Oracle Cloud Infrastructure(OCI)の Dynamic Routing Gateway(DRG)は Oracleバックボーンを使用して Global Network が構成されています。
これにより、オンプレミス環境から1つの OCIリージョンに接続して、世界中のOCIリージョンに接続できます。
ということで、Tokyoリージョンを経由して、On-PremisesとOsakaリージョンへ接続できることを確認してみてみます。
■ 構成
オンプレミスとOCI TokyoリージョンをIPSec VPNで接続し、Tokyoと Osakaリージョンを Remote Peering(RPC)で接続し、DRGのルート機能で Tokyoリージョンを経由してオンプレミスと Osakaリージョンを疎通するよう設定します。
VCNアタッチメントには2つのルートテーブルがあります。
・VCN Route Table: VCN介してDRGへ伝搬するOCNルート情報
・DRG Route Table: DRGへ伝搬するDRGにアタッチされたリソースのルート(VCN,FastConnect,IPSec,RPC)のルート情報
■ 事前準備
以前実施した記事を参考にIPSec VPN と Remote Peering(RPC) そして、Oracle Services Network (OSN)をTransit Routing構成しておきます。
今回は、構成図にある VCN Route Table と DRG Route Table の設定をしてオンプレミスとOCIを疎通できるようにします。
・リージョン間を Remote VCN Peering してみてみた
・NEC IXルーターを冗長構成でIKEv2 IPSec VPN接続してみてみた
・Transit Routing + IPSec VPN / FastConnectで Object Storage, Autonomous Databaseへ接続してみてみた
■ 設定前の On-Premises 受信ルート確認
On-Premises側ルーターへ接続して、DRGの IPSec Tunnel (BGP Peer Address:192.168.254.18)から受信されてるルートを確認
● 受信 BGP Route確認
オンプレミスのルーターへ接続し、Tokyoリージョンの VCN Subnet 10.1.0.0/24 Route のみ受信していることを確認
OsakaリージョンのVCNとOSNのルートは、以降の設定をすることで追加されます
Router(config)# show ip bgp neighbors 192.168.254.18 received-routes
BGP table version is 7, local router ID is 192.168.254.37
Local AS number 65000
Status codes: s - suppressed, * - valid, h - history
> - best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Path
* 10.1.0.0/24 192.168.254.18 31898 i
■ Osaka: OSN プライベートアクセス設定
オンプレミスネットワークに Oracle Services Network (OSN) へのプライベート アクセスできるよう設定
● Serive Gateway用 VCN Route Table設定
1) Serive Gateway用 VCN Route Table作成
対象のVCN画面のリソースにある [ルート表] をクリックし、[ルート表の作成]をクリックして新規にSerive Gateway用 VCN Route Tableを作成
次の画面のように Route TalbeへDRGを通してオンプレミスのネットワークへ通じるように設定
● Serive Gatewayへ作成した VCN Route Tableアタッチ
1) Service Gateway画面
対象のVCN画面のリソースにある [サービス・ゲートウェイ]をクリックし、
VCNにアタッチした Service Gatewayの右端にあるドット[・・・] > [ルート表の関連付け]をクリック
2) ルート表の関連付け画面
Services Gateway用に新規作成したRoute Talbeを選択し、[関連付け]をクリック
● DRG Attchment用 VCN Route Table設定
1) DRG Attchment用 VCN Route Table作成
対象のVCN画面のリソースにある [ルート表] をクリックし、[ルート表の作成]をクリックして新規にDRG用 VCN Route Tableを作成
次の画面のように Route TalbeへService Gatewayを通してOCNへ通じるように設定
● DRG Attchment へ作成した VCN Route Tableアタッチ
1) DRG画面
対象のVCN画面のリソースにある [動的ルーティング・ゲートウェイのアタッチメント]をクリックし、
DRGにアタッチしたアタッチメント名のリソースをクリック
2) Attachment-VCN画面
[編集]をクリックし、アタッチメント編集画面にある[VCNルート表]タブを選択し、作成したRoute Tableを選択して、[変更の保存]をクリック
■ Osaka: DRG ルート表設定
DRGにアタッチされた Attachment間でトラフィックをルーティングするルート情報を設定
● DRG ルート表設定
1) OCIコンソール
ネットワーキング > 動的ルーティング・ゲートウェイを選択し対象をDRGをクリック
2) DRG画面
左ペインのリソースから [DRGルート表]をクリックし、
ルート・ディストリビューションのインポートにある [Autogenerated Import Route Distribution for VCN Routes]をクリック
3) ルート・ディストリビューション文 画面
[文の管理]をクリック
4) ルート・ディストリビューション文の管理画面
OsakaリージョンのVCNルートとRPCからのルート(Tokyoリーション VCNとOnーPremises IPSecのルート)をDRGへ通知するよう設定します。
Match Type は、"Attachment type"を選択するとリソース全体、"Attachment" を選択するとリソース個別に設定できます。
| Priority | Match Type | Match Criteria |
|---|---|---|
| 1 | Attachment type | VCN |
| 2 | Attachment | RPC-Tokyo |
5) ルート・ディストリビューショ追加確認
Tokyoリージョンと接続するRPCが追加されていることを確認
● DRG Route確認
1) DRG画面
左ペインのリソースから [DRGルート表]をクリックし、
名前の[Autogenerated Drg Route Table for RPC, VC, and IPSec attachments]をクリック
2) Autogenerated Drg Route Table for RPC, VC, and IPSec attachments画面
[すべての・ルートルールの取得]をクリック
3) ルートルール確認
DRG、RPC通じて、VCN CIDRルートが通じていることを確認
■ Tokyo DRGルート表設定
● ECMP設定
複数の VPNもしくは FastConnect接続がされていて、オンプレミスCPEがサポートしている場合、Equal Cost Multipath (ECMP) を有効にできます。
ECMP により、複数のパスにトラフィックを負荷分散することで帯域幅を広げることができます。
ECMPを設定する場合は、次の設定をおこないます。
1) OCIコンソール
ネットワーキング > 動的ルーティング・ゲートウェイを選択し対象のDRGをクリック
2) DRG画面
左ペインのリソースから [DRGルート表]をクリックし、
名前にある[Autogenerated Drg Route Table for RPC, VC, and IPSec attachments]をクリック
3) Autogenerated Drg Route Table for RPC, VC, and IPSec attachments画面
[編集]をクリック
4) DRGルート表の編集画面
[ECMPの有効化]をチェックし、[変更の保存]をクリック
5) ECMP有効確認
ECMP: Enabled で有効になってること確認
● DRGルート・ディストリビューション設定
1) DRG画面
左ペインのリソースから [DRGルート表]をクリックし、
ルート・ディストリビューションのインポートにある [Autogenerated Import Route Distribution for VCN Routes]をクリック
2) ルート・ディストリビューション文 画面
[文の管理]をクリック
4) ルート・ディストリビューション文の管理
TokyoリージョンのVCNルートとRPCからのルート(Osakaリーション VCN), オンプレミスからのIPSecルートをDRGへ通知するよう設定します。
Match Type は、"Attachment type"を選択するとリソース全体、"Attachment" を選択するとリソース個別に設定できます。
| Priority | Match Type | Match Criteria |
|---|---|---|
| 1 | Attachment type | VCN |
| 2 | Attachment type | IPSec Tunnel |
| 2 | Attachment | RPC-Osaka |
5) ルート・ディストリビューション追加確認
RPC、IPSecのルート・ディストリビューションが追加されていることを確認
● ルート確認
1) DRG画面
左ペインのリソースから [DRGルート表]をクリックし、
ルート・ディストリビューションのインポートにある [Autogenerated Import Route Distribution for VCN Routes]をクリック
2) Autogenerated Drg Route Table for RPC, VC, and IPSec attachments画面
[すべてのルート・ルールの取得]をクリック
3)ルート・ルール画面
Tokyo,OsakaリージョンのVCN、OsakaリージョンのOSN、オンプレミスのNetwaorkのルート・ルールがあることを確認
■ 設定確認
● 受信Route確認
On-Premises側ルーターで、OCIから受信されてるRouteを確認します。
Tokyo VCN, Osaka VCN, Osaka OSN(Oracle Services Network) のRouteが受信されてることを確認
Osaka OSNの Addressesはここから確認
・参考: Public IP Addresses for VCNs and the Oracle Services Network
Router(config)# show ip bgp neighbors 192.168.254.18 received-routes
BGP table version is 44, local router ID is 192.168.254.37
Local AS number 65000
Status codes: s - suppressed, * - valid, h - history
> - best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Path
* 10.1.0.0/24 192.168.254.18 31898 i
* 10.2.0.0/24 192.168.254.18 31898 i
* 134.70.112.0/22 192.168.254.18 31898 i
* 140.91.48.0/23 192.168.254.18 31898 i
* 140.204.30.128/25 192.168.254.18 31898 i
* 192.29.240.0/22 192.168.254.18 31898 i
* 192.29.248.0/25 192.168.254.18 31898 i
* 192.29.248.128/25 192.168.254.18 31898 i
* 192.29.249.0/24 192.168.254.18 31898 i
Total number of prefixes 9
■ 疎通確認
● On-Premises --> Osaka: インスタンス
・ Trace Route確認
[user@onpre-inst ~]$ traceroute -I 10.2.0.2
traceroute to 10.2.0.2 (10.2.0.2), 64 hops max, 72 byte packets
1 * * *
2 * * *
3 * * *
4 10.2.0.2 (10.2.0.2) 35.721 ms 66.286 ms 69.012 ms
・ Ping疎通確認
[user@onpre-inst ~]$ ping 10.2.0.2 -c 3
PING 10.2.0.2 (10.2.0.2): 56 data bytes
64 bytes from 10.2.0.2: icmp_seq=0 ttl=61 time=35.249 ms
64 bytes from 10.2.0.2: icmp_seq=1 ttl=61 time=48.013 ms
64 bytes from 10.2.0.2: icmp_seq=2 ttl=61 time=33.883 ms
--- 10.2.0.2 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 33.883/39.048/48.013/6.363 ms
・ SSH接続確認
[user@onpre-inst ~]$ ssh -i id_rsa opc@10.2.0.2 hostname
osaka-inst
● On-Premises --> Osaka: Object Storage
・ Trace Route確認
[user@onpre-inst ~]$ traceroute -I objectstorage.ap-osaka-1.oraclecloud.com
traceroute to objectstorage.ap-osaka-1.oci.oraclecloud.com (134.70.112.3), 64 hops max, 72 byte packets
1 * * *
2 * * *
3 * * *
4 134.70.112.3 (134.70.112.3) 40.878 ms 54.721 ms 38.362 ms
・ Ping疎通確認
[user@onpre-inst ~]$ ping objectstorage.ap-osaka-1.oraclecloud.com -c 3
PING objectstorage.ap-osaka-1.oci.oraclecloud.com (134.70.112.3): 56 data bytes
64 bytes from 134.70.112.3: icmp_seq=0 ttl=61 time=17.962 ms
64 bytes from 134.70.112.3: icmp_seq=1 ttl=61 time=44.919 ms
64 bytes from 134.70.112.3: icmp_seq=2 ttl=61 time=55.137 ms
--- objectstorage.ap-osaka-1.oci.oraclecloud.com ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 17.962/39.339/55.137/15.681 ms
■ 参考
● Oracle Cloud Infrastructure Documentation
・Expanded DRG functionality
・Dynamic Routing Gateways (DRGs)
・On-premises access to multiple DRGs and VCNs in different regions through a single connection
・Private Access to Oracle Services
・Public IP Address Ranges
・リージョン間のレイテンシ
● Oracle Cloud Infrastructure Blog
・Introducing global connectivity and enhanced cloud networking with the dynamic routing gateway