Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI技術資料 : 仮想クラウド・ネットワーク (VCN) 詳細

OCI技術資料 : 仮想クラウド・ネットワーク (VCN) 詳細

Oracle Cloud Infrastructure (OCI) の技術説明資料、仮想クラウド・ネットワーク (VCN) の詳細編 (Level 200) です。

VCNピアリングの詳細、トランジット・ルーティング、ハイブリッドDNS構成、Oracle Services Networkへの接続、アプライアンス型仮想ファイアウォールの利用など、VCNを利用するにあたり少し複雑なケースについて解説しています。

更新履歴
2021/10/27 BYOIP追加
2021/7/9 プライベートDNSを追加
2021/6/24 VCNから別リージョンのサービスネットワークへのトランジット・ルーティングの例を記載

More Decks by Oracle Cloud Infrastructure ソリューション・エンジニア

Other Decks in Technology

Transcript

  1. 仮想クラウド・ネットワーク (VCN) 詳細 Virtual Cloud Network Level 200 Oracle Cloud

    Infrastructure 技術資料 2021年10月
  2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

    © 2021, Oracle and/or its affiliates. 2
  3. このレッスンを修了すると、次のことができるようになります • ピアリングを利用した複数VCNの接続についての理解 • Oracle Services Networkの概念と、VCN内やオンプレミスからの接続方法についての理解 • 1つのVCNを経由(トランジット)したネットワーク間の直接通信のケースについての理解 •

    アプライアンス型の仮想ファイアウォールを利用するケースについての理解 • VCNとオンプレミスでハイブリッドDNSを構成するケースについての理解 • フローログを使ってVCN内の通信ログを取得する仕組みについての理解 • IPアドレス持ち込み(BYOIP)の理解 目標 Copyright © 2021, Oracle and/or its affiliates. 3
  4. Copyright © 2021, Oracle and/or its affiliates. 4 VCNピアリング VCN

    Peering – Local Peering & Remote Peering
  5. VCNピアリング 異なる2つのVCNをピア・ツー・ピアで接続する仕組み • プライベートIPアドレスでリソース同士が直接通信でき る • 通信は外部のインターネットに出ない • インターネット経由の接続と比較して、通信速度 と

    セキュリティ の向上が見込める 2種類の接続方法 • ローカルVCNピアリング (リージョン内接続) • リモートVCNピアリング (クロス・リージョン接続) OCIリージョン2 OCIリージョン1 VCN VCN VCN Local Peering Gateway Local Peering Gateway Dynamic Routing Gateway Dynamic Routing Gateway ローカルVCNピアリング リモートVCNピアリング Copyright © 2021, Oracle and/or its affiliates. 5
  6. 同じリージョンにある2つのVCN間をピア・ツー・ピアで接続 • ローカル・ピアリング・ゲートウェイ (LPG) を利用 • 追加料金不要、ローカル・ピアリング間通信の料金は無料 • VCNあたり最大10個のLPG •

    異なるテナンシーのVCNとも接続可能 (クロス・テナンシー・ピアリング) ローカルVCNピアリング VCN1 VCN2 VCN3 VCN4 OCIリージョン Local Peering Gateway 1 Local Peering Gateway 2 ・ ・ ・ Local Peering Gateway 10 Local Peering Gateway 2-1 Local Peering Gateway 3-1 Local Peering Gateway 4-1 Copyright © 2021, Oracle and/or its affiliates. 6
  7. 11 i あるVCNからピアリング先のVCNを経 由した別VCN、OCI他サービス (Oracle Servicesネットワーク)、イン ターネットとの直接通信 (トランジット) 不可 アドレス範囲が重複するVCNはピアリ

    ング不可 複数(例えば3つ)のVCNとピアリングし ている場合、その3つのVCNではアド レス範囲の重複可能 (VCN1内のサ ブネット毎に別のルート表の紐付けを 推奨) ローカルVCNピアリング 構成上の注意 VCN1 10.0.0.0/1 6 VCN2 10.0.0.0/1 6 VCN 1 VCN 2 VCN 3 VCN1 10.0.0.0/1 6 VCN3 192.168.0. 0/16 VCN2 192.168.0. 0/16 VCN4 192.168.0. 0/16 ※ VCN1のルート表に重複するアドレス範囲の ルールがある場合、プレフィックスの最長一致 規則(ロンゲスト・マッチ)にしたがってルーティン グされる ※ VCNをトランジットしたVCNとオンプレミスの 通信は可能 Copyright © 2021, Oracle and/or its affiliates. 7
  8. 1. 接続を確立するための IAM ポリシーを準備 2. 各 VCN でローカル・ピアリング・ゲートウェイを作成 3. LPG間でピアリングを設定

    4. 各VCNのルート表の更新 5. 各VCNのセキュリティ・リストの更新 6. 接続のテスト ローカルVCNピアリングの構成手順 Copyright © 2021, Oracle and/or its affiliates. 8
  9. 異なるテナンシー(異なる契約) のVCN間をローカル・ピアリング 片方をリクエスター、もう片方をアクセプターとして作成したIAMポリシーの権限で作成 ※ 別リージョンのVCNとは構成不可 クロス・テナンシー・ピアリング リージョン VCN1 10.0.0.0/16 192.168.0.2

    10.0.0.2 VCN2 192.168.0.0/16 LPG LPG ピアリング Requestorコンパートメント ABC社テナンシー Acceptorコンパートメント XYZ社テナンシー Define tenancy Acceptor as ocid1.tenancy.oc1…. Allow group Requestor to manage local-peering-from in compartment Requestor Endorse group RequestorGrp to manage local-peering-to in tenancy Acceptor Endorse group RequestorGrp to associate local-peering-gateways in compartment RequestorComp with local-peering-gateways in tenancy Acceptor Define tenancy Requestor as ocid1.tenancy.oc1..aaaaaaarequestorComp Define group Requestor as ocid1.group.oc1..aaaarequestorgrp Admit group Requestor of tenancy Requestor to manage local-peering-to in compartment Acceptor Admit group Requestor of tenancy Requestor to associate local-peering-gateways in tenancy Requestor with local-peering-gateways in compartment AcceptorComp Copyright © 2021, Oracle and/or its affiliates. 9
  10. 異なるリージョンにある2つのVCN間をピア・ツー・ピアで接続 • OCIのバックボーン回線を経由したリージョン間の接続 • ダイナミック・ルーティング・ゲートウェイ (DRG) を使用 • ゲートウェイ(DRG)やピアリングは無料、バックボーンを利用したリージョン外への通信は外部データ転送 (Outbound

    Data Transfer) の課金にカウント • 別テナンシーのVCNとのリモート・ピアリング(クロス・テナンシー・ピアリング)は不可 リモートVCNピアリング VCN2 OCI REGION2 DRG-1 RPC-1 RPC-2 OCI REGION1 VCN1 DRG-2 Copyright © 2021, Oracle and/or its affiliates. 10
  11. リモートVCNピアリング 構成上の注意 ピアリングのVCNを通じて別のネットワークにアクセスするこ と(Transit)は不可 すべてのVCN CIDRが重複してはならない 特定のVCNが複数のピアリング関係を持つ場合、それら の他のVCNは互いに重複するCIDRを持つことは不可 例)VCN-1がVCN-2およびVCN-3とピアリング されてい

    る場合。VCN-2とVCN-3は重複するCIDRを持つことはで きない クロス・テナンシー・ピアリングは不可 VCN2 VCN1 VCN1 10.0.0.0/16 VCN2 192.168.0./16 VCN3 192.168.0./16 VCN3 VCN2 10.0.0.0/16 VCN1 10.0.0.0/16 ×不可能 ×不可能 ×不可能 Copyright © 2021, Oracle and/or its affiliates. 11
  12. リモートVCNピアリングの構成手順 1. DRGを作成 2. DRGをVCNに接続 3. 接続を確立するためにIAMポリシーを設定 4. DRG間の接続を確立 5.

    ルートテーブルを更新 6. セキュリティリストを更新 7. 接続テスト Copyright © 2021, Oracle and/or its affiliates. 12
  13. Copyright © 2021, Oracle and/or its affiliates. 13 Oracle Services

    Network へのアクセス Access to Oracle Services Network
  14. Oracle Services Network とは? • OCIの各種サービスのエンドポイントが存在するOCIの 概念的なネットワーク • OCIリージョンの中に存在し、VCNの外側に存在する •

    この中のサービスは、インターネット経由でアクセスする ためのNATされたパブリックIPアドレスを持つものも多 い • Oracle Services Network内のサービスの例 ※ • OCI APIのエンドポイント • Object Storage • Oracle Autonomous Database • Analytics Cloud Service などのPaaSやSaaS ※ OCIのコンソール画面 (https://console.<region>.oraclecloud.com)は Oracle Services Network内には存在しません OCIリージョン VCN VCN VCN Oracle Services Network Object Storage Autonomous Database Copyright © 2021, Oracle and/or its affiliates. 14
  15. VCNの中 から Oracle Services Network へのアクセス方法 Copyright © 2021, Oracle

    and/or its affiliates. 15 アクセス元にパブリッ クIPアドレスの要否 アクセスに利用するIPアドレス VCN内からの通信の到達先 インターネット・ゲートウェイ経由 必要 パブリックIP インターネット(双方向通信) NATゲートウェイ経由 不要 ゲートウェイでパブリック-プライベートNAT変換される インターネット(アウトバウンド通信の み サービス・ゲートウェイ経由 不要 ゲートウェイでプライベートIP-プライベートIPのNAT変 換が行われる (送信元IPには240.0.0.0/4が利用される) 同一リージョン内のOracle Services Network内のサービス 他テナンシのリソースも到達可能 (インターネットに出る通信は不許 可) VCN内に設置したプライベート・ エンドポイント経由 不要 VCN内のプライベートIP ゲートウェイを設置したサービスのみ
  16. VCN オンプレミスから Oracle Services Network へのプライベート・アクセス方法 1. FastConnect パブリック・ピアリング •

    FastConnectをパブリックIPで利用 2. VCN Transit Routing • DRGとService Gatewayを直接ルーティング 3. プロキシサーバー経由 • VCN内に設置したプロキシを経由 4. プライベート・エンドポイント • VCN内にエンドポイントを設置 (Autonomous DBのみ利用可) 5. 番外: ロードバランサー経由 • LBのListener IP を介してNATアクセス ※ ホスト名アクセスではないため非推奨 Customer Data Center FastConnect (Public Peering) Autonomous Database Service Gateway OCIリージョン Proxy Server Private Load Balancer ADB Private Endpoint 1 2 FastConnect (Private Peering) 3 4 5 Copyright © 2021, Oracle and/or its affiliates. 16
  17. プライベート・エンドポイント Oracle Services Network 内にホストされる特定のサー ビスにアクセスするためのエンドポイントを、VCN内に作成 する仕組み • ユーザーが明示的に作成して有効化 •

    VCN内のプライベートIPを持つ仮想NICとして扱われ るため、サービス・ゲートウェイやトランジット・ルーティン グ等の設定は不要 対応するサービス(今後も追加予定、最新情報はこちら) • Autonomous Database (shared Exadata infrastructure) • Streaming • Data Safe • Data Catalog • Oracle Analytics Cloud • Data Flow Copyright © 2021, Oracle and/or its affiliates. 17
  18. Copyright © 2021, Oracle and/or its affiliates. 18 VCNトランジット・ルーティングの詳細 Transit

    Routing Scenarios
  19. VCNの1つを中継ネットワークとして機能させることで、直接繋がっていない2つのネットワークの間の直接通信を可能にする 機能 間に入るVCNが、自分に関係のないトラフィックを経由(トランジット)するため、VCNトランジット・ルーティングと呼ばれる 重要 : トランジット・ルーティングは通常は許可されない。ただし次ページで述べる3つのユースケースに限って例外的に トランジット・ルーティングが許可される VCNトランジット・ルーティング Copyright ©

    2020, Oracle and/or its affiliates 19 オンプレミス 中継VCN VCN FastConnect / IPsec VPN ピアリング 中継VCNを経由して直接通信
  20. 1. FastConnect/VPN接続の 複数VCNでの共有 • 1つのFastConnectのプライベート 仮想回線またはVPN接続を共有 して、オンプレミスネットワークと同 リージョンの複数のVCN間の直接 通信する 2.

    外部ネットワークからOracle サービスへのプライベート接続 • FastConnectやVPN接続を経由 し、オンプレミスからプライベートIPア ドレスでVCN外のOracleサービス (Object Storage/Autonomous DB) にアクセスする 3. リージョン間のリモート・ピアリ ング接続を複数VCNで共有 • 2つのハブVCNの間を結ぶリージョ ン間のリモート・ピアリング接続を、 それぞれのハブVCNとローカル・ピア リング接続されているスポークVCN から利用する VCNトランジット・ルーティング 3つのユースケース Copyright © 2020, Oracle and/or its affiliates 20 OCIリージョン Service Gateway 外部 ネットワーク VCN ORACLE SERVICES NETWORK Object Storage
  21. 外部 ネットワーク ハブ VCN スポーク VCN-2 スポーク VCN-1 スポーク VCN-3

    ローカル VCN ピアリング ユースケース1 - FastConnect/VPN接続の複数VCNでの共有 • 1つのVCNがハブとなり、複数のスポークVCNと接続す るハブ&スポークの形状となる • 外部ネットワークとは、ハブVCNのみがFastConnect / VPN で直接接続されており、各スポークVCNと外 部ネットワークの間の通信は、ハブVCNがゲートウェイ となって中継(トランジット)する • ハブVCNとスポークVCNの間はローカルVCNピアリング で接続するため、ローカルVCNピアリングの構成上の 制約を受ける • ハブとスポークは同一リージョン • ハブとスポークは別テナンシーにあっても可 • ピアリング数最大10個/VCN Copyright © 2021, Oracle and/or its affiliates. 21
  22. • (前提)ハブVCNと外部ネットワークの間 のプライベート接続、ハブVCNとスポーク VCNの間のローカル・ピアリング接続は 構成済み • 動的ルーティング・ゲートウェイ(DRG)の ルート表に、スポーク VCN(192.168.0.0/16)を宛先とするトラ フィックのターゲットをLPG-1とするルール

    を追加 • LPG-1のルート表に、外部ネットワーク (172.16.0.0/16)を宛先とするトラフィック をDRGとするルールを追加 • スポークVCNのルート表に、LPG-2を ターゲットとするルールを作成 ユースケース1の設定例 - ハブVCN内にインスタンスを置かず、ハブVCNのDRGとLPG を直接ルーティングするパターン Copyright © 2021, Oracle and/or its affiliates. 22 外部ネットワーク (172.16.0.0/12) ハブ VCN (10.0.0.0/16) スポークVCN (192.168.0.0/16) ローカル・ ピアリング接続 宛先 ターゲット 192.168.0.0/16 LPG-1 172.16.0.0/12 DRG 宛先 ターゲット 10.0.0.0/16 LPG-2 172.16.0.0/12 LPG-2 LPG-1 LPG-2 宛先 ターゲット 192.168.0.0/16 LPG-1 宛先 ターゲット 172.16.0.0/12 DRG
  23. ユースケース1の設定例 - ハブVCN内に置いたインスタンスを経由させるパターン Copyright © 2021, Oracle and/or its affiliates.

    23 外部ネットワーク (オンプレミス/Azure) 172.16.0.0/12 ORACLE CLOUD INFRASTRUCTURE REGION FastConnect Hub VCN 10.0.0.0/16 LPG2 Spoke VCN-1 10.1.0.0/16 Spoke VCN-2 10.2.0.0/16 172.16.0.0/16 Local Peering Local Peering Firewall FW UnTrust Subnet 10.0.4.0/24 FW Trust Subnet 10.0.8.0/24 vnic1 vnic2 LPG T1 LPG1 10.0.4.2 10.0.8.2 Destination CIDR Route Target 10.1.0.0/16 10.0.4.2 10.2.0.0/16 10.0.4.2 Destination CIDR Route Target 172.16.0.0/16 DRG Destination CIDR Route Target 10.1.0.0/16 LPGT1 10.2.0.0/16 LPGT2 LPG T2 Destination CIDR Route Target 172.16.0.0/16 10.0.8.2 Destination CIDR Route Target 172.16.0.0/16 10.0.8.2
  24. ユースケース1の実装例 – ISVによる共有専用線の提供 https://www.ateam-oracle.com/isv-architecture-validated-design Copyright © 2021, Oracle and/or its

    affiliates. 24
  25. OCIリージョン Service Gateway • オンプレミスから、Oracle Services Network(VCN外にあるパブリックIPしか持たな い Oracle サービス

    (Object Storage/Autonomous DB) に対し、インター ネットを介さずに FastConnect やVPN接続経 由で接続したい場合に構成する • VCNが、オンプレミスとOracle Services Network (OCIリージョン内のVCN外のネット ワーク) を中継(トランジット)する形状となる • VCNからはサービス・ゲートウェイを経由して Oracle Services Networkに到達する ユースケース2 - 外部ネットワークからOracleサービスへのプライベート接続 外部ネットワーク VCN ORACLE SERVICES NETWORK Object Storage Copyright © 2021, Oracle and/or its affiliates. 25
  26. ユースケース2の設定例 - VCN内にインスタンスを置かず、DRGとサービス・ゲートウェイ を直接ルーティングするパターン Copyright © 2021, Oracle and/or its

    affiliates. 26 ORACLE CLOUD INFRASTRUCTURE REGION VCN 10.0.0.0/16 . On-premises Network 172.16.0.0/12 Dynamic Routing Gateway Service Gateway Object Storage Oracle Services Network Fastconnect or VPN Destination CIDR Route Target All Services in Region Service Gateway Destination CIDR Route Target 172.16.0.0/12 DRG Route Table associated with DRG Route Table associated with Service Gateway ADW/ATP Virtual Machine
  27. ユースケース2の設定例 - VCN内に置いたインスタンスを経由させるパターン(仮想ファイ アウォールなどを経由させる場合などに利用) Copyright © 2021, Oracle and/or its

    affiliates. 27 VCN 10.0.0.0/16 SUBNET 10.0.4.0/24 SUBNET 10.0.8.0/24 and more.. Object Storage Oracle Services Network Service Gateway Dynamic Routing Gateway On-premises Data Center 172.16.0.0/12 VNIC VNIC Instance 10.0.4.3 10.0.8.3 Fastconnect or VPN Connect Private IP Private IP DRG Destination CIDR Destination CIDR Route Target Route Target 172.16.0.0/12 Service Gateway All Services in Region Destination CIDR Route Target All Services in Region 10.0.4.3 Destination CIDR Route Target 172.16.0.0/12 10.0.8.3 Route Table associated with Service gateway Route Table associated with DRG ORACLE CLOUD INFRASTRUCTURE REGION Route Table associated with subnet-frontend Route Table associated with subnet-Backend
  28. ユースケース2の応用 -リモート・ピアリングしたVCNを介してトランジット・ルーティングを 利用して別リージョンのサービスネットワークにプライベートにアクセス Copyright © 2020, Oracle and/or its affiliates

    | Confidential: Internal/Restricted/Highly Restricted 28 Osaka Region VCN 10.1.0.0/16 DRG Object Storage Tokyo Region Private Subnet 10.0.0.0/24 VCN 10.0.0.0/16 Virtual Machine DRG Service Gateway プライベートサブネットのルート表 宛先 ターゲット 接続先リージョンの OSN CIDR (*1) DRG DRGのVCNルート表 宛先 ターゲット All KIX Services In Oracle Services Network サービス・ ゲートウェイ リモートピアリング 接続 サービス・ゲートウェイのルート表 宛先 ターゲット 10.0.0.0/16 DRG DRGのDRGルート表 リモートピアリング接続作成 時に自動で作成される。 DRGのDRGルート表 リモートピアリング接続作成 時に自動で作成される。 (*1) ドキュメントからパブリックIPのJSONファイルをダウンロードし、対象リージョンのOSNのCIDR範囲を取得し、ルート・ルールの宛先に追加。 https://docs.oracle.com/ja-jp/iaas/Content/General/Concepts/addressranges.htm#osn-ranges サービス・ゲートウェイは同一リージョン内のサービス・ネットワークのみにアクセス可能。別リージョンのサービス・ネットワークに対して プライベートにアクセスする場合はVCNをトランジットさせる必要がある。
  29. • 2つのハブVCNの間を結ぶリージョン間のリモート・ピア リング接続を、それぞれのハブVCNとローカル・ピアリン グ接続されているスポークVCNから利用する • 左の図の例だと、VCN-1-AとVCN2-Aの間は、VCN- H-1、リモートピアリング接続、VCN-H-2を経由(トラン ジット)して直接通信ができる • 各スポークVCNの間を個別にリモート・ピアリングする

    必要がなく、リージョン間接続は1つだけでOK • ハブVCNとスポークVCNの間はローカルVCNピアリング で接続するため、ローカルVCNピアリングの構成上の 制約を受ける • ハブとスポークは同一リージョン • ハブとスポークは別テナンシーにあっても可 • ピアリング数最大10個/VCN ユースケース3 - リージョン間のリモート・ピアリング接続を複数VCNで共有 Copyright © 2021, Oracle and/or its affiliates. 29
  30. OSN Object Storage Private Subnet 10.0.6.0/24 Oracle Cloud Infrastructure (Region)

    Availability Domain 1 Availability Domain 3 Public Subnet 10.0.0.0/24 VM 10.0.0.5 129.213.80.25 Database System 10.0.6.3 Virtual Cloud Network 10.0.0.0/16 Service Gateway Autonomous Database ATP/ADW Dynamic Routing Gateway Telemetry/ Monitoring GatewaySubnet 10.0.6.0/24 Availability Zone Subnet_OApp 172.16.0.0/24 VM 172.16.0.5 23.100.26.160 Subnet for Virtual Network Gateway VNet 172.16.0.0/16 Microsoft Azure (Region) FastConnect ExpressRoute Virtual Network Gateway Cross-Cloud Network 参考 : Azureとの接続 + トランジット・ルーティングの併用例 Copyright © 2021, Oracle and/or its affiliates. 30
  31. Copyright © 2021, Oracle and/or its affiliates. 31 アプライアンス型仮想ファイアウォールの利用 Deploy

    Virtual Firewall on OCI
  32. パブリックサブネット 10.0.0.0/24 オラクルクラウドリージョン 可用性ドメイン1 VCN 10.0.0.0/16 プライベート・サブネット 10.0.1.0/24 ファイアウォールインス タンス

    プライベート・インスタ ンス 0.0.0.0/0 ファイアウォールの プラ イベートIP 172.16.0.0/16 DRG ルート・ターゲットとしてのプライベート IP VCN外へのトラフィックのターゲット(次ホップ)としてプライ ベートIPアドレスを直接指定する機能 ユースケース : アプライアンス型の仮想ファイアウォールや UTM(IDS/IPS)を設置し、すべてのトラフィックが必ずそこ を経由するように構成 Copyright © 2021, Oracle and/or its affiliates. 32
  33. Oci 可用性ドメイン-2 可用性ドメイン-1 パブリックサブネット VCN: 10.0.0.0/16 保護層 パブリックサブネット パブリック・ロー ドバランサー

    インターネッ ト・ゲートウェ イ インターネット オンプレミス ネットワーク Fortigate NGFW を利用した仮想ファイアウォールの設置例 クライアント プライベート・サブネット プライベート・サブネット プライベートロー ド バランサー ウェブ/アプリ層 プライベート・サブネット プライベート・サブネット DB 層 DB システム DataGuard同期 Fortigate NGFW Fortigate NGFW Bastion Bastion OCI ブログFortigateNGFW Copyright © 2021, Oracle and/or its affiliates. 33
  34. Juniper vSRX を使用した仮想ファイアウォールの設置例 • Juniper vSRXは、ステートフルファイアウォール保護、 IPS、アンチウイルス、Webフィルタリング、スパム対策 などのアプリケーションおよびコンテンツセキュリティ機能 などの利点を提供します •

    高レベルのワークフロー • 図に示すように、VCN と3つのサブネットを作成します。 • vSRXイメージをインポートして、VCN上にvSRXインス タンスを起動 • vNICを各サブネットに追加 • インスタンスコンソール接続手順を使用してvSRXをセッ トアップ • 参考ブログ - how to setup a vSRX on OCI - https://blogs.oracle.com/cloud-infrastructure/how- to-deploy-a-virtual-firewall-appliance-on-oracle- cloud-infrastructure Copyright © 2021, Oracle and/or its affiliates. 34
  35. North-South Traffic Palo Alto VMシリーズを使用した仮想ファイアウォールの設置例 https://docs.paloaltonetworks.com/vm-series/9-0/vm-series-deployment/set-up-the-vm- series-firewall-on-oracle-cloud-infrastructure/deployments-supported-on-oci.html Inter-VCN Traffic (East-West)

    Copyright © 2021, Oracle and/or its affiliates. 35
  36. Copyright © 2021, Oracle and/or its affiliates. 36 プライベートDNS、ハイブリッドDNS構成 Private

    DNS, Hybrid DNS Configuration
  37. VCN リゾルバは 169.254.169.254 に自動的に構成され、VCN内のホストの名前解決を提供するが、VCNリゾルバには VCN内のインスタンスからのみ到達可能 このため、異なるVCN間、あるいは、VCNがオンプレミス・ネットワークとVPNやFastConnectでプライベート接続されていて 相互に名前解決を行いたい場合には、プライベートDNSを利用するか、ハイブリッドDNS構成をとる必要がある VCN内DHCPオプションのリゾルバ設定 • VCNリゾルバ及びインターネット:VCN

    内部のDNSを利用し VCN 内とグローバルの名前解決を行う(デフォルト) • カスタムリゾルバ:VCN内や IPsec VPN / FastConnect で接続されたオンプレミス・ネットワーク内に独自に設置したDNSを利用 し名前解決を行う サブネット単位で設定選択可能 VCNリゾルバのデフォルトのドメイン名(ラベル名を明示的に指定しない場合はVCN名やサブネット名から自動生成) • VCN ドメイン名: <VCN DNSラベル>.oraclevcn.com • サブネットドメイン名: <サブネットDNSラベル>.<VCN DNSラベル>.oraclevcn.com • インスタンスのFQDN: <ホスト名>.<サブネットDNSラベル>.<VCN DNSラベル>.oraclevcn.com VCN内の名前解決 Copyright – © 2021 Oracle and/or its affiliates. All rights reserved. 37
  38. プライベートDNSを利用することで、プライベート・ネットワークの名前解決を行うためのゾーンとレコード管理が可能 また、プライベートDNSリゾルバで、VCN間、オンプレミスや他のネットワークとの間でのフォワーディングが可能 プライベートDNS Copyright – © 2021 Oracle and/or its

    affiliates. All rights reserved. 38 • プライベートDNSゾーン • プライベートネットワーク内で利用可能なDNSデー タ。 • プライベートDNSビュー • プライベート・ゾーンの論理的な集まり。リゾルバから ビューを関連付ける。 • プライベートDNSリゾルバ • VCN内でDNSクエリに応答するリゾルバ • VCN内でデフォルトで169.254.169.254でリッスン • エンドポイントを利用しフォワーディング設定も可能 OCIリージョン VCN プライベートDNSリゾルバ 169.254.169.254 リスニング・エンドポイント 転送エンドポイント プライベートDNSビュー プライベートDNSゾーン prod.domain.internal システム生成ゾーン vcn1.oraclevcn.com suba.vcn1.oraclevcn.com オンプレミス DNSサーバー 名前解決 リスニング 転送 名前解決 プライベートDNSは無償。プライベートDNSゾーンや、エンドポイント、 DNSクエリーなどに対する費用は不要。
  39. VCN内でのプライベートDNS解決 • VCN内部でのシステム生成ドメイン(oraclevcn.com)の名前解決 カスタム・プライベート・ゾーンの管理 • 独自ドメインの作成やレコード管理 VCN <=> VCN 間のプライベートDNS解決

    • ピアリングされたVCN間でのDNSクエリー解決 • 同一テナンシかつ同一リージョンの場合はプライベートDNSビューを関 連付ければ相互に参照可能。 • リモートもしくは別テナンシの場合はフォワーディング設定 VCN <=> オンプレミス間のプライベートDNS解決 • VCNとお客様のオンプレミスネットワーク間の相互名前解決 • エンドポイントを使用してフォワーディング設定が可能 スプリット・ホライズン • 同じゾーン名のプライベートクエリとパブリッククエリに異なる回答を提供 プライベートDNSのユースケース Copyright – © 2021 Oracle and/or its affiliates. All rights reserved. 39 同一リージョン内でピアリングしたVCN間での名前解決 オンプレミスとVCN間での名前解決 OCIリージョン オンプレミス DNSサーバー 名前解決 VCN プライベートリゾルバ 名前 解決 aaa.com sub.aaa.com フォワーディング OCI Tokyoリージョン VCN プライベートリゾルバ プライベート・ビュー 名前解決 VCN プライベートリゾルバ プライベート・ビュー 名前解決 VCN ピアリング 関連付け
  40. • 各VCN内のDNSリゾルバ。VCNに付属して作成される。 • 169.254.169.254でリッスンしていて、VCN内インスタンス以 外から参照はできない。 • リゾルバ・エンドポイント(リスニング/転送)と転送リゾル バ・ルールを利用することでフォワーディング設定が可能 • OCI外部のネットワーク、別リージョンや別テナンシーのVCN

    から名前解決する、あるいはその逆が可能 • エンドポイントは指定したサブネット内に作成される • リゾルバ・ルール • ドメインやCIDRごとに、どこにフォワードするかのルール • リゾルバごとに最大10設定可能 • リゾルバ内の解決の優先順位: • カスタム・プライベート・ビュー → デフォルト・ビュー → リゾル バ・ルール → インターネットDNS プライベートDNSリゾルバ(VCN内部リゾルバ) Copyright – © 2021 Oracle and/or its affiliates. All rights reserved. 40 OCIリージョン オンプレミス DNSサーバー 名前解決 VCN プライベートリゾルバ 169.254.169.254 名前 解決 aaa.com リスニング・エンドポイント 転送エンドポイント リスニング 転送 vcn1.oraclevcn.com suba.vcn1.oraclevcn.com プライベート・ビュー
  41. システム生成ゾーン (.oraclevcn.com) • インスタンスなどの作成時に自動的にレコード登録、管理が行われる。 • システム生成ゾーンと他のゾーンをあわせて名前解決させたい場合は、 後述のDNSビューが利用可能 カスタムのプライベート・ゾーン • ユーザが独自のドメイン名で任意のDNSレコード管理が可能。VCN

    の中からのみ利用可能。 • VCNをまたがってゾーンを複製可能 • スプリットホライズン(パブリックとプライベートゾーンで同じドメイン)も 可能 • プライベートDNSゾーンは、必ずプライベートビューとともに作成される。 • 同一リージョン内のビューからのみ参照可能。 プライベートDNSゾーン Copyright – © 2021 Oracle and/or its affiliates. All rights reserved. 41 VCN プライベートリゾルバ 169.254.169.254 名前 解決 プライベートDNSビュー testdomain.com aaa.testdomain.com 30 A 10.0.0.2 bbb.testdomain.com 30 A 10.0.0.10 vcn1.oraclevcn.com suba.vcn1.oraclevcn.com システム生成ゾーン カスタムのプライベートDNSゾーン
  42. ゾーンを関連付けた論理的な集まり。一つのゾーンは一つのビューにしか属せない。 VCN作成時にデフォルトのプライベート・ビューが自動的に作成される リゾルバには、デフォルトのプライベート・ビュー以外に、カスタムで別のプライベート・ビューを関連付けることも可能。(同一 リージョンかつ同一テナンシーのみ) プライベートDNSゾーンには必ずプライベートビューも一緒に作成される。 プライベートDNSビュー Copyright – © 2021

    Oracle and/or its affiliates. All rights reserved. 42 プライベートビューを利用した同一リージョン内VCN間での名前解決の例 OCI Tokyoリージョン VCN A プライベートリゾルバ プライベート・ビュー 名前解決 VCN B プライベートリゾルバ プライベート・ビュー 名前解決 VCN ピアリング 関連付け
  43. オンプレミス DNSサーバー 名前解決 OCI Tokyoリージョン VCN 名前解決 名前解決 プライベートDNSリゾルバ 169.254.169.254

    リスニング・エンドポイント 転送エンドポイント OCI Osakaリージョン VCN 名前解決 名前解決 プライベートDNSリゾルバ 169.254.169.254 リスニング・エンドポイント 転送エンドポイント OnPネットワークや別リージョンのVCN間での名前解決 OnPネットワークや別リージョンVCNとの相互の名前解決 構成例 Copyright – © 2021 Oracle and/or its affiliates. All rights reserved. 43 FastConnect VPN リモートピアリング
  44. ハイブリッドDNSのTerraform構成サンプルが以下のOCI公式Githubリポジトリにある • https://github.com/terraform-providers/terraform-provider- oci/blob/255817f83956f1f9a3ab903e11465e8b4dde1957/docs/examples/networking/hybrid_dns/H ybrid-DNS-configuration-using-DNS-VM-in-VCN.md 注)現時点ではプライベートDNSが利用可能なため、ハイブリッドDNS構成(カスタムでDNS用インスタンスを作成)をと らなくても別ネットワークとの名前解決が可能 ハイブリッドDNS構成 Copyright ©

    2021, Oracle and/or its affiliates. 44
  45. ハイブリッドDNS構成 ケース1 : オンプレ側からVCN内ホストの名前を解決 1. オンプレミス内のクライアントがVCN内のホスト (db1.exaclient.custvcn.oraclevcn.com) の名前 解決を要求するDNSクエリを発行 2.

    クエリを受け取ったオンプレミスのDNSサーバーがプラ イベート接続 (VPNまたはFastConnect) 経由で VCN(10.0.10.15) のDNS VMにクエリを転送 3. さらにVCN DNSリゾルバー(169.254.169.254)に DNSクエリを転送 4. DNS VMはFQDNのIPアドレスを取得し、オンプレミ スDNSサーバーに応答 5. オンプレミスDNSサーバーがIPアドレスを取得し、クラ イアントに応答 Copyright © 2021, Oracle and/or its affiliates. 45
  46. ハイブリッドDNS構成 1. VCN内のクライアントがオンプレミス・ネットワーク内 のホスト(app1.customer.net) の名前解決を要求 するDNSクエリを発行 2. サブネットのDHCPオプションでカスタム・リゾルバーに 設定されているDNSサーバー(10.0.10.15)がDNSク エリーを受信

    3. プライベート接続 (VPNまたはFastconnect) 経由 でオンプレミスDNSサーバー(172.16.0.5) にDNSクエ リを転送 4. DNS VMが応答を取得してクライアントに返送 ケース2 : OCI側からオンプレミス・ネットワーク内のホストの名前を解決 Copyright © 2021, Oracle and/or its affiliates. 46
  47. Copyright © 2021, Oracle and/or its affiliates. 47 VCNフローログ VCN

    Flow Logs
  48. https://blogs.oracle.com/cloud-infrastructure/announcing-virtual-cloud-network-flow-logs- general-availability-for-oracle-cloud-infrastructure VCNを流れるすべての通信のメタデータの記録を保持し、ロギング・サービスに統合 ネットワークの監視やトラブルシューティング、コンプライアンス対応のために利用可能 サブネット単位で設定し、サブネット内のすべてのリソースに対応 • インスタンスのVNICのみでなくプライベート・エンドポイントにも対応 以下のような内容が記録される • トラフィックの送信元IPアドレスとポート番号/送信先IPアドレスとポート番号

    • トラフィック量 • セキュリティ・ルールによる許可/拒否 ログ内容の例 ログフォーマット詳細 • https://docs.cloud.oracle.com/en- us/iaas/Content/Logging/Reference/details_for_vcn_flow_logs.htm#details_for_vcn_flow_logs VCN Flow Logs Copyright © 2021, Oracle and/or its affiliates. 48 VCN Flow Logs ACCEPT TCP 172.21.2.185 Port 43360 → 129.146.13.236 Port 443 Bytes 10515 Packets 19 ACCEPT TCP 129.146.13.236 Port 443 → 172.21.2.185 Port 43360 Bytes 5548 Packets 14
  49. OCI Flow Logs の Oracle Management Cloud (OMC) Log Analytics

    連携 https://blogs.oracle.com/managementcloud/how-to-ingest-oci-vcn-flow-logs-into-omc-v2 Oracle Management Cloud の Log Analytics サービ スに、OCI Flow Logsのログを取り込んで表示、分析 ステップ • Flow Logs を有効化してObject Storageのバケット にログを出力 • OMCからOCI Flow Logsのログが出力されているバ ケットにアクセスしてログを抽出 • OMCのコンソールでログを表示、解析 Copyright © 2021, Oracle and/or its affiliates. 49
  50. OCI Flow Logs の Splunk 連携 https://blogs.oracle.com/cloud-infrastructure/how-to-ingest-vcn-flow-logs-into-splunk 新機能 • OCI

    が Splunk Technology Alliance Partner (TAP) パートナーに認定 • splunk.com ダウンロードセンターからのOCIログ用の プラグインの提供 ユースケース • OCIログをSplunkで一覧で閲覧 • Flow Logs • Audit Logs • ログのパース、解析 Copyright © 2021, Oracle and/or its affiliates. 50
  51. Copyright © 2021, Oracle and/or its affiliates. 51 IP持ち込み Bring

    Your Own IP (BYOIP)
  52. お客様がお持ちのパブリックIPをOCI上で利用可能。IPアドレスがハードコードされていて変更できない場合もOCIへの移 行が可能。 • お客様が所有権を持っているIPアドレスが持ち込み可能 • 所有権がAPNICなどのRIRに登録されている必要がある • Oracleによる所有権の検証などのステップが必要 • 特定のリージョンごと

    • /24~/8のCIDRを持ち込み可能 • 最大10個のIPv4レンジを持ち込み可能 • Free TierやPAYGは利用不可 Bring Your Own IP (BYOIP) BYOIPで持ち込んだIP範囲から1つないしは複数のパブリックIPプール を作成し、これを各リソースパブリックIPのソースに割り当てることが可 能 • IPプールには/24~/28のCIDRを登録可能 • コンピュート・インスタンス、ロードバランサー、NATゲートウェイなどの予約済 みIP設定の項目でIPプールを選択 Copyright – © 2020 Oracle and/or its affiliates. All rights reserved. 52
  53. このレッスンでは、次のことを学習しました • ピアリングを利用した複数VCNの接続についての理解 • Oracle Services Networkの概念と、VCN内やオンプレミスからの接続方法についての理解 • 1つのVCNを経由(トランジット)したネットワーク間の直接通信のケースについての理解 •

    アプライアンス型の仮想ファイアウォールを利用するケースについての理解 • VCNとオンプレミスでハイブリッドDNSを構成するケースについての理解 • フローログを使ってVCN内の通信ログを取得する仕組みについての理解 まとめ Copyright © 2021, Oracle and/or its affiliates. 53
  54. 日本語マニュアル – ネットワーキング • https://docs.cloud.oracle.com/ja-jp/iaas/Content/Network/Concepts/overview.htm チュートリアル –クラウドに仮想ネットワーク(VCN)を作る • https://community.oracle.com/docs/DOC-1019114 VCN

    関連の技術情報 Copyright © 2021, Oracle and/or its affiliates. 54
  55. Oracle Cloud Infrastructure マニュアル (日本語 / 英語) • https://docs.cloud.oracle.com/iaas/api/ -

    APIリファレンス • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/aqswhitepapers.htm - テクニカ ル・ホワイト・ペーパー • https://docs.cloud.oracle.com/iaas/releasenotes/ - リリースノート • https://docs.cloud.oracle.com/ja-jp/iaas/Content/knownissues.htm - 既知の問題(Known Issues) • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/graphicsfordiagrams.htm - OCIアイコン・ダイアグラム集(PPT、SVG、Visio用) ※ 日本語版は翻訳のタイムラグのため情報が古い場合があります。最新情報は英語版をご確認ください Oracle Cloud Infrastructure マニュアル・ドキュメント Copyright © 2021, Oracle and/or its affiliates. 55
  56. Oracle Cloud Infrastructure 活用資料集 • https://oracle-japan.github.io/ocidocs/ チュートリアル - Oracle Cloud

    Infrastructureを使ってみよう • https://oracle-japan.github.io/ocitutorials/ Oracle Cloud ウェビナーシリーズ • https://www.oracle.com/goto/ocws-jp Oracle 主催 セミナー、ハンズオン・ワークショップ • https://www.oracle.com/search/events/_/N-2bu/ Oracle Cloud Infrastructure – General Forum (英語) • https://cloudcustomerconnect.oracle.com/resources/9c8fa8f96f/summary Oracle Cloud Infrastructure トレーニング・技術フォーラム Copyright © 2021, Oracle and/or its affiliates. 56
  57. Thank you Copyright © 2021, Oracle and/or its affiliates. 57

  58. None
  59. Our mission is to help people see data in new

    ways, discover insights, unlock endless possibilities.