ゲートウェイ
VCNにはいくつかのゲートウェイがある。VCNと外部とをつなぐもの。
サブネットに紐づけられる。(ルーティングが必要)
(サブネット内部での通信にはゲートウェイは不要)
インターネットゲートウェイ
- パブリックサブネットとインターネットを接続。Egressは月10TBまで無料。
- インターネットから開始された通信を受け取ることができる。
NATゲートウェイ
- パブリックIPアドレスを割り当てずにプライベートサブネットとインターネットを接続する。
- インターネットから開始された通信を受け取ることができない。(NATゲートウェイから開始された通信は戻ってこれる)
サービスゲートウェイ
- オラクルサービスとVCNの通信を提供する。インターネットを経由しないので安全(インターネット経由でもアクセスすることはできる)オブジェクトストレージへのアクセスもサービスゲートウェイを利用する。
ローカル・ピアリング・ゲートウェイ(LPG)
- VCNと別のVCN(リージョン内 テナントは違ってもよい)同士をつなぐことができる。
ダイナミック・ルーティング・ゲートウェイ(DRG)
- VCNとオンプレミス環境や別のVCN(別リージョンでも可能)同士をつなぐことができる。
- 同一リージョンでもローカルピアリングのようにVCN同士をつなぐことができるようになった。
その他のゲートウェイについて
- ストレージゲートウェイ
オンプレ環境とOCIをつなぐゲートウェイ
オンプレからのデータ移行やデータ同期などに利用できる。
ゲートウェイはVCNと外部をつなぐために使う。
サブネットに紐づけルーティングを行い設定する。
ルート表(ルート・テーブル)
- VCNの外にトラフィックを送りたいときのルート(経路)を示す。任意の行先のVCN(CIDR)に行く のにどのゲートウェイを使うのかが書かれている。
例
| 行先(CIDR) | ルートターゲット | シナリオ例 |
|---|---|---|
| 0.0.0.0/0 | NAT Gateway | プライベート・サブネットからインターネットへ |
| Object Strage | Service Gateway | プライベート・サブネットからオブジェクト・ストレージへ |
| 192.168.0.0/16 | DRG | プライベート・サブネットからオンプレミス環境へ |
他にもIPSecやFastConnectなどの接続オプションもある。
ルート表では行き先のCIDRと利用するゲートウェイを指定する。
ピアリング
ピアリングではゲートウェイ同士を接続する。(ローカルピアリングであれば、各VCNのLPG同士など)
通信は外部のインターネットに出ない状態で行われる。
⇒インターネット経由と比べて通信速度とセキュリティの向上が見込める。
ローカルピアリング
- ローカルピアリングはリージョン内でVCNを接続。
- LPG(ローカル・ピアリング・ゲートウェイ)を用いる。それら2つのLPG同士を接続する。
(現在はDRGでも可能 1つのDRGに複数の同一リージョンのVCNをアタッチ) - 必要であればルートテーブル(サブネットを指定する場合)とセキュリティルールを作成。
- 追加料金不要。LPG間の通信量も無料。
- VCNあたり最大10個のLPGが付けられる。
- 異なるテナンシとの接続も可能(クロステナンシーピアリング)リージョンは同じでないと不可
ローカルピアリングでの注意点
- VCNからVCNを経由してさらに他のVCNやインターネット、オラクルサービスネットワークにつなげることはできない。
- ピアリングするVCN同士のCIDRが重複してはいけない。
- 1対複数のVCNでピアリングしている場合、複数のVCNのCIDRは重複してもよい。
LPGを用いたローカルピアリング
DRGを用いたローカルピアリング
リモートピアリング
- リモートピアリングはリージョン間でVCNを接続。同一テナント(OCIアカウントを作成した際に作られる1つのルートコンパートメントを有するフォルダのようなもの) でありローカルピアリングと同様に CIDRが重複しないこと。
- DRG(ダイナミック・ルーティング・ゲートウェイ)を用いる。DRG同士をリモート・ピアリング接続(RPC)する。
- 必要であればルートテーブルとセキュリティルールを作成。
リモートピアリングでの注意点
基本的にはローカルと同じ。1対複数の場合はすべて重複不可。
- VCNからVCNを経由してさらに他のVCNやインターネット、オラクルサービスネットワークにつなげることはできない。
- ピアリングするVCN同士のCIDRが重複してはいけない。
- 1対複数のVCNでピアリングしている場合、複数のVCNもCIDRは重複不可
VCN同士を接続することをピアリングという。
ピアリングにはローカル(リージョン内 テナントは違ってもよい)とリモート(リージョン間 テナントは同じ)がある。
ピアリングするVCN同士のCIDRが重複してはいけない。
ピアリングしたVCNを経由してさらにピアリングやネットワークに接続はできない。
トランジット(転送)ルーティング
基本的にはVCNを経由して他のネットワークにつなぐことはできないが、次の3つのケースでは可能。
① FastConnect/VPN接続の複数VCNでの共有
この場合は外部ネットワークとハブVPNはFastConnectで接続されているので、ピアリングでのトランジットにはならない。
② 外部ネットワークからOracleサービスへのプライベート接続
この場合は外部ネットワークとVCNとOracleサービスネットワークがつながっているので可能。
③ リージョン間のリモートピアリングを複数VCNで共有
例外としてリージョン間のリモートピアリング接続をローカルピアリングで共有することが可能。
- VCNは同一リージョン でなくてはいけないが、異なるテナンシでも可能。
利用例
Oracle Serviceへのプライベートアクセス
- オンプレミス環境からObject Strageに行く場合、通常ならパブリック通信が必要だが、HUBを通してService Gatewayから通信することでプライベートにアクセスができる。
DRGの拡張機能
- 複数のVCNをDRGに接続してVCN間ネットワーク接続を提供。(従来は1つだったそう)
- 接続されているリソースごとにルートテーブルとポリシーを割り当てられる。(DRGにリソースごとのアタッチメントが作成されるので、そこに紐づけられる)
- 複数のVCNだけでなく他のDRGやオンプレミス環境との接続もできるので、冗長構成が取れるようになった。(可用性の向上)
- ECMPがサポートされた。ECMP(Equal Cost Multi Path)とは同じ経路が複数存在するときにトラフィックを振り分ける機能。OCIではIPSecまたはFastConnect接続を最大8つ束ねることができる。
(Oracle Serviceへのプライベートアクセス以外のトランジットルーティングの利用場面はあるのだろうか?)
VCN接続性
VCNと外部との接続のオプション
外部接続には以下の3つの方法がある。
Public Internet(ネットワーク)
インターネット回線を利用し、OCIリソースのパブリックIPと通信を行う。
インターネットゲートウェイorNATゲートウェイを使用。
予約済みと一時的のIPアドレスがある。
Egressは10Tbまで無料。
VPN接続(IPsec)
パブリックネットワークに仮想化専用回線を作成しプライベート通信を実現するOCIの無料サービス。
IPsec暗号化(データの入れ物であるIPパケットを暗号化し安全に通信を行う) を用いる。
(パケットがソースから宛先に転送される前にIPトラフィックを暗号化し、到着時にトラフィックを復号化)
冗長性のあるVPNトンネルを提供。
帯域幅はサービスプロバイダ(顧客側)に依存。よってSLAの対象外になる。
複数の場所をクラウドに接続、他のパブリック・クラウドに接続する場合など。
FastConnectの実証などに使われる。
Fast Connect
専用線サービス(インターネットから隔離)。プライベートな接続。(機密データの通信など)
DRGに接続する。プライベートピアリングではVCNに、パブリックペアリングではOracleサービスに接続できる。
OCIに直接(FastConnectダイレクト)かFastConnectパートナーを介して接続する。
ポート速度は1Gbps or 10GBps(FastConnectダイレクトでは100Gbpsも選択可能)。
また、データ転送にはお金がかからないので大量データの通信やクラウド移行などが可能。
Oracle Cloud Infrastructure
BGPプロトコルを採用。(AS(一つの組織に管理されたネットワーク)間のルーティングポリシー(ルーティングのルール))
安定したネットワークパフォーマンスと低レイテンシー。
IPsecとFast Connect
FastConnectはIPsecに比べて速度が高速。
また、ルーターなどの機器を自分の環境に置かず利用できる。(別の会社のルーターへアクセスし利用ができる)
IPsecは無料で利用できるがFastConnectは課金が必要。
参考