VCN Transit Routing はFastConnectまたはIPSec VPN経由でHub & Spokeによる複数VCN間の通信を可能にします。
Hub VCNにある Route Tableの設定で、Spoke VCNの特定のサブネットとオンプレミスネットワークの経路を制御できます。
Transit Routing とは、オンプレミス・ネットワークが仲介を使用してOracleのリソースやサービス、VCNsに到達するネットワーク・トポロジを指します。仲介者は、VCNにすることも、オンプレミス・ネットワークがすでにアタッチされているDynamic Routing Gateway (DRG)にできます。FastConnectまたはサイト間VPNでオンプレミス・ネットワークをDRGに接続し、トラフィックがその宛先で仲介人を経由して転送されるようにルーティングを構成します。
・ 構成図
このシナリオでは、オンプレミス・ホストがプライベートIPアドレスを使用でき、トラフィックがパブリック・インターネットを経由することがないように、オンプレミス・ネットワークにOracleサービスへのプライベート・アクセス権を付与します。かわりに、トラフィックはFastConnectプライベート仮想回線またはサイト間VPNを経由して移動し、Virtual Cloud Network (VCN)を経由して、次にサービス・ゲートウェイを介して目的のOracle serviceに送信されます。このシナリオは、レガシーまたはアップグレードされたDRGを使用する実装で使用できます。
VCN Transit Routing は名前の通り、Routingの設定がメインとなります
構成図のようにDRGとLPGへ個別に専用のRoute Tableを作成し設定することでTransit Routing構成ができます。
※Route表の注意点
・Default Route Table はSubnet用のため、DRGやLPGに付与しない
・Subnet,DRG,LPGのRoute Tableは共有せず個別に用意
・ 手順概要
Task 1: VCN作成
Task 2: Hub VCNとOn-Premises NetworkをIPsec VPNで接続
Task 3: Spoke VCNを作成
Task 4: Hub VCN と Spoke VCNをLocal Peeringで接続
Task 5: Spoke VCNのSubnetにRoute Ruleを設定
Task 6: Hub VCN上のDRGにRoute Ruleを設定
Task 7: Hub VCN上のLPGにRoute Ruleを設定
Task 8: 疎通確認
・ Task 1 ~ Task 4
構成図にあるNetworkを構築し,On-PremisesとHub VCN間が双方向でping sshで疎通できていることと、
HubとSpoke VCN間のLocal Peeringが双方向でping sshで疎通できていることを確認しておきます
・ Task 5:Spoke VCNのSubnet設定
Spoke VCNのSubnetにRoute Tablesに設定します
・ Route Rules
On-PremisesとHub VCN のSubnetに通信が通るようにします
| Destination CIDER | Route Target |
|---|---|
| 172.24.0.0/16 | LPG-1 |
| 10.0.0.0/16 | LPG-1 |
・ Task 6:Hub VCN上のDRG設定
Hub VCN上のDRGにRoute Tablesを設定します
① Route Table作成
DRGからLPG-H-1を通して Spoke VCN のSubnet-1に通信が通るようにします
| Destination CIDER | Route Target |
|---|---|
| 192.168.0.0/16 | LPG-H-1 |
② 作成したRoute TableをDRGに設定
DRGのメニューから、[Associate Different Route Table]をクリック
作成したRoute Tableを設定して[Associate]をクリックして完了
・ Task 7: Hub VCN上のLPG設定
Hub VCN上のLPGにRoute Ruleを設定
① Route Table作成
Spoke VCのSubnetがLocal Peering からDRGを通して On-PremeseのNWに通信が通るようにします
| Destination CIDER | Route Target |
|---|---|
| 172.24.0.0/16 | DRG |
② 作成したRoute TableをHub VCNのLPGに設定
Hub VCNのLPGのメニューから、[Associate Different Route Table]をクリック
作成したRoute Tableを設定して[Associate]をクリックして完了
・ Task 8:疎通確認
OnP -> Spoke-inst01 へssh確認
[oracle@OnP-Inst01 ~]$ ssh -i id_rsa opc@192.168.0.2 hostname
Spoke-inst01
Spoke-inst01 -> OnP へssh確認
[opc@Spoke-inst01 ~]$ ssh -i id_rsa oracle@172.24.1.2 hostname
OnP-Inst01
■ 応用編
Transit Routing(伝送ルーティング)は、Oracle Services Network(OSN)内のObject StorageやAutonomous Databaseへのアクセスもできるので、OSN含めたHub-and-Spoke構成が可能です。
サービス・ゲートウェイを設定するときには、サービスCIDRラベルを有効にします。これは、サービス・ゲートウェイを介してアクセスするサービスまたはサービス・グループのすべてのリージョナル・パブリックIPアドレス範囲を表す文字列です。たとえば、「Oracle Services NetworkのすべてのPHXサービス」は、サービス・ゲートウェイを介して米国西部(フェニックス)で使用可能なOracleサービスを表すサービスCIDRラベルです。Oracleは、DRG上でBorder Gateway Protocol (BGP)を使用して、これらのリージョナル・パブリックIPアドレス範囲をオンプレミス・ネットワーク内のエッジ・デバイス(顧客構内機器またはCPEとも呼ばれる)に通知します。サービス・ゲートウェイを介して使用可能なこれらの範囲のリストは、VCNのパブリックIPアドレスおよびOracle Services Networkを参照してください。
このHub-and-Spoke構成は同様 各Route Tableの設定で可能になります。
手順は次の記事を参考ください
・参考: Transit Routing + IPSec VPN / FastConnectで Object Storage, Autonomous Databaseへ接続してみてみた
■ 参考
-
Documents
・Oracleサービスへのプライベート・アクセス
・Transit Routing: Private Access to Oracle Services
・Supported Cloud Services in Oracle Services Network
・Public IP Address Ranges
・To manage the access control list of an Autonomous Database
・Oracle Services Network(OSN)
・伝送ルーティング : Oracle Servicesへのプライベート・アクセス
・伝送ルーティング : 同じリージョン内の複数のVCNへのアクセス
・VCNのパブリックIPアドレスおよびOracle Services Network