Oracle Cloud Infrastructureドキュメント

Google Cloudのインターコネクト

このトピックでは、Oracle Interconnect for Google Cloudの設定方法について説明します。

Oracle Interconnect for Google Cloudでは、特定のリージョンでOracle Cloud InfrastructureとGoogle Cloud Platform (GCP)の間のクラウド間接続を作成できます。この接続により、インターネットを経由するクラウド間のトラフィックなしで、クラウドからクラウドへのワークロードを設定できます。このトピックでは、このデプロイメントを有効にするための仮想ネットワーキング・インフラストラクチャ・リソースの設定方法について説明します。

ハイライト

  • Oracle Cloud Infrastructure (OCI)仮想クラウド・ネットワーク(VCN)をGCP仮想プライベート・クラウド(VPC)に接続し、クラウドからクラウドへのワークロードを実行できます。通常のユースケースでは、Oracle DatabaseをOCIにデプロイし、GCPにカスタム・アプリケーションをデプロイできます。
  • この2つの仮想ネットワークは同じ会社または組織に属する必要があり、CIDRは重複できません。Oracle Interconnect for Google Cloudでは、パートナ・インターコネクト回路およびOCI FastConnect仮想回線を作成する必要があります。

可用性

Oracle Interconnect for Google Cloudは、次のマップおよび表に示すペア・リージョンでのみ使用できます。GCP地域の場所の詳細は、GCPドキュメントのコロケーション施設の場所テーブルを参照してください。

次の図は、Oracle Interconnect for Google Cloudを使用するリージョンを示しており、すべての商用OCIリージョンと、AzureとGCPの両方にインターコネクトがあるリージョンを示しています。次の表に、参加するGCPリージョンもリストします。

AzureまたはGCPと相互接続するリージョンを示すマップ。

Oracle Interconnect for Google Cloudを使用するUS Government Cloudリージョンは、US Government Cloudのドキュメントにリストされています。

アジア太平洋

OCIリージョン- キー Google Cloudリージョン

オーストラリア東部(シドニー) / ap-sydney-1 - SYD

シドニー(オーストラリア-southeast1)

オーストラリア南東部(メルボルン) / ap-melbourne-1 - MEL

メルボルン(オーストラリア-southeast2)

インド西部(ムンバイ) / ap-mumbai-1 - BOM

ムンバイ(アジア-south1)

東日本(東京) / ap-tokyo-1 - NRT

東京(アジア-northeast1)
シンガポール(シンガポール) / ap-singapore-1 - SIN

シンガポール(アジア-southeast1)

ヨーロッパ、中東、アフリカ(EMEA)

OCIリージョン- キー Google Cloudリージョン

ドイツ中央部(フランクフルト) / eu-frankfurt-1 - FRA

フランクフルト(ヨーロッパ-west3)

スペイン中央部(マドリード) / eu-madrid-1 - MAD

マドリード(ヨーロッパ-southwest1)

英国南部(ロンドン) / uk-london-1 - LHR

ロンドン(ヨーロッパ-west2)

スイス北部(チューリッヒ) / eu-zurich-1 - ZRH

 チューリッヒ(ヨーロッパ-west6)

ラテン・アメリカ(LATAM)

OCIリージョン- キー Google Cloudリージョン

ブラジル東部(サンパウロ) /sa-saopaulo-1 - GRU

サンパウロ(南アメリカ-east1)

北アメリカ(NA)

OCIの場所- キー Google Cloudリージョン

カナダ南東部(モントリオール)(ca-montreal-1) - YUL

モントリオール(北米-northeast1)

カナダ南東部(トロント)(ca-toronto-1) - YYZ

トロント(北米-northeast2)

米国東部(アッシュバーン)(us-ashburn-1) - IAD

Nバージニア(us-east4)

サポートされているトラフィックの概要

サポートされるトラフィックのタイプの詳細は次のとおりです。

VCNからVPCへの接続: あるクラウドから別のクラウドへの拡張

VCNとVPCを接続して、プライベートIPアドレスを使用するトラフィックがクラウドからクラウドへの接続を経由するようにできます。

たとえば、次の図はVCPに接続されているVCNを示しています。VPCのリソースは、VCN内のデータベース・サービス・リソースで実行されるOracleデータベースにアクセスするアプリケーションを実行しています。アプリケーションとデータベース間のトラフィックは、GCPとOCIの間のクラウド間接続で実行される論理回路を使用します。

この図は、GCP VPCとOCI VCNの間の接続を示しています。

VPCとVCN間の接続を有効にするには、GCP VLANアタッチメントとOCI FastConnect仮想回線を設定します。接続には冗長性が組み込まれていないため、高可用性で自己回復性の高いネットワーク設計を実現するには、2つ目のOracle Interconnect for Google Cloud接続を設定する必要があります。

詳細な手順は、「接続の設定」を参照してください。

ピアリングされたVCN

接続トラフィックは、VPCから同じOCIリージョンまたは他のOCIリージョン内の1つ以上のピアリングされたVCNsに流れる可能性があります。

接続でサポートされないトラフィックのタイプ

この接続では、OCIを介したオンプレミス・ネットワークからVPCへのトラフィック、またはGCPを介したオンプレミス・ネットワークからOCIへのトラフィックは有効になりません。

クラウド接続の重要な意味

この項では、Oracle Interconnect for Google Cloudのアクセス制御、セキュリティおよびパフォーマンスへの影響の概要を示します。通常は、IAMポリシー、VCNのルート表およびVCNのセキュリティ・ルールを使用して、アクセスおよびトラフィックを制御できます。

以降の各項では、VCNの観点からの影響について説明します。VPCにも同様の影響があります。VCNと同様に、ルート表やネットワーク・セキュリティ・グループなどのGCPリソースを使用してVPCを保護できます。

接続の確立の制御

Oracle Cloud Infrastructure IAMポリシーでは、次のものを制御できます:

接続でのトラフィック・フローの制御

VCNとVPCの間に接続が確立されている場合でも、VCNルート表を使用して接続上のパケット・フローを制御できます。たとえば、トラフィックをVPCの特定のサブネットのみに制限できます。

接続を終了せずに、VCNからVPCにトラフィックを転送するルート・ルールを削除することで、VPCへのトラフィック・フローを停止できます。また、VPCイングレス・トラフィックまたはエグレス・トラフィックを有効にするセキュリティ・ルールを削除することによって、トラフィックを実質上停止することもできます。この場合、接続上ではトラフィック・フローは停止されず、VNICレベルでトラフィック・フローが停止されます。

許可されている特定のタイプのトラフィックの制御

VPCとのすべてのアウトバウンドおよびインバウンド・トラフィックが意図または予期され、定義されていることを確認します。1つのクラウドからもう一方のクラウドへ送信できるトラフィックのタイプと、もう一方のクラウドから受け入れるトラフィックのタイプを明示的に示すGCPセキュリティおよびOracleセキュリティ・ルールを実装します。

重要

LinuxまたはWindowsのプラットフォーム・イメージを実行しているOracle Cloud Infrastructureインスタンスには、そのインスタンスへのアクセスを制御するファイアウォール・ルールもあります。インスタンスへのアクセスのトラブルシューティングを行う際は、次の項目が正しく設定されていることを確認してください: インスタンスが存在するネットワーク・セキュリティ・グループ、インスタンスのサブネットに関連付けられているセキュリティ・リスト、およびインスタンスのファイアウォール・ルール。

If an instance is running Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7, or Oracle Linux Cloud Developer 8, you need to use firewalld to interact with the iptables rules.参照用に、ポート(この例では1521)をオープンするためのコマンドを次に示します:

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

ISCSIブート・ボリュームを持つインスタンスでは、前述の--reloadコマンドで問題が発生することがあります。詳細および回避策については、firewall-cmd --reloadの実行後にインスタンスでシステム・ハングが発生しますを参照してください。

セキュリティ・ルールおよびファイアウォールの使用に加えて、VCN内のインスタンス上の他のOSベースの構成を評価します。VCN CIDRに適用されないが、VPCのCIDRに意図せず適用されるデフォルト構成がある場合があります。

VCNでのデフォルトのセキュリティ・リスト・ルールの使用

VCNのサブネットでデフォルト・セキュリティ・リストをデフォルト・ルールで使用する場合、そのリスト内の2つのルールが任意の場所(0.0.0.0/0、つまりVPC)からのイングレス・トラフィックを許可します:

  • 0.0.0.0/0および任意のソース・ポートからのTCPポート22 (SSH)トラフィックのトラフィックを許可するステートフル・イングレス・ルール
  • 0.0.0.0/0および任意のソース・ポートからのICMPタイプ3、コード4トラフィックに対するトラフィックを許可するステートフル・イングレス・ルール

これらのルールと、それらを保持するか更新するかを評価します。前述のとおり、許可されるすべてのインバウンドまたはアウトバウンド・トラフィックが意図されているか、予期および定義されていることを確認します。

パフォーマンスへの影響およびセキュリティ・リスクに対する準備

一般に、VPCによる影響を考慮してVCNを準備します。たとえば、VCNまたはそのインスタンスに対する負荷が増加する可能性があります。または、VPCから直接、またはVPCからVCNが悪意のある攻撃を受ける可能性があります。

パフォーマンスについて: VCNがVPCにサービスを提供している場合は、VPCの要求に対応するようにサービスをスケール・アップする準備をしてください。これは、必要に応じて追加のインスタンスを作成する準備のことかもしれません。または、VCNへのネットワーク・トラフィックのレベルが高い懸念がある場合は、VCNが実行する必要がある接続レベルを制限するためにステートレス・セキュリティ・ルールの使用を検討します。ステートレス・セキュリティ・ルールによって、サービス拒否(DoS)攻撃の影響を抑えることもできます。

セキュリティ・リスクについて: VPCがインターネットに接続されている場合、VCNがバウンス攻撃にさらされる可能性があります。バウンス攻撃には、インターネット上の悪意のあるホストが、VPCから来ていると思われるVCNにトラフィックを送信します。前述のように、これを防ぐには、セキュリティ・ルールを使用して、VPCからのインバウンド・トラフィックを予想および定義されたトラフィックに慎重に制限します。

接続の設定

この項では、Oracle Interconnect for Google Cloudの設定方法について説明します(バックグラウンドについては、「サポートされているトラフィックの概要」を参照)。

この接続のGoogle Cloud Platform側では、Googleが「パートナ・インターコネクト」と呼ぶものを使用します。OCI側では、FastConnect Oracle Partnerメソッドを使用します。

前提条件: 必要なリソース

すでに次のものを備えている必要があります:

  • サブネット、Google Cloudルーターおよびサービス・ペリメータを備えたGCP VPC
  • Oracle Cloud Infrastructureサブネットを持つVCNおよびアタッチされた動的ルーティング・ゲートウェイ(DRG)。作成後は必ずVCNにDRGをアタッチしてください。オンプレミス・ネットワークとVCNの間にすでにサイト間VPNまたはFastConnectがある場合、VCNにはすでにDRGがアタッチされています。GCPへの接続を設定するとき、同じDRGを使用します。
  • 必要なOCIコンポーネントに必要なリソースを構成するためのIAM権限。
  • 接続するリージョンのOCIとGCPの両方の有効なサブスクリプション

念のため、接続の各側に含まれる同等のネットワーキング・コンポーネントをリストした表を次に示します。

コンポーネント GCP Oracle Cloud Infrastructure
仮想ネットワーク 仮想プライベート・クラウド(VPC) VCN
仮想回線 VLANアタッチメント FastConnectプライベート仮想マシン
ゲートウェイ Googleクラウド・ルーター 動的ルーティング・ゲートウェイ(DRG)
ルーティング ルート表 ルート表
セキュリティ・ルール サービス・ペリメータ ネットワーク・セキュリティ・グループ(NSG)またはセキュリティ・リスト

前提条件: 必要なBGP情報

VPCとVCN間の接続では、BGP動的ルーティングが使用されます。Oracle仮想回路を設定する場合、OracleとGCPの間の2つの冗長BGPセッションに使用されるBGP IPアドレスを指定します:

  • BGPアドレスのプライマリ・ペア(Oracle側に1つ、GCP側に1つのIPアドレス)
  • 別のBGPアドレス(Oracle側に1つ、GCP側に1つのIPアドレス)

ペアごとに、/28から/31までのサブネット・マスクを持つ個別のアドレス・ブロックを指定する必要があります

各アドレス・ブロックの2番目と3番目のアドレスは、BGP IPアドレス・ペアに使用されます。

  • ブロック内の2番目のアドレスはBGPセッションのOracle側用です
  • ブロック内の3番目のアドレスはBGPセッションのGCP側用です

ブロック内の最初のアドレスと最後のアドレスは、他の内部目的に使用されます。たとえば、CIDRが10.0.0.20/30の場合、ブロックのアドレスは次のようになります:

  • 10.0.0.20
  • 10.0.0.21: Oracle側ではこれを使用します(Oracle Consoleで、10.0.0.21/30というアドレスを入力します)
  • 10.0.0.22: これをGCP側に使用します(Oracle Consoleでアドレスを10.0.0.22/30として入力し、このアドレスがコンソールで顧客側と呼ばれることに注意してください)。
  • 10.0.0.23

セカンダリBGPアドレスにも、同じサイズの2番目のブロックを指定する必要があることに注意してください。例: 10.0.0.24/30。この場合、10.0.0.25はOracle側用、10.0.0.26はGCP側用です。Oracle Consoleでは、これらを10.0.0.25/30および10.0.0.26/30と入力する必要があります。

前提条件: 必須のIAMポリシー

関連するGCPおよびOracleネットワーキング・リソースを作成および操作するために必要なGCPアクセスおよびOracle Cloud Infrastructure IAMアクセス権がすでに必要です。ユーザー・アカウントが管理者グループにある場合、必要な権限がある可能性があります。それ以外の場合は、次のようなポリシーがすべてのネットワーキング・リソースをカバーします:

Allow group NetworkAdmins to manage virtual-network-family in tenancy

仮想回線の作成および管理のみの場合、次のようなポリシーが必要です:

Allow group VirtualCircuitAdmins to manage drgs in tenancy

Allow group VirtualCircuitAdmins to manage virtual-circuits in tenancy

詳細は、ネットワーキングに対するIAMポリシーを参照してください。

全体的なプロセス

次の図は、VPCとVCNを接続するプロセス全体を示しています。

このスイムレーン図は、GCP VPCとOCI VCNを接続するステップを示しています
タスク1: ネットワーク・セキュリティの構成

最初のタスクは、VPCとVCN内の関連するサブネット間でどのトラフィックが流れる必要があるかを判断し、必要なサービス・ペリメータとVCNセキュリティ・ルールを構成することです。追加する一般的なルールのタイプは次のとおりです:

  • 他のクラウドの関連サブネットから許可するトラフィックのタイプに関するイングレス・ルール。
  • 他のクラウドへの送信トラフィックを許可するエグレス・ルール。VCNのサブネットに、すべての宛先(0.0.0.0/0)へのすべてのタイプのプロトコルに対応する広範なエグレス・ルールがすでにある場合は、VPCへのトラフィック用に特別なルールを追加する必要はありません。VCNのデフォルトのセキュリティ・リストには、このような広範なデフォルト・エグレス・ルールが含まれています。

VPCとVCN間で許可するトラフィックの推奨タイプを次に示します:

  • 接続をそれぞれの側からテストするための両方向のPingトラフィック
  • SSH (TCPポート22)
  • Oracleデータベースへのクライアント接続(TCPポート1521でのSQL*NET)

対象となる特定のアドレス範囲(たとえば、他方のクラウドの関連サブネット)との間のトラフィックのみを許可します。

VPCの場合: VPC内のどのサブネットがVCNと通信する必要があるかを決定します。次に、それらのサブネットのサービス・ペリメータを構成してトラフィックを許可します。

VCNの場合:

ノート

次の手順ではセキュリティ・リストを使用しますが、かわりに1つ以上のネットワーク・セキュリティ・グループにセキュリティ・ルールを実装し、VCNの関連リソースをNSGに配置することもできます。
  1. VCN内のどのサブネットがVPCと通信する必要があるかを決定します。

  2. それらの各サブネットのセキュリティ・リストを更新して、VPCのCIDRブロックまたはVPCのサブネットによるエグレス・トラフィックまたはイングレス・トラフィックを許可するルールを含めます:

    1. コンソールで、目的のVCNを表示している状態で、「セキュリティ・リスト」を選択します。
    2. 関心のあるセキュリティ・リストを選択します。

    3. 「すべてのルールの編集」を選択し、1つ以上のルールを作成します。各ルールは、許可する特定のタイプのトラフィックに対応します。後続のルールの例を参照してください。

    4. 終了したら、ダイアログ・ボックスの下部にある「セキュリティ・リスト・ルールの保存」を選択します。

    セキュリティ・ルールの設定の詳細は、セキュリティ・ルールを参照してください。

例: VCNからVPCへの送信ping

次のエグレス・セキュリティ・ルールにより、インスタンスはVCNの外部のホストに対してpingリクエストを作成できます(エコー・リクエストICMPタイプ8)。これは、レスポンスを自動的に許可するステートフル・ルールです。エコー・リプライ(ICMPタイプ0)用に別のイングレス・ルールは必要ありません。

  1. 「エグレスのルール許可」セクションで、「+Addルール」を選択します。
  2. このセキュリティ・ルールを作成するには、次の値を入力します。
    • 「ステートレス」チェック・ボックスは選択を解除したままにします。
    • 宛先CIDR: VPC内の関連するサブネット(前の図の10.0.0.0/16)
    • IPプロトコル: ICMP
    • タイプとコード: 8
    • 説明: ルールのオプションの説明。
  3. ダイアログ・ボックスの下部にある「セキュリティ・リスト・ルールの保存」を選択します。
例: VPCからVCNへの受信ping

次のイングレス・セキュリティ・ルールにより、インスタンスはVPCのホストからpingリクエストを受信できます(エコー・リクエスト(ICMPタイプ8))。これは、レスポンスを自動的に許可するステートフル・ルールです。エコー・リプライ(ICMPタイプ0)用に別のエグレス・ルールは必要ありません。

  1. 「エグレスのルール許可」セクションで、「+Addルール」を選択します。
  2. このセキュリティ・ルールを作成するには、次の値を入力します。
    • 「ステートレス」チェック・ボックスは選択を解除したままにします。
    • ソースCIDR: VPC内の関連するサブネット(前の図の10.0.0.0/16)
    • IPプロトコル: ICMP
    • タイプとコード: 8
    • 説明: ルールのオプションの説明。
  3. ダイアログ・ボックスの下部にある「セキュリティ・リスト・ルールの保存」を選択します。
例: VCNへの受信SSH

次のイングレス・セキュリティ・ルールにより、インスタンスはVPCのホストから(TCPポート22で)SSH接続を受信できます。

  1. 「エグレスのルール許可」セクションで、「+Addルール」を選択します。
  2. このセキュリティ・ルールを作成するには、次の値を入力します。
    • 「ステートレス」チェック・ボックスは選択を解除したままにします。
    • ソースCIDR: VPC内の関連するサブネット(前の図の10.0.0.0/16)
    • IPプロトコル: TCP
    • ソース・ポート範囲: すべて
    • 宛先ポート範囲: 22
    • 説明: ルールのオプションの説明。
  3. ダイアログ・ボックスの下部にある「セキュリティ・リスト・ルールの保存」を選択します。
例: データベースへのSQL接続

次のイングレス・セキュリティ・ルールでは、VPCのホストからのSQL接続(TCPポート1521)が許可されます。

  1. 「エグレスのルール許可」セクションで、「+Addルール」を選択します。
  2. このセキュリティ・ルールを作成するには、次の値を入力します。
    • 「ステートレス」チェック・ボックスは選択を解除したままにします。
    • ソースCIDR: VPC内の関連するサブネット(前の図の10.0.0.0/16)
    • IPプロトコル: TCP
    • ソース・ポート範囲: すべて
    • 宛先ポート範囲: 1521
    • 説明: ルールのオプションの説明。
  3. ダイアログ・ボックスの下部にある「セキュリティ・リスト・ルールの保存」を選択します。
タスク2: Google Cloud Interconnect VLANアタッチメントの作成

Oracle Cloud Infrastructure FastConnectへのパートナ・インターコネクト接続のペアを作成します。設定時に、次のパラメータを設定します。

  • ネットワーク:デフォルトを使用します。
  • リージョン:インターコネクトが使用可能なリージョンを選択します。可用性を参照してください。
  • クラウド・ルーター: OCI VCNに接続するVPCとすでに連携しているクラウド・ルーターを選択します。
  • MTU: 1500を選択します。このサイズでは、問題が発生する可能性が最も低くなります。OCIのMTUサイズの詳細は、接続のハングの記事を参照してください。

GCPからペアリング・キーを受け取ります。暗号化されていないVLANアタッチメントの作成のステップ10を参照してください。次のステップでFastConnect仮想回線を設定するときにOracleに提供する必要があるため、そのペアリング・キーを記録または格納します。ペアリング・キーは、OCIがGoogle Cloud VPCネットワークおよび関連するクラウド・ルーターを識別して接続できる一意のキーです。OCIでは、VLANアタッチメントの構成を完了するためにこのキーが必要です。

ノート

VLANアタッチメントの作成後、「有効化」ボックスにチェックマークを入れて、VLANアタッチメントを事前アクティブ化します。ここでこれを行う場合は、タスク4 (オプション): 接続のアクティブ化をスキップできます。
ノート

可用性を高めるために、インターコネクトVLANアタッチメントの冗長ペアを作成することをお薦めします。冗長性を作成すると、2つのキーがペアになります。冗長性が必要ない場合は、単一のVLANアタッチメントを作成できます(後で冗長化できます)。これにより、単一のペアリング・キーが生成されます。

次のタスクで、Google Cloud PlatformへのFastConnectプライベート仮想回線を設定します。その仮想回線のプロビジョニングが終了すると、VLANアタッチメントが更新され、プライベート・ピアリングが有効であることが示されます。

タスク3: OCI FastConnect仮想回線の設定
  1. コンソールで、対象のコンパートメントを表示していることを確認します。不明な場合は、DRGを含むコンパートメントを使用して接続してください。コンパートメントのこの選択は、対応するIAMポリシーとともに、これから作成する仮想回線にアクセスできるユーザーを制御します。

  2. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、FastConnectを選択します。

    結果の「FastConnect」ページは、新しい仮想回線を作成したり、仮想回線を管理する必要がある場合に戻ることのできるページです。

  3. 「FastConnectの作成」を選択します。
  4. FastConnectパートナを選択し、リストから「Google Cloud」 : OCI Interconnect」を選択します。

  5. 「単一仮想回線」(デフォルト)または「冗長仮想回線」を選択して、同じFastConnectの場所で異なる物理デバイスを使用する仮想回線を構成します。冗長性の詳細は、FastConnect冗長性のベスト・プラクティスを参照してください。「単一仮想回線」を選択した場合は、後で戻って冗長仮想回線を追加できます。

  6. 「次」を選択します。

  7. 仮想回線に次を入力します(「冗長仮想回線」を選択した場合は「仮想回線1」)。

    • 名前:仮想回線のわかりやすい名前。値は仮想回線全体で一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
    • コンパートメントに作成:そのままにします(作業中のコンパートメント)。
    • 「パートナ」を選択し、リストからパートナを選択します。
      ノート

      パートナとして「Megaport」を選択した場合は、前述のオプションのステップを使用して回路のパートナ側をプロビジョニングできます。

  8. 「プライベート」仮想回線タイプを選択します。冗長仮想回線は、両方ともプライベートであるか、両方ともパブリックである必要があるため、この設定は他の仮想回線と一致します。次に、次のように入力します。

    • 「すべてのトラフィック」またはIPSec over FastConnectトラフィックのみを選択します。仮想回線は、どちらの選択でもIPSec over FastConnectに使用できますが、仮想回線で暗号化されたトラフィックのみを許可するように選択できます。冗長仮想回線の設定は同じである必要があるため、これは他の仮想回線と照合されます。
    • Dynamic Routing Gateway: FastConnectトラフィックのルーティング先のDRGを選択します。FastConnectに対するIPSecには、アップグレードされたDRGが必要です。このDRGは、複数のVCNまたはアタッチされたVCNsを持つ他のDRGにアタッチできます。
    • プロビジョニングされた帯域幅:値を選択します。帯域幅を後で増加させる必要がある場合は、別の値を使用するように仮想回路を更新できます(仮想回路を編集するにはを参照)。
    • Partner Serviceキー(オプション): Googleが提供するサービス・キーを入力します。このキーを今すぐ入力するか、後で回線を編集できます。

    BGPセッションがOracleに移動すると(基本的なネットワークの図を参照)、ダイアログ・ボックスにBGPセッションの他のフィールドが表示されます:

    • 顧客BGP IPアドレス: /28から/31までのサブネット・マスクを持つ、エッジ(CPE)用のBGPピアリングIPアドレス。
    • Oracle BGP IPアドレス: Oracleエッジ(DRG)に使用するBGPピアリングIPアドレスで、/28から/31までのサブネット・マスクが使用されます。
    • IPv6アドレス割当ての有効化: IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。FastConnectおよびIPv6を参照してください。
    • 顧客BGP ASN: Google VCPのパブリックASNまたはプライベートASN。
    • BGP MD5認証キーの使用(オプション):このチェック・ボックスを選択し、MD5認証が必要な場合にキーを指定します。Oracleは128ビットのMD5認証までをサポートしています。
    • 双方向転送検出の有効化(オプション):このチェック・ボックスを選択すると、双方向転送検出が有効になります。
      ノート

      双方向転送検出を使用する場合、ペア・デバイスは、300ミリ秒の最小間隔と3の倍数を使用するように構成する必要があります。
  9. 冗長仮想回線を作成する場合は、他の仮想回線(仮想回線2)に必要な情報を入力します。If you selected Redundant virtual circuits, remember that the virtual circuit type (private or public) and All traffic or IPSec over FastConnect traffic only settings for Virtual circuit 2 are already set to match Virtual circuit 1 and if you change them the settings on the other circuit automatically change to match.
    ノート

    「冗長仮想回線」を選択し、選択したパートナがOCIへのレイヤー3接続を作成する場合、冗長仮想回線の作成はオプションです。ただし、選択したパートナがレイヤー2接続を作成する場合は、冗長仮想回線が必要です。レイヤー2およびレイヤー3接続の詳細は、FastConnect冗長性のベスト・プラクティスを参照してください。

  10. 「作成」を選択します。

    仮想回線が作成され、ステータス・ページが表示されます。「閉じる」を選択して、仮想回線のリストに戻ります。

  11. 作成した仮想回線の名前を選択します。仮想回線がPENDING PARTNER状態の間、そのOCIDおよびパートナのポータルへのリンクが、ページ上部の「接続作成済」確認ボックスに表示されます。仮想回線のOCIDは、他の仮想回線の詳細でも使用できます。OCIDをコピーして別の場所に貼り付けます。次のタスクでOracleパートナに提供します。また、冗長回路を作成した場合は、そのOCIDをコピーします。

FastConnect仮想回線を作成したら、OCIが接続を構成するまで待機します。作成した仮想回線の詳細ページを参照し、「仮想回線情報」タブで、仮想回線情報のライフサイクル状態が「プロビジョニング済」に変わることを確認します。「BGP情報」タブでも、BGPセッションが確立されていることを確認します。BGPセッションが「確立済」状態になるまで数分かかります。FastConnect仮想回線のステータスを取得するにはも参照してください。

タスク4 (オプション): 接続のアクティブ化

このステップは、タスク2: Google Cloud Interconnect VLANアタッチメントの作成でペアリング・キーを指定したときにGCP VLANアタッチメントを事前アクティブ化しなかった場合にのみ必要です。

OCI側で構成およびプロビジョニングが完了した後、GCP VLAN添付を事前アクティブ化しなかった場合は、Google Cloudから電子メール通知を受信します 。Eメールを受信したら、Google CloudコンソールからVLAN添付を有効にする必要があります。 Google Cloud との接続を確立したことを確認するには、接続をアクティブ化し、そのアクティブ化ステータスを確認する必要があります。

タスク5: ルート表の構成

VPCの場合: VPC内のどのサブネットがVCNと通信する必要があるかを決定します。次に、必要に応じてトラフィックをルーティングするようにこれらのサブネットのBGP通知を構成します。

VCNの場合:

  1. VCN内のどのサブネットがVPCと通信する必要があるかを決定します。

  2. それらの各サブネットのルート表を更新し、VPCのCIDR宛のトラフィックをDRGに転送する新しいルールを追加します:

    1. コンソールで、目的のVCNを表示している状態で、「ルート表」を選択します。
    2. 目的のルート表を選択します。
    3. 「ルート・ルールの編集」を選択します。

    4. 「+別のルート・ルール」を選択し、次の情報を入力します:

      • ターゲット・タイプ: 動的ルーティング・ゲートウェイ。VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。
      • 宛先CIDRブロック: VPC内の関連するサブネット(前の図の10.0.0.0/16)。
      • 説明: ルールのオプションの説明。
    5. 「保存」を選択します。

ルールに一致する宛先のサブネット・トラフィックは、DRGにルーティングされます。DRGでは、仮想回路のBGPセッション情報に基づいて、トラフィックをVPCにルーティングすることが認識されます。

その後、接続が必要なくなり、DRGを削除する場合は、DRGをターゲットとして指定したVCN内のすべてのルート・ルールを最初に削除する必要があります。

ルート・ルールの設定の詳細は、VCNルート表を参照してください。

タスク6: 接続の検証およびテスト
重要

接続を終了する場合は、特定のプロセスに従う必要があります。Oracle Interconnect for Google Cloudを終了するにはを参照してください。
  1. Google Cloudで Border Gateway Protocol (BGP)セッションが確立されていることを確認します。
    BGPセッションは、タスク3: OCI FastConnect仮想回線の設定で作成した仮想回線の詳細ページの「BGP情報」タブを参照することで、OCIコンソールから検証できます。BGPセッションが「確立済」状態であることを確認するまで、続行しないでください。FastConnect仮想回線のステータスを取得するにはも参照してください。
  2. VPCサービス・ペリメータおよびVCNセキュリティ・ルール(タスク1: ネットワーク・セキュリティの構成を参照)がすべて正しく構成されていることを確認します。
  3. VCNでテスト・インスタンスを作成します。
  4. テスト・インスタンスを使用して、SSHを使用してVPC内のホストにアクセスするか、VPC内のホストを使用してテスト・インスタンスにアクセスします。
ステップ4が成功した場合、接続を使用する準備ができました。

BGP状態が確立されていない場合は、OCIまたはGoogle Cloud サポート・チームに連絡してください。

Oracle Interconnect for Google Cloudの管理

FastConnect仮想回線のステータスを取得するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、FastConnectを選択します。
  2. 接続が存在するコンパートメントを選択します。
  3. 目的の接続を選択します。仮想回線のアイコンが緑色で「稼働中」を示している場合は、仮想回線がプロビジョニングされており、BGPが正しく構成されています。仮想回線を使用する準備ができています。
FastConnect仮想回線を編集するには

仮想回線の次の項目を変更できます:

  • 名前
  • 使用するDRG
注意

仮想回路が「プロビジョニング済」状態の場合、使用するDRGを変更すると、状態が「プロビジョニング中」に切り替わり、接続がダウンする可能性があります。Oracleが仮想回線を再プロビジョニングすると、状態は「プロビジョニング済」に戻ります。接続が再び稼働中になり、機能していることを確認します。
  1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、FastConnectを選択します。
  2. 接続が存在するコンパートメントを選択し、接続を選択します。
  3. 仮想回線を選択します。
  4. 「編集」を選択して変更を行います。機密情報を入力しないでください。
  5. 「保存」を選択します。
Oracle Interconnect for Google Cloudを終了するには

次のステップは、Oracle Interconnect for Google Cloudを終了するプロセス全体を示しています。

  1. GCPポータルで、クラウド・インターコネクトを表示し、そのVLANアタッチメントを表示して、クラウド・インターコネクトにまだ存在しているVLANアタッチメントを確認します。詳細は、VLANアタッチメントの表示を参照してください。VLANアタッチメントが残っている場合は、「ネットワークの切断」を参照し、すべてのVLANアタッチメントを削除します。
  2. Oracleポータルで、FastConnect仮想回線を削除します。
    1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、FastConnectを選択します。
    2. 接続が存在するコンパートメントを選択し、接続を選択します。
    3. 仮想回線を選択します。
    4. Select Delete.

    5. プロンプトが表示されたら確認します。

      仮想回線のライフサイクル状態はTERMINATINGに切り替わります。

Oracle Interconnect for Google Cloudが終了しました。