アップグレード済DRGを介したローカルVCNピアリング
このシナリオでは、アップグレードされたDRGへの相互接続を使用して、2つ以上のVCNs間のトラフィックを有効にする方法について説明します。
概要
ローカル・ピアリング接続を使用するかわりに、共通の動的ルーティング・ゲートウェイ(DRG)にアタッチし、VCNおよびDRGルート表に適切な変更を加えることで、同じリージョン内の2つ以上の仮想クラウド・ネットワーク(VCNs)間のプライベート・ネットワーク通信を確立できます。
このシナリオは、アップグレードされたDRGでのみ使用できます。
If you're using the legacy DRG, you can peer two VCNs in the same region using Local Peering Gateways (LPG) as described in the scenario Local VCN Peering using Local Peering Gateways. Peering two VCNs in the same region through a DRG gives you more routing flexibility and simplified management but comes at the cost of microseconds increase in latency because the traffic routes through a virtual router, the DRG.
このサンプル・シナリオでは、2つのVCNがピアリングされます。このシナリオを実装する前に、次を確認してください:
- VCN-AはDRGにアタッチされていません
- VCN-BがDRGにアタッチされていません
- VCN-AおよびVCN-Bによって使用されるCIDRが重複しません
異なるテナンシ内のVCNsのピアリングには、クロステナンシ認可のための追加のIAMポリシーが必要です。必要な権限の詳細は、VCNs間のルーティングのIAMポリシーを参照してください。別のリージョン内のVCNをDRGにアタッチする場合は、「別のテナンシ内のVCNにDRGをアタッチする」のステップを使用します。このシナリオのほとんどのステップは、DRGと両方のVCNsが同じテナンシにあることを前提としています。
ステップ
DRGを使用して同じリージョン内の2つのVCN間にピアリングを設定するための一般的なプロセスを次に示します:
- DRGの作成: タスクA: DRGの作成を参照してください。
- VCN AのDRGへのアタッチ: タスクB: DRGへのVCN-Aのアタッチを参照してください。
- VCN BのDRGへのアタッチ: タスクC: DRGへのVCN-Bのアタッチを参照してください。
- VCN BのCIDRを宛先とするトラフィックをDRGに送信するためのVCN Aでのルート表の構成: タスクD: VCN-BのCIDRを宛先とするトラフィックをDRGアタッチメントに送信するためのVCN-Aでのルート表の構成を参照してください。
- VCN AのCIDRを宛先とするトラフィックをDRGに送信するためのVCN Bでのルート表の構成: タスクE: VCN-AのCIDRを宛先とするトラフィックをDRGアタッチメントに送信するためのVCN-Bでのルート表の構成を参照してください。
- セキュリティ・ルールの更新: 各VCNのセキュリティ・ルールを更新して、ピアリングされたVCNs間のトラフィックを意図したとおりに有効にします。タスクF: セキュリティ・ルールの更新を参照してください。
このページでは、ピアリングされたVCNに関するアクセス制御、セキュリティおよびパフォーマンスへの影響についてまとめます。IAMポリシー、各VCNのルート表、DRGのルート表および各VCNのセキュリティ・リストを使用して、2つのピアリングされたVCNs間のアクセスおよびトラフィックを制御できます。
DRGを介したピアリングのネットワーキング・コンポーネントのサマリー
DRGを介したローカル・ピアリングに必要なネットワーキング・サービス・コンポーネントの概要は次のとおりです:
- CIDRが重複しない同じリージョン内の2つのVCNs
- 各ピアVCNにアタッチされた単一のDynamic Routing Gateway (DRG)
- トラフィックが接続上、および各VCNs内の選択したサブネットとの間のみ(必要な場合)に流れることを可能にするルート・ルールのサポート
- 他のVCNと通信する必要があるサブネット内のインスタンス間で許可されるトラフィックのタイプを制御するセキュリティ・ルールのサポート
次の図は、これらのコンポーネントを示しています。
特定のVCNは次のリソースにアクセスできます:
- 他のVCN内のVNIC
- 転送ルーティングと呼ばれる拡張ルーティング・シナリオがVCNに設定されている場合に、他のVCNにアタッチされているオンプレミス・ネットワーク
Two VCNs interconnected with a DRG can't reach other cloud gateways (such as an internet gateway or NAT gateway) except for transit routing through an LPG.たとえば、前の図でVCN-1にインターネット・ゲートウェイがある場合、VCN-2のインスタンスはそれを使用してインターネット上のエンドポイントにトラフィックを送信できませんでした。ただし、VCN-2は、VCN-1を経由してインターネットからトラフィックを受信することができます。詳細は、VCNピアリングの重要な意味を参照してください。
ローカル・ピアリングの重要な概念
次の概念は、DRGを使用したVCNピアリングの基本およびローカル・ピアリングの確立方法を理解するのに役立ちます。
- ピアリング
- ピアリングとは、2つのVCNs間の関係で、どちらも同じDRGに接続し、トラフィックを相互にルーティングできます。ローカル・ピアリングのローカルという部分は、VCNが同じリージョン内にあることを示します。特定のDRGは、一度に最大300のローカルDRGアタッチメントを持つことができます。
- 管理者
- 通常、VCNピアリングは、関連するすべてのVCN管理者およびDRG管理者が同意している場合にのみ実行できます。状況によっては、1人の管理者が、関連するすべてのDRG、VCNおよび関連ポリシーを担当します。
- DRGへのルーティング
- VCN構成の一環として、各管理者は、VCN間のトラフィック・フローを可能にするようにVCNのルーティングを更新する必要があります。実際には、これはゲートウェイ(インターネット・ゲートウェイや動的ルーティング・ゲートウェイなど)に設定したルーティングと似ています。他のVCNと通信する必要があるサブネットごとに、サブネットのルート表を更新します。ルート・ルールでは、宛先トラフィックのCIDRとDRGをターゲットとして指定します。VCNは、このルールに一致するトラフィックをDRGにルーティングします。このトラフィックは、さらにそこから他のVCN内のネクストのホップにトラフィックをルートします。
- セキュリティ・ルール
- VCNの各サブネットには、パケット・レベルでサブネットのVNIC内外のトラフィックを制御する1つ以上のセキュリティ・リストがあります。セキュリティ・リストを使用して、他のVCNで許可されるトラフィックのタイプを制御できます。As part of configuring the VCNs, each administrator must decide which subnets in their own VCN need to communicate with VNICs in the other VCN and update their subnet's security lists to match.
コンソールでのこのシナリオの設定
A DRG created before May 2021 can't perform routing between on-premises networks and several VCNs, or provide local peering between VCNs.この機能が必要で、「DRGのアップグレード」ボタンが表示されている場合は、そのボタンを選択します。
「DRGのアップグレード」ボタンを選択すると、既存のすべてのBGPセッションもリセットされ、DRGのアップグレード中はオンプレミス・ネットワークからのトラフィックも一時的に中断します。アップグレードはロールバックできないことに注意してください。
If you reate a DRG in the same region as the VCNs you want to peer, using the steps in Creating a DRG.
アップグレードされたDRGは多くのVCNにアタッチできますが、VCNは一度に1つのDRGにのみアタッチできます。アタッチメントはVCNを保持するコンパートメントに自動的に作成されます。VCNは、アップグレードされたDRGと同じコンパートメントまたはテナンシ内に存在する必要はありません。
同じリージョン内の複数のVPNと同じDRGに接続し、DRGルーティング表を適切に構成した場合、ネットワーク設計全体からローカル・ピアリング接続を排除できます。
異なるテナンシ内のVCNsのピアリングには、クロステナンシ認可のための追加のIAMポリシーが必要です。必要な権限の詳細は、VCNs間のルーティングのIAMポリシーを参照してください。別のリージョン内のVCNをDRGにアタッチする場合は、「別のテナンシ内のVCNにDRGをアタッチする」のステップを使用します。
タスクAで作成したDRGにVCN-Aをアタッチします。DRGをVCNにアタッチするか、DRGにVCNをアタッチできます。
DRGは多くのVCNにアタッチできますが、VCNは一度に1つのDRGにのみアタッチできます。アタッチメントはVCNを保持するコンパートメントに自動的に作成されます。VCNはDRGと同じコンパートメントにある必要はありません。
同じリージョン内の複数のVPNと同じDRGに接続し、DRGルーティング表を適切に構成した場合、ネットワーク設計全体からローカル・ピアリング接続を排除できます。
異なるテナンシ内のVCNsのピアリングには、クロステナンシ認可のための追加のIAMポリシーが必要です。必要な権限の詳細は、VCNs間のルーティングのIAMポリシーを参照してください。別のリージョン内のVCNをDRGにアタッチする場合は、「別のテナンシ内のVCNにDRGをアタッチする」のステップを使用します。
タスクAで作成したDRGにVCN-Bをアタッチします。DRGをVCNにアタッチするか、DRGにVCNをアタッチできます。
前述のように、各管理者はVCNがDRGにアタッチされる前後にこのタスクを実行できます。
前提条件: 各管理者には、他のVCNのCIDRブロック、またはそのVCN内の特定のサブネットが必要です。
VCN-Aの場合、VCN-A内のどのサブネットがVCN-Bと通信する必要があるかを決定し、それらの各サブネットのルート表を更新して、他のVCNのCIDRを宛先とするトラフィックをDRGに送信する新しいルールを含めます。次の設定を使用します。
- ターゲット・タイプ: 動的ルーティング・ゲートウェイ。
- 接続先CIDRブロック: VCN-BのCIDRブロック。必要に応じて、VCN-BのCIDRの任意のサブネットまたは特定のサブセットを指定できます。
- ターゲット・コンパートメント:現在のコンパートメントでない場合は、他のVCNを含むコンパートメント。
- ターゲット:タスクAで作成されたDRG。
- 説明: ルールのオプションの説明。
ルールに一致する宛先のサブネット・トラフィックが、DRGにルーティングされます。ルート・ルールの設定の詳細は、VCNルート表を参照してください。
今後、ピアリストが不要になってピアリング関係を終了する場合は、他方VCNを指定しているVCN内のすべてのルート・ルールを最初に削除してください。
必要なルーティングがない場合、トラフィックはピアリングされたVCN間を流れません。ピアリング関係を一時的に停止する必要がある状況が発生した場合は、トラフィックを有効にするルート・ルールを削除します。
前述のように、各管理者はVCNがDRGにアタッチされる前後にこのタスクを実行できます。
前提条件: 各管理者には、他のVCNのCIDRブロックまたは特定のサブネットが必要です。
VCN-Bの場合、VCN-B内のどのサブネットがVCN-Aと通信する必要があるかを決定し、それらの各サブネットのルート表を更新して、他のVCNのCIDRを宛先とするトラフィックをDRGに送信する新しいルールを含めます。次の設定を使用します。
- ターゲット・タイプ: 動的ルーティング・ゲートウェイ。
- 接続先CIDRブロック: VCN-AのCIDRブロック。必要に応じて、VCN AのCIDRブロックの任意のサブネットまたは特定のサブセットを指定できます。
- ターゲット・コンパートメント:現在のコンパートメントでない場合は、他のVCNを含むコンパートメント。
- ターゲット:タスクAで作成されたDRG。
- 説明: ルールのオプションの説明。
ルールに一致する宛先のサブネット・トラフィックが、DRGにルーティングされます。ルート・ルールの設定の詳細は、VCNルート表を参照してください。
後からピアリングが不要になってピアリング関係を終了する場合は、他方VCNをターゲットとして指定しているVCN内のすべてのルート・ルールを削除します。
必要なルーティングがない場合、トラフィックはピアリングされたVCN間を流れません。ピアリングを一時的に停止する必要がある場合は、トラフィックを有効にするルート・ルールを削除できます。
前述のように、各管理者は接続の確立前後にこのタスクを実行できます。
前提条件: 各管理者には、他のVCNのCIDRブロックまたは特定のサブネットが必要です。通常は、タスクE: ルート表の構成にあるルート表のルールで使用したものと同じCIDRブロックを使用します。
次のルールを追加します。
- 他のVCNのCIDRまたは特定のサブネットから許可するトラフィックのタイプのイングレス・ルール。
- ローカルVCNから他のVCNへの送信トラフィックを許可するためのエグレス・ルール。サブネットに、すべての宛先(0.0.0.0/0)へのすべてのタイプのプロトコルに対応する広範囲のエグレス・ルールがすでにある場合は、他方のVCN用に特別なルールを追加する必要はありません。
各VCNについて、ローカルVCN内のどのサブネットが他のVCNと通信する必要があるかを決定し、各サブネットのセキュリティ・リストを更新して、目的の(他方のVCNのCIDRブロックまたはサブネットを使用する)エグレス・トラフィックまたはイングレス・トラフィックを許可するルールを含めます
他のVCNのCIDRからのイングレスHTTPS (ポート443)トラフィックを許可するステートフル・ルールを追加するには、次の設定を使用してそのルールを実装します:
セキュリティ・ルールの詳細は、セキュリティ・ルールを参照してください。