1. 動的ルーティング・ゲートウェイ・ソリューションについて学習
  2. Dynamic Routing Gatewayソリューションについて学習

Dynamic Routing Gatewayソリューションについて学習

このリファレンス・ドキュメントを使用して、Oracle Cloud Infrastructure (OCI)仮想ネットワーク・ルーティングについて学習します。OCIクラウド・ネットワークでIPv4ルーティングを解読し、基本的なOCIルーティング機能を導入します。また、OCI仮想ネットワークを設計、操作またはトラブルシューティングする必要がある場合に役立つ、様々なデプロイメント・シナリオでの一般的なユースケースも提供します。

OCIは、ソフトウェア定義の仮想ネットワーク・ソリューションを提供します。OCIネットワークは、仮想クラウド・ネットワーク(VCN)、サブネット、ネットワーク・ゲートウェイ、OCIネイティブまたはサード・パーティのL4-7ネットワーク・サービス仮想アプライアンスなどで構成されます。ルーティングは、OCIネットワーク内の要素間、またはOCIネットワークとオンプレミス・ネットワークまたは他のクラウド・ネットワーク間でネットワーク接続を確立するためのコア機能です。

完全なネットワーク到達可能性には、セキュリティ・リストまたはネットワーク・セキュリティ・グループを介して管理される適切なルーティングおよびネットワーク・セキュリティ・ポリシー、またはネットワーク・ファイアウォール・アプライアンス上のポリシーによって実現されるネットワーク接続が必要です。このドキュメントでは、ルーティング機能および設計のみに重点を置いており、ネットワーク・セキュリティ・ポリシーの管理については説明していません。

OCIでは、IPv4とIPv6の両方に同じルーティング・メカニズムが使用されます。ただし、IPv6ネットワーク設計に追加する必要がある固有の考慮事項があります。たとえば、IPv6の異なるスコープと、IPv6インターネット・ルーティングがNATingを通過しないという事実です。IPv4およびIPv6ルーティングにも同じ理論が適用されますが、ここでのディスカッションと例はIPv4ルーティングに焦点を当てています。

DRGルーティングについて

動的ルーティング・ゲートウェイ(DRG)は、リージョン内のVCNを相互接続し、Oracle Cloud Infrastructure FastConnect仮想回線またはIPSec VPNトンネルを介してVCNをオンプレミス・ネットワークに接続するリージョナル仮想ルーターです。また、リモート・ピアリング接続(RPC)を介したリージョン間のネットワーク接続も提供します。

DRGは、中央ハブのように動作し、アタッチされているネットワーク・リソースを接続します。ネットワーク・リソースには、VCN、サイト間IPSec VPNトンネル、OCI FastConnect仮想回線またはRPCがあります。DRGにネットワーク・リソースがアタッチされると、対応するタイプのアタッチメントが作成されます:
  • Virtual Cloud Network Attachment (VCNアタッチメント): DRGにアタッチされたVCNの場合
  • 仮想回線アタッチメント(VCアタッチメント): OCI FastConnect仮想回線がDRGにアタッチされている場合
  • IPSecトンネル・アタッチメント: IPSecトンネルがDRGにアタッチされている場合
  • リモート・ピアリング接続アタッチメント(RPCアタッチメント): RPCがDRGにアタッチされている場合
DRGは、DRGルート表を使用してアタッチメント間でトラフィックをルーティングします。各アタッチメントはDRGルート表に関連付けられます。トラフィックはアタッチメントからDRGに入り、トラフィックのイングレス・アタッチメントに関連付けられたDRGルート表に基づいて、DRGによって別のアタッチメントにルーティングされます。

DRGのルーティング表

動的ルーティング・ゲートウェイ(DRG)は、DRGルート表を使用して、アタッチメント間のトラフィックをルーティングします。OCIでは、DRGごとに2つのルート表が自動的に生成されます。1つはVCNアタッチメント用、もう1つはIPSec用、OCI FastConnect仮想回線アタッチメントおよびリモート・ピアリング接続(RPC)アタッチメント用です。DRGルート表をさらに作成できます。
DRGルート表のルート・ルールには、次のフィールドが含まれます:
  • タイプ: ルート・タイプは動的でも静的でもかまいません。動的ルートはDRGアタッチメントからインポートされます。OCIコンソールまたはAPIを使用して、静的ルートを作成できます。
  • 宛先CIDR: 宛先CIDR。
  • 次のホップ・アタッチメント・タイプ: DRGルート表内のルート・ルールの次のホップは、宛先が存在するネットワークまたは宛先へのルート内のDRGアタッチメントです。アタッチメントには、VCNアタッチメント、リージョン間RPCアタッチメント、またはクロステナンシRPCアタッチメントを指定できます。VPNアタッチメントまたはOCI FastConnect仮想回線アタッチメントにはできません。
  • Next Hop Attachment Name: 添付の名前。
  • ルート・ステータス: ステータス。
次に、DRGルート表のコンテンツの例を示します。
タイプ 宛先CIDR 次のホップ・アタッチメント・タイプ 次のホップ・アタッチメント名 ルート・ステータス
動的 0.0.0.0/0 仮想クラウド・ネットワーク(VCN) 属性DRG-1-VCN-0 Active
動的 10.0.0.0/8 IPSecトンネル IPSecトンネルのDRGアタッチメント: IPSecオンプレミス2へのトンネル Active
動的 10.0.0.0/16 仮想クラウド・ネットワーク アタッチメントDRG 1からVCN 0 Active
動的 21.0.1.0/24 リモート・ピアリング接続 RPC用DRGアタッチメント: RPCからSJC-DRG-1 (us-west-1 San Jose-DRG-1) Active

各DRGアタッチメントには、1つのDRGルート表が関連付けられています。デフォルトでは、アタッチメント・タイプの自動生成されたDRGルート表です。ユーザーが作成したDRGルート表に変更できます。

トラフィックがDRGに到達すると、DRGは、トラフィックのイングレス・アタッチメントに関連付けられたDRGルート表に基づいてイングレス・ルーティング参照を実行します。ルーティング参照によって、ネクストホップ・アタッチメント(エグレス・アタッチメント)が解決されます。DRGは、トラフィックがネクストホップ・ネットワークに到達するエグレス・アタッチメントにトラフィックを送信します。DRGのエグレス・アタッチメントにルーティング参照はありません。

DRGルート表のルート・プリファレンス

DRGルート表に、同一接頭辞およびマスクの複数のルートが表示される可能性があります。動的ルーティング・ゲートウェイには、このようなルートの競合を解決するためのメカニズムが組み込まれています。この決定は、次のルート・プリファレンスに基づいて行われ、次の順序で評価されます。
  1. DRGルート表では、静的ルートは動的ルートよりも優先されます。
  2. DRGルート表内の動的ルートの中で、ASパスが短いルートは、ASパスが長いルートより優先されます。

    ノート:

    ルート・ソースがVCNまたはSTATICのルートには常に空のASパスがあります。IPSec VPNトンネルまたはOCI FastConnect仮想回線のルート・ソースを持つルートには、次の表に示すASパスがあります。
    ルート・ソース Oracleによるパス優先方法の詳細 ルートのASパスの結果
    OCI FastConnect OCIはルートにASNを付加しません。この結果、ASパスの合計長は1になります。 顧客ASN
    Border Gateway Protocol (BGP)ルーティングを使用したサイト間VPN OCIは、お客様のエッジ・デバイスがBGPを使用したサイト間VPNを介して通知するすべてのルートに単一のプライベートASNを追加し、ASパスの合計長は2になります。

    プライベートASN、

    顧客ASN
    静的ルーティングを使用したサイト間VPN OCIは、DRGへのこれらの静的ルートをBGP動的ルートとしてアドバタイズします。OCIは、これらのルートに3つのプライベートASNを付加します。この結果、ASパスの合計長は3になります。

    プライベートASN、

    プライベートASN、

    プライベートASN
  3. ルートをインポートしたアタッチメント・タイプは、そのアタッチメント・タイプに基づいて次の優先度に従って評価されます:
    1. VCN
    2. VIRTUAL_CIRCUIT: DRGルート表で等価コスト・マルチパス・ルーティング(ECMP)が無効になっている場合、DRGは任意だが安定した選択を行います。ECMPが有効な場合、すべてのルートがルート表に追加され、DRGはECMPを使用してルーティングの選択を行います。DRG内でサポートされるECMPの最大幅は8です。
    3. IPSEC_TUNNEL: DRGルート表でECMPが無効になっている場合、DRGは任意だが安定した選択を行います。ECMPが有効な場合、すべてのルートがルート表に追加され、DRGはECMPを使用してルーティングの選択を行います。DRG内でサポートされるECMPの最大幅は8です。
    4. REMOTE_PEERING_CONNECTION (RPC): DRGは、ネットワーク距離が最小のルートを選択します。

    2つのルートが同じネットワーク距離である場合、DRGは最も優先されるルート・ソースを持つルートを選択します(STATIC > VCN > VIRTUAL_CIRCUIT> IPSEC_TUNNEL)。

    2つのルートに同じルート・ソースがある場合、DRGは任意だが安定した選択を行います。

  4. 競合するルートが同じタイプのアタッチメントからインポートされた場合、競合は、アタッチメント・タイプに応じて異なる方法で解決されます:
    • VCNアタッチメント: 2つのVCNアタッチメントから同じCIDRがインポートされた場合、任意だが安定した決定手順を使用して1つのみが選択されます。
    • VIRTUAL_CIRCUITおよびIPSEC_TUNNELアタッチメント: CIDRが同じでAS_PATHの長さが異なる複数のルートがDRGルート表にインポートされた場合、AS_PATHの長さが最小のルートが選択されます。それ以外の場合は、任意だが安定した決定手順を使用して1つのルートが選択されます。
    • RPCアタッチメント: 同じCIDRが2つのRPCアタッチメントからインポートされた場合、任意で安定した決定手順を使用してそれらのうちの1つが選択されます。

DRGでのルート伝播およびルート・ディストリビューション・コントロールのインポート

VCN、OCI FastConnect仮想回線、IPSec VPNトンネルなどのネットワーク・リソースを動的ルーティング・ゲートウェイ(DRG)にアタッチできます。これらのネットワーク・リソースに関連付けられたルートは、DRGに伝播されます。ルート・ディストリビューションのインポート・ポリシーを使用して、動的ルートとしてDRGルート表にインポートします。

DRGでのルート伝播

次に、各DRGアタッチメント・タイプのネットワーク・リソースに関連付けられ、DRGに伝播されるルートを示します:

  • VCNアタッチメント

    VCN内のDRGアタッチメントに関連付けられているVCNルート表内のルート、およびVCN CIDRとそのサブネットCIDR。VCNがDRGにアタッチされると、DRGはDRGアタッチメントとしてVCNに表されます。VCNのルート表は、DRGを介したVCNイングレス・ルーティングのDRGアタッチメントに関連付けることができます。これは、DRGに伝播されるこのVCNルート表のルートです。VCNルート表がDRGアタッチメントに関連付けられていない場合、VCN CIDRとそのサブネットCIDRのみがDRGに伝播されます。

    これらのルートがDRGルート表にインポートされると、このVCNアタッチメントはルート内のネクストホップ・アタッチメントになります。

  • IPSecトンネル・アタッチメント

    IPSec接続でBorder Gateway Protocol (BGP)動的ルーティングが使用されるときにIPSec顧客構内機器(CPE)によって通知されるルート、またはIPSec接続で静的ルーティングが使用される場合は構成された静的ルート。

    これらのルートが動的ルートとしてDRGルート表にインポートされると、IPSecトンネル・アタッチメントがルートのネクストホップ・アタッチメントになります。

  • VCアタッチメント

    OCI FastConnect CPEによってBGPを介して通知されるルート。

    これらのルートがDRGルート表にインポートされると、VCアタッチメントはルート内のネクストホップ・アタッチメントになります。

  • RPCアタッチメント

    リモートDRGのRPCアタッチメントに関連付けられたDRGルート表内のすべてのルートが、ローカルDRGに伝播されます。

    これらのルートがローカルDRGルート表にインポートされると、RPCアタッチメントがルートのネクスト・ホップになります。

DRGでのルート・ディストリビューション・コントロールのインポート

特定のDRGルート表について、インポート・ルート・ディストリビューション・ポリシーを作成して適用し、ルート表にインポートされるルートを制御できます。アタッチメント・タイプ(すべてのVCNアタッチメントの一致など)、特定のアタッチメントまたはすべての一致などで照合できます。

VCNアタッチメントの自動生成されたDRGルート表には、すべてのDRGアタッチメントからルートをインポートするためのすべての文と一致するデフォルト・インポート・ルート・ディストリビューションがあります

IPSec、OCI FastConnect VCおよびRPCアタッチメントの自動生成されたDRGルート表には、すべてのVCNアタッチメントからルートのみをインポートする照合タイプのVCN文を持つデフォルトのインポート・ルート・ディストリビューションがあります。

ノート:

このデフォルトのインポート分散ポリシーは、他のアタッチメント・タイプによって伝播されたルートをこのDRGルート表にインポートしません。

すべてのVCNアタッチメントに自動生成されたDRGルート表を使用する場合、VCN間のフル・メッシュ・ルーティング接続を実現し、すべてのVCNには、リモート・リージョン内のすべてのオンプレミス・ネットワークおよびVCNに到達するためのルートが含まれます。

より制限されたルーティング接続を確立したり、ネットワークでルーティング・セグメンテーションを作成する場合は、異なるDRGアタッチメントに対して異なるインポート・ルート・ディストリビューション・ポリシーを持つ個別のDRGルート表を使用できます。たとえば、異なるDRGルート表および異なるインポート・ルート・ディストリビューションを使用して、同じDRGに3つのルーティング・セグメントを作成しました。

  • VCN-1、VCN-2およびVCN-3間の完全メッシュ接続
  • VCN-4とVCN-5間の接続
  • VCN-6とオンプレミス・ネットワーク間の接続

次のイメージは、DRGインポート・ルート・ディストリビューション・コントロールの例です。drg-import-route-distribution-control.pngの説明が続きます
図drg-import-route-distribution-control.pngの説明

drg-import-route-distribution-control oracle.zip

デフォルトでは、すべてのアタッチメントで自動生成されたDRGルート表がそのタイプに使用されますが、実際のネットワーク設計では、異なるルート・ルールおよび異なるルート・インポート・ディストリビューション・ポリシーを持つために、同じタイプのアタッチメントが必要になることがよくあります。これらのアタッチメント用に個別のDRGルート表を作成することをお薦めします。

DRGルーティング操作

動的ルーティング・ゲートウェイ(DRG)は、アタッチメント間のトラフィックをルーティングします。特定のトラフィック・フローでは、DRGにイングレス・アタッチメントとエグレス・アタッチメントがあります。

DRGでは、トラフィックがイングレス・アタッチメントを介してDRGに入ると、イングレス・ルーティング・モデルが使用されます。DRGでは、イングレス・アタッチメントに関連付けられたDRGルート表を使用して、トラフィックの移動先を決定します。宛先のルートがイングレス・アタッチメントのDRGルート表に存在する場合、ルートのネクストホップはDRGの別のアタッチメントである必要があります。VCNアタッチメント(宛先がVCN内にある場合)、IPSecまたは仮想回線アタッチメント(宛先がIPSecトンネルまたはOCI FastConnectを介してDRGに接続されたオンプレミス・ネットワークにある場合)、またはRPCアタッチメント(宛先がリモート・リージョンにある場合)です。宛先に一致するルートがない場合、トラフィックは削除されます。

次のイメージは、DRGルート操作の例です。

drg-routing-operation.pngの説明が続きます
図drg-routing-operation.pngの説明

drg-routing-operation-oracle.zip

この例では、Attachment-1から取得され、Attachment-2にある宛先ネットワークに送信されるトラフィックのDRGルーティング参照を示します。ルーティング参照は、イングレス・アタッチメントのDRGルート表(Attachment-1)で行われます。ルート表には、宛先のルート・ルールがあり、エグレス・アタッチメント(Attachment-2)がネクストホップ・アタッチメントです。

DRGアタッチメントは、DRGとアタッチメントの背後にあるネットワーク・リソース間の論理的なポイントツーポイント接続であるため、DRGはエグレス・アタッチメントで別のルーティング参照を行う必要がないため、アタッチメントを介してトラフィックを次のネットワーク・リソースに転送するだけです。次のネットワーク・リソースは、VCN、IPSecトンネルの反対側にあるルーティング・デバイス、OCI FastConnect仮想回線、またはリモート・リージョン内のDRGです。トラフィックを転送する場所を決定するために、独自のルーティング参照を実行するのは次のリソースまでです。たとえば、ネクスト・ホップ・アタッチメントがVCアタッチメントの場合、DRGはOCI FastConnect仮想回線を介してトラフィックをルーティングします。仮想回線の反対側のルーティング・デバイスは、トラフィックの受信時に独自のルーティングを実行します。ネクストホップがVCNアタッチメントの場合、DRGを介したVCNイングレス・ルーティングが実行されます。

次の図は、マルチホップ・ネットワーク・パスに沿ったルーティング参照プロセスを示しています。

routing-lookup-multi-hop-network-path.pngの説明が続きます
図routing-lookup-multi-hop-network-path.pngの説明

ルーティング- ルックアップ- マルチホップ- ネットワーク- パス-oracle.zip

この例では、イメージはオンプレミス・ネットワーク10.254.0.0/16とVCNサブネット10.1.1.0/24の間のルーティング・パスを示しています。VCNのデフォルトのローカル・ルーティングが簡略化に使用されます。エンドツーエンドのルーティング接続を実現するために、複数のDRGルート表およびVCNルート表が、各方向のルーティング参照の異なるポイントで使用されます。

  • ATT-VCのDRGルート表

    OCI FastConnect VCアタッチメントのDRGルート表: オンプレミス・ネットワークからVCN-1にトラフィックをルーティングします。

  • ATT-VCN-1のDRGルート表

    VCN-1アタッチメントのDRGルート表: VCN-1からオンプレミス・ネットワークにトラフィックをルーティングします。

  • DRGアタッチメントのVCNルート表

    VCN内のDRGアタッチメントのVCNルート表: VCN-1へのDRGを介したVCNイングレス・ルーティング。

    VCNにDRGアタッチメントに関連付けられたユーザー指定のルート表がない場合は、VCN CIDRのデフォルト・ローカル・ルートが使用されます。つまり、DRGはトラフィックをVCN内の宛先に直接ルーティングします。これは暗黙的なVCNローカル・ルートであり、ユーザーには表示されません。

  • サブネット・ルート表

    サブネット10.1.1.0/24のVCNルート表: VCN-1サブネットからDRGにトラフィックをルーティングします。

次の図は、VCN-1からオンプレミス・ネットワークへのトラフィック・ルーティングを示しています。

traffic-route-vcn-prem.pngの説明が続きます
図traffic-route-vcn-prem.pngの説明

traffic-route-vcn-prem oracle.zip

この例では、VCN-1アタッチメントのVCNサブネット・ルート表およびDRGルート表は、VCN-1サブネットのリソースからオンプレミス・ネットワーク内のリソースにトラフィックをルーティングします。

次の図は、OCI FastConnect VCアタッチメントのDRGルート表を示しています:

traffic-route-prem-vcn.pngの説明が続きます
図traffic-route-Prem-vcn.pngの説明

traffic-route-prem-vcn-oracle.zip

この例では、DRGイングレス・ルーティング用のVCN内のDRGアタッチメントに関連付けられたVCNルート表によって、オンプレミス・リソースからVCN-1サブネット内のリソースにトラフィックがルーティングされます。