こんにちは!テリロジーのY.Tです。
今回はOCIでのネットワーク接続方法についてまとめたいと思います。
ここでは、以下のゲートウェイを利用したユースケースについて整理して記載したいと思います。
ゲートウェイの種類
ゲートウェイやルートテーブルなどはVCN内で設定していきます。
OCIには主に以下のゲートウェイがあり、利用ケースに合わせて選択します。
- インターネットゲートウェイ:インターネット経由での通信が必要な場合
- NATゲートウェイ:インターネット接続は必要だが、インターネットからの通信は必要ない場合
- サービスゲートウェイ:VCNと同じリージョン内のOCI上のサービスに対してプライベートアクセスする場合
- 動的ルーティングゲートウェイ:オンプレミス環境からVPN接続やFastConnectを利用し、オラクルプロバイダネットワークを介してVCNに接続する場合や、異なるリージョン内にある2つのVCNを接続する場合
- ローカルピアリングゲートウェイ:同一リージョン内にある2つのVCNを接続する場合
- APIゲートウェイ:セキュアなAPIを作成・公開し、バックエンド(OKE、Computeなど)のAPIを集約したり、API経由でOracle Functionsを利用したい場合
また、それぞれのゲートウェイ作成後は以下を設定します。
- ルートテーブル:ゲートウェイ、もしくはプライベートIPアドレスを指定
- セキュリティリスト:イングレス(受信)、エグレス(送信)ルールで通信を許可するIPアドレスを指定
- サブネット:CIDRブロック、ルートテーブル、セキュリティリストなどを指定
インターネットゲートウェイ
インターネットからパブリックIPアドレスをもつリソースに対して接続する際には、インターネットゲートウェイを通して接続します。Oracle Cloudで作ってみた その1:仮想クラウド・ネットワーク編にも説明がございますが、OCIコンソール左メニューの「ネットワーキング」>「概要」の「インターネット接続性を持つVCNの作成」から、インターネット接続に必要なコンポーネントである、VCN、ルートテーブル(セキュリティリスト含む)、インターネットゲートウェイが作成可能です。
ここでは、手動でインターネット接続可能な環境を以下の手順で設定していきます。
1.インターネットゲートウェイの作成
パブリックサブネットを作成するVCNを選択し、インターネットゲートウェイを作成していきます。
2.ルートテーブルの作成
作成したインターネットゲートウェイを指定し、宛先CIDRブロックを0.0.0.0/0に設定します。
3.セキュリティリストの作成
イングレス(受信)、エグレス(送信)ルールを設定し、IPアドレスで通信をフィルタリングします。
4.パブリックサブネットの作成
IPアドレスを設定し、作成したルートテーブル、セキュリティリストを指定して保存します。
手順完了後、上記で設定したサブネットに作成したパブリックIPアドレスをもつインスタンスからインターネット接続が可能になります。
NATゲートウェイ
アップデートのみの通信など、インターネット接続は必要ですが、インターネットには公開する必要がないリソースに対して設定します。NATゲートウェイで利用するIPアドレスはOCI上で自動的に割り当てられ、選択や変更することはできません。
NATゲートウェイを利用するリソースに付与するパブリックIPアドレスは「エフェメラル・パブリックIPアドレス」、または「予約済パブリックIPアドレス」から選択できるようになっています。
- エフェメラル・パブリックIPアドレス:エフェメラル・パブリックIPアドレスを選択した場合、NATゲートウェイの削除時に対象のパブリックIPアドレスは開放される
- 予約済パブリックIPアドレス:自動で割り当てられるパブリックIPアドレスを予約し、予約済パブリックIPアドレスとして設定しておくことで、OCI上のリソースに割り当てすることが可能。また、リソースが終了時に開放されるエフェメラルパブリックIPアドレスと異なり予約済パブリックIPアドレスは再割り当てが可能。
NATゲートウェイを利用する手順は以下です。
- NATゲートウェイの作成
- ルートテーブルを新規に作成し、NATゲートウェイ経由で通信する宛先CIDRブロック(通常は0.0.0.0/0)を指定
- セキュリティリストでエグレスルールを作成し、宛先のパブリックIPアドレスを制御
- パブリックサブネットを作成し、NATゲートウェイを紐づけたルートテーブルを指定
サービスゲートウェイ
VCNと同じリージョン内のオブジェクトストレージ、Autonomous DatabaseなどのOCI上のサービスに対して、パブリックIPアドレスを持たないプライベートサブネット内のリソースからプライベートアクセスが可能です。
サービスからは以下の2つから選択可能です。
- OCI NRT Object Storage:オブジェクトストレージに対してのアクセス
- ALL NRT Services In Oracle Services Network:Autonomous Databaseなどその他サービスに対してのアクセス
サービスゲートウェイ作成後は、ルートテーブルとセキュリティリストを作成、もしくは更新し、サブネットに紐づけます。
動的ルーティングゲートウェイ
オンプレミス環境からVPN接続やFastConnectを利用し、オラクルプロバイダネットワークを介してVCNに接続する場合や、異なるリージョンにある2つのVCNをプライベートで接続する場合にも利用します。
1つのVCNに対して1つの動的ルーティングゲートウェイを設定することができ、VPNとFastConnect両方を利用する場合も1つの動的ルーティングゲートウェイに設定します。
FastConnectとは?
データ・センターとOracle Cloud Infrastructureとの間に、専用のプライベート接続ができるサービスであり、プライベートやインターネット経由での接続が選択できます。他のクラウドサービスでも同様のサービスを提供しており、AWSではDirect Connectになります。FastConnectを利用した専用線接続を提供しているプロバイダはこちらから確認可能です。
ローカルピアリングゲートウェイ
CIDRが重複していない、同一リージョン内にある2つのVCNをプライベートで接続する場合に利用します。
APIゲートウェイ
APIを作成し公開する場合に利用できます。単一のAPIゲートウェイで複数のバックエンドサービスのAPIを呼び出すことができます。
以上になります。今回は主なゲートウェイについて、ご紹介しました!
最後までお読みいただき、ありがとうございました。🙇
