Google Cloud用インターコネクト

プライベートIPアドレスを使用するトラフィックがクラウド間接続を経由するように、VCNおよびVPCを接続できます。

たとえば、次の図は、VCPに接続されたVCNを示しています。VPCのリソースでは、VCN内のデータベース・サービス・リソースで実行されるOracleデータベースにアクセスするアプリケーションが実行されています。アプリケーションとデータベース間のトラフィックは、GCPとOCIの間のクラウド間接続で実行される論理回路を使用します。

VPCとVCN間の接続を有効にするには、GCP VLANアタッチメントとOCI FastConnect仮想回線を設定します。接続には冗長性が組み込まれていないため、可用性の高い回復力のあるネットワーク設計を可能にするには、2つ目のOracle Interconnect for Google Cloud接続を設定する必要があります。

詳細な手順は、「接続の設定」を参照してください。

接続トラフィックは、同じOCIリージョンまたは他のOCIリージョン内の1つ以上のピアリングされたVCNsにVPCから流れます。

この接続では、OCIを介したオンプレミス・ネットワーク間、VPCへのトラフィック、またはGCPを介したオンプレミス・ネットワークからOCIへのトラフィックは有効になりません。

Oracle Cloud Infrastructure IAMポリシーでは、次のものを制御できます:

• FastConnect仮想回線を作成する権限を持つユーザー(接続の設定を参照)。関連するIAMポリシーを削除しても、VPCへの既存の接続には影響せず、将来の接続を作成する機能のみに影響します。
• ルート表、ネットワーク・セキュリティ・グループおよびセキュリティ・リストを管理できるユーザー。

VCNとVPCの間に接続が確立されている場合でも、VCNルート表を使用して接続上のパケット・フローを制御できます。たとえば、VPCの特定のサブネットのみにトラフィックを制限できます。

接続を終了せずに、VCNからVPCにトラフィックを転送するルート・ルールを削除することで、VPCへのトラフィック・フローを停止できます。また、VPCとのイングレス・トラフィックまたはエグレス・トラフィックの有効化を行うセキュリティ・ルールを削除することで、トラフィックを実質的に停止することもできます。この場合、接続上ではトラフィック・フローは停止されず、VNICレベルでトラフィック・フローが停止されます。

VPCを使用したすべてのアウトバウンドおよびインバウンド・トラフィックが意図されているか、または予想され、定義されていることを確認してください。一方のクラウドから他方のトラフィックへ送信できるトラフィックのタイプを明示的に示して他方のクラウドから受け入れる、GCPセキュリティ・ルールおよびOracleセキュリティ・ルールを実装します。

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

セキュリティ・ルールおよびファイアウォールの使用に加えて、VCN内のインスタンスで他のOSベースの構成を評価します。デフォルトのVCN CIDRには適用されないが、VPCのCID Rに意図せず適用されるデフォルト構成があります。

VCNのサブネットでデフォルトのセキュリティ・リストをデフォルト・ルールで使用する場合、そのリスト内の2つのルールによって、任意の場所(0.0.0.0/0、つまりVPC)からのイングレス・トラフィックが許可されます:

• 0.0.0.0/0および任意のソース・ポートからTCPポート22 (SSH)トラフィックを許可するステートフル・イングレス・ルール
• ICMPタイプ3、コード4トラフィックを0.0.0.0/0および任意のソース・ポートから許可するステートフル・イングレス・ルール

これらのルールと、それらを保持するか更新するかを評価します。前述のように、許可されるすべてのインバウンド・トラフィックまたはアウトバウンド・トラフィックが意図されているか、予想され、定義されていることを確認してください。

一般に、VPCによる影響を考慮してVCNを準備してください。たとえば、VCNまたはそのインスタンスに対する負荷が増加する可能性があります。または、VCNがVPCから直接、またはVPC経由で悪意のある攻撃を受ける可能性があります。

パフォーマンスについて: VCNがVPCにサービスを提供している場合は、VPCの要求に対応するようにサービスをスケール・アップする準備をします。これは、必要に応じて追加インスタンスを作成する準備になることかもしれません。また、VCNへのネットワーク・トラフィックのレベルが高いことを懸念する場合は、VCNが実行する必要のある接続トラッキングのレベルを制限するためにステートレス・セキュリティ・ルールの使用を検討してください。ステートレス・セキュリティ・ルールによって、サービス拒否(DoS)攻撃の影響を抑えることもできます。

セキュリティ・リスク関連: VPCがインターネットに接続されている場合、VCNがバウンス攻撃にさらされる可能性があります。バウンス攻撃には、VPCからのように見えるVCNにトラフィックを送信するインターネット上の悪意のあるホストが含まれます。前述のようにこれを防ぐには、セキュリティ・ルールを使用して、VPCからのインバウンド・トラフィックを予想および定義されたトラフィックに慎重に制限します。

すでに次のものを備えている必要があります:

• サブネット、Google Cloudルーター、サービス・ペリメータを備えたGCP VPC
• サブネットおよびアタッチされた動的ルーティング・ゲートウェイ(DRG)を持つOracle Cloud Infrastructure VCN。作成後、VCNにDRGをアタッチすることを忘れないでください。オンプレミス・ネットワークとVCN間にすでにサイト間VPNまたはFastConnectがある場合、VCNにはすでにDRGがアタッチ済です。GCPへの接続を設定するとき、同じDRGを使用します。
• 必要なOCIコンポーネントに必要なリソースを構成するためのIAM権限。
• 接続するリージョンのOCIとGCPの両方で有効なサブスクリプション

念のため、接続の各側に含まれる同等のネットワーキング・コンポーネントをリストした表を次に示します。

VPCとVCN間の接続では、BGP動的ルーティングが使用されます。Oracle仮想回回線を設定する場合、OracleとGCPの間の2つの冗長BGPセッションで使用されるBGP IPアドレスを指定します:

• BGPアドレスのプライマリ・ペア(Oracle側に1つのIPアドレス、GCP側に1つのIPアドレス)
• 別のBGPアドレスのセカンダリ・ペア(Oracle側に1つ、GCP側に1つのIPアドレス)

ペアごとに、/28から/31までのサブネット・マスクを持つ個別のアドレス・ブロックを指定する必要があります。

各アドレス・ブロックの2番目と3番目のアドレスは、BGP IPアドレス・ペアに使用されます。

• ブロック内の2番目のアドレスはBGPセッションのOracle側用です
• ブロック内の3番目のアドレスはBGPセッションのGCP側用です

ブロック内の最初のアドレスと最後のアドレスは、他の内部目的に使用されます。たとえば、CIDRが10.0.0.20/30の場合、ブロック内のアドレスは次のようになります。

• 10.0.0.20
• 10.0.0.21: Oracle側で使用します(Oracle Consoleで、アドレスを10.0.0.21/30として入力します)。
• 10.0.0.22: GCP側に対してこれを使用します(Oracle Consoleで、アドレスを10.0.0.22/30として入力し、このアドレスがコンソールの「Customer」側と呼ばれることを確認します)。
• 10.0.0.23

セカンダリBGPアドレスにも、同じサイズの2番目のブロックを指定する必要があることに注意してください。例: 10.0.0.24/30。この場合、10.0.0.25はOracle側、10.0.0.26はGCP側です。Oracle Consoleでは、これらを10.0.0.25/30および10.0.0.26/30として入力する必要があります。

関連するGCPおよびOracleネットワーキング・リソースを作成および操作するには、必要なGCPアクセスおよびOracle Cloud Infrastructure IAMアクセスがすでに必要です。ユーザー・アカウントが管理者グループにある場合は、必要な権限を持っている可能性があります。そうでない場合は、次のようなポリシーがすべてのネットワーキング・リソースをカバーします:

Allow group NetworkAdmins to manage virtual-network-family in tenancy

仮想回線の作成および管理のみの場合、次のポリシーが必要です:

Allow group VirtualCircuitAdmins to manage drgs in tenancy
                        
                        Allow group VirtualCircuitAdmins to manage virtual-circuits in tenancy

詳細は、ネットワーキングに対するIAMポリシーを参照してください。

次の図は、VPCとVCNを接続するプロセス全体を示しています。

最初のタスクは、VPCとVCN内の関連するサブネット間でフローする必要があるトラフィックを決定してから、必要なサービス・ペリメータおよびVCNセキュリティ・ルールを構成することです。追加される一般的なルールのタイプは、次のとおりです。

• 他のクラウドの関連サブネットから許可するトラフィックのタイプに対するイングレス・ルール。
• 他のクラウドへの送信トラフィックを許可するエグレス・ルール。VCNのサブネットに、すべて宛先(0.0.0.0/0)へのすべてのタイプのプロトコルに対応する広範囲なエグレス・ルールがすでにある場合は、VPCへのトラフィック用に特別なエグレス・ルールを追加する必要はありません。VCNのデフォルトのセキュリティ・リストには、そのような広範囲のデフォルトのエグレス・ルールが含まれています。

VPCとVCNの間で許可される推奨されるトラフィックのタイプを次に示します:

• 接続をそれぞれの側からテストするための両方向のPingトラフィック
• SSH (TCPポート22)
• Oracleデータベースへのクライアント接続(TCPポート1521でのSQL*NET)

対象となる特定のアドレス範囲(たとえば、他方のクラウドの関連サブネット)との間のトラフィックのみを許可します。

VPCの場合: VPC内のどのサブネットがVCNと通信する必要があるかを決定します。次に、トラフィックを許可するように、これらのサブネットのサービス・ペリメータを構成します。

VCNの場合:

1. VCN内のどのサブネットがVPCと通信する必要があるかを決定します。

2. これらの各サブネットのセキュリティ・リストを更新して、目的のVPCのCIDRブロックまたはVPCのサブネットを使用するエグレス・トラフィックまたはイングレスのトラフィックを許可するためのルールを含めます:

   1. コンソールで、目的のVCNを表示している状態で、「セキュリティ・リスト」を選択します。
   2. 関心のあるセキュリティ・リストを選択します。

   3. 「すべてのルールの編集」を選択し、1つ以上のルールを作成します。各タスクは、許可する特定のタイプのトラフィックに対応します。後続のルールの例を参照してください。

   4. 終了したら、ダイアログ・ボックスの下部にある「セキュリティ・リスト・ルールの保存」を選択します。

   セキュリティ・ルールの設定の詳細は、セキュリティ・ルールを参照してください。

Oracle Cloud Infrastructure FastConnectへのパートナ・インターコネクト接続のペアを作成します。設定中に、次のパラメータを設定します。

• ネットワーク:デフォルトを使用します。
• リージョン:インターコネクトが使用可能なリージョンを選択します。可用性を参照してください。
• クラウド・ルーター: OCI VCNに接続するVPCとすでに連携しているクラウド・ルーターを選択します。
• MTU:「1500」を選択します。問題を引き起こす可能性が最も低いサイズです。OCIのMTUサイズの詳細は、接続のハングの記事を参照してください。

GCPからペアリング・キーを受け取ります。「暗号化されていないVLANアタッチメントの作成」のステップ10を参照してください。次のステップでFastConnect仮想回線を設定するときにOracleに指定する必要があるため、ペアリング・キーを記録または格納します。ペアリング・キーは、OCIがGoogle Cloud VPCネットワークおよび関連するクラウド・ルーターを識別して接続できるようにする一意のキーです。OCIでは、VLANアタッチメントの構成を完了するためにこのキーが必要です。

次のタスクで、Google Cloud PlatformへのFastConnectプライベート仮想回回線を設定します。仮想回線のプロビジョニングが終了すると、VLANアタッチメントが更新され、プライベート・ピアリングが有効であることが示されます。

1. コンソールで、作業するコンパートメントを表示していることを確認します。不明な場合は、接続先のDRGを含むコンパートメントを使用してください。このコンパートメントの選択は、対応するIAMポリシーとともに、これから作成する仮想回回線にアクセスできるユーザーを制御します。

2. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「FastConnect」を選択します。

   結果の「FastConnect」ページは、新しい仮想回線を作成したり、仮想回線を管理する必要がある場合に戻ることのできるページです。

3. 「FastConnectの作成」を選択します。
4. 「FastConnectパートナ」を選択し、リストから 「Google Cloud」 : 「OCI Interconnect」 を選択します。

5. 「単一仮想回線」(デフォルト)または「冗長仮想回線」のいずれかを選択して、同じFastConnectの場所で異なる物理デバイスを使用する仮想回線を構成します。冗長性の詳細は、FastConnect冗長性のベスト・プラクティスを参照してください。「単一仮想回線」を選択した場合、後で戻って冗長仮想回線を追加できます。

6. 「次へ」を選択します。

7. 仮想回線について次のように入力します(「冗長仮想回線」を選択した場合は「仮想回線1」)。

   • 名前:仮想回線のわかりやすい名前。この値は、仮想回線全体で一意である必要はなく、後で変更できます。機密情報を入力しないでください。
   • コンパートメントに作成:そのままにします(現在作業中のコンパートメント)。
   • 「パートナー」を選択し、リストからパートナーを選択します。
     ノート
     
     パートナとしてMegaportを選択した場合、前述のオプションのステップを使用して回路のパートナ側をプロビジョニングできます。

8. 「プライベート」仮想回線タイプを選択します。冗長仮想回線は両方ともプライベートであるか、両方ともパブリックである必要があるため、この設定はもう一方の仮想回線で照合されます。次に、次のように入力します。

   • 「すべてのトラフィック」または「FastConnectトラフィック経由のIPSecのみ」を選択します。仮想回線は、いずれかを選択してFastConnect経由のIPSecに使用できますが、仮想回線で暗号化されたトラフィックのみを許可することを選択できます。冗長仮想回線は同じ設定である必要があるため、これは他の仮想回線で照合されます。
   • Dynamic Routing Gateway: FastConnectトラフィックのルーティング先のDRGを選択します。FastConnectを介したIPSecには、アップグレードされたDRGが必要です。This DRG could be attached to several VCNs or to other DRGs with attached VCNs.
   • プロビジョニングされた帯域幅:値を選択します。帯域幅が後で増加させる必要がある場合は、別の値を使用するように仮想回線を更新できます(FastConnect: Oracleパートナを使用で仮想回線を編集するにはを参照)。
   • Partner Service Key (オプション): Googleが提供するサービス・キーを入力します。このキーを今すぐ入力するか、後で回線を編集できます。

   BGPセッションがOracleに移動すると(基本的なネットワークの図を参照)、ダイアログ・ボックスにBGPセッションの他のフィールドが含まれます:

   • 顧客BGP IPアドレス:ユーザーのエッジ(CPE)用のBGPピアリングIPアドレスで、/28から/31までのサブネット・マスクを使用します。
   • Oracle BGP IPアドレス: Oracleエッジ(DRG)に使用するBGPピアリングIPアドレスで、/28から/31の間のサブネット・マスクを使用します。
   • IPv6アドレス割当ての有効化: IPv6アドレス指定が、すべての商用領域および政府リージョンでサポートされています。FastConnectおよびIPv6を参照してください。
   • 顧客BGP ASN: Google VCPのパブリックまたはプライベートASN。
   • BGP MD5認証キーの使用(オプション):このチェック・ボックスを選択し、MD5認証が必要な場合はキーを指定します。Oracleは128ビットのMD5認証までをサポートしています。
   • 双方向転送の検出の有効化(オプション): 双方向転送の検出を有効にする場合は、このチェック・ボックスを選択します。
     ノート
     
     双方向転送検出を使用する場合、ペア・デバイスは、300msの最小間隔と3の乗数を使用するように構成する必要があります。
9. 冗長仮想回線を作成する場合は、他の仮想回線に必要な情報(仮想回線2)を入力します。「冗長仮想回線」を選択した場合は、「仮想回線2」の仮想回線タイプ(プライベートまたはパブリック)および「すべてのトラフィック」または「FastConnect経由のIPSecトラフィックのみ」設定がすでに「仮想回線1」と一致するように設定されており、もう一方の回線の設定を変更すると自動的に一致するように変更されることに注意してください。
   ノート
   
   「冗長仮想回線」を選択し、選択したパートナがOCIへのレイヤー3接続を作成する場合、冗長仮想回線の作成はオプションです。ただし、選択したパートナがレイヤー2接続を作成する場合は、冗長仮想回線が必要です。レイヤー2およびレイヤー3接続の詳細は、FastConnect冗長性のベスト・プラクティスを参照してください。

10. 「作成」を選択します。

    仮想回線が作成され、ステータス・ページが表示されます。「閉じる」を選択して、仮想回線のリストに戻ります。

11. 作成した仮想回線の名前を選択します。仮想回線がPENDING PARTNER状態の場合、そのOCIDおよびパートナのポータルへのリンクが、ページの上部にある接続作成の確認ボックスに表示されます。仮想回線のOCIDは、他の仮想回ットの詳細でも使用可能です。OCIDをコピーして別の場所に貼り付けます。これは、次のタスクでOracleパートナに渡します。冗長回路のOCIDもコピーします(作成した場合)。

FastConnect仮想回線を作成したら、OCIが接続を構成するまで待ちます。作成した仮想回線の詳細ページを参照し、「仮想回線情報」タブで、仮想回線情報のライフサイクル状態が「プロビジョニング済」に変わることを確認します。また、「BGP情報」タブを参照して、BGPセッションが確立されていることを確認します。BGPセッションが「確立済」状態に変更されるまで、数分待ちます。FastConnect仮想回回線のステータスを取得するにはも参照してください。

このステップは、タスク2: Google Cloud Interconnect VLANアタッチメントの作成でペアリング・キーを指定したときにGCP VLANアタッチメントを事前アクティブ化しなかった場合にのみ必要です。

OCI側での構成とプロビジョニングが完了した後、GCP VLAN添付を事前アクティブ化しなかった場合は、Google Cloudから電子メール通知を受信します 。電子メールを受信したら、Google Cloud コンソールからVLANアタッチメントを有効化する必要があります。Google Cloudとの接続を確立したことを確認するには、接続をアクティブ化し、そのアクティブ化ステータスを確認する必要があります。 .

VPCの場合: VPC内のどのサブネットがVCNと通信する必要があるかを決定します。次に、必要に応じてトラフィックをルーティングするようにこれらのサブネットのBGP通知を構成します。

VCNの場合:

1. VCN内のどのサブネットがVPCと通信する必要があるかを決定します。

2. それらの各サブネットのルート表を更新し、VPCのCIDR宛のトラフィックをDRGに転送する新しいルールを含めます:

   1. コンソールで、目的のVCNを表示している状態で、「ルート表」を選択します。
   2. 目的のルート表を選択します。
   3. 「ルート・ルールの編集」を選択します。

   4. 「+別のルート・ルール」を選択し、次の情報を入力します:

      • ターゲット・タイプ: Dynamic Routing Gateway。VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。
      • 宛先CIDRブロック: VPC内の関連するサブネット(前の図の10.0.0.0/16)。
      • 説明:ルールの説明(オプション)。
   5. 「保存」を選択します。

ルールに一致する宛先のサブネット・トラフィックは、DRGにルーティングされます。その後、DRGは、仮想回線のBGPセッション情報に基づいて、トラフィックをVPCにルーティングすることを認識します。

その後、接続が不要になってDRGを削除する場合は、最初にDRGをターゲットとして指定しているVCN内のすべてのルート・ルールを削除する必要があります。

ルート・ルールの設定の詳細は、VCNルート表を参照してください。