要です。VCNが異なるテナンシにある場合、各管理者はテナンシOCIDを提供し、ピアリングを有効にする特別なポリシー・ステートメントを用意する必要があります。
拡張シナリオ: 転送ルーティング
The advanced routing scenario called transit routing crfeates communication between an on-premises network and several VCNs over a single Oracle Cloud Infrastructure FastConnect or Site-to-Site VPN.各VCNは、同じリージョンに存在し、ハブ・アンド・スポーク・レイアウトでローカル・ピアリングされる必要があります。シナリオの一部として、ハブとして機能しているVCNには、各LPGに関連付けられたルート表があります(通常、ルート表はVCNのサブネットに関連付けられます)。
LPGを作成するときに、オプションでルート表を関連付けることができます。または、ルート表のない既存のLPGがすでにある場合、ルート表をそれに関連付けることができます。ルート表はLPGのVCNに属している必要があります。LPGに関連付けられたルート表には、ターゲットとしてVCNにアタッチされたDRGを使用するルールのみを含めることができます。また、VCN内のインスタンスへのプライベートIPネクスト・ホップ・ルートをサポートすることもできます。
LPGは、ルート表が関連付けられていない状態でも存在できます。ただし、ルート表をLPGに関連付けた後は、常にルート表が関連付けられている必要があります。ただし、異なるルート表を関連付けることもできます。表のルールの編集や、ルールの一部またはすべての削除も可能です。
ローカル・ピアリングの重要な概念
次の概念は、VCNピアリングの基本およびローカル・ピアリングの確立方法を理解するのに役立ちます。
- ピアリング
- ピアリングは、2つのVCN間の単一のピアリング関係です。Example: If VCN-1 peers with three other VCNs, three peerings exist.ローカル・ピアリングのローカルという部分は、VCNが同じリージョン内にあることを示します。特定のVCNは、一度に最大10個のローカル・ピアリングを持つことができます。
- VCN管理者
- 通常、VCNピアリングは、両方のVCN管理者が同意している場合にのみ実行できます。実際には、2人の管理者が次を行う必要があります:
- アクセプタおよびリクエスタ
- ピアリングに必要なIAMポリシーを実装するには、2人のVCN管理者が1つの管理者をリクエスタとして、もう1人をアクセプタとして指定する必要があります。2つのLPGを接続するリクエストを行うには、リクエスタがリクエスタである必要があります。次に、アクセプタは、アクセプタのコンパートメント内のLPGに接続する権限をリクエスタに付与する特定のIAMポリシーを作成する必要があります。このポリシーがないと、リクエスタの接続リクエストは失敗します。
- ローカル・ピアリング・ゲートウェイ(LPG)
- ローカル・ピアリング・ゲートウェイ(LPG)は、ローカル・ピアリングされたVCNにトラフィックをルーティングするためのVCN上のコンポーネントです。VCN構成の一環として、各管理者は、VCN用のLPGを作成する必要があります。特定のVCNでは、確立されるローカル・ピアリングごとに個別のLPGが必要です(VCNごとに最大で10のLPG)。前の例を続行する場合: VCN-1には、他の3つのVCNとピアリングするための3つのLPGがあります。APIでは、LocalPeeringGatewayはピアリングに関する情報を含むオブジェクトです。後で別のピアリングを確立するためにLPGを再利用することはできません。
- ピアリング接続
- リクエスタがピア(コンソールまたはAPI)にリクエストを行うと、2つのLPGの接続を効率的に要求します。リクエスタには、各LPGを識別する情報(LPGのコンパートメントと名前、またはLPGのOCIDなど)が必要です。各管理者は、コンパートメントまたはテナンシに必要なIAMポリシーを設定する必要があります。
- LPGへのルーティング
- VCN構成の一環として、各管理者は、VCN間のトラフィック・フローを可能にするようにVCNのルーティングを更新する必要があります。実際には、これはゲートウェイ(インターネット・ゲートウェイや動的ルーティング・ゲートウェイなど)に設定したルーティングと類似しています。他のVCNと通信する必要があるサブネットごとに、サブネットのルート表を更新します。ルート・ルールでは、宛先トラフィックのCIDRとLPGをターゲットとして指定します。The LPG routes traffic that matches that rule to the other LPG, which in turn routes the traffic to the next hop in the other VCN.
- セキュリティ・ルール
- VCNの各サブネットには、パケット・レベルでサブネットのVNIC内外のトラフィックを制御する1つ以上のセキュリティ・リストがあります。セキュリティ・リストを使用して、他のVCNで許可されるトラフィックのタイプを制御できます。As part of configuring the VCNs, each administrator must decide which subnets in their own VCN need to communicate with VNICs in the other VCN and update their subnet's security lists to match.
VCNピアリングの重要な意味
まだ参照していない場合は、ピアリングの重要な意味を読んで、ピアリングされたVCNのアクセス制御、セキュリティおよびパフォーマンスに対する重要な影響を理解してください。
ローカル・ピアリングの設定
同じリージョン内の2つのVCN間にピアリングを設定するための一般的なプロセスを次に示します:
- LPGの作成: 各VCN管理者は、独自のVCN用にLPGを作成します。
- 情報の共有: 管理者は基本的な必須情報を共有します。
- 接続に必要なIAMポリシーの設定:管理者は、IAMポリシーを設定して、接続を確立できるようにします。
- 接続の確立: リクエスタは2つのLPGを接続します。
- ルート表の更新:各管理者は、VCNのルート表を更新して、必要に応じてピアリングされたVCNs間のトラフィックを有効にします。
- セキュリティ・ルールの更新:各管理者は、VCNのセキュリティ・ルールを更新して、ピアリングされたVCNs間のトラフィックを必要に応じて有効にします。
管理者は、接続を確立する前に、タスクEおよびFを実行できます。その場合、各管理者は、他のVCNのCIDRブロックまたは特定のサブネットを把握して、タスクBでそれを共有する必要があります。接続の確立後、コンソールでローカルのLPGの詳細を表示して、他のVCNのCIDRブロックを取得します。「ピア通知CIDR」を確認してください。または、APIを使用している場合は、peerAdvertisedCidr
パラメータを参照してください。
また、ステップバイステップ・プロセスを実行する前に、グループなどの一部のIAM設定を構成する必要があります。
ローカル・ピアリング・ゲートウェイの作成の手順を参照してください。LPGに関連するその他のタスクについては、ローカル・ピアリング・ゲートウェイの管理を参照してください。
両方のVCNが同じテナンシにある場合は、同じテナンシ内のLPG (VCNs)を使用したローカル・ピアリングのポリシーを使用します。
VCNsが異なるテナンシにある場合は、異なるテナンシ内のLPG (VCNs)を使用したローカル・ピアリングのポリシーを使用します。
「別のLPGへの接続」の手順を参照してください。LPGに関連するその他のタスクについては、ローカル・ピアリング・ゲートウェイの管理を参照してください。
LPGを使用するためのVCNルート表の構成の手順を使用して、タスクB: 情報の共有から他のVCNの情報を使用するようにルート表を構成します。
LPGを使用するためのセキュリティ・ルールの構成の手順を使用して、タスクB: 情報の共有のその他のVCNの情報を使用するようにセキュリティ・ルールを構成します。