DRGを介した同じリージョン内のVCNのピアリング

このシナリオでは、アップグレードされたDRGへの相互接続を使用して、VCN間のトラフィックを有効にする方法について説明します。

概要

ローカル・ピアリング接続を使用するかわりに、同じリージョン内の2つ以上の仮想クラウド・ネットワーク(VCN)間でプライベート・ネットワーク通信を確立するには、それらを共通の動的ルーティング・ゲートウェイ(DRG)にアタッチし、VCNおよびDRGルート表に対して適切に調整します。

このシナリオは、アップグレードされたDRGでのみ使用できます。

レガシーDRGを使用している場合は、ローカル・ピアリング・ゲートウェイを使用したローカルVCNピアリングのシナリオの説明に従って、ローカル・ピアリング・ゲートウェイ(LPG)を使用して同じリージョン内の2つのVCNをピアリングできます。DRGを介した同じリージョン内の2つのVCNのピアリングでは、ルーティングの柔軟性が向上し、管理が簡素化されますが、仮想ルーターのDRGを介してトラフィックをルーティングするため、マイクロ秒単位のレイテンシが増加するというコストが発生します。

このサンプル・シナリオでは、2つのVCNがピアリングされます。このシナリオを実装する前に、次を確認してください:

  • VCN-AはDRGにアタッチされていません
  • VCN-BはDRGにアタッチされていません
  • VCN-AおよびVCN-Bには重複しないCIDRがあります

異なるテナンシのVCNのピアリングには、クロステナンシ認可に対してより多くのIAMポリシーが必要です。必要な権限の詳細は、DRGピアリングに関連するIAMポリシーを参照してください。

ステップ

DRGを使用して同じリージョン内の2つのVCN間にピアリングを設定するための一般的なプロセスを次に示します:

  1. DRGの作成: タスクA: DRGの作成を参照してください。
  2. DRGへのVCN Aのアタッチ: タスクB: DRGへのVCN-Aのアタッチを参照してください。
  3. DRGへのVCN Bのアタッチ: タスクC: DRGへのVCN-Bのアタッチを参照してください。
  4. VCN BのCIDRを宛先とするトラフィックをDRGに送信するためのVCN Aでのルート表の構成: タスクD: VCN-BのCIDRを宛先とするトラフィックをDRGアタッチメントに送信するためのVCN-Aでのルート表の構成を参照してください。
  5. VCN AのCIDRを宛先とするトラフィックをDRGに送信するためのVCN Bでのルート表の構成: タスクE: VCN-AのCIDRを宛先とするトラフィックをDRGアタッチメントに送信するためのVCN-Bでのルート表の構成を参照してください。
  6. セキュリティ・ルールの更新: VCNのセキュリティ・ルールを更新して、ピアリングされたVCN間のトラフィックを目的どおりに有効にします。タスクF: セキュリティ・ルールの更新を参照してください。

このページでは、ピアリングされたVCNに関するアクセス制御、セキュリティおよびパフォーマンスへの影響についてまとめます。IAMポリシー、各VCN内のルート表、DRGのルート表、および各VCN内のセキュリティ・リストを使用して、ピアリングされた2つのVCN間のアクセスとトラフィックを制御できます。

DRGを介したピアリングのネットワーキング・コンポーネントのサマリー

DRGを介したローカル・ピアリングに必要なネットワーキング・サービス・コンポーネントの概要は次のとおりです:

  • 重複しないCIDRを含む同じリージョン内の2つのVCN
  • 各ピアVCNにアタッチされた単一の動的ルーティング・ゲートウェイ(DRG)
  • 接続を介したトラフィックのフローを可能にするルート・ルールのサポート。各VCN内の選択サブネットに対してのみ有効にします(必要な場合)。
  • 他のVCNと通信する必要があるサブネット内のインスタンス間で許可されるトラフィックのタイプを制御するセキュリティ・ルールのサポート。

次の図は、これらのコンポーネントを示しています。

この図は、ローカル・ピアリングされた2つのVCNの基本的なレイアウトを示しています。各VCNはローカル・ピアリング・ゲートウェイを持っています。
ノート

指定されたVCNは次のリソースにアクセスできます:

  • 他のVCN内のVNIC
  • 転送ルーティングと呼ばれる拡張ルーティング・シナリオがVCNに設定されている場合に、他のVCNにアタッチされているオンプレミス・ネットワーク

DRGと相互接続された2つのVCNは、LPG経由の転送ルーティングを除き、他のクラウド・ゲートウェイ(インターネット・ゲートウェイやNATゲートウェイなど)にアクセスできません。たとえば、前の図のVCN-1にインターネット・ゲートウェイがあっても、VCN-2のインスタンスはそれを使用してインターネット上のエンドポイントにトラフィックを送信できません。ただし、VCN-2は、VCN-1を経由してインターネットからトラフィックを受信できます。詳細は、VCNピアリングの重要な意味を参照してください。

ローカル・ピアリングの重要な概念

次の概念は、DRGを使用したVCNピアリングの基本およびローカル・ピアリングの確立方法を理解するのに役立ちます。

ピアリング
ピアリングは、2つのVCN間の関係で、どちらも同じDRGに接続し、トラフィックを相互にルーティングできます。ローカル・ピアリングローカルという部分は、VCNが同じリージョン内にあることを示します。1つのDRGは、一度に最大300個のローカルDRGアタッチメントを持つことができます。
注意

ピアVCNは、重複するCIDRを持つことはできません。
管理者
通常、VCNピアリングは、関連するすべてのVCN管理者およびDRG管理者が同意している場合にのみ実行できます。状況によっては、1人の管理者が、関連するすべてのDRG、VCNおよび関連ポリシーを担当します。
必要なポリシーおよびVCN構成の詳細は、DRGピアリングに関連するIAMポリシーを参照してください。
DRGへのルーティング
VCN構成の一環として、各管理者は、VCN間のトラフィック・フローを可能にするようにVCNのルーティングを更新する必要があります。実際には、これはゲートウェイ(インターネット・ゲートウェイ動的ルーティング・ゲートウェイなど)に設定したルーティングと同様です。他のVCNと通信する必要があるサブネットごとに、サブネットのルート表を更新します。ルート・ルールでは、宛先トラフィックのCIDRとDRGをターゲットとして指定します。VCNは、そのルールに一致するトラフィックをDRGにルーティングし、さらにそこから他のVCN内のネクスト・ホップにトラフィックをルーティングします。
次の図で、VCN-1とVCN-2はピアリングされています。サブネットA (10.0.0.15)のインスタンスからのトラフィックのうち、VCN-2 (192.168.0.15)のインスタンスに対して送信されるものは、サブネットAのルート表にあるルールに基づいてDRGにルーティングされます。トラフィックは、そこからVCN-2にルーティングされ、さらにサブネットXの宛先にルーティングされます。このシナリオのDRGでは、自動生成されたルート表を使用します。
この図は、一方のVCNから他方にルーティングされるトラフィックのルート表およびパスを示しています。
コールアウト1: サブネットAルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
192.168.0.0/16 DRG
0.0.0.0/0 インターネット・ゲートウェイ
コールアウト2: サブネットXルート表
宛先CIDR ルート・ターゲット
172.16.0.0/12 DRG
10.0.0.0/16 DRG
セキュリティ・ルール
VCNの各サブネットには、パケット・レベルでサブネットのVNIC内外のトラフィックを制御する1つ以上のセキュリティ・リストがあります。セキュリティ・リストを使用して、他のVCNで許可されるトラフィックのタイプを制御できます。VCN構成の一環として、各管理者は、自分のVCN内のどのサブネットが他のVCN内のVNICと通信する必要があるかを判断し、それに応じてサブネットのセキュリティ・リストを更新する必要があります。
ネットワーク・セキュリティ・グループ(NSG)を使用してセキュリティ・ルールを実装する場合、トラフィックのソースまたは宛先として別のNSGを指定するNSG用セキュリティ・ルールを記述できることに注意してください。ただし、2つのNSGは同じVCNに属している必要があります

コンソールでのこのシナリオの設定

タスクA: DRGの作成

2021年5月より前に作成されたDRGでは、オンプレミス・ネットワークと複数のVCN間のルーティングを実行したり、VCN間のローカル・ピアリングを提供することはできません。この機能が必要で、「DRGのアップグレード」ボタンが表示されている場合は、そのボタンをクリックします。

ノート

「DRGのアップグレード」ボタンをクリックすると、既存のすべてのBGPセッションがリセットされ、DRGのアップグレード中はオンプレミス・ネットワークからのトラフィックが一時的に中断されます。アップグレードはロールバックできないことに注意してください。

ピアリングするVCNと同じリージョンで作業しているときに、次のステップを実行します:

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続性」で、「顧客接続性」グループにある「動的ルーティング・ゲートウェイ」をクリックします。

  2. 作業権限を持つコンパートメントを(ページの左側で)選択します。ページが更新されて、そのコンパートメントのリソースのみが表示されます。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
  3. 「動的ルーティング・ゲートウェイの作成」をクリックします。
  4. 次の項目を入力します:

    • 名前: DRGのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • コンパートメントに作成: DRGを作成するコンパートメント(現在作業しているコンパートメントと異なる可能性があります)。
    • タグ: リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
  5. 「動的ルーティング・ゲートウェイの作成」をクリックします。

新しいDRGが作成され、選択したコンパートメントの「動的ルーティング・ゲートウェイ」ページに表示されます。DRGは、短い間「プロビジョニング中」状態になります。プロビジョニングの完了後にのみ、ネットワークの他の部分に接続できます。

プロビジョニングには、2つのルート表の作成が含まれます。1つは接続されたVCN用のルート表、もう1つは仮想回線やIPSecトンネルなどのその他のリソース用のルート表です。デフォルト・ルート表は削除できませんが、編集できます。未変更のままにした場合、DRGのデフォルト・ルーティング・ポリシーにより、アタッチされているすべてのVCN間でトラフィックをルーティングできます。

ノート

アップグレードされたDRGのデフォルト・ルーティング表は、下位互換性のためにレガシーDRGと同じルーティング動作を実装しています。
タスクB: DRGへのVCN-Aのアタッチ
ノート

アップグレードされたDRGは多くのVCNにアタッチできますが、VCNは一度に1つのDRGにのみアタッチできます。アタッチメントはVCNを保持するコンパートメントに自動的に作成されます。VCNは、アップグレードされたDRGと同じコンパートメントまたはテナンシに存在する必要はありません。

同じリージョン内の複数のVPNを同じDRGに接続し、DRGルーティング表を適切に構成した場合、ネットワーク設計全体からローカル・ピアリング接続を除外できます。

次の手順では、アップグレードされたDRGに移動して、アタッチするVCNを選択します。かわりに、VCNに移動して、アタッチするするDRGを選択することもできます。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続性」で、「顧客接続性」グループにある「動的ルーティング・ゲートウェイ」をクリックします。

  2. VCN AにアタッチするアップグレードされたDRGをクリックします。
  3. 「リソース」で、「仮想クラウド・ネットワーク・アタッチメント」をクリックします。
  4. 「VCNアタッチメントの作成」をクリックします。
    • (オプション)アタッチメント・ポイントにわかりやすい名前を付けます。名前を指定しない場合、自動的に作成されます。
    • リストからVCN Aを選択します。VCNが現在のコンパートメント内にない場合は、「コンパートメントの変更」をクリックして別のコンパートメントを選択し、リストからVCN Aを選択することもできます。
  5. (オプション)転送ルーティング用の高度なシナリオを設定している場合は、VCNルート表をDRGアタッチメントに関連付けることができます(これは後から実行できます):
    1. 「拡張オプションの表示」をクリックします。
    2. 「VCNルート表」タブをクリックします。
    3. DRGのVCNアタッチメントに関連付けるルート表を選択します。「なし」を選択すると、デフォルトのVCNルート表が使用されます。
  6. 「VCNアタッチメントの作成」をクリックします。

短い間、アタッチメントは「アタッチ中」状態になります。

アタッチメントの準備ができたら、このDRGにサブネット・トラフィックを転送するルート・ルールを作成します。サブネットのトラフィックをDRGにルーティングするにはを参照してください。

タスクC: DRGへのVCN-Bのアタッチ
ノート

DRGは多くのVCNにアタッチできますが、VCNは一度に1つのDRGにのみアタッチできます。アタッチメントはVCNを保持するコンパートメントに自動的に作成されます。VCNは、DRGと同じコンパートメントに存在する必要はありません。

同じリージョン内の複数のVPNを同じDRGに接続し、DRGルーティング表を適切に構成した場合、ネットワーク設計全体からローカル・ピアリング接続を除外できます。

次の手順では、DRGに移動して、アタッチするVCNを選択します。かわりに、VCNに移動して、アタッチするするDRGを選択することもできます。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続性」で、「顧客接続性」グループにある「動的ルーティング・ゲートウェイ」をクリックします。

  2. VCN BにアタッチするDRGをクリックします。
  3. 「リソース」で、「仮想クラウド・ネットワーク・アタッチメント」をクリックします。
  4. 「VCNアタッチメントの作成」をクリックします。
    • (オプション)アタッチメント・ポイントにわかりやすい名前を付けます。名前を指定しない場合、自動的に作成されます。
    • リストからVCN Bを選択します。「コンパートメントの変更」をクリックして、VCN Bを含むコンパートメントを選択し、リストからVCN Bを選択することもできます。
  5. (オプション)転送ルーティング用の高度なシナリオを設定している場合は、VCNルート表をDRGアタッチメントに関連付けることができます(これは後から実行できます):
    1. 「拡張オプションの表示」をクリックします。
    2. 「VCNルート表」タブをクリックします。
    3. DRGのVCNアタッチメントに関連付けるルート表を選択します。「なし」を選択すると、デフォルトのVCNルート表が使用されます。
  6. 「VCNアタッチメントの作成」をクリックします。

短い間、アタッチメントは「アタッチ中」状態になります。

アタッチメントの準備ができたら、このDRGにサブネット・トラフィックを転送するルート・ルールを作成します。サブネットのトラフィックをDRGにルーティングするにはを参照してください。

タスクD: VCN-BのCIDRを宛先とするトラフィックをDRGアタッチメントに送信するためのVCN-Aでのルート表の構成

前述のように、各管理者はVCNがDRGにアタッチされる前後にこのタスクを実行できます。

前提条件: 各管理者には、他のVCNのCIDRブロックまたは特定のサブネットが必要です。

VCN Aの場合:

  1. VCN-A内のどのサブネットが他方のVCNと通信する必要があるかを判断します。
  2. それらの各サブネットのルート表を更新し、他方のVCN CIDR宛のトラフィックをDRGに転送する新しいルールを含めます:

    1. ナビゲーション・メニューを開き、「ネットワーキング」をクリックして、「仮想クラウド・ネットワーク」をクリックします。
    2. 目的のVCN (VCN-A)をクリックします。
    3. 「リソース」で、「ルート表」をクリックします。
    4. 目的のルート表をクリックします。
    5. 「ルート・ルールの追加」をクリックし、次の情報を入力します:

      • ターゲット・タイプ: 動的ルーティング・ゲートウェイ。
      • 宛先CIDRブロック: VCN-BのCIDRブロック。必要に応じて、VCN-BのCIDRの任意のサブネットまたは特定のサブセットを指定できます。
      • ターゲット・コンパートメント: 他方のVCNが配置されているコンパートメント(現在のコンパートメントではない場合)。
      • ターゲット: DRG。
      • 説明: ルールのオプションの説明。
    6. 「ルート・ルールの追加」をクリックします。

ルールに一致する宛先のサブネット・トラフィックは、DRGにルーティングされます。ルート・ルールの設定の詳細は、VCNルート表を参照してください。

今後、ピアリングが不要になってピアリング関係を終了する場合は、他方をターゲットとして指定しているVCN内のすべてのルート・ルールを最初に削除します。

ヒント

必要なルーティングがない場合、トラフィックはピアリングされたVCN間を流れません。ピアリング関係を一時的に停止する必要がある状況が発生した場合は、トラフィックを有効にするルート・ルールを削除します。
タスクE: VCN-AのCIDRを宛先とするトラフィックをDRGアタッチメントに送信するためのVCN-Bでのルート表の構成

前述のように、各管理者はVCNがDRGにアタッチされる前後にこのタスクを実行できます。

前提条件: 各管理者には、他のVCNのCIDRブロックまたは特定のサブネットが必要です。

VCN-Bの場合:

  1. VCN B内のどのサブネットが他方のVCNと通信する必要があるかを判断します。
  2. それらの各サブネットのルート表を更新し、他方のVCN CIDR宛のトラフィックをDRGに転送する新しいルールを含めます:

    1. ナビゲーション・メニューを開き、「ネットワーキング」をクリックして、「仮想クラウド・ネットワーク」をクリックします。
    2. 目的のVCN (VCN-B)をクリックします。
    3. 「リソース」で、「ルート表」をクリックします。
    4. 目的のルート表をクリックします。
    5. 「ルート・ルールの追加」をクリックし、次の情報を入力します:

      • ターゲット・タイプ: 動的ルーティング・ゲートウェイ。
      • 宛先CIDRブロック: VCN-AのCIDRブロック。必要に応じて、VCN AのCIDRブロックの任意のサブネットまたは特定のサブセットを指定できます。
      • ターゲット・コンパートメント: 他方のVCNが配置されているコンパートメント(現在のコンパートメントではない場合)。
      • ターゲット: DRG。
      • 説明: ルールのオプションの説明。
    6. 「ルート・ルールの追加」をクリックします。

ルールに一致する宛先のサブネット・トラフィックは、DRGにルーティングされます。ルート・ルールの設定の詳細は、VCNルート表を参照してください。

後でピアリングが不要になってピアリング関係を終了する場合は、他方のVCNをターゲットとして指定しているVCN内のすべてのルート・ルールを削除します。

ヒント

必要なルーティングがない場合、トラフィックはピアリングされたVCN間を流れません。ピアリングを一時的に停止する必要がある状況が発生した場合は、トラフィックを有効にするルート・ルールのみを削除できます。
タスクF: セキュリティ・ルールの更新

前述のように、各管理者は接続の確立前後にこのタスクを実行できます。

前提条件: 各管理者には、他のVCNのCIDRブロックまたは特定のサブネットが必要です。通常は、タスクE: ルート表の構成にあるルート表のルールで使用したものと同じCIDRブロックを使用します。

どのルールを追加する必要がありますか。

  • 他方のVCN (特にVCNのCIDRや特定のサブネット)から許可するトラフィックのタイプに関するイングレス・ルール。
  • 自分のVCNから他方のVCNへの送信トラフィックを許可するエグレス・ルール。サブネットに、すべての宛先(0.0.0.0/0)へのすべてのタイプのプロトコルに対応する広範囲のエグレス・ルールがすでにある場合は、他方のVCN用に特別なルールを追加する必要はありません。
ノート

次の手順ではセキュリティ・リストを使用しますが、かわりにネットワーク・セキュリティ・グループにセキュリティ・ルールを実装し、サブネットのリソースをそのNSGに作成することもできます。

各VCNについて:

  1. VCN内のどのサブネットが他方のVCNと通信する必要があるかを判断します。
  2. それらの各サブネットのセキュリティ・リストを更新して、目的の(他方のVCNのCIDRブロックまたはサブネットを使用する)エグレス・トラフィックまたはイングレス・トラフィックを許可するルールを含めます:

    1. コンソールで、目的のVCNを表示している状態で、「セキュリティ・リスト」をクリックします。
    2. 関心のあるセキュリティ・リストをクリックします。
    3. 「リソース」で、使用するルールのタイプに応じて、「イングレス・ルール」または「エグレス・ルール」のいずれかをクリックします。
    4. ルールを追加する場合は、「イングレス・ルールの追加」(または「エグレス・ルールの追加」)をクリックします。

      他方のVCN CIDRからのイングレスHTTPS (ポート443)トラフィックを有効化するステートフル・ルールを追加するとします。ルールを追加する際の基本的なステップは次のとおりです:

      1. 「ステートレス」チェック・ボックスは選択を解除したままにします。
      2. ソース・タイプ: 「CIDR」のままにします。
      3. ソースCIDR: ルート・ルールで使用するのと同じCIDRブロックを入力します(タスクE: ルート表の構成を参照)。
      4. IPプロトコル: TCPのままにします。
      5. ソース・ポート範囲: 「すべて」のままにします。
      6. 宛先ポート範囲: 443と入力します。
      7. 説明: ルールのオプションの説明。
    5. 既存のルールを削除する場合は、「アクション」メニューをクリックして、「削除」をクリックします。
    6. 既存のルールを編集する場合は、「アクション」メニューをクリックして、「編集」をクリックします。

セキュリティ・ルールの詳細は、セキュリティ・ルールを参照してください。