Cloud Service
OCI Dynamic Routing Gateway (DRG)
複数の VCN とオンプレミス拠点を1つのハブに集約して相互接続する仮想ルータ。AWS の Transit Gateway に相当。
- 1.VCN・VPN・FastConnect を集約接続するハブ型の仮想ルータ。
- 2.アタッチメントとルートテーブルで経路と到達範囲を制御する。
- 3.リージョン跨ぎの VCN や拠点接続をハブ&スポークで集約できる。
解決する課題
VCN が増え、オンプレミス拠点や別リージョンとの接続が必要になると、個別にピアリングや VPN を張る構成は急速に複雑化します。接続数は VCN の数に対して組み合わせ的に増え、ルーティングの見通しが悪くなります。DRG は、こうした接続を1つのハブに集約して見通しよく相互接続するための仮想ルータです。
- 複数の VCN をハブ&スポークでまとめて相互接続したい
- オンプレミス拠点(VPN / FastConnect)と複数の VCN を1か所で集約して接続したい
- リージョンをまたいで VCN 同士を動的にルーティングしたい
- 接続ごとに到達範囲を分け、セグメント間の通信を制御したい
主要概念と用語
DRG は単独の箱ではなく、アタッチメントとルートテーブルの組み合わせで動作します。主要な構成要素を押さえると設計の見通しが良くなります。
- DRG(Dynamic Routing Gateway / 動的ルーティングゲートウェイ): VCN・VPN・FastConnect・リモート VCN などを集約接続する仮想ルータ。ハイブリッド接続とマルチ VCN 接続のハブになる(AWS の Transit Gateway 兼 仮想プライベートゲートウェイに相当)
- DRG アタッチメント: DRG に何かを接続する単位。VCN アタッチメント、IPSec トンネルアタッチメント、仮想回線(FastConnect)アタッチメント、リモートピアリング接続(RPC)アタッチメントなどがある
- DRG ルートテーブル: アタッチメントから入ってきたトラフィックをどのアタッチメントへ転送するかを定義する DRG 内部のルートテーブル。アタッチメントごとに割り当てられる
- ルート配布(インポート/エクスポート分配): 各アタッチメントが学習した経路を、ルートテーブルへ自動で取り込む仕組み。手動の静的ルートと併用できる
- リモートピアリング接続(RPC): 異なるリージョンの DRG 同士を接続し、VCN 間をリージョン跨ぎで相互接続するアタッチメント
- ローカル VCN ピアリング(LPG との違い): 同一リージョン内の単純な2 VCN 接続はローカルピアリングゲートウェイ(LPG)でも可能だが、多数の VCN や拠点を束ねるなら DRG が向く
- BGP / 静的ルーティング: VPN や FastConnect 経由の拠点とは BGP で動的に、または静的ルートで経路を交換する
仕様・制限・クォータ
- DRG はリージョン内のリソースで、1つの DRG に複数の VCN・複数の拠点接続をアタッチして集約できる
- VCN が DRG 経由で外部(拠点や他 VCN)と通信するには、DRG アタッチメントに加え、VCN 側ルートテーブルとセキュリティの設定が必要
- リージョンをまたぐ VCN 接続は**リモートピアリング接続(RPC)**を使い、各リージョンの DRG を結ぶ
- アタッチメント数・DRG 数・RPC 数などには**サービス制限(リミット)**があり、必要に応じて引き上げ申請が可能
- 接続できる相手(VCN・VPN・FastConnect・RPC)の組み合わせや、ルートテーブルの扱いは**新世代の DRG(アップグレード版)**で大きく拡張されており、利用可能な機能はドキュメントのバージョンに依存する
- 接続する VCN やオンプレミスの CIDR が重複していると正しくルーティングできないため、アドレス設計が前提条件になる
同一リージョン内で VCN を2つだけ単純につなぐならローカルピアリングゲートウェイ(LPG)でも足ります。多数の VCN や拠点接続を1か所に集約し、ルートテーブルでセグメントを制御したいなら DRG が適しています。
内部の仕組み
DRG は、アタッチメントから入ってきたトラフィックを、そのアタッチメントに割り当てられた DRG ルートテーブルに従って別のアタッチメントへ転送します。各アタッチメントは経路を学習し、ルート配布の設定に従ってルートテーブルへ取り込まれます。これにより、VCN・拠点・他リージョンの間の到達性を DRG が一元的に裁きます。
- VCN アタッチメント: VCN を DRG に接続。VCN 側のルートテーブルで宛先を DRG に向けると、DRG が他のアタッチメント側へ転送する
- 拠点アタッチメント: VPN の IPSec トンネルや FastConnect の仮想回線を DRG にアタッチし、BGP または静的ルートでオンプレミスの経路を学習する
- リモートピアリング(RPC): 別リージョンの DRG とアタッチメント同士を結び、リージョン跨ぎの VCN 間通信を実現する
- ルートテーブルによる分離: アタッチメントごとに異なる DRG ルートテーブルを割り当てれば、ある VCN からは拠点だけ見える、別 VCN からは特定 VCN だけ見える、といったセグメント分離ができる
VPN・FastConnect が VCN に到達する際の終端も DRGです。つまり DRG は、ハイブリッド接続(拠点接続)とマルチ VCN 接続の共通の入口として機能します。
DRG に VCN をアタッチしただけでは通信は流れません。VCN 側ルートテーブルで宛先を DRG に向け、セキュリティリスト / NSG で許可を入れ、さらに DRG ルートテーブルで転送先アタッチメントを指定して、初めて到達します。3つのルーティング階層をそろえる必要があります。
設計パターン / ベストプラクティス
- ハブ&スポーク: DRG をハブに複数 VCN をスポークとして集約。共有サービス VCN(監視・認証・出口など)を中心に各業務 VCN を接続する構成が定番
- セグメント分離: アタッチメントごとに DRG ルートテーブルを分け、業務間や環境間(本番・検証)の不要な相互到達を遮断する
- 拠点接続の集約: VPN と FastConnect を同じ DRG に集約し、FastConnect を主・VPN をバックアップにして BGP でフェイルオーバーさせる
- リージョン跨ぎは RPC: DR サイトや別リージョンの VCN とは RPC で接続し、リージョン障害に備える
- CIDR 設計を最優先: 接続するすべての VCN・拠点で CIDR が重複しないよう、アドレス計画を最初に固める
- 経路広報の最小化: 各アタッチメントが取り込む経路と広報する範囲を絞り、必要最小限の到達性に保つ
運用・監視
- OCI Monitoring で DRG 経由のトラフィック量や、VPN トンネル・FastConnect 仮想回線の稼働状態を監視し、アラームで異常を通知する
- 拠点接続では BGP セッションの up/down と広報・受信プレフィックス数を定点観測し、経路の消失や意図しない広報を早期に検知する
- 障害切り分けは VCN ルート → DRG ルートテーブル → アタッチメント → 拠点側(BGP/トンネル) の順に上から確認する
- Network Path Analyzer で、送信元から宛先までの経路と遮断ポイントを静的に解析できる
- ルートテーブルやアタッチメントの変更は到達性に直結するため、変更前後で到達範囲を確認し、意図しないセグメント間通信が開かないかを点検する
コスト
DRG 自体の課金体系はシンプルで、リソースとして保持するアタッチメントや、DRG を経由するデータ転送の扱いが中心です。OCI は egress(外向きデータ転送)の無料枠が比較的大きく、同一リージョン内の VCN 間通信は有利に扱われる傾向があります。一方、リージョン跨ぎ(RPC 経由)のデータ転送や、拠点向けの転送は別の課金区分になり得ます。具体的な単価・無料枠はリージョンや構成で変動するため、最新の公式料金ページで確認してください。
| コスト要素 | 課金の考え方 | ポイント |
|---|---|---|
| DRG / アタッチメント | ハブとアタッチメントの保持 | 集約により個別接続より管理がシンプル |
| 同一リージョン内通信 | VCN 間転送は有利に扱われやすい | ハブ&スポークの内部通信に向く |
| リージョン跨ぎ(RPC) | リージョン間データ転送として課金され得る | DR や分散構成では転送量を見積もる |
| 拠点接続の転送 | VPN/FastConnect 側の課金区分に従う | ハイブリッド接続の料金とあわせて把握する |
セキュリティ
- 到達範囲の制御: DRG ルートテーブルをアタッチメントごとに分け、VCN・拠点・他リージョン間で到達できる範囲を必要最小限に絞る
- VCN 側の多層防御: DRG 経由で入る通信も NSG / セキュリティリストで許可ポートを最小化し、ルートを置くサブネットを限定する
- 経路広報の最小化: BGP で広報・受信するプレフィックスを絞り、相手に見せる範囲を限定する
- 拠点接続の暗号化: VPN は IPsec で暗号化される。FastConnect は閉域だが回線レベルは平文のため、機密性要件が高ければ上位レイヤで暗号化を併用する
- 権限分離: DRG・アタッチメント・ルートテーブルの作成や変更は IAM ポリシーとコンパートメントで操作権限を分離する
すべてのアタッチメントに同一の DRG ルートテーブルを割り当て、全 VCN・全拠点が相互に到達できる「フラットなハブ」を本番で運用するのは危険です。1つの VCN が侵害されると横移動が容易になります。最初からセグメント単位でルートテーブルを分離し、必要な経路だけを開く設計にしてください。
Well-Architected の観点
- 信頼性(Reliability): 拠点接続の冗長化(FastConnect 主 + VPN バックアップ)や RPC によるリージョン跨ぎ接続を DRG に集約し、単一障害点を排除する
- 運用上の優秀性(Operational Excellence): 接続をハブに集約することで、ルーティングの見通しと変更管理が容易になり、Network Path Analyzer や Monitoring で到達性を継続的に検証できる
試験で問われるポイント
- DRG は VCN・VPN・FastConnect・リモート VCN を集約接続するハブ型の仮想ルータで、AWS の Transit Gateway に相当する
- VPN・FastConnect が VCN に到達する際の終端は必ず DRG である
- リージョンをまたぐ VCN 接続は**リモートピアリング接続(RPC)**を使う
- 同一リージョン内の単純な2 VCN 接続は **LPG(ローカルピアリングゲートウェイ)**でも可能だが、多数の集約や経路制御は DRG が向く
- 疎通には **VCN ルートテーブル・DRG ルートテーブル・セキュリティ(NSG / セキュリティリスト)**の3階層をそろえる必要がある
- アタッチメントごとに DRG ルートテーブルを分けてセグメント間の到達性を制御できる
関連サービス・比較
DRG はハイブリッド接続とマルチ VCN 接続の共通ハブです。AWS の集約ルータ(Transit Gateway)および周辺コンポーネントとの対応関係を示します。
| 観点 | OCI | AWS |
|---|---|---|
| 集約ルータ(ハブ) | DRG(動的ルーティングゲートウェイ) | Transit Gateway / 仮想プライベートゲートウェイ |
| 仮想ネットワーク | VCN | VPC |
| 拠点 IPsec VPN | Site-to-Site VPN | Site-to-Site VPN |
| 専用線 | FastConnect | Direct Connect |
| リージョン跨ぎ VCN 接続 | リモートピアリング接続(RPC) | Transit Gateway ピアリング |
| 同一リージョン VCN 接続 | LPG または DRG | VPC ピアリング または Transit Gateway |
| 動的ルーティング | BGP 対応 | BGP 対応 |
ハンズオン / CLI例
# 1) DRG(集約ハブとなる仮想ルータ)を作成
oci network drg create \
--compartment-id ocid1.compartment.oc1..xxxx \
--display-name hub-drg
# 2) VCN を DRG にアタッチ(スポークとして接続)
oci network drg-attachment create \
--drg-id ocid1.drg.oc1..xxxx \
--vcn-id ocid1.vcn.oc1..xxxx \
--display-name attach-vcn-a
# 3) もう1つの VCN もアタッチして集約
oci network drg-attachment create \
--drg-id ocid1.drg.oc1..xxxx \
--vcn-id ocid1.vcn.oc1..yyyy \
--display-name attach-vcn-b
# 4) DRG ルートテーブルを作成(セグメント分離用)
oci network drg-route-table create \
--drg-id ocid1.drg.oc1..xxxx \
--display-name segment-prod-rt
# 5) DRG に紐づくアタッチメント一覧を確認
oci network drg-attachment list \
--compartment-id ocid1.compartment.oc1..xxxx \
--drg-id ocid1.drg.oc1..xxxx
# 6) リージョン跨ぎ接続用のリモートピアリング接続(RPC)を作成
oci network remote-peering-connection create \
--compartment-id ocid1.compartment.oc1..xxxx \
--drg-id ocid1.drg.oc1..xxxx \
--display-name rpc-to-region-b
OCI Service
OCI Dynamic Routing Gateway (DRG)を実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
ネットワーキング
比較で見る軸
クラウド: OCI / カテゴリ: ネットワーキング / 難易度: intermediate
導入後に効く点
アタッチメントとルートテーブルで経路と到達範囲を制御する。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
- クラウド
- OCI
- カテゴリ
- ネットワーキング
- 難易度
- intermediate
- 関連資格
- —
- 設計柱
- reliability / operational
判断チェックリスト
- 自社の用途が「ネットワーキング / reliability」に近いか確認する。
- 強みである「VCN・VPN・FastConnect を集約接続するハブ型の仮想ルータ。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。