外部接続 詳細 - FastConnectの冗長性

Transcript

1. 外部接続 詳細 FastConnectの冗長性 Connectivity 200 - FastConnect Redundancy Oracle Cloud

   Infrastructure 技術資料 2025年10月

2. 外部接続資料一覧 本資料はこちらをメインに解説 Copyright © 2025, Oracle and/or its affiliates 2

3. • FastConnect とは - 復習 • OCIへの接続の冗長化にあたっての考慮点 • 冗長化構成時における経路制御 •

   冗長構成のテスト Agenda Copyright © 2025, Oracle and/or its affiliates 3

4. Copyright © 2025, Oracle and/or its affiliates 4 FastConnect とは

   - 復習

5. 1. インターネット • グローバルIP通信 • セキュリティはFWとSSL通信等で確保 • 通信速度・帯域はベストエフォート • 月10TBを超える外部へのデータ転送が課金対象

   2. VPN接続 (IPsec) • プライベートIP通信 • IPsecによりセキュリティを確保(認証,暗号化) • 通信速度・帯域はベストエフォート • VPNは無料、インターネット通信料金の対象 3. FastConnect • プライベートIP/グローバルIP通信 • プライベート回線による高いセキュリティ • 通信キャリアによる速度・帯域・品質の保証 • 固定額のポート料金のみ課金、データ転送に伴う従量課金な し、回線費用が別途必要 Oracle Cloud Infrastructure への接続方式 Copyright © 2025, Oracle and/or its affiliates 5 On-Premises 172.16.0.0/16 On-premise Data Center Oracle Cloud Infrastructure (Tokyo) VCN Dynamic Routing Gateway Internet Gateway CPE CPE CPE CPE Internet 1. インターネット VPN FastConnect 2. VPN接続 3. FastConnect 本資料では、 この接続方式における 冗長化について解説

6. FastConnect Location (東京 : Equinix TY4, NEC印西DC 大阪 : NTTデータ

   堂島4) 外部ネットワークとOCIとの間をプライベート回線で接続するサービス • 外部ネットワークとOCIの間を、インターネットを経由せず信頼性・安定性・セキュリティの高い専用線や閉域網で接続 • パブリック・ピアリングとプライベート・ピアリングの2つのピアリング・タイプ • プライベート・ピアリングを経由した場合、外部データ転送料金(Outbound Data Transfer)の対象外 FastConnect とは Copyright © 2025, Oracle and/or its affiliates 6 Oracle Cloud Infrastructure Region VCN Dynamic Routing Gateway On-Premises On-premise Data Center Customer/ Partner Edge Oracle Edge 通信キャリア回線 CPE オラクル提供範囲 Object Storage お客様・プロバイダ管理範囲 Public Peering Private Peering

7. プライベート・ピアリング 1. 「VCN内のリソース」 のみにプライベート回線で接続する場合 (例 : コンピュート・インスタンス等) 2. 「VCN内のリソース」 と「パブリックIPを持つOCIサービス*」

   の 両方にプライベート回線で接続する場合 • サービスゲートウェイを経由(トランジットルーティング)することで、パブリックIPをもつサービスとも接続可能 パブリック・ピアリング 1. 「パブリックIPを持つOCIのサービス*」 のみにプライベート回線で接続する場合 * パブリックIPを持つOCIサービスの例 : - SaaSサービス/ オブジェクト・ストレージ/ Analytics Cloud などの パブリックIPを持つPaaSサービス/ APIエンドポイント - 一覧 : https://www.oracle.com/jp/cloud/networking/fastconnect/services/ (注意) OCIのコンソール画面については、現時点では完全にFastConnectに閉じた通信での利用はできません(CDNを利用するため一 部インターネット接続が必要) プライベート・ピアリング/パブリック・ピアリング のユースケース Copyright © 2025, Oracle and/or its affiliates 7

8. FastConnect 3つの接続モデル Copyright © 2025, Oracle and/or its affiliates 8

   接続モデル 内容 課金単位 FastConnect パ ー ト ナ Oracleパートナー OCIリージョンまでの回線を持ち、接続サービスを提供している通信 事業者(Oracleパートナー)を利用して接続する方法 • リージョンごとのOracleパートナー一覧 https://www.oracle.com/jp/cloud/networking/fas tconnect/partners/#apac 仮想回線 (Virtual Circuit) 論理ポート : 1G 〜 100G プロバイダ帯域 : 10M〜 ※利用可能な帯域は通信事業 者によって異なります FastConnect ダ イ レ ク ト サードパーティ・ プロバイダ 「Oracleパートナー」 のリストにない通信事業者に回線を注文し、 FastConnectロケーションまで物理接続して使用する方法 クロスコネクト (Cross- Connect) 物理ポート : 1Gbps, 10Gbps, 100Gbps, 400Gbps コロケーション FastConnect ロケーションにお客様の通信機器を設置し、構内接 続で直接OCIへ接続する方法 • FastConnectロケーション : Equinix TY4(東京), NEC印西(東 京), NTTデータ 堂島4(大阪) クロスコネクト (Cross- Connect) 物理ポート : 1Gbps/10Gbps/100Gbps/40 0Gbps

9. FastConnect ルーティング要件 Copyright © 2025, Oracle and/or its affiliates 9

   https://docs.oracle.com/ja-jp/iaas/Content/Network/Concepts/fastconnectrequirements.htm#requirements 要件 サポートされるIPアドレス IPv4 および IPv6アドレス P2P IPアドレス ・ パブリック仮想回線の場合 : Oracle指定のIPアドレス ・ プライベート仮想回線の場合 : お客様指定のIPアドレス ※プライベート仮想回線ごとに、/30または/31 の1組のIPアドレス ※同じDRGに複数の仮想回線を送る場合、各仮想回線のエッジ・ルーターに異なるアドレスを使用する 最大IP MTU 9000 ルーティング・プロトコル BGPv4 BGP接頭辞の制限 ・ パブリック仮想回線の場合 : 200 ・ プライベート仮想回線の場合 : 2000 BGP ASN ・ パブリック仮想回線の場合 : 要パブリックASN ・ プライベート仮想回線の場合 : 2-byte または 4-byte の ASN をサポート ※特殊用途のASN [参考] および BGP ASN 65534 を除く ※プライベートASN : 64512〜65533が利用可(RFC-6996) ・ Oracle 側の BGP ASNは “31898” (Government Cloud等は各ドキュメントを参照) BGP MD5認証 最大128ビットのMD5認証をサポート BGPキープアライブ間隔 10秒 BGPホールドタイム間隔 30秒 高速なBGPコンバージェンスが必要な場合、CPE (顧客構内機器) にて、サポートされている範囲 (キープアライブ : 6 ～秒、ホールドタイム : 18～秒) の値を使用してください。BGP OPENメッセージの交換時にネゴシエーションされ、より 低い値で統一されます。

10. Copyright © 2025, Oracle and/or its affiliates 10 OCIへの接続の冗長化にあたっての考慮点

11. 障害・メンテナンス時の影響を最小限に抑えるために OCIへの接続の冗長化の必要性 Copyright © 2025, Oracle and/or its affiliates 11

    オンプレミス・ネットワーク と OCI上のネットワーク との接続は、物理的な拠点、物理的なポートを介して実現され、下記要 因などによって、中断が発生しうる • 機器障害 • 地域災害 • 計画メンテナンス 対象となるシステムの BCP (事業継続計画)/DR (災害復旧) 要件を順守するためには、 「機器」 や「拠点」を冗長化し、 上記のような要因の影響を最小限に抑えることが必要

12. 1. 接続回線の冗長化 • 接続回線の障害への対策 2. OCI側 FastConnect 物理デバイスの冗長 化 •

    OCIのルーターの障害やメンテナンスへの 対策 3. 通信キャリアの冗長化 • キャリア網、通信設備の大規模障害へ の対策 4. FastConnect ロケーションの冗長化 • OCIへの接続を行うデータセンターの障 害への対策 OCIへの接続の冗長化にあたっての考慮点 Copyright © 2025, Oracle and/or its affiliates 12 FastConnect Location TY4 OCI 東京リージョン VCN On-Premises Customer/ Partner Cage Oracle Cage Dynamic Routing Gateway FastConnect Location 堂島DC OCI 大阪リージョン VCN Customer/ Partner Cage Oracle Edge Dynamic Routing Gateway 1 4 2 Customer/ Partner Edge Customer/ Partner Edge CPE CPE CPE 3 1 2 3 4

13. FastConnect パートナー を利用して接続する場合 • 冗長化するには、基本的にはFastConnect 2つ(以 上)使用、ただし一部のFastConnectパートナーには、 内部的に冗長化が行われているためにFastConnect 1つでOKなものある •

    接続回線を提供するFastConnectパートナーやその サービスによって冗長化の方法が異なるため、利用す るパートナー様とご相談ください FastConnect ダイレクト(サードパーティ・プロバイダ or コロケーション) を利用して接続する場合 • 冗長化するには、必ず FastConnect を2つ(以上)使 用(2つ分課金される) • FastConnectダイレクトを「ルーターの近接性の指定」 で2つ作成することで、2つのクロスコネクト(グループ)と2 つの接続ポートが払い出されるため、それぞれに対して 回線を接続する 考慮点1. 接続回線の冗長化 Copyright © 2025, Oracle and/or its affiliates 13

14. Internet OCI Region A VCN FastConnectのバックアップとしてインターネットVPN接続を利用することもできる 費用の削減や、多重障害時のバックアップ を目的として、FastConnectの他にIPsec VPNを利用する構成も可能 •

    IPsec VPNはインターネット回線を利 用 • FastConnect と IPsec VPN は、とも にDRGに接続され、経路はDRGで制 御される • 通常は、FastConnectを優先経路、 IPsec VPNを代替経路となるように構 成する 考慮点1. 接続回線の冗長化 Copyright © 2025, Oracle and/or its affiliates 14 FastConnect Location A On-Premises FastConnect パートナ ネットワーク Oracle Edge Dynamic Routing Gateway VPN CPE CPE 1 2 3 4

15. FastConnectロケーション内の、複数の物理デバイス (=エッジルーター) に接続 • FastConnectを終端する物理デバイス (=エッジルーター) は複数あり、メンテナンスはローリングで実施される • 複数の物理デバイスを利用することで、機器の障害やメンテナンスによる接続断を回避/軽減することができる 考慮点2.

    FastConnect 物理デバイスの冗長化 Copyright © 2025, Oracle and/or its affiliates 15 FastConnect Location (東京 : Equinix TY4, NEC印西DC 大阪 : NTTデータ 堂島4) Oracle Cloud Infrastructure Region VCN On-Premises On-premise Data Center Customer/ Partner Edge Oracle Edge 通信キャリア回線 /顧客ネットワーク CPE Dynamic Routing Gateway FastConnect ロケーションで提供される物理 デバイスの2つ以上に接続 メンテナンスは2つの物理デバイスに対して同 時に行われず、ローリングで行われる ※単一障害点となり得るので、オンプレミス・ ネットワークの機器も冗長化を推奨 動的ルーティング・ゲートウェイ (DRG) 以 降の仮想ネットワークは、Oracle によって インフラの冗長化がされている 論理的なコンポーネント FastConnect 1 FastConnect 2 物理デバイス1 物理デバイス2 物理的なコンポーネント

16. FastConnect 物理デバイス冗長化の指定方法 ※ FastConnectダイレクトの場合のみ 考慮点2. FastConnect 物理デバイスの冗長化 Copyright © 2025,

    Oracle and/or its affiliates 16 • FastConnectダイレクトの場合は、2つ目以降のクロスコネクト作成時に 「ルーターの近接性の指定」を行うことで、既 存のクロスコネクトと別のルーター(物理デバイス)を指定して作成できる • 冗長化を行う場合、このオプションを必ず有効化し、別のルーターを指定する必要がある • 指定せずにクロスコネクトを作成すると、同じルーター上で2つのクロスコネクトが終端してしまう可能性がある

17. FastConnect 物理デバイス冗長化の指定をした後の流れ ※ FastConnectダイレクトの場合のみ 考慮点2. FastConnect 物理デバイスの冗長化 Copyright © 2025,

    Oracle and/or its affiliates 17 • FastConnectダイレクトを作成すると、LOA（ Letter of Authorization ）が払い出される • LOAには「接続するデータセンターの場所、ポートの位置」などが書かれている • このLOAに書かれたポートに対して、お客様/データセンター事業者が物理線の繋ぎこみ（クロスコネクト）を行う FastConnect Location CPE2 物理 デバイス1 Oracle Panel Oracle Panel FastConnect Edge Oracle Cage Meet Me Room Customer Edge Customer Cage クロスコネクト LOAに ポートの場所 が書いてある お客様/データセンター事業 者がクロスコネクトで接続 CPE1 パッチパネル パッチパネルの場所 ポートの場所 などが記載 「ルーターの近接性の 指定」で別のルータを 選択する 物理 デバイス2

18. FastConnect 物理デバイス名の確認 • 作成済のクロスコネクト によって使用されている FastConnect ロケーションの物理デバイス名は、FastConnect の詳 細画面から確認が可能 •

    この値が異なっていることで、クロスコネクトがそれぞれ別のルーターに接続されていることを確認できる • もし2つのクロスコネクトの物理デバイス名が同一の場合は、OCIの機器メンテナンスで両方の接続が同時にダウンする 設定になっている。修正するにはクロスコネクトの再作成が必要 考慮点2. FastConnect 物理デバイスの冗長化 Copyright © 2025, Oracle and/or its affiliates 18

19. パートナー接続の場合は、FastConnectパートナーに相談 • パートナー接続を利用する場合も、OCI物理デバイスの冗長化の必要性は同じ • ただし、異なる物理デバイスを利用する設定は、FastConnectダイレクトの時のように顧客(OCIコンソール)上ではなく、 FastConnectパートナー側で行う必要がある • このため、先述の「接続回線の冗長化」の考慮と併せて、FastConnectパートナーに相談 考慮点2. FastConnect

    物理デバイスの冗長化 Copyright © 2025, Oracle and/or its affiliates 19 FastConnect Location Oracle Cloud Infrastructure Region VCN On-Premises On-premise Data Center Customer/ Partner Edge Oracle Edge 通信キャリア回線 /顧客ネットワーク CPE Dynamic Routing Gateway FastConnect 1 FastConnect 2 物理デバイス1 物理デバイス2 FastConnectパートナー 仮想回線のOCIDを払い出してパートナ側に伝える 仮想回線をどちらの物理デバイスにBGPセッ ションを作成するかをパートナ側で指定する ※L3サービスと呼ばれるものは1つの仮想回 線で2つの物理デバイスに2つのBGPセッション が作成される場合がある

20. ルーターの計画メンテナンスの通知例 • OCIのFastConnectが終端する物理デバイス (エッジルーター) のメンテナンスが計画されると、お知らせ機能を用いて 通知が送られる • 物理デバイスが正しく冗長化されている場合は、時間がずれた2つ(以上)の計画メンテナンス通知が送付される • 冗長化が行われて、後述の経路制御が正しく設定されていれば、BGPによる経路の自動切り替えが行われ、短時

    間のダウンタイムで接続が回復する 考慮点2. FastConnect 物理デバイスの冗長化 Copyright © 2025, Oracle and/or its affiliates 20 (例) ルータの計画メンテナンスに関する通知

21. • OCIまでの接続回線を提供する通信キャリア(回線事業者)を2つ以上持つことで、キャリア網／キャリア設備の障害や 計画メンテナンスへの対策を行う • FastConnectパートナーを利用して接続を行う場合は、異なる通信キャリアを利用する2つ以上のパートナーを選ん でFastConnectを2つ作成することで、キャリアの冗長化が実現できる • 参照 : FastConnectパートナー一覧

    https://www.oracle.com/jp/cloud/networking/fastconnect-providers.html • 異なるFastConnectパートナーであっても、バックエンドで利用するキャリアが同じ場合もあります。詳細は各FastConnectパート ナーまでお問い合わせください 考慮点3. 通信キャリアの冗長化 Copyright © 2025, Oracle and/or its affiliates 21

22. 2つ以上のパートナー接続を利用してキャリア冗長を図る場合は、物理デバイスの配置に特に注意が必要 もし、2つ以上のFastConnectパートナーを利用してキャリア冗長を図る場合は、パートナー同士の情報連携は自動では されないため、 2つの接続が同じ物理デバイスにアサインされてしまわないように、顧客から物理デバイスの情報を FastConnectパートナーに伝えて開通時に考慮してもらう必要がある • 作業手順のイメージ 1. OCIコンソールから1つ目のFastConectパートナーを選んでFastConnect接続を構築 2.

    構築したFastConnectの物理デバイス名を確認 3. 2つ目のFastConnectパートナーに対して、あらかじめ1つ目のFastConnect接続の物理デバイス名を伝達しておく 4. OCIコンソールから2つ目のFastConnectパートナーを選んでFastConnect接続を構築 5. 2つ目のFastConnectパートナーが開通処理を行う際に、物理デバイスの冗長を考慮して作業 6. 2つ目のFastConectが開通したら、OCIコンソールから物理デバイスの冗長化が構成されていることを確認 考慮点3. キャリアの冗長化 Copyright © 2025, Oracle and/or its affiliates 22

23. リージョン内の複数ロケーションの利用 または 複数リージョンのロケーションを利用する 考慮点4. FastConnect ロケーションの冗長化 Copyright © 2025, Oracle

    and/or its affiliates 23 ロケーションの冗長化により、地域災害などへの対策が可能 １リージョン内に２つの FastConnect ロケーションがあるリージョンを活用 同じ国内の複数リージョンの FastConnect ロケーションを活用

24. 別リージョンを経由した代替経路の構成 別リージョンを経由したFastConnectの経路を持つことで、 FastConnectロケーションの冗長化を図ることができる 左図の構成例 • OCIは東京リージョンを利用 • 通常時は東京リージョンに直接FastConnectで接続 • 東京リージョンへの接続障害時は、大阪リージョン経由の代

    替経路で接続 • OCIの東京-大阪間はリモート・ピアリング接続によるOCIバッ クボーン回線を利用(アウトバウンド転送料金の対象、月 10TBまで無償) • 各リージョン間のレイテンシは OCIコンソールより確認できる 考慮点4. FastConnect ロケーションの冗長化 Copyright © 2025, Oracle and/or its affiliates 24 Oracle Cloud Infrastructure (Tokyo) Oracle Cloud Infrastructure (Osaka) VCN Remote Peering Connection Remote Peering Connection FastConnect On-premise Data Center Dynamic Routing Gateway Dynamic Routing Gateway FastConnect 優先経路 東京リージョンに直接接続 代替経路 大阪リージョン経由で接続 東京 (NRT) と 大阪 (KIX) 間の レイテンシが 8.76msec と分かる ※確認時点

25. • DRGはOCIのマネージドサービスで、内部的には複数のコンポーネントにまたがって冗長化されているため、DRG自体 を2つ以上作成して冗長化することは不要 • また、そもそもVCNに対しては1つのDRGしか紐づけることができないため、たとえDRGを2つ作ったとしても、同一VCNか ら外部ネットワークに到達するにあたり、2つのDRGを使うことができない 補足 : DRGの冗長化は不要 Copyright

    © 2025, Oracle and/or its affiliates 25 Oracle Cloud Infrastructure Region VCN FastConnect On-premise Data Center Dynamic Routing Gateway FastConnect Dynamic Routing Gateway Oracle Cloud Infrastructure Region VCN FastConnect On-premise Data Center Dynamic Routing Gateway FastConnect ×そもそも1つのVCNに2つの DRGはアタッチできない DRGは1つだが内部的に は冗長化されている

26. Copyright © 2025, Oracle and/or its affiliates 26 冗長化構成時における経路制御

27. https://oracle-japan.github.io/ocidocs/services/networking/dynamic-routing-gateway/ • FastConnect や IPsec VPN 接続が冗長化されて いる場合、DRGと対向ルーターの間に複数の経路が 存在することになる •

    その場合、DRGおよび対向ルーターのそれぞれで、自 身が参照するルート表のエントリーに従って経路が決 定され、パケットが転送される • 冗長化構成時の経路選択を知るにあたり、DRGその もののについて説明した資料も参考にしてください 参考 – 外部接続 詳細 動的ルーティング・ゲートウェイ Copyright © 2025, Oracle and/or its affiliates 27

28. BGP属性 「AS_PATH」 の利用 • OCI → オンプレミス・ネットワークへの経路制御は、BGP属性の一つである「AS_PATH」を用いる • 具体的には、オンプレミス・ネットワークのデバイスにて 「as

    path prepend」 を設定し、経路の優先度を制御する • これにより、OCIから オンプレミス・ネットワークへ トラフィックを発信する際、AS_PATH が最も短いルートが採用され、着 信する • MEDや、DRG側でのLOCAL_PREF設定による制御は不可 冗長化された経路の制御 : OCI → オンプレミス・ネットワーク Copyright © 2025, Oracle and/or its affiliates 28 Oracle Cloud Infrastructure On-Premises 172.16.0.0/16 On-premise Data Center VCN 10.0.0.0/16 Dynamic Routing Gateway FastConnect仮想回線１ FastConnect仮想回線２ CPE CPE 優先度を下げたい経路に as path prepend を セットし、OCIへルートをアドバタイズ AS_PATHが最も短いルートが優先されるため、 FastConnect仮想回線1 のルートが採用される ASN 65000 ASN 31898 AS_PATH [65000] AS_PATH [65000 65000]

29. (参考) DRGによる競合ルートの解決 DRGルート表で同じCIDRを宛先とするルートが複数検出された場合、DRGは次の基準で競合を解決する 1. 静的ルートは、常に動的ルートよりも優先される • 静的ルート同士で競合することはない (静的ルート・ルール内で競合するルート・ルールは定義不可) 2. 動的ルート間ではASパス長が最も短いルートが優先される

    • VCNに対しては、ASパスは常に空となる (AS_PATH=0) • 仮想回線に対しては、BGPピアから広報を受けたASパスが設定される (AS_PATH=1以上) • BGPルーティングが設定されたIPsec接続に対しては、BGPピアから広報を受けたASパスにDRGが+1して設定する (AS_PATH=2以上) • 静的ルーティングが設定されたIPsec接続に対しては、常に3が設定される (AS_PATH=3) • リモートピアリング接続(RPC)は、ピア先のDRGが持つASパスと同じ値が設定される (宛先がVCNの場合はAS_PATH=0、宛先が外部の場合はAS_PATH=1以上) 3. ASパス長が最短の経路が複数ある場合、アタッチメントの種類の優先度に従う • VCN > 仮想回線(VC) > IPsec VPN > リモートピアリング接続(RPC) 4. ASパス長が最短で同じ、かつアタッチメントの種類が同じ場合、ECMPが有効であれば全てのルートが有効になる • 仮想回線/IPsec接続でルート表のECMPが有効の場合・・・全てのルート(最大8)が有効となる 5. いずれにも当てはまらない場合は、いずれか1つのルートがランダムかつ決定論的に選択される Copyright © 2025, Oracle and/or its affiliates 29 仮想回線のBGPピアからASパス長が4以 上を持つルートが広報された場合、静的 ルーティングが設定されたIPsec接続よりも 優先度が下がるため要注意 (特にL3で FastConnect接続する場合) https://docs.oracle.com/ja-jp/iaas/Content/Network/Concepts/routingonprem2.htm#oracle-to-on-prem

30. BGP属性 「LOCAL_PREF」 の利用 • オンプレミス・ネットワーク → OCI への経路制御は、BGP属性の一つである「LOCAL_PREF」を用いる • 具体的には、オンプレミス・ネットワークの各デバイスにて

    優先したい経路の「local-preference」 の値を高く設定し、 優先度を制御する • これにより、オンプレミス・ネットワークから OCI へトラフィックを発信する際、Local Preference の値が最も高いルートが 採用される • DRGからCPEに広報するAS_PATHやMEDの値の変更は不可 冗長化された経路の制御 : オンプレミス・ネットワーク → OCI Copyright © 2025, Oracle and/or its affiliates 30 Oracle Cloud Infrastructure On-Premises 172.16.0.0/16 On-premise Data Center VCN 10.0.0.0/16 Dynamic Routing Gateway FastConnect仮想回線１ FastConnect仮想回線２ CPE CPE 優先度したい経路の local-preference を、 他の経路よりも高い値で設定 Local-preference が高い (200に設定されている) FastConnect仮想回線1 のルートが採用される ASN 65000 ASN 31898 LP [200] LP [100]

31. • 複数の経路がある場合、それぞれのルーターの経路選択の方法によって、往き(青)と復り(緑)のパケットが異なる経路 を通る非対称ルーティングが発生する場合がある • 非対称ルーティングは通常問題ないが、オンプレミス・ネットワーク側のファイアウォールなどで非対称ルーティングを許可 しない設定にしている場合にはパケットがドロップされるので注意が必要 (例えば ファイアウォール側で許可するなどの対応を検討する) 非対称ルーティングの考慮 Copyright

    © 2025, Oracle and/or its affiliates 31 Oracle Cloud Infrastructure On-Premises 172.16.0.0/16 On-premise Data Center VCN 10.0.0.0/16 Dynamic Routing Gateway FastConnect仮想回線１ FastConnect仮想回線２ CPE CPE

32. ECMPの有効化 • ECMP (Equal Cost Multi Path/等コストマルチパス) ルーティング とは、BGPを使用して、複数の FastConnect

    仮想回線、または、複数のIPSecトンネル (ただし、回線タイプの混在ではない) を介した、ネットワーク・トラフィックのフ ローベースのロード・バランシングを可能にする機能 • ECMPを使用すると、最大8つの回線間のネットワーク・トラフィックの Active – Active ロード・バランシングと、フェイル オーバーが可能になる • ECMPは デフォルトでは無効化されており、動的ルーティング・ゲートウェイ(DRG) のDRGルート表ごとに有効化すること が可能 • ECMP転送の対象とみなされるのは、同じCIDR宛のルート設定を持つ経路のみ 複数仮想回線のロードバランシング Copyright © 2025, Oracle and/or its affiliates 32 Oracle Cloud Infrastructure On-Premises 172.16.0.0/16 On-premise Data Center CPE VCN 10.0.0.0/16 Dynamic Routing Gateway 仮想回線またはIPSecトンネル (x up to 8) ECMPの有効化 ECMPの有効化

33. ECMPの注意点 • ECMPが有効化された構成において、トラフィックは必ずしも 均等に負荷分散される訳ではない OCI は 以下５つの要素を基に、一貫性のある (=ランダム性のない) 決定論的アルゴリズムに従って、トラフィックを 負荷分散させる

    • プロトコル • 宛先IP • 宛先ポート • 送信元IP • 送信元ポート • 従って、全ての 仮想回線 または IPSecトンネル を活用するには、複数の異なる要素(*)を持つトラフィックが必要となる • (*) プロトコル、異なる宛先IP／ポート、異なる送信元IP／ポートの 異なるトラフィック 複数仮想回線のロードバランシング (つづき) Copyright © 2025, Oracle and/or its affiliates 33

34. • BFD (Bidirectional Forwarding Detection／双方向フォワーディング検出) とは、2つの隣接するデバイス間のリン クの障害および停止の検出を可能にする機能 (RFC 5880) •

    BFDは、BGP Keepalive/Hold time の調整による切替よりも 高速なフェイルオーバーの実現に役立つ • このオプションを有効化すると、OCIデバイスは 300ミリ秒 ごとにメッセージを送信し、乗数は 3 を使用 • CPE (顧客構内機器) でも BFDが有効化されている必要があり、interval 等はネゴシエーション時により大きな値で 統一される 障害時の経路切替 : BFDを利用した高速な障害検知 Copyright © 2025, Oracle and/or its affiliates 34 https://blogs.oracle.com/oracle4engineer/post/announcing-bidirectional-forwarding-detection-and- enhancements-for-oci-fastconnect-ja お客様機器(CPE) FastConnect BFD有効 BFD有効 CPEの設定に従って、 経路を切替え 障害を検知

35. • CPE (顧客構内機器)においてBGPタイマーを調整することで、障害時の経路切替時間を短縮することが可能 • CPEがBFDに対応していない場合などは、こちらの方法で経路切替時間を調整 • DRG側は、 キープアライブ間隔 : 10秒、ホールドタイム間隔

    : 30秒で固定(変更不可) • CPE側で、サポートされている範囲 (キープアライブ : 6〜60秒、ホールドタイム : 18〜180秒) の値が指定可能 • BGP OPENメッセージの交換時にネゴシエーションされ、より低い値で統一される • 極端に短いBGPタイマーは、誤検出につながる可能性があるため、検証のうえ設定することを推奨 障害時の経路切替 : BGPタイマーによる切替時間の調整 Copyright © 2025, Oracle and/or its affiliates 35 お客様機器(CPE) FastConnect 障害の発生 BGPタイマーを短く設定 Keepalive : 6 Hold Time : 18 OCI側の設定値 Keepalive : 10 Hold Time : 30 最後のKeepaliveから、Hold Time で設定された 秒数(18秒) 経過した場合、その経路を破棄 ← Keepalive →

36. CPEでBGP Graceful Restart* を有効化していると、冗長化された機器の障害時にDRGはRestart Timerに設定され た間ルーターの再起動を待つため、冗長化されたCPEの片系障害時に、意図した時間(BGP Hold Timer, BFDで設定 した値)では経路が無効化されず、切り替えに予期せぬ時間**

    がかかってしまう → CPEでのGraceful Restart機能の無効化を推奨 * Graceful Restart - RFC4724 • ルーターが再起動しBGPセッションが切断された際、再起動が完了しBGPセッションが再確立するまで(最大値はRestart Timer 値まで)、ピア双方でRIB/FIBの内容を保持する機能 • BGPセッションを保持するため、単一ルーターの再起動に際しては短時間でセッションが回復し、通信障害からの回復が早くなる • 一部のルーター機器ではこの機能がデフォルトで有効化されている ** 例 • 例えばCisco Nexus 7000シリーズではRestart Time = 120秒が初期設定されているため、無効化しなかった場合は機器障害 時にHold Time + 120秒切り替えに時間がかかる (注意) CPEを冗長化している場合はGraceful Restart機能の無効化を推奨 Copyright © 2025, Oracle and/or its affiliates 36

37. リンクアグリゲーション (LAG/Link Aggregation) とは、複数の物理リンクを１つの論理リンクとして扱う技術 １つの物理リンクに障害が発生しても、残りの帯域で通信可能なため、帯域拡張だけでなく、耐障害性も高まる ※ただし、マルチシャーシLAG (MLAG) はサポートされないため、対象となるのは同一ルーター上のポートのみ FastConnect では

    LACP (Link Aggregation Control Protocol) を使用して実現可能 リンクアグリゲーションを利用する場合は、クロスコネクト・グループを作成する (１つのクロスコネクト・グループで最大８つま でのクロスコネクト(物理リンク)が追加可能) 参考 LAGを利用した帯域拡張 Copyright © 2025, Oracle and/or its affiliates 37 FastConnect Location A OCI Region A VCN On-Premises Customer/ Partner Cage Oracle Cage Dynamic Routing Gateway Customer/ Partner Edge CPE CPE LAG 利用時のオンプレミス・デバイス構成時の留意点 • LACPは、Oracleの物理デバイス (ルーター) に直接接続された ネットワーク・インタフェースで必要です。 • クロスコネクト・グループ内に単一のクロスコネクトのみが存在する 場合でも、LACPが必要です。 • サードパーティ・プロバイダがメディア変換を実行している場合は、 ユーザーのデバイスではなくプロバイダのデバイスでLACPを構成す る必要があります。 LAG ※ 異なる物理デバイス(ルーター) のポートは、対象に含められない (MLAGは未サポート) 予算上2つのクロスコネクトのみ利用可能な場合は、LAGよりもデバイスの冗長性を優先することを推奨

38. Copyright © 2025, Oracle and/or its affiliates 38 冗長構成の確認・テスト

39. DRGの詳細画面から確認 冗長構成の確認 Copyright © 2025, Oracle and/or its affiliates 39

    DRGが単一の物理的なOracleルーターでオンプレミスへの接続を終端している場合、DRGは警告を表示します 例えば、2本のFastConnect が1つのDRGと接続されている状態で、 2本のFastConnectが単一の物理的なOracle ルータで終端されていれば以下の画像のような警告が表示される 単一のDRGに「FastConnectまたはサイト間VPN」による複数のOracleルータで終端した接続がある場合、DRGは冗長 性がある構成になっていると判断する

40. 冗長構成の確認 FastConnectダイレクトでは物理デバイス、FastConnectパートナーではBGP情報の論理デバイスで確認 FastConnectダイレクトでは物理デバイスが異なっている ことを確認する Copyright © 2025, Oracle and/or its

    affiliates 40 FastConnectパートナーでは論理デバイスが異なることを確認する layer3接続では1つの仮想回線で2つの論理デバイス にそれぞれBGPセッションが存在する場合がある layer2接続では1つの仮想回線で1つの論理デバイス にBGPセッションが存在する。2つ目の仮想回線の論 理デバイスが異なることを確認する

41. DRGルート表でルーティングとして2つの経路があることを確認する（layer2接続の場合） 冗長構成の確認 Copyright © 2025, Oracle and/or its affiliates 41

    OCI リージョン DRG FastConnect VCN1 VCN1アタッチメントのルート表 VCN1 アタッチメント 10.1.0.0/16 宛先 Next Hop 172.16.0.0/16 仮想回線アタッチメント1 172.16.0.0/16 仮想回線アタッチメント2 ルートディストリビューションインポート文 Match ALL attachments 仮想回線アタッチメント VCNアタッチメント DRGルート表 On-Premises 172.16.0.0/16 On-premise Data Center FastConnect 仮想回線 アタッチメント1 仮想回線 アタッチメント2 VCNアタッチメントのルート表の全てのルートルールを見て、オンプレミス 宛ての通信が2つの仮想回線を使っていることを確認する（layer2接 続の場合）

42. FastConnect 構成タスクにおいては、接続 および 障害時の動作確認 を十分に行うことが重要 特定のFastConnect回線の障害を再現し、フェイルオーバー・テストを行う場合、OCI コンソール上から既存のBGPセッ ションの無効化/有効化（非Active化/Active化）が可能 これにより、仮想回線の削除・再作成することなく、フェイルオーバー試験が可能 冗長構成のテスト

    Copyright © 2025, Oracle and/or its affiliates 42

43. このレッスンでは、次のことを学習しました • FastConnect とは - 復習 • 可用性を高める冗長構成 ベスト・プラクティス •

    冗長化の必要性と実装に役立つ３つのコンポーネント • 構成例と経路制御 • 冗長構成のテスト まとめ Copyright © 2025, Oracle and/or its affiliates 43

44. 日本語マニュアル – FastConnect • https://docs.oracle.com/ja-jp/iaas/Content/Network/Concepts/fastconnect.htm 日本語マニュアル – FastConnectのトラブルシューティング • https://docs.oracle.com/ja-

    jp/iaas/Content/Network/Troubleshoot/fastconnecttroubleshoot2.htm#FastConnect_Troubleshoo ting リージョンごとのプロバイダ • https://www.oracle.com/jp/cloud/networking/fastconnect/providers/ FastConnectに関するよくある質問 (FAQ) • https://www.oracle.com/jp/cloud/networking/fastconnect/faq/ Fastconnect 関連の技術情報 Copyright © 2025, Oracle and/or its affiliates 44

45. Oracle Cloud Infrastructure マニュアル (日本語/ 英語) • https://docs.cloud.oracle.com/iaas/api/ - APIリファレンス

    • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/aqswhitepapers.htm - テクニカ ル・ホワイト・ペーパー • https://docs.cloud.oracle.com/iaas/releasenotes/ - リリースノート • https://docs.cloud.oracle.com/ja-jp/iaas/Content/knownissues.htm - 既知の問題(Known Issues) • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/graphicsfordiagrams.htm - OCIアイコン・ダイアグラム集(PPT、SVG、Visio用) ※ 日本語版は翻訳のタイムラグのため情報が古い場合があります。最新情報は英語版をご確認ください Oracle Cloud Infrastructure マニュアル・ドキュメント Copyright © 2025, Oracle and/or its affiliates 45

46. Oracle Cloud Infrastructure 活用資料集 • https://oracle-japan.github.io/ocidocs/ チュートリアル - Oracle Cloud

    Infrastructureを使ってみよう • https://oracle-japan.github.io/ocitutorials/ Oracle Cloud ウェビナーシリーズ • https://www.oracle.com/goto/ocws-jp Oracle 主催 セミナー、ハンズオン・ワークショップ • https://www.oracle.com/search/events/_/N-2bu/ Oracle Cloud Infrastructure – General Forum (英語) • https://cloudcustomerconnect.oracle.com/resources/9c8fa8f96f/summary Oracle Cloud Infrastructure トレーニング・技術フォーラム Copyright © 2025, Oracle and/or its affiliates 46

47. Thank you 47 Copyright © 2025, Oracle and/or its affiliates

48. None