ネットワークおよび接続アーキテクチャの定義

リソースをクラウドにデプロイする場合は、Oracle Cloudとオンプレミス・ネットワーク間の単一のVPN接続またはOracle Cloud Infrastructure FastConnect接続から開始できます。冗長性を計画するには、オンプレミス・ネットワークとクラウド間のすべてのコンポーネント(ハードウェア、設備、回路および電源)を考慮します。また、施設がパス間で共有されないように、多様性を考慮してください。

オンプレミス環境およびプライベート・リソースに冗長接続を使用

エンタープライズ・アーキテクト、クラウド・アーキテクト、クラウド・オペレーション・マネージャー、ネットワーク管理者

Oracle Cloud Infrastructure (OCI)のオンプレミス環境とプライベート・リソース間で高可用性および冗長接続を使用します。

オンプレミス環境をクラウド内のプライベート・リソースに接続するには、次のオプションを使用できます:

• VPN接続

  インターネット上の暗号化されたIPセキュリティ(IPSec)VPNトンネルを使用して、高可用性および冗長なVPN接続を作成します。IPSecは、パケットがソースから宛先に転送される前にすべてのIPトラフィックを暗号化するプロトコル・スイートです。Oracleにより、VPN接続ごとに冗長なIPSecトンネルが作成されます。トンネルは論理的かつ物理的に分離されており、可能な場合は両方のトンネルを異なるCPEに接続して可用性を最大化する必要があります。

• Oracle Cloud Infrastructure FastConnect

  データ・センターとOCI間に専用のプライベート接続を作成します。Oracle Cloud Infrastructure FastConnectは、高帯域幅オプションを備えており、インターネットベースの接続に比べて、信頼性と一貫性に優れたネットワーキング・エクスペリエンスを提供します。エンドツーエンド接続は仮想回線と呼ばれます。冗長性のために、2つ以上の仮想回線をインストールすることが常にベスト・プラクティスです。Oracle Cloud Infrastructure FastConnectは、Border Gateway Protocol (BGP)を使用して、トラフィックに最適なパスを確実に使用します。

Oracle Cloud Infrastructure FastConnectでは、次の接続モデルを使用できます:

• Oracle Providerを使用

  オンプレミスまたはリモートのデータ・センターから、OracleのFastConnectパートナからクラウド接続サービスをリクエストすることで、Oracle Cloudリソースがプロビジョニングされるデータ・センターへのFastConnect接続を確立できます。Oracleは、FastConnectサービスを、地理的に多様なIP、VPNおよびイーサネット・ネットワーク・プロバイダおよびクラウド交換のセットと統合して、Oracle Cloudサービスへの接続を簡単に確立できるようにしています。

  この接続モデルは、いずれかのOracle FastConnectパートナからのネットワーク接続サービスを使用することを計画している場合、またはすでに使用している場合に適しています。選択するOracle FastConnectパートナによっては、冗長クラウド接続サービスを注文する必要がある場合があります。

• サードパーティ・プロバイダを使用

  Oracle FastConnectパートナではないネットワーク・キャリアからプライベートまたは専用回線をオーダーすることで、リモート・データ・センターからクラウド・リソースがプロビジョニングされるOracleデータ・センターへのFastConnect接続を確立できます。このサードパーティ・ネットワーク・キャリア(通常はMPLS VPNプロバイダ)は、オンプレミス・ネットワークとOracleのFastConnectエッジ・デバイス間の物理接続(Oracleのデータ・センター内の最後の接続を含む)を担当します。Oracleは、選択したネットワーク・キャリアに提供する必要がある認可書(LOA)を提供します。ユーザーは、そのネットワーク・キャリアに回路をプロビジョニングします。このような回線をネットワーク・キャリアからOracleデータ・センターに2つ注文して、冗長性を確保する必要があります。

  この接続モデルは、特定のネットワーク・キャリアとの既存の関係がある場合や、オンプレミスまたはリモートのデータ・センターの場所がOracleのFastConnectパートナによって提供されない場合に適しています。

• Oracleとのコロケート

  データ・センター・プロバイダからコロケーション・スペースを購入した場合、Oracle Cloud Infrastructure FastConnectを使用して、そのコロケーション機能内のネットワーク機器から、この場所にプロビジョニングされたOracle Cloudサービスへの接続を確立できます。Oracleは、OracleのFastConnectエッジ・デバイスへの直接クロスコネクトを確立するためにデータ・センター・プロバイダが必要とする認可書(LOA)を提供します。

  この接続モデルは、すでにOracle Cloud Infrastructure FastConnectの場所に存在する場合、またはそこにコロケーション・プレゼンスを確立する場合に適しています。冗長性を提供するために、データ・センターへのこのような接続を2つ注文する必要があります。

• 冗長性の推奨事項
  • FastConnectを使用してOCIベースのリソースにアクセスする場合は、プロバイダへのパスが冗長であることを確認してください。可能な場合は複数の運送業者を活用します。
  • ワークロードを複数のリージョンで実行している場合は、FastConnect接続のリージョナル・フェイルオーバーを検討するか、リージョン内の冗長性に障害が発生した場合にVPNをバックアップとして利用してください。
  • 冗長なFastConnectを作成できない場合は、バックアップVPN接続を作成することをお薦めします。帯域幅は小さく、レイテンシは長くなる可能性がありますが、FastConnectの問題が発生した場合、VPNを介した接続を維持することは接続なしより望ましいです。ネットワーク・トラフィックのデフォルトが優先パスであることを確認し、障害シナリオでトラフィック・リダイレクションをテストしていることを確認します。

プライベート環境での重複しないプライベート・ネットワーク範囲の確立

クラウド・アーキテクト、クラウド・オペレーション・マネージャー、ネットワーク管理者

ピアリング関係を可能にするために、プライベート環境全体で重複しないプライベート・ネットワーク範囲を設定してください。

複数の仮想クラウド・ネットワーク(VCNs)間にローカルとリモートのピアリング関係を設定できるのは、プライベートIPアドレスの範囲が重複していない場合のみです。同様に、VCNsを、IP範囲が類似するオンプレミスのプライベート環境に接続している場合は、重複しないようにします。リージョン内に複数のVCNsをデプロイする場合は、すべてのCIDRがより大きな連続CIDRブロック(スーパーネットワーク)の一部を形成していることを確認して、ルーティング構成を簡素化してください。

Oracle Dynamic Routing Gateway (DRG)、VCNsをアタッチできる仮想ルーター、リモート・ピアリング接続、サイト間VPN IPSecトンネルおよびOCI FastConnect仮想回線を使用できます。DRG V2は、テナンシ内およびテナンシ間、およびリージョン間のVCN間接続に使用します。DRG V2を使用すると、リソースはNATゲートウェイを使用してプライベート・サブネットからインターネットにアクセスできます。

Virtual Cloud Networkのサイズ変更による拡張

クラウド・アーキテクト、クラウド・オペレーション・マネージャー、ネットワーク管理者

VCNsおよびサブネットを作成する場合は、将来のワークロードと拡張の余地を確保します。

CIDR範囲を増やすことも、CIDR範囲をVCNに追加することもできますが、最初からVCNのサイズを適切に設定することをお薦めします。ディザスタ・リカバリ・アクティビティの容量など、将来の拡張に対応できるVCN CIDRおよびサブネットCIDR範囲を作成してください。

次を考慮してください:

• Oracle Cloud Infrastructure Load BalancingおよびOracle Cloud Infrastructure File Storageサービスを含む多くのサービスは、1つのサブネット内で複数のIPアドレスを使用して可用性の高いサービスを提供します。
• VCNで作成されたすべてのサブネットは、CIDR範囲内にあります。
• 追加のCIDRでVCNを拡張することは可能ですが、Oracle Cloud Infrastructure FastConnectを利用する場合、オンプレミス・ネットワークから追加のCIDRにアクセスできるように、追加のステップが必要になることがあります。

パブリック・ワークロードのフォルト・トレラントな高可用性接続の確立

エンタープライズ・アーキテクト、クラウド・アーキテクト、クラウド・オペレーション・マネージャー、ネットワーク管理者

パブリック・ワークロードに接続するユーザーのフォルト・トレランスと高可用性を確保します。

次のサービスを使用して、パブリック・ワークロードの接続を強化します:

• Oracle Cloud Infrastructure Load Balancing: 仮想クラウド・ネットワーク(VCN)からアクセス可能な複数のサーバーに対して、1つのエントリ・ポイントからトラフィック分散を自動化します。これにより、リソース使用率が向上し、スケーリングが容易になり、高可用性が保証されます。
• Oracle Cloud Infrastructure Traffic Management Steering Policies: DNS問合せに対するインテリジェントなレスポンスを処理するポリシーを構成でき、フェイルオーバーおよび高可用性機能を作成できます。

パブリックリソースへの接続時にインターネットをバイパスする

エンタープライズ・アーキテクト、クラウド・アーキテクト、クラウド・オペレーション・マネージャー、ネットワーク管理者

Oracle Cloud Infrastructure (OCI)をパブリック・リソースに接続する場合は、Oracle Cloud Infrastructure FastConnectまたはサービス・ゲートウェイを使用してインターネットをバイパスします。

Oracle Cloud Infrastructure FastConnectは、パブリック・ピアリングまたはプライベート・ピアリングを使用して実装できます。OCIでホストされるワークロードの場合、サービス・ゲートウェイを利用してパブリックOCIサービスに接続します。

インターネットをバイパスするには、次のいずれかの方法を使用します:

• パブリック・ピアリング

  インターネットを使用せずに、OCIのパブリック・サービスにアクセスできます。

• プライベート・ピアリング:

  既存のインフラストラクチャをOCI上のVCNに拡張します。

• サービス・ゲートウェイ

  パブリックIPアドレスを持たないクラウド・リソースがOracleサービスにプライベート・アクセスできるようにします。サービス・ゲートウェイとトランジット・ルーティングおよびプライベート・ピアリングを組み合せて、オンプレミス・リソースからパブリックOCIサービスへのアクセスを許可します。

転送ルーティング

クラウド・アーキテクト、クラウド・オペレーション・マネージャー、ネットワーク管理者

動的ルーティング・ゲートウェイを使用してハブ・アンド・スポーク・ネットワーク・モデルを作成し、単一のVPN接続またはOracle Cloud Infrastructure FastConnect接続を使用して、Oracle Cloud Infrastructureリージョン内の複数のVCNsへのセキュアでコスト効率の高いアクセスを実現します。

サービス・ゲートウェイを使用してハブ・アンド・スポーク・モデルを拡張し、同じVPN接続またはFastConnect接続を介してパブリック・サービスにアクセスできます。ハブ・アンド・スポーク・モデルは、仮想ファイアウォール・アプライアンスの実装を検討する際に最適なネットワーク・アーキテクチャとしても機能します。アプライアンスは、VPNまたはFastConnectとアプライアンスを介したVCNsルーティングの間のすべてのトラフィックとともにハブVCN内にデプロイされます。オプションで、VCN間のトラフィックをアプライアンス経由でルーティングできます。

Oracle Cloud Marketplaceでは、いくつかの仮想アプライアンス製品を利用できます。可用性を確保するには、ハブ内に冗長アプライアンスをデプロイし、自動フェイルオーバー用に構成します(フェイルオーバー構成はアプライアンス固有です)。

さらに学ぶ

• IPSec VPNのベスト・プラクティス

• 接続の冗長性ガイド

• 転送ルーティング: 同じリージョン内の複数のVCNへのアクセス

• 転送ルーティング: Oracle Servicesへのプライベート・アクセス

• リージョン・サブネット