ダイナミック・ルーティング・ゲートウェイによるグローバルな接続性とクラウドネットワーキングの強化の導入 (2021/06/01)
ダイナミック・ルーティング・ゲートウェイによるグローバルな接続性とクラウドネットワーキングの強化の導入 (2021/06/01)
投稿者:Paul Cainkar | Consulting Member of Technical Staff
本日、Oracle Cloud Infrastructure(OCI)のお客様がオンプレミス環境とクラウド環境の間でリソースをどのように考え、利用し、接続するかについてのメジャー・アップデートをご紹介します。ダイナミック・ルーティング・ゲートウェイ(DRG)とオラクル・バックボーンを使用して、グローバル・ネットワーク、ネットワーク・スケーラビリティ、およびリモート接続の要求に対応する新しいシナリオを実現します。これらのDRGの機能強化は、グローバル企業や独立系ソフトウェア・ベンダー(ISV)が接続性の強化と簡素化のために必要とするシナリオに対応し、実現するものです。
既存のDRGにこれらの機能を追加することで、以下のユースケースを可能にし、構成と管理を簡素化しました。これらの機能は、これまでのネットワークのリリースを補完する完全な相互運用性を備えているため、お客様はクラウドネットワークを構築するための最適な方法を決定することができます。
本リリースの詳細については、ドキュメントやリリースノートをご覧いただくことをお勧めします。これらの機能強化は、現在、すべての商用リージョンで提供されており、今年後半にはガバメントリージョンにも開放されます。
ユースケース
複雑なルーティング
DRGでは、接続されたネットワークごとに固有のルーティングテーブルを指定することができます。VCNを含むDRGアタッチメント間の通信は、これらのルーティングテーブルと、それに関連するインポートポリシーによって制御されます。デフォルトでは、すべてのVCNが相互に通信できるようになっており、これはデフォルトのVCNアタッチメントのルーティングテーブルによって実現されています。また、関連するルーティングテーブルを変更することで、VCNを分離することができます。この機能は、ハブ&スポークなどのお客様のトポロジーにも対応しており、ハブVCNのネットワーク仮想アプライアンスを使用して、オンプレミスネットワークとスポークVCN間のトラフィックをフィルタリングまたは検査することができます。
高可用性
DRGでは、あるリージョンのOCI FastConnectを使って、別のリージョンのVCNのリソースと通信できるようになりました。FastConnectと少なくとも2つの異なるリージョンにあるVCNを使用しているお客様は、FastConnectの接続性が失われても、すべてのリソースにアクセスし続けることができます。
シンプルな構成
1つのDRGには、複数のローカルVCNを接続することができます。これらのVCNは、同じテナンシーに属するものでも、別のテナンシーに属するものでもよい。VCNをピアリングするために、複数のローカル・ピアリング・ゲートウェイを設定する必要はありません。この可用性により、ピアリング関係の構成と管理が簡素化され、運用コストが削減されます。
スケールアップ
1つのDRGには、最大で300のローカルVCNを接続することができます。これまでVCNの通信は、最大10のローカルピアとのピアリングに限定されていました。今回のDRGの変更により、この数が大幅に増えました。この増加は、中央のVCNと複数のVCNをピアリングする必要があるお客様に有効です。
Getting started
以下の手順で、お客様のテナントですぐにこれらの機能を使い始めることができます。
- DRGのアップグレード:2021年6月以前に作成されたDRGは、新機能を利用するためにアップグレードする必要があります。ドキュメントの「DRGのアップグレード」を参照してください。アップグレードされたDRGは、デフォルトで完全な後方互換性があります。
- ソリューションを特定:Key Scenariosの下に、どのような構成の最も一般的な使用例を挙げています。「Network Scenarios」と「Peering Scenarios」の下に説明があります。通常、各シナリオへの直接のリンクが用意されています。
- ソリューションを構成するか、カスタムソリューションを作成:「Network Scenarios」の説明に従って、DRGの構成を変更し、希望するソリューションを実現します。または、DRGのドキュメントに従って、新機能を利用してカスタムソリューションを開発します。
設計やアーキテクチャのサポートは、お客様のアカウントチームが行います。アカウントチームをお持ちでない場合は、サービスリクエストを作成して、バーチャルネットワーキング製品管理チームに接続してもらい、ソリューションアーキテクチャのサポートを受けることができます。設定に関するサポートは、通常の製品サポートチャネルをご利用ください。
主な機能
1対多のDRGとVCNの接続
1つのDRGを複数のVCNに接続できるようになりました。このオプションにより、1つのDRGをオンプレミスとクラウドのリソース間の接続の中心的なハブとすることができます。また、VCNのアタッチもクロステナンシーにできるようになりました。
DRG接続でリモート・リージョンに到達可能
あるリージョンのDRGに接続されたオンプレミス・ネットワークは、リモート・ピアリング接続(RPC)を使用して別のリージョンのDRGに接続されたネットワーク(リモートリージョンのOracle Services Networkを含む)にアクセスできます。
DRGのルーティング・エンジンの強化と柔軟なルーティング・ポリシーの制御
接続されたネットワークから到着したトラフィックをルーティングするためのルーティングテーブルをDRG内に作成できるようになりました。ビジネスの目的に応じて、静的および動的なルーティング・ポリシーを定義し、柔軟なポリシー・ドリブン構成を使用することができます。VCN、IPSec、FastConnect、RPCなど、DRGを介して通信する各リソースをコネクション・アタッチメントとして抽象化し、ルーティング・ポリシーをアタッチメントに関連付けることができます。
イコールコストマルチパス(ECMP)
FastConnect と IPSec は、ECMP によるアクティブ-アクティブな負荷分散をサポートします。このテクノロジーは、同じタイプの複数のパラレルパスを介して、オンプレミス環境へのトラフィックを負荷分散します。
Key Scenarios
OCIリージョンへのリモートオンランプ
お客様のオンプレミス環境からOCIリージョンに接続し、世界中の他のOCIリージョンに到達することができます。このトラフィックは、一般的にコモディティインターネット接続よりも優れたレイテンシーとパフォーマンス特性を持つ、プライベートOCIバックボーンを通過します。また、このトラフィックを既存のトランジットルーティング機能と組み合わせることで、リモートリージョンのOracle Services Networkにアクセスすることができます。
この接続性は様々な方法で応用できます。オンプレミスに近いOCIリージョンにアクセスする方が通信事業者のコストが安く済む場合や、余分な固定回線コストをかけずに、より多くのOCIリージョンにサービスを展開したい場合などです。以前は通信事業者に注文できなかった海外拠点を含む特定の市場も利用できるようになります。
このシナリオを設定するには、コンフィギュレーションガイドが必要です。
複数のOCIリージョンに接続している場合、リモートリージョンへの接続を、リージョンに直接接続するプライマリパスのバックアップとして使用することができます。このようにネットワークを構築することで、回線コストを抑えながら冗長性を高めることができます。
スケーリングとVCN接続の制御
VCN間の通信をDRGで管理することで、拡張性の向上と管理の簡素化を実現しました。VCN間の通信をDRGに任せることで、スケールアップと管理の簡素化を実現します。この機能により、1つのDRGで最大300のVCNを利用することができます。このオプションで十分でない場合は、リモートピアリング接続(RPC)を介して追加のDRGを接続することができます。
接続されたVCNとDRGは、同じリージョン内の同じテナントにも、異なるテナントにもなることができます。接続されたDRGは、同じリージョン内でも異なるリージョン内でも可能になりました。また、どのDRGが相互に通信でき、どのDRGが通信できないかを制御することで、ネットワークを分離することができます。
このシナリオを設定するには、コンフィギュレーションガイドが必要です。
ECMPでFastConnectの冗長性を実現し、IPSecのパフォーマンスを強化
これまでは、FastConnect の仮想回路を冗長化する場合、冗長性と容量のどちらかを選択する必要がありました。顧客とプロバイダの異なるルータで終端するアクティブ-パッシブ回路で完全な冗長性を確保するか、リンクアグリゲーショングループ(LAG)によるアクティブ-アクティブで容量を確保することができました。しかし、LAGを使用する場合、すべての回路を単一の顧客ルート(CPE)とOracle DRGルーター(PE)で終端する必要があり、単一障害点の可能性がありました。
本日は、ECMPのサポートをご紹介します。これにより、異なるCPEとPEのルーターで回路を終了させながら、OCIがオンプレミス・ネットワークのトラフィックを両方の接続を介して配信することができます。お客様のネットワークがサポートしていれば、両方の通信経路を経由して当社にトラフィックを送り返すことも可能です。
また、冗長性が重要ではない場合でも、ECMPを使用してパフォーマンスを向上させることができます。暗号処理のオーバーヘッドのために、通常は1Gbpsに制限されているIPSec接続の速度を向上させることができます。ECMPを使えば、最大8つのIPSec接続を組み合わせて、数ギガビットレベルのスループットを実現することができます。
ネットワーク仮想アプライアンス(ファイアウォール)VCNの拡張性と柔軟な要塞VCN
DRGでは、自己管理しているネットワーク仮想アプライアンス(NVA)やファイアウォールを介して、VCN間のトラフィックをスケーラブルかつ堅牢に誘導できるようになりました。また、DRGの新機能を適用することで、すべてのトラフィックがNVAルートを経由して仮想ネットワーク・インターフェース・カード(VNIC)のプライベートIPをネクストホップとするルールを適用することができます。数百のVCNが1つのVNICで1つのNVAを使用できるようになり、拡張性と管理性が向上しました。また、インポートポリシーでは、VCNが学習するルートを指定できるようになり、そのルートを使って通信できるようになりました。
この例では、VCNアタッチメントのルートテーブルには、ファイアウォールVCNへのルートのみが含まれており、すべてのトラフィックがファイアウォールを経由するようになっています。ファイアウォールVCNは、すべてのVCNと通信することができ、ファイアウォールルールを適用した後にトラフィックを返すことができます。これまでのVCNのトランジットルーティング機能を使った既存のトポロジーでも、ファイアウォールに対応しています。
この新しい技術を試してみたいという方のために、オラクルはFortiGate、Cisco、Checkpoint、Palo Altoなど、複数の主要なファイアウォールベンダーと提携しています。OCI Marketplaceでは、すぐに導入できるイメージを提供しているベンダーのリストを見ることができます。
このシナリオを設定するには、構成ガイドを参照してください。
Bastionとしての利用
このトポロジーを利用して、bastionホスト、つまり、プライベートネットワークへのイングレスアクセスを提供する目的で構築されたComputeインスタンスを導入することもできます。前述の図のファイアウォールホストをbastionに置き換え、そのVCNをネットワークの他の部分と通信するためのコンジットとして使用することができます。この構成により、ネットワークへのリモートアクセスに対して、単一のポイントでセキュリティポリシーを適用することができます。
レイヤ3ネットワークの分離、ISVアーキテクチャ、マルチテナンシーシナリオのサポート
1つのDRGで、ネットワーク、顧客、関連するオンプレミスのリソース間のトラフィックを分離することができます。ISVであれば、顧客間の接続を一枚のガラス越しに管理・分離することができます。また、企業の場合は、部門や子会社、テスト用と本番用などの機能別に、接続やネットワークを分けている場合があります。これらのネットワーク間の接続は、新しい柔軟なルーティングポリシー制御により、単一のDRGを利用することができます。この構成は、VCN間の通信のみに導入することも可能です。
まとめ
私たちは、これらのアップデートがお客様のクラウドネットワーキングへの取り組みを強化し、簡素化することができると信じています。これらの機能によってお客様のネットワーク設計やソリューション開発がどのように改善されるのか、お聞かせいただけることを楽しみにしています。
また、製品チームへのフィードバックもお待ちしています。Virtual Networkingグループにメールを送るか、コメント欄にメモを提出してください。
コメント
コメントを投稿