ノート:
- このチュートリアルではOracle Cloudへのアクセスが必要です。無料アカウントにサインアップするには、Oracle Cloud Infrastructure Free Tierの開始を参照してください。
- Oracle Cloud Infrastructure資格証明、テナンシおよびコンパートメントの値の例を使用します。演習を完了する場合は、これらの値をクラウド環境に固有の値に置き換えてください。
Network Virtual Applianceを使用してOracle Cloud InfrastructureとMicrosoft Azureの間のトラフィックを保護
イントロダクション
統合されたマルチクラウド・エクスペリエンスを作成するために、MicrosoftとOracleは、Microsoft Azure ExpressRouteとOCI FastConnectを介して、Microsoft AzureとOracle Cloud Infrastructure (OCI)の間の直接の相互接続を提供しています。Microsoft AzureのExpressRouteとOCIのFastConnect相互接続により、2つのクラウド間に低レイテンシ、高スループットおよびプライベート直接接続が提供されます。
このステップバイステップ・ガイドで説明する手順を使用して、Microsoft AzureとOracle Cloud Infrastructure間の相互接続を設定できます。インターコネクトが起動したら、Virtual NetworksをExpressRouteに接続する必要があります。
このチュートリアルでは、VNET Gatewayを使用してインターコネクト接続を拡張し、トラフィックを保護するためにMicrosoft Azure FirewallおよびOCI Network Firewallをデプロイする方法について説明します。ユース・ケースとして、ハブおよびスポーク・アーキテクチャにファイアウォールをデプロイします。このユースケースは、各CSPでサポートされているすべてのネットワーク仮想アプライアンス・パートナに適用できる必要があります。
このドキュメントに従って、ネットワーク仮想アプライアンス・アーキテクチャの推奨事項の詳細を確認できます。
目標
OCI-Microsoft Azure Interconnect Network接続を介して、Oracle Cloud InfrastructureとMicrosoft Azure環境のネットワーク・ファイアウォール・アプライアンスを使用してトラフィックを保護します。Microsoft AzureのMicrosoft Azure FirewallとOCI Network Firewallによる環境のOCIへの導入について説明しました。最後のステップは、OCI/Microsoft Azureリージョン間のネットワーク接続を検証し、OCI/Microsoft Azure Interconnectを介したファイアウォールを介したルーティング機能に基づいて、ファイアウォールを介してトラフィックが検証されるようにすることです。
前提条件
-
アクティブなMicrosoft AzureサブスクリプションとアクティブなOCIテナンシ。
-
Microsoft Azure ExpressRouteピアリングの場所で、OCI FastConnectと同じピアリングの場所に近い、または同じピアリングの場所にある。リージョン可用性を参照してください。
-
Microsoft AzureとOCI相互接続リージョン間の直接接続が正常に完了しました。ExpressRouteとFastConnectの間の直接接続の構成を参照してください。
-
ネットワーキングおよびクラウド・サービスには、OCI FastConnect、OCI Network Firewall、Microsoft Azure Firewall、Microsoft Azure ExpressRouteなど、精通しているものとします。
-
OCI Microsoft Azure Interconnectの理解が必要です。
対象読者
このチュートリアルは、Cloud Serviceプロバイダのプロフェッショナルとマルチクラウド管理者を対象としています。
アーキテクチャ
ソリューションの高レベルのアーキテクチャを次に示します。
このアーキテクチャは、相互接続されたリージョンを設定し、ハブおよびスポーク・アーキテクチャのネットワーク仮想アプライアンスを使用してトラフィックを保護する場合に参照できます。
タスク1: Microsoft Azureでの仮想ネットワークおよびサブネットの作成
-
Microsoft Azureポータルにサインインします。
-
画面の左上側で、「リソースの作成」、「ネットワーキング」、「仮想ネットワーク」を選択するか、検索ボックスで「仮想ネットワーク」を検索します。
-
「仮想ネットワークの作成」で、「基本」タブで次の情報を入力または選択します:
プロジェクト詳細
-
サブスクリプション: Azureサブスクリプションを選択します。
-
Resource Group: 「Create new」を選択し、resource-group-nameと入力して「OK」を選択するか、パラメータに基づいて既存のresource-group-nameを選択します。
インスタンス詳細
-
Name: virtual-network-nameを入力します。
-
リージョン: region-nameを選択します。
-
-
「IPアドレス」タブを選択するか、ページの最後にある「次: IPアドレス」ボタンを選択します。
-
「IPアドレス」タブで、次の情報を入力します:
- IPv4アドレス空間: ipv4-address-rangeと入力します。例: Hub VNET: 10.40.0.0/16 for US East Region、Spoke VNET: 10.30.0.0/16 for US East Region。
-
「サブネット名」で、「デフォルト」という単語を選択します。
-
「サブネットの編集」に、次の情報を入力します:
-
サブネット名: subnet-nameを入力します。
-
サブネットのアドレス範囲: subnet-address-rangeと入力します 例: Compute Subnet: 10.40.3.0/24 for Hub VNET、 Compute Subnet: 10.30.1.0/24 for Spoke VNET。
-
-
「保存」を選択します。
-
確認+作成タブを選択するか、確認+作成ボタンを選択します。
-
「作成」を選択します。
ハブとスポークの両方のVNetsについてステップ1から9を繰り返し、次の項に進んでMicrosoft Azureファイアウォール・サブネットを作成します。
タスク2: Microsoft Azureファイアウォール・サブネットの作成
次の最小パラメータを使用してファイアウォール・サブネットを作成するには、ステップバイステップ・ガイドに従います。
-
firewall-subnet-name: AzureFirewallSubnet名を入力する必要があります。
-
subnet-address-range: ファイアウォールサブネットアドレス範囲を入力します。例: Hub VNETの10.40.1.0/24。
次のセクションに進んで、ゲートウェイサブネットと仮想ネットワークゲートウェイを作成します。
タスク3: Microsoft Azureでのゲートウェイ・サブネットと仮想ネットワーク・ゲートウェイの作成
ステップバイステップ・ガイドに従って、次の表で説明する最小パラメータを使用してゲートウェイ・サブネットおよび仮想ネットワーク・ゲートウェイを作成できます。
ゲートウェイ・サブネット・パラメータ
| パラメータ | 値 |
|---|---|
| gateway-subnet-name | GatwaySubnet名が自動的に入力されます。 |
| subnet-address-range (サブネットアドレス範囲) | ゲートウェイ・サブネット・アドレス範囲を入力します。例: Hub VNETの10.40.0.0/24 |
VNET Gatewayパラメータ:
| 設定 | Value |
|---|---|
| プロジェクト詳細 | |
| サブスクリプション | Microsoft Azureサブスクリプションを選択します |
| リソース・グループ | これはVNETの選択で自動的に選択されます。 |
| ゲートウェイ詳細 | |
| 名前 | gateway-nameを入力します |
| 地域 | VNETを作成した(米国東部またはリージョン)を選択します |
| ゲートウェイ・タイプ | ExpressRouteを選択します |
| SKU | ゲートウェイSKUを次から選択します |
| 仮想ネットワーク | リージョン内で以前に作成したVNETを選択します。 |
| パブリックIPアドレス | |
| パブリックIPアドレス | 「新規作成」を選択します。 |
| パブリックIPアドレス名 | パブリックIPアドレスの名前を入力します。 |
Microsoft Azureリージョンで必要なリソースを作成したら、次の項に進み、Microsoft Azure Firewallをデプロイします。
タスク4: Microsoft Azure上のハブ仮想ネットワークへのMicrosoft Azure Firewallのデプロイ
ステップバイステップ・ガイドに従って、次の表で説明されている最小パラメータを使用してMicrosoft AzureファイアウォールをHub VNETにデプロイできます。
| パラメータ | 値 |
|---|---|
| サブスクリプション | サブスクリプションを選択します。 |
| リソース・グループ | your-resource-groupを選択します。前提条件ステップで作成する必要があるリソース・グループを選択します。 |
| 名前 | firewall-nameと入力します |
| ファイアウォールSKU | 指定されたオプションからファイアウォールSKUを選択します |
| ファイアウォール・ポリシー | 「Add New」をクリックして、新しいファイアウォール・ポリシーを作成します。 |
| select-a-virtual-network | 前に作成した仮想ネットワークを選択します。 |
| public-ip-address | 新しいパブリックIPの選択または作成 |
次の項に進んで、ExpressRoute回路を仮想ネットワーク・ゲートウェイに接続します。
タスク5: Microsoft Azure上の接続を介した仮想ネットワーク・ゲートウェイへのExpressRoute回線の接続
ステップバイステップ・ガイドに従って、次の表で説明する最小パラメータを使用してExpressRoute接続を作成できます。
| パラメータ | 値 |
|---|---|
| サブスクリプション | サブスクリプションを選択します。 |
| リソース・グループ | your-resource-groupを選択します。前提条件ステップで作成する必要があるリソース・グループを選択します。 |
| 接続タイプ | ExpressRouteを選択します |
| 名前 | connection-nameを入力します |
| リージョン | VNET Gatewayを作成した(US)East USまたはRegionを選択します。 |
| 仮想ネットワーク・ゲートウェイ | 以前に作成したVNETゲートウェイを選択します。 |
| expressroute-circuit | 前提条件ステップで作成したExpressRoute回路を選択します。 |
両方のMicrosoft Azureリージョンで必要な接続を作成したら、次の項に進み、VNetsのサブネットのユーザー定義ルート表を作成します。
タスク6: Microsoft Azureでのユーザー定義ルートの作成
ステップバイステップ・ガイドに従って、次の表で説明する最小パラメータを使用して、各サブネットの関連表へのユーザー定義ルートを作成できます。
ゲートウェイ・サブネットのルート表エントリの構成
| パラメータ | 値 |
|---|---|
| route-name | ルート名の入力 |
| address-prefix-destination | 宛先接頭辞を入力します。例: ハブ・コンピュート・サブネット: 10.40.3.0/24、スポーク・コンピュート・サブネット: 10.30.1.0/24 |
| next-hop-type | 「Virtual Appliance」を選択します。 |
| ネクスト・ホップ・アドレス | 次のホップ・アドレスをファイアウォールのプライベートIPとして入力します。例: 10.40.1.4 |
必要なエントリがあることを確認し、そのルート表をハブVNetのゲートウェイ・サブネットに関連付けます。
ハブVNetルート表エントリでのコンピュート・サブネットの構成
| パラメータ | 値 |
|---|---|
| route-name | ルート名の入力 |
| address-prefix-destination | 宛先接頭辞を入力します。例: OCI Hub Compute Subnet: 10.10.0.0/24、OCI Spoke Compute Subnet: 10.20.0.0/24、Microsoft Azure Spoke Subnet: 10.30.1.0/24、Microsoft Azure Hub VNET: 10.40.0.0/16 |
| next-hop-type | 「Virtual Appliance」を選択します。 |
| ネクスト・ホップ・アドレス | 次のホップ・アドレスをファイアウォールのプライベートIPとして入力します。例: 10.40.1.4 |
必要なエントリがあることを確認し、このルート表をハブVNetのコンピュート・サブネットに関連付けます。
スポークVNetルート表エントリでのコンピュート・サブネットの構成
| パラメータ | Value |
|---|---|
| route-name | ルート名の入力 |
| address-prefix-destination | 宛先接頭辞を入力します。例: OCI Hub Compute Subnet: 10.10.0.0/24、OCI Spoke Compute Subnet: 10.20.0.0/24、Microsoft Azure Hub Compute Subnet: 10.40.3.0/24 |
| next-hop-type | 「Virtual Appliance」を選択します。 |
| ネクスト・ホップ・アドレス | 次のホップ・アドレスをファイアウォールのプライベートIPとして入力します。例: 10.40.1.4 |
必要なエントリがあることを確認し、このルート表をスポークVNetのコンピュート・サブネットに関連付けます。
必要なルートを作成したら、次の項に進み、仮想マシンを作成してMicrosoft AzureとOCIの間のトラフィックを検証します。
タスク7: Microsoft Azureでのユーザー定義ルートの作成
この項では、仮想マシンを作成して、Microsoft AzureからOracle Cloud Infrastructureへの接続を検証します。
-
Microsoft Azureポータルの画面の左上側で、「リソースの作成」、「コンピュート」、「仮想マシン」を選択します。
-
「仮想マシンの作成- 基本」で、この情報を入力または選択します。
設定 値 プロジェクト詳細 サブスクリプション サブスクリプションを選択します。 リソース・グループ your-resource-groupを選択します。前提条件ステップで作成する必要があるリソース・グループを選択します。 インスタンス詳細 仮想マシン名 vm-nameを入力します。 地域 デプロイする(US) East USまたはRegionを選択します。 可用性オプション デフォルトの「インフラストラクチャの冗長性なし」は必須のままにします。 イメージ 「Ubuntu Server 18.04 LTS - Gen1」を選択します。 サイズ Standard_B2sを選択します。 管理者アカウント 認証タイプ 「パスワード」を選択します。必要に応じて、SSHベースの認証を選択し、必要な値を更新することもできます。 ユーザー名 選択したユーザー名を入力します。 パスワード 選択したパスワードを入力します。パスワードは12文字以上の長さで、定義された複雑度の要件を満たしている必要があります。 パスワードの確認 パスワードを再入力します。 インバウンド・ポート・ルール パブリックインバウンドポート 「なし」を選択します。 -
「次: ディスク」を選択します。
-
「仮想マシンの作成- ディスク」で、デフォルトのままにして「次: ネットワーク」を選択します。
-
「仮想マシンの作成- ネットワーク」で、この情報を選択します。
設定 値 仮想ネットワーク 「virtual-network」を選択します。 サブネット compute-subnetを選択します。例: Hub VNetの10.40.3.0/24、Spoke VNetの10.30.1/24 パブリックIP デフォルトの(新しい) my-vm-ipのままにします。 パブリックインバウンドポート 「選択したポートを許可」を選択します。 インバウンドポートの選択 「SSH」を選択します。 -
「レビューおよび作成」を選択します。Microsoft Azureによって構成が検証される「レビュー+作成」ページが表示されます。
-
「検証に合格した」メッセージが表示されたら、「作成」を選択します。
スポークVMとハブVNet VMの両方でステップ1から7を繰り返し、次の項に進み、Oracle Cloud Infrastructureに必要なリソースを作成します。
タスク8: Oracle Cloud Infrastructureでのリソースの作成
この項では、相互接続されたリージョン内のOCIコンソールからの検証をサポートするために必要なリソースを作成します。OCIコンソールで、各リージョンに次のリソースを作成します。
-
コンピュート・サブネットを含むハブVirtual Cloudネットワークを作成します。
-
ハブVCNで必要な管理およびトラフィック・サブネットを作成します。
-
OCI Network FirewallをハブVCNにデプロイします。
-
コンピュート・サブネットを含むスポークVirtual Cloudネットワークを作成します。
-
OCI/Microsoft Azure相互接続仮想回線を持つ前提条件で作成されたDRGへのハブVCNアタッチメントを作成します。
-
作成されたDRGへのスポークVCNアタッチメントを作成し、OCIネットワーク・ファイアウォールへのイングレス・ルートを拡張します。
-
ハブおよびスポークVCNのコンピュート・サブネット内に仮想マシンを作成し、Microsoft Azure VNETに接続するために必要なルート/セキュリティ・リストを更新します。
-
DRGを介してMicrosoft Azure VNETへのVirtual Cloud Network接続を拡張します。このステップバイステップ・ガイドに従うことができます。
-
このステップバイステップ・ワークショップに従って、OCIネットワーク・ファイアウォールをハブ・アンド・スポーク・アーキテクチャでデプロイします。
-
VMを作成し、必要なVirtual Cloudネットワーク/サブネット作業を完了するには、このステップバイステップ・ガイドに従います。
-
ステップバイステップ・ガイドに従って、DRGを介したOCIリージョン間のリージョン・ピアリングを確立します。
タスク9: OCI/Microsoft Azure Interconnectでのトラフィックの検証
この項では、両方のクラウド・プロバイダのLinux VMに接続し、pingテストを実行して接続を確認します。
-
端末を使用して、両方のクラウド・プロバイダでLinux VMに接続します。
-
Microsoft Azure VMからOCI VMに、またはその逆にICMP RTTを開始します。
-
これにより、ネットワーク接続が保証されます。
-
次の表に、共有ネットワーク・トポロジに基づいて実行される接続テストを示し、Microsoft Azure環境のハブとスポークからOCIのハブとスポークに到達できることを反映しています。
-
仮想アプライアンス内で使用可能なファイアウォール・ログからのトラフィックを監視することもできます。
トラフィック検証 SRIOV/高速ネットワーク ICMP RTT (ミリ秒) OCI Hub VMからMicrosoft Azure Hub VMへ、10.10.1.168 > 10.40.3.4 はい 3.9 OCI Hub VMからMicrosoft AzureへのスポークVM、10.10.1.168 > 10.30.1.4 はい 4.5 OCI Hub VMからOCI Spoke VM、10.10.1.168 > 10.20.0.190 はい 0.75 OCI Spoke VMからMicrosoft Azure Hub VMへ、10.20.0.190 > 10.40.3.4 はい 4.52 OCI Spoke VMからMicrosoft AzureへのスポークVM、10.20.0.190 > 10.30.1.4 はい 5.33 OCI Spoke VMからOCI Hub VMへ、10.20.0.190 > 10.10.0.168 はい 0.64 Microsoft Azure Hub VMからMicrosoft Azure Spoke VM、10.40.3.4 > 10.30.1.4 はい 4.35 Microsoft Azure Hub VMからOCI Hub VMへ、10.40.3.4 > 10.10.0.168 はい 4.46 Microsoft Azure Hub VMからOCI Spoke VM、10.40.3.4 > 10.20.0.190 はい 4.68 Microsoft Azure Spoke VM to Microsoft Azure Hub VM、10.30.1.4 > 10.40.3.4 はい 4.72 Microsoft Azure Spoke VMからOCI Hub VM、10.30.1.4 > 10.10.0.168 はい 4.24 Microsoft Azure Spoke VMとOCI Spoke VM、10.30.1.4 > 10.20.0.190 はい 4.43
Microsoft AzureとOCIの間のICMP RTTは、ネットワーク・トポロジに従ってネイティブ・ファイアウォール・サービスを経由するインターコネクトとトラフィックを使用して、OCIとMicrosoft Azureのリージョン間に確立された接続を反映しています。
ノート: 前述の表では、リージョンおよびユースケース・アーキテクチャによって異なる可能性のある参照ポイントとしてICMP RTTが反映されています。POCを実行することをお薦めします。
リージョン間のMicrosoft Azureレイテンシの詳細は、Microsoft Learn: Microsoft Azureネットワーク・ラウンドトリップ・レイテンシ統計を参照してください
仮想マシン・レイテンシのテスト方法の詳細は、Microsoft Learn: Test Microsoft Azure virtual machine network latency in an Microsoft Azure virtual networkを参照してください
タスク10: リソースのクリーン・アップ
リソースの使用が完了したら、リソース・グループおよび関連リソースを削除します。
-
まだ実行していない場合は、インターコネクト・リンクを削除します。詳細は、ステップバイステップ・ガイドを参照してください。
-
ポータル上部の「検索」ボックスにyour-resource-group-nameと入力し、検索結果からyour-resource-group-nameを選択します。
-
「リソース・グループの削除」を選択します。
-
TYPE THE RESOURCE GROUP NAMEにyour-resource-group-nameと入力し、「削除」を選択します。
-
同様に、Oracle Cloud Infrastructureにデプロイされているリソースを削除します。
関連リンク
謝辞
-
著者 - プリンシパル・ソリューション・アーキテクト、Arun Poonia氏
-
コントリビュータ - Microsoft Azure Networking、グローバル・ブラック・ベルト・プリンシパル・ソリューション・スペシャリスト、Daniel Mauser氏
その他の学習リソース
docs.oracle.com/learnで他のラボをご覧いただくか、Oracle Learning YouTubeチャネルでより無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスして、Oracle Learning Explorerになります。
製品ドキュメントについては、Oracle Help Centerを参照してください。
Secure traffic between Oracle Cloud Infrastructure and Microsoft Azure using Network Virtual Appliance
F81212-02
July 2023
Copyright © 2023, Oracle and/or its affiliates.