Oracle Cloud Infrastructureドキュメント

動的ルーティング・ゲートウェイ(DRG)

このトピックでは、動的ルーティング・ゲートウェイ(DRG)の管理方法について説明します。このトピックでは、動的ルーティング・ゲートウェイDRGという用語は、同じ意味で使用します。コンソールでは動的ルーティング・ゲートウェイという用語を使用しますが、APIでは簡潔にDRGを使用します。

DRGは、次のリソースをアタッチできる仮想ルーターです。

DRGには、次の各タイプのネットワーク接続を複数含めることができます。

  • VCNアタッチメント:単一のDRGに複数のVCNをアタッチできます。各VCNは、DRGと同じまたは異なるテナンシに配置できます。
  • RPCアタッチメント:リモート・ピアリング接続を使用して、DRGを他のDRG (他のリージョンのDRGを含む)とピアリングできます。
  • IPSEC_TUNNELアタッチメント:サイト間VPNを使用して、複数のIPSecトンネルをDRGにアタッチし、オンプレミス・ネットワークに接続できます。これは、テナンシ間でも許可されます。
  • VIRTUAL_CIRCUITアタッチメント: 1つ以上のFastConnect仮想回線をDRGにアタッチして、オンプレミス・ネットワークに接続できます。

DRGルート表およびDRGルート配布を作成すると、アタッチメント間のトラフィックをルーティングするルーティング・ポリシーを定義できます。ルートは、これらのアタッチメントを介して動的にインポートおよびエクスポートできます。ルート表は、その表の構成を適用するために添付に関連付ける必要がありますが、関連付けられていないルーティング表が存在する可能性があります。DRGルート配布は明示的なタイプ(インポートまたはエクスポート)であり、関連付けられている場所に依存するアクションを継承しません。

動的ルーティング・ゲートウェイの概要

DRGは、オンプレミス・ネットワークとVCN間のトラフィックのパスを提供する仮想ルーターとして機能し、VCN間のトラフィックのルーティングにも使用できます。異なるタイプのアタッチメントを使用すると、異なるリージョンおよびテナンシのコンポーネントを使用してカスタム・ネットワーク・トポロジを構築できます。各DRGアタッチメントには、DRGに入るパケットを次のホップにルーティングするために使用されるルート表が関連付けられています。静的ルートに加えて、アタッチされたネットワークからのルートは、オプションのインポート・ルート配布を使用してDRGルート表に動的にインポートされます。

DRGおよびDRGアタッチメントの作業

DRGを作成する場合、DRGを配置するコンパートメントを指定する必要があります。DRGをコンパートメントに配置すると、アクセス制御の制限に役立ちます。使用するコンパートメントがわからない場合、定期的に使用するVCNと同じコンパートメントにDRGを配置します。詳細は、アクセス制御を参照してください。

オプションとして、DRGにわかりやすい名前を割り当てることができます。一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子をDRGに自動的に割り当てます。詳細は、リソース識別子を参照してください。

DRGを使用するには、他のネットワーク・リソースにアタッチする必要があります。APIでは、アタッチのプロセスにより、独自のOCIDを持つDrgAttachmentオブジェクトが作成されます。DrgAttachmentには、DRGにアタッチされるオブジェクトのタイプを示すタイプ・フィールドがあります。typeフィールドは、次のいずれかの値に設定できます。

  • VCN
  • VIRTUAL_CIRCUIT
  • IPSEC_TUNNEL
  • REMOTE_PEERING_CONNECTION

VCNをDRGにアタッチするには、CreateDrgAttachment操作またはコンソールを使用して、DRGアタッチメント・オブジェクトを明示的に作成します。ネットワーク・オブジェクトを作成(または削除)すると、仮想回線、IPSecトンネルおよびリモート・ピアリング接続のアタッチメントが自動的に作成(および削除)されます。

DRGルート表とルート分散の作業

パケットがDRGに入ると、そのアタッチメントに割り当てられたDRGルート表のルールを使用してルーティングされます。必要なルーティング・ポリシーに応じて、複数のDRGアタッチメントに同じルート表を割り当てることも、アタッチメントごとに専用のルート表を作成することもできます。

DRGを作成すると、デフォルトのルート表(VCNアタッチメント用と他のすべてのアタッチメント用)が作成されます。ルート表が添付タイプのデフォルト・ルート表として設定されている場合は、代替表が明示的に指定されていないかぎり、そのタイプの新規作成された添付に割り当てられます。デフォルトとして指定されたルート表は削除できません。ルート表を削除する前に、そのルート表が添付タイプのデフォルト・ルート表として現在設定されていないことを確認してください。

VCNアタッチメントには、DRGに入るトラフィック用のDRGルーティング表と、VCNに入るトラフィック用のVCNルーティング表があります。DRGルート表はDRGに存在し、アタッチメントを介してDRGに入るパケットをルーティングするために使用されます。VCNルート表は、アタッチメントを介してVCNに入るパケットをルーティングするために使用されます。VCNルーティング表が定義されていない場合、非表示の暗黙的表は常にVCN内のすべてのサブネットへの接続を提供します。

動的ルート・インポート配分

DRGルート表には、静的ルートと動的ルートの両方が含まれます。静的ルートはAPIを使用して表に挿入されますが、動的ルートは添付からインポートされ、インポート・ルート配分を使用して挿入されます。ルート配布のインポートには、OCID別またはタイプ別に特徴付けられた添付のグループ別に個々の添付で一致する文が含まれます。明細書が添付に一致すると、DRGに添付されているネットワーク・オブジェクトに関連付けられているルートが、それを含む配分に割り当てられているDRGルート表に動的にインポートされます。明細書が配分から削除されると、DRGルート表からルートが取り下げられます。一致条件が空の場合、「すべてに一致」が暗黙的に適用されます。ルート配分内の文は優先度順に評価されます。最も小さい番号が最も優先度が高くなります。

ダイナミックルートはどのようにしてアタッチメントに到達しますか。

BGPは、オンプレミス・ネットワークの動的ルートをCPEからDRG over IPSecトンネルおよび仮想回線接続にアドバタイズします。RPCアタッチメントでは、動的ルートはピアDRG RPCのアタッチメントにエクスポートされます。VCNの動的ルートには、すべてのサブネットCIDRと、DRGアタッチメントに関連付けられたVCNルート表に構成されているすべての静的ルートCIDRが含まれます。

動的ルーティング・エクスポート

アタッチメントがDRGルート表に割り当てられると、その表のコンテンツをアタッチメントに動的にエクスポートできます。デフォルトのエクスポート・ルート配布が添付に割り当てられている場合、添付の割り当てられたDRGルート表のコンテンツ全体が添付に動的にエクスポートされます。添付への動的ルート・エクスポートを無効にする場合は、API操作removeExportDrgRouteDistributionを使用して、添付のexportDrgRouteDistributionIdフィールドをNULLに設定します。VCNアタッチメントへの動的ルート・エクスポートはサポートされていません。

ルート伝播の制限事項

IPSecトンネルまたは仮想回線からインポートされたルートは、他のIPSecトンネルまたは仮想回線接続にはエクスポートされません。これは、エクスポート・ルート配布がどのように構成されているかに関係なく当てはまります。同様の手段で、IPSecトンネルまたは仮想回線接続を介してDRGの接続グラフに入るデータプレーンパケットは、IPSecトンネルまたは仮想回線接続を通過できません。IPSEC_TUNNELまたはVIRTUAL_CIRCUITアタッチメントから送信されたパケットがIPSEC_TUNNELまたはVIRTUAL_CIRCUITアタッチメントに送信されるようにルーティングが構成されている場合、パケットはドロップされます。

ECMP

等コスト・マルチパス・ルーティング(ECMP)は、BGPを使用して、複数のFastConnect仮想回線または複数のIPSecトンネル(ただし、回線タイプが混在していない)を介したネットワーク・トラフィックのフローベースのロード・バランシングを可能にする機能です。これにより、アクティブ/アクティブ・ロード・バランシングと、最大8つの回線間のネットワーク・トラフィックのフェイルオーバーが可能になります。

Oracleでは、プロトコル、宛先IP、ソースIP、宛先ポートおよびソース・ポートを使用して、一貫性のある確定的アルゴリズムを使用するロード・バランシングの目的でフローを区別します。したがって、使用可能なすべての帯域幅を利用するには、複数のフローが必要です。

ECMPはデフォルトでオフになっており、ルート表ごとに有効にできます。Oracleでは、同一のルート・プリファレンスを持つルートのみがECMP転送の対象とみなされます。詳細は、ルートの競合を参照してください。

ルート・ソース

DRGルートは、静的ルートとして、またはVCN、IPSecトンネル、FastConnect仮想回線、RPCアタッチメントからの動的ルートとして発生します。この起点は、ルートの不変の特性であるソースを定義します。APIでは、これはDrgRouteRulerouteProvenanceと呼ばれます。

ルートは、RPCアタッチメントを使用してDRG間で伝播されます。

ソースがIPSEC_TUNNELまたはVIRTUAL_CIRCUITのルートは、アタッチメントのエクスポート配布に関係なく、IPSecトンネルまたは仮想回線アタッチメントにエクスポートされません。

DRGへのサブネット・トラフィックのルーティング

基本ルーティング・シナリオでは、VCNのサブネットからDRGにトラフィックを送信します。たとえば、サブネットからオンプレミス・ネットワークにトラフィックを送信する場合は、サブネットのルート表にルールを設定します。ルールの宛先CIDRはオンプレミス・ネットワーク(またはそこにあるサブネット)のCIDRであり、ルールのターゲットはDRGです。詳細は、VCNルート表を参照してください。

必要なIAMポリシー

DRGを使用してVCNをピアリングするには、特定のIAM権限が必要です。必要な権限の詳細は、「DRGピアリングに関連するIAMポリシー」を参照してください。

DRGバージョン

2021年5月17日より前に作成されたDRGはレガシー・ソフトウェアを使用し、最新バージョンにアップグレードできます。その後に作成されたDRGには、デフォルトでアップグレードされた機能があります。

次に、アップグレードされたDRGとレガシーDRGの違いをまとめます。

レガシーDRG:

  • プログラム可能なルート表がありません。デフォルトのルーティング動作では、すべてのトラフィックがオンプレミスから関連するVCNおよびVCNからオンプレミスに転送されます。
  • 単一のVCNにアタッチできます。DRGは、RPCを使用したリモートVCNピアリングにのみ使用できます。
  • FastConnectまたはSite - to - Site VPN (あるいはその両方)をアタッチできます。これらの接続を使用してローカル・リージョンのリソースにのみアクセスできます。
  • 同じテナンシ内のリモートDRG-VCNペアとのRPC接続をサポートできます。

アップグレードされたDRG:

  • 既定では2つのルートテーブルがあり、後でさらに追加できます。
  • 同じリージョン内に多数のVCNをアタッチできます。ローカルVCNからVCNへのトラフィックは、LPGのかわりに相互に接続されたDRGを通過できます。
  • FastConnectまたはSite - to - Site VPN (あるいはその両方)を使用してオンプレミスにアタッチできます。これらの接続を使用して、ローカル・リージョンとリモート・リージョンの両方のリソースにアクセスできます。
  • 同じまたは別のテナンシ内のDRG/VCNペアとのRPC接続をサポートします。

この記事の残りの部分は、一般的なネットワーク・シナリオと同様に、アップグレードされたDRGの機能を反映するように最近更新されました。

シナリオ

ネットワーキング・サービスでのDRGの役割およびコンポーネントの一般的な連携方法を理解するのに役立つ、詳細なネットワーキング・シナリオをいくつか提供しています。

DRGルーティング

ルートの競合

CIDRが同一の複数のルートが同じDRGルート表にインポートされた場合、競合は次の優先度を使用して解決されます。

  1. スタティックルートは、常にダイナミックルートよりも優先順位が高くなります。

    ノート同じCIDRを持つ複数の静的ルート

    を同じDRGルート表に指定することはできません。
  2. 異なるタイプのアタッチメントから競合するルートがインポートされた場合、競合はアタッチメント優先度(VCN、VIRTUAL_CIRCUIT、IPSEC_TUNNEL、RPC)を使用して解決されます。
  3. 競合するルートが同じタイプの添付からインポートされる場合、競合は添付タイプに応じて異なる方法で解決されます。
    1. VCNアタッチメント:同一のCIDRが2つのVCNアタッチメントからインポートされる場合、任意であるが安定した意思決定プロシージャを使用していずれかのみが選択されます。
    2. VIRTUAL_CIRCUITおよびIPSEC_TUNNELアタッチメント: CIDRが同じでAS_PATHの長さが異なる複数のルートがDRGルート表にインポートされる場合、AS_PATHの長さが最も短いルートが選択されます。それ以外の場合は、任意であるが安定した意思決定手順を使用して、1つのルートが選択されます。
    3. RPCアタッチメント:同一のCIDRが2つのRPCアタッチメントからインポートされた場合は、任意の安定した決定手順を使用していずれかが選択されます。

前述の基準に従って、および仮想回線またはIPSecトンネル・ルート・ソースから発生したルートの競合は、オンプレミス環境へのオプションのECMP転送の対象となります。これを使用するには、ルート表でECMPを有効にします。ECMPおよびパケット処理の詳細は、ECMPを参照してください。

ルート表の内容をリストすることで、競合解消の結果を確認できます。

BGPを使用したOracleからオンプレミス・ネットワークへのルートの優先

この項では、BGP AS_PATH属性を使用して単一のDRGルート表のコンテキストでルート選択に影響を与える方法について詳しく説明します。

異なるパスのルートが同じ場合、Oracleは、Oracleへの接続の開始に使用されたパスには関係なく、オンプレミス・ネットワークにトラフィックを送信する際に最短のASパスを使用します。 したがって、非対称ルーティングが許可されます。ここでの非対称ルーティングは、リクエストに対するOracleのレスポンスが、リクエストとは異なるパスに従うことを意味します。たとえば、エッジ・デバイス(顧客構内機器またはCPEとも呼ばれる)の構成方法に応じて、サイト間VPNを経由してリクエストを送信できますが、OracleレスポンスはFastConnectを経由して戻ることができます。ルーティングで対称性を強制的に使用する場合は、応答および接続の開始時にOracleが使用するパスに影響を与えるため、ルートにBGPおよびASパス・プリペンドを使用することをお薦めします。

Oracleは、オンプレミス・ネットワークとVCN間の複数の異なる接続タイプ上でエッジ・デバイスが同じルートおよびルーティング属性を通知する場合に使用されるパスに関するプリファレンスを確立するために、ASパス・プリペンドを実装しています。次の表に詳細を示します。ルーティングに影響を与えない場合は、同じルートが接続のOracle終端にあるDRGへの複数のパスを経由して通知されるときに、Oracleによって次の順序でパスが優先されます:

Oracleプリファレンス パス Oracleによるパス優先方法の詳細 ルートのASパスの結果
1 FastConnect Oracleは、合計ASパス長が1の場合、エッジ・デバイスが通知するルートにASNを追加しません。 独自のASN
2 BGPルーティングを使用したサイト間VPN Oracleは、エッジ・デバイスがサイト間VPNとBGPを介して通知するすべてのルートに単一のプライベートASNを追加します(合計ASパス長は2 )。 プライベートASN、独自のASN
3 スタティックルーティングを使用するSite - to - Site VPN Oracleは、ユーザーが指定した静的ルートに3つのプライベートASNを追加します(これらのルートは、サイト間VPNのOracle終端にある動的ルーティング・ゲートウェイ(DRG)に通知されます)。これにより、ASパスの合計長は3になります。 プライベートASN、プライベートASN、プライベートASN

前述の表では、ASパスに単一の自律システム番号を送信することを前提としています。Oracleでは、送信する完全なASパスが考慮されます。静的ルーティングを使用し、さらに"Your ASN"と他の複数のASNを含むASパスを送信すると、Oracleのルーティング・プリファレンスが変更される可能性があるため、予期しない動作が発生する可能性があります。

ポリシーベースのVPN静的ルーティングの動作については前述のとおりですが、Oracleでは、VPNバックアップでFastConnect接続を使用する場合は、IPSecルートベースのVPNでBGPを使用することをお薦めします。この方法では、フェイルオーバー動作を完全に制御できます。

その他の関連リンク

コンソールの使用

通常、DRGを使用するには、次の最小限のステップを実行する必要があります:

  1. DRGを作成します。
  2. DRGを1つ以上のVCNにアタッチします。FastConnect仮想回線およびSite - to - Site VPN IPSecトンネルを使用して、オンプレミス・ネットワークにDRGをアタッチすることもできます。
  3. DRGにトラフィックを送信する必要がある各サブネットに関連付けられたルート表を更新して、サブネット・トラフィックをDRGにルーティングします。
DRGの作成
ノート

2021年4月より前に作成されたDRGは、オンプレミス・ネットワークと複数のVCN間の転送ルーティングを実行できず、VCN間のピアリングも提供できません。その機能が必要で、「DRGのアップグレード」ボタンが表示されている場合は、それをクリックします。DRGをアップグレードすると、既存のBGPセッションがすべてリセットされ、オンプレミス・ネットワークからのトラフィックが一時的に中断されます。一度起動すると、アップグレードをロールバックすることはできません。DRGのアップグレードを参照してください

  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。

  2. 作業権限を持つコンパートメントを(ページの左側で)選択します。ページが更新されて、そのコンパートメントのリソースのみが表示されます。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
  3. 「動的ルーティング・ゲートウェイの作成」をクリックします。

  4. 次の項目を入力します:

    • コンパートメントで作成: DRGを作成するコンパートメント(現在作業しているコンパートメントと異なる場合があります)。
    • 名前: DRGのわかりやすい名前。一意である必要はありませんが、後で変更できます。機密情報の入力は避けてください。
    • タグ: リソースの作成権限がある場合は、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかわからない場合は、このオプションをスキップするか(後からでもタグを適用できます)、管理者に問い合せてください。
  5. 「動的ルーティング・ゲートウェイの作成」をクリックします。

新しいDRGが作成され、選択したコンパートメントの「動的ルーティング・ゲートウェイ」ページに表示されます。新しいDRGは、短い間「プロビジョニング中」状態になります。プロビジョニングの完了後にのみ、ネットワークの他の部分に接続できます。

プロビジョニングには、2つのDRGルート表(接続されたVCN用のルート表と、仮想回線やIPSecトンネルなどの他のリソース用のルート表)の作成が含まれます。

:作成された2

つのデフォルトルーティングテーブルは、下位互換性のために2021年5月より前に作成されたDRGで使用されたものと同じルーティング動作を実装します。
DRGのアップグレード

2021年6月(またはSan JoseリージョンとMontrealリージョンの2021年4月)より前に作成されたDRGは、複数のVCNに接続したり、クロス・テナンシ・ピアリング・シナリオで使用したり、内部ルーティング・ポリシーを変更する前にアップグレードする必要があります。このアップグレード・プロセスでは、DRGのOCIDは変更されません。

ノートDRGへの変更

はロールバックできません。DRGをアップグレードすると、サイト間VPNFastConnectの両方の既存のBGPセッションがリセットされます。

  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。

  2. アップグレードするDRGをクリックします。
  3. 「DRGのアップグレード」をクリックします。
  4. アクションを元に戻せないことを示すメッセージが表示されます。「DRGのアップグレード」をクリックします。
  5. アップグレードはバックグラウンドで実行されます。アップグレードの実行中に、引き続き構成設定を行うことができます。アップグレードが完了すると、そのように表示されます。
  6. アップグレードが終了したら、ページをリフレッシュして新しいDRG機能にアクセスします。「ページのリフレッシュ」をクリックします。
DRGの名前の更新

  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。

  2. 更新するDRGをクリックします。
  3. 「編集」をクリックします。
  4. 「表示名」を編集します。機密情報の入力は避けてください。
  5. 「変更の保存」をクリックします。
DRGへのVCNのアタッチ
ノート

DRGは多くのVCNにアタッチできますが、VCNは一度に1つのDRGにのみアタッチできます。アタッチメントはVCNを保持するコンパートメントに自動的に作成されます。VCNは、DRGと同じコンパートメント内にある必要はありません。

ローカル・ピアリング・ゲートウェイのかわりに単一のDRGを使用して、同じリージョン内のVCNを接続することもできます。変更しない場合、DRGのデフォルトのルーティング・ポリシーにより、アタッチされているすべてのVCN間でトラフィックをルーティングできます。

DRGを別のテナンシのVCNにアタッチする場合は、「DRGピアリングに関連するIAMポリシー」の説明に従って、両方のテナンシにIAM構成が必要です。

次の手順では、DRGに移動して、アタッチするVCNを選択します。かわりに、VCNに移動して、アタッチするするDRGを選択することもできます。

  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。

  2. VCNにアタッチするDRGをクリックします。
  3. リソース」で、「仮想クラウド・ネットワーク・アタッチメント」をクリックします。
  4. 仮想クラウド・ネットワーク・アタッチメントの作成」をクリックします。
    • (オプション)接続点にわかりやすい名前を付けます。名前を指定しない場合は、名前が作成されます。
    • リストからVCNを選択します。「コンパートメントの変更」をクリックし、DRGにアタッチするVCNを含む別のコンパートメントを選択して、リストからVCNを選択することもできます。
  5. (オプション)転送ルーティング用の拡張シナリオを設定する場合、VCNルート表をDRGアタッチメントに関連付けることができます(これは後で実行できます):
    1. 「拡張オプションの表示」をクリックします。
    2. VCNルート表タブをクリックします。
    3. DRGのVCNアタッチメントに関連付けるルート表を選択します。「なし」を選択すると、デフォルトのVCNルート表が使用されます。
  6. 転送ルーティングを使用する予定で、特定のDRGルート表を添付に関連付ける必要がある場合は、次の手順を実行します。
    1. 「拡張オプションの表示」をクリックします。
    2. 「DRGルート表」タブから、既存のDRGルート表を選択します。DRGルート表を作成するにはを参照してください
  7. 終了したら、「VCNアタッチメントの作成」をクリックします。

短い間、アタッチメントは「アタッチ中」状態になります。

アタッチメントの準備ができたら、サブネット・トラフィックをDRGに送信するサブネットのルート表にルート・ルールを作成します。サブネットのトラフィックをDRGにルーティングするにはを参照してください。

VCNアタッチメントの更新
  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。
  2. 更新する添付があるDRGをクリックします。
  3. リソース」で、「仮想クラウド・ネットワーク・アタッチメント」をクリックします。
  4. 更新する添付の名前をクリックします。
  5. 「編集」ボタンをクリックします。
  6. 添付名を変更します。
  7. (オプション)「 拡張オプションの表示」をクリックして、アタッチメントに関連付けられているDRGルート表またはVCNルート表を変更します。
  8. 完了後、「変更を保存」をクリックします。
VCN添付の削除

VCN添付を削除する方法。

  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。
  2. 削除する添付があるDRGをクリックします。
  3. リソース」で、「仮想クラウド・ネットワーク・アタッチメント」をクリックします。
  4. 削除する添付の名前をクリックします。
  5. 「削除」ボタンをクリックします。
  6. 添付を削除することを確認します。「削除」をクリックします。
別のDRGへの仮想回線の移動

FastConnectを設定すると、選択したDRGに仮想回線がアタッチされます。リソースを移動することで、FastConnect仮想回線を別のDRGに移動できます。仮想回線を移動すると、既存のアタッチメントが削除され、そのアタッチメント・タイプに新しいDRGのデフォルト・ルート表を使用するアタッチメントが作成されます。


  2. 接続が存在するコンパートメントを選択してから、詳細を表示する接続をクリックします。
  3. リソースの移動」または「編集」をクリックし、変更を行います。仮想回線の名前を変更し、アタッチ先のDRGを変更できます。機密情報の入力は避けてください。
    仮想回線をあるDRGから別のDRGに移動すると、元のDRGアタッチメントが削除され、新しいDRGアタッチメントが作成されます。新しいアタッチメントでは、そのアタッチメント・タイプのターゲットDRGのデフォルト・ルート表が使用されます。
  4. 変更の保存」をクリックします。
DRGでのリモート・ピアリング接続の作成

DRGからリモート・ピアリング接続アタッチメントを作成する方法。

各管理者は、自分のVCNのDRGにRPCを作成します。次の手順での「自分」は、管理者(アクセプタまたはリクエスタ)を意味します。

ノート

RPCを作成するために必要なIAMポリシー

管理者にすでに幅広いネットワーク管理者権限がある場合(ネットワーク管理者によるクラウド・ネットワークの管理を参照)、RPCを作成、更新および削除する権限があります。それ以外の場合、RPCAdminsというグループに必要な権限を付与するポリシーの例を次に示します。RPCを作成すると所属するDRGに影響するため、管理者にはDRGを管理する権限が必要であり、2番目のステートメントが必要となります。

Allow group RPCAdmins to manage remote-peering-connections in tenancy
Allow group RPCAdmins to manage drgs in tenancy
  1. コンソールで、RPCを追加するDRGを含むコンパートメントを表示していることを確認します。コンパートメントとアクセス制御の詳細は、アクセス制御を参照してください。

  3. 目的のDRGをクリックします。
  4. 「リソース」で、「リモート・ピアリング接続」をクリックします。
  5. 「リモート・ピアリング接続の作成」をクリックします。
  6. 次を入力します:
    • 名前: RPCのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • コンパートメントで作成: RPCを作成するコンパートメント(現在作業しているコンパートメントと異なる場合があります)。
  7. 「リモート・ピアリング接続の作成」をクリックします。
    これにより、RPCが作成され、選択したコンパートメントの「リモート・ピアリング接続」ページに表示されます。
  8. 自分がアクセプタである場合は、後でリクエスタに渡すRPCのリージョンおよびOCIDを記録しておきます。
  9. 2つのVCNが異なるテナントにある場合は、テナンシOCID (コンソールのページの下部にあります)を記録します。OCIDを他の管理者に付与して、DRGで一致するRPCを作成できるようにします。
DRGアタッチメントの編集

  2. 編集する添付があるDRGの名前をクリックします。
  3. リソース」で、編集する添付のタイプをクリックします。
    • 仮想クラウド・ネットワーク・アタッチメント
    • 仮想回線の接続
    • IPSecトンネル接続
    • リモート・ピアリング接続添付
  4. 添付の名前をクリックします。
  5. 編集」をクリックします。
  6. 表示される画面で、添付の名前を変更し、関連付けられたDRGルート表を変更できます。
サブネットのトラフィックをDRGにルーティングするには

DRGにトラフィックを送信する必要のあるVCNサブネットごとに、そのサブネットに関連付けられているVCNルート表にルート・ルールを追加する必要があります。VCNのすべてのサブネットでデフォルト・ルート表が使用される場合は、その1つの表にのみルールを追加する必要があります。

表内の別のルールでカバーされないVCN以外のトラフィックをすべてDRGにルーティングする必要がある場合は、次の新しいルールを追加します:

  • ターゲット・タイプ: 動的ルーティング・ゲートウェイ。VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。
  • 宛先CIDRブロック = 0.0.0.0/0。ルールを特定のネットワーク(オンプレミス・ネットワークなど)に制限する場合は、0.0.0.0/0のかわりにそのネットワークのCIDRを使用します。

段階的な手順については、既存のルート表内のルールを更新するにはを参照してください。

DRGルート表を作成するには

  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。

  2. 作業権限を持つコンパートメントを(ページの左側で)選択します。ページが更新されて、そのコンパートメントのリソースのみが表示されます。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
  3. ルート表を作成するDRGをクリックします。
  4. リソース」で、「DRGルート表」をクリックします。
  5. 「DRGルート表の作成」をクリックします。

  6. 次の項目を入力します:

    • 名前: (オプション)ルート表のわかりやすい名前。機密情報の入力は避けてください。
    • 宛先CIDR:ルート表には、少なくとも1つの宛先が含まれている必要があります。宛先CIDRを入力するか、ルート配布のインポートを有効にするか、または何も入力せずにデフォルトCIDR 0.0.0.0/32が適用され、すべてのトラフィックが許可されます。
    • Next Hop Attachment Type:静的ルールの目的のターゲットに応じて、「Virtual Cloud Network」または「Remote Peering Connection」を選択します。
    • Next Hop attachment: VCN、仮想回線、IPSecトンネルまたはリモート・ピアリング接続のアタッチメントを選択します。
  7. (オプション)次の詳細オプションも選択できます。
    • ルート配布のインポートの有効化:このオプションを使用すると、BGP通知に基づいて新しいルートが動的に学習されるように、インポート・ルート配布をルート表に割り当てることができます。
    • ECMPの有効化:複数のパスから同じ宛先に到達できる場合にルーティングの決定を明確にするために、等コストのマルチパス・ルーティング(ECMP)を有効にできます。
    • タグ: リソースの作成権限がある場合は、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかわからない場合は、このオプションをスキップするか(後からでもタグを適用できます)、管理者に問い合せてください。
  8. 「DRGルート表の作成」をクリックします。
DRGルート表の内容の表示

  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。

  2. 作業権限を持つコンパートメントを(ページの左側で)選択します。ページが更新されて、そのコンパートメントのリソースのみが表示されます。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
  3. 表示するルート表があるDRGをクリックします。
  4. リソース」で、「DRGルート表」をクリックします。
  5. 表示するルート表の名前をクリックします。
  6. Get All Route Rules」をクリックします。ルートのリストには、表に挿入された静的ルートと、他の添付からインポートされ、インポートされたルート配布を使用して挿入されたすべての動的ルートの両方が含まれます。

    このページを使用して、DRGに入るトラフィックの次のホップ動作を検証およびトラブルシューティングできます。たとえば、この機能を使用して、サイト間VPN IPSecトンネルまたはFastConnect仮想回線経由で受信したルートを検証することで、オンプレミス宛てのトラフィックの動作を確認します。

  7. 完了したら、「閉じる」をクリックします。
VCNルート表を既存のDRGアタッチメントに関連付けるには
重要

転送ルーティング用の拡張シナリオを設定している場合のみ、このタスクを実行します。ハブVCN内での転送ルーティングおよびOracleサービスへのプライベート・アクセスを参照してください。

DRGアタッチメントには常にルート表が関連付けられていますが、のルート表を関連付けたり、表のルールを編集したり、一部またはすべてのルールを削除できます。

前提条件: DRGがすでにアタッチされているVCNにルート表が必要です。

  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。

  2. アタッチメントで使用するルート表があるVCNにアタッチされているDRGをクリックします。

  3. 「アクション」アイコン(3つのドット)をクリックし、次のいずれかをクリックします:

    • ルート表の関連付け: DRGアタッチメントにまだルート表が関連付けられていない場合。
    • 異なるルート表の関連付け: DRGアタッチメントに関連付けられているルート表を変更する場合。
  4. ルート表を選択します。
  5. 「ルート表の関連付け」をクリックします。

ルート表がDRGアタッチメントに関連付けられます。

DRGルート表への静的ルールの追加

  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。

  2. 目的のDRGをクリックします。
  3. 「リソース」で、「ルート表」をクリックします。
  4. 目的のルート表をクリックします。

  5. ルート・ルールを作成する場合は、「ルート・ルールの追加」をクリックして次を入力します:

    • ターゲット・タイプ: VCNのルーティングの概要のターゲット・タイプのリストを参照してください。ターゲット・タイプがDRGの場合は、VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。ターゲットがプライベートIPの場合、ターゲットを指定する前に、まずプライベートIPのVNICでソース/宛先チェックを無効にする必要があります。詳細は、ルート・ターゲットとしてのプライベートIPの使用を参照してください。
    • 宛先CIDRブロック: ターゲットがサービス・ゲートウェイでない場合のみ。値は、トラフィックの宛先CIDRブロックです。0.0.0.0/0の値は、ルート表内の他のルールでカバーされないVCN外部のすべてのトラフィックが、このルールで指定されたターゲットに送信されることを意味します。
    • 宛先サービス: ターゲットがサービス・ゲートウェイである場合のみ。値は、目的のサービスCIDRラベルです。
    • コンパートメント: ターゲットが配置されているコンパートメント。
    • ターゲット: ターゲット。ターゲットがプライベートIPの場合、そのOCIDを入力します。または、プライベートIPアドレス自体を入力することもできます。その場合、コンソールによって、対応するOCIDが決定され、それがルート・ルールのターゲットとして使用されます。
    • 説明: ルールのオプションの説明。
  6. 既存のルールを削除する場合は、「アクション」アイコン(3つのドット)をクリックして、「削除」をクリックします。
  7. 既存のルールを編集する場合は、「アクション」アイコン(3つのドット)をクリックして、「編集」をクリックします。
DRGにIPSec接続をアタッチするには

このプロセスは、サイト間VPN接続の作成時に必要で、「タスク2 c: VCNへのDRGのアタッチ」に記載されています。

DRGをVCNからデタッチするには

ノート: DRGをVCNからデタッチする前に、DRGにトラフィックをルーティングするルート・ルールを削除する必要はありません。

  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。

  2. デタッチするDRGをクリックします。
  3. リソース」で、「仮想クラウド・ネットワーク」をクリックして、DRGがアタッチされているVCNを参照します。VCNが、作業しているコンパートメントとは異なるコンパートメントにある場合は、ページの左側にあるリストからそのコンパートメントを選択します。
  4. 「アクション」アイコン(3つのドット)をクリックし、「デタッチ」をクリックします。
  5. プロンプトが表示されたら確認します。

短い間、アタッチメントは「デタッチ中」状態になります。

DRGを削除するには

前提条件:

  • DRGは現在VCNにアタッチできません。
  • DRGは現在、サイト間VPNFastConnectまたはリモート・ピアリングを介して別のネットワークに接続することはできません。
  • DRGをターゲットとしてリストするルート・ルールが存在できません。

  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。

  2. 目的のDRGをクリックします。
  3. 「終了」をクリックします。
  4. プロンプトが表示されたら確認します。

削除中の短い間、DRGは「終了中」状態になります。DRGルート表およびDRGに含まれるDRGルート配布も一緒に削除されます。

DRGのタグを管理するには

  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。

  2. 目的のDRGをクリックします。
  3. 既存のタグを表示または編集するには、「タグ」タブをクリックします。または、「タグの追加」をクリックして新しいタグを追加します。

詳細は、リソース・タグを参照してください。

DRGを別のコンパートメントに移動するには

動的ルーティング・ゲートウェイは、コンパートメント間で移動できます。動的ルーティング・ゲートウェイを新しいコンパートメントに移動すると、固有のポリシーがただちに適用されます。

  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。

  2. リストでDRGを検索し、「アクション」アイコン(3つのドット)をクリックして、「リソースの移動」をクリックします。
  3. リストから宛先コンパートメントを選択します。
  4. 「リソースの移動」をクリックします。

コンパートメントとポリシーを使用したクラウド・ネットワークへのアクセスの制御の詳細は、アクセス制御を参照してください。コンパートメントに関する一般情報は、コンパートメントの管理を参照してください。

APIの使用

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKの詳細は、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

DRGを管理するには、次の操作を使用します:

ルート表操作の詳細は、VCNルート表を参照してください。

制限事項

一部の関数は、リソース対話モデルの構造に基づいて実行できますが、次の関数は現在使用できません。

  1. RPC、IPSecトンネル、または仮想回線接続の明示的な作成または削除
  2. IPSecトンネルまたは仮想回線接続のネクストホップを使用したDRGルート表の静的ルート
  3. デフォルト以外のエクスポート・ルート配分の使用
  4. VCNアタッチメントへの動的ルート・エクスポート