1. OCIでのネットワーク導入の詳細
  2. ネットワークの接続性

ネットワークの接続性

ネットワーク接続を計画して冗長性を確保し、IPSec VPNまたはFastConnectパートナを使用して幅広いネットワークへの接続を保証します。

ネットワーク接続が完全冗長であることの確認

Oracleのお客様は、クラウド・デプロイメントを拡大し続けているため、重要なアプリケーションとワークロードの多くがOCIでホストされています。これらのワークロードには、IPSec VPNやFastConnectなどの接続方法を使用して、オンプレミスまたはその他のCloud Serviceプロバイダ(CSP)から外部でアクセスします。クラウド・デプロイメントの成長中は、OCIの重要なアプリケーションが常に利用可能であり、計画的および計画外の停止をサポートするために冗長性が組み込まれていることを確認する必要があります。

DRGの場合、Oracleでは、DRGの冗長性ステータスをすばやく確認することをお薦めしますが、これは誤検出ステータスになる可能性があり、冗長性ステータスを検証するためにさらに明確化が必要な場合があります。

Oracleでは、FastConnect接続に対して次のことをお薦めします:

  • OCIリージョンが提供するFastConnectの場所の数について学習します。OCIドキュメントFastConnect冗長性のベスト・プラクティスを確認してください。
  • FastConnectシナリオを見つけて、提供されている場所固有の多様性のレベルと、多様性を高めるためのオプションを理解します。
  • サードパーティまたはOracleパートナのネットワークを含め、パスに沿って単一障害点を回避します。

Oracleでは、IPSec VPN接続について次のことをお薦めします:

  • 2番目のセットのIPSecトンネルを使用して、2つの顧客構内機器(CPE)をデプロイします。
  • 多様性の最大化のために、異なるデータセンターまたは地理的な場所に2つのCPEを配置することをお薦めします。
  • 2つのCPEが同じデータセンターにある場合は、最小限、CPEに個別の電源(ローカル・エリア・ネットワーク(LAN)スイッチがあり、異なるインターネット・サービス・プロバイダ(ISP)に接続されていることを確認して、最高レベルの多様性を提供します。

ヒント :

プライマリ接続がダウンした場合に、セカンダリ接続が帯域幅を処理できることを確認します。たとえば、IPSec VPNをプライマリとして1 GB FastConnectのバックアップとして使用できます。ただし、IPSec VPNまたは1 GB FastConnectをプライマリとして10 GB FastConnectのバックアップとして使用すると、機能しない場合があります。

Oracleでは、次のことも推奨しています。

  • Border Gateway Protocol (BGP)を使用してルートを動的に通知し、予測可能な自動ネットワーク・フェイルオーバーを提供します。
  • 次のようなフェイルオーバー・テストを実行します。
    • 冗長接続を最初にプロビジョニングする際に、本番に配置する前に冗長接続が正しく機能していることを確認します。
    • スケジュールされた停止ウィンドウ中に定期的に(6か月ごと、毎年など)、フェイルオーバーが正しく機能しているかどうかを検証し、最初のフェイルオーバー・テスト後に環境に加えられた変更がフェイルオーバーを中断しないようにします。冗長接続を最初にプロビジョニングする際にのみテストを行う場合、実際の停止が遅すぎると機能しないことが判明するリスクがあります。
    • また、主な作品に失敗したことを忘れないでください。

Oracle FastConnectパートナの使用を検討

OCI FastConnect接続には、Oracleとの直接またはコロケーション、サードパーティの使用、OCI FastConnectパートナの使用など、いくつかの接続モデルがあります。

OCI FastConnectパートナを使用すると、次のような多くの利点があります:

  • 多様性と冗長性

    Oracleのパートナーは、FastConnectロケーションの標準要件に従って物理的にオンボーディングされており、複数の高速リンクが別々のOCI FastConnectルーターで終了します。

  • プロビジョニングが簡単

    物理接続はすでに確立および共有されているため、OCI FastConnectパートナ接続のプロビジョニング・プロセスは、OCIおよびパートナのコンソールを使用して比較的迅速かつ簡単です。FastConnectで数分以内または最大数時間以内に稼働できます。

  • コスト

    高価なサードパーティ製の通信回線は必要ないため、Oracle Partnerの使用は低コストのオプションです。パートナーへの物理的な接続のコストは、すべての顧客と共有されます。

  • 大規模なパートナー・エコシステム

    オラクルは、すべてのOCIリージョンに90を超える独自のパートナーを擁し、合計750を超える接続を提供しています。この数は増え続けており、あなたが協力できるパートナーのいくつかの選択肢を提供します。

  • マルチクラウド接続

    複数のOCI FastConnectパートナーがクラウド・サービス・プロバイダ間で迅速、簡単、低コストの接続を提供できます。

次の表に、Oracle FastConnectモデルの接続関連情報を示します。

FactConnectオプション 実装期間 複雑さ 運送業者仮想回線料金 運送業者手数料
Oracleパートナ 簡易 簡単 $ $$
サードパーティ・プロバイダ Long 複合 選択済 $$$
コロケーション/直接 短い 簡単 選択済 $

Oracleでは、次のことを推奨しています。

  • 特定のOCIリージョンで使用可能なFastConnectパートナを確認します。
  • 既存の契約または関係があるリストでFastConnectパートナを使用することを検討してください。

FastConnectとIPSec VPNの選択

IPSec VPNsは、概念実証(PoC)に適したオプション、または小規模な環境で迅速に起動および稼働できます。

時間の経過とともに、PoCが成功したり、OCIパブリック・クラウドに対する組織の信頼性が高まったりすると、OCI FastConnectなどの専用接続に移行できます。クラウドベース・アプリケーションとオンプレミス・ベースのアプリケーションの統合のレベルが頻度、ボリュームおよびレイテンシの影響を受けやすい観点から高い場合、FastConnectはより有益です。

また、移行候補が重要なアプリケーションとみなされる場合、特に一貫性のある広域ネットワーク・パフォーマンスが重要な要件である場合、早期にFastConnectを採用することもできます。

IPSec VPNはパブリック・インターネットでルーティングされます。したがって、使用可能な合計帯域幅は、インターネット・サービス・プロバイダ(ISP)が提供する制限の対象となります。多くの場合、帯域幅は可変であり、ネットワークの輻輳が発生しやすいため、サービス・レベルのないbest effortとみなす必要があります。Oracleの顧客は通常、個々のIPSecトンネルに250 Mbps以上のスループットがあり、それを超えることがあります。ただし、どの時点でも達成される実際の帯域幅は、Oracleの制御外の多くの要因に依存します。

次の表に、各オプションのクラウド接続オプションと考慮事項を示します。

クラウド接続オプション 考慮事項
OCI FastConnect
  • データ・スループットの向上、レイテンシの低下、一貫したパフォーマンス
  • ネットワーク・コストはインターネット・コストよりも高くなる場合があります。
サイト間VPN
  • インターネット接続に暗号化されたトンネルのレイヤーを追加
  • PoCsに推奨
  • ベスト・エフォート・パフォーマンス
パブリック・インターネット
  • ベスト・エフォート・パフォーマンス
  • SaaSアプリケーションに適しています。

Oracleでは、次のことを推奨しています。

  • プロジェクトの設計フェーズの初期に、帯域幅およびレイテンシ要件を計画および文書化します。
  • 一貫性のある予測可能なネットワーク・パフォーマンス(帯域幅、レイテンシ、ジッターなど)が必要な場合は、FastConnectをプロビジョニングします。
  • FastConnectのプロビジョニングに関連するコストを見積もります。FastConnectのコストが高く、IPSec VPNが無料であると仮定しないでください。FastConnectから受け取ることができる付加価値は、特にOracleパートナを使用する場合、FastConnectのコストが最小限になる価値があります。
  • FastConnectパブリック・ピアリング仮想回線とプライベート・ピアリング仮想回線、およびパブリック・ピアリング・オプションに適用される関連するアウトバウンド・データ転送料金の違いを理解します。

次の図は、冗長性が組み込まれた複数の場所でFastConnectを使用する例です。

fastconnect-multiple-fc-locations.pngの説明が続きます
図fastconnect-multiple-fc-locations.pngの説明

IPSecトンネルの記述名の使用

OCIでIPSec VPN接続をプロビジョニングする場合、OracleはIPSec VPN接続に対してデフォルトで2つのトンネルを提供します。

デフォルトでは、トンネル名はトンネルの貴重な情報や説明的な情報を提供せず、後で特定のトンネルに関する情報を検索しようとすると混乱を招く可能性があります。デフォルトのトンネル命名規則はipsectunnel<year><month><day><time>-<tunnelnumber>です。たとえば、ipsectunnel20220112214811-1です。

ヒント :

使用していないトンネルは削除できません。これは、ネットワークに慣れていないユーザーがコンソールを誤って解釈し、本番トンネルがダウン状態であると仮定すると混乱を招く可能性があり、実際には削除できない未使用のトンネルです。

Oracleでは、次のことを推奨しています。

  • OCIコンソールでトンネルをプロビジョニングするときに、わかりやすいトンネル名を作成します。たとえば、トンネル1とトンネル2の代わりにプライマリとバックアップを使用します。
  • いずれかのトンネルを使用していない場合は、使用されていないことを他のユーザーに知らせるわかりやすい名前を使用することを検討してください。たとえば、「未使用トンネル」または「未使用」です。

カスタムDRGルート表の使用およびルート・ディストリビューションのインポート

DRGをプロビジョニングするときに、自動生成されたDRGルート表をDRGアタッチメントに関連付け、自動生成されたインポート・ルート・ディストリビューションをそれらのDRGルート表に関連付けることがわかります。

これらの自動生成されたルート表およびインポート・ルート・ディストリビューションは、基本的な接続シナリオを対象としています。要件は後で変更され、高度なDRG機能が必要になる場合があります。その後、自動生成されたルート表を変更し、ルート配分をインポートする必要があります。

自動生成されたルート表を変更し、ルート・ディストリビューションをインポートするかわりに、Oracleでは独自のカスタムDRGルート表を作成し、ルート・ディストリビューションをインポートすることをお薦めします。これにより、デフォルトの自動生成ロジックを変更する場合と比較して、ロジックがわかりやすくなります。

Oracleでは、次のことを推奨しています。

  • DRGルート表およびインポート・ルート・ディストリビューションの動作について学習します。OCIのドキュメント、ブログ、および「詳細を見る」セクションでリンクされているYouTubeのビデオを確認してください。
  • 同じルーティング・ロジックを持つアタッチメントまたはアタッチメントのグループごとに、カスタムDRGルート表を作成します。
  • 各DRGルート表のカスタムDRGインポート・ルート・ディストリビューションを作成します。ルートのインポート元となるルートおよびアタッチメントについて、ルート・ディストリビューションのインポート文で明確かつ具体的に説明してください。