※ 本記事は、Lilian Quan, Amit Sethによる”Bring Your Own ASN on OCI“を翻訳したものです。

2025年4月10日

クラウドへのワークロードの移行には、一連の課題が伴います。Oracle Cloud Infrastructure (OCI)では、このような移行をお客様の視点から見て、関心と目標を念頭に置き、シームレスな移行エクスペリエンスを構築する機会としてこれらの課題を取り上げます。

OCIへの移行を簡素化するために、2020年に独自のIP持込み(BYOIP)機能を開始し、OCIで独自のパブリックIPを再利用できます。この機能により、これらのIPアドレスに関連付けられたIPの評判を保持できます。また、お客様とパートナーは、サービスをOCIに移行した後も、既存のセキュリティ・ポリシーを引き続き使用できます。

我々は今、BYOASN(Bring Your Own Autonomous System Numbers)機能を導入することで、この方向をさらに一歩進めています。OCIでのBYOASNサポートにより、独自のASNをOCIに持ち込み、BYOIPプリフィクスに使用できるようになりました。この機能改善により、Oracleクラウドへの移行時にASNおよびそれに関連付けられた評価を保持できます。

BYOASNは現在、ARIN、RIPEおよびAPNICのリージョナル・インターネット・レジストリ(RIR)でサポートされており、すべてのOCI商用リージョンで使用できます。

なぜBYOASNが必要なのか?

ネットワーク評判の維持

BYOASN機能のニーズの高まりは、ネットワークの評判とインターネット・セキュリティに重点を置いていることから生じています。ASNの評判スコアは、ASNにおけるIPネットワークの信頼性の尺度です。インターネット・サービス・プロバイダー(ISP)、コンテンツ配信ネットワーク(CDN)プロバイダー、サイバー・セキュリティ・プラクティショナーなど、より多くの組織が、IPの評判だけでなく、ASNの評判も調べています。ネットワークのASNレピュテーション・スコアをインターネット上で追跡することで、スコアが低いネットワーク・エンティティにセキュリティの取り組みを集中させることができます。たとえば、評価の低いASNに関連するIPルートをブロックしたり、IPトラフィックを監視するための適切なアクションを実行できます。

したがって、インターネット上でサービスを提供する組織は、ネットワークまたはトラフィックがISP、CDNプロバイダまたはサイバー・セキュリティ・ベンダーによってブロックされないようにするために、強力なIPおよびASNの評判が不可欠であるため、ネットワークの評判を維持および強化する意欲が高いです。ただし、サービスを新しい環境に移行する場合、評判関連のサービスの中断を回避するために、これらの評判を維持するという課題に直面します。ネットワークの評判はIPアドレスおよびASNに直接結び付けられるため、効果的な解決策は、既存のIPアドレスおよびASNを新しい環境に持ち込むことです。このプロセスは、OCIでのBYOIPとBYOASNの必要性の根幹です。

BYOASNは、ネットワーク評判の管理にBYOIPを補完します。BYOIPを使用すると、組織は独自のパブリックIPアドレスをOCIに持ち込むことでIPの評判を維持でき、BYOASNではOCIで独自のASNを再利用することでASNの評判を維持できます。これら2つの機能を組み合せることで、組織の既存のネットワーク評判を維持するための幅広い範囲が提供されます。

シームレス移行

BYOASNは、BYOIPと連携することで、OCIへのシームレスな移行を容易にする強化されたIPアドレス管理(IPAM)ソリューションを提供します。お客様は、ASNアソシエーションまたはASNレピュテーション・チェックに関連するより多くの検証について懸念することなく、OCI上で独自のASNを持つ独自のパブリックIP CIDRブロックを引き続き使用できます。移行中に同じパブリックIP CIDRおよびASNを保持すると、セキュリティ・ルールまたはルーティング・ポリシーを更新する必要がなくなり、プロセスが簡略化され、ダウンタイムが防止されます。このアプローチにより、移行がよりシームレスで効率的になります。

より大きなルーティング制御の有効化

BYOIPでは、BYOASN機能によって、OCIによるBYOIPルート通知のAS-PATHに独自のASNを付加するオプションが提供されます。AS-PATHがボーダー・ゲートウェイ・プロトコル(BGP)のベスト・パス選択プロセスでタイブレーカーになる場合、AS-PATHに多くのASNを追加(プリペンディング)すると、同じIPプリフィクスのAS-PATHが短いルートよりもルートの方が優先されなくなります。OCI BYOASN機能のこのAS-PATHのプリペンド機能により、トラフィックをネットワークにルーティングする方法をより詳細に制御できるため、オンプレミス・データセンター用のディザスタ・リカバリ・サイトをOCI上に構築するなど、より自己回復性の高いクラウドまたはハイブリッド・クラウドのデータセンター設計を構築できます。このブログ記事のケース・スタディ・セクションには、AS-PATHプリペンド機能を使用してディザスタ・リカバリ・サイトを設定する方法のデモンストレーションが示されています。

OCI BYOASNの主な機能

OCIのBYOASN機能には、次の主要な機能があります:

  • ASNの数に制限なし: OCIにインポートできるASNの数に制限はありません。
  • 複数のリージョンに同じASNをインポート: ワークロードを複数リージョン設定にデプロイする場合は、複数のリージョンにまたがって同じASNをインポートすることを選択できます。
  • ルート・プリファレンスに影響を与えるためにASNを付加: ASNを20回まで追加してルート・プリファレンスに影響を与えることができます。これは、アクティブ/スタンバイ・サイトまたはディザスタ・リカバリ・サイトを設定するときに使用できます。
  • 2バイトと4バイトの両方のASNのサポート: 2バイトと4バイトの両方のASNをサポートしています。この柔軟性により、幅広いネットワーク構成との互換性が保証されます。レガシー・システムを使用しているか、最新の設定を使用しているかにかかわらず、オラクルではこれを取り上げています。
  • APIとTerraformの両方のサポート: コンソールUIとCLIのサポートに加えて、APIとTerraformの両方との互換性も提供しています。BYOASNは、APIとの統合であれ、Terraformを使用したインフラストラクチャの管理であれ、選択した運用ツールをサポートしています。

プロセスの概要: すべてをまとめる

BYOIPインポート・プロセスと同様に、Oracle Cloudコンソールの「IP管理」の下からBYOASNのインポートを開始します。次に、OracleはASNの検証トークンを発行します。リージョン・インターネット・レジストリ(RIR)を検証トークンで更新します。トークンが正常に検証されたら、組込みの自動化により、ASNのインポートを完了できます。ASNがOCIにインポートされたら、ASNをBYOIPプリフィクス(IPv4およびIPv6)に関連付け、OCIからアドバタイズできます。

次の図は、BYOASNとBYOIPが連携して、インポートされたBYOASNでBYOIP接頭辞を通知する方法を示す完全なワークフローを示しています。

OCI BYOASN Workflow

UIウォークスルー

ASNインポート・ワークフローは、Oracle Cloudコンソールの「IP管理」にある「BYOASN」タブから起動し、2バイトまたは4バイトのASNをインポートできます。その後、検証トークンをコピーして、RIRのアカウントで更新できます。RIRの更新が完了したら、コンソールに戻り、「インポートの終了」を選択してインポート・プロセスを完了します。検証に成功すると、ASNは「アクティブ」と表示され、使用できるようになります。「BYOIP」タブに移動し、BYOIP接頭辞のオリジンASNをOracle ASN (デフォルト)から独自のASNに更新できるようになりました。オプションで、AS-PATHでインポートされたASNを20回まで先頭に付加し、ルーティング設定に影響を与える接頭辞に関連付けることもできます。次の図は、OCIコンソールのウォークスルーを示しています。

OCI BYOASN Console UI Walk Through

BYOASNの動作: 顧客にとっての仕組み

たとえば、Cyber Defenseは、アプリケーション・スタックのあらゆる層にセキュリティ・ソリューションを提供する有名な企業だとします。Fortune 500の企業を含むロイヤルティの高い顧客基盤により、卓越性に対する評判を築いてきました。

Cyber Defenseのエンジニアリングチームは、24時間体制で作業を行い、パートナーから報告されるすべての新しい脆弱性の修正により、セキュリティ防御を強化しています。しかし、脅威の量は長年にわたって増加し、会社の既存のインフラストラクチャに大きな負担をかけています。これにより、オンプレミス・データ・センターで停止が発生し、場合によっては動作不能になることもあります。CTOは、将来発生するこれらのイベントを緩和するために、パブリック・クラウドにバックアップ・サイトを設定することを検討するようチームに任命しました。

ネットワーク・インフラストラクチャ・チームは、クラウドにバックアップ・サイトを設定するという困難なタスクに直面しており、これにより、フェイルオーバーが発生したときに停止時間が発生したり、ベンダー・ネットワークに大きな構成変更が必要になったりすることはありません。同時に、長年の運用期間にわたって構築されたネットワークの信頼性とパフォーマンスに対する同社の長年の評判が維持されていることを確認する必要があります。

OCIは、この要件を満たすことができるBYOIPとBYOASNの両方の機能を提供する数少ない企業の1つとして注目されています。このニーズに対応するために、Cyber Defenseは、現在のオンプレミス・データ・センターをプライマリ・サイトとして、OCI London (LHR)リージョンをバックアップとして、冗長なサイト・ペアでサービスをホストする予定です。どちらのサイトも、同じパブリック対応BYOIPプリフィクスを使用し、同じASNを使用してインターネットにアドバタイズします。ただし、プライマリ・サイトが使用可能な場合のプリファレンスを駆動するために、OCI BYOASNでは、複数のASNプリペンド・オプションを使用して、バックアップLHRリージョンへのルートを長いAS-PATHでアドバタイズできます。

たとえば、プライマリ・オンプレミス・データ・センターを起動し、AS-Path [200]のBYOASN 200でBYOIP接頭辞143.100.1.0/24をアドバタイズし、ロンドン(LHR)のバックアップ・サイトでは同じ143.100.1.0/24接頭辞を長いAS-Path [OCN ASN, 200, 200, 200, 200]でアドバタイズします。バックアップ・サイトによって通知されるルートは、AS-Pathが長いため推奨されません。プライマリ・サイトが停止すると、143.100.1.0/24のルート通知が取り下げられ、バックアップ・サイトからのルートが新しい最適なルートになります。このアクションにより、インターネット・トラフィックがバックアップ・サイトにフェイル・オーバーされます。

BYoASN case study

まとめ

OCIでは、Oracle Cloud Infrastructureへの移行をシームレスな体験にすることに全力を尽くしています。BYOASN、BYOIPおよびクラウド移行プロセス全体についてさらに学習するには、次のリソースを参照してください: