ノート:

2つのテナントとそのDynamic Routing Gateways間のRPC接続の設定

はじめに

マルチテナントのOracle Cloud Infrastructure(OCI)環境では、ハイブリッド・ネットワーク・アーキテクチャと分散ネットワーク・アーキテクチャにとって、異なるテナント間のセキュアで効率的な通信を実現することが重要です。これを実現する1つの方法は、2つのテナントとそれに対応するDynamic Routing Gateways (DRG)の間にリモート・ピアリング接続(RPC)を設定することです。

イメージ

目的

前提条件

タスク1: リクエスタおよびアクセプタ・テナントの決定

Oracle Cloud Infrastructure(OCI)では、クラウド間通信またはリソース共有を設定する際に、OCI IAMポリシーの観点から、どのテナントがリクエスタであり、どのテナントがアクセプタであるかを定義することが重要です。これらのロールは、ユーザー、グループおよびコンパートメントの権限を定義するOCI IAMポリシーによって管理されます。

OCI IAMポリシー内でリクエスタ・ロールとアクセプタ・ロールを明確に定義することで、OCIテナントとコンパートメント全体のリソースへのセキュアで制御されたアクセスを許可する権限が正しく設定されていることを確認します。両方のテナントが連携して、適切な権限が付与され、セキュリティのベスト・プラクティスに準拠した方法でOCI IAMポリシーが設定されるようにする必要があります。

次の図は、RPCと相互に接続された2つのテナントの例を示しています。そのうちの1つがリクエスタ(REQ)として定義され、もう1つがアクセプタ(ACC)です。

イメージ

タスク2: 「リクエスタ」リージョンへの「アクセプタ」リージョンのサブスクライブ

2つのOCIテナント間にRPCを設定する場合、リクエスタをアクセプタ・テナント・リージョンにサブスクライブする必要がありますが、アクセプタをリクエスタ・リージョンにサブスクライブする必要はありません。その理由は次のとおりです。

リクエスタをアクセプタ・テナントにサブスクライブする必要がある理由:

アクセプタをリクエスタ・テナントにサブスクライブする必要がない理由:

要約すると、リクエスタはアクセプタをサブスクライブして、RPCを開始して接続を確立する必要がありますが、アクセプタはリクエストに応答するように構成するだけで、リクエスタ・テナントへのサブスクリプションは必要ありません。

次のイメージに、リクエスタOCIコンソールの例を示します。「Requestor」が「Acceptors」リージョンにサブスクライブされていることを確認します。

イメージ

次のイメージに、Acceptors OCIコンソールの例を示します。「Acceptors(アクセプタ)」が「Requestors(リクエスタ)」リージョンにサブスクライブされていないことを確認します。

イメージ

タスク3: 必要なパラメータの収集

リクエスタ側とアクセプタ側のOCI IAMポリシーを作成するために必要なパラメータを収集します。OCIでリモート・プロシージャ・コール・アクセスを設定する際のアクセプタ・テナントとリクエスタ・テナントの両方のOCI IAMポリシーで必要なフィールドを示す表を次に示します:

情報必須 要求者テナント 受入れ者テナント
テナンシOCID X X
グループの名前 X  
グループOCID X  
コンパートメント名 X X

OCI IAMポリシーを作成する前に、この情報が両側から収集されていることを確認してください。

タスク4: リクエスタ側およびアクセプタ側でのOCI IAMポリシーの作成および構成

RPCを機能させるための公式のOCI IAMポリシー・ドキュメントは、アップグレードされたDRGを使用したリモート・ピアリングにあります。

ポリシーを確認すると、リクエスタのOCI IAMポリシーで、アクセプタからいくつかの情報が必要であり、アクセプタOCI IAMポリシーではリクエスタからいくつかの情報が必要であることがわかります。これにより、ポリシーの作成が混乱することがあり、ポリシーが正しくない場合、RPCは起動せず、トラブルシューティングは困難になります。

この問題を解決するために、RPC IAMポリシー・ツールを作成しました。使用可能なRPCネットワーク・アーキテクチャはさらにありますが、RPC IAMポリシー・ツールを使用できるのは、各テナントに独自のDRGがある2つの異なるOCIテナント間にRPCを作成しようとする場合のみです。

次のイメージには、必要なすべての詳細を挿入するためのRPC IAMポリシー・ツールが提供するフォームが表示されます。フォームでは、実際に必要な詳細情報が求められますが、アクセプタ側およびリクエスタ側でRPCおよびOCI IAMポリシーの構成を開始する前に、すべての情報を1箇所にまとめておくことをお薦めします。

リクエスタ情報およびパラメータは赤色でマークされ、アクセプタ情報およびパラメータは青色でマークされます。

イメージ

次の図は、入力されたすべての情報の例を示しています。必須フィールドをすべて入力し、「送信」をクリックします。

イメージ

このツールは、次の情報を生成します。

イメージ

タスク4.1: リクエスタ側でのOCI IAMポリシーの作成および構成

  1. OCIコンソールにログインし、「アイデンティティとセキュリティ」に移動して、「ポリシー」をクリックします。

  2. ルート・コンパートメントを選択して「ポリシーの作成」をクリックします。

    イメージ

  3. 次の情報を入力し、「作成」をクリックします。

    • ポリシーの「名前」および「説明」を入力します。
    • 「手動エディタの表示」を選択します。
    • リクエスタ側のポリシー・ステートメントをポリシーにコピー/ペーストします。

    イメージ

    ポリシーを作成すると、構成されたポリシー・ステートメントが表示されます。

    イメージ

    ポリシーの概要ページに戻ると、構成されたポリシーが表示されます。

    イメージ

タスク4.2: アクセプタ側でのOCI IAMポリシーの作成および構成

  1. OCIコンソールにログインし、「アイデンティティとセキュリティ」に移動して、「ポリシー」をクリックします。

  2. ルート・コンパートメントを選択して「ポリシーの作成」をクリックします。

    イメージ

  3. 次の情報を入力し、「作成」をクリックします。

    • ポリシーの「名前」および「説明」を入力します。
    • 「手動エディタの表示」を選択します。
    • Acceptor側のポリシー・ステートメントをコピー/ペーストします。

    イメージ

    ポリシーを作成すると、構成されたポリシー・ステートメントが表示されます。

    イメージ

    ポリシーの概要に戻ると、構成されたポリシーが表示されます。

    イメージ

タスク5: リクエスタ側とアクセプタ側のDRGでのDRGアタッチメントの構成

Requestor側とAcceptor側にRPCを作成する必要があります。

タスク5.1: リクエスタ側でのRPCの作成

  1. OCIコンソールに移動し、「ネットワーキング」に移動して、「Dynamic Routing Gateways」をクリックします。

  2. 「リモート・ピアリング接続アタッチメント」および「リモート・ピアリング接続を作成」をクリックします。

    イメージ

  3. nameと入力し、「リモート・ピアリングコネクションの作成」をクリックします。

    イメージ

タスク5.2: Acceptor SideでのRPCの作成

  1. OCIコンソールに移動し、「ネットワーキング」に移動して、「Dynamic Routing Gateways」をクリックします。

  2. 「リモート・ピアリング接続アタッチメント」および「リモート・ピアリング接続を作成」をクリックします。

    イメージ

  3. nameと入力し、「リモート・ピアリングコネクションの作成」をクリックします。

    イメージ

  4. このOCIDを使用してリクエスタ側からRPC接続を確立する必要があるため、アクセプタ側からRPC OCIDを収集します。

    イメージ

タスク6: リクエスタ側からの接続の確立

  1. リクエスタ側からOCIコンソールに移動し、「ネットワーキング」「Dynamic Routing Gateways」に移動して、「リモート・ピアリング接続アタッチメント」をクリックします。

  2. タスク5で作成したリモート・ピアリング接続(アクセプタ側用に構成)をクリックします。

  3. 「接続の確立」をクリックします。

    イメージ

  4. 次の情報を入力し、「接続の確立」をクリックします。

    • アクセプタの「リージョン」を選択します。
    • タスク5で収集したRPC OCIDを貼り付けます。

    イメージ

    リクエスタがアクセプタ・リージョンにサブスクライブされており、右側のOCI IAMポリシーが構成され、右側のRPC OCIの場合、ピアリング・ステータスはリクエスタ側の「ピアリング済」に変更されます。

    イメージ

    RPCをクリックすると、ピアリングに関する追加情報を参照できます。

    • 「ピア・ステータス」「ピアリング済」であることに注意してください。
    • 「ピア・リージョン」「Jeddah」であることに注意してください。
    • これはクロス・テナンシ・ピアリングであることに注意してください。

    イメージ

  5. Acceptor側でピアリング・ステータスを確認することもできます。

    1. アクセプタ側からOCIコンソールに移動し、「ネットワーキング」「Dynamic Routing Gateways」に移動して、「リモート・ピアリング接続アタッチメント」をクリックします。

    2. リクエスタ側に対して構成されたリモート・ピアリング接続をクリックします。

    3. アクセプタ側では、「ピアリング・ステータス」「ピアリング済」に設定されています。

    イメージ

    RPCをクリックすると、ピアリングに関する追加情報を参照できます。

    • 「ピア・ステータス」「ピアリング済」であることを確認します。
    • 「ピア・リージョン」「リヤド」であることを確認します。
    • これがクロス・テナンシ・ピアリングであることに注意してください。

    イメージ

タスク7: 3つ以上のテナントを使用したRPCアーキテクチャの設計

2つ以上のサイトまたはテナント間にRPC接続を作成することもできます。

まとめ

2つのOCIテナント間にRPCを設定するには、慎重な計画、正確な構成、および正しいOCI IAMポリシーが必要です。このステップバイステップのチュートリアルに従うことで、別々のテナント内の2つのDRG間にセキュアで機能的な RPCが正常に確立されました。この接続により、スケーラブルでマルチテナントのOCIアーキテクチャを構築するための重要なコンポーネントであるネットワーク間のシームレスな通信が可能になります。

プロセスを簡素化し、潜在的なポリシー・エラーを排除するために、RPC IAMポリシー・ツールでは、リクエスタ・テナントとアクセプタ・テナントの両方に必要なOCI IAMポリシーを簡単に生成できます。ポリシー、DRGアタッチメントおよびリージョン・サブスクリプションが正しく構成されていることを確認すると、円滑なピアリング設定が保証されます。

基本的なRPC構成に加えて、3つ以上のテナントでマルチテナント・アーキテクチャを設計すると、OCIネットワークの柔軟性とスケーラビリティがさらに向上します。各テナントの役割(リクエスタ、アクセプタ、またはその両方)を理解することで、ハイブリッド・ワークロードと分散ワークロードを効率的にサポートする堅牢で相互接続された環境を構築できます。

OCIのネットワーキング機能を活用することで、エンタープライズ・ネットワーキングのベストプラクティスに沿った、セキュアでスケーラブルで高パフォーマンスのクロステナント・アーキテクチャを作成できます。問題が発生した場合は、OCI IAMポリシーとDRG構成を再確認することが、トラブルシューティングの第一歩となります。

この知識があれば、組織のネットワーキング要件を満たすために、Oracle Cloud InfrastructureでRPC接続を確立および拡張する機能が十分に備わっています。

確認

その他の学習リソース

docs.oracle.com/learnの他のラボを調べるか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、Oracle Learning Explorerになるには、education.oracle.com/learning-explorerにアクセスしてください。

製品ドキュメントについては、Oracle Help Centerを参照してください。