VCNルート表とルート・ルールの作業
VCNルート表とルート・ルールについて学習します。
各VCNには、デフォルトのルート表があります。カスタム・ルート表も作成できます。任意のルート表で、ルート・ルールを追加、削除および編集できます。デフォルトでは、各VCNはVCN内のソースと宛先の間でトラフィックを自動的にルーティングします。VCN内でこのルーティング動作に対して明示的なルート・ルールを定義する必要はありませんが、VCN内のサブネット間のトラフィックに対して独自のルート・ルールを定義することで変更できます。たとえば、ファイアウォール・プライベートIPアドレスを相互のIP接頭辞のネクスト・ホップとして定義するVCN内ルート・ルールを定義することで、VCN内の2つのサブネット間のトラフィックをファイアウォールを通過するようにリダイレクトできます。
VCN内の各サブネットは、単一のルート表を使用します。サブネットの作成時に、どのルート表を使用するかを指定できます。指定しない場合、VCNのデフォルト・ルート表が使用されます。いつでもサブネットが使用するルート表を変更できます。VCNにパブリック・サブネットとプライベート・サブネットがある場合(この使用例は、シナリオC: VPNを使用したパブリック・サブネットとプライベート・サブネットを参照)、サブネットのルート・ルールが異なる必要があるため、サブネットに異なるルート表を使用する必要があります。
オプションで、作成時にカスタム・ルート表にわかりやすい名前を割り当てることができます。一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子をルート表に自動的に割り当てます。OCIDsの詳細は、リソース識別子を参照してください。
ルート・ルールでは、宛先CIDRブロックと、そのCIDRに一致するトラフィックのターゲット(ネクスト・ホップ)を指定します。ルート・ルールで許可されるタイプのターゲットは次のとおりです:
- 動的ルーティング・ゲートウェイ(DRG): VCNに接続されたネットワーク(たとえば、サイト間VPNやFastConnectで接続されたオンプレミス・ネットワーク、同じリージョンのピアリングされたVCN、または別のリージョンのピアリングされたVCN)へのプライベート・アクセスを必要とするサブネットの場合。
- インターネット・ゲートウェイ: インターネットへの直接アクセスを必要とするパブリック・サブネットの場合。
- NATゲートウェイ: パブリックIPアドレスを持たないが、インターネットへのアウトバウンド・アクセスを必要とするインスタンスを含むサブネットの場合。
- サービス・ゲートウェイ: オブジェクト・ストレージなどのOracleサービスへのプライベート・アクセスを必要とするサブネットの場合。
- ローカル・ピアリング・ゲートウェイ(LPG): 同じリージョン内のピアリングされたVCNへのプライベート・アクセスを必要とするサブネットの場合。
- プライベートIP: VCNのインスタンスにトラフィックをルーティングする必要があるサブネットの場合。詳細は、ルート・ターゲットとしてのプライベートIPの使用を参照してください。VCNのルーティングの概要も参照してください。
特定のリソースがルート・ルールのターゲットである場合、それを削除することはできません。たとえば、トラフィックがルーティングされているインターネット・ゲートウェイは削除できません。ゲートウェイまたはその他のリソースを削除する前に、そのインターネット・ゲートウェイをターゲットとして持つ(すべてのルート表の)すべてのルールを削除してください。
ルート表にルート・ルールを追加するときに、宛先CIDRブロックとターゲット(およびそのターゲットが存在するコンパートメント)を指定します。例外: ターゲットがサービス・ゲートウェイである場合、宛先CIDRブロックのかわりに、対象サービスのパブリック・エンドポイントを表すOracle提供の文字列を指定します。この方法では、時間の経過とともに変化する可能性のあるサービスのCIDRブロックをすべて把握する必要はありません。
ルールを誤って構成した(たとえば、間違った宛先CIDRブロックを入力した)場合、ルーティングしようとしているネットワーク・トラフィックは、破棄(ブラックホール化)されるか、意図しないターゲットに送信される可能性があります。
ルート表は、コンパートメント間で移動できます。ルート表の移動は、VCNまたはサブネットへのアタッチメントには影響しません。ルート表を新しいコンパートメントに移動すると、固有のポリシーがただちに適用され、ルート表へのアクセスが影響を受けます。詳細は、アクセス制御を参照してください。
VCNのデフォルト・ルート表は削除できません。カスタム・ルート表を削除するには、サブネットまたはゲートウェイ(DRG、LPG、IGW、NGW、SGWなど)に関連付けられていない必要があります。VCNルーティングについてさらに学習するには、OCI Networking in Examples(PDF)の技術概要を参照してください。
適用可能な制限の一覧と制限の引上げをリクエストする手順は、「サービス制限」を参照してください。
ルート表では、次の管理タスクを実行できます。
接続されたDRGにトラフィックを送信する必要があるVCNサブネットごとに、そのサブネットに関連付けられているVCNルート表にルート・ルールを追加する必要があります。VCNのすべてのサブネットでデフォルト・ルート表が使用される場合は、その1つの表にのみルールを追加する必要があります。
表の別のルールでカバーされないVCN外部のトラフィックをすべてDRGにルーティングする必要がある場合は、次の新しいルールを追加します:
- ターゲット・タイプ: 動的ルーティング・ゲートウェイ。VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。
- 宛先CIDRブロック = 0.0.0.0/0。ルールを特定のネットワーク(オンプレミス・ネットワークなど)に制限する場合は、0.0.0.0/0のかわりにそのネットワークのCIDRを使用します。
ステップごとの手順は、VCNルート表のルールの更新を参照してください。
DRGアタッチメントには常にルート表が関連付けられますが、異なるルート表の関連付け、表のルールの編集、一部またはすべてのルールの削除を行うことができます。
前提条件: DRGがすでにアタッチされているVCNには、ルート表が必要です。
-
- アタッチメントで使用するルート表があるVCNにアタッチされているDRGをクリックします。
-
「アクション」メニュー(
)をクリックし、次のいずれかをクリックします:- ルート表の関連付け: DRGアタッチメントにまだルート表が関連付けられていない場合。
- 異なるルート表の関連付け: DRGアタッチメントに関連付けられているルート表を変更する場合。
- ルート表を選択します。
- 「ルート表の関連付け」をクリックします。
これで、ルート表がDRGアタッチメントに関連付けられました。