FastConnect, SD-WAN and Traffic Inspection (2024/08/19)

FastConnect, SD-WAN and Traffic Inspection (2024/08/19)

https://www.ateam-oracle.com/fastconnect-sdwan-and-traffic-inspection

投稿者:Andrei Stoian | Master Principal Cloud Architect | North America Cloud Engineering

SD-WANとその将来的な重要性について初めて記事を書いてから、もう5年近くになります 。お客様から、OCIテナントを顧客管理型のSD-WANアーキテクチャに統合する方法について問い合わせがますます増えているのは、非常に興味深いことです。実際、このようなご要望は近年ますます頻繁に寄せられるようになりました。

SD-WANと既存のFastConnectを組み合わせることで得られる冗長性と、追加可能な最新のセキュリティ機能により、非常に堅牢なネットワークアーキテクチャが実現します。過去5年間で状況は大きく変化し、OCIで設定できるルーティングとセキュリティも大きく進化しました。拡張されたDRGルーティング機能からFNLB、NFWからサードパーティ製ファイアウォールアプライアンスまで、OCI内で非常に拡張性と堅牢性に優れたネットワークを構築できます。

今回の新しいブログでは、FastConnect、SD-WAN、トラフィック検査を組み合わせる際の技術的な側面について、詳しく解説していきます。

次の議論をより深く理解するために、ぜひ「Palo Alto Active/Standby Cluster to Active/Active using the OCI FNLB」という記事をお読みになることをお勧めします。提案するネットワークアーキテクチャは、主にそのブログ記事のルーティングとセキュリティ設定を使用するからです。もちろん、SD-WANの部分も追加する予定です。

とはいえ、以下のネットワークアーキテクチャに基づいて分析と議論を進めていきましょう。

ネットワーク図

既存のネットワークトポロジーにSD-WANを統合する際に、既に導入済みのシステムに影響を与えないようにする方法について説明します。SD-WANアプライアンスには別のVCNを使用することをお勧めします。というのも、多くの場合、セキュリティ上の要件として、SD-WAN VCNを別のグループまたは組織が管理し、独立したリソースとして扱う必要があるからです。ここでは、非常に興味深い点をいくつかご紹介します。

SD-WANアプライアンスを既存のHUB、共有VCN、またはセキュリティVCNに展開できるかどうかという質問がありましたが、答えは「はい」です。考慮すべき点は、パブリックサブネットとインターネットゲートウェイに関するものだけです。セキュリティポリシーで既存のHUB/共有/セキュリティVCNにパブリックサブネットとインターネットゲートウェイが存在することが許可されている場合は、SD-WANアプライアンスを既存のVCNに直接展開できます。それが許可されていない場合は、SD-WAN専用のVCNを別途作成し、OCI内でSD-WANが適切に動作するために必要なすべてのネットワークアーティファクトを配置するのが最善の解決策です。これは弊社の場合であり、現在のネットワークアーキテクチャにSD-WANを統合するために作成する必要があるものについて説明します。

当社のSD-WANベンダーのほとんど(Cisco、Palo Alto、Silver Peakなど)では、統合に関して同様のアプローチを採用しています。SD-WAN VCNで確認できるように、2つのパブリックサブネットを作成しました。この2つのパブリックサブネットには、特定の目的で使用されるVNICが格納されます。スコープについては後ほど詳しく説明します。非常に重要な点は、SD-WANアプライアンスにはHAメカニズムが実際には必要ないということです。これにより、全体的な展開が簡素化されますが、冗長アーキテクチャ(DRGとの冗長IPSecトンネルを持つ2台のSD-WANアプライアンスの展開)は維持されます。

本番ネットワークでは、上記に示したようなSD-WANアプライアンスを2台使用します。アプライアンスは、OCI認定を受けたお好みのベンダーの製品でも構いません。

ここで議論を二つの明確な部分に分けて考えてみましょう。

  1. SD-WANネットワークへの接続。
  2. OCI DRGとの関連性。

SD-WANネットワークへの接続

各SD-WANアプライアンスには、顧客のSD-WAN管理ネットワークへの接続専用のパブリックサブネットにVNICが1つ必要です。接続はインターネットゲートウェイを使用して開始/受信されます。このネットワークを介して、DRGにアドバタイズするSD-WANネットワークのIPプレフィックスを受信します。

OCI DRGとの連携

別のパブリックサブネットに新しいVNICペアが設定され、SD-WANアプライアンスからDRGへのBGP over IPSec接続を確立するために使用されます。インターネットゲートウェイは、DRGとの間でBGP over IPSecトンネルを確立するために使用されます。インターネットゲートウェイを使用する場合でも、このトラフィックはOCI内部ネットワーク内に留まるため、ご安心ください。

SD-WAN VM1とSD-WAN VM2それぞれにパブリックIPアドレスが割り当てられた2つのIPSec接続が確立されます。各接続から1つのIPSecトンネルを設定し、BGPを使用してSD-WAN VM1をプライマリパス、SD-WAN VM2をセカンダリパスとして設定できます。このサブネット上で、DRGから冗長なルーティング情報を取得し、SD-WANネットワークにアドバタイズします。一方、SD-WANネットワークから受信したルーティング情報は、設定されたIPSecトンネル上のBGPを使用してDRGにアドバタイズされます。

結論として、2つのパブリックサブネットはルーティングとセキュリティの要件が異なるため、この構成を持つことは非常に重要です。

なお、当社のアーキテクチャでは、SD-WAN VCN に DRG アタッチメントは使用していません。SD-WAN アプライアンスの管理の大部分は、SD-WAN サブネットの VNIC 上の IP アドレスを使用して行われるため、このアタッチメントは実際には必要ありません。ただし、特別なリクエストがあれば設定可能です。

IPSec用のSD-WAN-RT DRGアタッチメントルーティングテーブルには、FastConnect用のFC-RT DRGアタッチメントルーティングテーブルと同じエントリが含まれます。これは、IPSecトンネル経由で受信したすべてのトラフィックをファイアウォールで検査する必要があるためです。

IPsec RT

これで、SD-WAN VCNにおけるネットワーク構成が明確に把握できました。

最後にFastConnectについて説明しますが、FastConnectによって冗長性に関する議論は終了となります。FastConnectはSD-WANシステム全体のバックアップとして使用され、SD-WAN上で使用している2つのIPSecトンネルのバックアップも行います。つまり、SD-WANネットワークに何らかの問題が発生し、IPSecトンネルがどちらも使用できなくなった場合でも、FastConnectが稼働しており、顧客トラフィックを転送する準備ができています。

FW-VCN-RT DRG Security VCN添付ファイルで上記の範囲を達成するために必要なルート優先順位は次のとおりです。

RT

FastConnect仮想回線をIPSecよりも優先度の低いものにするには、OCIがIPSec経由のBGPで受信したルートに1つのプライベートAS番号を追加した後、 FastConnect上のBGP AS_PATHが長くなるようにする必要があることに注意してください。

以上で、SD-WAN OCIの統合と設定に関する説明を終了いたします。

コメント

コメントを投稿

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

イメージ
Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
続きを読む

ミリ秒の問題: BCCグループとOCIが市場データ・パフォーマンスを再定義する方法(AWSに対するベンチマークを使用) (2025/11/13)

イメージ
ミリ秒の問題: BCCグループとOCIが市場データ・パフォーマンスを再定義する方法(AWSに対するベンチマークを使用) (2025/11/13) https://blogs.oracle.com/cloud-infrastructure/post/milliseconds-matter-bcc-group-and-oci-vs-aws 投稿者: Steven Riley | Senior Cloud Architect William Bierds | Business Analyst and Systems Engineer - BCC Group International Travis Liles | Master Principal Cloud Architect Puru Patel | Cloud Architect - FSI これは、BCC グループと Oracle Cloud Infrastructure (OCI) 間の市場データ パートナーシップを紹介するブログ シリーズの第 2 部です。   はじめに 金融市場データアプリケーションは、トレーダー、金融機関、そして市場参加者が情報に基づいた意思決定を行えるよう、リアルタイムデータを提供することで、取引エコシステムにおいて重要な役割を果たしています。 前回のブログ で述べたように、取引環境において最適なパフォーマンスを確保するには、市場データを超低レイテンシかつ高い信頼性で配信する必要があります。 今日の急速に変化する金融市場において、クラウドは市場データ・アプリケーションにとって強力な推進力として台頭しています。適切なネットワークとインフラストラクチャがあれば、企業は実行時間の短縮、可用性の向上、そして堅牢なセキュリティを実現できます。しかし、企業によるクラウド導入は遅れており、ワークロードのクラウド移行計画を中止しているケースもあります。そこで、BCCグループとOracle Cloud Infrastructure(OCI)のパートナーシップが注目されています。 BCCグループは、主力市場データアプリケーションであるONE PlatformをOCI上に導入しました。このブログでは、以下の点について説明します。 このパートナーシップがなぜこれほど相乗効果をもたらすのかを探る OC...
続きを読む

Oracle Enterprise Manager 24aiの概要 (2024/12/18)

イメージ
Oracle Enterprise Manager 24aiの概要 (2024/12/18) https://blogs.oracle.com/observability/post/oracle-enterprise-manager-24 投稿者: David Le Roy | Senior Director of Product Management 本日、Oracle Enterprise Manager 24ai(EM 24ai)を発表します。これは、最新のAIを活用した管理テクノロジのパワーを活用して、データ・センターとクラウド全体にOracle Databaseとエンジニアド・システムをさらに充実させる画期的なリリースです。ソフトウェアの ダウンロード が可能になりました。この新しいリリースについてさらに学習するには、2024年12月17日から19日に開催されるOracle Enterprise Manager Technology Forumの年次開催にご 参加 ください。 図1: Oracle Enterprise Manager 24aiの概要 この新しいリリースについてさらに学習するには、2024年12月17日から19日に開催されるOracle Enterprise Manager Technology Forumの年次開催にご参加ください。12月17日午前9時に、エンジニアリング担当エグゼクティブ・バイスプレジデントのWim Coekaerts氏と製品管理担当シニア・バイスプレジデントのMughees Minhas氏が率いるイベント基調講演をご覧ください。基調講演に続き、データベース・パフォーマンス、エンジニアド・システム管理、可用性、セキュリティ、コンプライアンスなどに関するベストプラクティスと新製品機能をカバーする25のテクニカル・セッションが追加されました。オラクルのセッションでは、Oracle製品のエキスパートがお客様の技術的な質問にお答えできるよう、Oracle製品マネージャーや主要なお客様が主導しています。 本日 登録 ! Oracle Enterprise Manager 24aiの新機能 EM 24aiリリースは、お客様がオンプレミスおよびクラウドにデプロイされたOracle DatabaseおよびOracle Exadataフ...
続きを読む