IPの持込み
Oracle Cloud Infrastructureでは、Oracleが所有するアドレスを使用することに加えて、IPの持込み(BYOIP)によるアドレス空間をOracle Cloud Infrastructureのリソースで使用できます。
BYOIPでは、既存のセキュリティ、管理およびデプロイメント・ポリシーに一致するようにIPv4 CIDRブロックおよびIPv6接頭辞を管理し、次を実現できます:
- ソリューションの継続性とハードコードされた依存関係: VCNは、ポリシーおよび管理プロセスを再開発することなく、パブリック・インターネット・プレゼンスを拡張します。IPアドレスをデバイスにハードコードしている場合、または特定のIPアドレスにアーキテクチャの依存関係を構築している場合、BYOIPを使用すると、Oracle Cloud Infrastructureにスムーズに移行できます。
- IPプール管理: 一部のネットワーク管理者には、IPv4アドレスのグループをプールにまとめ、ロード・バランサ、ファイアウォール、Webサーバーなどのデプロイメント用のリソースを作成する機能が必要です。IPプール管理には、予約済パブリックIPv4アドレスを管理するためのツールが用意されています。IPv6は、IPプール管理を使用しません。
- IPレピュテーション: 一部のインターネット・サービスは、連続したIPアドレス空間(1から255までのIPアドレスのすべての範囲など)に依存しており、主要な電子メール・サービス・プロバイダやメール配信システムなどのサービス間の信頼できる接続先として機能します。
Oracleは、インポートされたIPv4 CIDRブロックまたはIPv6接頭辞に対して検証プロセスを実行し、検証後にそれらが通知に使用できることがユーザーに通知されます。このアドレス空間から1つ以上のパブリックIPv4プールを作成するには、BYOIP CIDRブロックの部分範囲を指定し、IPプールを使用して特定のリソースを割り当てます。必要に応じて、BYOIPルートの通知を開始または停止できます。IPv6はIPプールを使用しませんが、ユーザーは同様に接頭辞をVCNおよびサブネットに割り当てることができます。
要件および準備
-
Oracle Cloud InfrastructureにインポートするパブリックIPv4 CIDRブロックまたはIPv6接頭辞の所有権が必要であり、その所有権はサポートされている地域インターネット・レジストリ(RIR)に登録されている必要があります。Oracleは、アドレスの所有権を検証します。次のレジストリのみがサポートされており、アドレスには指定されたタイプまたはステータスが必要です:
-
American Registry for Internet Numbers (ARIN) - 「直接配分」および「直接割当て」ネットワーク・タイプ
-
Réseaux IP Européens Network Coordination Centre (RIPE NCC) - 「ALLOCATED PA」、「LEGACY」、「ASSIGNED PI」および「ALLOCATED-BY-RIR」割当てステータス
-
Asia-Pacific Network Information Centre (APNIC) - 「ALLOCATED PORTABLE」および「ASSIGNED PORTABLE」割当てステータス
-
-
IPアドレス範囲内のアドレスには、クリーンな履歴が必要です。IPアドレス範囲の評判が調査され、悪意のある動作に関連するIPアドレスを含むIPアドレス範囲を拒否する権利が留保されます。
制限および割当て制限
- アドレスは、特定のOracleリージョンにのみインポートできます。
- BYOIPは、最小が/24で最大が/8のIPv4 CIDRブロックで使用できます。
- インポートされたIPv6接頭辞は、/48以上である必要があります。
- 一度に複数のコンパートメントに同じアドレス範囲を持ち込むことはできません。
- 最大20個のIPv4 CIDRブロックまたはIPv6接頭辞(またはその組合せ)をOracle Cloud Infrastructureアカウントに持ち込むことができます。
- VCNごとに合計で最大5個、サブネットごとに最大3個のIPv6接頭辞を割り当てることができます。サブネットに複数のIPv6接頭辞が割り当てられている場合、複数の接頭辞のIPv6アドレスをVNICに割り当てることができます。
- BYOIPは、Oracle Cloud Infrastructure Free Tierでは使用できず、Pay As You Goサービスに対してリクエストする必要があります。
その他の制限関連の情報については、IP管理の制限およびサービス制限の引上げのリクエストを参照してください。
BYOIPプロセスの概要
Oracle Cloud InfrastructureのBYOIPに必要なステップにはかなりの時間かかるため、それに応じた計画を立てます。プロセスを次の図に示します:
- テナンシのコンパートメント内で、所有しているパブリックIPv4 CIDRブロックまたはIPv6接頭辞のインポートをリクエストします。
- Oracleは検証トークンを発行します。(APIユーザーはトークンを変更する必要があります。コンソール・ユーザーは完了したトークンを取得します。)
- 検証トークンを、RIRサービスによって保持されているそのパブリックIPv4 CIDRブロックまたはIPv6接頭辞に関する情報に追加します。詳細はRIRによって異なります。更新が有効になるまで最大1日かかる場合があります。更新が有効になる前に次のステップに移動すると、プロセスを完了するための合計時間に1日が追加されます。詳細は、BYOIP IPv4 CIDRブロックまたはIPv6接頭辞をインポートするにはを参照してください。
- RIRを使用してRoute Origin Authorization (ROA)を作成します。ROAの一部として、Oracle BGP ASNを提供します。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。ROAによって、OracleはBYOIP CIDRブロックを通知できます。
- Oracleがインポート・リクエストを終了するようにリクエストします。このワークフローの完了には最大10営業日かかりますが、その間にOracleはRIRとやり取りし、ユーザーがIPアドレスを所有していることを検証します。
- Oracleは、テナンシ内のコンパートメントにBYOIPアドレスをプロビジョニングします。
- この時点で、BYOIP IPv4 CIDRブロックまたはIPv6接頭辞は、ユーザーが自分のコンパートメントで管理することになります。IPv4アドレスをIPプールに追加し、予約済IPアドレスとして使用できます。IPv6接頭辞はプールを使用せず、ユーザーは下位区分をVCNに直接割り当てたり、IPv6接頭辞全体をVCNに割り当てたりできます。インターネットにBYOIP CIDRブロックまたはBYOIPv6接頭辞を通知することもできます。
必要なIAMポリシー
Oracle Cloud Infrastructureを使用するには、管理者からポリシーでセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。
管理者用: ネットワーキングに対するIAMポリシーを参照してください。
IAMリソースの制限
適用可能な制限のリストと制限の引上げをリクエストする手順は、サービス制限を参照してください。リソースまたはリソース・ファミリにコンパートメント固有の制限を設定するために、管理者は、コンパートメント割当てを使用できます。BYOIPの管理
コンソールの使用
- 目的のリージョンおよびコンパートメントを表示していることを確認します。
- ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「IP管理」で、「BYOIP」をクリックします。
- 「BYOIP CIDRブロックのインポート」をクリックします。「BYOIP CIDRブロックのインポート」画面が表示されます。
- 「BYOIP CIDRブロックのインポート」画面で、BYOIP CIDRブロックの名前を入力し、コンパートメントを選択して、テナンシに持ち込むIPv4 CIDRブロックまたはIPv6接頭辞を入力します。機密情報の入力は避けてください。
- 「変更の保存」をクリックします。そのBYOIPインポート・リクエストの詳細ページが表示されます。
- 「次のステップ」セクションで、検証トークンのコピーを作成します。トークン・フォーマットはIPバージョンによって異なります。
IPv4 CIDRブロックのフォーマット:
OCITOKEN::<cidrBlock>:<validationToken>
IPv6接頭辞のフォーマット:
OCITOKEN::<ipv6CidrBlock>:<validationToken>
コンソールには送信準備が完了したトークンが表示されますが、APIでは表示されません。APIユーザーは、表示されているようにトークンを手動で変更する必要があります。
- OracleにBYOIP CIDRブロックの通知を許可するRoute Origin Authorization (ROA)オブジェクトを作成します。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。US Government Cloudについては、OracleのBGP ASNを参照してください。少なくとも6か月先の有効期限を設定してください。RIRにとって適切な手順に従います:ノート
ROAを作成しない場合、OracleはBYOIP IPv4 CIDRブロックまたはIPv6接頭辞を通知できません。ルートを通知できなければ、それらをインポートする意味はほとんどありません。 - ここで、アドレス範囲に関連付けられたRIRアカウント情報に検証トークンを追加します。RIRごとに多少異なる方法を使用します:
- ARIN: アドレス範囲に関連付けられた"Public Comments"セクションにトークン文字列を追加します。
- RIPE NCC: アドレス範囲に関連付けられた新しい"descr"フィールドとしてトークン文字列を追加します。
- APNIC: helpdesk@apnic.netに電子メールで送信して、アドレス範囲の"remarks"フィールドにトークン文字列を追加します。電子メールは、IPアドレス範囲のAPNIC認可済連絡先アカウントから送信する必要があります。
ノート
検証トークンは、アドレス範囲情報に関連付ける必要があります。アドレス範囲を所有する組織の情報には追加しないでください。 - ROAとトークン登録の両方が完了するまで待機してから(最大1日)、「インポートの終了」ボタンをクリックします。そうしないと、プロセスは最大1日遅延する可能性があります。
- BYOIPリクエストの詳細ページに戻り、「インポートの終了」をクリックします。確認画面が表示されます。
- 「インポートの終了」をクリックして、BYOIPリクエストを検証することを確認します。OracleがRIRに連絡し、インポートを検証してCIDRブロックをプロビジョニングするまでに最大10営業日かかります。作業リクエストを表示してステータスを確認します。
- 目的のリージョンおよびコンパートメントを表示していることを確認します。
- ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「IP管理」で、「BYOIP」をクリックします。
- 目的のリージョンおよびコンパートメントを表示していることを確認します。
- ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「IP管理」で、「BYOIP」をクリックします。
- 目的のBYOIP CIDRブロックまたは接頭辞の名前をクリックします。
- 「名前変更」をクリックします。ウィンドウが表示されます。
- ウィンドウで、新しい名前を入力します。機密情報の入力は避けてください。
- 「変更の保存」をクリックします。
BYOIP CIDRブロックをプールから正常に削除するには、そのアドレス範囲に予約済パブリックIPアドレスが存在しない必要があります。1つ以上の予約済パブリックIPアドレスを終了する必要がある場合があります。IPv6接頭辞はIPプールを使用しません。
- 目的のリージョンおよびコンパートメントを表示していることを確認します。
- ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「IP管理」で、「BYOIP」をクリックします。
- 目的のBYOIP IPv4 CIDRブロックの名前をクリックします。
- パブリックIPプールから削除する部分範囲に対応する「アクション」アイコンをクリックし、「パブリックIPプールから削除」をクリックします。確認ウィンドウが表示されます。
- BYOIP CIDRブロックを削除する場合、「CIDRブロックの削除」をクリックします。
BYOIP CIDRブロックを正常に削除するには、CREATING、PROVISIONED、ACTIVEまたはFAILED状態である必要があり、パブリックIPプールに追加された部分範囲を持つことはできません。BYOIPv6接頭辞は、VCNに割り当てられた接頭辞または部分範囲を持つことはできません。
BYOIP CIDRブロックを削除する場合は、インポート・プロセスを繰り返してアクションを元に戻す必要があります。
- 目的のリージョンおよびコンパートメントを表示していることを確認します。
- ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「IP管理」で、「BYOIP」をクリックします。
- 目的のBYOIP CIDRブロックの名前をクリックします。
- 「削除」をクリックします。確認ウィンドウが表示されます。
- BYOIP CIDRブロックを削除する場合、「BYOIP CIDRブロックの削除」をクリックします。
BYOIP IPv4 CIDRブロックまたはIPv6接頭辞は、通知する前にプロビジョニングする必要があります。
BYOIP CIDRブロックまたはIPv6接頭辞は、Oracle所有のBGP ASNを使用して通知されます。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。
- 目的のリージョンおよびコンパートメントを表示していることを確認します。
- ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「IP管理」で、「BYOIP」をクリックします。
- 目的のBYOIP IPv4 CIDRブロックまたはIPv6接頭辞の名前をクリックします。
- 「通知」をクリックします。確認ウィンドウが表示されます。
- 確認ウィンドウで、「通知」をクリックします。
- 目的のリージョンおよびコンパートメントを表示していることを確認します。
- ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「IP管理」で、「BYOIP」をクリックします。
- 目的のBYOIP IPv4 CIDRブロックまたはIPv6接頭辞の名前をクリックします。
- 「取下げ」をクリックします。確認ウィンドウが表示されます。
- 確認ウィンドウで、「取下げ」をクリックします。
- 目的のリージョンおよびコンパートメントを表示していることを確認します。
- ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「IP管理」で、「BYOIP」をクリックします。
- 目的のBYOIP CIDRブロックの名前をクリックします。
- 「BYOIP CIDRブロックの部分範囲」セクションまで下にスクロールし、「BYOIP CIDRブロックの管理」をクリックします。「BYOIP CIDRブロックの管理」画面が表示されます。
- CIDR接尾辞の数値を入力するか、接尾辞の横にある上下の矢印を使用して、接尾辞の数値(通常は/24)を変更します。表内の新しい行が表示され、CIDRブロック全体で使用可能な部分範囲が示されます。
- BYOIP CIDRブロックの新しく作成された各部分範囲について、表の最初の列にあるボックスを選択し、「パブリックIPプールへのBYOIP CIDRブロックの追加」をクリックします。
- 「既存のパブリックIPプールの選択」または「新規パブリックIPプールの作成」を選択します。
- 既存のパブリックIPプールの選択: 選択リストを使用して既存のIPプールを選択します。
- 新規パブリックIPプールの作成: 新しいプールに名前を割り当て、コンパートメントを選択します。パブリックIPプールは後で別のコンパートメントに移動できます。機密情報の入力は避けてください。
- 「パブリックIPプールへのBYOIP CIDRブロックの追加」をクリックします
- 「既存のパブリックIPプールの選択」または「新規パブリックIPプールの作成」を選択します。
- BYOIP CIDRブロックのすべての部分範囲がパブリックIPプールに割り当てられるまで前のステップを繰り返し、「送信」をクリックします。
BYOIP CIDRブロックの部分範囲がプールに割り当てられていないままの場合、「送信」をクリックした後、表の表示が異なることがあります。
- 目的のリージョンおよびコンパートメントを表示していることを確認します。
- ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「IP管理」で、「BYOIP」をクリックします。
- 管理するBYOIPv6接頭辞の名前をクリックします。
- リソースの詳細ページで、「BYOIPv6接頭辞の管理」をクリックします。
- IPv6接頭辞の一部またはすべてをVCNに割り当てることができます。既存のVCNにBYOIPv6接頭辞全体を割り当てる場合は、「仮想クラウド・ネットワーク」列でVCNを選択します。
- BYOIPv6接頭辞の一部をあるVCNに割り当て、一部を別のVCNに割り当てる場合は、表示されている接頭辞をデフォルトの/48から変更します。アドレス範囲のグループが画面に表示され、それらを既存のVCNに割り当てることができます。
- 終了したら、「変更の保存」をクリックします。選択を行っていない場合は、「取消」をクリックします。 ノート
BYOIPv6接頭辞の少なくとも1つの部分をVCNに割り当てないと、「変更の保存」アクションを完了できません。
APIの使用
APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。
ByoipRangeオブジェクトを管理するには、次の操作を使用します:
- AdvertiseByoipRange
- ChangeByoipRangeCompartment
- CreateByoipRange: 詳細は次を参照してください。
- DeleteByoipRange
- GetByoipRange
- ListByoipRanges
- UpdateByoipRange
- ValidateByoipRange
- WithdrawByoipRange
次の操作は、BYOIPv6に固有です:
ByoipRangeオブジェクトの作成後
ByoipRange
オブジェクトを作成した後、そのvalidationToken
と、ipv6CidrBlock
またはByoipRangeのipv6CidrBlock
のいずれかのコピーを作成します。任意のテキスト・エディタを使用して、次のいずれかのフォーマットでトークン文字列を作成します。
IPv4 CIDRブロックをインポートするには:
OCITOKEN::<cidrBlock>:<validationToken>
IPv6接頭辞をインポートするには:
OCITOKEN::<ipv6CidrBlock>:<validationToken>
検証をリクエストする前に、この変更した検証トークンを地域インターネット・レジストリ(RIR)に提供してください。