※ 本記事は、Lilian Quanによる“Bring your own IPv6 addresses to Oracle Cloud”を翻訳したものです。

2022年4月14日

IPv6の普及が進んでいます。そこで、Oracle Cloud Infrastructure(OCI)では、IPv6に対応したネットワーク機能を継続的かつ急速に拡張しています。最新の開発では、IPv6のBring Your Own IP(BYOIP)サポートを発表できることを嬉しく思っています。当社のIPv6サービス全般についてもっと知りたい読者は、このブログの最後にリンクされている当社の過去のIPv6関連ブログとドキュメントを読むことをお勧めします。

BYOIP for IPv6とは?

BYOIP for IPv6は、RFC 3587で定義されたお客様独自のIPv6グローバル・ユニーク・アドレス(GUA)をOCIにインポートし、お客様のOCIリソースに割り当てることができるIPv6アドレス管理ソリューションです。

IPv4のパブリック・アドレスと同様に、IPv6のGUAアドレスもパブリックにルーティング可能です。したがって、自分のIPv6 GUAアドレス・ブロックをOCIにインポートした後、これらのIPv6アドレス・ブロックを自分の代わりにインターネットにアドバタイズするようOracleに依頼すれば、これらのアドレスを使用してOCI内の仮想クラウドネットワーク(VCN)からインターネット接続を確立することができます。

一方、BYOIP IPv4アドレスとBYOIP IPv6アドレスの利用には、いくつかの違いがあります。BYOIP IPv4パブリック・アドレスは高価で希少なためインターネット接続専用に使われ、GUA IPv6アドレスはインターネット接続とローカルな東西接続の両方に使うことができるのです。

インターネット接続の促進に加えて、BYOIP GUA IPv6アドレスを使用して、OCIでホストされているリソース間の接続や、FastConnect回線またはVPN Connectトンネル上でお客様のダイナミック・ルーティング・ゲートウェイ(DRG)がアドバタイズする場合はお客様のオンプレミス・ネットワークとの通信を行うことができます。

なぜBYOIP for IPv6なのか?

オンプレミスからクラウドへアプリケーションを移行する際、またはクラウド上に新しいアプリケーションを展開する際、いくつかの理由で独自のGUA IPv6アドレスを使用する機能が必要なお客様がいらっしゃいます。これらのドライバーの多くは、IPv4のBYOIPの顧客と同様です。

一貫したIPv6アドレス体系と管理の実現

OCIでIPv6を運用する場合、Oracleから割り当てられたGUAアドレスを常に使用することができます。これは便利で、OCIネットワークのIPv6アドレスを管理する上で、彼らの労力は最も少なくて済みます。しかし、オンプレミス・ネットワークとクラウド・ネットワークの間で一貫したIPv6アドレス体系を維持するために、クラウドで独自のIPv6アドレスを使用し、それを自分で管理することを好むお客様もいらっしゃいます。例えば、ハイブリッド・クラウドやマルチクラウド・アプリケーション、あるいはオンプレミス・アプリケーションをクラウドに移行する場合、一貫したIPアドレス空間が望ましいと考えられます。

既存のIPレピュテーションの維持

IPレピュテーションが良いということは、そのIPに関連するサイトやサービスが信頼できることを意味するので、インターネット上でスパムや悪意のあるものとしてフラグを立てられるリスクが低くなります。公共のオンライン・サービスを提供するお客様にとって、サービス・プラットフォームやウェブサイトのIPレピュテーションを強固に維持することは重要です。

このようなタイプのアプリケーションやサービスをクラウドに移行する場合、お客様はIPレピュテーションをクラウドに引き継ぐために、元のIPアドレスを保持することを希望します。この要件はIPv4アプリケーションやサービスのために始められたものですが、IPv6の採用が進むにつれて、IPv6でもIPv4と同様に重要な要件となっています。

セキュリティ・ポリシーの一貫性を確保

お客様によっては、IPv6アプリケーションやサービスをパートナーや顧客に提供することがありますが、そのパートナーや顧客はセキュリティポリシーが厳しく、ネットワーク接続を許可するためにIPv6アドレスをファイアウォールに登録する必要があります。これらのアプリケーションのIPアドレスを変更する副作用として、パートナーや顧客は新しいIPv6アドレスを許可するためにセキュリティ姿勢を変更する必要があり、OCIの顧客がオンプレミス・サイトからOCIにアプリケーションやサービスを移行する際に、ビジネスの遅延や中断を引き起こす別のリスク要因を導入しています。そのため、OCIのお客様がオンプレミスからOCIにアプリケーションやサービスを移行する際に、ビジネスの遅延や中断を引き起こす別のリスク要因が発生することになります。BYOIP for IPv6は、この目標を達成することができるのです。

IPv6アドレスのコンプライアンスと規制の要件

コンプライアンスや規制上の理由から、独自のIPv6アドレスを使用する必要がある組織もあります。クラウド・プロバイダーから割り当てられたアドレス範囲を使用することはできないのです。BYOIPv6は、そのような企業がOCIにIPv6アプリケーションを移行またはデプロイするための重要なイネーブラです。

このシナリオでは、BYOIP for IPv6が、対象となる規制に完全に準拠した形でOCI上にIPv6アプリケーションをデプロイすることを可能にする重要な機能であることがわかります。顧客独自のIPv6アドレス計画やスキームに柔軟に対応し、オンプレミスのIPv6アプリケーションのOCIへの移行を容易にします。

IPv6の仕組みは?

Oracle Cloudアカウントに複数のIPv6アドレス・ブロックをインポートすることができます。インポートされたアドレス・ブロックは、VCNがインポート先の地域で使用できる地域リソースであり、地域からOracleによってアドバタイズされます。

BYOIP for IPv6での作業は、以下のような手順で行います。手順はBYOIP for IPv4と同様ですが、IPアドレス・プールを使用しないため、簡略化されています。

  • 独自のIPv6プレフィックスをOCIにインポートします。
  • インポートしたIPv6プレフィックスをVCNに割り当て、クラウドのリソースに利用を開始します。

OCIに独自のIPv6プレフィックスをインポート

まず、インポートするパブリックIPv6プレフィックスを自前で用意し、以下の前提条件を満たします。

  • IPv6プレフィックスの所有権は、サポートされている地域インターネット・レジストリ(RIR)のいずれかによって割り当てられる必要があります。American Registry for Internet Numbers(ARIN)、Réseaux IP Européens Network Coordination Centre(RIPE NCC)、Asia-Pacific Network Information Centre(APNIC)です。これらのRIRは、それぞれの地域内でIPv4およびIPv6アドレス空間や自律システム(AS)番号などのインターネット番号リソースを管理、配布、登録します。
  • インポートするIPv6プレフィックスは、/48以上である必要があります。/48のIPv6プレフィックスは、インターネットにアドバタイズできる最小のIPv6プレフィックスです。

次に、OCIでインポート・リクエストを開始します。BYOIP for IPv4のプロセスと同様に、Oracle Cloud Consoleの「Networking」タブにある「IP Management」セクションでこのステップを行うことができます。

A screenshot of BYOIP details page with the Import BYOIP CIDR Block button outlined in yellow and the window that it expands to shown.

インポート処理を開始すると、IPv6プレフィックスの検証トークンを受け取ります。IPv6プレフィックスのアドレス範囲に関連するRIRアカウント情報に、検証トークンを追加します。この変更が有効になるには、最大で1日かかることがあります。その後、Oracleはこのトークンを使用して、所有者の認証と、OCIテナンシへのIPv6プレフィックスのインポートの認可を検証します。

A screenshot of the BYOIP Details page with a Next Steps notification in a blue window.

次に、対応するOCI自律システム番号(ASN)からBYOIP IPv6プレフィックスをアドバタイズすることをOracleに許可するために、RIRでルート・オリジン認可(ROA)オブジェクトを作成します。Oracle商用クラウドのASNは31898です。政府クラウドのASNは、対応する政府クラウド・ドキュメントに記載されています。

ROAは、どのASNが特定のIPアドレス・プレフィックスまたはプレフィックス・セットの発信を許可されているかを示す暗号的に署名されたオブジェクトであるため、インポートしたIPv6プレフィックスについてOracle ASNとのROAがなければ、OracleはIPv6プレフィックスをインターネットにアドバタイズすることができません。したがって、インポートされたIPv6プレフィックスをインターネットのルーティングと接続に使用することはできません。

トークン登録とROAの両方が完了したら、Oracle Cloud ConsoleのBYOIP画面に戻り、「Finish Import」ボタンをクリックしてIPv6プレフィックス・インポート・リクエストの送信を完了させます。

お客様からのIPv6プレフィックス・インポート・リクエストを受信後、Oracleはワークフローを開始し、IPv6プレフィックスの認証とOCIにおけるお客様のテナントへのIPv6プレフィックスのインポートの認可を検証します。検証が完了すると(最大10営業日)、インポートされたIPv6プレフィックスが有効になり、お客様が使用できるようになります。これで、OracleがIPv6アドレスを割り当てたのと同じ方法で、IPv6プレフィックスを割り当てることができるようになります。例えば、IPv6アドレスが必要なVCNやサブネットに配置されたOCIリソースのサブネットに割り当てることができます。

インポートしたIPv6アドレス・ブロックの管理および使用

インポートしたIPv6アドレス・ブロック全体を1つのVCNに割り当てることも、さらにそれを複数に分割して、同一地域内の異なるVCNに細分化したIPv6プレフィックスを割り当てることも可能です。Oracle Cloud Console UIは、インテリジェントなIPv6アドレス範囲の計算と支援を提供することで、このIPv6プレフィックスの管理を容易にすることができます。

例えば、お客様が/48のIPv6アドレス・ブロックをインポートし、それを複数の/56プレフィックスに分割してVCNに使用したい場合、Console UIでこのリクエストを送信します。Consoleは、すべての/56プレフィックスとアドレス範囲をリストアップします。この最初の切り分けの後、お客様は未使用の小分けプレフィックスをさらに小さなプレフィックスに分割して、将来使用することもできます。VCNに割り当てられるIPv6プレフィックスの最小値は/64なので、お客様が作成できるBYOIPv6アドレス・ブロックの最小細分化も/64となります。これにより、アドレス管理におけるビルトインのエラー防止が可能となります。

また、BYOIPv6プレフィックス管理UIでは、細分化された各IPv6プレフィックスの利用状況、VCNへの割り当ての有無、どのVCNに割り当てられているかが反映されています。次のスクリーンショットは、このBYOIPv6プレフィックス管理支援の一例です。面倒だったIPv6プレフィックスの管理が簡単にできるようになります。

A screenshot of the Manage BYOIPv6 Prefixes page with the menu for prefix selection expanded and /56 selected.

BYOIPv6プレフィックスを使用して、既存または新規のIPv4およびIPv6デュアルスタックVCNをプロビジョニングすることができます。VCNにIPv6プレフィックスを設定する際、Oracleが割り当てたIPv6プレフィックスを使用する代わりに、BYOIPv6プレフィックスをVCNに割り当てるという新しいオプションが用意されました。

A screenshot of the IPv6 Prefixes page with the options for assigning and Oracle allocated IPv6 /56 prefix and explanations outlined in yellow.

VCN に BYOIPv6プレフィックスを割り当てると、このプレフィックスに含まれるアドレスを使用して、VCN内のサブネット、仮想ネットワーク・インターフェイス・カード(VNIC)、ネットワーク・ロードバランサー、アプリケーション・ロードバランサー、およびすべてのIPv6対応ゲートウェイのプロビジョンを開始することができます。Oracleに割り当てられたIPv6プレフィックスを使用する場合と同様に、IPv6対応サブネットには/64 IPv6プレフィックスが必要です。唯一の違いは、BYOIPv6アドレスを使用する場合、/64 IPv6プレフィックスはOracle所有のIPv6アドレス範囲からではなく、VCNのBYOIPv6プレフィックス・アドレス範囲からとなる点です。

インポートしたBYOIPv6プレフィックスは、インターネット接続とクラウド内部ネットワーク接続に使用できます。インターネット・ルーティングに使用するには、OCI ASNからこれらのIPv6プレフィックスをアドバタイズするようにOracleに要求してください。BYOIPv6 アドレス・ブロックのインポート処理が完了した後、Oracleにリクエストを送信できます。また、これらのIPv6プレフィックスをFastConnect またはVPNトンネルを通じてオンプレミス・ネットワークにアドバタイズし、OCIネットワークとオンプレミス・ネットワーク間のハイブリッド・クラウド接続を確立することが可能です。

BYOIP IPv6 アドレス・ブロックを用いたVCN IPv6プレフィックスの構成例を下図に示します。

A graphic depicting the architecture for this solution.

まとめ

BYOIPv6への対応により、OCIはお客様のIPv6アプリケーションのクラウドへの移行や、クラウドでの新しいIPv6アプリケーションのデプロイを容易にします。アドレスの変更やセキュリティ・ポリシーの変更を避けることができるため、中断を減らすことができます。また、お客様のIPレピュテーションをクラウドに引き継ぐことも可能です。

Oracle Cloud InfrastructureのBYOIP機能の詳細については、以下のリソースを参照してください。