Oracle Cloud Infrastructureドキュメント

ローカル・ピアリング・ゲートウェイ(LPG)を介したVCNsの接続

Compute Cloud@Customerでは、ローカル・ピアリング・ゲートウェイを構成できます。VCN peering is the process of connecting multiple virtual cloud networks (VCNs) so that resources can communicate using private IP addresses.

You can use VCN peering to divide your network into multiple VCNs, for example, based on departments or lines of business, with each VCN having direct private access to the others.You can also place shared resources into a single VCN that all the other VCNs can access privately.ピアリングされた2つのVCNsは、同じテナンシにすることも、異なるテナンシにすることもできます。

ポリシー

Peering between two VCNs requires explicit agreement from both parties in the form of IAM policies that each party implements for their own VCN compartment or tenancy.VCNsが異なるテナンシにある場合、各管理者はテナンシOCIDを指定し、ピアリングを有効にするには、特別な調整済ポリシー・ステートメントを配置する必要があります。

ピアリングに必要なIAMポリシーを実装するには、2人のVCN管理者が1つの管理者をリクエスタとして、もう1人をアクセプタとして指定する必要があります。2つのLPGを接続するリクエストを開始するには、リクエスタが1である必要があります。次に、アクセプタは、アクセプタのコンパートメント内のLPGに接続する権限をリクエスタに付与する特定のIAMポリシーを作成する必要があります。このポリシーがないと、リクエスタ接続リクエストは失敗します。VCN管理者は、LPGを削除することでピアリング接続を削除できます。

ルーティングとトラフィック制御

VCNsの構成の一環として、各管理者はVCNルーティングを更新して、VCNs間のトラフィック・フローを有効にする必要があります。実際には、これは、インターネット・ゲートウェイや動的ルーティング・ゲートウェイなど、任意のゲートウェイに設定したルーティングに似ています。他のVCNと通信する必要があるサブネットごとに、サブネットのルート表を更新します。ルート・ルールでは、宛先トラフィックのCIDRとLPGをターゲットとして指定します。LPGは、そのルールに一致するトラフィックを他のLPGにルーティングし、さらにそこから他のVCN内のネクスト・ホップにトラフィックをルーティングします。

VCN内のルート表を使用して、ピアリング接続上のパケット・フローを制御できます。たとえば、トラフィックを他のVCNの特定のサブネットのみに制限できます。ピアリングを削除せずに、VCNから他のVCNにトラフィックを転送するためのルート・ルールを削除するだけで、他のVCNへのトラフィック・フローを停止できます。また、他のVCNとのイングレス・トラフィックまたはエグレス・トラフィックを有効にするセキュリティ・リスト・ルールを削除することでも、トラフィックを実質上停止できます。この場合、ピアリング接続を介するトラフィックは停止されませんが、VNICレベルで停止されます。

セキュリティ・ルール

各VCN管理者は、他のVCNとのアウトバウンド・トラフィックおよびインバウンド・トラフィックがすべて意図/予期されたもので、適切に定義されていることを確認する必要があります。これは、実際には、VCNが他のVCNに送信できるトラフィックのタイプおよび他のVCNから受入れできるトラフィックのタイプを明示的に示すセキュリティ・リスト・ルールを実装するということです。サブネットがデフォルトのセキュリティ・リストを使用する場合、どこからでもSSHおよびICMPイングレス・トラフィックを許可する2つのルールがあり、それによって他のVCNも許可されます。これらのルールと、それらを保持するか更新するかを評価します。

セキュリティ・リストおよびファイアウォールの他に、VCNのインスタンス上のその他のOSベースの構成を評価します。独自のVCN CIDRには適用されないが、誤って他のVCN CIDRに適用するデフォルト構成が存在する可能性があります。

ローカル・ピアリング・ゲートウェイを介したVCNsの接続

On Compute Cloud@Customer, a Local Peering Gateway (LPG) is a way to connect VCNs so that elements in each VCN can communicate, even using private IP address.

ピアリング接続を設定するには、次のコンポーネントが必要です。

  • 重複しないCIDRを持つ2つのVCNs

  • ピアリング関係の各VCN上のローカル・ピアリング・ゲートウェイ(LPG)

  • 2つのLPG間の接続

  • ルールをルーティングして、各VCNs内の必要なサブネットとの間でピアリング接続を介したトラフィックを有効にします

  • 問題のサブネット内のインスタンスとの間で許可されるトラフィックのタイプを制御するためのセキュリティ・ルール

    1. 「コンピュートCloud@Customerコンソール」ナビゲーション・メニューの「ネットワーキング」で、「Virtual Cloudネットワーク」を選択します。

      コンパートメントで以前に構成したVCNsのリストが表示されます。ローカル・ピアリング・ゲートウェイを作成しているコンパートメントが表示されない場合は、ドロップダウン・メニューを使用して正しいコンパートメントを選択します。

    2. VCNの名前を選択します。

    3. 「リソース」メニューで、「ローカル・ピアリング・ゲートウェイ」を選択します。

    4. ローカル・ピアリング・ゲートウェイの作成」を選択します。

    5. 必須情報を入力します:

      • 名前:名前を入力します。機密情報を入力しないでください。

      • コンパートメントに作成:ローカル・ピアリング・ゲートウェイを作成するコンパートメントを選択します。

      • ルート表の関連付け(オプション)オプションで、ルート表をローカル・ピアリング・ゲートウェイに関連付けることができます。選択したコンパートメントの構成済ルート表のリストがドロップダウン・メニューにあります。コンパートメント名の横にある「変更」を選択して、コンパートメントを変更できます。

      • タグ付け: (オプション)このリソースに1つ以上のタグを追加します。タグは後で適用することもできます。リソースのタグ付けの詳細は、リソース作成時のタグの追加(OCIのIAM)を参照してください。

    6. ローカル・ピアリング・ゲートウェイの作成」を選択します。

      ローカル・ピアリング・ゲートウェイは、ピアリング接続の確立でVCNsを接続する準備が整い、ルート・ルールまたはセキュリティ設定を追加する準備が整いました。

  • oci network local-peering-gateway createコマンドと必要なパラメータを使用して、指定されたVCNの新しいローカル・ピアリング・ゲートウェイ(LPG)を作成します。

    oci network local-peering-gateway create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> [OPTIONS]

    CLIコマンド、フラグおよびオプションの完全なリストは、コマンドライン・リファレンスを参照してください。

  • CreateLocalPeeringGateway操作を使用して、指定したVCNの新しいローカル・ピアリング・ゲートウェイ(LPG)を作成します。

    APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。