目次
はじめに
こんにちは、エーピーコミュニケーションズの松尾です。
今回はOCIのマネージドファイアーウォールである、Network Firewallを扱ったルーティング設計について考えてみました。簡単なようで考慮すべき点がいくつかあったので紹介していきたいと思います。
同じような設計をしていく方の参考になれば幸いです。
どんなひとに読んで欲しいか
- Network Firewallでのルーティング設計を知りたい人
- インターネット間の通信制御を理解したい人
やりたいこと
今回はNetwork Firewallを介したアーキテクチャをどう設計するか、を考えていきたいと思います。 Network Firewallの機能には特に触れません。 複数VCNがある状況で、Network Firewallを集約した形で設計できないか、を考えていきます。
外から内へのルーティング設定例
参考資料から抜粋しますが、具体的にはこの2パターンになります。
この2つの構成例は正しいのですが、ポイントとして外(インターネット)から内(OCI)への通信のみのルーティングとなっています。 現実的には「パブリックIPを持つリソース」と「プライベートIPのみを持つリソース」が混在することが多いのではと考えています。
内から外へのルーティングを追加してみる
「プライベートIPのみを持つリソース」もインターネットへ出られるようにルーティングを設計するとこのようになるかと思います。
「プライベートIPのみを持つリソース」がデフォルトルートをDRGへ向け、NFWへ着信、トラフィック検査後、NAT Gatewayを介してインターネットへ出ていけるルーティングです。 ポイントとしては、NAT Gatewayのルート表へ「プライベートIPのみを持つリソース」宛てのルーティングをNFWに向ける点です。これは戻りの通信もNFWで検査させるために必要な設定です。
続いてもう一つの構成例②です。
こちらも基本的には先ほどと同様の考え方でルーティングを追加することで、内から外への通信が実現できます。
まとめ
細かい考慮点でしたが、Network Firewallのルーティングについて検討してみました。Network Firewallはマネージドサービスで便利な点はありますが、コストが約32万/1か月と、安くはないとみています。1時間あたりの課金ではあるものん、Firewallは常時動かすことが多いはずなのでできるだけ効率的に配置したい場合に本記事を参考にみていただければと思います。 VCNごとに配置できるとシンプルにはなりますが、コスト面がネックになる場合も多いかと思います。また、VCN数が多い構成ではログ管理面でも集約できるとメリットにつながるのではないでしょうか。 本記事がルーティング設計の参考になれば幸いです!
関連記事
https://speakerdeck.com/oracle4engineer/oci-network-firewall-configuration
おわりに
私達クラウド事業部はクラウド技術を活用したSI/SESのご支援をしております。
また、一緒に働いていただける仲間も募集中です! ご興味持っていただけましたらぜひお声がけください。
