Oracle Cloud Infrastructureドキュメント

Remote VCN Peering through an Upgraded DRG

このトピックでは、リモートVCNピアリングについて説明します。

この場合、リモートとは、仮想クラウド・ネットワーク(VCN)が異なるリージョンに存在する別の動的ルーティング・ゲートウェイ(DRG)にそれぞれアタッチされていることを意味します。If the VCNs you want to connect are in the same region, see Local VCN Peering Through an Upgraded DRG.

ノート

このシナリオは、アップグレードされたDRGまたはレガシーDRGで使用できますが、レガシーDRGでは異なるテナンシでのDRGの接続はサポートされません。DRGの考えられるバージョンの詳細は、DRGバージョンを参照してください。

このシナリオを実装する前に、次を確認してください:

  • VCN Aはリージョン1のDRG Aにアタッチされています
  • VCN Bはリージョン2のDRG Bにアタッチされています
  • 両方のDRGのルーティング構成は変更されていません
  • 適切なIAM権限が同じテナンシまたは異なるテナンシにあるVCNに適用されます

リモートVCNピアリングの概要

リモートVCNピアリングは、異なるリージョン内の2つのVCNを接続するプロセスです。ピアリングを使用すると、VCNのリソースは、インターネットまたはオンプレミス・ネットワークを介してトラフィックをルーティングすることなく、プライベートIPアドレスを使用して通信できます。 VCNが存在する場所は、同じOracle Cloud Infrastructureテナンシ内である場合と、異なる場合があります。ピアリングを行わない場合、VCNは、異なるリージョン内の別のVCNと通信する必要があるインスタンスに対してインターネット・ゲートウェイおよびパブリックIPアドレスを必要とします。

リモート・ピアリングのネットワーキング・コンポーネントのサマリー

リモート・ピアリングに必要なネットワーキング・サービス・コンポーネントの概要は次のとおりです:

  • 重複しないCIDRを含む異なるリージョン内の2つのVCN。

    ノート

    VCN CIDRは重複できません

    ピアリング関係にある2つのVCNは、重複するCIDRを持つことができません。また、ある特定のVCNが複数のピアリング関係を持つ場合、他のVCN間で重複するCIDRがないことも必要です。たとえば、VCN-1がVCN-2とピアリングされ、さらにVCN-3ともピアリングされている場合、VCN-2とVCN-3に重複するCIDRがない必要があります。

    このシナリオを構成する場合は、計画ステージでこの要件を満たす必要があります。CIDRが重複している場合にルーティングの問題が発生する可能性がありますが、コンソールまたはAPI操作によって、問題の原因となる構成を作成できなくなることはありません。

  • ピアリング関係にある各VCNにアタッチされた動的ルーティング・ゲートウェイ(DRG)。サイト間VPN IPSecトンネルまたはOracle Cloud Infrastructure FastConnectプライベート仮想回線を使用している場合、VCNにはすでにDRGがあります。
  • ピアリング関係にある各DRG上のリモート・ピアリング接続(RPC)
  • その2つのRPCの間の接続
  • トラフィックがその接続を介して、また(必要な場合は)各VCN内の選択サブネットとの間でのみ流れることを可能にする、サポート・ルート・ルール
  • 他のVCNと通信する必要があるサブネット内のインスタンス間で許可されるトラフィックのタイプを制御する、サポート・セキュリティ・ルール

次の図は、これらのコンポーネントを示しています。

この図は、リモートでピアリングされた2つのVCNの基本レイアウトを示しています。それぞれがDRG上でリモート・ピアリング接続を使用しています
ノート

特定のVCNは、接続されたRPCを使用して、他のVCN内のVNICのみに、またはDRGがオンプレミスCPEに接続されている場合はオンプレミス・ネットワークに到達できます。たとえば、前の図のVCN-1にインターネット・ゲートウェイがある場合、VCN-2のインスタンスがそれを使用してインターネット上のエンドポイントにトラフィックを送信することはできません。詳細は、ピアリングの重要な意味を参照してください。

ピアリングの重要な意味

まだ参照していない場合は、ピアリングの重要な意味を読んで、ピアリングされたVCNのアクセス制御、セキュリティおよびパフォーマンスに対する重要な影響を理解してください。

異なるテナンシのVCNのピアリングには、両方のテナンシで解決する必要がある権限の問題がいくつかあります。See IAM Policies for Routing Between VCNs for details on the permissions needed.

スポークツースポーク: 転送ルーティングを使用するリモート・ピアリング(レガシーDRGのみ)

Note

The scenario this section mentions is still supported, but Oracle recommends you use the DRG transit routing method described in Routing traffic through a central network virtual appliance.

次の図に示すように、各リージョンにハブアンドスポーク・レイアウトの複数のVCNがある場合を考えてみます。リージョン内のこのタイプのレイアウトについては、ハブVCN内の転送ルーティングで詳しく説明しています。あるリージョン内のスポークVCNが、ローカル・ピアリング・ゲートウェイを使用して同じリージョン内のハブVCNとローカルにピアリングされています。

2つのハブVCNの間にリモート・ピアリングを設定できます。さらに、ハブVCN内の転送ルーティングで説明されているように、ハブVCNのDRGとLPGに転送ルーティングを設定することもできます。この設定により、一方のリージョン内のスポークVCNは、もう一方のリージョン内の1つ以上のスポークVCNと通信できます。それらのVCN間に直接のリモート・ピアリング接続は必要ありません。

たとえば、VCN-1-A内のリソースがハブVCNを経由してVCN-2-AおよびVCN-2-B内のリソースと通信できるように、ルーティングを構成できます。そのようにすると、VCN 1-Aは、もう一方のリージョン内の各スポークVCNとの個別のリモート・ピアリングを持つ必要はありません。また、VCN-1-Bが独自のリモート・ピアリングを持たずにリージョン2内の各スポークVCNと通信できるようにルーティングを設定することもできます。

この図は、ハブアンドスポーク・レイアウトのVCNを含む2つのリージョンの基本レイアウトを示しています。ハブVCNの間にリモート・ピアリングを使用しています。

スポークツースポーク: 転送ルーティングを使用するリモート・ピアリング(アップグレードされたDRG)

Note

The scenario this section uses the DRG transit routing method described in Routing traffic through a central network virtual appliance.

次の図に示すように、各リージョンにハブアンドスポーク・レイアウトの複数のVCNがある場合を考えてみます。リージョン内のこのタイプのレイアウトについては、ハブVCN内の転送ルーティングで詳しく説明しています。あるリージョン内のスポークVCNが、DRGへの相互接続によって同じリージョン内のハブDRG/VCNペアとローカルにピアリングされています。

2つのハブVCNの間にリモート・ピアリングを設定できます。You can then also set up transit routing for the hub VCN's DRG, as discussed in Routing traffic through a central network virtual appliance.この設定により、一方のリージョン内のスポークVCNは、もう一方のリージョン内の1つ以上のスポークVCNと通信できます。それらのVCN間に直接のリモート・ピアリング接続は必要ありません。

たとえば、VCN-1-A内のリソースがハブVCNを経由してVCN-2-AおよびVCN-2-B内のリソースと通信できるように、ルーティングを構成できます。そのようにすると、VCN 1-Aは、もう一方のリージョン内の各スポークVCNとの個別のリモート・ピアリングを持つ必要はありません。また、VCN-1-Bが独自のリモート・ピアリングを持たずにリージョン2内の各スポークVCNと通信できるようにルーティングを設定することもできます。

この図は、ハブアンドスポーク・レイアウトのVCNを含む2つのリージョンの基本レイアウトを示しています。ハブVCNの間にリモート・ピアリングを使用しています。

リモート・ピアリングの重要な概念

次の概念は、VCNピアリングの基本およびリモート・ピアリングの確立方法を理解するのに役立ちます。

ピアリング
ピアリングは、2つのVCN間の単一のピアリング関係です。例: VCN-1が他の2つのVCNとピアリングしている場合、2つのピアリングが存在します。リモート・ピアリングリモートという部分は、VCNが異なるリージョンに存在することを示します。このリモート・ピアリング方法では、VCNは同じテナンシに存在することも、異なるテナンシに存在することもできます。
VCN管理者
通常、VCNピアリングは、両方のVCN管理者が同意している場合にのみ実行できます。実際には、2人の管理者が次を行う必要があります:
  • 一定の基本情報を相互に共有します。
  • ピアリングを有効にするために必要なOracle Cloud Infrastructure Identity and Access Managementポリシーを設定するように調整します。
  • ピアリング用にVCNを構成します。
状況によっては、一方の管理者が両方のVCNおよび関連ポリシーを担当します。VCNは同じテナンシに存在することも、異なるテナンシに存在することもできます。
For more information about the required policies and VCN configuration, see IAM Policies for Routing Between VCNs.
アクセプタおよびリクエスタ
ピアリングに必要なIAMポリシーを実装するには、2人のVCN管理者が1人の管理者をリクエスタとして、もう1人をアクセプタとして指定する必要があります。リクエスタは、2つのRPCを接続するリクエストを開始する必要があります。一方、アクセプタは、アクセプタのコンパートメント内のRPCに接続するためのリクエスタ権限を付与する特定のIAMポリシーを作成する必要があります。このポリシーがないと、リクエスタの接続リクエストは失敗します。
リージョン・サブスクリプション
別のリージョン内のVCNとピアリングするには、テナンシがそのリージョンにサブスクライブされている必要があります。サブスクライブの詳細は、リージョンの管理を参照してください。
リモート・ピアリング接続(RPC)
リモート・ピアリング接続(RPC)は、VCNにアタッチされたDRG上に作成するコンポーネントです。RPCの役割は、リモートにピアリングされたVCNの接続ポイントとなることです。VCNの構成の一部として、各管理者はVCN上にDRGのRPCを作成する必要があります。A given DRG must have a separate RPC for each remote peering it establishes for the VCN.前の例から続行する場合: VCN-1のDRGには、他の2つのVCNとピアリングするための2つのRPCがあります。APIでは、RemotePeeringConnectionはピアリングに関する情報を含むオブジェクトです。後で別のピアリングを確立するためにRPCを再利用することはできません。
2つのRPC間の接続
(コンソールまたはAPIで)リクエスタがピアリングのリクエストを開始するとき、実際には2つのRPCの接続を要求することになります。リクエスタは各RPCを特定する情報(RPCのリージョンやOCIDなど)を持っている必要があります。
どちらのVCN管理者も、自分のRPCを削除することでピアリングを終了できます。その場合、もう一方のRPCのステータスがREVOKEDに切り替わります。また、管理者は、接続でのトラフィック・フローを可能にするルート・ルールを削除することで、接続を無効化できます(次の項を参照)。
DRGへのルーティング
VCN構成の一環として、各管理者は、VCN間のトラフィック・フローを可能にするようにVCNのルーティングを更新する必要があります。他のVCNと通信する必要があるサブネットごとに、サブネットのルート表を更新します。ルート・ルールでは、宛先トラフィックのCIDRとDRGをターゲットとして指定します。DRGは、そのルールに一致するトラフィックを他のDRGにルーティングし、さらにそこから他のVCN内のネクスト・ホップにトラフィックをルーティングします。
次の図で、VCN-1とVCN-2はピアリングされています。サブネットA (10.0.0.15)のインスタンスからのトラフィックのうち、VCN-2 (192.168.0.15)のインスタンスに対して送信されるものは、サブネットAのルート表にあるルールに基づいてDRG-1にルーティングされます。トラフィックは、そこからRPCを介してDRG-2にルーティングされ、さらにサブネットX内の宛先にルーティングされます。
この図は、一方のDRGから他方にルーティングされるトラフィックのルート表およびパスを示しています。
コールアウト1: サブネットAルート表
宛先CIDR ルート・ターゲット
0.0.0.0/0 インターネット・ゲートウェイ
192.168.0.0/16 DRG-1
コールアウト2: サブネットXルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 DRG-2
ノート

前述したように、どちらのVCNも、接続されたRPCを使用して、もう一方のVCN内のVNICまたはオンプレミス・ネットワークにのみアクセスできます。インターネット上の宛先にはアクセスできません。たとえば、前の図で、VCN-2はVCN-1にアタッチされたインターネット・ゲートウェイを使用できません。

セキュリティ・ルール
VCNの各サブネットには、パケット・レベルでサブネットのVNIC内外のトラフィックを制御する1つ以上のセキュリティ・リストがあります。セキュリティ・リストを使用して、他のVCNで許可されるトラフィックのタイプを制御できます。VCN構成の一環として、各管理者は、自分のVCN内のどのサブネットが他のVCN内のVNICと通信する必要があるかを判断し、それに応じてサブネットのセキュリティ・リストを更新する必要があります。
ネットワーク・セキュリティ・グループ(NSG)を使用してセキュリティ・ルールを実装する場合、トラフィックのソースまたは宛先として別のNSGを指定するNSG用セキュリティ・ルールを記述できることに注意してください。ただし、2つのNSGは同じVCNに属している必要があります

ピアリングの重要な意味

まだ参照していない場合は、ピアリングの重要な意味を読んで、ピアリングされたVCNのアクセス制御、セキュリティおよびパフォーマンスに対する重要な影響を理解してください。

リモート・ピアリングの設定

この項では、異なるリージョンにある2つのVCN間にピアリングを設定するための一般的なプロセスについて説明します。

重要

以降の手順では次のことを前提としています:

  • テナンシが他方のVCNのリージョンにサブスクライブされていること。されていない場合は、リージョンの管理を参照してください。
  • VCNがDRGにすでにアタッチされていること。そうでない場合は、Dynamic Routing Gatewaysを参照してください。
  • 接続に必要なIAMポリシーがすでに設定されていること。同じテナンシ内のリモート・ピアリングおよびテナンシ間のIAMポリシーは異なります。See IAM Policies for Routing Between VCNs

必要なステップの概要:

  1. RPCの作成: 各VCN管理者は、自分のVCNのDRGにRPCを作成します。
  2. 情報の共有: 管理者は基本的な必須情報を共有します。
  3. 接続の確立: リクエスタが2つのRPCを接続します(リクエスタおよびアクセプタの定義については、リモート・ピアリングの重要な概念を参照)。
  4. ルート表の更新: 各管理者は、VCNのルート表を更新して、ピアリングされたVCN間のトラフィックを目的どおりに有効にします。
  5. セキュリティ・ルールの更新: 各管理者は、VCNのセキュリティ・ルールを更新して、ピアリングされたVCN間のトラフィックを目的どおりに有効にします。

必要に応じて、管理者は接続を確立する前にタスク4および5を実行できます。各管理者は、他のVCNのCIDRブロックまたは特定のサブネットを把握して、タスク2でそれを共有する必要があります。

タスクA: RPCの作成

各管理者は、自分のVCNのDRGにRPCを作成します。次の手順での「自分」は、管理者(アクセプタまたはリクエスタ)を意味します。

ノート

RPCを作成するために必要なIAMポリシー

管理者にすでに幅広いネットワーク管理者権限がある場合(ネットワーク管理者によるクラウド・ネットワークの管理を参照)、RPCを作成、更新および削除する権限があります。それ以外の場合、RPCAdminsというグループに必要な権限を付与するポリシーの例を次に示します。RPCを作成すると所属するDRGに影響するため、管理者にはDRGを管理する権限が必要であり、2番目のステートメントが必要となります。

Allow group RPCAdmins to manage remote-peering-connections in tenancy
Allow group RPCAdmins to manage drgs in tenancy
  1. コンソールで、RPCを追加するDRGを含むコンパートメントを表示していることを確認します。コンパートメントとアクセス制御の詳細は、アクセス制御を参照してください。

  2. ナビゲーション・メニューを開き、「ネットワーク」をクリックします「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。

  3. 目的のDRGをクリックします。
  4. 「リソース」で、「リモート・ピアリング接続アタッチメント」をクリックします。
  5. 「リモート・ピアリング接続の作成」をクリックします。

  6. 次を入力します:

    • 名前: RPCのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • コンパートメントに作成: RPCを作成するコンパートメント(現在作業しているコンパートメントと異なる場合)。

  7. 「リモート・ピアリング接続の作成」をクリックします。

    これにより、RPCが作成され、選択したコンパートメントの「リモート・ピアリング接続」ページに表示されます。

  8. 自分がアクセプタである場合は、後でリクエスタに渡すRPCのリージョンおよびOCIDを記録しておきます。
  9. 2つのVCNが異なるテナンシにある場合は、テナンシOCIDを記録します(コンソールのページの下部にあります)。後で他の管理者にOCIDを提供します。
タスクB: 情報の共有

このタスクは、クロステナンシ接続に固有です。接続が同じテナンシ内にある場合は、次のタスクにスキップできます。

  • 自分がアクセプタである場合は、次の情報をリクエスタに提供します(電子メールや他のアウト・オブ・バンド方式などを使用):

    • 自分のVCNが含まれるリージョン(リクエスタのテナンシはこのリージョンにサブスクライブされている必要があります)。
    • 自分のRPCのOCID。
    • 他方のVCNで使用可能にする、自分のVCN内のサブネットのCIDRブロック。リクエスタは、リクエスタVCNのルーティングを設定するときにこの情報を必要とします。
    • VCNが異なるテナンシにある場合: テナンシのOCID。

  • 自分がリクエスタである場合は、次の情報をアクセプタに提供します:

    • 自分のVCNが含まれるリージョン(アクセプタのテナンシはこのリージョンにサブスクライブされている必要があります)。
    • VCNが同じテナンシにある場合: アクセプタのコンパートメント内に接続を作成する権限を付与されるIAMグループの名前(次のタスクの例では、RequestorGrpがそのグループです)。
    • VCNが異なるテナンシにある場合: テナンシのOCID。
    • 他方のVCNで使用可能にする、自分のVCN内のサブネットのCIDRブロック。アクセプタは、アクセプタVCNのルーティングを設定するときにこの情報を必要とします。
タスクC: 接続の確立

リクエスタがこのタスクを実行する必要があります。

前提条件: リクエスタが次のものを持っている必要があります:

  • アクセプタのVCNが含まれるリージョン(リクエスタのテナンシはこのリージョンにサブスクライブされている必要があります)。
  • アクセプタのRPCのOCID。
  • アクセプタのテナンシのOCID (アクセプタのVCNが異なるテナンシにある場合のみ)
  1. コンソールで、RPCを追加するDRGを含むコンパートメントを表示していることを確認します。コンパートメントとアクセス制御の詳細は、アクセス制御を参照してください。

  2. ナビゲーション・メニューを開き、「ネットワーク」をクリックします「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。

  3. 目的のDRGをクリックします。
  4. 「リソース」で、「リモート・ピアリング接続」をクリックします。
  5. アクセプタRPCに接続するリクエスタRPCの詳細を表示します。これを行うには、タスクAで作成したRPCアタッチメントに対応する「リモート・ピアリング接続」列でRPCの名前をクリックします。
    ノート

    同じテナンシ内のRPCの場合、RPCがリクエスタとアクセプタのどちらから確立されるかを気にする必要はありません。
  6. 「接続の確立」をクリックします。

  7. 次を入力します:

    • リージョン: アクセプタのVCNが含まれるリージョン。リストには、リモートVCNピアリングをサポートし、かつテナンシがサブスクライブされているリージョンのみが含まれます。
    • リモート・ピアリング接続OCID: アクセプタのRPCのOCID。

  8. 「接続の確立」をクリックします。

接続が確立され、RPCの状態がPEEREDに変わります。

タスクD: ルート表の構成

前述のように、各管理者は接続の確立前後にこのタスクを実行できます。

前提条件: 各管理者には、他のVCNのCIDRブロックまたは特定のサブネットが必要です。

自分のVCNについて:

  1. VCN内のどのサブネットが他方のVCNと通信する必要があるかを判断します。

  2. それらの各サブネットのルート表を更新し、他方のVCN宛のトラフィックをDRGに転送する新しいルールを含めます:

    1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
    2. 関心のあるVCNをクリックします。
    3. 「リソース」で、「ルート表」をクリックします。
    4. 目的のルート表をクリックします。

    5. 「ルート・ルールの追加」をクリックし、次の情報を入力します:

      • ターゲット・タイプ: 動的ルーティング・ゲートウェイ。VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。
      • 宛先CIDRブロック: 他方のVCN CIDRブロック。必要に応じて、ピアリングされたVCN CIDRの任意のサブネットまたは特定のサブセットを指定できます。
      • 説明: ルールのオプションの説明。
    6. 「ルート・ルールの追加」をクリックします。

ルールに一致する宛先のサブネット・トラフィックは、DRGにルーティングされます。ルート・ルールの設定の詳細は、VCNルート表を参照してください。

ヒント

必要なルーティングがない場合、トラフィックはピアリングされたDRG間を流れません。ピアリングを一時的に停止する必要がある状況が発生した場合は、トラフィックを有効にするルート・ルールのみを削除できます。RPCを削除する必要はありません。
タスクE: セキュリティ・ルールの構成

前述のように、各管理者は接続の確立前後にこのタスクを実行できます。

前提条件: 各管理者には、他のVCNのCIDRブロックまたは特定のサブネットが必要です。通常は、タスクE: ルート表の構成にあるルート表のルールで使用したものと同じCIDRブロックを使用します。

どのルールを追加する必要がありますか。

  • 他方のVCN (特にVCNのCIDRや特定のサブネット)から許可するトラフィックのタイプに関するイングレス・ルール。
  • 自分のVCNから他方のVCNへの送信トラフィックを許可するエグレス・ルール。サブネットに、すべての宛先(0.0.0.0/0)へのすべてのタイプのプロトコルに対応する広範囲のエグレス・ルールがすでにある場合は、他方のVCN用に特別なルールを追加する必要はありません。
ノート

次の手順ではセキュリティ・リストを使用しますが、かわりにネットワーク・セキュリティ・グループにセキュリティ・ルールを実装し、サブネットのリソースをそのNSGに作成することもできます。

自分のVCNについて:

  1. VCN内のどのサブネットが他方のVCNと通信する必要があるかを判断します。

  2. それらの各サブネットのセキュリティ・リストを更新して、目的の(他方のVCNのCIDRブロックまたはサブネットを使用する)エグレス・トラフィックまたはイングレス・トラフィックを許可するルールを含めます:

    1. コンソールで、目的のVCNを表示している状態で、「セキュリティ・リスト」をクリックします。
    2. 関心のあるセキュリティ・リストをクリックします。
    3. 「リソース」で、使用するルールのタイプに応じて、「イングレス・ルール」または「エグレス・ルール」のいずれかをクリックします。

    4. ルールを追加する場合は、「イングレス・ルールの追加」(または「エグレス・ルールの追加」)をクリックします。

    5. 既存のルールを削除する場合は、「アクション」メニュー(アクション・メニュー)「削除」の順にクリックします。
    6. 既存のルールを編集する場合は、「アクション」メニュー(アクション・メニュー)「編集」の順にクリックします。

セキュリティ・ルールの詳細は、セキュリティ・ルールを参照してください。