ネットワーキングの概要
Oracle Cloud Infrastructureを使用する場合の最初のステップの1つはクラウド・リソースのVirtual Cloud Network (VCN)を設定することです。このトピックでは、Oracle Cloud Infrastructure NetworkingコンポーネントおよびVCNの使用に関する一般的なシナリオの概要を説明します。
ネットワーキング・コンポーネント
ネットワーキング・サービスでは、すでによく理解されている可能性のある従来のネットワーク・コンポーネントの仮想バージョンを使用します:
- 仮想クラウド・ネットワーク(VCN)
- Oracleデータ・センターで設定する仮想プライベート・ネットワーク。これは従来のネットワークとよく似ており、使用するように選択できるファイアウォール・ルールや特定のタイプの通信ゲートウェイがあります。VCNは単一のOracle Cloud Infrastructureリージョンに存在し、1つ以上のCIDRブロックを対象とします(有効な場合はIPv4およびIPv6)。許容されるVCNのサイズとアドレス範囲を参照してください。このドキュメントでは、仮想クラウド・ネットワーク、VCNおよびクラウド・ネットワークという用語は、同じ意味で使用されます。詳細は、VCNとサブネットを参照してください。
- サブネット
-
VCNで定義する下位区分(例: 10.0.0.0/24、10.0.1.0/24または2001:DB8::/64)。サブネットには、インスタンスにアタッチされる仮想ネットワーク・インタフェース・カード(VNIC)が含まれます。各サブネットは、VCN内の他のサブネットと重複しない連続したIPアドレス(有効な場合はIPv4およびIPv6)の範囲で構成されます。1つの可用性ドメイン内またはリージョン全体にサブネットが存在するように指定できます(リージョナル・サブネットをお薦めします)。サブネットはVCN内の構成単位として機能します。特定のサブネット内のすべてのVNICは、同じルート表、セキュリティ・リストおよびDHCPオプションを使用します(後続の定義を参照)。サブネットは、作成時にパブリックまたはプライベートとして指定できます。プライベートとは、サブネット内のVNICにパブリックIPv4アドレスを使用できず、IPv6エンドポイントとのインターネット通信が禁止されることを意味します。パブリックとは、サブネット内のVNICにパブリックIPv4アドレスを使用でき、IPv6エンドポイントとのインターネット通信が許可されることを意味します。インターネットへのアクセスを参照してください。
- VNIC
-
インスタンスにアタッチされ、サブネットに存在してサブネットのVCNへの接続を可能にする仮想ネットワーク・インタフェース・カード(VNIC)。VNICは、インスタンスがVCNの内外のエンドポイントと接続する方法を決定します。各インスタンスには、インスタンスの起動中に作成され、削除できないプライマリVNICがあります。セカンダリVNICを既存のインスタンス(プライマリVNICと同じ可用性ドメイン内)に追加したり、任意に削除できます。各セカンダリVNICは、プライマリVNICと同じVCN内のサブネット、または同じVCN内の異なるサブネット、または異なるサブネットに存在できます。ただし、すべてのVNICは、インスタンスと同じ可用性ドメイン内にある必要があります。詳細は、仮想ネットワーク・インタフェース・カード(VNIC)を参照してください。コンピュート・インスタンスにアタッチされ、IPv6対応サブネットに存在するVNICには、オプションでIPv6アドレスを割り当てることができます。
- プライベートIP
- インスタンスをアドレス指定するためのプライベートIPv4アドレスおよび関連情報(たとえば、DNSのホスト名)。各VNICにはプライマリ・プライベートIPがあり、セカンダリ・プライベートIPを追加および削除できます。インスタンスのプライマリ・プライベートIPアドレスは、インスタンスの存続期間中は変更されず、インスタンスから削除できません。詳細は、プライベートIPアドレスを参照してください。
- パブリックIP
- パブリックIPv4アドレスおよび関連情報。オプションで、パブリックIPをインスタンスに、またはプライベートIPを持つ他のリソースに割り当てることができます。パブリックIPは、エフェメラルまたは予約済のいずれかです。詳細は、パブリックIPアドレスを参照してください。
- IPV6
- IPv6アドレスおよび関連情報。IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。
- 動的ルーティング・ゲートウェイ(DRG)
- VCNに追加できるオプションの仮想ルーター。これは、VCNとオンプレミス・ネットワーク間のプライベート・ネットワーク・トラフィックのパスを提供します。これを他のネットワーキング・コンポーネントおよびオンプレミス・ネットワーク内のルーターと組み合せて使用し、サイト間VPNまたはOracle Cloud Infrastructure FastConnectによる接続を確立できます。また、VCNと、異なるリージョンにある別のVCNとの間のプライベート・ネットワーク・トラフィックのパスを提供することもできます。詳細は、オンプレミス・ネットワークへのアクセス、Dynamic Routing GatewaysおよびレガシーDRGを使用したリモートVCNピアリングを参照してください。
- インターネット・ゲートウェイ
- VCNに直接インターネット・アクセス用として追加できるもう1つのオプションの仮想ルーター。詳細は、インターネットへのアクセスおよびシナリオA: パブリック・サブネットを参照してください。
- ネットワーク・アドレス変換(NAT)ゲートウェイ
- VCNに追加できるもう1つのオプションの仮想ルーター。これにより、パブリックIPアドレスを持たないクラウド・リソースは、着信インターネット接続にそれらのリソースを公開せずにインターネットにアクセスできます。詳細は、パブリック・サブネットとプライベート・サブネットおよびNATゲートウェイを参照してください。
- サービス・ゲートウェイ
- VCNに追加できるもう1つのオプションの仮想ルーター。これは、VCNとOracle Services Networkでサポートされているサービス(例: Oracle Cloud Infrastructure Object StorageおよびAutonomous Database)との間のプライベート・ネットワーク・トラフィックのパスを提供します。たとえば、VCNのプライベート・サブネット内のDBシステムでは、パブリックIPアドレスやインターネットへのアクセスを必要とせずに、データをオブジェクト・ストレージにバックアップできます。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。
- ローカル・ピアリング・ゲートウェイ(LPG)
- VCNに追加できるもう1つのオプションの仮想ルーター。1つのVCNを同じリージョン内の別のVCNとピア接続できます。ピアリングとは、VCNがプライベートIPアドレスを使用して通信するということです。トラフィックがインターネットを通過したり、オンプレミス・ネットワークを経由してルーティングしたりすることはありません。指定したVCNでは、確立されるピアリングごとに、個別のLPGが必要です。詳細は、ローカル・ピアリング・ゲートウェイを使用したローカルVCNピアリングを参照してください。
- リモート・ピアリング接続(RPC)
- DRGに追加できるコンポーネント。1つのVCNを異なるリージョン内の別のVCNとピア接続できます。詳細は、レガシーDRGを使用したリモートVCNピアリングを参照してください。
- ルート表
- VCNの仮想ルート表。これには、ゲートウェイまたは特別に構成されたインスタンスを介して、サブネットからVCN以外の宛先にトラフィックをルーティングするルールがあります。VCNには、空のデフォルト・ルート表が用意されていますが、独自のカスタム・ルート表を追加することもできます。詳細は、VCNルート表を参照してください。
- セキュリティ・ルール
- VCNの仮想ファイアウォール・ルール。これは、インスタンスの内外で許可されるトラフィックのタイプ(プロトコルとポート)を指定するイングレス・ルールおよびエグレス・ルールです。特定のルールがステートフルかステートレスかを選択できます。たとえば、ソースCIDR 0.0.0.0/0および宛先TCPポート22を使用してステートフル・イングレス・ルールを設定することで、任意の場所からインスタンスのセットへの受信SSHトラフィックを許可できます。セキュリティ・ルールを実装するには、ネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用します。ネットワーク・セキュリティ・グループは、そのグループ内のリソースのみに適用されるセキュリティ・ルールのセットで構成されます。これとは対照的に、セキュリティ・リストでは、リストを使用するサブネットのすべてのリソースにルールが適用されます。VCNには、デフォルトのセキュリティ・ルールを含むデフォルト・セキュリティ・リストが付属しています。詳細は、セキュリティ・ルールを参照してください。
- DHCPオプション
- インスタンスの起動時にインスタンスに自動的に提供される構成情報。詳細は、DHCPオプションを参照してください。
許容されるVCNのサイズとアドレス範囲
VCNは、選択した1つ以上のIPv4 CIDRブロックまたはIPv6接頭辞をカバーします。許容されるVCNサイズの範囲は、/16から/30です。例: 10.0.0.0/16。ネットワーキング・サービスは、各サブネットのCIDRの最初の2つのIPアドレスと最後のアドレスを予約します。 VCNの作成時にIPv6を有効にするか、既存のIPv4専用VCNでIPv6を有効にできます。Oracle割当てのIPv6接頭辞を使用する場合は、常に/56を取得します。または、/64以上の任意の接頭辞をVCNに割り当てることができる独自のBYOIP IPv6接頭辞をインポートするか、/64以上のULA接頭辞を割り当てることができます。GUA範囲は2000::/3まで、ULA範囲はfc00::/7までです。IPv6サブネットのサイズは、常に/64です。
VCNの場合、Oracleでは、RFC 1918で指定されたプライベートIPアドレス範囲を使用することをお薦めします(RFCでは10.0/8または172.16/12が推奨されていますが、Oracleではこれらのサイズがサポートされていないため、10.0/16、172.16/16および192.168/16を使用してください)。ただし、パブリックにルーティング可能な範囲を使用できます。このドキュメントでは、VCNのCIDRのIPアドレスに言及する場合、プライベートIPアドレスという用語を使用します。許可されないアドレス範囲については、Oracle使用のための予約IPアドレスで説明されています。IPv6対応VCNの場合、Oracleは、グローバル・ユニキャスト・アドレスの/56接頭辞を割り当てるか、BYOIPv6接頭辞を使用してVCNを作成できます。
VCNのCIDRブロックは、相互に重複できず、オンプレミス・ネットワーク内のCIDRや、ピアリングしている他のVCNのCIDRと重複することはできません。指定されたVCNのサブネットは、相互に重複することはできません。参照用として、ここにCIDR計算機があります。
IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。
可用性ドメインおよびVCN
VCNは単一のOracle Cloud Infrastructureリージョンにあります。リージョンは、独立性と冗長性を提供するために複数の可用性ドメインを持つことができます。詳細は、リージョンと可用性ドメインを参照してください。
当初、サブネットは、1つのリージョンで1つの可用性ドメイン(AD)のみをカバーするように設計されました。それらはすべてAD固有であったため、サブネットのリソースは特定の可用性ドメインに存在する必要がありました。現在、サブネットはAD固有またはリージョナルです。サブネットの作成時にタイプを選択します。両方のタイプのサブネットが同じVCNに共存できます。次の図で、サブネット1-3はAD固有で、サブネット4はリージョナルです。
AD制約の削除とは別に、リージョナル・サブネットはAD固有のサブネットと同じように動作します。より柔軟なリージョナル・サブネットの使用をお薦めします。それにより、可用性ドメインの障害を考慮した設計をしながら、VCNを複数のサブネットに効率的に分割できます。
コンピュート・インスタンスなどのリソースを作成する際は、リソースが属する可用性ドメインを選択します。仮想ネットワーキングの観点から、インスタンスが属するVCNおよびサブネットを選択する必要もあります。リージョナル・サブネットを選択するか、そのインスタンスに対して選択したADに一致するAD固有のサブネットを選択できます。
VCNに付属するデフォルト・コンポーネント
VCNには、次のデフォルト・コンポーネントが自動的に付属しています:
- デフォルト・ルート表(ルート・ルールなし)
- デフォルト・セキュリティ・リスト(デフォルトのセキュリティ・ルールあり)
- デフォルトのDHCPオプション・セット(デフォルト値あり)
これらのデフォルト・コンポーネントは削除できません。ただし、そのコンテンツを変更することはできます(たとえば、デフォルト・セキュリティ・リスト内のルール)。また、VCN内のコンポーネントの種類ごとに独自のカスタム・バージョンを作成できます。作成できる数とルールの最大数には制限があります。詳細は、サービス制限を参照してください。
各サブネットには、次のコンポーネントが常に関連付けられます:
- 1つのルート表
- 1つ以上のセキュリティ・リスト(最大数はサービス制限を参照)
- 1セットのDHCPオプション
サブネットの作成中、サブネットで使用するルート表、セキュリティ・リストおよびDHCPオプションのセットを選択できます。特定のコンポーネントを指定しない場合、サブネットは自動的にVCNのデフォルト・コンポーネントを使用します。いつでもサブネットが使用するコンポーネントを変更できます。
セキュリティ・リストは、VCNのリソース内外のトラフィックを制御する1つの方法です。また、ネットワーク・セキュリティ・グループを使用すると、すべて同じセキュリティ体制を持つ一連のリソースにセキュリティ・ルールのセットを適用できます。
接続の選択肢
サブネットをパブリックまたはプライベートのどちらにするか、およびインスタンスでパブリックIPアドレスを取得するかどうかを制御できます。必要に応じて、インターネットにアクセスするようにVCNを設定できます。VCNをパブリックなOracle Cloud Infrastructureサービス(オブジェクト・ストレージなど)、オンプレミス・ネットワーク、または別のVCNにプライベートに接続することもできます。
パブリック・サブネットとプライベート・サブネット
サブネットを作成すると、デフォルトでパブリックとみなされます。これは、そのサブネット内のインスタンスにパブリックIPv4アドレスを設定でき、IPv6エンドポイントとのインターネット通信が許可されることを意味します。インスタンスを起動するユーザーは、パブリックIPv4アドレスを持っているかどうかを選択するか、または割り当てられた接頭辞のIPv6アドレスを割り当てるかどうかを指定します。サブネットの作成時にこの動作をオーバーライドし、プライベートとするようにリクエストできます。これにより、パブリックIPv4アドレスおよびIPv6エンドポイントとのインターネット通信の使用が禁止されます。そのため、ネットワーク管理者は、VCNに動作中のインターネット・ゲートウェイがあり、セキュリティ・ルールとファイアウォール・ルールでトラフィックが許可されていても、サブネット内のインスタンスがインターネットにアクセスしないようにできます。
IPアドレスの割当て方法
各インスタンスには、インスタンスの起動中に作成され、削除できないプライマリVNICがあります。セカンダリVNICを既存のインスタンス(プライマリVNICと同じ可用性ドメイン内)に追加したり、任意に削除できます。
すべてのVNICに、関連付けられたサブネットのCIDRからのプライベートIPアドレスがあります。特定のIPアドレスの選択(インスタンスの起動中またはセカンダリVNICの作成中)ができ、Oracleによる選択も可能です。プライベートIPアドレスはインスタンスの存続期間中は変更されず、削除できません。セカンダリ・プライベートIPv4アドレスまたはセカンダリIPv6アドレスをVNICに追加することもできます。
VNICがパブリック・サブネット内にある場合、そのVNIC上の各プライベートIPには、パブリックIPv4アドレスまたはIPv6アドレスを任意に割り当てることができます。IPv4の場合、Oracleによって特定のIPアドレスが選択されます。IPv6の場合、IPアドレスを指定できます。パブリックIPには、エフェメラルおよび予約済の2つのタイプがあります。エフェメラル・パブリックIPは、それが割り当てられたプライベートIPの存続期間のみ存在します。対照的に、予約済パブリックIPは、ユーザーが希望する間存在します。予約済パブリックIPのプールを保持し、それらを任意にインスタンスに割り当てます。必要に応じてリージョン内のリソースからリソースにこれらを移動できます。
インターネットへのアクセス
必要なインターネット・アクセスのタイプに応じて、VCNに追加できる2つのオプションのゲートウェイ(仮想ルーター)があります:
- インターネット・ゲートウェイ: インターネットからアクセスする必要があるパブリックIPアドレスを持つリソース(Webサーバーなど)、またはインターネットへの接続を開始する必要があるリソースの場合。
- NATゲートウェイ: インターネットへの接続を開始する必要がある(たとえば、ソフトウェアの更新のため)パブリックIPアドレスがないが、インターネットからのインバウンド接続から保護する必要があるリソースの場合。
インターネット・ゲートウェイを単独で使用すると、VCNのサブネット内のインスタンスはインターネットに直接公開されません。次の要件も満たす必要があります:
- インターネット・ゲートウェイを有効にする必要があります(デフォルトでは、作成時にインターネット・ゲートウェイが有効になります)。
- サブネットは、パブリックである必要があります。
-
サブネットには、トラフィックをインターネット・ゲートウェイに送信するルート・ルールが必要です。
- サブネットには、トラフィックを許可するセキュリティ・リスト・ルールが必要です(各インスタンスのファイアウォールもトラフィックを許可する必要があります)。
-
インスタンスには、パブリックIPアドレスが必要です。
インターネット経由のトラフィックを発生させずに、VCNからオブジェクト・ストレージなどのパブリック・サービスにアクセスするには、サービス・ゲートウェイを使用します。
また、VCNとOracle Cloud Infrastructure (オブジェクト・ストレージなど)の一部であるパブリックIPアドレス間のインターネット・ゲートウェイを経由するトラフィックは、インターネットで送信されずにルーティングされることに注意してください。
オンプレミス・ネットワークでインターネット・プロキシを設定し、DRG経由でそのネットワークをVCNに接続することによって、インターネットへの間接的なアクセス権をサブネットに付与することもできます。詳細は、オンプレミス・ネットワークへのアクセスを参照してください。
パブリックOracle Cloud Infrastructureサービスへのアクセス
VCNでサービス・ゲートウェイを使用して、オブジェクト・ストレージなどのパブリックなOracle Cloud Infrastructureサービスへのプライベート・アクセスを有効にできます。たとえば、VCNのプライベート・サブネット内のDBシステムでは、パブリックIPアドレスやインターネットへのアクセスを必要とせずに、データをオブジェクト・ストレージにバックアップできます。インターネット・ゲートウェイまたはNATは必要ありません。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。
オンプレミス・ネットワークへのアクセス
オンプレミス・ネットワークをOracle Cloud Infrastructureに接続するには、2つの方法があります:
- サイト間VPN: 作成してVCNにアタッチするDRGを介して、既存のネットワーク境界とVCNの間に複数のIPSecトンネルを提供します。
- Oracle Cloud Infrastructure FastConnect: 既存のネットワーク境界とOracle Cloud Infrastructureの間にプライベート接続を提供します。トラフィックはインターネットを横断しません。プライベート・ピアリングとパブリック・ピアリングの両方がサポートされています。つまり、オンプレミス・ホストは、VCNのプライベートIPv4またはIPv6アドレスおよびOracle Cloud Infrastructureのリージョナル・パブリックIPv4またはIPv6アドレス(VCNのオブジェクト・ストレージまたはパブリック・ロード・バランサなど)にアクセスできます。
前述の接続タイプの1つまたは両方を使用できます。両方を使用する場合は、それらを同時に、または冗長構成で使用できます。これらの接続は、作成してVCNにアタッチする単一のDRGによってVCNに提供されます。DRGアタッチメントとDRG用ルート・ルールがないと、トラフィックはVCNとオンプレミス・ネットワークの間を流れません。いつでもDRGをVCNからデタッチできますが、残りの接続を構成するその他のすべてのコンポーネントは維持されます。その後、DRGを再度アタッチするか、別のVCNにアタッチできます。
別のVCNへのアクセス
VCNを、トラフィックがインターネットを横断する必要のないプライベート接続を介して別のVCNに接続できます。一般に、このタイプの接続はVCNピアリングと呼ばれます。各VCNには、ピアリングを有効にする特定のコンポーネントが必要です。また、VCNには、特定のIAMポリシー、ルート・ルール、および接続を作成して目的のネットワーク・トラフィックをその接続経由で送信することを許可するセキュリティ・ルールも必要です。詳細は、他のVCNへのアクセス: ピアリングを参照してください。
Oracle Cloud Infrastructure Classicへの接続
Oracle Cloud Infrastructure環境とOracle Cloud Infrastructure Classic環境の間に接続を設定できます。この接続により、2つの環境間でのハイブリッド・デプロイメントや、Oracle Cloud Infrastructure ClassicからOracle Cloud Infrastructureへの移行が容易になります。詳細は、Oracle Cloud Infrastructure Classicへのアクセスを参照してください。
Microsoft Azureへの接続
オラクル社とMicrosoft社は、特定のリージョンでOracle Cloud InfrastructureとMicrosoft Azureの間にクロスクラウド接続を作成しました。この接続により、インターネットを経由するクラウド間のトラフィックのないクロスクラウド・ワークロードを設定できます。詳細は、Microsoft Azureへのアクセスを参照してください。
Libreswanを使用した他のクラウドへの接続
VCNを別のクラウド・プロバイダに接続するには、サイト間VPNと顧客構内機器(CPE)としてのLibreswan VMを組み合せて使用します。詳細は、Libreswanを使用した他のクラウドへのアクセスを参照してください。
ネットワーキング・シナリオ
このドキュメントでは、ネットワーキング・サービスを理解するためのいくつかの基本ネットワーキング・シナリオと、一般にコンポーネントがどのように連携するかについて説明します。次のトピックを参照してください:
転送ルーティング
シナリオA–Cは、DRGおよびFastConnectまたはサイト間VPNを介して1つ以上のVCNに接続されたオンプレミス・ネットワークを示し、それらのVCN内のリソースにのみアクセスします。
次の拡張ルーティング・シナリオでは、接続されたVCNのリソースに加えてオンプレミス・ネットワークにアクセス権を付与します。トラフィックは、オンプレミス・ネットワークからDRGに移動し、DRGからその宛先に転送されます。次のトピックを参照してください:
- ハブVCN内の転送ルーティング: オンプレミス・ネットワークは、単一のFastConnectプライベート仮想回線またはサイト間VPNを介して、同じリージョン内の複数のVCNにアクセスできます。DRGおよびアタッチされたVCNはハブアンドスポーク・トポロジで、ハブとして機能するVCNに接続されたオンプレミス・ネットワークを使用します。スポークVCNはピアリングされます。
- Oracleサービスへのプライベート・アクセス: オンプレミス・ネットワークは、接続されたVCNおよびVCNのサービス・ゲートウェイを経由して、Oracle Services Network内のOracleサービスにプライベート・アクセスできます。トラフィックはインターネットを経由しません。
リージョンと可用性ドメイン
VCNは単一のOracle Cloud Infrastructureリージョンにあります。各サブネットは、単一の可用性ドメイン(AD)に存在します。アベイラビリティ・ドメインは、前述のシナリオBおよびシナリオCに示すように、VCNで分離および冗長性を提供するように設計されています。たとえば、1つのADにサブネットのプライマリ・セットを設定し、セカンダリADにサブネットの重複セットを設定できます。2つのADは、Oracleデータ・センター内で互いに分離されているため、1つのADに障害が発生した場合は、他のADに簡単に切り替えることができます。詳細は、リージョンと可用性ドメインを参照してください。
パブリックIPアドレス範囲
Oracle Cloud InfrastructureのパブリックIP範囲のリストは、IPアドレス範囲を参照してください。
Oracle使用のための予約IPアドレス
特定のIPアドレスはOracle Cloud Infrastructure用に予約されており、アドレス採番方式では使用されません。
169.254.0.0/16
これらのアドレスは、ブートおよびブロック・ボリューム、インスタンス・メタデータ、その他のサービスへのiSCSI接続に使用されます。
クラスDおよびクラスE
224.0.0.0から239.255.255.255まで(クラスD)のすべてのアドレスはVCNでの使用が禁止されており、IP標準でマルチキャスト・アドレス割当て用に予約されています。詳細は、RFC 3171を参照してください。
240.0.0.0から255.255.255.255まで(クラスE)のすべてのアドレスはVCNでの使用が禁止されており、IP標準で将来の使用のために予約されています。詳細は、RFC 1112の4項を参照してください。
各サブネットにある3つのIPアドレス
これらのアドレスの構成は:
- CIDRの最初のIPアドレス(ネットワーク・アドレス)
- CIDRの最後のIPアドレス(ブロードキャスト・アドレス)
- CIDRの最初のホスト・アドレス(サブネットのデフォルト・ゲートウェイ・アドレス)
たとえば、CIDR 192.168.0.0/24のサブネットでは、次のアドレスが予約されます:
- 192.168.0.0 (ネットワーク・アドレス)
- 192.168.0.255 (ブロードキャスト・アドレス)
- 192.168.0.1 (サブネットのデフォルト・ゲートウェイ・アドレス)
CIDR内の残りのアドレス(192.168.0.2から192.168.0.254)を使用できます。
イベントを使用した自動化の作成
イベント・タイプ、ルールおよびアクションを使用して、Oracle Cloud Infrastructureリソースの状態変更に基づいて自動化を作成できます。詳細は、イベントの概要を参照してください。
リソース識別子
ほとんどのタイプのOracle Cloud Infrastructureリソースには、Oracle Cloud ID (OCID)と呼ばれるOracleによって割り当てられた一意の識別子があります。OCIDのフォーマットおよびリソースを識別するその他の方法の詳細は、リソース識別子を参照してください。
Oracle Cloud Infrastructureへのアクセス方法
Oracle Cloud Infrastructure (OCI)には、コンソール(ブラウザベースのインタフェース)、REST APIまたはOCI CLIを使用してアクセスできます。 コンソール、APIおよびCLIの使用手順は、このドキュメント全体のトピックに記載されています。使用可能なSDKのリストは、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。
コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページ上部のナビゲーション・メニューを開き、「インフラストラクチャ・コンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。
API使用についての一般情報は、REST APIを参照してください。
認証と認可
Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。
組織の管理者は、どのユーザーがどのサービスとリソースにアクセスできるか、およびアクセスのタイプを制御する、グループ、コンパートメントおよびポリシーを設定する必要があります。たとえば、ポリシーは、新規ユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、ポリシーの開始を参照してください。異なる各サービスに対するポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。
会社が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、ユーザーIDを設定するよう管理者に連絡してください。管理者は、使用する必要があるコンパートメントを確認できます。
ネットワーキングに対するIAMポリシー
ネットワーキングにアクセス権を付与する最も簡単な方法は、ネットワーク管理者によるクラウド・ネットワークの管理で示されているポリシーです。この対象は、クラウド・ネットワークおよびその他すべてのネットワーキング・コンポーネント(サブネット、セキュリティ・リスト、ルート表、ゲートウェイなど)です。ネットワーク管理者が(ネットワーク接続をテストするための)インスタンスを起動できるようにするには、ユーザーによるコンピュート・インスタンスの起動を参照してください。
ポリシーを初めて使用する場合は、ポリシーの開始と共通ポリシーを参照してください。
ネットワーキングに対する詳細なポリシーを記述するための参照資料については、コア・サービスの詳細を参照してください。
個々のリソース・タイプ
必要に応じて、広範なvirtual-network-family
のかわりに、個々のリソース・タイプ(たとえば、セキュリティ・リストのみ)を対象としたポリシーを記述できます。instance-family
リソース・タイプには、サブネット内にあり、インスタンスにアタッチしているVNICに対するいくつかの権限も含まれています。詳細は、動詞とリソース・タイプの組合せの詳細および仮想ネットワーク・インタフェース・カード(VNIC)を参照してください。
local-peering-gateways
と呼ばれるリソース・タイプはvirtual-network-family
に含まれ、(リージョン内の)ローカルVCNピアリングに関連する2つのリソース・タイプを含みます:
local-peering-from
local-peering-to
local-peering-gateways
リソース・タイプは、ローカル・ピアリング・ゲートウェイ(LPG)に関連するすべての権限を対象とします。local-peering-from
およびlocal-peering-to
リソース・タイプは、2つのLPGを接続して1つのリージョン内でピアリング関係を作成する権限を付与するためのものです。詳細は、同じテナンシ内のLPG (VCN)を使用したローカル・ピアリングまたは異なるテナンシ内のLPG (VCN)を使用したローカル・ピアリングを参照してください。
同様に、remote-peering-connections
と呼ばれるリソース・タイプはvirtual-network-family
に含まれ、(リージョン間の)リモートVCNピアリングに関連する2つのリソース・タイプを含みます:
remote-peering-from
remote-peering-to
remote-peering-connections
リソース・タイプは、リモート・ピアリング接続(RPC)に関連するすべての権限を対象とします。remote-peering-from
およびremote-peering-to
リソース・タイプは、2つのRPCを接続し、リージョン間のピアリング関係を定義する権限を付与するためのものです。詳細については、Remote Peering with a Legacy DRGおよびRemote Peering with an Upgraded DRGを参照してください。
異なる動詞の違い
必要に応じて、異なるポリシー動詞(manage
とuse
など)を使用してアクセス・レベルを制限するポリシーを記述できます。これを行う場合、ネットワーキングのポリシー動詞について理解する必要がある微細な違いがいくつかあります。
inspect
動詞では、クラウド・ネットワークのコンポーネントに関する一般情報(セキュリティ・リストまたはルート表の名前とOCIDなど)が戻されるのみではありません。コンポーネントのコンテンツ(たとえば、セキュリティ・リスト内の実際のルール、ルート表内のルートなど)も含まれます。
また、次のタイプの機能はmanage
動詞でのみ使用でき、use
動詞では使用できません:
internet-gateways
の更新(有効化/無効化)security-lists
の更新route-tables
の更新dhcp-options
の更新- Dynamic Routing Gateway (DRG)のVirtual Cloud Network (VCN)へのアタッチ
- DRGと顧客構内機器(CPE)の間のIPSec接続の作成
- VCNのピアリング
各VCNには、ネットワークの動作に直接影響する様々なコンポーネント(ルート表、セキュリティ・リスト、DHCPオプション、インターネット・ゲートウェイなど)があります。これらのコンポーネントのいずれかを作成する場合、そのコンポーネントとVCNの間の関係を確立します。つまり、コンポーネントの作成とVCN自体の管理の両方がポリシーで許可されている必要があります。ただし、そのコンポーネントを更新する(ルート・ルールやセキュリティ・リスト・ルールの変更など)機能は、コンポーネントを変更するとネットワークの動作に直接影響することがありますが、VCN自体を管理する権限を必要としません。この齟齬は、ユーザーに最低限の権限を付与する柔軟性を提供するためのものです。これによって、ユーザーがネットワークの他のコンポーネントを管理できるようにするためだけに、VCNへの必要以上のアクセス権を付与せずに済みます。あるユーザーが特定のタイプのコンポーネントを更新できるようにするということは、そのユーザーを暗黙的に信頼し、ネットワークの動作の制御を任せていることになるということに注意してください。
ポリシー動詞の詳細は、ポリシーの基本を参照してください。
ピアリング・ポリシー
他のリージョンおよびテナンシのVCNおよびDRGへのDRGの接続に使用されるポリシーについては、VCN間のルーティングのためのIAMポリシーを参照してください。
ネットワーキング・コンポーネントの制限
適用可能な制限の一覧と制限の引上げをリクエストする手順は、「サービス制限」を参照してください。