0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

OCI Network Firewallでテナンシーを跨ったVCNのトラフィック監視

Last updated at Posted at 2025-09-28

以前の記事でひとつのNetwork Firewallで複数のVCNを監視するHub&Spokeの構成例を紹介しました。それぞれのVCNにNetwork Firewallを配置するのではなく、ひとつのNetwork Firewallで全VCNのトラフィックを監視するコスト・メリットの大きい構成です。※ただし、Network Firewallの帯域に注意(最大25Gbps)
今回は、クロステナンシー・ピアリングを使用してテナンシー間を跨ったVCNのトラフィックをNetwork FirewallのHub VCNを経由する構成を紹介します。以下のスライドでは、ABCテナンシーからのトラフィックは、一旦XYZテナンシーのNetwork FirewallのHub VCNを経由してそれぞれのSpoke VCNに到達します。逆の場合も同様です。

ここでは左側に別テナンシーを配置したクロステナンシー・ピアリングの設定例ですが、その部分をFast ConnectやVPNで接続するオンプレミスのデータセンターに置き換えた場合の設定方法もほぼ近いですので参考になるかと思います。

image.png

設定手順の大きな流れとしては、まず右側テナンシー内のHub&Spokeの構成を完成させます。テナンシー内の動作が確認できたら、次にクロステナンシー・ピアリングの設定を行い、左側のテナンシーのVCNをHub VCNに接続させる設定を追加しています。

※接続するVCNは同一リージョンにある必要があります。異なるリージョンの場合は、追記にあるリモートピアリングを使用します。

Hub&Spoke用のVCN作成とDRGの設定

VCNウィザードを使用して下記アドレスのVCNを3つ作成する

VCN名 CIDR パブリック・サブネット プライベート・サブネット
Hub_VCN 172.16.0.0/21 172.16.0.0/24 172.16.1.0/24
Spoke1_VCN 172.16.8.0/21 172.16.8.0/24 172.16.9.0/24
Spoke2_VCN 172.16.16.0/21 172.16.16.0/24 172.16.17.0/24

DRGを作成し、作成した3つのVCNをDRGにアタッチする。仮想クラウド・ネットワーク・アタッチメントの作成をクリック
image.png

Hub及びSpoke用のDRGルート表を作成する。DRGルート表の作成をクリック
image.png

Spoke用のDRGルート表。名前はRT-Spokeとして、下記のようにすべての宛先はHub_VCNへ
image.png

Hub用のルート表作成。まず、ルート・ディストリビューションの作成。DRG -> ルート・ディストリビューションのインポートから作成をクリック
image.png

以下のように作成。以下のようにそれぞれのSpoke VCNを指定する
image.png

再度、DRGのルート表作成をクリックし、名前をRT-Hubとして、拡張オプション -> ルート・ディストリビューションの有効化をチェックし、上記で作成したディストリビューションを選択し作成
image.png

作成したDRGルート表を下記のようにそれぞれのVCNアタッチメントに割り当てる。
image.png

Network Firewallの作成

ここでは導通テストのために無条件でNetwork Firewallを通過するポリシーを準備する。
まず最初にNetwork Firewallのポリシーをひとつ作成。作成後、ポリシーの詳細設定画面からセキュリティルールの作成をクリックし、すべてデフォルトのままで、最後のアクションだけをトラフィックの許可を指定する。
image.png

Network FirewallをHub_VCNのプライベート・サブネットに作成する。ポリシーは上記で作成したものを指定、NATは有効化せずに作成
image.png

サブネットのルート表設定

Spoke_VCN間のアクセスがHub_VCNを経由するようにサブネットのルート表を指定する。後で導通テストするコンピュートはパブリック・サブネットに作成するので、パブリック・サブネットのルート表を変更する

Spoke1_VCNのパブリック・サブネット・ルート表に以下を追加。ターゲットはDRG
image.png

Spoke2_VCNのパブリック・サブネット・ルート表に以下を追加。ターゲットはDRG
image.png

Hub_VCNは、Hub_VCNに入って来るすべてのトラフィックはNetwork Firewallを経由させるためにVCNルート表を新たに作成する。名前をVCN_Routeとして、Hub_VCNのルート表に以下を新規作成する。ターゲットIPは、Network FirewallのプライベートIP。
image.png

また、Network FirewallがあるHub_VCNのプライベート・サブネット・ルート表を以下のように編集。ターゲットはDRG
image.png

最終的なHub_VCNのルート表
image.png

上記で作成したVCNルート表をHub_VCNアタッチメントのルート表に割り当てる
image.png

次の導通テストのために、Spoke_VCNのパブリック・サブネットのセキュリティ・リストのICMPはすべて許可に、Hub_VCNのプライベート・サブネットのセキュリティ・リストは、すべてのプロトコルを許可しておくと後々テスト等で便利。※Hub_VCNのプライベート・サブネットのポートを絞れば、Network Firewallに届く前にトラフィックは遮断される

テナンシー内のHub&Spokeの動作テスト

Spoke1_VCNとSpoke2_VCNのパブリック・サブネットにコンピュート・インスタンスを作成する。

Spoke1 VM > Network Firewall経由 -> Spoke2 VMの通信確認

$ ping 172.16.16.15
PING 172.16.16.15 (172.16.16.15) 56(84) bytes of data.
64 bytes from 172.16.16.15: icmp_seq=1 ttl=61 time=6.83 ms
64 bytes from 172.16.16.15: icmp_seq=2 ttl=61 time=3.25 ms

Spoke2 VM -> Network Firewall経由 -> Spoke1 VMの通信確認

$ ping 172.16.8.250
PING 172.16.8.250 (172.16.8.250) 56(84) bytes of data.
64 bytes from 172.16.8.250: icmp_seq=1 ttl=61 time=7.22 ms
64 bytes from 172.16.8.250: icmp_seq=2 ttl=61 time=3.30 ms

Network Firewallの送信・受信パケットのメトリックがカウントされていればNetwork Firewallを経由している
image.png

まずここまでで、テナンシー内のHub&Spokeの設定は完成です。次は、クロステナンシー・ピアリング経由でのVCNをSpokeのひとつとして追加していきます


クロステナンシー・ピアリングの設定

それぞれのテナンシーにアクセスできるユーザーを用意し、グループに割り当てる。ここでは、便宜上Administratorを使用している

ソース・テナンシ (DRGにアタッチする側) ターゲット・テナンシ (DRGを持つ側)
テナンシ名 ABC XYZ
テナンシOCID ocid1.tenancy.oc1..aaaaaaaajtnwr5efmqzvovgxufzj6ezwpjglt6ofp2mkmzpeqro5ic6hhx5q ocid1.tenancy.oc1..aaaaaaaaf7srpqhw4gczc3p5eqwa76xced3dwm7fppw5f6regxxumqcsrmoq
グループ名 Administrators Administrators
グループOCID ocid1.group.oc1..aaaaaaaalvjpgvndq7ezukr4gbrwpgaofs333hymbpzyepulrusqxs6ez55a ocid1.group.oc1..aaaaaaaagwpfilfdiqb2l4hxwa3jzzavtqztcpfqll5m7q7kerybo6sibewa

必要なポリシーをそれぞれのテナンシーに割り当てる

□ソース・テナンシ用・ポリシー
define tenancy ターゲット・テナンシ名 as ターゲット・テナンシOCID
define group ターゲット・グループ名 as ターゲット・グループOCID
endorse group ソース・グループ名 to manage drg in tenancy ターゲット・テナンシ名
admit group ターゲット・グループ名 tenancy ターゲット・テナンシ名 to manage drg-attachment in tenancy

例)
define tenancy XYZ as ocid1.tenancy.oc1..aaaaaaaaf7srpqhw4gczc3p5eqwa76xced3dwm7fppw5f6regxxumqcsrmoq
define group Administrators as ocid1.group.oc1..aaaaaaaagwpfilfdiqb2l4hxwa3jzzavtqztcpfqll5m7q7kerybo6sibewa
endorse group Administrators to manage drg in tenancy XYZ 
admit group Administrators of tenancy XYZ to manage drg-attachment in tenancy 

□ターゲット・テナンシ用・ポリシー
define tenancy ソース・テナンシ名 as ソース・テナンシOCID
define group ソース・グループ名 as ソース・グループOCID
endorse group ターゲット・グループ名 to manage drg in tenancy ソース・テナンシ名
admit group ソース・グループ名 tenancy ソース・テナンシ名 to manage drg in tenancy

例)
define tenancy ABC as ocid1.tenancy.oc1..aaaaaaaajtnwr5efmqzvovgxufzj6ezwpjglt6ofp2mkmzpeqro5ic6hhx5q
define group Administrators as ocid1.group.oc1..aaaaaaaalvjpgvndq7ezukr4gbrwpgaofs333hymbpzyepulrusqxs6ez55a
endorse group Administrators to manage drg-attachment in tenancy ABC
admit group Administrators of tenancy ABC to manage drg in tenancy

ソース・テナンシー側で、VCNウィザードを使用して下記アドレスのVCNを作成する

VCN名 CIDR パブリック・サブネット プライベート・サブネット
任意 192.168.0/21 192.168.0.0/24 192.168.1.0/24

作成したVCNからDRGアタッチメントを作成
image.png

ターゲット・テナンシ側のDRGのOCIDを指定して作成する。エラーになる場合は、上記のIAM設定が間違っている
image.png

正常にアタッチされた
image.png

下記のように、パブリック・サブネットのルート表に追加。ターゲットはDRG。また、セキュリティ・リストでICMPを許可しておく
image.png

Hub用のDRGルート表にクロステナンシー経由のVCNを宛先に追加する。作成済みのRT-Hubのルート・ディストリビューションに以下を追加する
image.png

最終的なルートディストリビューション
image.png

それぞれのSpoke_VCNのパブリックサブネットのルート表に追加。ターゲットはDRG
image.png

クロステナンシー経由での動作テスト

ソース・テナンシー側のVCNのパブリック・サブネットにコンピュート・インスタンスを作成する

ソース・テナンシー側 VM > Network Firewall経由 -> Spoke1 VMの通信確認

$ ping 172.16.8.250
PING 172.16.8.250 (172.16.8.250) 56(84) bytes of data.
64 bytes from 172.16.8.250: icmp_seq=1 ttl=61 time=2.53 ms
64 bytes from 172.16.8.250: icmp_seq=2 ttl=61 time=1.67 ms

ソース・テナンシー側 VM > Network Firewall経由 -> Spoke2 VMの通信確認

$ ping 172.16.16.15
PING 172.16.16.15 (172.16.16.15) 56(84) bytes of data.
64 bytes from 172.16.16.15: icmp_seq=1 ttl=61 time=2.84 ms
64 bytes from 172.16.16.15: icmp_seq=2 ttl=61 time=1.69 ms

設定は以上です。あっちこっちと色々とやることの多い設定なので、混乱しがちでうまくいかない場合も多いかと思います。うまくいかない場合は、ルート表やセキュリティ・リストの記述漏れ・間違いの確認、プライベート/パブリック・サブネットで間違っていないか、Network Firewallまで通信が届いているのか等、落ち着いてチェックをすると良いかと思います。

Network Firewall自体の設定をしたことがない方は、シンプルなネットワーク設定で動作を体験してみることをお勧めします。また、ここではポリシーの設定やIDS/IPSの動作は触れていませんが、以下の記事にはNetwork Firewallでの不正アクセスの検出やブロックなどの動作検証の方法なども紹介しています。

OCI Network Firewallによるトラフィック監視 (Intra-VCNルーティング)
OCI Network Firewallでサイバー攻撃を防ぐ
OCI Network Firewallを使用したハブ&スポーク構成
OCIチュートリアル

追記

上記の構成は、同一リージョンの場合の設定です。異なるリージョンの場合は、以下のようにリモートピアリングを使用する必要があります。

image.png

この設定方法ですが、ソース・テナンシー側でVCNを作成するまでは同じです。以降のVCNからDRGアタッチメントの作成でなく、ソース・テナンシー側でDRGを新規に作成します。

※テナンシー間でのリモートピアリングの場合は、以下のIAMポリシーがそれぞれのテナンシーに追加で必要

□ソース・テナンシ用・ポリシー
Endorse group ソース・グループ名 to manage remote-peering-to in tenancy ターゲット・テナンシ名

Endorse group Administrators to manage remote-peering-to in tenancy XYZ

□ターゲット・テナンシ用・ポリシー
Admit group ソース・グループ名 of ソース・テナンシ名 to manage remote-peering-to in tenancy

Admit group Administrators of tenancy ABC to manage remote-peering-to in tenancy

それぞれのDRGでリモート・ピアリング接続を作成する
image.png

ソース・テナンシー側のリモートピアリングの接続の確立をクリック
image.png

ターゲット・テナンシー側のリモート・ピアリングのリージョンとOCIDを指定する。接続が失敗する場合は、IAMポリシーの設定が間違っている。
image.png

ソース・テナンシー側のVCNからソース・テナンシーのDRGにアタッチする
image.png

接続作成後、下記のようにパブリック・サブネットのルート表に追加。ターゲットはDRG。また、セキュリティ・リストでICMPを許可しておく
image.png

Hub用のDRGルート表にリモート・ピアリング経由のVCNを宛先に追加する。作成済みのRT-Hubのルート・ディストリビューションに以下を追加する
image.png

最終的なルート・ディストリビューション
image.png

それぞれのSpoke_VCNのパブリックサブネットのルート表に追加。ターゲットはDRG
image.png

以降は、導通テストで動作を確認する

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?