Oracle Cloud Infrastructureドキュメント

動的ルーティング・ゲートウェイ(DRG)

このトピックでは、動的ルーティング・ゲートウェイ(DRG)の管理方法について説明します。このトピックでは、動的ルーティング・ゲートウェイDRGという用語は、同じ意味で使用します。コンソールでは動的ルーティング・ゲートウェイという用語を使用しますが、APIでは簡潔にDRGを使用します。

DRGは、次のリソースをアタッチできる仮想ルーターです:

DRGには、次の各タイプの複数のネットワーク・アタッチメントを含めることができます:

  • VCNアタッチメント: 複数のVCNを単一のDRGにアタッチできます。各VCNは、DRGと同じテナンシまたは異なるテナンシに存在できます。
  • RPCアタッチメント: リモート・ピアリング接続を使用して、DRGを他のDRG (他のリージョンのDRGを含む)にピアリングできます。
  • IPSEC_TUNNELアタッチメント: サイト間VPNを使用して、2つ以上のIPSecトンネルをDRGにアタッチし、オンプレミス・ネットワークに接続できます。これは、テナンシ間でも許可されます。
  • VIRTUAL_CIRCUITアタッチメント: 1つ以上のFastConnect仮想回線をDRGにアタッチして、オンプレミス・ネットワークに接続できます。

DRGルート表およびDRGルート・ディストリビューションを作成すると、アタッチメント間でトラフィックをルーティングするルーティング・ポリシーを定義できます。ルートは、これらのアタッチメントを使用して動的にインポートおよびエクスポートできます。ルート表の構成を適用するには、そのルート表がアタッチメントに関連付けられている必要がありますが、関連付けられていないルーティング表が存在することもあります。DRGルート・ディストリビューションは、明示的なタイプ(インポートまたはエクスポート)であり、関連付けられている場所に依存するアクションを継承しません。

動的ルーティング・ゲートウェイの概要

DRGは、オンプレミス・ネットワークとVCN間のトラフィックのパスを提供する仮想ルーターとして機能し、VCN間のトラフィックのルーティングにも使用できます。様々なタイプのアタッチメントを使用して、様々なリージョンおよびテナンシのコンポーネントを使用してカスタム・ネットワーク・トポロジを構築できます。各DRGアタッチメントには、DRGに進入するパケットをネクスト・ホップにルーティングするために使用されるルート表が関連付けられています。静的ルートに加えて、アタッチされたネットワークからのルートは、オプションのインポート・ルート・ディストリビューションを使用してDRGルート表に動的にインポートされます。

DRGおよびDRGアタッチメントの作業

DRGを作成する場合、DRGを配置するコンパートメントを指定する必要があります。DRGをコンパートメントに配置すると、アクセス制御の制限に役立ちます。使用するコンパートメントがわからない場合、通常使用しているVCNと同じコンパートメントにDRGを配置します。詳細は、アクセス制御を参照してください。

オプションとして、DRGにわかりやすい名前を割り当てることができます。一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子をDRGに自動的に割り当てます。詳細は、リソース識別子を参照してください。

DRGを使用するには、他のネットワーク・リソースにアタッチする必要があります。APIでは、アタッチのプロセスにより、独自のOCIDを持つDrgAttachmentオブジェクトが作成されます。DrgAttachmentには、DRGにアタッチされているオブジェクトのタイプを示すタイプ・フィールドがあります。タイプ・フィールドは、次のいずれかの値に設定できます:

  • VCN
  • VIRTUAL_CIRCUIT
  • IPSEC_TUNNEL
  • REMOTE_PEERING_CONNECTION

VCNをDRGにアタッチするには、CreateDrgAttachment操作またはコンソールを使用して、DRGアタッチメント・オブジェクトを明示的に作成します。ネットワーク・オブジェクトを作成(または削除)すると、仮想回線、IPSecトンネルおよびリモート・ピアリング接続のアタッチメントが自動的に作成(および削除)されます。

DRGルート表およびルート・ディストリビューションの作業

DRGに進入するパケットは、そのアタッチメントに割り当てられたDRGルート表のルールを使用してルーティングされます。必要なルーティング・ポリシーに応じて、複数のDRGアタッチメントに同じルート表を割り当てるか、各アタッチメントに専用のルート表を作成できます。

DRGを作成すると、2つのデフォルト・ルート表が作成されます。1つはVCNアタッチメント用で、もう1つは他のすべてのアタッチメント用です。ルート表をアタッチメント・タイプのデフォルト・ルート表として設定すると、代替表を明示的に指定しないかぎり、新しく作成されたそのタイプのアタッチメントにその表が割り当てられます。どのタイプのデフォルトとして指定されているルート表も削除できません。ルート表を削除しようとする前に、アタッチメント・タイプのデフォルト・ルート表としてそのルート表が現在設定されていないことを確認してください。

VCNアタッチメントには2つのルート表があります。1つはDRGに進入するトラフィック用のDRGルーティング表で、もう1つはVCNに進入するトラフィック用のVCNルーティング表です。DRGルート表はDRGに存在し、アタッチメントを介してDRGに進入するパケットをルーティングするために使用されます。VCNルート表は、アタッチメントを介してVCNに進入するパケットをルーティングするために使用されます。VCNルーティング表が定義されていない場合、非表示の暗黙的な表が常にVCN内のすべてのサブネットへの接続を提供します。

動的ルート・インポート・ディストリビューション

ディストリビューションとは、一致基準(OCIDやアタッチメント・タイプなど)およびアクションを含む宣言文のリストです。ルート・ディストリビューションを使用して、ルートをDRGアタッチメントからインポートまたはエクスポートする方法を指定できます。

DRGルート表には、静的ルートと動的ルートの両方が含まれます。静的ルートはAPIを使用して表に挿入され、動的ルートはアタッチメントからインポートされ、インポート・ルート・ディストリビューションを使用して挿入されます。文の基準がアタッチメントで一致すると、DRGにアタッチされているネットワーク・オブジェクトに関連付けられたルートは、含んでいるディストリビューションに割り当てられたDRGルート表に動的にインポートされます。文がディストリビューションから削除されると、DRGルート表からルートが取り下げられます。ルート・ディストリビューションの文は優先度順に評価されます。数値が最も低いと優先度は最も高くなります。文が評価される順序は、インポートするルートのプリファレンス・セットに影響しません。

コンソールでルート・ディストリビューション文を作成するときに、一致タイプが「すべてに一致」の文を作成できます。APIで、一致基準を空のリストに設定して、「すべてに一致」文をエンコードします。

動的ルートはどのようにアタッチメントに到達しますか。

オンプレミス・ネットワークへのルートは、BGPを使用してCPEからIPSecトンネルおよび仮想回線アタッチメントに通知されます。ルートは、接続されたRPCを介して、あるDRG上のRPCアタッチメントから別のDRG上のRPCアタッチメントに動的に伝播されます。VCNの動的ルートには、すべてのサブネットCIDRまたはすべてのVCN CIDRおよびDRGアタッチメントに関連付けられたVCNルート表で構成されているすべての静的ルートCIDRが含まれます。VCNアタッチメントのvcnRouteTypeプロパティによって、サブネットCIDRまたはVCN CIDRがVCNアタッチメントに伝播されるかどうかが決まります。デフォルトの動作ではサブネットCIDRをインポートしますが、この動作はVCNアタッチメントの作成または更新時に変更できます。

動的ルート・エクスポート・ディストリビューション

アタッチメントがDRGルート表に割り当てられると、その表のコンテンツをアタッチメントに動的にエクスポートできます。デフォルトのエクスポート・ルート・ディストリビューションがアタッチメントに割り当てられている場合、アタッチメントに割り当てられたDRGルート表のコンテンツ全体が、アタッチメントに動的にエクスポートされます。アタッチメントへの動的ルート・エクスポートを無効にする場合は、API操作removeExportDrgRouteDistributionを使用して、アタッチメントのexportDrgRouteDistributionIdフィールドをNULLに設定します。VCNアタッチメントへの動的ルート・エクスポートはサポートされていません。

ルート伝播の制限事項

IPSecトンネルまたは仮想回線からインポートされたルートは、エクスポート・ルート・ディストリビューションの構成方法に関係なく、他のIPSecトンネルまたは仮想回線アタッチメントにエクスポートされません。同様に、IPSecトンネルまたは仮想回線アタッチメントを介してDRGに進入するパケットは、IPSecトンネルまたは仮想回線アタッチメントを介して退出できません。IPSecトンネルまたは仮想回線アタッチメントからのパケットがIPSecトンネルまたは仮想回線アタッチメントに送信されるようにルーティングが構成されている場合、パケットはドロップされます。

ECMP

等コスト・マルチパス・ルーティング(ECMP)は、BGPを使用して、複数のFastConnect仮想回線または複数のIPSecトンネル(ただし回線タイプは混在しない)を介したネットワーク・トラフィックのフローベースのロード・バランシングを可能にする機能です。ECMPでは、最大8つの回線間で、ネットワーク・トラフィックのアクティブ/アクティブ・ロード・バランシングおよびフェイルオーバーが可能です。

Oracleでは、プロトコル、宛先IP、ソースIP、宛先ポートおよびソース・ポートを利用して、一貫性のある決定論的アルゴリズムを使用してロード・バランシングの目的でフローを区別します。したがって、使用可能なすべての帯域幅を利用するには、複数のフローが必要です。

ECMPはデフォルトでオフになっており、ルート表単位で有効にできます。Oracleでは、同じルート・プリファレンスを持つルートのみがECMP転送に適格であるとみなされます。詳細は、ルート競合を参照してください。

ルート・ソース

DRGルートは、静的ルートとして、またはVCN、IPSecトンネル、FastConnect仮想回線またはRPCアタッチメントからの動的ルートとして開始します。この起点は、ルートの不変特性であるソースを定義します。APIでは、ソースはDrgRouteRulerouteProvenanceと呼ばれます。

ルートは、RPCアタッチメントを使用してDRG間で伝播されます。

ソースがIPSEC_TUNNELまたはVIRTUAL_CIRCUITのルートは、アタッチメントのエクスポート・ディストリビューションに関係なく、IPSecトンネルまたは仮想回線アタッチメントにエクスポートされません。

DRGへのサブネット・トラフィックのルーティング

基本ルーティング・シナリオでは、VCNのサブネットからDRGにトラフィックを送信します。たとえば、サブネットからオンプレミス・ネットワークにトラフィックを送信する場合は、サブネットのルート表にルールを設定します。ルールの宛先CIDRはオンプレミス・ネットワーク(またはそこにあるサブネット)のCIDRであり、ルールのターゲットはDRGです。詳細は、VCNルート表を参照してください。

必要なIAMポリシー

DRGを使用したVCNのピアリングには、特定のIAM権限が必要です。必要な権限の詳細は、DRGピアリングに関連するIAMポリシーを参照してください。

DRGバージョン

2021年5月17日より前に作成されたDRGは、レガシー・ソフトウェアを使用しており、最新バージョンにアップグレードできます。その後に作成されたDRGには、デフォルトでアップグレードされた機能があります。

次に、アップグレードされたDRGとレガシーDRGの相違点をまとめます:

レガシーDRG:

  • プログラム可能なルート表はありません。すべてのトラフィックがオンプレミスから関連付けられたVCNに転送され、VCNからオンプレミスに転送されるデフォルトのルーティング動作があります。
  • 単一のVCNにアタッチできます。DRGは、RPCを使用したリモートVCNピアリングにのみ使用できます。
  • FastConnectまたはサイト間VPN、あるいはその両方をアタッチできます。これらの接続を使用してアクセスできるのは、ローカル・リージョンのリソースのみです。
  • 同じテナンシ内のリモートDRG-VCNペアを使用したRPC接続をサポートできます。レガシーDRGを使用したリモート・ピアリングについて学習するには、RPCを使用したリモートVCNピアリングを参照してください。

アップグレードされたDRG:

  • デフォルトで2つのルート表があり、後でさらに追加できます。
  • 同じリージョン内で多数のVCNをアタッチできます。ローカルVCNからVCNへのトラフィックは、LPGではなく相互に接続されたDRGを通過できます。詳細は、DRGを介した同じリージョン内のピアリングVCNを参照してください。
  • FastConnectまたはサイト間VPN、あるいはその両方を使用してオンプレミスにアタッチできます。これらの接続を使用して、ローカル・リージョンとリモート・リージョンの両方のリソースにアクセスできます。
  • 同じテナントまたは別のテナンシ内のDRG/VCNペアとのRPC接続をサポートします。アップグレードされたDRGを使用したリモート・ピアリングについて学習するには、DRGを介した様々なリージョンでのVCNのピアリングを参照してください。

この記事の残りの部分は最近更新され、一般的なネットワーキング・シナリオと同様に、アップグレードされたDRGの機能が反映されています。RPCを使用したリモートVCNピアリングは、レガシーDRGに固有の唯一のルーティングまたはピアリング・シナリオです。

DRGをアップグレードする前に

拡張DRG機能を利用するには、DRGをアップグレードします。DRGのアップグレード・プロセスは自動化されていますが、アップグレードを開始するために必要な権限を持っている必要があります。

DRGのアップグレードは、アップグレード・プロセスの開始後にレガシーDRGにロールバックするオプションのない一方向プロセスです。

アップグレード・プロセス中に、すべてのDRGのアタッチメントでトラフィックが停止することが予想されます。各アタッチメントが順番に更新され、アップグレード中の各アタッチメントは強制的にプロビジョニング状態になり、トラフィックは転送されなくなります。冗長接続がある場合、トラフィックは、一方のアップグレード中は他方の回線にフェイルオーバーされます。回線が1つのみの場合は、約20分間停止する可能性があります。オンプレミス接続(FastConnectまたはサイト間VPN)の既存のBGPセッションもリセットされ、その間はアタッチメントおよびサイト間VPN IPSecトンネルもオフラインになります。

たとえば、DRGに2つのFastConnect仮想回線アタッチメントがある場合、一方の仮想回線が最初にアップグレードされ、その接続は破棄されますが、トラフィックは他方の仮想回線を通過できます。その更新が完了すると、アップグレード・プロセスによって2番目の仮想回線アタッチメントがアップグレードされ、完了した仮想回線はオンラインに戻ります。アップグレード・プロセスは、オンプレミス・アタッチメントごとに最大30分継続することが予想されます。

リモート・ピアリング接続は、仮想回線やIPSecトンネル接続のようにリセットする必要がなく、アップグレードに同じ時間はかかりません。

ノート

DRGにアタッチされているコンポーネントでは、アップグレード・プロセス中にトラフィックが停止することが予想されます。Oracleでは、メンテナンス・ウィンドウ中にDRGをアップグレードすることをお薦めします。

DRGのアップグレード・プロセスが完了すると、すべてのサイト間VPN IPSecトンネルがオンラインに戻され、FastConnectおよびサイト間VPNのすべてのBGPセッションが再確立されます。デフォルトでは、アップグレードされたDRGには、2つの自動生成されたDRGルート表とインポート・ルート・ディストリビューションがあり、アタッチメントに対して有効になっています。これらのリソースは、レガシーDRGとの下位互換性のために設計されており、以前のすべての通信が、追加のユーザー操作なしでアップグレード前と同じ方法で再開されます。

DRGをアップグレードする方法の段階的な手順は、DRGのアップグレードを参照してください。

ノート

DRGのアップグレード・プロセスがなんらかの理由でスタックした場合、サービス・リクエストを作成し、チケットを高重大度としてマークします。

シナリオ

ネットワーキング・サービスにおけるDRGの役割と、コンポーネントの一般的な連携方法を理解するのに役立つ詳細なネットワーキング・シナリオが用意されています。

DRGルーティング

ルート競合

同じCIDRを持つ2つのルートが同じDRGルート表で確認された場合、DRGは次の基準を使用して競合を解決します:

  1. 静的ルートは、常に動的ルートよりも優先されます。

    ノート

    同じDRGルート表に同じCIDRを持つ2つの静的ルートを手動で指定することはできませんが、同じCIDRを持つ複数のルートを動的にインポートすることは可能です。
  2. 動的ルート間の競合は、最初にルートのASパスを分析することによって解決されます:
  3. それ以外の場合、ルートをインポートしたアタッチメント・タイプは、そのアタッチメント・タイプに基づいて次の優先度に従って評価されます:
    1. VCN: DRGは、任意だが安定した選択を行います。
    2. VIRTUAL_CIRCUIT: ECMPが無効である場合、DRGは任意だが安定した選択を行います。ECMPが有効である場合、すべてのルートがルート表に追加され、DRGはECMPを使用してルーティングの選択を行います。DRG内でサポートされるECMPの最大幅は8です。
    3. IPSEC_TUNNEL: ECMPが無効である場合、DRGは任意だが安定した選択を行います。ECMPが有効である場合、すべてのルートがルート表に追加され、DRGはECMPを使用してルーティングの選択を行います。DRG内でサポートされるECMPの最大幅は8です。

    4. REMOTE_PEERING_CONNECTION: DRGは、ネットワーク距離が最小のルートを選択します。

      2つのルートが同じネットワーク距離である場合、DRGは最も優先度の高いルート・ソースを持つルートを選択します(STATIC > VCN > VIRTUAL_CIRCUIT> IPSEC_TUNNEL)。

      2つのルートに同じルート・ソースがある場合、DRGは任意だが安定した選択を行います。

  4. 競合するルートが同じタイプのアタッチメントからインポートされた場合、競合は、アタッチメント・タイプに応じて異なる方法で解決されます:
    1. VCNアタッチメント: 2つのVCNアタッチメントから同じCIDRがインポートされた場合、任意だが安定した決定手順を使用して1つのみが選択されます。
    2. VIRTUAL_CIRCUITおよびIPSEC_TUNNELアタッチメント: CIDRが同じでAS_PATHの長さが異なる複数のルートがDRGルート表にインポートされた場合、AS_PATHの長さが最小のルートが選択されます。それ以外の場合は、任意だが安定した決定手順を使用して1つのルートが選択されます。
    3. RPCアタッチメント: 2つのRPCアタッチメントから同じCIDRがインポートされた場合、任意で安定した決定手順を使用してそれらのうちの1つが選択されます。

ルート表のコンテンツをリストすることで、競合解決の結果を確認できます。非推奨のルートは「競合」ステータスでマークされます。

Oracleからオンプレミス・ネットワークへのルートを優先するためのBGPの使用

この項では、BGPのAS_PATH属性を使用して、単一のDRGルート表のコンテキストでルート選択に影響を与える方法について詳細に説明します。

異なるパスのルートが同じ場合、Oracleは、Oracleへの接続の開始に使用されたパスには関係なく、オンプレミス・ネットワークにトラフィックを送信する際に最短のASパスを使用します したがって、非対称ルーティングが許可されます。ここでの非対称ルーティングは、リクエストに対するOracleのレスポンスが、リクエストとは異なるパスに従うことを意味します。たとえば、エッジ・デバイス(顧客構内機器またはCPEとも呼ばれる)の構成方法に応じて、サイト間VPNを経由してリクエストを送信できますが、OracleレスポンスはFastConnectを経由して戻ることができます。ルーティングで対称性を強制的に使用する場合は、応答および接続の開始時にOracleが使用するパスに影響を与えるため、ルートにBGPおよびASパス・プリペンドを使用することをお薦めします。

Oracleは、オンプレミス・ネットワークとVCN間の複数の異なる接続タイプでエッジ・デバイスが同じルートおよびルーティング属性を通知する場合に使用されるパスのプリファレンスを確立するために、ASパス・プリペンドを実装しています。次の表に詳細を示します。他の方法でルーティングに影響を与えないかぎり、同じルートが接続のOracle終端にあるDRGへの複数のパスを経由して通知されるときに、Oracleにより次の順序でパスが優先されます:

Oracleプリファレンス パス Oracleによるパス優先方法の詳細 ルートのASパスの結果
1 FastConnect Oracleは、エッジ・デバイスが通知するルートにASNを追加せず、ASパスの合計長は1になります。 独自のASN
2 BGPルーティングを使用したサイト間VPN Oracleは、エッジ・デバイスがBGPを使用したサイト間VPNを介して通知するすべてのルートに単一のプライベートASNを追加し、ASパスの合計長は2になります。 プライベートASN、独自のASN
3 静的ルーティングを使用したサイト間VPN Oracleは、ユーザーにより指定された静的ルートに3つのプライベートASNを追加します(これらのルートは、サイト間VPNのOracle終端にある動的ルーティング・ゲートウェイ(DRG)に通知されます)。この結果、ASパスの合計長は3になります。 プライベートASN、プライベートASN、プライベートASN

前述の表では、ASパスに単一の自律システム番号を送信することを想定しています。Oracleは、ユーザーが送信する完全なASパスに従います。静的ルーティングを使用し、「独自のASN」に加えて2つ以上の他のASNを含むASパスも送信すると、Oracleのルーティング・プリファレンスが変更される可能性があるため、予期しない動作が発生することがあります。

ポリシーベースのVPN静的ルーティングの動作については前述しましたが、Oracleでは、VPNバックアップでFastConnect接続を使用する場合は、IPSecルートベースのVPNでBGPを使用することもお薦めします。この方法によって、フェイルオーバー動作を完全に制御できます。

その他の関連リンク

コンソールの使用

通常、DRGを使用するには、次の最小ステップを実行する必要があります:

  1. DRGを作成します。
  2. DRGを1つ以上のVCNにアタッチします。FastConnect仮想回線およびサイト間VPN IPSecトンネルを使用して、オンプレミス・ネットワークにDRGをアタッチすることもできます。
  3. DRGにトラフィックを送信する必要がある各サブネットに関連付けられたルート表を更新することで、サブネット・トラフィックをDRGにルーティングします。
DRGの作成
ノート

2021年4月より前に作成されたDRGでは、オンプレミス・ネットワークと複数のVCN間の転送ルーティングを実行したり、VCN間のピアリングを提供することはできません。この機能が必要で、「DRGのアップグレード」ボタンが表示されている場合は、そのボタンをクリックします。DRGをアップグレードすると、既存のすべてのBGPセッションがリセットされ、オンプレミス・ネットワークからのトラフィックが一時的に中断されます。開始後にアップグレードをロールバックすることはできません。DRGのアップグレードを参照してください。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続性」で、「顧客接続性」グループにある「動的ルーティング・ゲートウェイ」をクリックします。

  2. 作業権限を持つコンパートメントを(ページの左側で)選択します。ページが更新されて、そのコンパートメントのリソースのみが表示されます。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
  3. 「動的ルーティング・ゲートウェイの作成」をクリックします。

  4. 次の項目を入力します:

    • コンパートメントに作成: DRGを作成するコンパートメント(現在作業しているコンパートメントと異なる可能性があります)。
    • 名前: DRGのわかりやすい名前。一意にする必要はありません。後で変更できます。機密情報の入力は避けてください。
    • ルート表関連付け: (拡張オプション)特定のVCNルート表をこのゲートウェイに関連付けることができます。ルート表を関連付ける場合、ゲートウェイにはその後、常に関連付けられたルート表が必要です。現在のルート表のルールを変更することも、別のルート表に置き換えることもできます。
    • タグ: (拡張オプション)リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
  5. 「動的ルーティング・ゲートウェイの作成」をクリックします。

新しいDRGが作成され、選択したコンパートメントの「動的ルーティング・ゲートウェイ」ページに表示されます。新しいDRGは、短い間「プロビジョニング中」状態になります。プロビジョニングの完了後にのみ、ネットワークの他の部分に接続できます。

プロビジョニングには、2つのDRGルート表の作成が含まれます。1つは接続されたVCN用のルート表、もう1つは仮想回線やIPSecトンネルなどのその他のリソース用のルート表です。

ノート

作成される2つのデフォルト・ルーティング表は、下位互換性のために、2021年5月より前に作成されたDRGで使用されているものと同じルーティング動作を実装しています。
DRGのアップグレード

2021年6月(またはサンノゼおよびモントリオール・リージョンでは2021年4月)より前に作成されたDRGは、複数のVCNに接続したり、クロステナンシ・ピアリング・シナリオで使用したり、内部ルーティング・ポリシーを変更する前にアップグレードする必要があります。このアップグレード・プロセスでは、DRGのOCIDは変更されません。詳細は、DRGをアップグレードする前にを確認してください。

ノート

DRGの変更をロールバックすることはできません。DRGをアップグレードすると、サイト間VPNFastConnectの両方で既存のBGPセッションがリセットされます。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続性」で、「顧客接続性」グループにある「動的ルーティング・ゲートウェイ」をクリックします。

  2. アップグレードするDRGをクリックします。
  3. 「DRGのアップグレード」をクリックします。
  4. アクションを元に戻せないことを示すメッセージが表示されます。「DRGのアップグレード」をクリックします。
  5. アップグレードはバックグラウンドで実行されます。アップグレードの実行中は、引き続き構成設定を行うことができます。アップグレードが完了すると、通知されます。
  6. アップグレードが終了したら、ページをリフレッシュして新しいDRG機能にアクセスします。「ページのリフレッシュ」をクリックします。
DRGの名前の更新

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続性」で、「顧客接続性」グループにある「動的ルーティング・ゲートウェイ」をクリックします。

  2. 更新するDRGをクリックします。
  3. 「編集」をクリックします。
  4. 表示名を編集します。機密情報の入力は避けてください。
  5. 「変更の保存」をクリックします。
DRGへのVCNのアタッチ
ノート

DRGは多くのVCNにアタッチできますが、VCNは一度に1つのDRGにのみアタッチできます。アタッチメントはVCNを保持するコンパートメントに自動的に作成されます。VCNは、DRGと同じコンパートメントに存在する必要はありません。

場合によっては、ローカル・ピアリング・ゲートウェイではなく単一のDRGを使用して、同じリージョン内のVCNを接続するように選択できます。未変更のままにした場合、DRGのデフォルト・ルーティング・ポリシーにより、アタッチされているすべてのVCN間でトラフィックをルーティングできます。

別のテナンシのVCNにDRGをアタッチする場合、DRGピアリングに関連するIAMポリシーの説明に従って、両方のテナンシにIAM構成が必要です。

次の手順では、DRGに移動して、アタッチするVCNを選択します。かわりに、VCNに移動して、アタッチするするDRGを選択することもできます。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続性」で、「顧客接続性」グループにある「動的ルーティング・ゲートウェイ」をクリックします。

  2. VCNにアタッチするDRGをクリックします。
  3. 「リソース」で、「仮想クラウド・ネットワーク・アタッチメント」をクリックします。
  4. 「仮想クラウド・ネットワーク・アタッチメントの作成」をクリックします。
    • (オプション)アタッチメント・ポイントにわかりやすい名前を付けます。名前を指定しない場合、自動的に作成されます。
    • リストからVCNを選択します。「コンパートメントの変更」をクリックして、DRGにアタッチするVCNを含む別のコンパートメントを選択し、リストからVCNを選択することもできます。
  5. (オプション)転送ルーティング用の高度なシナリオを設定している場合は、VCNルート表をDRGアタッチメントに関連付けることができます(これは後から実行できます):
    1. 「拡張オプションの表示」をクリックします。
    2. 「VCNルート表」タブをクリックします。
    3. DRGのVCNアタッチメントに関連付けるルート表を選択します。「なし」を選択すると、デフォルトのVCNルート表が使用されます。
  6. 転送ルーティングを使用する予定で、特定のDRGルート表をアタッチメントに関連付ける必要がある場合:
    1. 「拡張オプションの表示」をクリックします。
    2. 「DRGルート表」タブから、既存のDRGルート表を選択します。DRGルート表を作成するにはを参照してください。
  7. (オプション) VCN CIDRをVCNアタッチメントからDRGルート表にインポートするように指定する必要がある場合:
    1. 「拡張オプションの表示」をクリックします。
    2. 「VCNルート・タイプ」タブで、「VCN CIDR」を選択します。

    明示的に「VCN CIDR」を選択しない場合、「サブネットCIDR」が自動的に選択され、サブネットCIDRがVCNアタッチメントからDRGルート表にインポートされます。VCNイングレス・ルート表からのルートは常にインポートされます。

  8. 終了したら、「VCNアタッチメントの作成」をクリックします。

短い間、アタッチメントは「アタッチ中」状態になります。

アタッチメントの準備ができたら、サブネットのルート表にルート・ルールを作成し、サブネット・トラフィックをDRGに転送します。サブネットのトラフィックをDRGにルーティングするにはを参照してください。

VCNアタッチメントの更新
  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。
  2. 更新するアタッチメントを含むDRGをクリックします。
  3. 「リソース」で、「仮想クラウド・ネットワーク・アタッチメント」をクリックします。
  4. 更新するアタッチメントの名前をクリックします。
  5. 「編集」ボタンをクリックします。
  6. アタッチメントの名前を変更します。
  7. (オプション)「拡張オプションの表示」をクリックして、アタッチメントに関連付けられたDRGルート表、VCNルート表またはVCNルート・タイプを変更します。
  8. 終了したら、「変更の保存」をクリックします。
VCNアタッチメントの削除

VCNアタッチメントを削除する方法。

  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。
  2. 削除するアタッチメントを含むDRGをクリックします。
  3. 「リソース」で、「仮想クラウド・ネットワーク・アタッチメント」をクリックします。
  4. 削除するアタッチメントの名前をクリックします。
  5. 「削除」ボタンをクリックします。
  6. アタッチメントを削除することを確認します。「削除」をクリックします。
別のDRGへの仮想回線の移動

FastConnectを設定すると、選択したDRGに仮想回線がアタッチされます。リソースを移動することで、FastConnect仮想回線を別のDRGに移動できます。仮想回線を移動すると、既存のアタッチメントが削除され、そのアタッチメント・タイプに対して新しいDRGのデフォルト・ルート表を使用するアタッチメントが作成されます。

  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。
  2. 接続が存在するコンパートメントを選択してから、詳細を表示する接続をクリックします。
  3. 「リソースの移動」または「編集」をクリックし、変更を行います。仮想回線の名前を変更し、アタッチ先のDRGを変更できます。機密情報の入力は避けてください。
    仮想回線をあるDRGから別のDRGに移動すると、元のDRGアタッチメントが削除され、新しいDRGアタッチメントが作成されます。新しいアタッチメントでは、ターゲットDRGのデフォルト・ルート表がそのアタッチメント・タイプに使用されます。
  4. 「変更の保存」をクリックします。
DRGでのリモート・ピアリング接続の作成

DRGからリモート・ピアリング接続アタッチメントを作成する方法。

各管理者は、自分のVCNのDRGにRPCを作成します。次の手順での「自分」は、管理者(アクセプタまたはリクエスタ)を意味します。

ノート

RPCを作成するために必要なIAMポリシー

管理者にすでに幅広いネットワーク管理者権限がある場合(ネットワーク管理者によるクラウド・ネットワークの管理を参照)、RPCを作成、更新および削除する権限があります。それ以外の場合、RPCAdminsというグループに必要な権限を付与するポリシーの例を次に示します。RPCを作成すると所属するDRGに影響するため、管理者にはDRGを管理する権限が必要であり、2番目のステートメントが必要となります。

Allow group RPCAdmins to manage remote-peering-connections in tenancy
Allow group RPCAdmins to manage drgs in tenancy
  1. コンソールで、RPCを追加するDRGを含むコンパートメントを表示していることを確認します。コンパートメントとアクセス制御の詳細は、アクセス制御を参照してください。
  2. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。
  3. 目的のDRGをクリックします。
  4. 「リソース」で、「リモート・ピアリング接続」をクリックします。
  5. 「リモート・ピアリング接続の作成」をクリックします。
  6. 次を入力します:
    • 名前: RPCのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • コンパートメントに作成: RPCを作成するコンパートメント(現在作業しているコンパートメントと異なる可能性があります)。
  7. 「リモート・ピアリング接続の作成」をクリックします。
    これにより、RPCが作成され、選択したコンパートメントの「リモート・ピアリング接続」ページに表示されます。
  8. 自分がアクセプタである場合は、後でリクエスタに渡すRPCのリージョンおよびOCIDを記録しておきます。
  9. 2つのVCNが異なるテナンシにある場合は、テナンシOCIDを記録します(コンソールのページの下部にあります)。DRGで一致するRPCを作成できるように、他の管理者にOCIDを提供します。
DRGアタッチメントの編集
  1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動して「動的ルーティング・ゲートウェイ」をクリックします。
  2. 編集するアタッチメントを含むDRGの名前をクリックします。
  3. 「リソース」で、編集するアタッチメントのタイプをクリックします。
    • 仮想クラウド・ネットワーク・アタッチメント
    • 仮想回線アタッチメント
    • IPSecトンネル・アタッチメント
    • リモート・ピアリング接続アタッチメント
  4. アタッチメントの名前をクリックします。
  5. 「編集」をクリックします。
  6. 表示される画面で、アタッチメントの名前を変更し、関連付けられたDRGルート表を変更できます。
サブネットのトラフィックをDRGにルーティングするには

DRGにトラフィックを送信する必要のあるVCNサブネットごとに、そのサブネットに関連付けられているVCNルート表にルート・ルールを追加する必要があります。VCNのすべてのサブネットでデフォルト・ルート表が使用される場合は、その1つの表にのみルールを追加する必要があります。

表の別のルールでカバーされないVCN外部のトラフィックをすべてDRGにルーティングする必要がある場合は、次の新しいルールを追加します:

  • ターゲット・タイプ: 動的ルーティング・ゲートウェイ。VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。
  • 宛先CIDRブロック = 0.0.0.0/0。ルールを特定のネットワーク(オンプレミス・ネットワークなど)に制限する場合は、0.0.0.0/0のかわりにそのネットワークのCIDRを使用します。

段階的な手順については、既存のルート表内のルールを更新するにはを参照してください。

DRGルート表を作成するには

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続性」で、「顧客接続性」グループにある「動的ルーティング・ゲートウェイ」をクリックします。

  2. 作業権限を持つコンパートメントを(ページの左側で)選択します。ページが更新されて、そのコンパートメントのリソースのみが表示されます。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
  3. ルート表を作成するDRGをクリックします。
  4. 「リソース」で、「DRGルート表」をクリックします。
  5. 「DRGルート表の作成」をクリックします。

  6. 次の項目を入力します:

    • 名前: (オプション)ルート表のわかりやすい名前。機密情報の入力は避けてください。
    • 宛先CIDR: ルート表には、少なくとも1つの宛先が含まれている必要があります。宛先CIDRを入力するか、インポート・ルート・ディストリビューションを有効にするか、何も入力せずにデフォルトのCIDR 0.0.0.0/32を適用し、すべてのトラフィックを許可できます。
    • ネクスト・ホップ・アタッチメント・タイプ: 静的ルールの目的のターゲットに応じて、「仮想クラウド・ネットワーク」または「リモート・ピアリング接続」を選択します。
    • ネクスト・ホップ・アタッチメント: VCN、仮想回線、IPSecトンネルまたはリモート・ピアリング接続アタッチメントを選択します。
  7. (オプション)次の拡張オプションを選択することもできます:
    • ルート・ディストリビューションのインポートの有効化: このオプションを使用すると、インポート・ルート・ディストリビューションをルート表に割り当てて、BGP通知に基づいて新しいルートを動的に学習できます。
    • ECMPの有効化: 等コスト・マルチパス・ルーティング(ECMP)を有効にすると、複数のパスから同じ宛先に到達できる場合にルーティングの決定を明確化できます。
    • タグ: リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
  8. 「DRGルート表の作成」をクリックします。
DRGルート表のコンテンツの表示

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続性」で、「顧客接続性」グループにある「動的ルーティング・ゲートウェイ」をクリックします。

  2. 作業権限を持つコンパートメントを(ページの左側で)選択します。ページが更新されて、そのコンパートメントのリソースのみが表示されます。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
  3. 表示するルート表があるDRGをクリックします。
  4. 「リソース」で、「DRGルート表」をクリックします。
  5. 表示するルート表の名前をクリックします。
  6. 「すべてのルート・ルールの取得」をクリックします。ルートのリストには、表に挿入された静的ルートと、他のアタッチメントからインポートされてインポート・ルート・ディストリビューションを使用して挿入されたすべての動的ルートの両方が含まれます。

    このページを使用して、DRGに進入するトラフィックのネクスト・ホップ動作を検証およびトラブルシューティングできます。たとえば、この機能を使用して、サイト間VPN IPSecトンネルまたはFastConnect仮想回線を介して受信されたルートを検証することで、オンプレミスを宛先とするトラフィックの動作を確認します。

  7. 終了したら、「閉じる」をクリックします。
VCNルート表を既存のDRGアタッチメントに関連付けるには
重要

転送ルーティング用の拡張シナリオを設定している場合のみ、このタスクを実行します。ハブVCN内の転送ルーティングおよびOracleサービスへのプライベート・アクセスを参照してください。

DRGアタッチメントには常にルート表が関連付けられますが、異なるルート表の関連付け、表のルールの編集、一部またはすべてのルールの削除を行うことができます。

前提条件: DRGがすでにアタッチされているVCNには、ルート表が必要です。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続性」で、「顧客接続性」グループにある「動的ルーティング・ゲートウェイ」をクリックします。

  2. アタッチメントで使用するルート表があるVCNにアタッチされているDRGをクリックします。

  3. 「アクション」メニューをクリックし、次のいずれかをクリックします:

    • ルート表の関連付け: DRGアタッチメントにまだルート表が関連付けられていない場合。
    • 異なるルート表の関連付け: DRGアタッチメントに関連付けられているルート表を変更する場合。
  4. ルート表を選択します。
  5. 「ルート表の関連付け」をクリックします。

これで、ルート表がDRGアタッチメントに関連付けられました。

DRGルート表に静的ルールを追加するには

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続性」で、「顧客接続性」グループにある「動的ルーティング・ゲートウェイ」をクリックします。

  2. 目的のDRGをクリックします。
  3. 「リソース」で、「ルート表」をクリックします。
  4. 目的のルート表をクリックします。

  5. ルート・ルールを作成する場合は、「ルート・ルールの追加」をクリックして次を入力します:

    • ターゲット・タイプ: VCNのルーティングの概要のターゲット・タイプのリストを参照してください。ターゲット・タイプがDRGの場合は、VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。ターゲットがプライベートIPの場合、ターゲットを指定する前に、プライベートIPのVNICでソース/宛先チェックを無効にする必要があります。詳細は、ルート・ターゲットとしてのプライベートIPの使用を参照してください。
    • 宛先CIDRブロック: ターゲットがサービス・ゲートウェイでない場合のみ。値は、トラフィックの宛先CIDRブロックです。特定の宛先CIDRブロックを指定できます。または、サブネットを退出するすべてのトラフィックをこのルールで指定されたターゲットにルーティングする必要がある場合は、0.0.0.0/0を使用できます。
    • 宛先サービス: ターゲットがサービス・ゲートウェイである場合のみ。値は、目的のサービスCIDRラベルです。
    • コンパートメント: ターゲットが配置されているコンパートメント。
    • ターゲット: ターゲット。ターゲットがプライベートIPの場合、そのOCIDを入力します。または、プライベートIPアドレス自体を入力することもできます。その場合、コンソールによって、対応するOCIDが決定され、それがルート・ルールのターゲットとして使用されます。
    • 説明: ルールのオプションの説明。
  6. 既存のルールを削除する場合は、「アクション」メニューをクリックして、「削除」をクリックします。
  7. 既存のルールを編集する場合は、「アクション」メニューをクリックして、「編集」をクリックします。
DRGにIPSec接続をアタッチするには

このプロセスは、サイト間VPN接続の作成時に必要であり、タスク2c: DRGのVCNへのアタッチに記載されています

DRGを削除するには

前提条件:

  • DRGは、現在、VCNにアタッチできません。
  • DRGは、現在、サイト間VPNFastConnectまたはリモート・ピアリングを介して別のネットワークに接続できません。
  • DRGをターゲットとしてリストするルート・ルールはありません。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続性」で、「顧客接続性」グループにある「動的ルーティング・ゲートウェイ」をクリックします。

  2. 目的のDRGをクリックします。
  3. 「終了」をクリックします。
  4. プロンプトが表示されたら確認します。

DRGは、削除中の短い間「終了中」状態になります。DRGに含まれるDRGルート表およびDRGルート・ディストリビューションは、同時に削除されます。

DRGのタグを管理するには

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続性」で、「顧客接続性」グループにある「動的ルーティング・ゲートウェイ」をクリックします。

  2. 目的のDRGをクリックします。
  3. 既存のタグを表示または編集するには、「タグ」タブをクリックします。または、「タグの追加」をクリックして新しいタグを追加します。

詳細は、リソース・タグを参照してください。

DRGを別のコンパートメントに移動するには

動的ルーティング・ゲートウェイは、コンパートメント間で移動できます。動的ルーティング・ゲートウェイを新しいコンパートメントに移動すると、固有のポリシーがただちに適用されます。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続性」で、「顧客接続性」グループにある「動的ルーティング・ゲートウェイ」をクリックします。

  2. リストでDRGを検索し、「アクション」メニューをクリックして、「リソースの移動」をクリックします。
  3. リストから宛先コンパートメントを選択します。
  4. 「リソースの移動」をクリックします。

コンパートメントとポリシーを使用したクラウド・ネットワークへのアクセスの制御の詳細は、アクセス制御を参照してください。コンパートメントに関する一般情報は、コンパートメントの管理を参照してください。

APIの使用

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKの詳細は、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

DRGを管理するには、次の操作を使用します:

ルート表操作の詳細は、VCNルート表を参照してください。

制限事項

一部の機能は、リソース相互作用モデルの構造に基づいて実行できるように見えますが、現在、次の機能は許可されていません:

  1. RPC、IPSecトンネルまたは仮想回線アタッチメントの明示的な作成または削除
  2. IPSecトンネルまたは仮想回線アタッチメントのネクスト・ホップを含むDRGルート表の静的ルート
  3. デフォルト以外のエクスポート・ルート・ディストリビューションの使用
  4. VCNアタッチメントへの動的ルート・エクスポート
  5. 3つより多くのDRGルート表を介したルートの伝播
  6. 4つより多くのDRGを介してRPCを経由するルートの伝播