テナンシ間のリージョン間プライベート接続の構成
ビジネス上および技術的な理由から、クラウド内の仮想ネットワーク間のプライベート接続を有効にし、ネットワーク間のトラフィックがパブリック・インターネットを通過しないようにする必要がある場合があります。たとえば、テナンシ内の2つのリージョンのネットワーク間、またはテナンシ内のネットワークと連携する組織のテナンシ内のネットワーク間のプライベート接続が必要な場合があります。
Oracle Cloud Infrastructureは、次の2つのネットワーク・ピアリング・モデルをサポートしています。
- ローカルVCNピアリング
リージョン内の仮想クラウド・ネットワーク(VCN)は、ローカル・ピアリング・ゲートウェイ(LPG)を使用してピアリングできます。このようなピアリングされたVCNにアタッチされたリソースは、パブリック・インターネット経由でトラフィックをルーティングすることなく、プライベートIPアドレスを使用して通信できます。VCNは、同じテナントまたは異なるテナントに存在できます。
- リモートVCNピアリング
異なるリージョンのVCNは、パブリック・インターネット上でトラフィックをルーティングせずにプライベートIPアドレスを使用して通信できます。ピアリング関係のVCNにアタッチされた各動的ルーティング・ゲートウェイ(DRG)でリモート・ピアリング接続(RPC)を構成することで、異なるリージョンの2つのVCN間にピアリングを設定できます。リモートVCNピアリングは、通常、同じテナンシ内のリージョン間で複数のVCNを接続するために使用されます。特定のシナリオでは、リージョン間で2つの異なるテナントのVCNを接続する必要がある場合があります。
アーキテクチャ
このアーキテクチャでは、2つのテナント間および2つのリージョン間でプライベート・ネットワーク接続が構成されます。
図xregion-private-connectivity-oci.pngの説明
アーキテクチャには、次のコンポーネントがあります。
- テナント
テナンシは、Oracle Cloud Infrastructureへのサインアップ時にOracleによってOracle Cloud内に設定されるセキュアで分離されたパーティションです。テナンシ内のOracle Cloudでリソースを作成、編成および管理できます。
このアーキテクチャには2つのテナントがあり、1つは会社A用、もう1つは会社B用です。
- リージョン
Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的領域です。地域は他の地域から独立しており、広大な距離で(国または大陸間で)分離できます。
このアーキテクチャには2つのリージョンがあります。A社のクラウド・リソースは、米国東部(アッシュバーン)という単一のリージョンにあります。企業Bのリソースは、米国東部(アッシュバーン)とインド西部(ムンバイ)の2つのリージョンに分散されています。
- 仮想クラウド・ネットワーク(VCN)
VCNは、Oracle Cloud Infrastructureリージョンで設定するカスタマイズ可能なプライベート・ネットワークです。従来のデータ・センター・ネットワークと同様に、VCNを使用すると、ネットワーク環境を完全に制御できます。VCNは、リージョンまたは可用性ドメインにスコープ指定できるサブネットにセグメント化できます。リージョナル・サブネットと可用性ドメイン固有のサブネットの両方を同じVCNに共存させることができます。サブネットはパブリックまたはプライベートにできます。
このアーキテクチャでは、会社Aの米国東部(アッシュバーン)リージョンにVCN 10.0.0.0/16があります。会社Bには2つのVCNがあり、それぞれが異なるリージョンにあります。米国東部のVCN B 172.16.0.0/16 (アッシュバーン)およびインド西部のVCN C 192.168.0.0/16 (ムンバイ)。このピアリング・アーキテクチャの各VCNには一意のCIDR接頭辞があることに注意してください。
- 動的ルーティング・ゲートウェイ(DRG)
DRGは、VCNとリージョン外のネットワーク(別のOracle Cloud InfrastructureリージョンのVCN、オンプレミス・ネットワーク、別のクラウド・プロバイダのネットワークなど)との間のプライベート・ネットワーク・トラフィックのパスを提供する仮想ルーターです。
このアーキテクチャでは、AshburnのVCN BとMumbaiのVCN CがDRGを使用してリモートでピアリングされます。
- ローカル・ピアリング・ゲートウェイ(LPG)
LPGを使用すると、あるVCNを同じリージョン内の別のVCNとピアリングできます。ピアリングとは、VCNがプライベートIPアドレスを使用して通信することを意味し、トラフィックがインターネットを通過したり、オンプレミス・ネットワークを経由することはありません。
このアーキテクチャでは、VCN AとVCN B (両方ともアッシュバーン・リージョン内)はLPGを使用してローカルにピアリングされます。
- ルート表
仮想ルート表には、通常はゲートウェイを介して、サブネットからVCN外部の宛先にトラフィックをルーティングするルールが含まれます。
このアーキテクチャには、VCN間でトラフィックを転送するためのルート表が含まれます。- VCN Aには、LPGを介してVCN BおよびCにトラフィックを送信するルート・ルールがあります。
- VCN Bには、LPGを介してVCN Aに、DRGを介してVCN Cにトラフィックを送信するルート・ルールがあります。
- VCN Cには、DRGを介してVCN AおよびCにトラフィックを送信するルート・ルールがあります。
推奨事項
開始点として次の推奨事項を使用します。実際の要件は、ここで説明するアーキテクチャとは異なる場合があります。
- アイデンティティおよびアクセス管理(IAM)
特定のグループのユーザーのみがリクエスタのコンパートメント(会社Aのコンパートメント)内の任意のLPGから特定のテナンシへの接続を開始できるように、IAMポリシーを構成できます。ポリシーをリクエスタのテナンシ(つまり、
rootコンパートメント)にアタッチし、リクエスタのコンパートメントにはアタッチしません。 - VCN
VCNを作成するときに、各サブネットのクラウド・リソースに必要なIPアドレスの数を決定します。クラスレス・ドメイン間ルーティング(CIDR)表記を使用して、必要なIPアドレスに十分な大きさのサブネット・マスクおよびネットワーク・アドレス範囲を指定します。標準のプライベートIPアドレス空間内のアドレス範囲を使用します。
プライベート接続を設定する他のネットワーク(Oracle Cloud Infrastructure、オンプレミス・データ・センターまたは別のクラウド・プロバイダ)と重複しないアドレス範囲を選択します。
- セキュリティ・ルール
ネットワーク・トラフィックを制御するには、セキュリティ・リストまたはネットワーク・セキュリティ・グループ(NSG)を使用できます。セキュリティ・リストで指定したルールは、セキュリティ・リストをアタッチするサブネット内のすべてのVNICに適用されます。より詳細なレベルでファイアウォールが必要な場合は、ネットワーク・セキュリティ・グループ(NSG)を使用します。NSG内の規則は、指定したVNICにのみ適用されます。サブネット・アーキテクチャをワークロードのセキュリティ要件から分離できるため、OracleではNSGを使用することをお薦めします。
注意事項
このアーキテクチャを実装する場合は、次の要因を考慮してください。
- 拡張性
テナンシのVCNおよびサブネットのサービス制限を検討してください。より多くのネットワークが必要な場合は、制限の引上げをリクエストします。
- SECURITY
適切なセキュリティ・メカニズムを使用してトポロジを保護します。
提供されているTerraformコードを使用してデプロイするアーキテクチャでは、VCNのデフォルトのセキュリティ・リストにより、0.0.0.0/0およびICMPからのSSHトラフィックのみが両方のテナントから許可されます。インフラストラクチャへのSSHアクセス(または他の必要なサービス・ポートへのアクセス)が必要なホストおよびネットワークのみを許可するようにセキュリティ・リストを調整します。
- パフォーマンス
リージョン内で、VCNの数はパフォーマンスに影響しません。異なるリージョンのVCNをピアリングする場合は、レイテンシを考慮してください。
デプロイ
このアーキテクチャをデプロイするTerraformコードは、GitHubで使用できます。
- GitHubに移動します。
- リポジトリをローカル・コンピュータにクローニングまたはダウンロードします。
READMEドキュメントの手順に従います。