接続テクノロジーの理解

Oracle Utilities Cloudサービス・アプリケーションと外部でホストされているアプリケーションと、データ・センターまたはサード・パーティのデータ・センターで統合する場合、トポロジと統合の要件に応じて、3つの異なる接続テクノロジを選択できます。

使用可能な接続テクノロジは次のとおりです。

• Oracle Cloud Infrastructure FastConnect
• IPsec VPN接続
• プロキシの取消

Oracle VPN接続の理解

Oracle VPN Connectを使用して、パブリック・インターネットを介して企業/プライベート・ネットワークをOracle Cloud Infrastructure (OCI)に接続できます。これは、OCI上のOracle Utilities Cloudサービスと統合された外部アプリケーションの間のパブリック・インターネットを介した仮想プライベート・トンネルを介したセキュアな通信を提供します。

外部アプリケーションを統合するために、OCIに接続する必要があるデータ・センターとサード・パーティのデータ・センターごとに個別のVPNを設定する必要があります。お客様はVPN接続を設定および構成する必要があります。VPN接続は、ポート時間料金なしで無料のサービスです。データ転送コストは、ネットワーキング・クラウドの価格の対象です。

VPN接続を使用するタイミング

これらの条件が存在する場合は、VPN接続の使用を検討する必要があります。

• Oracle Utilities Cloudサービスと統合する必要がある外部アプリケーションが企業プライベート・ネットワーク内にあり、データ・センター内からパブリック・インターネット(Oracle Utilities Cloudサービス・アプリケーションからのアウトバウンド)にAPIを公開する予定がない場合、またはアプリケーションがパブリック・インターネット(Oracle Utilities Cloudサービスにバインドされている)にアクセスできないが、Oracle Utilities Cloudサービスと統合する必要がある場合。

  外部アプリケーションのプライベート・エンドポイント/APIにアクセスする際、Oracle Cloud Infrastructure上の仲介者はVPN接続とともに必要になります。Oracle Utilities Cloudサービスは、SaaSからのアウトバウンド通信のためにプライベートIPアドレスに接続できません。統合のために、接続先のパブリックIPアドレスが必要です。

• 外部アプリケーションがCA発行証明書を使用せず、Oracle Cloud Infrastructure内で設定されたリバース・プロキシを使用する予定で、外部アプリケーションがAPIをパブリック・インターネットに公開していない場合。リバース・プロキシがOracle Cloud Infrastructureから外部アプリケーションに接続できるようにするには、VPN接続が必要な場合があります。
• Oracle Utilities Cloudサービスをデータ・センターまたはサード・パーティのデータ・センター内のアプリケーションと統合するために、パブリック・インターネット上で保護された通信チャネルが必要な場合。

VPN接続の準備

VPN Connectを実装して外部アプリケーションをOracle SaaSと統合する前に、次の手順を実行します。

• 設定の要件とタスクの理解
• 顧客提供の機器(CPE)を構成します。
• 冗長性を計画し、コストのかかるシステム停止を防止します。

IPSec VPN接続の設定

IPSec VPN接続ネットワークを外部アプリケーションとOracle SaaS間に設定することは、十分理解していないかぎり複雑になるマルチステップ・プロセスです。このトピックでは、必要なステップの基本的な概要を説明します。詳細は、「VPN接続を使用する前に」で参照されているVPN接続の設定を参照してください。

1. 実装に最適なルーティング・タイプを選択します。IPSec VPNには2つの冗長IPSecトンネルがあり、両方のトンネルを使用するように顧客提供の機器(CPE)デバイスを構成する必要があります。これらのトンネルには、次の2つのルーティング・タイプのいずれかを選択できます。
   • BGP動的ルーティング。使用可能なルートはBGPによって動的に学習されます。
   • 静的ルーティング。DRGへのIPSec接続を設定する場合は、VCNに通知する必要のある特定のルートをオンプレミス・ネットワークに指定します。
   ルーティング・タイプの選択の詳細は、「VPN接続を使用する前に」で参照されている「Oracle IPSec VPNのルーティング」を参照してください。
2. 「VPN接続を使用する前に」で参照されている「VPN接続の設定」の質問リストを完了します。これらの質問には、VCNのCIDR、CPEデバイスのパブリックIPアドレス、使用するルーティング・タイプ、その他の関連詳細などの情報が必要です。
3. IPSec VPNコンポーネントを設定します。
   1. VCNを作成します。
   2. DRGを作成します。
   3. DRGをVCNにアタッチします。
   4. DRGのルート表とルート・ルールを作成します。
   5. セキュリティ・リストおよび必要なルールを作成します。
   6. VCNのサブネットを作成します。
   7. CPEオブジェクトを作成し、CPEデバイスのパブリックIPアドレスを指定します。
   8. CPEオブジェクトへのIPSec接続を作成し、必要なルーティング情報を指定します。
4. CPE構成ヘルパーを使用して、CPEデバイスの構成時に使用するネットワーク・エンジニアの情報を生成します。詳細は、CPE構成ヘルパーの使用およびCPE構成(VPN接続を使用する前に)を参照してください。
5. ネットワーク・エンジニアがCPEデバイスを構成します。
6. 接続を検証します。

顧客提供の機材の構成

ネットワーク・エンジニアは、オンプレミス・デバイスの内部および外部インタフェース(顧客向け機器またはCPE)に関する基本情報を必要とします。これにより、これらのオンプレミス・デバイスをIPSec VPNの終端で構成できるため、トラフィックがオンプレミス・ネットワークとVCN間を移動できます。

ノート:

Oracleでは、VPN接続で使用する特定のソフトウェアが検証されましたが、ここにリストすることは、このプレイブックの範囲外です。このリストは、「VPN接続を使用する前に」で参照されている検証済CPEデバイスで参照できます。

ネットワークエンジニアは次の手順を実行する必要があります。

1. ルーティング要件を決定します。Oracleでは、IPSec VPN接続を構成する複数のトンネル間で非対称ルーティングが使用されます。1つのトンネルをプライマリとして、もう1つのトンネルをバックアップとして構成した場合でも、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上で稼働している任意のトンネルを使用できます。

   適切にファイアウォールを構成します。そうしないと、接続間でのpingテストまたはアプリケーション・トラフィックが確実に動作しません。IPSec VPNでBGP動的ルーティングを使用する場合、Oracleが1つのトンネルを相互に優先するようにルーティングを構成できます。

2. VCNおよび複数のIPSecトンネルに関する重要な情報を収集します。次のような情報があります:
   • VCN OCID。末尾にUUIDを持つ一意のOracle Cloud Infrastructure識別子
   • VCN CIDR
   • VCN CIDRサブネット・マスク
   • 各IPSecトンネルのOracle IPSecトンネル・エンドポイント(VPNヘッドエンド)および共有シークレットのIPアドレス
3. オンプレミス・デバイス(CPE)の内部または外部インタフェースに関する基本情報を収集します。
4. Oracle VPNヘッドエンドがルートベース・トンネルまたはポリシーベース・トンネルを使用するかどうかを決定します(ポリシーベース・トンネルを使用するにもいくつかの注意事項があります)。
5. 次のIPSec VPNのベスト・プラクティスを確認します。
   • すべてのIPSec接続に対してすべてのトンネルを構成します。
   • オンプレミスの場所に冗長CPEを配置します。
   • バックアップ集約ルートを検討します。
6. 接続ステータスをテストして確認します。IPSec接続を構成したら、VCN内にインスタンスを起動し、オンプレミス・ネットワークからpingして、接続をテストします。

プラン冗長性

IPSec VPN接続実装の冗長性は、信頼性の高いパフォーマンスを確保し、コストのかかるダウンタイムやシステムの他のストレスを最小化または排除します。冗長性を実装する場合は、効率性、速度および可用性を考慮して構築されたバックアップ・パスの作成が重要です。

冗長性のために計画するには、オンプレミス・ネットワークとOracle Cloud Infrastructure間のすべてのコンポーネント(ハードウェア、設備、回路および電源)を考慮します。また、多様性を考慮して、施設がパス間で共有されていないことを確認します。冗長性に関する考慮事項は次のとおりです。

コンポーネント	考慮事項
インターネット・サービス・プロバイダ(ISP)	すべてのISPが同じであるわけではありません。ISPからのピアリング関係によって、トラフィックのルーティング効率が向上し、インターネット上で変化する遅延が減少します。
ハードウェア	冗長ハードウェアでサービスを有効にし、パスのどこにも単一障害点がないことを確認します。インフラストラクチャのメンテナンスをどのように処理しますか(Oracleまたは独自のIT部門によって)。ダウンタイムを許容できますか?どれくらいのダウンタイムを許容できますか?
施設の多様性	冗長電源はありますか。貴社のビルには、多様な電気通信エントリ・ポイントがありますか。機器は異なるラックやデータ・センターに設置されていますか?
Oracle FastConnect POPの多様性	両方のFastConnect回線を同じPoint of Presence (POP)または別の場所に終了しますか。POPの多様性は、フェニックス、アッシュバーン、フランクフルトおよびロンドン地域でのみ使用できます。
回路プロバイダの多様性	多様なキャリアの使用を計画していますか?WANまたはインターネットの回線は完全に多様ですか?それともPOPを共有しますか?異なるキャリアを持つことは、回路が完全に多様であるということではありません。

冗長性計画の例をいくつか確認するには、このプレイブックの「VPN接続を使用する前に」で参照されている接続性冗長性ガイドの冗長性ユースケースを参照してください。

VPN接続を使用する前に

前述のVPN接続のベスト・プラクティスは、このサービスの詳細情報を含むOracle Cloud Infrastructureドキュメントから取り込まれました。VPN接続を使用する前に、次の点を確認する必要があります。

• VPN接続の前提条件チェックリストについては、「開始する前に」を参照してください。
• VPN接続の設定プロセスについて理解するには、「VPN接続の設定」を参照してください。
• 顧客提供の機器(CPE)デバイスおよびその構成のリストは、検証済CPEデバイスおよびCPE構成を参照してください。
• 冗長性計画のガイドラインについては、Planning Redundancyを参照してください。

OCI FastConnectの理解

Oracle FastConnectを使用すると、外部データ・センターとOracle Cloud Infrastructure (OCI)データ・センター間の通信プロバイダによる専用プライベート回線のインストールが可能になります。これにより、OCIデータ・センターと外部データ・センターを接続する個別の専用プライベート・ラインを通じて信頼性の高いセキュアな通信が提供され、パブリック・インターネット外の通信機能が提供されます。

Oracle FastConnectは、外部アプリケーションを統合するために、Oracle Utilities Cloudサービス・アプリケーションの顧客またはサードパーティ・データ・センターに属するデータ・センターで使用できます。サード・パーティのデータ・センターを備えたFastConnect機能には、追加の契約/労力が含まれる場合があります。FastConnect機能が必要な場合、お客様が個別にライセンスして構成する必要があります。

OCI FastConnectを使用する場合

外部アプリケーションとOracle Utilities Cloudサービス・アプリケーションをホストするデータ・センター間に高帯域幅の専用プライベート・ラインが必要な場合、OCI FastConnectを使用します。

OCI FastConnectを使用するための準備

Oracle Cloud Infrastructure FastConnectを実装して外部アプリケーションをOracle SaaSと統合する前に、次の手順を実行します。

• OCI FastConnectのドキュメントを確認します。
• OCI FastConnectの要件を理解します。
• 最も効果的な設計概念を確認します。
• 冗長性の計画。

FastConnectドキュメントのレビュー

Oracleでは、このプレイブックの範囲を超えるOCI FastConnectを実装して使用するための、素晴らしい包括的なドキュメントを提供しています。このコンテンツについては、「OCI FastConnectを使用する前に」のトピックのリンクを参照してください。

FastConnectの要件の理解

FastConnectの使用を開始する前に、一連の実装要件に対処する必要があります。

少なくとも、次の要件を満たす必要があります。

• 適切なOracle Cloud Infrastructure Identity and Access Management (IAM)権限を持つ少なくとも1人のユーザーが、Oracle Cloud Infrastructureアカウントを持っている。
• 適切なOracle Cloud Infrastructure Identity and Access Management (IAM)権限(たとえば、管理者グループのユーザー)を持ちます。
• BGPを使用したレイヤ3ルーティングをサポートするネットワーク機器がない。
• Oracleとのコロケーションの場合:選択したFastConnectの場所でシングル・モード・ファイバを使用して接続する機能。「ハードウェアおよびルーティングの要件」も参照してください。
• Oracleパートナに接続するには、パートナと少なくとも1つの物理ネットワーク接続が必要です。
• サードパーティ・プロバイダに接続するには、プロバイダとの少なくとも1つの物理接続が必要です。
• プライベート・ピアリングの場合のみ、VCNに既存のDRGを1つ以上設定する必要があります。
• パブリック・ピアリングのみの場合:接続で使用するパブリックIPアドレス接頭辞のリストが必要です。Oracleでは、各接頭辞の所有権が検証されます。

これらの要件の詳細は、このプレイブックの「OCI FastConnectを使用する前に」のトピックで参照されているハードウェアおよびルーティング要件のドキュメントに記載されています。

FastConnect設計オプションのレビュー

FastConnectには、Oracleプロバイダ、サードパーティ・プロバイダおよびコロケーションから選択できる3つのオプションがあります。このトピックでは、設計の重要な点を考慮して、実装に最適なオプションを選択できます。

FastConnectデプロイメントを計画する際には、次の3つの主要な点を考慮する必要があります。

• 最初に、接続するOracleの場所を決定します。

  Oracleには、リージョンと呼ばれる、世界中の様々な場所が用意されており、Oracle Cloud Infrastructureがデプロイされています。各リージョンには、FastConnectデータ・センター(DC)と呼ばれる1つまたは2つの物理エントリの場所があります。FastConnect DCはOCIリージョンへのエントリ・ポイントで、冗長ハードウェアを装備しています。FastConnect DCは、お客様が接続を確立する場所です。FastConnect対応リージョンの完全なリストは、OracleのNorth America Network Provider and Exchange PartnersのWebサイトで確認できます。「OCI FastConnectを使用する前に」のトピックで参照されています。

• 次に、FastConnect(仮想回線とも呼ばれる)を介して接続するサービスをidenitfyします。
  FastConnectは、オンプレミスとOracle Cloud Infrastructure (OCI)の間の物理接続を指します。FastConnect内で、OCI内のサービスに接続するための仮想回線を作成します。仮想回線には、次の2つのタイプがあります。

  • プライベート・ピアリング。これは、OCI内の仮想クラウド・ネットワーク(VCN)にオンプレミスを接続する際の仮想回線です。
  • パブリック・ピアリング:オンプレミス・システムをOracle Services Network (OSN)に接続したり、インターネットを使用せずにパブリック・サービスにアクセスしたりするために使用できる仮想回線です。
• 最後に、使用するFastConnectの種類を決定します。
  ニーズに最適なFastConnectオプションはどれですか(3つ選択してください)。この質問に答えるには、設計のいくつかの側面を考慮する必要があります。

  • お客様のデータセンターはどこにありますか?
  • お客様がOCIに接続するデータ・センターの数
  • 顧客とプロバイダまたは運送業者との関係について教えてください。
  • プロバイダが回路を配送できる場所、またはクロス・コネクト先
  • FastConnectはどのくらい速くデプロイできますか。原価レイテンシ帯域幅

  これらは、設計で適切なFastConnectオプションを選択する際に考慮する重要なポイントです。たとえば、顧客とプロバイダAとの良好な関係があるが、プロバイダAがOracleプロバイダでない場合、次のオプションはサード・パーティ・プロバイダまたはコロケーション・オプションを使用することです。プロバイダAがFastConnect DCに回線をデプロイできるが、FastConnect DCでクロス接続をデプロイできない場合は、別のプロバイダを参照する必要があります。顧客がFastConnect DCと同じ住所にない場合、コロケーションはオプションではありません。

これは、OCI FastConnectを実装するための設計オプションに対処する方法の概要にすぎません。これらの設計オプションの詳細は、「OCI FastConnectを使用する前に」のトピックで参照されている、FastConnect設計後のブログを参照してください。

プラン冗長性

OCI FastConnectの実装の冗長化により、信頼性に優れたパフォーマンスを実現し、コストのかかるダウンタイムやシステムのその他のストレスを最小化または排除できます。冗長性を実装する場合は、効率性、速度および可用性を考慮して構築されたバックアップ・パスの作成が重要です。

どの冗長性のベスト・プラクティスに従うべきかは、使用する接続モデルによって異なりますが、高可用性(HA)を実現するため、これらのタイプの中断に対して準備されるように、常にネットワークを設計する必要があります。

• 組織、プロバイダ(使用している場合)またはOracleによって定期的にスケジュールされたメンテナンス。
• ネットワーキング・コンポーネント、プロバイダまたはOracleの一部での予期しない障害。障害はほとんど発生しませんが、計画しておく必要があります。

冗長性のためにOracleでは、次の機能を提供しています:

• 各リージョンに複数のプロバイダ
• 次の各リージョンに対する2つのFastConnectの場所(他のすべてのリージョンには1つのFastConnectの場所があります)
  • ドイツ中央部(フランクフルト)
  • イギリス南部(ロンドン)
  • US East (Ashburn)
  • US West (Phoenix)
• 各FastConnectの場所にある2つのルーター
• 各OracleパートナとOracleパートナ間の複数の物理接続(特定のリージョン)

OCI FastConnect接続モデルに固有のベスト・プラクティスに関するより包括的な説明は、「OCI FastConnectを使用する前に」で参照されている1FastConnect冗長性のベスト・プラクティス1を参照してください。

OCI FastConnectを使用する前に

前述のOracle Cloud Infrastructure FastConnectのベスト・プラクティスは、このサービスに関する詳細情報を含むOCIドキュメントから取り込まれました。FastConnectを使用する前に、次を確認してください。

• 包括的なFastConnectのドキュメントは、FastConnectを参照してください。
• FastConnectの前提条件を理解するには、FastConnectの要件を参照してください。
• FastConnect実装を設計する際のベスト・プラクティスは、FastConnect設計およびFastConnect冗長性のベスト・プラクティスを参照してください。

逆プロキシの例の理解

リバース・プロキシは、1つ以上のサーバーをプロキシし、クライアントのかわりにそれらのサーバーからリソースを取得するプロキシ・サーバーのタイプです。クライアントは、そのリクエストをリバース・プロキシがサービスしているとみなし、リバース・プロキシが抽象化するサーバーに依存します。逆プロキシは、プライベート・エンド・ポイント/APIをパブリック・インターネットに公開したり、サーバー/アプリケーションが署名付き証明書を使用しない場合は、署名付き証明書を使用したセキュアな通信を提供するために使用できます。

OCI上のOracle Utilities Cloudサービス・アプリケーションとの統合のために、企業/プライベート・ネットワークにアクセスでき、リバース・プロキシを通じてアプリケーションの特定のエンドポイントをパブリック・インターネットに公開するデータ・センター・デミリタレス・ゾーンでリバース・プロキシをプロビジョニングできます。

Oracle Utilities Cloudサービス・アプリケーションと統合する必要がある外部アプリケーションにCA署名付き証明書がない場合(特にOracle Utilities Cloudサービス・アプリケーションからのアウトバウンド通信の場合)、外部アプリケーション/アプリケーションのプロキシにCA署名付き証明書を含むリバース・プロキシを設定できます。

1つのリバース・プロキシは、ネットワーク設定に従って複数のアプリケーションのプロキシに設定できます。逆プロキシは、Oracle Cloud Infrastructure、またはデータ・センターの非武装化ネットワーク・ゾーン内のいずれかで、適用性に基づいて設定できます。必要に応じてVMおよびその他のリソース・サブスクリプション、設定および構成を必要とする適切なプロキシ・ソフトウェアを使用して、Oracle Cloud Infrastructureでリバース・プロキシを設定できます。

リバース・プロキシを使用するタイミング

外部アプリケーションのAPIはパブリック・インターネットに公開されないため、外部アプリケーションのデータ・センターまたはOracle Cloud Infrastructureで設定されたリバース・プロキシは、それらのエンド・ポイントをOracle Utilities Cloudサービス・アプリケーションに公開できます。

Oracle Cloud Infrastructureでリバース・プロキシが設定されている場合、外部アプリケーションのAPIがパブリック・インターネットに公開されない場合、VPN接続が必要になることがあります。外部アプリケーションがCA署名付き証明書を使用しない場合は、その後、CAが発行した証明書を含む単一のリバース・プロキシを1つ以上の外部アプリケーションにプロキシするように設定できます。

OCIでリバース・プロキシを設定する例を次に示します:

1. OCIにリバース・プロキシを設定するには、VCNにVMインスタンスを作成します。
2. LinuxをVMのO/Sとして使用している場合は、VCNでイングレス・ルールを設定してVMへのSSHを許可します。
3. OCIで新しくプロビジョニングされたVMにリバース・プロキシ・ソフトウェアをダウンロードしてインストールし、Oracle Utilities Cloudサービスから通信を受信し、VPNを介して外部アプリケーションにルーティングできるように構成します。
4. Oracle Utilities Cloud Serviceがリバース・プロキシにアウトバウンド通信を送信できるように、パブリックIPアドレスでリバース・プロキシを設定してください。

このプレイブックの他の場所にある「使用可能な統合チャネルを理解」を参照して、サポートされているチャネルと外部システムとの統合に関する追加の要件を理解してください。

VPN接続とOCI FastConnectの違いの理解

Oracle Utilities Cloudサービス・アプリケーションと外部でホストされているアプリケーション間の統合を実装するためにリバース・プロキシを使用する必要はないが、IPSec VPN接続とOCI FastConnectのどちらを使用しているかがわからない場合は、この2つの違いを理解することで、正しい判断を行うことができます。

IPSec VPNは、外部アプリケーションのデータ・センターとOracle Cloud Infrastructure仮想クラウド・ネットワーク(VCN)間でインターネットを介した暗号化ネットワーク接続を確立します。これは低帯域幅または最小帯域幅を提供し、インターネットベースの接続には固有の変動があります。

FastConnectはインターネットをバイパスします。かわりに、外部アプリケーションのネットワークまたはデータ・センターとVCN間に専用のプライベート接続を使用します。

その他の比較は次のとおりです。

	IPSec VPN接続	OCI FastConnect
ユース・ケース	開発、テスト、小規模な本番ワークロード	エンタープライズクラスおよびミッション・クリティカルなワークロード、Oracle Applications、バックアップ、DR
サポートされているサービス	VCN内のすべてのOCIサービス	VCN内のすべてのOCIサービス
標準的な帯域幅	通常< 250 Mbps集約	帯域幅の向上、1 Gbpsおよび10 Gbpsポートの増加
インターネット	Internet Protocol Security (IPsec)	BGP (Border Gate Protocol)
ルーティング	静的ルーティング	動的ルーティング
接続耐障害性	アクティブ-アクティブ	アクティブ-アクティブ
暗号化	デフォルトでは「はい」	いいえ、仮想ファイアウォールを使用して実現できます。
価格設定	マネージド・サービスを無料で	請求可能ポート時間可用性ドメイン間のデータ転送費用なし
サービス・レベル合意	サービス・レベル合意なし	99.9%の可用性を保証するサービス・レベル契約