プライベート・アクセス
このトピックでは、Oracle Cloud Infrastructure内のサービスへのプライベート・アクセスを有効にするオプションの概要について説明します。プライベート・アクセスとは、トラフィックがインターネットを経由しないことを意味します。アクセスは、仮想クラウド・ネットワーク(VCN)またはオンプレミス・ネットワーク内のホストから可能です。
このトピックでは、インターネット・ゲートウェイを介したサービスへのアクセスについては説明しません。ただし、VCNとパブリックIPアドレスOracle Cloud Infrastructure間のインターネット・ゲートウェイを経由するトラフィックは、インターネットで送信されずにルーティングされることに注意してください。
ハイライト
- プライベート・エンドポイントまたはサービス・ゲートウェイを使用して、VCNまたはオンプレミス・ネットワークからOracle Cloud Infrastructure内の特定サービスへのプライベート・アクセスを有効にできます。後続の項を参照してください。
-
各プライベート・アクセス・オプションでは、次のサービスまたはリソース・タイプを使用できます:
- プライベート・エンドポイントの場合:
- サービス・ゲートウェイの場合: 使用可能なサービス
- どちらのプライベート・アクセス・オプションでも、トラフィックはOracle Cloud Infrastructureネットワーク内に保持され、インターネットを横断しません。ただし、サービス・ゲートウェイを使用する場合、サービスへのリクエストでは、サービスのパブリック・エンドポイントを使用します。
- パブリック・エンドポイントを介して特定のOracleサービスにアクセスしない場合、VCNのプライベート・エンドポイントを使用することをお薦めします(サービスがプライベート・エンドポイントをサポートしていると想定しています)。プライベート・エンドポイントは、VCNのサブネット内のプライベートIPアドレスとして表されます。
プライベート・エンドポイントについて
プライベート・エンドポイントとは、VCN内のプライベートIPアドレスで、Oracle Cloud Infrastructure内の特定のサービスへのアクセスに使用できます。サービスは、VCN内で選択されたサブネットにプライベート・エンドポイントを設定します。プライベート・エンドポイントは、VCN内の別のVNICと考えることができます。セキュリティ・ルールを使用して、他のVNICと同様にアクセスを制御できます。ただし、サービスがユーザーにかわってこのVNICを設定し、その可用性を維持します。ユーザーは、サブネットとセキュリティ・ルールを維持するだけで済みます。
次の図は、この概念を示しています。
The private endpoint gives hosts within your VCN and your on-premises network access to a single resource within the Oracle service of interest (for example, one database in Autonomous Database Serverless).プライベート・アクセス・モデルをサービス・ゲートウェイ(次の項を参照)と比較します: 特定のVCN用に5つのAutonomous Databasesを作成した場合、サービスのパブリック・エンドポイントにリクエストを送信することで、5つともすべて1つのサービス・ゲートウェイを介してアクセスできます。ただし、プライベート・エンドポイント・モデルでは、5つの別個のプライベート・エンドポイントになります(各Autonomous Databaseに対して1つで、それぞれが独自のプライベートIPアドレスを持ちます)。
VCNでプライベート・エンドポイントを設定するサービスは、プライベートIPアドレス自体ではなく、プライベート・エンドポイントのDNS名(完全修飾ドメイン名(FQDN))を提供する場合があります。DNSのネットワーク設定を構成している場合、ホストはFQDNを使用してプライベート・エンドポイントにアクセスできます。サービスがネットワーク・セキュリティ・グループ(NSG)とそのリソースの使用をサポートしている場合、VCN内で選択したNSGにサービスがプライベート・エンドポイントを設定するようにリクエストできます。NSGによって、プライベート・エンドポイントに割り当てられたプライベートIPアドレスを知らなくても、プライベート・エンドポイントへのアクセスを制御するセキュリティ・ルールを記述できます。
リソースのプライベート・エンドポイントがある場合、VCN内のホストは、プライベート・エンドポイントのFQDNまたはプライベートIPアドレスを使用してリソースにアクセスできます。セキュリティ・ルールを設定して、VCN内のホストとプライベート・エンドポイント間のアクセスを制御します。Autonomous Database for Analytics and Data Warehousingを使用して実行する方法の例は、プライベート・エンドポイントを使用したネットワーク・アクセスの構成を参照してください。
オンプレミス・ネットワーク内のホストがプライベート・エンドポイントを使用できるように、VCN内に転送ルーティングを設定することもできます。オンプレミス・ホストがプライベートIPアドレスのかわりにプライベート・エンドポイントのFQDNを使用できるようにするには、2つのオプションがあります:
- VCNのインスタンスをカスタムDNSサーバーとして設定します。Oracle Terraformプロバイダを使用したこのシナリオの実装の例は、ハイブリッドDNS構成を参照してください。
- ホスト名の解決を手動で管理します。
特定のリソースへのアクセスを必要とするホストを持つ複数のVCNが存在する場合があります。他のVCN内のホストもプライベート・エンドポイントを使用できるように、VCNをピアリングできます(前の図にはピアリングされたVCNは表示されていません)。
サービス・ゲートウェイについて
サービス・ゲートウェイは、VCNおよびオンプレミス・ネットワーク内のリソースに対し、インターネット経由のトラフィックを使用せずに、Oracle Cloud Infrastructure内の複数のサービスへのプライベート・アクセスを提供します。
次の図は、この概念を示しています。この図は、Oracle Services Network (Oracleサービス用に予約されているOracle Cloud Infrastructure内の概念ネットワーク)を示しています。
VCN内の特定のサブネットからサービス・ゲートウェイを使用するには、サブネットのルート表にルート・ルールを設定し、ルールのターゲットとしてサービス・ゲートウェイを指定します。また、VCN内のホストとサービス・ゲートウェイを介して提供されるサービス間のアクセスを制御するセキュリティ・ルールも設定します。
テナンシに複数のVCNがある場合、独自のサービス・ゲートウェイを使用してそれぞれを構成できます。
制限関連の詳細は、ゲートウェイの制限およびサービス制限の引上げのリクエストを参照してください。
また、オンプレミス・ネットワーク内のホストがVCNのサービス・ゲートウェイを使用できるように、Oracle Services Networkに転送ルーティングを設定することもできます。