OCI FastConnect

解決する課題

インターネット VPN は手軽ですが、経路がベストエフォートで遅延やスループットが安定しません。FastConnect はオンプレミスと OCI を**専用線（閉域）**で結び、可用性・帯域・遅延を予測可能にします。

大容量データ転送やミッションクリティカル通信で安定した広帯域・低遅延が欲しい
インターネットを経由せず閉域でセキュアにオンプレと接続したい
インターネット VPN の遅延・ジッタのばらつきを避けたい
リージョン跨ぎやハイブリッド構成で一貫した接続品質を確保したい

主要概念と用語

FastConnect: オンプレミスと OCI を専用線で接続する閉域接続サービス（AWS の Direct Connect 相当）
動的ルーティングゲートウェイ（DRG）: VCN とオンプレを橋渡しするルーティングハブ。FastConnect も VPN も DRG にアタッチして VCN へ到達する（AWS の Virtual Private Gateway 兼 Transit Gateway 相当）
仮想回線（Virtual Circuit）: FastConnect 接続の論理単位。1本の物理接続上に複数の仮想回線を作れる
プライベートピアリング: VCN 内のプライベート IP へ到達する仮想回線。オンプレからプライベート空間へ直接通信する用途
パブリックピアリング: Object Storage など OCI のパブリックサービスのエンドポイントへ、インターネットを経由せず到達する仮想回線
接続モデル: 通信事業者経由のFastConnect パートナー、自前ルータを直結するコロケーション（直接接続）、サードパーティ網を介すサードパーティプロバイダの3形態
BGP: オンプレと OCI の間で経路情報を動的に交換するルーティングプロトコル。各仮想回線で BGP セッションを確立する
ASN: BGP で使う自律システム番号。オンプレ側 ASN と Oracle 側 ASN を指定する

仕様・制限・クォータ

物理ポートは一般に 1 Gbps / 10 Gbps / 100 Gbps などのポート速度から選択し、その上に複数の仮想回線を載せられる
ルーティングは BGP が前提で、プライベート/パブリックそれぞれのピアリングを仮想回線として定義する
VCN への到達は必ず DRG 経由。FastConnect 単体では VCN に直接つながらず、DRG アタッチメントが必要
単一の物理接続・単一ロケーションは単一障害点になり得るため、可用性が必要なら冗長構成を前提に設計する
利用可能なロケーション、対応プロバイダ、ポート速度の選択肢はリージョン・データセンターによって異なる

VPN との使い分け

小規模・短期・コスト優先なら Site-to-Site VPN（インターネット経由）、安定帯域・低遅延・大容量が要るなら FastConnect（専用線）。両者を併用し、FastConnect を主、VPN をバックアップにする設計も一般的です。

内部の仕組み

オンプレミスのルータと OCI のエッジ（FastConnect ロケーション）の間に物理的な接続を確立し、その上に仮想回線を作成します。仮想回線ごとに BGP セッションを張り、オンプレ側のプレフィックスと OCI 側のプレフィックスを動的に交換します。

プライベートピアリング: オンプレ ⇄ DRG ⇄ VCN のプライベート IP 空間へ到達。DRG のルートテーブルで宛先 VCN を制御する
パブリックピアリング: Object Storage や OCI 管理エンドポイントなどのパブリックサービスへ、インターネットを経由せず閉域で到達。こちらは DRG ではなく Oracle 側のパブリックレンジへ広報される
トラフィックの分離: 1本の物理接続上で、用途の異なる複数の仮想回線（VLAN）を論理的に分離できる

DRG はリージョン内の複数 VCN や、リモート VCN ピアリング、VPN とも接続できるため、FastConnect は DRG をハブとしたハイブリッド／マルチ VCN 構成の入口として機能します。

DRG への到達経路を忘れない

FastConnect を作っても、VCN 側のルートテーブルとセキュリティ（NSG / セキュリティリスト）でオンプレ向けの経路と許可を入れないと疎通しません。仮想回線・DRG アタッチメント・VCN ルート・セキュリティの4点をそろえて初めて通信できます。

設計パターン / ベストプラクティス

冗長化が最重要: 単一回線・単一ロケーションは単一障害点。別々の FastConnect ロケーションや別経路で2本以上の接続を張り、BGP で自動フェイルオーバーさせる
VPN バックアップ: FastConnect を主回線、Site-to-Site VPN を予備にし、FastConnect 障害時に VPN へ切り替わるよう BGP の経路優先度を設計
DRG をハブに集約: 複数 VCN・複数リージョンの接続を DRG に集約し、ルートテーブルでセグメント間の到達性を制御
プレフィックス設計: オンプレと VCN の CIDR が重複しないよう計画し、広報するプレフィックスを最小限に絞る
帯域は仮想回線で配分: 1本の物理ポートに複数の仮想回線を載せ、本番・検証・パブリックサービス用途を論理分離

運用・監視

OCI Monitoring で仮想回線の状態や BGP セッションの稼働、帯域使用率を監視し、しきい値を超えたらアラームで通知
BGP セッションの up/down と広報・受信プレフィックス数を定点観測し、経路の消失や意図しない広報を早期検知
障害時の切り分けは 物理リンク → BGP セッション → 広報経路 → DRG ルート → VCN ルート/セキュリティ の順に上から確認
Network Path Analyzer でオンプレ宛先までの経路と遮断ポイントを静的に解析できる
冗長構成では定期的にフェイルオーバー試験を行い、主回線断時に予備へ正しく切り替わることを確認

コスト

FastConnect の課金は、ロードバランサのような従量帯域課金とは異なり、ポート速度に対する時間課金が基本です。OCI は egress（外向きデータ転送）の無料枠が比較的大きく、FastConnect 経由のトラフィック自体はインターネット egress より有利に扱われる傾向があります。具体的な単価・無料枠はリージョンや契約形態で変動するため、最新の料金ページで確認してください。

コスト要素	課金の考え方	ポイント
FastConnect ポート	ポート速度に応じた時間課金	速度を上げるほど固定費が増える
仮想回線	ポート上に複数作成可	回線追加で物理ポート費を共有できる
パートナー/回線費用	通信事業者・コロケーション側に発生	OCI 課金とは別に事業者へ支払う
データ転送	FastConnect 経由はインターネットより有利	大容量転送ほど効果が出やすい

セキュリティ

閉域接続: インターネットを経由しないため、公衆網上での盗聴・改ざんのリスクを構造的に下げられる
暗号化の考え方: 専用線そのものは閉域だが回線レベルでは平文。機密性要件が高い場合はFastConnect 上に IPSec / アプリ層 TLS を併用して二重防御にする
広報経路の最小化: BGP で広報するプレフィックスを絞り、オンプレ ⇄ OCI 間で到達できる範囲を必要最小限にする
VCN 側の制御: DRG 経由で入ってくる通信も NSG / セキュリティリストで許可ポートを最小化。オンプレ向けルートを置くサブネットを限定する
権限分離: FastConnect・DRG の作成や変更は IAM ポリシーとコンパートメントで操作権限を分離する

アンチパターン

冗長化を後回しにし、単一ロケーション・単一回線で本番のハイブリッド接続を運用するのは危険。回線・機器・データセンターのいずれか1点の障害でオンプレ ⇄ OCI 間が全断します。最低でも別ロケーションの2本、またはFastConnect + VPN バックアップを最初から設計に入れてください。

Well-Architected の観点

信頼性（Reliability）: 複数ロケーション・複数回線による冗長化と BGP フェイルオーバーで、単一障害点を排除する
セキュリティ（Security）: インターネットを経由しない閉域接続を基本とし、必要に応じて暗号化を重ね、広報経路と VCN 側許可を最小化する
パフォーマンス効率（Performance）: 専用線による低遅延・安定帯域で、大容量転送やレイテンシ要件の厳しいワークロードを支える

試験で問われるポイント

頻出

FastConnect は専用線による閉域・低遅延接続で、AWS の Direct Connect に相当する
インターネット経由の Site-to-Site VPN との違い（安定帯域・低遅延 ⇄ 手軽・低コスト）を選ばせる問題が多い
VCN への到達は必ず DRG 経由であり、ルーティングは BGP で行う
プライベートピアリング（VCN のプライベート IP へ到達）とパブリックピアリング（Object Storage 等のパブリックサービスへ閉域到達）の違い
接続モデルはパートナー経由 / コロケーション直結 / サードパーティの3形態
可用性は別ロケーション・別回線の冗長構成、または VPN バックアップで確保する

観点	OCI FastConnect	OCI Site-to-Site VPN
経路	専用線による閉域接続	インターネット経由（IPSec 暗号化）
帯域・遅延	広帯域・低遅延で安定	ベストエフォートで変動しやすい
導入の手軽さ	物理回線の手配が必要	比較的すぐ構築できる
コスト	ポート速度に応じた固定費中心	低コストで始めやすい
VCN への到達	DRG 経由・BGP	DRG 経由・BGP または静的
相当する AWS サービス	AWS Direct Connect	AWS Site-to-Site VPN

ハンズオン / CLI例

# 1) DRG を作成（VCN とオンプレを橋渡しするハブ）
oci network drg create \
  --compartment-id ocid1.compartment.oc1..xxxx \
  --display-name hybrid-drg

# 2) 利用可能な FastConnect プロバイダ（パートナー）を一覧
oci network fast-connect-provider-service list \
  --compartment-id ocid1.compartment.oc1..xxxx

# 3) プライベートピアリングの仮想回線を作成（パートナー経由・BGP）
#    オンプレ側 ASN とピアリング用 IP を指定して接続を定義
oci network virtual-circuit create \
  --compartment-id ocid1.compartment.oc1..xxxx \
  --display-name onprem-private-vc \
  --type PRIVATE \
  --gateway-id ocid1.drg.oc1..xxxx \
  --provider-service-id ocid1.providerservice.oc1..xxxx \
  --bandwidth-shape-name "1 Gbps" \
  --customer-bgp-asn 65000 \
  --cross-connect-mappings '[{"customerBgpPeeringIp":"10.0.0.1/30","oracleBgpPeeringIp":"10.0.0.2/30"}]'

# 4) DRG を VCN にアタッチして到達経路を有効化
oci network drg-attachment create \
  --drg-id ocid1.drg.oc1..xxxx \
  --vcn-id ocid1.vcn.oc1..xxxx \
  --display-name drg-to-vcn

# 5) 仮想回線の状態（BGP / プロビジョニング）を確認
oci network virtual-circuit get \
  --virtual-circuit-id ocid1.virtualcircuit.oc1..xxxx

解決する課題

主要概念と用語

仕様・制限・クォータ

内部の仕組み

設計パターン / ベストプラクティス

運用・監視

コスト

セキュリティ

Well-Architected の観点

試験で問われるポイント

関連サービス・比較

ハンズオン / CLI例

OCI FastConnectを実務で読む

解決すること

比較で見る軸

導入後に効く点

先に潰すリスク

判断チェックリスト

次に確認する観点