https://blogs.oracle.com/cloud-infrastructure/connect-your-on-premises-corporate-resources-with-multiple-virtual-cloud-networks
貴社のガバナンスモデルや地域のプレゼンスに適するように、複数のVirtual Cloud Networks (VCNs)のリソースを構成すると、全てのVCNsのオンプレミスネットワークへの接続が課題になることがあります。これまでは、取り得る選択肢はFastConnectもしくはIPsec接続をVCNsのそれぞれで終端させる方法しかありませんでした。しかしながら、この方法は複数のFastConnectリンクのコストがかかり、追加する新たなVCNに対して新たなFastConnectもしくはIPsec接続をプロビジョニングするという、運用上の負担があります。
このたび、代替策となりうる、Oracle Cloud Infrastructure VCN Transit Routingがご利用いただけるようになったことを発表でき、うれしく思っています。このソリューションはハブ&スポークトポロジーをベースとしており、ハブVCNを使って、オンプレミスネットワークと、Oracle Cloud Infrastructureリージョン内の複数のスポークVCN間の統合された中継接続を提供できます。オンプレミスネットワークと全てのスポークVCNとの接続にあたっては、(ハブVCNに接続する)FastConnectもしくはIPSec VPNの1個だけあればすみます。このソリューションは既存のLocal VCN PeeringとDynamic Routing Gateways(DRGs)をベースにしています。
Local VCN Peering (Within Region)このソリューションを使えば、オンプレミスネットワークへアクセスするためにVCNの各々にDRGをアタッチする必要はありません。1個のDRGをハブVCNにアタッチしさえすれば、スポークVCNのリソースがオンプレミスリソースへの(FastConnectもしくはIPSec VPNの)接続を共有できます。ハイレベルの設定手順は以下の通りです。
https://docs.cloud.oracle.com/iaas/Content/Network/Tasks/localVCNpeering.htm?Highlight=VCN%20Local%20Peering
Dynamic Routing Gateways (DRGs)
https://docs.cloud.oracle.com/iaas/Content/Network/Tasks/managingDRGs.htm
- 各スポークVCNとハブVCN間のピアリングリレーションシップを確立する
- ルーティング表をハブVCNのlocal peering gateways (LPG) と DRGに関連づける
- ルーティング表のルールを構成し、ハブVCNの各LPGからDRG、DRGから各LPGへのトラフィックを誘導する
- よりよいネットワーク設計
ネットワーク管理がシンプルになり、複数のVCNとオンプレミスネットワーク間のトラフィックフローを確立するために必要な接続が少なくてすみます。ハブVCNは、リモートネットワークへの共有中継接続を可能にし、リージョン内外へのすべてのトラフィック中継に対するポリシー適用の中心点として機能します。
- サービス提供までの時間を短縮
このソリューションは、オンプレミスネットワークの変更を最小限に抑え、VCNとリモートリソース間のFastConnectもしくはIPSec VPN接続要件をサポートします。新たなVCNを追加する場合、ローカルピアリングとハブVCNへのルーティングの設定は数分でできあがるでしょう。これは、オンプレミスのエッジルータでFastConnectを確立したり、IPsec接続をプロビジョニングしたりするための企業の変更管理手順完了までのリードタイム(数日もしくは数週間)が大幅に改善されます。
- ルート・アドバタイズメントの集中管理
このソリューションでは、デフォルトではオンプレミスネットワークとスポークVCN間でトラフィックが流れることはありません。
- スポークVCNが、全てのオンプレミスの企業ネットワークパーティションもしくは特定のネットワークパーティション(もしくはサブネット)にアクセスできるように構成できます。ハブVCNのLPGに関連付けられたルーティング表を使って管理します。スポークVCNがアクセスできるオンプレミスのサブネットのみを指定するルーティングルールを構成して、アクセスを制限できます。スポークVCNへアドバタイズされたルートは、ルーティング表の中のものと、ハブVCNのCIDRです。この管理により、スポークVCNリソースをオンプレミスの対向との独立した接続を実現します。
- 同様に、オンプレミスネットワークがスポークVCNの全てもしくは特定のサブネットにアクセスさせることも可能です。これはハブVCNのDRGに関連付けられたルーティング表を使って管理します。オンプレミスのネットワークから利用できるようにしたスポークVCNのサブネットのみを指定するルーティングルールを構成して、アクセスを制限できます。オンプレミスネットワークへのBGPルートアドバタイズメントはルーティング表の中のものとハブVCNのCIDRです。
- スポークVCNが、全てのオンプレミスの企業ネットワークパーティションもしくは特定のネットワークパーティション(もしくはサブネット)にアクセスできるように構成できます。ハブVCNのLPGに関連付けられたルーティング表を使って管理します。スポークVCNがアクセスできるオンプレミスのサブネットのみを指定するルーティングルールを構成して、アクセスを制限できます。スポークVCNへアドバタイズされたルートは、ルーティング表の中のものと、ハブVCNのCIDRです。この管理により、スポークVCNリソースをオンプレミスの対向との独立した接続を実現します。
- コスト節約
プライベート接続(FastConnect/ VPNリンク)と、オンプレミスの企業リソースへのルーティングの集中管理により、大幅にTCOを削減できます。 - 運用の合理化
このソリューションにより、ハブVCNがスポークVCNに中継接続サービスを提供するというサービスプロバイダーモデルが可能になります。これらのハブVCNのガバナンス境界は、スポークVCNのガバナンス境界と異なる場合があります。そのため、別のコンパートメントやテナントが管理できます。例えば、ハブVCNとスポークVCNが同じ会社にあって、中央のITチームのハブVCNが、LOB(Lines of Business)が管理するスポークVCNに中継サービスを提供することもあれば、ハブVCNとスポークVCNは異なる企業にあって、ある企業が他の企業に中継サービスを提供することも可能です。
Advanced Scenario: Transit Routing次回のエントリでは、ハブVCNにアタッチされた1個のIPsec接続を使って、2個のスポークVCNを使ってリモートのオンプレミスネットワークへアクセス可能にするという VCN Transit Routingのシナリオを説明する予定です。ご期待ください。
https://docs.cloud.oracle.com/iaas/Content/Network/Tasks/transitrouting.htm
0 件のコメント:
コメントを投稿