概要
Oracle Cloud Infrastructure(OCI)の動的ルーティング・ゲートウェイ(DRG)を使って様々なネットワーク構成を検討しました
DRGとは
DRGはVCNやIPSecVPN等を接続するための高機能な仮想ルーターです。
サポートされている接続は以下の通りです。
- VCN
クラウド内のネットワークです - リモート・ピアリング接続
他リージョン間接続に使用します - サイト間VPN IPSecトンネル
オンプレミスとのIPSecVPN - Oracle Cloud Infrastructure FastConnect 仮想回路
オンプレミスとのFastconnect専用線
また、DRGは各接続にRoute Tableを持つことができるため、接続を分離したり特定の通信のみ許可することが可能で、より高度なネットワークを構成することができます。
今回はオンプレミスからの接続する構成を様々な要件をもとに検討しました
想定ネットワーク構成
基本構成
シングルテナントの構成です。
特にアクセス制限のない場合はRoute Tableの細かい設定は不要でOCIにて自動作成されます。
テナント毎に分離
マルチテナントでネットワーク分離が必要な場合の構成です。
OnPremise AはVCN Aのみ、OnPremise BはVCN Bのみ通信が可能にするよう各接続のRoute Tableを設定します。
DMZを配置
外部から直接アクセスせずDMZを経由する場合の構成です。
OnPremise AはVCN DMZのみ通信が可能にするよう各接続のRoute Tableを設定します。
分離された運用ネットワークを配置
運用チームからのアクセスを考慮する場合の構成です。
OnPremise運用はVCN運用のみアクセス可能にするよう各接続のRoute Tableを設定します。
テナント毎に分離するネットワークの設定例
テナント毎に分離するネットワークのOnPremise A~VCN Aを構成するための設定例です。
ネットワーク図
設定画面
DRG
OCIナビゲーションメニューからネットワーキング>>顧客接続性>>動的ルーティングゲートウェイに遷移して設定します
- DRG
DRG本体
- VCN Attachment
DRG~VCN間のAttachment
- DRG Route Table
VCN AttachmentのRoute Table
- Import Route Distribution
Route Tableに取り込むRoute情報を定義
- Route
Import Route Distributionや静的ルートルールによって作成されたRoute Table
VCNからはいったパケットがNext Hopを参照する
- DRG
DRG本体
- IPSec Tunnel Attachment
DRG~IPSec Tunnel間のAttachment
- Export Route Disribution
Route情報をExportする条件を定義
現時点ではすべての情報をExport
- DRG Route Table
IPSec Tunnel AttachmentのRoute Table
- Import Route Distribution
Route Tableに取り込むRoute情報を定義
- Route
Import Route Distributionや静的ルートルールによって作成されたRoute Table
IPSec TunnelからはいったパケットがNext Hopを参照する
VCN A内Subnet Route Table
OCIナビゲーションメニューからネットワーキング>>仮想クラウドネットワーク>>対象VCN>>サブネット>>対象サブネットに遷移、ルート表を選択して設定します
Customer Premise Equipment
Customer Premise Equipmentのルート情報です
$ show ip route
B>* 10.105.1.0/24 [20/0] via [IPSecVPNのOCI側Interface], vti1, weight 1, 00:16:41
C * 10.107.2.0/24 is directly connected, eth1, 14w5d12h
: