動的ルーティング・ゲートウェイ(DRG)
このトピックでは、動的ルーティング・ゲートウェイ(DRG)の管理方法について説明します。このトピックでは、動的ルーティング・ゲートウェイとDRGという用語は、同じ意味で使用します。コンソールでは動的ルーティング・ゲートウェイという用語を使用しますが、APIでは簡潔にDRGを使用します。
次のいずれか(または両方)を使用して仮想クラウド・ネットワーク(VCN)に既存のオンプレミス・ネットワークを接続する場合、DRGを使用します:
また、あるVCNと異なるリージョンのVCNをピアリングする場合も、DRGを使用します:
Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用して、クラウド・リソースに説明、タグまたはわかりやすい名前を割り当てる場合、機密情報を入力することは避けてください。
動的ルーティング・ゲートウェイの概要
DRGは、VCNとVCNのリージョン外のネットワークとの間のプライベート・トラフィック(つまり、プライベートIPv4アドレスを使用するトラフィック)のパスを提供する仮想ルーターと考えることができます。
たとえば、IPSec VPNまたはOracle Cloud Infrastructure FastConnect (あるいはその両方)を使用して、オンプレミス・ネットワークをVCNに接続する場合、そのプライベートIPv4アドレスのトラフィックは、作成してVCNにアタッチするDRGを経由します。DRGを使用してVCNをオンプレミス・ネットワークに接続するシナリオは、ネットワーキング・シナリオを参照してください。オンプレミス・ネットワークへのルーティングに関する重要な詳細は、オンプレミス・ネットワークへの接続のルーティング詳細を参照してください。
また、VCNを別のリージョンのVCNとピアリングする場合、VCNのDRGが、各リージョンを接続するプライベート・バックボーンを介して他方のVCNにトラフィックをルーティングします(インターネットを横断するトラフィックはありません)。異なるリージョン内にあるVCNの接続の詳細は、リモートVCNピアリング(リージョン間)を参照してください。
DRGおよびDRGアタッチメントの作業
アクセス制御の目的のために、DRGを配置するコンパートメントを指定する必要があります。使用するコンパートメントがわからない場合、DRGをVCNと同じコンパートメントに配置します。詳細は、アクセス制御を参照してください。
オプションとして、DRGにわかりやすい名前を割り当てることができます。一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子をDRGに自動的に割り当てます。詳細は、リソース識別子を参照してください。
DRGはスタンドアロン・オブジェクトです。これを使用するには、VCNにアタッチする必要があります。VCNは一度に1つのDRGにのみアタッチでき、DRGは一度に1つのVCNにのみアタッチできます。DRGをデタッチして、いつでも再アタッチできます。APIでは、アタッチのプロセスにより、独自のOCIDを持つDrgAttachment
オブジェクトが作成されます。DRGをデタッチするには、そのアタッチメント・オブジェクトを削除します。
DRGをアタッチしたら、DRGを使用するようにVCN内のルーティングを更新する必要があります。そうしないと、VCNからのトラフィックはDRGに流れません。サブネットのトラフィックをDRGにルーティングするにはを参照してください。
DRGを削除するには、それがVCNにアタッチされていないか、IPSec VPN、Oracle Cloud Infrastructure FastConnectまたはリモートVCNピアリングを介して別のネットワークに接続されていない必要があります。また、そのDRGをターゲットとしてリストするルート・ルールが存在してはなりません。
保持できるDRGの数の詳細は、サービス制限を参照してください。
DRGへのサブネット・トラフィックのルーティング
基本ルーティング・シナリオでは、VCNのサブネットからDRGにトラフィックを送信します。たとえば、サブネットからオンプレミス・ネットワークにトラフィックを送信する場合は、サブネットのルート表にルールを設定します。ルールの宛先CIDRはオンプレミス・ネットワーク(またはそこにあるサブネット)のCIDRであり、ルールのターゲットはDRGです。詳細は、ルート表を参照してください。
拡張シナリオ: 転送ルーティング
このドキュメントでは、ネットワーキング・サービスを理解するためのいくつかの基本ネットワーキング・シナリオと、一般にコンポーネントがどのように連携するかについて説明します。ネットワーキング・シナリオのシナリオA、BおよびCを参照してください。
シナリオA–Cは、FastConnectまたはVPN接続を介してVCNに接続され、そのVCN内のリソースにのみアクセスするオンプレミス・ネットワークを示しています。
次の拡張ルーティング・シナリオでは、接続されたVCNのリソースに加えてオンプレミス・ネットワークに追加のアクセス権を付与します。トラフィックは、オンプレミス・ネットワークからVCNに移動し、VCNからその宛先に転送されます。次のトピックを参照してください:
- 転送ルーティング: 同じリージョン内の複数のVCNへのアクセス: オンプレミス・ネットワークは、単一のFastConnectプライベート仮想回線またはVPN接続を介して、同じリージョン内の複数のVCNにアクセスできます。VCNはハブアンドスポーク・トポロジで、ハブとして機能するVCNに接続されたオンプレミス・ネットワークを使用します。スポークVCNは、ハブVCNとピアリングされます。
- 転送ルーティング: Oracleサービスへのプライベート・アクセス: オンプレミス・ネットワークは、接続されたVCNおよびVCNのサービス・ゲートウェイを経由して、Oracle Services Network内のOracleサービスにプライベート・アクセスできます。トラフィックはインターネットを経由しません。
転送ルーティング・シナリオでは、VCNにはDRGアタッチメントに関連付けられたルート表があります(通常、ルート表はVCNのサブネットに関連付けられます)。そのルート表により、オンプレミス・ネットワークに接続されたVCNを介してトラフィックのルーティングを管理できます。
DRGをVCNにアタッチする場合は、オプションでルート表をアタッチメントに関連付けることができます。または、DRGアタッチメントがすでにある場合、ルート表をそれに関連付けることができます。ルート表はアタッチされたVCNに属している必要があります。DRGアタッチメントに関連付けられたルート表には、次のいずれかをターゲットとして使用するルールのみを含めることができます:
- アタッチされたVCN上のローカル・ピアリング・ゲートウェイ(LPG)
- アタッチされたVCN上のサービス・ゲートウェイ
- アタッチされたVCN上のプライベートIP
DRGアタッチメントは、ルート表が関連付けられていない状態でも存在できます。ただし、ルート表をDRGアタッチメントに関連付けた後は、常にルート表が関連付けられている必要があります。ただし、異なるルート表を関連付けることもできます。表のルールの編集や、ルールの一部またはすべての削除も可能です。
必要なIAMポリシー
Oracle Cloud Infrastructureを使用するには、管理者が記述するポリシー で、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどれを使用しているかにかかわらず、必要なアクセスのタイプを付与されている必要があります。アクションを実行しようとしたときに、権限がない、または認可されていないというメッセージが表示された場合は、付与されているアクセスのタイプと作業するコンパートメントを管理者に確認してください。
管理者用: ネットワーキングに対するIAMポリシーを参照してください。
コンソールの使用
通常、DRGを使用するには、次のステップを実行する必要があります:
- DRGを作成します。
- DRGをVCNにアタッチします。
- サブネット・トラフィックをDRGにルーティングします。これには、DRGにトラフィックを送信する必要がある各サブネットに関連付けられたルート表の更新が含まれます。すべてのサブネットでVCNのデフォルト・ルート表が使用される場合、その1つの表のみを更新する必要があります。
-
ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。
- 作業権限を持つコンパートメントを(ページの左側で)選択します。ページが更新されて、そのコンパートメントのリソースのみが表示されます。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
- 「動的ルーティング・ゲートウェイの作成」をクリックします。
-
次の項目を入力します:
- コンパートメントで作成: DRGを作成するコンパートメント(現在作業しているコンパートメントと異なる場合)。
- 名前: DRGのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
- タグ: リソースの作成権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用すべきかわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
- 「動的ルーティング・ゲートウェイの作成」をクリックします。
リソースが作成され、選択したコンパートメントの「動的ルーティング・ゲートウェイ」ページに表示されます。これは、短い間「プロビジョニング」状態になります。プロビジョニングの完了後にのみ、ネットワークの他の部分に接続できます。
-
ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。
- 目的のDRGをクリックします。
- 「編集」をクリックします。
- 名前を編集して、「変更の保存」をクリックします。
ノート: VCNは一度に1つのDRGにのみアタッチでき、DRGは一度に1つのVCNにのみアタッチできます。アタッチメントはVCNを保持するコンパートメントに自動的に作成されます。
次の手順では、DRGに移動して、アタッチするVCNを選択します。かわりに、VCNに移動して、アタッチするするDRGを選択することもできます。
-
ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。
- アタッチするDRGをクリックします。
- 「リソース」で、「仮想クラウド・ネットワーク」をクリックします。作業しているコンパートメントとは異なるコンパートメントのVCNにDRGをアタッチする場合は、ページの左側にあるリストからそのコンパートメントを選択します。
- 「仮想クラウド・ネットワークへのアタッチ」をクリックします。
- VCNを選択します。
- (オプション)転送ルーティング用の拡張シナリオを設定する場合にのみ、ルート表をDRGアタッチメントに関連付けることができます(これは必要に応じて後から実行できます):
- 「拡張オプションの表示」をクリックします。
- DRGアタッチメントに関連付けるルート表を選択します。
- 「仮想クラウド・ネットワークへのアタッチ」をクリックします。
準備完了の前の短い間、アタッチメントは「アタッチ中」状態になります。
準備が完了したら、このDRGにサブネット・トラフィックを送信するルート・ルールを作成してください。サブネットのトラフィックをDRGにルーティングするにはを参照してください。
DRGにトラフィックを送信する必要のあるサブネットごとに、そのサブネットに関連付けられているルート表にルート・ルールを追加する必要があります。VCNのすべてのサブネットでデフォルト・ルート表が使用される場合は、その1つの表にのみルールを追加する必要があります。
表内の別のルールでカバーされないVCN外部のトラフィックをすべてDRGにルーティングする必要がある場合は、次の新しいルールを追加します:
- ターゲット・タイプ: 動的ルーティング・ゲートウェイ。VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。
- 宛先CIDRブロック = 0.0.0.0/0。ルールを特定のネットワーク(オンプレミス・ネットワークなど)に制限する場合は、0.0.0.0/0のかわりにそのネットワークのCIDRを使用します。
段階的な手順については、既存のルート表内のルールを更新するにはを参照してください。
転送ルーティング用の拡張シナリオを設定している場合のみ、このタスクを実行します。転送ルーティング: 同じリージョン内の複数のVCNへのアクセスおよび転送ルーティング: Oracleサービスへのプライベート・アクセスを参照してください。
DRGアタッチメントは、ルート表が関連付けられていない状態でも存在できます。ただし、ルート表をDRGアタッチメントに関連付けた後は、常にルート表が関連付けられている必要があります。ただし、異なるルート表を関連付けることもできます。表のルールの編集や、ルールの一部またはすべての削除も可能です。
前提条件: ルート表が存在し、DRGがすでにアタッチされているVCNに属している必要があります。
-
ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。
- ルート表があるVCNにアタッチされているDRGをクリックします。
-
「アクション」アイコン(3つのドット)をクリックし、次のいずれかをクリックします:
- ルート表の関連付け: DRGアタッチメントにまだルート表が関連付けられていない場合。
- 異なるルート表の関連付け: DRGアタッチメントに関連付けられているルート表を変更する場合。
- ルート表を選択します。
- 「ルート表の関連付け」をクリックします。
ルート表がDRGアタッチメントに関連付けられます。
ノート: DRGをVCNからデタッチする前に、DRGにトラフィックをルーティングするルート・ルールを削除する必要はありません。
-
ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。
- デタッチするDRGをクリックします。
- 「リソース」で、「仮想クラウド・ネットワーク」をクリックして、DRGがアタッチされているVCNを参照します。VCNが、作業しているコンパートメントとは異なるコンパートメントにある場合は、ページの左側にあるリストからそのコンパートメントを選択します。
- 「アクション」アイコン(3つのドット)をクリックし、「デタッチ」をクリックします。
- プロンプトが表示されたら確認します。
短い間、アタッチメントは「デタッチ中」状態になります。
前提条件:
- DRGはVCNにアタッチされていない必要があります。
- DRGはIPSec VPN、FastConnectまたはリモートVCNピアリングを介して別のネットワークに接続されていない必要があります。
- DRGをターゲットとしてリストするルート・ルールが存在してはなりません。
-
ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。
- 目的のDRGをクリックします。
- 「終了」をクリックします。
- プロンプトが表示されたら確認します。
削除中の短い間、DRGは「終了中」状態になります。
-
ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。
- 目的のDRGをクリックします。
- 既存のタグを表示または編集するには、「タグ」タブをクリックします。または、「タグの追加」をクリックして新しいタグを追加します。
詳細は、リソース・タグを参照してください。
動的ルーティング・ゲートウェイは、コンパートメント間で移動できます。動的ルーティング・ゲートウェイを新しいコンパートメントに移動すると、固有のポリシーがただちに適用されます。
-
ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。
- 目的のDRGをクリックします。
- リストでDRGを検索し、「アクション」アイコン(3つのドット)をクリックして、「リソースの移動」をクリックします。
- リストから宛先コンパートメントを選択します。
- 「リソースの移動」をクリックします。
コンパートメントとポリシーを使用したクラウド・ネットワークへのアクセスの制御の詳細は、アクセス制御を参照してください。コンパートメントに関する一般情報は、コンパートメントの管理を参照してください。
APIの使用
APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKの詳細は、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。
DRGを管理するには、次の操作を使用します:
- ListDrgs
- CreateDrg
- GetDrg
- UpdateDrg
- DeleteDrg
- ChangeDrgCompartment
- ListDrgAttachments
- CreateDrgAttachment: DRGをVCNにアタッチし、独自のOCIDを持つ
DrgAttachment
オブジェクトを生成します。転送ルーティングと呼ばれる拡張ルーティング・シナリオを設定する場合は、オプションでルート表を指定できます。 - GetDrgAttachment
- UpdateDrgAttachment: 特に、ルート表を転送ルーティング用の既存のDRGアタッチメントに関連付けます。
- DeleteDrgAttachment:
DrgAttachment
を削除することで、DRGをVCNからデタッチします。
ルート表操作の詳細は、ルート表を参照してください。