Oracle Cloud Infrastructureドキュメント

Connecting VCNs through a Local Peering Gateway (LPG)

Roving Edgeデバイスでは、ローカル・ピアリング・ゲートウェイを構成できます。VCNピアリングは、リソースがプライベートIPアドレスを使用して通信できるように、複数の仮想クラウド・ネットワーク(VCNs)を接続するプロセスです。

You can use VCN peering to divide your network into multiple VCNs, for example, based on departments or lines of business, with each VCN having direct private access to the others. You can also place shared resources into a single VCN that all the other VCNs can access privately. 2つのピアリングされたVCNsは、同じテナンシにすることも、異なるテナンシにすることもできます。

ポリシー

Peering between two VCNs requires explicit agreement from both parties in the form of IAM policies that each party implements for their own VCN compartment or tenancy. VCNsが異なるテナンシにある場合、各管理者はテナンシのOCIDを指定し、ピアリングを有効にするために特別な調整済ポリシー・ステートメントを配置する必要があります。

ピアリングに必要なIAMポリシーを実装するには、2人のVCN管理者が1つの管理者をリクエスタとして、もう1人をアクセプタとして指定する必要があります。2つのLPGを接続する要求を開始するには、要求元が要求元である必要があります。また、アクセプタは、アクセプタのコンパートメント内のLPGに接続する権限を要求者に付与する特定のIAMポリシーを作成する必要があります。このポリシーがないと、リクエスタによる接続リクエストは失敗します。どちらのVCN管理者も、LPGを削除することでピアリング接続を削除できます。

ルーティングとトラフィック制御

VCNsの構成の一環として、各管理者がVCNルーティングを更新して、VCN間でトラフィックが流れるようにする必要があります。実際には、これはゲートウェイ(インターネット・ゲートウェイや動的ルーティング・ゲートウェイなど)に設定したルーティングに似ています。他のVCNと通信する必要があるサブネットごとに、サブネットのルート表を更新します。ルート・ルールでは、宛先トラフィックのCIDRとLPGをターゲットとして指定します。LPGは、そのルールに一致するトラフィックを他のLPGにルーティングし、さらにそこから他のVCN内のネクスト・ホップにトラフィックをルーティングします。

VCN内のルート表を使用して、ピアリング接続のパケット・フローを制御できます。たとえば、トラフィックを他のVCNの特定のサブネットのみに制限できます。ピアリングを削除しなくても、VCNから他のVCNにトラフィックを転送しているルート・ルールを削除するだけで、他のVCNへのトラフィック・フローを停止できます。また、他のVCNとのイングレス・トラフィックまたはエグレス・トラフィックを有効にするセキュリティ・リスト・ルールを削除することでも、トラフィックを実質上停止できます。この場合、ピアリング接続を介するトラフィック・フローは停止されませんが、VNICレベルで停止されます。

セキュリティ・ルール

各VCN管理者は、他のVCNとのアウトバウンド・トラフィックおよびインバウンド・トラフィックがすべて意図/予期されたもの、適切に定義されていることを確認する必要があります。これは、実際には、VCNが他のVCNに送信できるトラフィックのタイプおよび他のVCNから受入れできるトラフィックのタイプを明示的に示すセキュリティ・リスト・ルールを実装するということです。サブネットでデフォルトのセキュリティ・リストを使用する場合、SSHおよびICMPイングレス・トラフィックをどこからでも許可するルールが2つあり、他のVCNも同様です。これらのルールと、それらを保持するか更新するかを評価します。

セキュリティ・リストおよびファイアウォールの他に、VCNのインスタンス上のその他のOSベースの構成を評価します。独自のVCN CIDRには適用されないが、誤って他のVCN CIDRに適用するデフォルト構成が存在する可能性があります。

ローカル・ピアリング・ゲートウェイを介したVCNsの接続

On a Roving Edge device, a Local Peering Gateway (LPG) is a way to connect VCNs so that elements in each VCN can communicate, even using private IP address.

ピアリング接続を設定するには、次のコンポーネントが必要です:

  • CIDRが重複しない2つのVCNs

  • ピアリング関係の各VCN上のローカル・ピアリング・ゲートウェイ(LPG)

  • 2つのLPG間の接続

  • ルールをルーティングして、それぞれのVCNs内の目的のサブネットとのピアリング接続を経由するトラフィックを有効にします

  • 問題のサブネット内のインスタンスとの間で許可されるトラフィックのタイプを制御するためのセキュリティ・ルール

    1. 「Roving Edge Device Console」ナビゲーション・メニューの「ネットワーキング」で、「Virtual Cloud Networks」を選択します。

      コンパートメント内に以前に構成されたVCNsのリストが表示されます。ローカル・ピアリング・ゲートウェイを作成しているコンパートメントが表示されない場合は、ドロップダウン・メニューを使用して正しいコンパートメントを選択します。

    2. VCNの名前を選択します。

    3. 「リソース」メニューで、「ローカル・ピアリング・ゲートウェイ」を選択します。

    4. 「ローカル・ピアリング・ゲートウェイの作成」を選択します。

    5. 必須情報を入力します:

      • 名前:名前を入力します。機密情報を入力しないでください。

      • コンパートメントに作成:ローカル・ピアリング・ゲートウェイを作成するコンパートメントを選択します。

      • ルート表の関連付け(オプション)オプションで、ルート表をローカル・ピアリング・ゲートウェイに関連付けることができます。選択したコンパートメントの構成済ルート表のリストがドロップダウン・メニューにあります。コンパートメントを変更するには、コンパートメント名の横にある(change)を選択します。

      • タグ付け: (オプション)このリソースのタグを追加します。タグは後で適用することもできます。リソース・タグの使用(デバイスでのIAM)を参照してください。

    6. 「ローカル・ピアリング・ゲートウェイの作成」を選択します。

      これで、ローカル・ピアリング・ゲートウェイは、ピアリング接続を確立してVCNsを接続する準備ができ、ルート・ルールまたはセキュリティ設定を追加する準備ができました。

  • 指定されたVCNの新しいローカル・ピアリング・ゲートウェイ(LPG)を作成するには、oci network local-peering-gateway createコマンドと必要なパラメータを使用します。

    oci network local-peering-gateway create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> [OPTIONS]

    CLIのコマンド、フラグおよびオプションの完全なリストは、コマンドライン・リファレンスを参照してください。

  • CreateLocalPeeringGateway操作を使用して、指定されたVCNの新しいローカル・ピアリング・ゲートウェイ(LPG)を作成します。

    APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。