IPの持込み

Oracle Cloud Infrastructureでは、Oracleが所有するアドレスを使用することに加えて、IPの持込み(BYOIP)によるアドレス空間をOracle Cloud Infrastructureのリソースで使用できます。

BYOIPでは、既存のセキュリティ、管理およびデプロイメント・ポリシーに一致するようにIPv4 CIDRブロックおよびIPv6接頭辞を管理し、次を実現できます:

  • ソリューションの継続性とハードコードされた依存関係: VCNは、ポリシーおよび管理プロセスを再開発することなく、パブリック・インターネット・プレゼンスを拡張します。IPアドレスをデバイスにハードコードしている場合、または特定のIPアドレスにアーキテクチャの依存関係を構築している場合、BYOIPを使用すると、Oracle Cloud Infrastructureにスムーズに移行できます。
  • IPプール管理: 一部のネットワーク管理者には、IPv4アドレスのグループをプールにまとめ、ロード・バランサ、ファイアウォール、Webサーバーなどのデプロイメント用のリソースを作成する機能が必要です。IPプール管理には、予約済パブリックIPv4アドレスを管理するためのツールが用意されています。IPv6は、IPプール管理を使用しません。
  • IPレピュテーション: 一部のインターネット・サービスは、連続したIPアドレス空間(1から255までのIPアドレスのすべての範囲など)に依存しており、主要な電子メール・サービス・プロバイダやメール配信システムなどのサービス間の信頼できる接続先として機能します。

Oracleは、インポートされたIPv4 CIDRブロックまたはIPv6接頭辞に対して検証プロセスを実行し、検証後にそれらが通知に使用できることがユーザーに通知されます。このアドレス空間から1つ以上のパブリックIPv4プールを作成するには、BYOIP CIDRブロックの部分範囲を指定し、IPプールを使用して特定のリソースを割り当てます。必要に応じて、BYOIPルートの通知を開始または停止できます。IPv6はIPプールを使用しませんが、ユーザーは同様に接頭辞をVCNおよびサブネットに割り当てることができます。

要件および準備

  • Oracle Cloud InfrastructureにインポートするパブリックIPv4 CIDRブロックまたはIPv6接頭辞の所有権が必要であり、その所有権はサポートされている地域インターネット・レジストリ(RIR)に登録されている必要があります。Oracleは、アドレスの所有権を検証します。次のレジストリのみがサポートされており、アドレスには指定されたタイプまたはステータスが必要です:

  • IPアドレス範囲内のアドレスには、クリーンな履歴が必要です。IPアドレス範囲の評判が調査され、悪意のある動作に関連するIPアドレスを含むIPアドレス範囲を拒否する権利が留保されます。

制限および割当て制限

  • アドレスは、特定のOracleリージョンにのみインポートできます。
  • BYOIPは、最小が/24で最大が/8のIPv4 CIDRブロックで使用できます。
  • インポートされたIPv6接頭辞は、/48以上である必要があります。
  • 一度に複数のコンパートメントに同じアドレス範囲を持ち込むことはできません。
  • 最大20個のIPv4 CIDRブロックまたはIPv6接頭辞(またはその組合せ)をOracle Cloud Infrastructureアカウントに持ち込むことができます。
  • VCNごとに合計で最大5個、サブネットごとに最大3個のIPv6接頭辞を割り当てることができます。サブネットに複数のIPv6接頭辞が割り当てられている場合、複数の接頭辞のIPv6アドレスをVNICに割り当てることができます。
  • BYOIPは、Oracle Cloud Infrastructure Free Tierでは使用できず、Pay As You Goサービスに対してリクエストする必要があります。

その他の制限関連の情報については、IP管理の制限およびサービス制限の引上げのリクエストを参照してください。

BYOIPプロセスの概要

Oracle Cloud InfrastructureのBYOIPに必要なステップにはかなりの時間かかるため、それに応じた計画を立てます。プロセスを次の図に示します:

BYOIPのインポート・プロセスを示すスイムレーン図。
  1. テナンシのコンパートメント内で、所有しているパブリックIPv4 CIDRブロックまたはIPv6接頭辞のインポートをリクエストします。
  2. Oracleは検証トークンを発行します。(APIユーザーはトークンを変更する必要があります。コンソール・ユーザーは完了したトークンを取得します。)
  3. 検証トークンを、RIRサービスによって保持されているそのパブリックIPv4 CIDRブロックまたはIPv6接頭辞に関する情報に追加します。詳細はRIRによって異なります。更新が有効になるまで最大1日かかる場合があります。更新が有効になる前に次のステップに移動すると、プロセスを完了するための合計時間に1日が追加されます。詳細は、BYOIP IPv4 CIDRブロックまたはIPv6接頭辞をインポートするにはを参照してください。
  4. RIRを使用してRoute Origin Authorization (ROA)を作成します。ROAの一部として、Oracle BGP ASNを提供します。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。ROAによって、OracleはBYOIP CIDRブロックを通知できます。
  5. Oracleがインポート・リクエストを終了するようにリクエストします。このワークフローの完了には最大10営業日かかりますが、その間にOracleはRIRとやり取りし、ユーザーがIPアドレスを所有していることを検証します。
  6. Oracleは、テナンシ内のコンパートメントにBYOIPアドレスをプロビジョニングします。
  7. この時点で、BYOIP IPv4 CIDRブロックまたはIPv6接頭辞は、ユーザーが自分のコンパートメントで管理することになります。IPv4アドレスをIPプールに追加し、予約済IPアドレスとして使用できます。IPv6接頭辞はプールを使用せず、ユーザーは下位区分をVCNに直接割り当てたり、IPv6接頭辞全体をVCNに割り当てたりできます。インターネットにBYOIP CIDRブロックまたはBYOIPv6接頭辞を通知することもできます。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者からポリシーでセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。

管理者用: ネットワーキングに対するIAMポリシーを参照してください。

IAMリソースの制限

適用可能な制限のリストと制限の引上げをリクエストする手順は、サービス制限を参照してください。リソースまたはリソース・ファミリにコンパートメント固有の制限を設定するために、管理者は、コンパートメント割当てを使用できます。

BYOIPの管理

コンソールの使用

BYOIP IPv4 CIDRブロックまたはIPv6接頭辞をインポートするには
  1. 目的のリージョンおよびコンパートメントを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「IP管理」で、「BYOIP」をクリックします。
  3. 「BYOIP CIDRブロックのインポート」をクリックします。「BYOIP CIDRブロックのインポート」画面が表示されます。
  4. 「BYOIP CIDRブロックのインポート」画面で、BYOIP CIDRブロックの名前を入力し、コンパートメントを選択して、テナンシに持ち込むIPv4 CIDRブロックまたはIPv6接頭辞を入力します。機密情報の入力は避けてください。
  5. 「変更の保存」をクリックします。そのBYOIPインポート・リクエストの詳細ページが表示されます。
  6. 「次のステップ」セクションで、検証トークンのコピーを作成します。トークン・フォーマットはIPバージョンによって異なります。

    IPv4 CIDRブロックのフォーマット:

    OCITOKEN::<cidrBlock>:<validationToken>

    IPv6接頭辞のフォーマット:

    OCITOKEN::<ipv6CidrBlock>:<validationToken>

    コンソールには送信準備が完了したトークンが表示されますが、APIでは表示されません。APIユーザーは、表示されているようにトークンを手動で変更する必要があります。

  7. OracleにBYOIP CIDRブロックの通知を許可するRoute Origin Authorization (ROA)オブジェクトを作成します。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。US Government Cloudについては、OracleのBGP ASNを参照してください。少なくとも6か月先の有効期限を設定してください。RIRにとって適切な手順に従います:
    ノート

    ROAを作成しない場合、OracleはBYOIP IPv4 CIDRブロックまたはIPv6接頭辞を通知できません。ルートを通知できなければ、それらをインポートする意味はほとんどありません。
  8. ここで、アドレス範囲に関連付けられたRIRアカウント情報に検証トークンを追加します。RIRごとに多少異なる方法を使用します:
    • ARIN: アドレス範囲に関連付けられた"Public Comments"セクションにトークン文字列を追加します。
    • RIPE NCC: アドレス範囲に関連付けられた新しい"descr"フィールドとしてトークン文字列を追加します。
    • APNIC: helpdesk@apnic.netに電子メールで送信して、アドレス範囲の"remarks"フィールドにトークン文字列を追加します。電子メールは、IPアドレス範囲のAPNIC認可済連絡先アカウントから送信する必要があります。
    ノート

    検証トークンは、アドレス範囲情報に関連付ける必要があります。アドレス範囲を所有する組織の情報には追加しないでください。
  9. ROAとトークン登録の両方が完了するまで待機してから(最大1日)、「インポートの終了」ボタンをクリックします。そうしないと、プロセスは最大1日遅延する可能性があります。
  10. BYOIPリクエストの詳細ページに戻り、「インポートの終了」をクリックします。確認画面が表示されます。
  11. 「インポートの終了」をクリックして、BYOIPリクエストを検証することを確認します。OracleがRIRに連絡し、インポートを検証してCIDRブロックをプロビジョニングするまでに最大10営業日かかります。作業リクエストを表示してステータスを確認します。
BYOIP CIDRブロックおよび接頭辞を表示するには
  1. 目的のリージョンおよびコンパートメントを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「IP管理」で、「BYOIP」をクリックします。
BYOIP CIDRブロックまたは接頭辞の名前を変更するには
  1. 目的のリージョンおよびコンパートメントを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「IP管理」で、「BYOIP」をクリックします。
  3. 目的のBYOIP CIDRブロックまたは接頭辞の名前をクリックします。
  4. 名前変更」をクリックします。ウィンドウが表示されます。
  5. ウィンドウで、新しい名前を入力します。機密情報の入力は避けてください。
  6. 「変更の保存」をクリックします。
プールからBYOIP IPV4 CIDRブロックを削除するには
ノート

BYOIP CIDRブロックをプールから正常に削除するには、そのアドレス範囲に予約済パブリックIPアドレスが存在しない必要があります。1つ以上の予約済パブリックIPアドレスを終了する必要がある場合があります。IPv6接頭辞はIPプールを使用しません。
  1. 目的のリージョンおよびコンパートメントを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「IP管理」で、「BYOIP」をクリックします。
  3. 目的のBYOIP IPv4 CIDRブロックの名前をクリックします。
  4. パブリックIPプールから削除する部分範囲に対応する「アクション」アイコンをクリックし、「パブリックIPプールから削除」をクリックします。確認ウィンドウが表示されます。
  5. BYOIP CIDRブロックを削除する場合、「CIDRブロックの削除」をクリックします。
BYOIP IPv4 CIDRブロックまたはIPv6接頭辞を削除するには

BYOIP CIDRブロックを正常に削除するには、CREATING、PROVISIONED、ACTIVEまたはFAILED状態である必要があり、パブリックIPプールに追加された部分範囲を持つことはできません。BYOIPv6接頭辞は、VCNに割り当てられた接頭辞または部分範囲を持つことはできません。

ノート

BYOIP CIDRブロックを削除する場合は、インポート・プロセスを繰り返してアクションを元に戻す必要があります。
  1. 目的のリージョンおよびコンパートメントを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「IP管理」で、「BYOIP」をクリックします。
  3. 目的のBYOIP CIDRブロックの名前をクリックします。
  4. 「削除」をクリックします。確認ウィンドウが表示されます。
  5. BYOIP CIDRブロックを削除する場合、「BYOIP CIDRブロックの削除」をクリックします。
BYOIP CIDRブロックを取り下げるには
  1. 目的のリージョンおよびコンパートメントを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「IP管理」で、「BYOIP」をクリックします。
  3. 目的のBYOIP IPv4 CIDRブロックまたはIPv6接頭辞の名前をクリックします。
  4. 「取下げ」をクリックします。確認ウィンドウが表示されます。
  5. 確認ウィンドウで、「取下げ」をクリックします。
BYOIP IPv4 CIDRブロックを分割してパブリックIPプールに部分範囲を割り当てるには
  1. 目的のリージョンおよびコンパートメントを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「IP管理」で、「BYOIP」をクリックします。
  3. 目的のBYOIP CIDRブロックの名前をクリックします。
  4. 「BYOIP CIDRブロックの部分範囲」セクションまで下にスクロールし、「BYOIP CIDRブロックの管理」をクリックします。「BYOIP CIDRブロックの管理」画面が表示されます。
  5. CIDR接尾辞の数値を入力するか、接尾辞の横にある上下の矢印を使用して、接尾辞の数値(通常は/24)を変更します。表内の新しい行が表示され、CIDRブロック全体で使用可能な部分範囲が示されます。
  6. BYOIP CIDRブロックの新しく作成された各部分範囲について、表の最初の列にあるボックスを選択し、「パブリックIPプールへのBYOIP CIDRブロックの追加」をクリックします。
    1. 「既存のパブリックIPプールの選択」または「新規パブリックIPプールの作成」を選択します。
      • 既存のパブリックIPプールの選択: 選択リストを使用して既存のIPプールを選択します。
      • 新規パブリックIPプールの作成: 新しいプールに名前を割り当て、コンパートメントを選択します。パブリックIPプールは後で別のコンパートメントに移動できます。機密情報の入力は避けてください。
    2. 「パブリックIPプールへのBYOIP CIDRブロックの追加」をクリックします
  7. BYOIP CIDRブロックのすべての部分範囲がパブリックIPプールに割り当てられるまで前のステップを繰り返し、「送信」をクリックします。
ノート

BYOIP CIDRブロックの部分範囲がプールに割り当てられていないままの場合、「送信」をクリックした後、表の表示が異なることがあります。
BYOIPv6接頭辞を管理するには

  1. 目的のリージョンおよびコンパートメントを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「IP管理」で、「BYOIP」をクリックします。
  3. 管理するBYOIPv6接頭辞の名前をクリックします。
  4. リソースの詳細ページで、「BYOIPv6接頭辞の管理」をクリックします。
  5. IPv6接頭辞の一部またはすべてをVCNに割り当てることができます。既存のVCNにBYOIPv6接頭辞全体を割り当てる場合は、「仮想クラウド・ネットワーク」列でVCNを選択します。
  6. BYOIPv6接頭辞の一部をあるVCNに割り当て、一部を別のVCNに割り当てる場合は、表示されている接頭辞をデフォルトの/48から変更します。アドレス範囲のグループが画面に表示され、それらを既存のVCNに割り当てることができます。
  7. 終了したら、「変更の保存」をクリックします。選択を行っていない場合は、「取消」をクリックします。
    ノート

    BYOIPv6接頭辞の少なくとも1つの部分をVCNに割り当てないと、「変更の保存」アクションを完了できません。

APIの使用

APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。

ByoipRangeオブジェクトを管理するには、次の操作を使用します:

次の操作は、BYOIPv6に固有です:

ByoipRangeオブジェクトの作成後

ByoipRangeオブジェクトを作成した後、そのvalidationTokenと、ipv6CidrBlockまたはByoipRangeipv6CidrBlockのいずれかのコピーを作成します。任意のテキスト・エディタを使用して、次のいずれかのフォーマットでトークン文字列を作成します。

IPv4 CIDRブロックをインポートするには:

OCITOKEN::<cidrBlock>:<validationToken>

IPv6接頭辞をインポートするには:

OCITOKEN::<ipv6CidrBlock>:<validationToken>

検証をリクエストする前に、この変更した検証トークンを地域インターネット・レジストリ(RIR)に提供してください。