はじめに
仮想プライベート接続サービスを利用してOracle Cloud Infrastructure(OCI)とMicrosoft Azureを接続しよう
各クラウド事業者ごとに様々な特徴あるサービスを提供されているので、利用するサービスに合わせて複数のクラウド事業者を利用している方も増えてきています。
複数のクラウドを利用しているとそれらを組み合わせたシステムを構築したい場面も増えてくると思います。
クラウド同士のネットワークを直結できれば、インターネット経由で連携した場合に考慮しなければならない問題(セキュリティなど)を回避可能です。
クラウド同士のネットワークを直結するためには各クラウド事業者が提供している仮想プライベート接続サービスを利用する必要があり、AzureではExpressRoute、Oracle Cloud Infrastructure(以下 OCI)ではFastConnectというサービス名で提供されています。
これらを利用してAzureとOCIのネットワークを繋げます。
前提条件
AzureとOCIで利用しているネットワークアドレスは下記の通りだと想定します。
Azure 環境
- リージョン: 東日本 Japan East
OCI 環境
- リージョン: 日本東部(東京) ap-tokyo-1
Azure側の作業
ExpressRouteを作成して取得できるサービスキーが無いとOCI側の作業が進まないので、Azure側から作業を始める必要があります。
ExpressRouteの作成
専用線接続サービスのExpressRouteの設定を行うことで、OCIへの接続回線を作成します。
ExpressRoute circuits 管理画面
左上の作成からExpres sRouteを作成します。
ExpressRouteの作成
サブスクリプションやリソースグループは、管理上適切なものを選びます。
リージョンは、作成する Japan East を選びます。
ポートの種類はプロバイダーを選び、新規作成またはクラシックからのインポートは新規作成を選びます。
プロバイダーはOracle Cloud FastConnectを選んで、ピアリングの場所はTokyoを選びます。
帯域幅は必要な帯域幅と価格を参考に決めてください。
SKUと課金モデルは必要とする機能と価格から選択をしてください。同じ東日本にあるリージョン同士の接続なのでどのSKUを選んでも接続はできます。
ローカルのSKUは、課金モデルが無制限しかないので、クラウド間の通信量が少ない場合にはStanderdのSKUを選び課金モデルは従量制を選んだほうが安くなる可能性もあります。
詳細は、ExpressRouteの価格表を参照してください。
以降のタグの作成、確認画面は省略します。
サービスキーの取得
作成したExpressRouteの画面に行くと赤く塗りつぶした部分にサービスキーが表示されます。
これをOCI側のFastConnectの作成で必要となるので、記録してください。
Virtual Network Gateway の作成
ExpressRouteと仮想ネットワークを接続するVirtual Network Gatewayを作成します。
Virtual Network Gateway の作成
OCIと接続する仮想ネットワークを選びます。
接続の作成
接続を作成するにはExpressRouteのプロビジョニングを済ませる必要があります。
ExpressRouteの作成直後はまだピアリング状態は未プロビジョニング状態です。
OCI側のFast connectの設定が終わりピアリングが済むと状態がプロビジョニング済みになります。
なので、ここから先に進むにはOCI側の作業が必要になります。
プロビジョニング済みの状態なった後にVirtual Network GatewayとExpressRouteを接続します。
接続の基本設定
接続の種類は、ExpressRouteを選びます。
地域は、Japan Eastを選びます。
接続の設定
先ほど作成した仮想ネットワークゲートウェイとExpressRouteの回線を選びます。
この時に対象のExpressRouteの回線がプロビジョニング済みでないと選べません。
OCI側の作業
ExpressRouteのサービスキーが無いとFast connectの作成作業が進められません。
ExpressRouteの作成作業後から手順を進めてください。
動的ルーティングゲートウェイの作成
作成する動的ルーティングゲートウェイのAzureと接続するコンパートメントを選んで、管理しやすい適切な名前を付けます。
Fast connnect の作成
Fast connnect の接続タイプの選択
FastConnectパートナを選択し、パートナはMicrosoft Azure ExpressRouteを選択します。
Fast connnect の接続の作成
Azureと接続するコンパートメントを選び、先ほど作成した動的ルーティングゲートウェイを選択します。
パートナ・サービスキーは、ExpressRouteを作成したときに取得したサービスキーを指定します。
BGP IPアドレスに指定するIPアドレスは、接続するAzureとOCIで利用していないIPアドレスから選びます。
通常のネットワークならば、設定される可能性が無いLink Local Address(RFC3927: 169.254.0.0/16)を利用して設定することをお勧めします。
Azure側とOCI側のルーター2台だけのネットワークを2つ(プライマリとセカンダリ)作って冗長構成が組まれます。
プライマリとセカンダリが別のネットワークになるように顧客プライマリ(セカンダリ)BGP IPV4アドレスを設定します。
オプションとなっているOracleプライマリ(セカンダリ)BGP IPV4アドレスは、設定されていなければ顧客プライマリ(セカンダリ)BGP IPV4アドレスを元に自動設定されます。
自動設定されるIPアドレスは顧客プライマリ(セカンダリ)BGP IPV4アドレスより小さいIPアドレスが選ばれるので、有効なIPアドレスが設定できない場合はエラーになります。
ここまで出来たら、AzureのExpressRouteがプロビジョニング済みの状態になるので、Azure側の作業に戻って接続の設定を続きができます。
仮想クラウドネットワークアタッチメントの作成
作成した動的ルーティングゲートウェイを仮想ネットワークに接続します。
ルート表の編集
ルーティングテーブルに動的ルーティングゲートウェイを経由してAzure側のネットワークに向かうようにAzureのCIDRを設定します。
複数のルート表がある場合は、必要なルート表に動的ルーティングゲートウェイを追加します。
AzureとOCIの作業が終わった後にやること
AzureとOCIの設定が済むとネットワーク的にはつながった状態になりますが、AzureとOCIのネットワークACLを許可してやらないと目的の通信ができません。
必要とする通信を許可するためにネットワークセキュリティグループやセキュリティリストの更新をしてください。
まとめ
AzureとOCIをインターコネクトでつなぐには、基本的なネットワーク周りの知識に加えて各クラウド固有の知識が求められて大変です。
それでも一度つながってしまえばネットワーク的にはプライベートなネットワーク間の接続になるので、インターネット経由で求められるセキュリティ等の煩わしい問題から解放されます。
利用するにあたって金銭面やパフォーマンス面など様々な注意点はありますが、安全で安定したネットワークはサービスを支えるインフラとしては魅力的です。
読者の方々がサービスを設計&構築する際の一助になれば幸いです。
参考資料
Azure
- Azure と Oracle Cloud Infrastructure 間の直接相互接続をセットアップする
- Oracle Cloud Infrastructure への接続
- Azure ExpressRoute とは
