リモートVCNピアリングは、異なるリージョンにある2つのVCNを接続するプロセスです。
ピアリングを使用すると、VCNのリソースは、インターネットまたはオンプレミス・ネットワークを介してトラフィックをルーティングすることなく、プライベートIPアドレスを使用して通信できます。
また、各リージョンのパブリックIPアドレスは、バックボーン全体でアドバタイズされ, 顧客による追加の構成を必要とせずに、トラフィックは自動的にバックボーンを通過します。
ということで、Remote VCN Peeringしてみてみます。
■ 構成
■ DRG作成
● Tokyo Region作業
1) OCIコンソール
ネットワーキング > 動的ルーティング・ゲートウェイ を選択
2) 動的ルーティング・ゲートウェイ画面
3) 動的ルーティング・ゲートウェイの作成画面
以下項目を設定し、[動的ルーティング・ゲートウェイの作成]をクリック
4) DRG作成完了
● Osaka Region作業
同様に作成
■ VCNとDRG接続
DRGへVCNを接続します。
● Tokyo Region作業
2) 仮想クラウド・ネットワーク・アタッチメントの作成画面
以下項目を入力し、[仮想クラウド・ネットワーク・アタッチメントの作成]をクリック
・アタッチメント名: 任意の名前を設定
・仮想クラウド・ネットワーク: アタッチするVCNを選択
● Osaka Region作業
Osakaリージョンも同様にDRGへVCNを接続
■ Remote Peering Connection (RPC) 作成
各DRG上のリモート・ピアリング接続(RPC)を作成
リモート・ピアリング接続(RPC)は、RPCの役割はVCNの接続ポイントでVCNにアタッチされたDRG上に作成するコンポーネントです。
● Tokyo Region作業
1) RPC作成必要IAMポリシー
ネットワーク管理者権限が無い場合、RPCAdminsというグループに必要な権限ポリシーを作成ユーザーへ付与
Allow group RPCAdmins to manage remote-peering-connections in tenancy
Allow group RPCAdmins to manage drgs in tenancy
2) DRG画面
左ペインのリソース > [リモート・ピアリング接続アタッチメント]をクリックし、
[リモート・ピアリング接続の作成]をクリック
3) リモート・ピアリング接続の作成画面
以下項目を入力し、[リモート・ピアリング接続の作成]をクリック
・名前: 任意の名前を設定
・コンパートメント: 作成するコンパートメントを設定
4) RPC作成完了
● Osaka Region作業
■ RPC間接続
● Osaka Region作業
1) Osaka Region の RPC OCID取得
● Tokyo Region作業
1) 接続の確立画面
以下項目を入力し、[接続の確立]をクリック
・リージョン: 接続する対抗リージョンを選択
・リモート・ピアリング接続OCID: 接続する対抗RPCのOCIDを設定
2) ピアリング完了
■ Route Table設定
RPC間の各VCN内サブネットがRPC接続を介してトラフィックが流れるように各リージョンのRoute Tableを設定
1) Route Table設定
RPC接続された対抗のVCN内サブネットへDRGを通してアクセスできるように設定
対象VCN画面にある 対象ルート表を選択し、[ルート・ルールの追加]をクリックし、以下項目を入力し、[ルート・ルールの追加]をクリック
・ターゲット・タイプ: 動的ルーティング・ゲートウェイを選択
・宛先CIDRブロック: 宛先のCIDRブロックを設定
■ Security Rule 設定
RPC接続されたVCN内サブネット間で許可する各リージョンのSecurity Ruleを設定
Security List と Network Security Group(NSG)の2種類あります。
今回はSecurity List の Security Ruleを設定
■ 疎通確認
● Tokyo -> Osaka
TokyoからOsaka Regionへ疎通確認
1) ssh接続確認
sshコマンドに hostnameコマンドを付与して、Osakaインスタンス名が出力されることを確認
[opc@tokyo-inst01 ~]$ ssh -i id_rsa opc@10.5.0.2 hostname
osaka-inst01
2) traceroute確認
OCIで利用されているIPのみから応答がされることを確認
※ 140.91.206.5 は OCIでPrivate用途で利用されているIPアドレス
[opc@tokyo-inst01 ~]$ sudo traceroute -I 10.5.0.2
traceroute to 10.5.0.2 (10.5.0.2), 30 hops max, 60 byte packets
1 140.91.206.5 (140.91.206.5) 0.133 ms 0.094 ms 0.082 ms
2 * * *
3 10.5.0.2 (10.5.0.2) 7.785 ms 7.794 ms 7.789 ms
● Osaka ->Tokyo
OsakaからTokyo Regionへ疎通確認
1) ssh接続確認
sshコマンドに hostnameコマンドを付与して、Tokyoインスタンス名が出力されることを確認
[opc@osaka-inst01 ~]$ ssh -i id_rsa opc@10.0.0.2 hostname
tokyo-inst01
2) traceroute確認
OCIで利用されているIPのみから応答がされることを確認
※ 140.91.218.46 は OCIでPrivate用途で利用されているIPアドレス
[opc@osaka-inst01 ~]$ sudo traceroute -I 10.0.0.2
traceroute to 10.0.0.2 (10.0.0.2), 30 hops max, 60 byte packets
1 140.91.218.46 (140.91.218.46) 0.146 ms 0.091 ms 0.068 ms
2 * * *
3 10.0.0.2 (10.0.0.2) 7.666 ms 7.659 ms 7.618 ms
■ 参考
・Remote VCN Peering using an RPC
・The Oracle Cloud Infrastructure backbone