外部接続詳細 - 動的ルーティング・ゲートウェイ(DRG)

Transcript

1. 外部接続 詳細 動的ルーティング・ゲートウェイ (DRG) Connectivity 200 – Dynamic Routing Gateway

   Oracle Cloud Infrastructure 技術資料 2023年10⽉

2. 本資料では、次の内容について解説します • 動的ルーティング・ゲートウェイ (DRG) の概要 • 動的ルーティング・ゲートウェイ (DRG) とは •

   DRGの３つの構成要素 - DRGの構成要素1 : アタッチメント - DRGの構成要素2 : DRGルート表 - DRGの構成要素3 : ルート・ディストリビューション • ECMPの有効化 • DRGルートの競合 • DRGのサービス制限 • DRGを使⽤したネットワーキング・シナリオ Agenda Copyright © 2022, Oracle and/or its affiliates 2

3. Copyright © 2022, Oracle and/or its affiliates 3 動的ルーティング・ゲートウェイ (DRG)

   とは

4. • 動的ルーティング・ゲートウェイ (DRG) とは、 OCIリージョンにおいて、ネットワーク間の接続を提供する 「仮想ルーター」 のこと • 以下のネットワークの接続に対応 •

   VCN (複数*) • 別テナンシのVCN • 別リージョンのVCN (接続先リージョンのDRG経由) • IPsec VPN または FastConnect 経由での他クラウドや、 オンプレミス・ネットワーク • Azure InterConnect *2021年5⽉の機能拡張 (DRGv2) により、 1つのDRGを、複数のVCNにアタッチすることが可能になった (1つのVCNに、複数のDRGをアタッチすることは不可) 動的ルーティング・ゲートウェイ (DRG) とは Copyright © 2022, Oracle and/or its affiliates 4 Oracle Cloud Infrastructure (Tokyo) Oracle Cloud Infrastructure (Osaka) VCN VCN VCN Remote Peering Connection Remote Peering Connection FastConnect VPN On-premise Data Center Dynamic Routing Gateway Dynamic Routing Gateway

5. https : //docs.oracle.com/ja-jp/iaas/Content/Network/Tasks/managingDRGs.htm#overview • 2021年5⽉17⽇より前に作成されたDRGは レガシーDRG (DRGv1) となっており、 拡張された DRGv2

   を利⽤するには、アップグレードが必要となります • アップグレード時の注意事項 • DRGのアップグレードは⼀⽅向のプロセスであり、 アップグレード後に戻すことは出来ません • アップグレード・プロセス中、既存のBGPセッションはリセットされ、 トラフィックも停⽌するなど、ダウンタイムが発⽣します (各接続毎に最⼤30分) • アップグレード⼿順 • アップグレード対象のレガシーDRGの詳細画⾯より、 「DRGのアップグレード」を実⾏することで、 バックグラウンドでアップグレードが開始される • アップグレードの詳細⼿順については下記参照 https : //docs.oracle.com/ja-jp/iaas/Content/Network/Tasks/managingDRGs.htm#upgrading_a_drg 参考 : DRGv1からのアップグレード Copyright © 2022, Oracle and/or its affiliates 5

6. • 動的ルーティング・ゲートウェイ (DRG) のコンポーネントは以下の通り • アタッチメント • DRGルート表 • ルート・ディストリビューション

   DRGの３つの構成要素 Copyright © 2022, Oracle and/or its affiliates 6 Dynamic Routing Gateway VCN 10.0.0.0/16 VCN Route Table On-Premises 172.16.0.0/16 On-premise Data Center FastConnect 仮想クラウド・ネットワーク・アタッチメント 仮想回線アタッチメント DRGルート表 ルート・ディストリビューション 宛先CIDR ターゲット 172.16.0.0/16 DRG 宛先CIDR ネクストホップ・アタッチメント 172.16.0.0/16 FC-Attachment 宛先CIDR ネクストホップ・アタッチメント 10.0.0.0/16 VCN-Attachment DRG Route Table FC-Attachment VCN-Attachment DRG Route Table

7. • DRG には、次のネットワーク・リソースを接続することが可能で、各接続を「アタッチメント」と呼ぶ • DRGでは、さまざまなタイプのアタッチメントを使⽤して カスタム・ネットワークトポロジを構築することが可能 DRGの構成要素1 : アタッチメント Copyright

   © 2022, Oracle and/or its affiliates 7 ネットワーク・リソース アタッチメント 仮想クラウド・ネットワーク(VCN) 仮想クラウド・ネットワーク・アタッチメント 別テナンシのVCN クロステナンシ・アタッチメント リモート・ピアリング接続 リモート・ピアリング接続アタッチメント サイト間VPN IPSec トンネル IPSec トンネル・アタッチメント FastConnect 仮想回線 仮想回線アタッチメント DRG VCN 仮想クラウド・ネットワーク・アタッチメント 仮想回線アタッチメント

8. • 各アタッチメントからDRGに⼊ってくるパケットのルーティングは、「DRGルート表」を基に⾏われる • どの宛先をどのネクストホップにルーティングさせるかは、「ルート・ルール」で定義 • ルート・ルールには、以下２種類が存在する • 静的ルート・ルール : ユーザーがコンソールやAPIを通じて設定したルール

   • 動的ルート・ルール : 「ルート・ディストリビューション」を通じてアタッチメントからインポートされるルール • DRGルート表は、必要なルーティング・ポリシーに応じて、同じルート表を複数のDRGアタッチメントに関連づけることも、 アタッチメントごとに専⽤のルート表を作成することも可能 DRGの構成要素2 : DRGルート表 Copyright © 2022, Oracle and/or its affiliates 8 Dynamic Routing Gateway アタッチメントA アタッチメントB DRG Route Table アタッチメントから来たパケットは ルート表に従ってルーティングされる アタッチメントにルート表を関連付け

9. “VCNルート表” と ”DRGルート表” • 仮想クラウド・ネットワーク・アタッチメント (VCNアタッチメント) に関連付けられるルート表には、次の2つがある • DRGルート表 :

   DRGに⼊るトラフィックに使⽤されるルート表 • VCNルート表 : VCNに⼊るトラフィックに使⽤されるルート表 • VCNルート表 を 仮想クラウド・ネットワーク・アタッチメント へ関連付けるかは任意 設定しない場合は、常に VCN内のすべてのサブネットへルーティングが提供される。 転送ルーティングなどを設定したい場合には、アタッチメントへの関連付けを⾏う。 DRGの構成要素2 : DRGルート表 Copyright © 2022, Oracle and/or its affiliates 9 VCN 10.0.0.0/16 VCN Route Table Dynamic Routing Gateway DRG Route Table 仮想クラウド・ネットワーク・アタッチメント DRGに⼊るトラフィックのルーティングを制御 VCNに⼊るトラフィックのルーティングを制御 (転送ルーティング例) ・Oracleサービスへのプライベート・アクセスを構成したい場合 ・特定のファイアウォール・インスタンスにパケットを送信した上で、 別のネットワークに転送したい場合 …など ※転送ルーティングのシナリオ例 : https : //docs.oracle.com/ja-jp/iaas/Content/Network/Tasks/scenarios.htm

10. • 「ルート・ディストリビューション」は、各DRGアタッチメントから “動的に” ルートをインポート、またはエクスポートする 機能を持つ • ⼀致条件 (特定のアタッチメントや、アタッチメントの種類など) とその優先度、それに対するアクション (現時点では

    ACCEPT のみ) をステートメントとして定義する DRGの構成要素3 : ルート・ディストリビューション Copyright © 2022, Oracle and/or its affiliates 10 Dynamic Routing Gateway Virtual Cloud Network 10.0.0.0/16 Virtual Cloud Network 10.1.0.0/16 FastConnect 192.168.0.0/16 VPN 172.16.0.0/16 DRG Route Table VCNアタッチメントA VCNアタッチメントB 仮想回線アタッチメントA IPSec トン ネ ル ・ア タッチ メン ト 宛先CIDR ネクストホップ・アタッチメント 10.0.0.0/16 VCNアタッチメントA 10.1.0.0/16 VCNアタッチメントB 仮想回線アタッチメントB 10.2.0.0/16 FastConnect インポート・ルート・ ディストリビューション DRGに関連付けられたアタッチメントのうち、ディストリビューションのステートメント に⼀致したルートを、そのディストリビューションが関連付けられたDRGルート表に 動的にインポート (動的ルート・ルール) インポート

11. ルート・ディストリビューション の “インポート” • インポート・ルート・ディストリビューション は、DRGルート表に割り当てて利⽤する。割り当てるかどうかは、任意。 割り当てる場合、同じ インポート・ルート・ディストリビューション を複数のDRGルート表に関連づけることも、 DRGルート表ごとに専⽤の

    インポート・ルート・ディストリビューション を作成することも可能 • ルート・ディストリビューションのステートメントは優先度順に評価される。(最⼩値が最⾼優先度となる) この優先度は、ステートメントの評価にのみ作⽤するもので、実際のトラフィックのルーティングの優先度に影響はしない。 • インポート・ルート・ディストリビューションで定義した ステートメントを削除すると、そのルートは 関連づけられている DRGルート表からも削除される DRGの構成要素3 : ルート・ディストリビューション Copyright © 2022, Oracle and/or its affiliates 11

12. ルート・ディストリビューション の “エクスポート” • エクスポート・ルート・ディストリビューションは、 DRG作成時に⽣成されるデフォルト・エクスポート・ルート・ディストリ ビューションのみ存在 (現時点では追加での作成等は不可) • このエクスポート・ルート・ディストリビューションは、アタッチメントに割り当てられ、そのアタッチメントに設定された

    DRG ルート表のルートを、アタッチメントに提供する(仮想クラウド・ネットワーク・アタッチメントを除く) エクスポート・ルート・ディストリビューションの無効化は、API操作 (removeExportDrgRouteDistribution) 等で 可能 DRGの構成要素3 : ルート・ディストリビューション Copyright © 2022, Oracle and/or its affiliates 12

13. Dynamic Routing Gateway • DRG作成時には、デフォルトで以下5つのコンポーネントが作成される • アタッチメントの作成時、これらのデフォルト・コンポーネントが既定で割り当てられるが、必要に応じて変更可能 デフォルトで作成されるDRGコンポーネント Copyright ©

    2022, Oracle and/or its affiliates 13 DRG Route Table Autogenerated Drg Route Table for RPC, VC, and IPSec attachments Autogenerated Import Route Distribution for VCN Routes Default Export Route Distribution for DRG : XXXX DRG Route Table Autogenerated Drg Route Table for VCN attachments Autogenerated Import Route Distribution for ALL routes ルート表 インポート・ルート・ディストリビューション エクスポート・ルート・ディストリビューション DRGに接続された、全ての仮想クラウ ド・ネットワーク・アタッチメント・ルートを、 関連付けられたDRGルート表にインポート 割当て 割当て DRGに接続された、全てのアタッチメント・ ルートを、関連付けられたDRGルート表に インポート RPC、VC、IPSecトンネル・ アタッチメント作成時、 このルート表が割り当てられる (作成後、変更可) VCNアタッチメント作成時、 このルート表が割り当てられる (ルート表を未設定の場合) RPC、VC、IPSecトンネル・ アタッチメント作成時、 このルート・ディストリビューション が常に割り当てられる

14. • ECMP (Equal Cost Multi Path/等コストマルチパス) ルーティング とは、BGPを使⽤して、複数の FastConnect 仮想回線、または、複数のIPSecトンネル

    (ただし、回線タイプの混在ではない) を介した、ネットワー ク・トラフィックのフローベースのロード・バランシングを可能にする機能 • ECMPを使⽤すると、最⼤8つの回線間のネットワーク・トラフィックの Active – Active ロード・バランシングと、フェイル オーバーが可能になる • ECMPは デフォルトでは無効化されており、DRGルート表ごとに有効化することが可能。 ECMP転送の対象とみなされるのは、同じルート設定を持つルートのみ。 ECMPの有効化 Copyright © 2022, Oracle and/or its affiliates 14 Oracle Cloud Infrastructure On-Premises 172.16.0.0/16 On-premise Data Center CPE VCN 10.0.0.0/16 Dynamic Routing Gateway 仮想回線またはIPSecトンネル ECMPの有効化 ECMPの有効化 LAGが利⽤できないケース (クロスコネクトではないケー ス) でも、 ECMPの有効化により、冗⻑化された回線/ 帯域幅の有効活⽤が可能

15. • ECMPが有効化された構成において、トラフィックは必ずしも 均等に負荷分散される訳ではない OCI は 以下５つの要素を基に、⼀貫性のある (=ランダム性のない) 決定論的アルゴリズムに従って、トラフィックを 負荷分散させる •

    プロトコル • 宛先IP • 宛先ポート • 送信元IP • 送信元ポート • 従って、全ての 仮想回線 または IPSecトンネル を活⽤するには、複数の異なる要素(*)を持つトラフィックが必要となる • (*) プロトコル、異なる宛先IP／ポート、異なる送信元IP／ポートの 異なるトラフィック ECMPの注意点 Copyright © 2022, Oracle and/or its affiliates 15

16. DRGによる競合ルートの解決 DRGルート表で同じCIDRを宛先とするルートが複数検出された場合、DRGは次の基準で競合を解決する 1. 静的ルートは、常に動的ルートよりも優先される • 静的ルート同⼠で競合することはない (静的ルート・ルール内で競合するルート・ルールは定義不可) 2. 動的ルート間ではASパス⻑が最も短いルートが優先される •

    VCNに対しては、ASパスは常に空となる (AS_PATH=0) • 仮想回線に対しては、BGPピアから広報を受けたASパスが設定される (AS_PATH=1以上) • BGPルーティングが設定されたIPsec接続に対しては、BGPピアから広報を受けたASパスにDRGが+1して設定する (AS_PATH=2以上) • 静的ルーティングが設定されたIPsec接続に対しては、常に3が設定される (AS_PATH=3) • リモートピアリング接続(RPC)は、ピア先のDRGが持つASパスと同じ値が設定される (宛先がVCNの場合はAS_PATH=0、宛先が外部の場合はAS_PATH=1以上) 3. ASパス⻑が最短の経路が複数ある場合、アタッチメントの種類の優先度に従う • VCN > 仮想回線(VC) > IPsec VPN > リモートピアリング接続(RPC) 4. ASパス⻑が最短で同じ、かつアタッチメントの種類が同じ場合、ECMPが有効であれば全てのルートが有効になる • 仮想回線/IPsec接続でルート表のECMPが有効の場合・・・全てのルート(最⼤8)が有効となる 5. いずれにも当てはまらない場合は、いずれか1つのルートがランダムかつ決定論的に選択される Copyright © 2022, Oracle and/or its affiliates 16 仮想回線のBGPピアからASパス⻑が4以 上を持つルートが広報された場合、静的 ルーティングが設定されたIPsec接続よりも 優先度が下がるため要注意 (特にL3で FastConnect接続する場合) https://docs.oracle.com/ja-jp/iaas/Content/Network/Concepts/routingonprem2.htm#oracle-to-on-prem

17. OCIのリージョン間通信に、FastConnectとリモートピアリング接 続(RPC)を併⽤する場合の構成の注意点をまとめたブログエン トリ • ルート表の宛先CIDRが同じ場合、FastConnectとRPC でルートの競合が発⽣する • 競合した場合、他リージョンのVCNのCIDRを宛先とする ルートは、RPCの場合は常にASパス⻑が0のため、 FastConnectよりも優先される

    • FastConnectを優先的に通したい場合には、宛先CIDR の特殊化(ロンゲストマッチ)などの⼯夫が必要 参考Blog : OCI Inter-Region Cloud Connectivity Use Case - FastConnect and Remote Peering Connections [Date] Copyright © 2022, Oracle and/or its affiliates 17 https://www.ateam-oracle.com/post/oci-interregion-cloud-connectivity-use-case-fastconnect-and-remote-peering-connections

18. • DRGサービス制限 • 必要に応じて引上げ申請を⾏う (コンソール画⾯から申請を⾏う場合、サービス・カテゴリは “Others” を選択) • その他、DRGに関連するサービス制限のデフォルト値については、以下ドキュメントを参照 :

    https : //docs.oracle.com/en-us/iaas/Content/General/Concepts/servicelimits.htm#network_limits DRGのサービス制限 Copyright © 2022, Oracle and/or its affiliates 18 スコープ Monthly or Annual Universal Credits Pay-as-You-Go or Promo DRG Region 5 5 VCN Attachments DRG 300 10 Import Route Distribution DRG 100 100 Export Route Distribution DRG 1 1

19. Copyright © 2022, Oracle and/or its affiliates 19 DRGを使⽤したネットワーキング・シナリオ

20. オンプレミス・ネットワーク と スポークVCN 間の North-South通信を、 ネットワーク仮想アプライアンス経由で有効にする構成例 集中化されたネットワーク仮想アプライアンスを介したトラフィック・ルーティング・シナリオ Copyright © 2022,

    Oracle and/or its affiliates 20 On-Premises 172.16.0.0/16 Customer Premises Equipment OCI Region VCN1 - 192.168.10.0/24 Sub1 Block Storage VM VCN2 - 192.168.20.0/24 Sub2 Block Storage VM VCN3 – 192.168.30.0/24 Sub3 Block Storage VM FastConnect Dynamic Routing Gateway VCN-Hub - 10.0.0.0/24 SubHub Firewall 10.0.0.10 Spoke 1 Spoke 2 Spoke 3 Hub 1 仮想回線 3 2 4 5 5 5 6 7 8 • 本シナリオは、オンプレミス・ネットワーク 〜 OCI Region 間のすべての通信を、ハブとなるVCNに 構築されたネットワーク仮想アプライアンス (図 中”Firewall”) を経由させることを想定したもの • 本シナリオを実現する際の、各コンポーネント (① 〜⑧) の設定例について解説していきます • オンプレミス・ネットワークと、Spoke となる VCN1 〜VCN3 間の直接の通信はさせないものとする

21. オンプレミス・ネットワーク と スポークVCN 間の North-South通信を、 ネットワーク仮想アプライアンス経由で有効にする構成例 ü アタッチメント[仮想回線] (オンプレミス・ネットワーク) から

    DRGに⼊るトラフィックが 上記ルート表に従って ルーティングされる ü 静的ルート・ルールを定義し、アタッチメント[仮想回線] から⼊るトラフィックは、すべて VCN-Hub へルーティングさせる ü 静的ルート・ルールは常に動的ルート・ルールよりも常に優先されるため、上記アタッチメントに インポート・ルート・ディストリビューションが関連付けられ、動的ルートがインポートされる場合でも、 上記ルールに応じて トラフィックがルーティングされる (厳格な制御が必要な場合は別途作成する) 集中化されたネットワーク仮想アプライアンスを介したトラフィック・ルーティング・シナリオ Copyright © 2022, Oracle and/or its affiliates 21 On-Premises 172.16.0.0/16 Customer Premises Equipment OCI Region VCN1 - 192.168.10.0/24 Sub1 Block Storage VM VCN2 - 192.168.20.0/24 Sub2 Block Storage VM VCN3 – 192.168.30.0/24 Sub3 Block Storage VM FastConnect Dynamic Routing Gateway VCN-Hub - 10.0.0.0/24 SubHub Firewall 10.0.0.10 Spoke 1 Spoke 2 Spoke 3 Hub 1 宛先CIDR ルート・ターゲット (ネクスト・ホップ・アタッチメント) タイプ 10.0.0.0/24 VCN-Hub (Hub) 静的 192.168.10.0/24 VCN-Hub (Hub) 静的 192.168.20.0/24 VCN-Hub (Hub) 静的 192.168.30.0/24 VCN-Hub (Hub) 静的 仮想回線 アタッチメント[仮想回線]のDRGルート表 1 STEP 1/7

22. オンプレミス・ネットワーク と スポークVCN 間の North-South通信を、 ネットワーク仮想アプライアンス経由で有効にする構成例 ü アタッチメント[Hub] (VCN-Hub) から

    VCN-Hub に⼊るトラフィックが 上記ルート表に従って ルーティングされる ü 上記ルート表では VCN1/VCN2/VCN3/オンプレミスへのトラフィックが VCN-Hub に⼊った際、ネットワーク仮想アプライアンス・インスタンスの プライベートIP (10.0.0.10) へルーティングがされる ü VCNルート表は、VCN-Hub にて作成し、アタッチメント[Hub]に関連付けを⾏う 集中化されたネットワーク仮想アプライアンスを介したトラフィック・ルーティング・シナリオ Copyright © 2022, Oracle and/or its affiliates 22 On-Premises 172.16.0.0/16 Customer Premises Equipment OCI Region VCN1 - 192.168.10.0/24 Sub1 Block Storage VM VCN2 - 192.168.20.0/24 Sub2 Block Storage VM VCN3 – 192.168.30.0/24 Sub3 Block Storage VM FastConnect Dynamic Routing Gateway VCN-Hub - 10.0.0.0/24 SubHub Firewall 10.0.0.10 Spoke 1 Spoke 2 Spoke 3 Hub 2 仮想回線 アタッチメント[Hub]のVCNルート表 2 宛先CIDR ルート・ターゲット 172.16.0.0/16 10.0.0.10 192.168.10.0/24 10.0.0.10 192.168.20.0/24 10.0.0.10 192.168.30.0/24 10.0.0.10 STEP 2/7

23. オンプレミス・ネットワーク と スポークVCN 間の North-South通信を、 ネットワーク仮想アプライアンス経由で有効にする構成例 ü VCN-Hub のサブネット SubHub

    から出ていくトラフィックが上記ルート表に 従ってルーティングされる ü 上記ルート表は VCN-Hub のサブネット SubHub に設定 ü VCN1/VCN2/VCN3/オンプレミスへのトラフィックが DRG へルーティングされる 集中化されたネットワーク仮想アプライアンスを介したトラフィック・ルーティング・シナリオ Copyright © 2022, Oracle and/or its affiliates 23 On-Premises 172.16.0.0/16 Customer Premises Equipment OCI Region VCN1 - 192.168.10.0/24 Sub1 Block Storage VM VCN2 - 192.168.20.0/24 Sub2 Block Storage VM VCN3 – 192.168.30.0/24 Sub3 Block Storage VM FastConnect Dynamic Routing Gateway VCN-Hub - 10.0.0.0/24 SubHub Firewall 10.0.0.10 Spoke 1 Spoke 2 Spoke 3 Hub 3 仮想回線 VCN-Hub のサブネット SubHub のルート表 3 宛先CIDR ルート・ターゲット 172.16.0.0/16 DRG 192.168.10.0/24 DRG 192.168.20.0/24 DRG 192.168.30.0/24 DRG STEP 3/7

24. オンプレミス・ネットワーク と スポークVCN 間の North-South通信を、 ネットワーク仮想アプライアンス経由で有効にする構成例 ü アタッチメント[Hub] (VCN-Hub) から

    DRGに⼊るトラフィックが 上記ルート表に従って ルーティングされる ü 上記ルート・ルール (Spoke1/2/3、オンプレミス・ネットワークへのルート) を動的にインポート させるため、ルート表には、別途作成したインポート・ルート・ディストリビューションを関連付ける ※デフォルトのインポート・ルート・ディストリビューションでも 上記4つのルート・ルールが動的にイン ポートされるが、新規のVCNが増えた場合などに考慮し、ここでは別途作成することを想定 集中化されたネットワーク仮想アプライアンスを介したトラフィック・ルーティング・シナリオ Copyright © 2022, Oracle and/or its affiliates 24 On-Premises 172.16.0.0/16 Customer Premises Equipment OCI Region VCN1 - 192.168.10.0/24 Sub1 Block Storage VM VCN2 - 192.168.20.0/24 Sub2 Block Storage VM VCN3 – 192.168.30.0/24 Sub3 Block Storage VM FastConnect Dynamic Routing Gateway VCN-Hub - 10.0.0.0/24 SubHub Firewall 10.0.0.10 Spoke 1 Spoke 2 Spoke 3 Hub 4 宛先CIDR ルート・ターゲット (ネクスト・ホップ・アタッチメント) タイプ 172.16.0.0/16 仮想回線 動的 192.168.10.0/24 VCN1 (Spoke1) 動的 192.168.20.0/24 VCN2 (Spoke2) 動的 192.168.30.0/24 VCN3 (Spoke3) 動的 仮想回線 アタッチメント[Hub]のDRGルート表 4 STEP 4/7

25. オンプレミス・ネットワーク と スポークVCN 間の North-South通信を、 ネットワーク仮想アプライアンス経由で有効にする構成例 ü アタッチメント[Hub]のDRGルート表に 新たにインポート・ルート・ディストリビューションを 作成する場合、上記のように⼀致条件を指定する

    ü 優先度は任意 集中化されたネットワーク仮想アプライアンスを介したトラフィック・ルーティング・シナリオ Copyright © 2022, Oracle and/or its affiliates 25 On-Premises 172.16.0.0/16 Customer Premises Equipment OCI Region VCN1 - 192.168.10.0/24 Sub1 Block Storage VM VCN2 - 192.168.20.0/24 Sub2 Block Storage VM VCN3 – 192.168.30.0/24 Sub3 Block Storage VM FastConnect Dynamic Routing Gateway VCN-Hub - 10.0.0.0/24 SubHub Firewall 10.0.0.10 Spoke 1 Spoke 2 Spoke 3 Hub 優先度 ⼀致タイプ ⼀致条件 アクション 10 Attachment Spoke1 ACCEPT 20 Attachment Spoke2 ACCEPT 30 Attachment Spoke3 ACCEPT 40 Attachment 仮想回線 ACCEPT 仮想回線 STEP 5/7 インポート・ルート・ディストリビューションの例

26. オンプレミス・ネットワーク と スポークVCN 間の North-South通信を、 ネットワーク仮想アプライアンス経由で有効にする構成例 ü アタッチメント[Spoke1/2/3] (VCN1/2/3) から

    DRGに⼊る トラフィックが上記ルート表に従って ルーティングされる (全てのトラフィックが VCN-Hub へルーティングされる) ü 静的ルート・ルールは、動的ルート・ルールよりも常に優先されるため、 上記アタッチメントにインポート・ルート・ディストリビューションが関連付けられ、 動的ルートがインポートされる場合でも、全ての宛先CIDR へのトラフィックが、 VCN-Hub へルーティングされる (厳格な制御が必要な場合は別途作成する) 集中化されたネットワーク仮想アプライアンスを介したトラフィック・ルーティング・シナリオ Copyright © 2022, Oracle and/or its affiliates 26 On-Premises 172.16.0.0/16 Customer Premises Equipment OCI Region VCN1 - 192.168.10.0/24 Sub1 Block Storage VM VCN2 - 192.168.20.0/24 Sub2 Block Storage VM VCN3 – 192.168.30.0/24 Sub3 Block Storage VM FastConnect Dynamic Routing Gateway VCN-Hub - 10.0.0.0/24 SubHub Firewall 10.0.0.10 Spoke 1 Spoke 2 Spoke 3 Hub 宛先CIDR ルート・ターゲット (ネクスト・ホップ・アタッチメント) タイプ 0.0.0.0/0 VCN-Hub (Hub) 静的 仮想回線 アタッチメント[Spoke1]~[Spoke3]のDRGルート表 5 5 5 5 STEP 6/7

27. オンプレミス・ネットワーク と スポークVCN 間の North-South通信を、 ネットワーク仮想アプライアンス経由で有効にする構成例 ü 各VCN のサブネット から出ていくトラフィックが上記ルート表に従ってルーティングされる

    (VCN1 のサブネット Sub1 の場合、VCN2/VCN3/オンプレミスへのトラフィックが DRG へ ルーティングされる) 集中化されたネットワーク仮想アプライアンスを介したトラフィック・ルーティング・シナリオ Copyright © 2022, Oracle and/or its affiliates 27 On-Premises 172.16.0.0/16 Customer Premises Equipment OCI Region VCN1 - 192.168.10.0/24 Sub1 Block Storage VM VCN2 - 192.168.20.0/24 Sub2 Block Storage VM VCN3 – 192.168.30.0/24 Sub3 Block Storage VM FastConnect Dynamic Routing Gateway VCN-Hub - 10.0.0.0/24 SubHub Firewall 10.0.0.10 Spoke 1 Spoke 2 Spoke 3 Hub 仮想回線 VCN1 のサブネット Sub1 のルート表 6 6 7 8 宛先CIDR ルート・ターゲット 172.16.0.0/16 DRG 192.168.20.0/24 DRG 192.168.30.0/24 DRG VCN2 のサブネット Sub2 のルート表 (省略) 7 VCN3 のサブネット Sub3 のルート表 (省略) 8 STEP 7/7

28. ⽇本語マニュアル – 動的ルーティング・ゲートウェイ • https : //docs.oracle.com/ja-jp/iaas/Content/Network/Tasks/managingDRGs.htm DRGを介した同じリージョン内のVCNのピアリング • https

    : //docs.oracle.com/ja-jp/iaas/Content/Network/Tasks/scenario_d.htm DRGを介した異なるリージョン内のVCNのピアリング • https : //docs.oracle.com/ja-jp/iaas/Content/Network/Tasks/scenario_e.htm 集中化されたネットワーク仮想アプライアンスを介してトラフィックをルーティングするためのDRGの使⽤ • https : //docs.oracle.com/ja-jp/iaas/Content/Network/Tasks/scenario_g.htm Oracleサービスへのプライベート・アクセス • https : //docs.oracle.com/ja-jp/iaas/Content/Network/Tasks/transitroutingoracleservices.htm ハブVCN内の転送ルーティング • https : //docs.oracle.com/ja-jp/iaas/Content/Network/Tasks/transitrouting.htm 動的ルーティング・ゲートウェイ 関連の技術情報 1/2 Copyright © 2022, Oracle and/or its affiliates 28

29. Equal-Cost Multi-Path (ECMP) Routing on OCI DRGv2 (英語) • https

    : //www.ateam-oracle.com/post/equal-cost-multi-path-ecmp-routing-on-oci-drgv2 OCI DRGv2 and Route Conflict (英語) • https : //www.ateam-oracle.com/post/oci-drgv2-and-route-conflict DRGv2 Hub and Spoke : HUB NVA inspecting the traffic (英語) • https : //www.ateam-oracle.com/post/drgv2-hub-and-spoke-hub-nva-inspecting-the-traffic OCI DRGv2 Routing and Microsoft Azure Access (英語) • https : //www.ateam-oracle.com/post/oci-drgv2-routing-and-microsoft-azure-access 動的ルーティング・ゲートウェイ 関連の技術情報 2/2 Copyright © 2022, Oracle and/or its affiliates 29

30. Oracle Cloud Infrastructure マニュアル (⽇本語 / 英語) • https :

    //docs.cloud.oracle.com/iaas/api/ - APIリファレンス • https : //docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/aqswhitepapers.htm - テクニ カル・ホワイト・ペーパー • https : //docs.cloud.oracle.com/iaas/releasenotes/ - リリースノート • https : //docs.cloud.oracle.com/ja-jp/iaas/Content/knownissues.htm - 既知の問題(Known Issues) • https : //docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/graphicsfordiagrams.htm - OCIアイコン・ダイアグラム集(PPT、SVG、Visio⽤) ※ ⽇本語版は翻訳のタイムラグのため情報が古い場合があります。最新情報は英語版をご確認ください Oracle Cloud Infrastructure マニュアル・ドキュメント Copyright © 2022, Oracle and/or its affiliates 30

31. Oracle Cloud Infrastructure 活⽤資料集 • https : //oracle-japan.github.io/ocidocs/ チュートリアル -

    Oracle Cloud Infrastructureを使ってみよう • https : //oracle-japan.github.io/ocitutorials/ Oracle Cloud ウェビナーシリーズ • https : //www.oracle.com/goto/ocws-jp Oracle 主催 セミナー、ハンズオン・ワークショップ • https : //www.oracle.com/search/events/_/N-2bu/ Oracle Cloud Infrastructure – General Forum (英語) • https : //cloudcustomerconnect.oracle.com/resources/9c8fa8f96f/summary Oracle Cloud Infrastructure トレーニング・技術フォーラム Copyright © 2022, Oracle and/or its affiliates 31

32. Thank you 32 Copyright © 2022, Oracle and/or its affiliates

    [Date]
33. None