Oracle Cloud Infrastructureドキュメント

アップグレード済DRGを介したローカルVCNピアリング

このシナリオでは、アップグレードされたDRGへの相互接続を使用して、2つ以上のVCNs間のトラフィックを有効にする方法について説明します。

概要

ローカル・ピアリング接続を使用するかわりに、共通の動的ルーティング・ゲートウェイ(DRG)にアタッチし、VCNおよびDRGルート表に適切な変更を加えることで、同じリージョン内の2つ以上の仮想クラウド・ネットワーク(VCNs)間のプライベート・ネットワーク通信を確立できます。

このシナリオは、アップグレードされたDRGでのみ使用できます。

If you're using the legacy DRG, you can peer two VCNs in the same region using Local Peering Gateways (LPG) as described in the scenario Local VCN Peering using Local Peering Gateways. Peering two VCNs in the same region through a DRG gives you more routing flexibility and simplified management but comes at the cost of microseconds increase in latency because the traffic routes through a virtual router, the DRG.

このサンプル・シナリオでは、2つのVCNがピアリングされます。このシナリオを実装する前に、次を確認してください:

  • VCN-AはDRGにアタッチされていません
  • VCN-BがDRGにアタッチされていません
  • VCN-AおよびVCN-Bによって使用されるCIDRが重複しません

異なるテナンシ内のVCNsのピアリングには、クロステナンシ認可のための追加のIAMポリシーが必要です。必要な権限の詳細は、VCNs間のルーティングのIAMポリシーを参照してください。別のリージョン内のVCNをDRGにアタッチする場合は、「別のテナンシ内のVCNにDRGをアタッチする」のステップを使用します。このシナリオのほとんどのステップは、DRGと両方のVCNsが同じテナンシにあることを前提としています。

ステップ

DRGを使用して同じリージョン内の2つのVCN間にピアリングを設定するための一般的なプロセスを次に示します:

  1. DRGの作成: タスクA: DRGの作成を参照してください。
  2. VCN AのDRGへのアタッチ: タスクB: DRGへのVCN-Aのアタッチを参照してください。
  3. VCN BのDRGへのアタッチ: タスクC: DRGへのVCN-Bのアタッチを参照してください。
  4. VCN BのCIDRを宛先とするトラフィックをDRGに送信するためのVCN Aでのルート表の構成: タスクD: VCN-BのCIDRを宛先とするトラフィックをDRGアタッチメントに送信するためのVCN-Aでのルート表の構成を参照してください。
  5. VCN AのCIDRを宛先とするトラフィックをDRGに送信するためのVCN Bでのルート表の構成: タスクE: VCN-AのCIDRを宛先とするトラフィックをDRGアタッチメントに送信するためのVCN-Bでのルート表の構成を参照してください。
  6. セキュリティ・ルールの更新: 各VCNのセキュリティ・ルールを更新して、ピアリングされたVCNs間のトラフィックを意図したとおりに有効にします。タスクF: セキュリティ・ルールの更新を参照してください。

このページでは、ピアリングされたVCNに関するアクセス制御、セキュリティおよびパフォーマンスへの影響についてまとめます。IAMポリシー、各VCNのルート表、DRGのルート表および各VCNのセキュリティ・リストを使用して、2つのピアリングされたVCNs間のアクセスおよびトラフィックを制御できます。

DRGを介したピアリングのネットワーキング・コンポーネントのサマリー

DRGを介したローカル・ピアリングに必要なネットワーキング・サービス・コンポーネントの概要は次のとおりです:

  • CIDRが重複しない同じリージョン内の2つのVCNs
  • 各ピアVCNにアタッチされた単一のDynamic Routing Gateway (DRG)
  • トラフィックが接続上、および各VCNs内の選択したサブネットとの間のみ(必要な場合)に流れることを可能にするルート・ルールのサポート
  • 他のVCNと通信する必要があるサブネット内のインスタンス間で許可されるトラフィックのタイプを制御するセキュリティ・ルールのサポート

次の図は、これらのコンポーネントを示しています。

この図は、ローカル・ピアリングされた2つのVCNの基本的なレイアウトを示しています。各VCNはローカル・ピアリング・ゲートウェイを持っています。
ノート

特定のVCNは次のリソースにアクセスできます:

  • 他のVCN内のVNIC
  • 転送ルーティングと呼ばれる拡張ルーティング・シナリオがVCNに設定されている場合に、他のVCNにアタッチされているオンプレミス・ネットワーク

Two VCNs interconnected with a DRG can't reach other cloud gateways (such as an internet gateway or NAT gateway) except for transit routing through an LPG.たとえば、前の図でVCN-1にインターネット・ゲートウェイがある場合、VCN-2のインスタンスはそれを使用してインターネット上のエンドポイントにトラフィックを送信できませんでした。ただし、VCN-2は、VCN-1を経由してインターネットからトラフィックを受信することができます。詳細は、VCNピアリングの重要な意味を参照してください。

ローカル・ピアリングの重要な概念

次の概念は、DRGを使用したVCNピアリングの基本およびローカル・ピアリングの確立方法を理解するのに役立ちます。

ピアリング
ピアリングとは、2つのVCNs間の関係で、どちらも同じDRGに接続し、トラフィックを相互にルーティングできます。ローカル・ピアリングローカルという部分は、VCNが同じリージョン内にあることを示します。特定のDRGは、一度に最大300のローカルDRGアタッチメントを持つことができます。
注意

ピアVCNは、重複するCIDRを持つことはできません。
管理者
通常、VCNピアリングは、関連するすべてのVCN管理者およびDRG管理者が同意している場合にのみ実行できます。状況によっては、1人の管理者が、関連するすべてのDRG、VCNおよび関連ポリシーを担当します。
必要なポリシーおよびVCN構成の詳細は、VCNs間のルーティングのためのIAMポリシーを参照してください。
DRGへのルーティング
VCN構成の一環として、各管理者は、VCN間のトラフィック・フローを可能にするようにVCNのルーティングを更新する必要があります。実際には、これはゲートウェイ(インターネット・ゲートウェイ動的ルーティング・ゲートウェイなど)に設定したルーティングと似ています。他のVCNと通信する必要があるサブネットごとに、サブネットのルート表を更新します。ルート・ルールでは、宛先トラフィックのCIDRとDRGをターゲットとして指定します。VCNは、このルールに一致するトラフィックをDRGにルーティングします。このトラフィックは、さらにそこから他のVCN内のネクストのホップにトラフィックをルートします。
次の図で、VCN-1とVCN-2はピアリングされています。サブネットA (10.0.0.15)のインスタンスからのトラフィックのうち、VCN-2 (192.168.0.15)のインスタンスに対して送信されるものは、サブネットAのルート表にあるルールに基づいてDRGにルーティングされます。トラフィックは、そこからVCN-2にルーティングされ、さらにサブネットXの宛先にルーティングされます。このシナリオのDRGでは、デフォルト・ルート表が使用されます。
この図は、一方のVCNから他方にルーティングされるトラフィックのルート表およびパスを示しています。
コールアウト1: サブネットAルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
192.168.0.0/16 DRG
0.0.0.0/0 インターネット・ゲートウェイ
コールアウト2: サブネットXルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
10.0.0.0/16 DRG
セキュリティ・ルール
VCNの各サブネットには、パケット・レベルでサブネットのVNIC内外のトラフィックを制御する1つ以上のセキュリティ・リストがあります。セキュリティ・リストを使用して、他のVCNで許可されるトラフィックのタイプを制御できます。As part of configuring the VCNs, each administrator must decide which subnets in their own VCN need to communicate with VNICs in the other VCN and update their subnet's security lists to match.
ネットワーク・セキュリティ・グループ(NSG)を使用してセキュリティ・ルールを実装する場合、トラフィックのソースまたは宛先として別のNSGを指定するNSG用セキュリティ・ルールを記述できることに注意してください。ただし、2つのNSGは同じVCNに属している必要があります

コンソールでのこのシナリオの設定

タスクA: DRGの作成

A DRG created before May 2021 can't perform routing between on-premises networks and several VCNs, or provide local peering between VCNs.この機能が必要で、「DRGのアップグレード」ボタンが表示されている場合は、そのボタンを選択します。

ノート

「DRGのアップグレード」ボタンを選択すると、既存のすべてのBGPセッションもリセットされ、DRGのアップグレード中はオンプレミス・ネットワークからのトラフィックも一時的に中断します。アップグレードはロールバックできないことに注意してください。

If you reate a DRG in the same region as the VCNs you want to peer, using the steps in Creating a DRG.

タスクB: DRGへのVCN-Aのアタッチ
ノート

アップグレードされたDRGは多くのVCNにアタッチできますが、VCNは一度に1つのDRGにのみアタッチできます。アタッチメントはVCNを保持するコンパートメントに自動的に作成されます。VCNは、アップグレードされたDRGと同じコンパートメントまたはテナンシ内に存在する必要はありません。

同じリージョン内の複数のVPNと同じDRGに接続し、DRGルーティング表を適切に構成した場合、ネットワーク設計全体からローカル・ピアリング接続を排除できます。

異なるテナンシ内のVCNsのピアリングには、クロステナンシ認可のための追加のIAMポリシーが必要です。必要な権限の詳細は、VCNs間のルーティングのIAMポリシーを参照してください。別のリージョン内のVCNをDRGにアタッチする場合は、「別のテナンシ内のVCNにDRGをアタッチする」のステップを使用します。

タスクAで作成したDRGにVCN-Aをアタッチします。DRGをVCNにアタッチするか、DRGにVCNをアタッチできます。

タスクC: DRGへのVCN-Bのアタッチ
ノート

DRGは多くのVCNにアタッチできますが、VCNは一度に1つのDRGにのみアタッチできます。アタッチメントはVCNを保持するコンパートメントに自動的に作成されます。VCNはDRGと同じコンパートメントにある必要はありません。

同じリージョン内の複数のVPNと同じDRGに接続し、DRGルーティング表を適切に構成した場合、ネットワーク設計全体からローカル・ピアリング接続を排除できます。

異なるテナンシ内のVCNsのピアリングには、クロステナンシ認可のための追加のIAMポリシーが必要です。必要な権限の詳細は、VCNs間のルーティングのIAMポリシーを参照してください。別のリージョン内のVCNをDRGにアタッチする場合は、「別のテナンシ内のVCNにDRGをアタッチする」のステップを使用します。

タスクAで作成したDRGにVCN-Bをアタッチします。DRGをVCNにアタッチするか、DRGにVCNをアタッチできます。

タスクD: VCN-BのCIDRを宛先とするトラフィックをDRGアタッチメントに送信するためのVCN-Aでのルート表の構成

前述のように、各管理者はVCNがDRGにアタッチされる前後にこのタスクを実行できます。

前提条件: 各管理者には、他のVCNのCIDRブロック、またはそのVCN内の特定のサブネットが必要です。

VCN-Aの場合、VCN-A内のどのサブネットがVCN-Bと通信する必要があるかを決定し、それらの各サブネットのルート表を更新して、他のVCNのCIDRを宛先とするトラフィックをDRGに送信する新しいルールを含めます。次の設定を使用します。

  • ターゲット・タイプ: 動的ルーティング・ゲートウェイ。
  • 接続先CIDRブロック: VCN-BのCIDRブロック。必要に応じて、VCN-BのCIDRの任意のサブネットまたは特定のサブセットを指定できます。
  • ターゲット・コンパートメント:現在のコンパートメントでない場合は、他のVCNを含むコンパートメント。
  • ターゲット:タスクAで作成されたDRG。
  • 説明: ルールのオプションの説明。

ルールに一致する宛先のサブネット・トラフィックが、DRGにルーティングされます。ルート・ルールの設定の詳細は、VCNルート表を参照してください。

今後、ピアリストが不要になってピアリング関係を終了する場合は、他方VCNを指定しているVCN内のすべてのルート・ルールを最初に削除してください。

ヒント

必要なルーティングがない場合、トラフィックはピアリングされたVCN間を流れません。ピアリング関係を一時的に停止する必要がある状況が発生した場合は、トラフィックを有効にするルート・ルールを削除します。
タスクE: VCN-AのCIDRを宛先とするトラフィックをDRGアタッチメントに送信するためのVCN-Bでのルート表の構成

前述のように、各管理者はVCNがDRGにアタッチされる前後にこのタスクを実行できます。

前提条件: 各管理者には、他のVCNのCIDRブロックまたは特定のサブネットが必要です。

VCN-Bの場合、VCN-B内のどのサブネットがVCN-Aと通信する必要があるかを決定し、それらの各サブネットのルート表を更新して、他のVCNのCIDRを宛先とするトラフィックをDRGに送信する新しいルールを含めます。次の設定を使用します。

  • ターゲット・タイプ: 動的ルーティング・ゲートウェイ。
  • 接続先CIDRブロック: VCN-AのCIDRブロック。必要に応じて、VCN AのCIDRブロックの任意のサブネットまたは特定のサブセットを指定できます。
  • ターゲット・コンパートメント:現在のコンパートメントでない場合は、他のVCNを含むコンパートメント。
  • ターゲット:タスクAで作成されたDRG。
  • 説明: ルールのオプションの説明。

ルールに一致する宛先のサブネット・トラフィックが、DRGにルーティングされます。ルート・ルールの設定の詳細は、VCNルート表を参照してください。

後からピアリングが不要になってピアリング関係を終了する場合は、他方VCNをターゲットとして指定しているVCN内のすべてのルート・ルールを削除します。

ヒント

必要なルーティングがない場合、トラフィックはピアリングされたVCN間を流れません。ピアリングを一時的に停止する必要がある場合は、トラフィックを有効にするルート・ルールを削除できます。
タスクF: セキュリティ・ルールの更新

前述のように、各管理者は接続の確立前後にこのタスクを実行できます。

前提条件: 各管理者には、他のVCNのCIDRブロックまたは特定のサブネットが必要です。通常は、タスクE: ルート表の構成にあるルート表のルールで使用したものと同じCIDRブロックを使用します。

次のルールを追加します。

  • 他のVCNのCIDRまたは特定のサブネットから許可するトラフィックのタイプのイングレス・ルール。
  • ローカルVCNから他のVCNへの送信トラフィックを許可するためのエグレス・ルール。サブネットに、すべての宛先(0.0.0.0/0)へのすべてのタイプのプロトコルに対応する広範囲のエグレス・ルールがすでにある場合は、他方のVCN用に特別なルールを追加する必要はありません。
ノート

次の手順ではセキュリティ・リストを使用しますが、かわりにネットワーク・セキュリティ・グループにセキュリティ・ルールを実装し、サブネットのリソースをそのNSGに作成することもできます。

各VCNについて、ローカルVCN内のどのサブネットが他のVCNと通信する必要があるかを決定し、各サブネットのセキュリティ・リストを更新して、目的の(他方のVCNのCIDRブロックまたはサブネットを使用する)エグレス・トラフィックまたはイングレス・トラフィックを許可するルールを含めます

他のVCNのCIDRからのイングレスHTTPS (ポート443)トラフィックを許可するステートフル・ルールを追加するには、次の設定を使用してそのルールを実装します:

  • 「ステートレス」チェック・ボックスは選択を解除したままにします。
  • ソース・タイプ: 「CIDR」のままにします。
  • ソースCIDR:ルート・ルールで使用するのと同じCIDRブロックを入力します(「タスクD」または「タスクE」を参照)。
  • IPプロトコル: TCPのままにします。
  • ソース・ポート範囲: 「すべて」のままにします。
  • 宛先ポート範囲: 443と入力します。
  • 説明: ルールのオプションの説明。

セキュリティ・ルールの詳細は、セキュリティ・ルールを参照してください。