ノート:
- このチュートリアルでは、Oracle Cloudへのアクセスが必要です。無料アカウントにサインアップするには、Oracle Cloud Infrastructure Free Tierの開始を参照してください。
- Oracle Cloud Infrastructureの資格証明、テナンシおよびコンパートメントの値の例を使用します。演習を完了するときに、これらの値をクラウド環境に固有の値に置き換えます。
2つのテナントとそのDynamic Routing Gateways間のRPC接続の設定
イントロダクション
マルチテナントのOracle Cloud Infrastructure(OCI)環境では、ハイブリッド・ネットワーク・アーキテクチャと分散ネットワーク・アーキテクチャにとって、異なるテナント間の安全で効率的な通信を実現することが重要です。これを実現する1つの方法は、2つのテナントとそれに対応するDynamic Routing Gateways (DRG)の間にリモート・ピアリング接続(RPC)を設定することです。
目的
- 2つのDRG間のRPCを別々のOCIテナントで構成し、ネットワーク間のシームレスな接続を実現します。結局のところ、テナント間のセキュアなトラフィック・フローを可能にするRPCが稼働しており、OCIで堅牢なマルチテナント・アーキテクチャを構築できます。
前提条件
-
2つのOCIテナントへのアクセス:ネットワーク・コンポーネントを構成するには、両方のOCIテナントで管理者または適切な権限が必要です。
-
両方のテナントのDRG:各テナントには、DRGがすでに作成され、Virtual Cloud Network (VCN)にアタッチされている必要があります。
-
リージョンの互換性: DRGは、RPCをサポートするOCI商用リージョンと同じまたは異なるリージョンに存在する必要があります。クロスリージョンRPCはサポートされていますが、両方のリージョンにアクセスできる必要があります。リクエスタはアクセプタ・リージョンにサブスクライブする必要があります。
-
パブリック接続またはプライベート接続:プライベートIPを介した通信を許可するかどうかを決定し、競合を回避するために適切なサブネットCIDRブロックを計画していることを確認します。
-
VCNsおよびルーティング構成:両方のテナントのVCNsに、RPCを介したトラフィックを許可するルート表およびセキュリティ・リストが適切に構成されている必要があります。
-
クロステナント・ピアリングのポリシー: Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)ポリシーが設定されていることを確認し、様々なOCIテナント間のDRGピアリングを許可します。信頼を確立するために、両方のテナントに対してポリシーを定義する必要がある場合があります。
タスク1: リクエスタおよびアクセプタ・テナントの決定
Oracle Cloud Infrastructure (OCI)では、クラウド間通信またはリソース共有を設定する際に、OCI IAMポリシーの観点から、どのテナントがリクエスタで、どのテナントがアクセプタであるかを定義することが重要です。これらのロールは、ユーザー、グループおよびコンパートメントの権限を定義するOCI IAMポリシーによって管理されます。
OCI IAMポリシー内でリクエスタ・ロールとアクセプタ・ロールを明確に定義することで、OCIテナントおよびコンパートメント全体のリソースへのセキュアで制御されたアクセスを許可する権限が正しく設定されていることを確認します。両方のテナントが連携して、適切な権限が付与され、セキュリティのベスト・プラクティスに準拠した方法でOCI IAMポリシーが設定されていることを確認する必要があります。
-
リクエスタ・テナント:リクエスタは、別のOCIテナントまたはコンパートメントからのリソースへのアクセスのリクエストを開始するOCIテナント(またはテナント内の特定のコンパートメント)です。リクエスタのOCI IAMポリシーは、アクセプタのリソースにアクセスするために必要な権限を付与する必要があります。たとえば、リクエスタは、ユーザーがアクセプタ・テナントのリソースにアクセスできるようにするポリシーを作成する必要があります。
また、リクエスタは、リクエストを行うユーザーまたはグループに適切なOCI IAMロールが割り当てられていることを確認する必要があります。
-
アクセプタ・テナント:アクセプタは、アクセス・リクエストを受信し、必要な権限をリクエスタに付与するOCIテナント(またはコンパートメント)です。アクセプタのOCI IAMポリシーは、リクエスタが実行できるアクションとアクセスできるリソースを定義する必要があります。アクセプタのポリシーでは、このようなリクエストを受け入れることができるユーザーまたはグループも指定し、アクセスが安全に管理されるようにする必要があります。
アクセプタは、アクセス権の付与に加えて、OCI IAMポリシーを構成して、リクエスタが何を行う権限があるかを指定し、適切なスコープと最小権限の原則に従うようにする必要があります。
次の図は、2つのテナントがRPCと相互に接続され、一方がリクエスタ(REQ)として定義され、もう一方がアクセプタ(ACC)である例を示しています。
タスク2: リクエスタ・リージョンへのアクセプタ・リージョンのサブスクライブ
2つのOCIテナント間にRPCを設定する場合、リクエスタはアクセプタ・テナント・リージョンにサブスクライブする必要がありますが、アクセプタはリクエスタ・リージョンにサブスクライブする必要はありません。その理由は次のとおりです。
リクエスタをアクセプタ・テナントにサブスクライブする必要がある理由:
-
通信の開始:リクエスタ・テナントは、アクセプタ・テナントにリクエストを送信してRPCを開始するエンティティです。この通信を可能にするには、リクエスタをアクセプタにサブスクライブする必要があります。このアクセプタは、アクセプタのネットワークおよびサービスを認識して接続できます。
-
信頼および接続の確立:アクセプタ・テナントをサブスクライブすることで、リクエスタ・テナントは、アクセプタの環境と対話するために必要な信頼および接続を確立します。サブスクリプションにより、リクエスタは、ピアリング接続を介してアクセプタのサービスにトラフィックおよびリクエストを適切にルーティングできます。
アクセプタをリクエスタ・テナントにサブスクライブする必要がない理由:
-
アクセプタのパッシブ・ロール:アクセプタ・テナントは、リクエスタ・テナントからのリクエストのみを受信します。通信は開始しません。アクセプタはリクエスタによって行われたリクエストにのみ応答するため、リクエスタをサブスクライブする必要はありません。単に、受信リクエストを処理するためにアクセスして構成する必要があります。
-
一方向通信: RPCは通常、リクエスタがイニシエータである一方向通信フローで設定されます。アクセプタは、送信接続を開始または管理する必要がないため、リクエスタ・テナントへのサブスクリプションを必要としません。
要約すると、リクエスタはアクセプタをサブスクライブしてRPCを開始し、接続を確立する必要がありますが、アクセプタはリクエストに応答するように構成するだけで、リクエスタ・テナントへのサブスクリプションを必要としません。
次のイメージに、リクエスタOCIコンソールの例を示します。リクエスタが「Acceptors(アクセプタ)」リージョンにサブスクライブされていることを確認します。
次のイメージに、アクセプタOCIコンソールの例を示します。「Acceptors(アクセプタ)」が「Requestors(要求者)」リージョンにサブスクライブされていないことを確認します。
タスク3: 必要なパラメータの収集
リクエスタ側とアクセプタ側のOCI IAMポリシーを作成するには、必要なパラメータを収集します。OCIでのリモート・プロシージャ・コール・アクセスの設定時に、アクセプタ・テナントおよびリクエスタ・テナントの両方についてOCI IAMポリシーで必要なフィールドを示す表を次に示します:
必須情報 | 要求者テナント | アクセプタ・テナント |
---|---|---|
テナンシOCID | X | X |
グループ名 | X | |
グループOCID | X | |
コンパートメント名 | X | X |
OCI IAMポリシーを作成する前に、この情報が両側から収集されていることを確認してください。
タスク4: リクエスタ側およびアクセプタ側でのOCI IAMポリシーの作成および構成
RPCを機能させるための公式のOCI IAMポリシー・ドキュメントは、アップグレードされたDRGを使用したリモート・ピアリングを参照してください。
ポリシーを確認すると、リクエスタのOCI IAMポリシーで、アクセプタからの情報の一部が必要であり、アクセプタOCI IAMポリシーではリクエスタからの情報の一部が必要であることがわかります。これにより、ポリシーの作成がわかりにくくなり、ポリシーが正しくない場合、RPCは起動せず、トラブルシューティングは困難になります。
この問題を解決するために、RPC IAMポリシー・ツールを作成しました。より多くのRPCネットワーク・アーキテクチャを使用できますが、RPC IAMポリシー・ツールは、各テナントに独自のDRGがある2つの異なるOCIテナント間にRPCを作成しようとする場合にのみ使用できます。
次のイメージには、RPC IAMポリシー・ツールで必要な詳細をすべて挿入できるフォームが表示されます。このフォームでは、実際に必要な詳細が求められますが、アクセプタ側およびリクエスタ側でRPCおよびOCI IAMポリシーの構成を開始する前に、すべての情報を1箇所にまとめることをお薦めします。
リクエスタ情報およびパラメータは赤色でマークされ、アクセプタ情報およびパラメータは青色でマークされます。
次の図は、入力されたすべての情報の例を示しています。すべての必須フィールドを入力して、「発行」をクリックします。
このツールは、次の情報を生成します。
- 物事をパースペクティブに配置するために使用したパラメータを含む図。
- 使用したすべてのパラメータを含む表(これにスクリーンショットを撮ったり、後で参照できるようにこれをノートにコピー・ペーストできます)。
- リクエスタのOCI IAMポリシー。
- アクセプタのOCI IAMポリシー。
タスク4.1: リクエスタ側でのOCI IAMポリシーの作成および構成
-
OCIコンソールにログインし、「アイデンティティとセキュリティ」に移動して「ポリシー」をクリックします。
-
必ずルート・コンパートメントを選択して、「ポリシーの作成」をクリックします。
-
次の情報を入力し、「Create」をクリックします。
- ポリシーの「名前」および「説明」を入力します。
- 「手動エディタの表示」を選択します。
- リクエスタ側のポリシー・ステートメントをコピーしてポリシーに貼り付けます。
ポリシーを作成すると、構成されたポリシー・ステートメントが表示されます。
ポリシーの概要ページに戻ると、構成されているポリシーが表示されます。
タスク4.2: アクセプタ側でのOCI IAMポリシーの作成および構成
-
OCIコンソールにログインし、「アイデンティティとセキュリティ」に移動して「ポリシー」をクリックします。
-
必ずルート・コンパートメントを選択して、「ポリシーの作成」をクリックします。
-
次の情報を入力して、「Create」をクリックします。
- ポリシーの「名前」および「説明」を入力します。
- 「手動エディタの表示」を選択します。
- リクエスタ側のポリシー・ステートメントをコピーしてポリシーに貼り付けます。
ポリシーを作成すると、構成されたポリシー・ステートメントが表示されます。
ポリシーの概要に戻ると、構成されているポリシーが表示されます。
タスク5: リクエスタ側とアクセプタ側のDRGでのDRGアタッチメントの構成
リクエスタ側とアクセプタ側でRPCを作成する必要があります。
タスク5.1: リクエスタ側でのRPCの作成
-
OCIコンソールに移動し、「ネットワーキング」に移動して「Dynamic Routing Gateways」をクリックします。
-
「リモート・ピアリング接続アタッチメント」および「リモート・ピアリング接続の作成」をクリックします。
-
「name」と入力し、「Create remote peering connection」をクリックします。
タスク5.2: アクセプタ側でのRPCの作成
-
OCIコンソールに移動し、「ネットワーキング」に移動して「Dynamic Routing Gateways」をクリックします。
-
「リモート・ピアリング接続アタッチメント」および「リモート・ピアリング接続の作成」をクリックします。
-
「name」と入力し、「Create remote peering connection」をクリックします。
-
このOCIDを使用してリクエスタ側からRPC接続を確立する必要があるため、アクセプタ側からRPC OCIDを収集します。
タスク6: リクエスタ側からの接続の確立
-
依頼者側からOCIコンソールに移動し、「ネットワーキング」、「Dynamic Routing Gateways」に移動して、「リモート・ピアリング接続アタッチメント」をクリックします。
-
タスク5で作成したリモート・ピアリング接続(アクセプタ側用に構成)をクリックします。
-
「接続の確立」をクリックします。
-
次の情報を入力し、「接続の確立」をクリックします。
- 「アクセプタ」の「リージョン」を選択します。
- タスク5で収集したRPC OCIDを貼り付けます。
リクエスタがアクセプタ・リージョンにサブスクライブされ、適切なOCI IAMポリシーが構成され、適切なRPC OCIの場合、ピアリング・ステータスはリクエスタ側で「ピアリング済」に変更されます。
RPCをクリックすると、ピアリングに関する追加情報を確認できます。
- 「ピア・ステータス」が「ピアリング済」であることに注意してください。
- 「ピア・リージョン」が「Jeddah」であることに注意してください。
- これはクロス・テナンシ・ピアリングであることに注意してください。
-
また、アクセプタ側でピアリング・ステータスを確認することもできます。
-
アクセプタ側からOCIコンソールに移動し、「ネットワーキング」、「Dynamic Routing Gateways」に移動して、「リモート・ピアリング接続アタッチメント」をクリックします。
-
リクエスタ側用に構成されたリモート・ピアリング接続をクリックします。
-
「ピアリング・ステータス」も、アクセプタ側で「ピアリング済」に設定されています。
RPCをクリックすると、ピアリングに関する追加情報を確認できます。
- 「ピア・ステータス」が「ピアリング済」であることを確認します。
- 「ピア・リージョン」が「リヤド」であることを確認します。
- これがクロス・テナンシ・ピアリングであることを確認します。
-
タスク7: 3つ以上のテナントを含むRPCアーキテクチャの設計
2つ以上のサイトまたはテナント間にRPC接続を作成することもできます。
-
次のイメージでは、3つの異なるテナントが使用されていることがわかります。
- OCIリヤド(依頼者)
- OCI Jeddah (アクセプタ)
- OCIドバイ(アクセプタ)
この例では、Riyadhは2つのAcceptorsのRequestorとして機能するある種のハブ・サイトになります。
-
次のイメージでは、3つの異なるテナントが使用されていることがわかります。
- OCIリヤド(依頼者)
- OCI Jeddah (依頼者+受諾者)
- OCIドバイ(アクセプタ)
この例では、リヤドがジェッダの依頼者、ジェッダがドバイの依頼者となります。
-
次のイメージでは、3つの異なるテナントが使用されていることがわかります。
- OCI Riyadh (依頼者+受諾者)
- OCI Jeddah (アクセプタ)
- OCIドバイ(依頼者)
この例では、リヤドがジェッダの依頼者、ドバイの受け入れ者となります。
まとめ
2つのOCIテナント間でRPCを設定するには、慎重に計画し、正確な構成と適切なOCI IAMポリシーが必要です。このステップ・バイ・ステップのチュートリアルに従うことで、2つのDRG間のセキュアで機能的なRPCを別々のテナントに正常に確立できました。この接続により、ネットワーク間のシームレスな通信が可能になります。これは、スケーラブルでマルチテナントのOCIアーキテクチャを構築するための重要なコンポーネントです。
プロセスを簡素化し、潜在的なポリシー・エラーを排除するために、RPC IAMポリシー・ツールでは、リクエスタ・テナントとアクセプタ・テナントの両方に必要なOCI IAMポリシーを容易に生成できます。ポリシー、DRGアタッチメントおよびリージョナル・サブスクリプションが正しく構成されるようにすると、ピアリング設定がスムーズになります。
基本的なRPC構成だけでなく、3つ以上のテナントでマルチテナント・アーキテクチャを設計すると、OCIネットワークの柔軟性とスケーラビリティが向上します。各テナントの役割(リクエスタ、アクセプタ、またはその両方)を理解することで、ハイブリッドおよび分散ワークロードを効率的にサポートする堅牢で相互接続された環境を構築できます。
OCIのネットワーキング機能を活用することで、エンタープライズ・ネットワーキングのベストプラクティスに沿った、セキュアでスケーラブルで高パフォーマンスのクロステナント・アーキテクチャを作成できます。問題が発生した場合、OCI IAMポリシーおよびDRG構成を再確認することは、トラブルシューティングの最初のステップです。
この知識を手元に、Oracle Cloud InfrastructureでRPC接続を確立して拡張し、組織のネットワーキング要件を満たす十分な設備が整いました。
承認
- 作成者 - Iwan Hoogendoorn (OCIネットワーク・スペシャリスト)
その他の学習リソース
docs.oracle.com/learnの他のラボを確認するか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。
製品ドキュメントについては、Oracle Help Centerを参照してください。
Set up RPC Connection between Two Tenants and their Dynamic Routing Gateways
G30591-02
Copyright ©2025, Oracle and/or its affiliates.