OCI技術資料 : 外部接続 概要

Transcript

1. 外部接続 概要 Connectivity Level 100 Oracle Cloud Infrastructure 技術資料 2024年09月

2. このレッスンを修了すると、次のことができるようになります • VPN接続の役割と特徴 • FastConnectの役割と特徴 目標 2 Copyright © 2024

   Oracle and/or its affiliates.

3. 1. インターネット • グローバルIP通信 • セキュリティはFWとSSL通信等で確保 • 通信速度・帯域はベストエフォート • 月10TBを超える外部へのデータ転送が課金対象

   2. VPN接続 (IPsec) • プライベートIP通信 • IPsecによりセキュリティを確保(認証,暗号化) • 通信速度・帯域はベストエフォート • VPN接続は無料、インターネット通信料金の対象 • OCIのVPN接続サービス、もしくはソフトウェアVPN 3. FastConnect • プライベートIP/グローバルIP通信 • プライベート回線による高いセキュリティ • 通信キャリアによる速度・帯域・品質の保証 * • 固定額のポート料金のみ課金、データ転送に伴う従量課 金なし、回線費用が別途必要 Oracle Cloud Infrastructure への接続方式 3 Copyright © 2024 Oracle and/or its affiliates. お客様 ネットワーク OCI VCN VCN Internet 専用線 インターネット + SSL 閉域網 FastConnect VPN Internet Gateway Dynamic Routing Gateway Customer Data Center

4. インターネット回線を利用し、OCIのリソースに振られたパブリックIP宛に通信する方法 • 通信速度、帯域はベストエフォート • アウトバンド方向のデータ転送量に応じた課金 (Outbound Data Transfer) の対象 (月10TBまで無料)

   • セキュリティはVCNのセキュリティとSSL等のプロトコルで確保 方法1. インターネット経由の通信 4 Customer Datacenter インターネット ISP B社 ISP C社 ISP O社 ISP P社 ISP Q社 ISP S社 ISP A社 Copyright © 2024 Oracle and/or its affiliates. リージョン VCN Public Subnet Internet Gateway

5. パブリックネットワークに仮想化専用回線を作成し、プライ ベート通信を実現する技術 IPsecトンネル • IPsec技術によりトラフィックをカプセル化 • インターネット経由でプライベートIPによるセキュア通 信が可能 • 高価な専用回線は不要

   認証 • 終端のVPN装置同士が認証 暗号化 • IPsecトンネルを通るすべてのIPパケットを暗号化 ルーティング • 特定の宛先トラフィックを事前設定した方向に送信 するように静的に構成 • またはBGPなどのルーティングプロトコルを使用して、 動的に経路を制御 方法2. Virtual Private Network(VPN) 6 VPN接続 Private Network 1 Private Network 2 IPsecトンネル VPNルーター インターネット VPNルーター Copyright © 2024 Oracle and/or its affiliates.

6. 顧客データセンター VCN とインターネット以外のネットワークとの間の プライベート通信経路を提供する仮想ルーター IPsec VPN または FastConnect (プライベート、 専用接続)

   を介してオンプレミスネットワークとの 接続を確立するために使用できる 通信フローを有効にするには、 VCN に DRG を アタッチした後 VCN のルート表に DRGへのルー トをルールとして追加する必要がある DRG はスタンドアロンオブジェクトのため、VCN と 別個に作成したあと VCN にアタッチする必要が ある。 動的ルーティング・ゲートウェイ(DRG) 7 Copyright © 2024 Oracle and/or its affiliates. リージョン 可用性ドメイン VCN 10.0.0.0/16 プライベートサブネット サブネットB 10.0.2.0/24 宛先CIDR ルート ターゲット 0.0.0.0/0 DRG ルート表 顧客構内設備 (CPE) DRG

7. IPsec VPN を介してオンプレミスネットワークをVCNにセキュ アに接続するマネージドVPNサービス • サイトツーサイト(拠点間)の接続 • IPsecプロトコルによる通信暗号化の提供 • 1トンネルあたりの帯域：ベストエフォート

   参考値（ネットワークの混雑状況やCPEの性能によって異なります） インターネット経由 ：約250Mbps FastConnect経由 ：約1Gbps未満 • サービス料金は無償 (外部データ転送課金の対象には 含まれる) • VPN接続あたり物理的に冗長化された2つのトンネル・ エンドポイントを提供 • 共有秘密鍵(PSK)によるIKEv1、IKEv2をサポート • 動的ルーティング(BGP)、静的ルーティング VPN接続 (IPsec VPN) 8 Copyright © 2024 Oracle and/or its affiliates. お客様 ネットワーク OCI VCN VCN DRG Customer Premises Equipment (CPE) Route Table Destination Route Target 0.0.0.0/0 DRG VPN

8. 対向側機器(CPE) の選択 • ルータ機器 • 確認済みデバイス • その他機器もサポートされるIPsecパラメータに従って接続 可 •

   ソフトウェアルーター • Libreswan / Openswan • Libreswanを使用したその他のクラウドへのアクセス • 各確認済デバイスのソフトウェア・アプライアンス版 また、IPsecメインモードのみ対応のため、CPEには 固定グローバルIPが必要(NAT可) VPN接続(IPsec VPN) – 対向側機器(CPE) の準備 9 Copyright © 2024 Oracle and/or its affiliates. OCIリージョン VCN 10.0.0.0/16 DRG VPN 192.168.100.0/24 172.24.16.0/24 cloud 3rd Party Cloud オンプレミス ソフトウェアルーター VPN ルーター

9. 1. (準備)グローバルIPと顧客構内機器(CPE)の準備 2. 仮想クラウドネットワーク(VCN)を作成 3. 動的ルーティングゲートウェイ(DRG)を作成 4. DRGをVCNにアタッチ 5. VCNのルート表を編集し、オンプレミス・ネットワークへのトラ

   フィックの宛先をDRGに設定 6. OCIで顧客構内機器(CPE)リソースを作成、この際にCPEに 設定するグローバルIPが必要 7. DRG内にCPEとの間でIPsec接続を作成し、ルーティング (BGPまたは静的)を設定 8. 顧客構内機器(CPE)を設定、その際にステップ7で入手でき るOCI側エンドポイントのグローバルIPとPSKを入力 9. ルーターを編集し、オンプレミスネットワークからVCNへの適切 なルーティングを設定 青字 : OCIでの作業 / 緑字 : オンプレミスでの作業 VPN接続までのステップ 10 Copyright © 2024 Oracle and/or its affiliates.

10. お客様データセンターや他クラウドとOracle Cloudを専用線や閉域網で接続するサービス プライベート接続によるセキュリティ • インターネットを経由しないトラフィック 通信の信頼性 • 専用線や閉域網による信頼性、安定性、セキュリティ • FastConnectは可用性SLAの対象

    安定した通信帯域 • FastConnectルーターのポートの占有(1Gbps / 10Gbps /100Gbps)が可能 • 回線プロバイダーによる性能保証、QoS 低コスト&予測可能な課金体系 • FastConnectはポート料金のみに課金(定額) • インターネット経由では課金される外部データ転送料金(従量)が不要 方法3. FastConnect 11 Copyright © 2024 Oracle and/or its affiliates. FastConnect

11. 13 仮想回線 (Virtual Circuit) 1つ以上の物理ネットワーク接続で構成され、仮想クラウドゲートウェイ(DRG)と顧客のエッジルーターとの間の1本の論理接 続を構成する、仮想的な通信経路 • 複数の仮想回線を持つことができる • 複数のネットワークからのトラフィックを分離するため

    • 冗長化のため • BGPを使用してルーティング情報を交換 Copyright © 2024 Oracle and/or its affiliates.

12. プライベート・ピアリング • VCNの中のリソースに閉域接続したい場合 • パブリックIPを持つOCIサービス* と、VCN内のリソースの両方に閉域接続したい場合 パブリック・ピアリング • パブリックIPを持つOCIのサービス* に閉域接続したい場合

    * パブリックIPを持つOCIサービスの例 : オブジェクト・ストレージ / Analytics Cloud などの パブリックIPを持つPaaSサービス / APIエンドポイント (注意) OCIのコンソール画面については、現時点では完全な閉域接続はできません(CDNなどを利用するため) FastConnect の2つのユースケース 14 Copyright © 2024 Oracle and/or its affiliates. FastConnect Location (東京：Equinix TY4, 大阪：NTTデータ 堂島) Oracle Cloud Infrastructure Region VCN Dynamic Routing Gateway On-Premises On-premise Data Center Customer/ Partner Edge Oracle Edge 通信キャリア回線 CPE Public Peering Private Peering オブジェクト・ストレージ

13. https://www.oracle.com/jp/cloud/networking/fastconnect-providers.html OCI 東京、大阪リージョンの FastConnect 接続プロバイダー(2024年9月現在) Copyright © 2024 Oracle and/or

    its affiliates. 15 東京リージョン(ap-tokyo-1) Equinix TY4 •アット東京 •BBIX •Chief Telecom •Console Connect PCCWG •Colt Dedicated Cloud Access •CTC Cloud Connect •Equinix Fabric •Google Cloud: OCI Interconnect •IIJ •KDDI •Lumen •Megaport •Microsoft Azure Express Route •三菱電機インフォメーションネットワーク株式会社 •NRI •NTT Communications - Flexible InterConnect •NTTデータ •NTT東日本 •SINET •ソフトバンク OnePort •TOKAIコミュニケーションズ 東京リージョン(ap-tokyo-1) NEC 印西データセンター •NEC •SCSK 大阪リージョン(ap-osaka-1) NTT DATA堂島第4ビル •アット東京 •BBIX •Colt Dedicated Cloud Access •Equinix Fabric •IIJ •KDDI •Megaport •三菱電機インフォメーションネットワーク株式会社 •NTT Communications - Flexible InterConnect •SINET •ソフトバンク •TOKAIコミュニケーションズ 最新情報はURLを確認してください。

14. インターネット IPsec VPN FastConnect ユースケース インターネットアプリケーション の本番環境 開発/テスト環境 開発/テスト環境 小規模ワークロードの本番環境

    エンタープライズ、ミッションクリティカ ルなワークロードの本番環境、バッ クアップ、DR 帯域 外部のロードバランサー/ インスタンスに依存 ベストエフォート 参考値（保証なし） インターネット経由：約250Mbps FastConnect経由：約1Gbps未満 1Gbps / 10Gbps/ 100Gbps (x N) ルーティング (ユーザ制御不可) 静的/動的ルーテイング 動的ルーテイング 接続の冗長性 OCIサービスで冗長化 active-active active-active 暗号化 SSL通信などを利用 デフォルトで対応 なし 回線によってはMACsec暗号化を利用可能 価格 無料 (外部データ転送課金対象) 無料 (外部データ転送課金対象) ポートの固定価格 SLA なし なし 可用性SLA 99.9% OCI 外部接続まとめ 16 Copyright © 2024 Oracle and/or its affiliates.

15. https://www.oracle.com/jp/cloud/price-list.html VPN接続そのものは無課金、ただしインターネット接続と併せた外部データ送信分が課金対象 FastConnect はポートごとの時間課金のみ、外部データ転送分は無料 * FastConnectの課金は、FastConnectルーターと対向ルーター間の接続が確立されるか、ポートを注文してから30日後のいずれか早いほうで課金が開 始されます VPN接続 / FastConnect

    価格 17 単位 Pay As You Go Monthly/Yearly Flex Inbound Data Transfer Gigabyte data transfer per month 無料 無料 Outbound Data Transfer - First 10 TB / Month Gigabyte data transfer per month 無料 無料 Outbound Data Transfer - Over 10 TB / Month- Originating in North America and Europe Gigabyte data transfer per month 1.3175円 1.3175円 Outbound Data Transfer - Over 10 TB / Month- Originating in APAC, Japan and South America Gigabyte data transfer per month 3.875円 3.875円 Outbound Data Transfer - Over 10 TB / Month- Originating in Middle East and Africa Gigabyte data transfer per month 7.75円 7.75円 Inbound Data Transfer Gigabyte data transfer per month 無料 無料 単位 Pay As You Go Monthly/Yearly Flex FastConnect 1 Gbps Port Hour 32.9375円 32.9375円 FastConnect 10 Gbps Port Hour 197.625円 197.625円 FastConnect 100 Gbps Port Hour 1,666.25円 1,666.25円 Copyright © 2024 Oracle and/or its affiliates.

16. 外部データ転送 (Outbound Data Transfer) 課金のポイント 18 リージョンA リージョンB 可用性ドメイン 可用性ドメイン

    可用性ドメイン Oracle バックボーン回線 インターネット 顧客データセンター Outbound Data Transfer 課金対象 (月10TiBまでは無料) 無料 FastConnect プライベート・ピアリング FastConnect パブリック・ピアリング リージョン内は 無料 VPN接続 Copyright © 2024 Oracle and/or its affiliates.

17. このレッスンでは、次のことを学習しました • IPsec VPNの役割と特徴 • FastConnectの役割と特徴 まとめ 19 Copyright ©

    2024 Oracle and/or its affiliates.

18. 日本語マニュアル – VPN接続 • https://docs.oracle.com/ja-jp/iaas/Content/Network/Tasks/managingIPsec.htm 日本語マニュアル – FastConnect • https://docs.oracle.com/ja-jp/iaas/Content/Network/Concepts/fastconnect.htm

    IPsec VPN / FastConnect 関連の技術情報 20 Copyright © 2024 Oracle and/or its affiliates.

19. Oracle Cloud Infrastructure マニュアル (日本語 / 英語) • https://docs.cloud.oracle.com/iaas/api/ -

    APIリファレンス • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/aqswhitepapers.htm - テクニカ ル・ホワイト・ペーパー • https://docs.cloud.oracle.com/iaas/releasenotes/ - リリースノート • https://docs.cloud.oracle.com/ja-jp/iaas/Content/knownissues.htm - 既知の問題(Known Issues) • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/graphicsfordiagrams.htm - OCIアイコン・ダイアグラム集(PPT、SVG、Visio用) ※ 日本語版は翻訳のタイムラグのため情報が古い場合があります。最新情報は英語版をご確認ください Oracle Cloud Infrastructure マニュアル・ドキュメント 21 Copyright © 2024 Oracle and/or its affiliates.

20. Oracle Cloud Infrastructure 活用資料集 • https://oracle-japan.github.io/ocidocs/ チュートリアル - Oracle Cloud

    Infrastructureを使ってみよう • https://oracle-japan.github.io/ocitutorials/ Oracle Cloud ウェビナーシリーズ • https://www.oracle.com/goto/ocws-jp Oracle 主催 セミナー、ハンズオン・ワークショップ • https://www.oracle.com/search/events/_/N-2bu/ Oracle Cloud Infrastructure – General Forum (英語) • https://cloudcustomerconnect.oracle.com/resources/9c8fa8f96f/summary Oracle Cloud Infrastructure トレーニング・技術フォーラム 22 Copyright © 2024 Oracle and/or its affiliates.

21. Thank you 23 Copyright © 2024 Oracle and/or its affiliates.

22. None