はじめに
OCI Site-to-Site VPNで複数のIPsecトンネルを構成している場合、トンネルが2本Upしているだけでは冗長構成と判断できない場合があります。
本記事では、DRGの Oracle redundancy status を使い、IPsec VPNの現在の接続状態がDRG視点で冗長と判定されているかを確認します。
背景
OCIでIPsec VPNを作成すると、通常は1つのIPsec接続に2本のトンネルが作成されます。
今回の検証では、2つのIPsec接続を作成し、合計4本のトンネルを持つ構成を使用しました。各条件で2本のトンネルをUpにし、DRGの冗長性ステータスがどのように変わるかを確認します。
確認対象は以下です。
- 2本のトンネルがUpしている状態で、DRGが冗長と判定するか
- 2本Upの組み合わせによって、
REDUNDANTとNOT_REDUNDANT_*が変わるか - Console表示とCLIの
drg-redundancy-status getで確認できるか
構成
検証構成は以下です。
DRG
├─ IPsec Connection A
│ ├─ tunnel1
│ └─ tunnel2
└─ IPsec Connection B
├─ tunnel3
└─ tunnel4
記事中の Connection A、Connection B、tunnel1 などは説明用の名称です。実際のリソース名、OCID、IPアドレスは伏せています。
DRGの冗長性ステータス確認方法
OCI Consoleでは、DRG一覧またはDRG詳細画面で Oracle redundancy status を確認できます。
CLIでは以下のコマンドを使用します。
oci network drg-redundancy-status get --drg-id <drg_ocid>
確認する値は data.status です。
単一IPsec接続のみで冗長ではない状態では、以下のような値が返ります。
{
"data": {
"status": "NOT_REDUNDANT_SINGLE_IPSEC"
}
}
検証1: 2本Upしているが冗長ではない状態
最初に、2つのIPsec接続にまたがって2本のトンネルをUpにしました。
| IPsec接続 | トンネル | 状態 |
|---|---|---|
| Connection A | tunnel1 | Down |
| Connection A | tunnel2 | Up |
| Connection B | tunnel3 | Up |
| Connection B | tunnel4 | Down |
この条件では、複数のIPsec接続でトンネルがUpしているにもかかわらず、DRGの冗長性ステータスは冗長ではない状態になりました。
CLIでは NOT_REDUNDANT_MULTIPLE_IPSECS が返りました。
{
"data": {
"status": "NOT_REDUNDANT_MULTIPLE_IPSECS"
}
}
この結果から、複数のIPsec接続でトンネルがUpしていても、DRG視点では冗長パスとして成立していない組み合わせがあることが分かります。
なお、元メモではDRGの冗長性ステータスが変わるまで10分程度かかったと記録しています。トンネル状態を変更した直後の値だけで判断しないようにします。
検証2: 別の2本Upで冗長と判定される状態
次に、Upにするトンネルの組み合わせを変更しました。
| IPsec接続 | トンネル | 状態 |
|---|---|---|
| Connection A | tunnel1 | Up |
| Connection A | tunnel2 | Down |
| Connection B | tunnel3 | Up |
| Connection B | tunnel4 | Down |
この条件では、DRGの冗長性ステータスが冗長になりました。
CLIでも REDUNDANT が返りました。
{
"data": {
"status": "REDUNDANT"
}
}
同じ2本Upの状態でも、トンネルの組み合わせによってDRGの判定が変わることを確認できました。
この確認でも、トンネル状態の変更後すぐではなく、DRG側のステータス反映を待ってから確認しています。
確認結果
| 条件 | Upの組み合わせ | DRG redundancy status | 補足 |
|---|---|---|---|
| 単一IPsec接続のみの非冗長状態 | 1つのIPsec接続内で1本Up | NOT_REDUNDANT_SINGLE_IPSEC |
単一IPsec接続として非冗長 |
| 複数IPsec接続だが非冗長 |
tunnel2 + tunnel3
|
NOT_REDUNDANT_MULTIPLE_IPSECS |
2本Upでも冗長ではない |
| 冗長状態 |
tunnel1 + tunnel3
|
REDUNDANT |
ステータス反映待ち後に確認 |
DRG redundancy status は、単純なトンネルUp本数ではなく、DRG視点で冗長な接続状態になっているかを示します。
注意点
DRGの冗長性ステータスは、トンネル状態を変更してすぐに反映されない場合があります。今回の検証メモでは、ステータスが変わるまで10分程度かかったと記録しています。
確認時は以下の順序にすると判断しやすくなります。
- トンネル状態を変更する
- 各IPsec接続のトンネルUp/Downを確認する
- 数分から10分程度待つ
- DRG一覧またはDRG詳細で Oracle redundancy status を確認する
- 必要に応じてCLIで
drg-redundancy-status getを実行する
まとめ
IPsec VPNの冗長性を確認する場合、トンネルのUp/Downだけでは判断が不十分な場合があります。
今回の検証では、2本のトンネルがUpしていても、組み合わせによって NOT_REDUNDANT_MULTIPLE_IPSECS になる場合と REDUNDANT になる場合がありました。
DRGの Oracle redundancy status を確認することで、現在のIPsec VPN接続状態がDRG視点で冗長と判定されているかを確認できます。