ネットワークおよび接続性アーキテクチャの定義

リソースをクラウドにデプロイする場合、Oracle Cloudとオンプレミス・ネットワーク間の単一のVPN接続またはOracle Cloud Infrastructure FastConnect接続から始めることができます。冗長性を計画するには、オンプレミス・ネットワークとクラウド間のすべてのコンポーネント(ハードウェア、施設、回路および電源)を考慮します。また、パス間でファシリティが共有されないように、多様性を考慮してください。

オンプレミス環境およびプライベート・リソースへの冗長接続の使用

エンタープライズ・アーキテクト、クラウド・アーキテクト、インフラストラクチャ・リーダー、ネットワーク管理者

オンプレミス環境とOracle Cloud Infrastructure (OCI)のプライベート・リソース間で高可用性および冗長接続を使用します。

オンプレミス環境をクラウド内のプライベート・リソースに接続するには、次のオプションを使用できます。

• VPN接続

  インターネット上の暗号化されたIPセキュリティ(IPSec) VPNトンネルを使用して、高可用性および冗長VPN接続を作成します。IPSecは、パケットがソースから宛先に転送される前に、すべてのIPトラフィックを暗号化するプロトコル・スイートです。Oracleにより、VPN接続ごとに冗長なIPSecトンネルが作成されます。トンネルは論理的かつ物理的に分離されているため、可能な場合は、可用性を最大化するために両方のトンネルを異なるCPEに接続する必要があります。

• Oracle Cloud Infrastructure FastConnect

  データ・センターとOCI間に専用のプライベート接続を作成します。Oracle Cloud Infrastructure FastConnectは、高帯域幅オプションを備えており、インターネットベースの接続に比べて、より信頼性の高い一貫性のあるネットワーキング・エクスペリエンスを提供します。エンドツーエンド接続は、仮想回線と呼ばれます。冗長性のために、複数の仮想回線をインストールすることを常にお薦めします。Oracle Cloud Infrastructure FastConnectは、ボーダー・ゲートウェイ・プロトコル(BGP)を使用して、トラフィックが最適なパスを使用するようにします。

Oracle Cloud Infrastructure FastConnectでは、次の接続モデルを使用できます。

• Oracleプロバイダの使用

  OracleのFastConnectパートナにクラウド接続サービスを要求することによって、Oracle Cloudリソースがプロビジョニングされるデータ・センターにオンプレミスまたはリモート・データ・センターからFastConnect接続を確立できます。FastConnectサービスは、Oracle Cloudサービスへの接続を簡単に確立できるように、地理的に多様なIP、VPN、イーサネット・ネットワーク・プロバイダおよびクラウド交換と統合されています。

  この接続モデルは、いずれかのOracle FastConnectパートナのネットワーク接続サービスを使用することを計画しているか、すでに使用している場合に適しています。選択したパートナに応じて、Oracle FastConnectパートナから冗長なクラウド接続サービスをオーダーする必要がある場合があります。

• サードパーティ・プロバイダの使用

  Oracle FastConnectパートナではないネットワーク・キャリアにプライベートまたは専用回線をオーダーすることで、クラウド・リソースがプロビジョニングされているOracleデータ・センターへのリモート・データ・センターからFastConnect接続を確立できます。このサード・パーティ・ネットワーク・キャリア(通常はMPLS VPNプロバイダ)は、オンプレミス・ネットワークとOracleのFastConnectエッジ・デバイス間の物理接続(Oracleのデータ・センター内の最後の接続を含む)に責任を負います。Oracleは、回路のプロビジョニングを行うネットワーク・キャリアに渡す必要がある認可書(LOA)を提供しています。冗長性を提供するために、ネットワーク・キャリアからOracleデータ・センターにこのような回線を2つ注文する必要があります。

  この接続モデルは、特定のネットワーク・キャリアとすでに関係がある場合や、オンプレミス・データ・センターまたはリモート・データ・センターの場所に対応しているOracleのFastConnectパートナがない場合に適しています。

• Oracleとのコロケート

  データセンター・プロバイダからコロケーション・スペースを購入した場合は、Oracle Cloud Infrastructure FastConnectを使用して、そのコロケーション施設内のネットワーク機器から、このロケーションにプロビジョニングされるOracle Cloudサービスへの接続を確立できます。Oracleは、データ・センター・プロバイダがOracleのFastConnectエッジ・デバイスへのダイレクト・クロスコネクトの確立に必要な認可書(LOA)を提供しています。

  この接続モデルは、Oracle Cloud Infrastructure FastConnectロケーションにすでにプレゼンスがあるか、そこにコロケーション・プレゼンスを確立する予定である場合に適しています。冗長性を提供するには、データ・センターへのこのような接続を2つ注文する必要があります。

• 冗長性に関する推奨事項
  • OCIベースのリソースへのアクセスをFastConnectに依存している場合は、プロバイダへのパスが重複していることを確認します。可能な場合は、複数の運送業者を利用します。
  • 複数のリージョンでワークロードを実行している場合は、FastConnect接続のリージョナル・フェイルオーバーを検討するか、リージョン内冗長性の障害が発生した場合にVPNをバックアップとして利用します。
  • 冗長FastConnectを作成できない場合は、バックアップVPN接続を作成することをお薦めします。帯域幅は低くなり、待機時間が長くなる可能性がありますが、FastConnectに問題がある場合は、VPNを介した接続を維持することをお薦めします。ネットワーク・トラフィックがデフォルトで優先パスに設定されていることを確認し、障害シナリオでトラフィック・リダイレクトをテストします。

プライベート環境間で重複しないプライベート・ネットワーク範囲の確立

クラウド・アーキテクト、インフラストラクチャ・リード、ネットワーク管理者

ピアリング関係を可能にするために、プライベート環境間で重複しないプライベート・ネットワーク範囲を確立してください。

複数の仮想クラウド・ネットワーク(VCN)間にローカル・ピアリングおよびリモート・ピアリングの関係があるのは、それらのプライベートIPアドレス範囲が重複していない場合のみです。同様に、VCNを類似したIP範囲を持つオンプレミス・プライベート環境に接続する場合は、オーバーラップしないでください。リージョン内に複数のVCNをデプロイする場合は、ルーティング構成を簡略化するために、すべてのCIDRがより大きな連続CIDRブロック(スーパーネットワーク)の一部を形成していることを確認してください。

拡張できるように仮想クラウド・ネットワークのサイズを設定

クラウド・アーキテクト、インフラストラクチャ・リード、ネットワーク管理者

VCNおよびサブネットを作成する場合は、将来のワークロードと拡張の余地を確保します。

CIDR範囲を増やすことも、CIDR範囲をVCNに追加することもできますが、VCNのサイズを最初から適切に設定することをお薦めします。障害時リカバリ・アクティビティの容量など、将来の成長に対応できるVCN CIDRおよびサブネットCIDR範囲を作成していることを確認します。

次を考えてみます:

• Oracle Cloud Infrastructure Load BalancingおよびOracle Cloud Infrastructure File Storageサービスを含む多くのサービスは、サブネット内の複数のIPアドレスを使用して高可用性サービスを提供します。
• VCNで作成されるすべてのサブネットはCIDR範囲内にあります。
• CIDRを追加してVCNを拡張することは可能ですが、Oracle Cloud Infrastructure FastConnectを利用する場合は、オンプレミス・ネットワークからCIDRを追加で到達できるようにするための追加ステップが必要になることがあります。

パブリック・ワークロードのフォルト・トレラントおよび高可用性接続の確立

エンタープライズ・アーキテクト、クラウド・アーキテクト、インフラストラクチャ・リーダー、ネットワーク管理者

パブリック・ワークロードに接続するユーザーのフォルト・トレランスと高可用性を確保します。

次のサービスを使用して、パブリック・ワークロードの接続を強化します。

• Oracle Cloud Infrastructure Load Balancing: 1つのエントリ・ポイントから、仮想クラウド・ネットワーク(VCN)からアクセス可能な複数のサーバーへのトラフィック分散を自動化します。これは、リソース使用率を改善し、スケーリングを容易にし、高可用性を実現します。
• Oracle Cloud Infrastructure Traffic Management Steering Policies: DNS問合せにインテリジェントなレスポンスを提供するようにポリシーを構成でき、フェイルオーバーおよび高可用性機能を作成できます。

パブリック・リソースへの接続時のインターネットのバイパス

エンタープライズ・アーキテクト、クラウド・アーキテクト、インフラストラクチャ・リーダー、ネットワーク管理者

Oracle Cloud Infrastructure (OCI)をパブリック・リソースに接続する場合は、Oracle Cloud Infrastructure FastConnect、VPN接続またはサービス・ゲートウェイを使用してインターネットをバイパスします。

Oracle Cloud Infrastructure FastConnectはパブリック・ピアリングまたはプライベート・ピアリングのいずれかで実装できますが、VPN接続ではプライベート・ピアリングのみがサポートされます。OCIでホストされているワークロードの場合は、サービス・ゲートウェイを利用してパブリックOCIサービスに接続します。

次のいずれかの方法を使用して、インターネットをバイパスします。

• パブリック・ピアリング

  インターネットを使用せずにOCIのパブリック・サービスにアクセスできます。

• プライベート・ピアリング:

  既存のインフラストラクチャをOCI上のVCNに拡張します。

• サービス・ゲートウェイ

  パブリックIPアドレスを持たないクラウド・リソースがOracleサービスにプライベート・アクセスできるようにします。サービス・ゲートウェイを転送ルーティングおよびプライベート・ピアリングと組み合せて、オンプレミス・リソースからパブリックOCIサービスへのアクセスを許可します。

転送ルーティング

クラウド・アーキテクト、インフラストラクチャ・リード、ネットワーク管理者

転送ルーティングを使用して、単一のVPN接続またはOracle Cloud Infrastructure FastConnect接続を使用するOracle Cloud Infrastructureリージョン内の複数のVCNへのセキュアでコスト効率のよいアクセスのためのハブアンドスポーク・ネットワーク・モデルを作成します。

サービス・ゲートウェイを使用してハブ・アンド・スポーク・モデルを拡張し、同じVPN接続またはFastConnect接続を介してパブリック・サービスへのアクセスを提供できます。ハブアンドスポーク・モデルは、仮想ファイアウォール・アプライアンスの実装を検討する際にも最適なネットワーク・アーキテクチャとして機能します。アプライアンスは、VPNまたはFastConnectとVCN間のすべてのトラフィックがアプライアンスを通過するようにハブVCN内にデプロイされます。オプションで、アプライアンスを介してVCN間のトラフィックをルーティングできます。

Oracle Cloud Marketplaceでは、いくつかの仮想アプライアンス・オファリングを使用できます。可用性を確保するには、ハブ内に冗長アプライアンスをデプロイし、自動フェイルオーバーを構成します(フェイルオーバー構成はアプライアンス固有です)。

さらに学ぶ

• IPSec VPNのベスト・プラクティス

• 接続の冗長性ガイド

• 転送ルーティング:同じリージョン内の複数のVCNへのアクセス

• 転送ルーティング: Oracleサービスへのプライベート・アクセス

• リージョナル・サブネット