ノート:

2つのテナントとそのDynamic Routing Gateways間のRPC接続の設定

イントロダクション

マルチテナントのOracle Cloud Infrastructure(OCI)環境では、ハイブリッド・ネットワーク・アーキテクチャと分散ネットワーク・アーキテクチャにとって、異なるテナント間の安全で効率的な通信を実現することが重要です。これを実現する1つの方法は、2つのテナントとそれに対応するDynamic Routing Gateways (DRG)の間にリモート・ピアリング接続(RPC)を設定することです。

イメージ

目的

前提条件

タスク1: リクエスタおよびアクセプタ・テナントの決定

Oracle Cloud Infrastructure (OCI)では、クラウド間通信またはリソース共有を設定する際に、OCI IAMポリシーの観点から、どのテナントがリクエスタで、どのテナントがアクセプタであるかを定義することが重要です。これらのロールは、ユーザー、グループおよびコンパートメントの権限を定義するOCI IAMポリシーによって管理されます。

OCI IAMポリシー内でリクエスタ・ロールとアクセプタ・ロールを明確に定義することで、OCIテナントおよびコンパートメント全体のリソースへのセキュアで制御されたアクセスを許可する権限が正しく設定されていることを確認します。両方のテナントが連携して、適切な権限が付与され、セキュリティのベスト・プラクティスに準拠した方法でOCI IAMポリシーが設定されていることを確認する必要があります。

次の図は、2つのテナントがRPCと相互に接続され、一方がリクエスタ(REQ)として定義され、もう一方がアクセプタ(ACC)である例を示しています。

イメージ

タスク2: リクエスタ・リージョンへのアクセプタ・リージョンのサブスクライブ

2つのOCIテナント間にRPCを設定する場合、リクエスタはアクセプタ・テナント・リージョンにサブスクライブする必要がありますが、アクセプタはリクエスタ・リージョンにサブスクライブする必要はありません。その理由は次のとおりです。

リクエスタをアクセプタ・テナントにサブスクライブする必要がある理由:

アクセプタをリクエスタ・テナントにサブスクライブする必要がない理由:

要約すると、リクエスタはアクセプタをサブスクライブしてRPCを開始し、接続を確立する必要がありますが、アクセプタはリクエストに応答するように構成するだけで、リクエスタ・テナントへのサブスクリプションを必要としません。

次のイメージに、リクエスタOCIコンソールの例を示します。リクエスタが「Acceptors(アクセプタ)」リージョンにサブスクライブされていることを確認します。

イメージ

次のイメージに、アクセプタOCIコンソールの例を示します。「Acceptors(アクセプタ)」が「Requestors(要求者)」リージョンにサブスクライブされていないことを確認します。

イメージ

タスク3: 必要なパラメータの収集

リクエスタ側とアクセプタ側のOCI IAMポリシーを作成するには、必要なパラメータを収集します。OCIでのリモート・プロシージャ・コール・アクセスの設定時に、アクセプタ・テナントおよびリクエスタ・テナントの両方についてOCI IAMポリシーで必要なフィールドを示す表を次に示します:

必須情報 要求者テナント アクセプタ・テナント
テナンシOCID X X
グループ名 X  
グループOCID X  
コンパートメント名 X X

OCI IAMポリシーを作成する前に、この情報が両側から収集されていることを確認してください。

タスク4: リクエスタ側およびアクセプタ側でのOCI IAMポリシーの作成および構成

RPCを機能させるための公式のOCI IAMポリシー・ドキュメントは、アップグレードされたDRGを使用したリモート・ピアリングを参照してください。

ポリシーを確認すると、リクエスタのOCI IAMポリシーで、アクセプタからの情報の一部が必要であり、アクセプタOCI IAMポリシーではリクエスタからの情報の一部が必要であることがわかります。これにより、ポリシーの作成がわかりにくくなり、ポリシーが正しくない場合、RPCは起動せず、トラブルシューティングは困難になります。

この問題を解決するために、RPC IAMポリシー・ツールを作成しました。より多くのRPCネットワーク・アーキテクチャを使用できますが、RPC IAMポリシー・ツールは、各テナントに独自のDRGがある2つの異なるOCIテナント間にRPCを作成しようとする場合にのみ使用できます。

次のイメージには、RPC IAMポリシー・ツールで必要な詳細をすべて挿入できるフォームが表示されます。このフォームでは、実際に必要な詳細が求められますが、アクセプタ側およびリクエスタ側でRPCおよびOCI IAMポリシーの構成を開始する前に、すべての情報を1箇所にまとめることをお薦めします。

リクエスタ情報およびパラメータは赤色でマークされ、アクセプタ情報およびパラメータは青色でマークされます。

イメージ

次の図は、入力されたすべての情報の例を示しています。すべての必須フィールドを入力して、「発行」をクリックします。

イメージ

このツールは、次の情報を生成します。

イメージ

タスク4.1: リクエスタ側でのOCI IAMポリシーの作成および構成

  1. OCIコンソールにログインし、「アイデンティティとセキュリティ」に移動して「ポリシー」をクリックします。

  2. 必ずルート・コンパートメントを選択して、「ポリシーの作成」をクリックします。

    イメージ

  3. 次の情報を入力し、「Create」をクリックします。

    • ポリシーの「名前」および「説明」を入力します。
    • 「手動エディタの表示」を選択します。
    • リクエスタ側のポリシー・ステートメントをコピーしてポリシーに貼り付けます。

    イメージ

    ポリシーを作成すると、構成されたポリシー・ステートメントが表示されます。

    イメージ

    ポリシーの概要ページに戻ると、構成されているポリシーが表示されます。

    イメージ

タスク4.2: アクセプタ側でのOCI IAMポリシーの作成および構成

  1. OCIコンソールにログインし、「アイデンティティとセキュリティ」に移動して「ポリシー」をクリックします。

  2. 必ずルート・コンパートメントを選択して、「ポリシーの作成」をクリックします。

    イメージ

  3. 次の情報を入力して、「Create」をクリックします。

    • ポリシーの「名前」および「説明」を入力します。
    • 「手動エディタの表示」を選択します。
    • リクエスタ側のポリシー・ステートメントをコピーしてポリシーに貼り付けます。

    イメージ

    ポリシーを作成すると、構成されたポリシー・ステートメントが表示されます。

    イメージ

    ポリシーの概要に戻ると、構成されているポリシーが表示されます。

    イメージ

タスク5: リクエスタ側とアクセプタ側のDRGでのDRGアタッチメントの構成

リクエスタ側とアクセプタ側でRPCを作成する必要があります。

タスク5.1: リクエスタ側でのRPCの作成

  1. OCIコンソールに移動し、「ネットワーキング」に移動して「Dynamic Routing Gateways」をクリックします。

  2. 「リモート・ピアリング接続アタッチメント」および「リモート・ピアリング接続の作成」をクリックします。

    イメージ

  3. name」と入力し、「Create remote peering connection」をクリックします。

    イメージ

タスク5.2: アクセプタ側でのRPCの作成

  1. OCIコンソールに移動し、「ネットワーキング」に移動して「Dynamic Routing Gateways」をクリックします。

  2. 「リモート・ピアリング接続アタッチメント」および「リモート・ピアリング接続の作成」をクリックします。

    イメージ

  3. name」と入力し、「Create remote peering connection」をクリックします。

    イメージ

  4. このOCIDを使用してリクエスタ側からRPC接続を確立する必要があるため、アクセプタ側からRPC OCIDを収集します。

    イメージ

タスク6: リクエスタ側からの接続の確立

  1. 依頼者側からOCIコンソールに移動し、「ネットワーキング」「Dynamic Routing Gateways」に移動して、「リモート・ピアリング接続アタッチメント」をクリックします。

  2. タスク5で作成したリモート・ピアリング接続(アクセプタ側用に構成)をクリックします。

  3. 「接続の確立」をクリックします。

    イメージ

  4. 次の情報を入力し、「接続の確立」をクリックします。

    • 「アクセプタ」の「リージョン」を選択します。
    • タスク5で収集したRPC OCIDを貼り付けます。

    イメージ

    リクエスタがアクセプタ・リージョンにサブスクライブされ、適切なOCI IAMポリシーが構成され、適切なRPC OCIの場合、ピアリング・ステータスはリクエスタ側で「ピアリング済」に変更されます。

    イメージ

    RPCをクリックすると、ピアリングに関する追加情報を確認できます。

    • 「ピア・ステータス」「ピアリング済」であることに注意してください。
    • 「ピア・リージョン」「Jeddah」であることに注意してください。
    • これはクロス・テナンシ・ピアリングであることに注意してください。

    イメージ

  5. また、アクセプタ側でピアリング・ステータスを確認することもできます。

    1. アクセプタ側からOCIコンソールに移動し、「ネットワーキング」「Dynamic Routing Gateways」に移動して、「リモート・ピアリング接続アタッチメント」をクリックします。

    2. リクエスタ側用に構成されたリモート・ピアリング接続をクリックします。

    3. 「ピアリング・ステータス」も、アクセプタ側で「ピアリング済」に設定されています。

    イメージ

    RPCをクリックすると、ピアリングに関する追加情報を確認できます。

    • 「ピア・ステータス」「ピアリング済」であることを確認します。
    • 「ピア・リージョン」「リヤド」であることを確認します。
    • これがクロス・テナンシ・ピアリングであることを確認します。

    イメージ

タスク7: 3つ以上のテナントを含むRPCアーキテクチャの設計

2つ以上のサイトまたはテナント間にRPC接続を作成することもできます。

まとめ

2つのOCIテナント間でRPCを設定するには、慎重に計画し、正確な構成と適切なOCI IAMポリシーが必要です。このステップ・バイ・ステップのチュートリアルに従うことで、2つのDRG間のセキュアで機能的なRPCを別々のテナントに正常に確立できました。この接続により、ネットワーク間のシームレスな通信が可能になります。これは、スケーラブルでマルチテナントのOCIアーキテクチャを構築するための重要なコンポーネントです。

プロセスを簡素化し、潜在的なポリシー・エラーを排除するために、RPC IAMポリシー・ツールでは、リクエスタ・テナントとアクセプタ・テナントの両方に必要なOCI IAMポリシーを容易に生成できます。ポリシー、DRGアタッチメントおよびリージョナル・サブスクリプションが正しく構成されるようにすると、ピアリング設定がスムーズになります。

基本的なRPC構成だけでなく、3つ以上のテナントでマルチテナント・アーキテクチャを設計すると、OCIネットワークの柔軟性とスケーラビリティが向上します。各テナントの役割(リクエスタ、アクセプタ、またはその両方)を理解することで、ハイブリッドおよび分散ワークロードを効率的にサポートする堅牢で相互接続された環境を構築できます。

OCIのネットワーキング機能を活用することで、エンタープライズ・ネットワーキングのベストプラクティスに沿った、セキュアでスケーラブルで高パフォーマンスのクロステナント・アーキテクチャを作成できます。問題が発生した場合、OCI IAMポリシーおよびDRG構成を再確認することは、トラブルシューティングの最初のステップです。

この知識を手元に、Oracle Cloud InfrastructureでRPC接続を確立して拡張し、組織のネットワーキング要件を満たす十分な設備が整いました。

承認

その他の学習リソース

docs.oracle.com/learnの他のラボを確認するか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。

製品ドキュメントについては、Oracle Help Centerを参照してください。