VCNとサブネットの概要
OCIの仮想クラウド・ネットワーク(VCNs)およびサブネットについて学習します。
このトピックでは、仮想クラウド・ネットワーク(VCN)およびその中のサブネットについて説明します。このトピックでは、仮想クラウド・ネットワーク、VCNおよびクラウド・ネットワークという用語は、同じ意味で使用します。コンソールではVirtual Cloud Networkという用語を使用しますが、簡潔にするためにAPIではVCNを使用します。
VCNは、特定のリージョンのOracle Cloud Infrastructureデータ・センターで設定するソフトウェア定義のネットワークです。サブネットは、VCNの下位区分です。VCNの概要、許容されるサイズ、デフォルトのVCNコンポーネント、およびVCNの使用シナリオは、ネットワーキングの概要を参照してください。
VCNには、VCNの作成後に変更できる複数の重複しないIPv4 CIDRブロックを含めることができます。CIDRブロックの数に関係なく、VCN内に作成できるプライベートIPオブジェクトの最大数は64,000です。VCNはオプションでIPv6に対して有効にでき、Oracleは/56接頭辞を割り当てます。BYOIP IPv6接頭辞をインポートして既存のVCNに割り当てることも、BYOIPまたはULA IPv6接頭辞を使用した新しいVCNを作成することもできます。
You can privately connect a VCN to another VCN so that the traffic doesn't traverse the internet. 2つのVCNのCIDRが重複しないようにする必要があります。詳細は、他のVCNへのアクセス: ピアリングを参照してください。For an example of an advanced routing scenario that involves the peering of several VCNs, see Transit Routing inside a hub VCN.
VCNの各サブネットは、VCNの他のサブネットと重複しない連続した1つ以上のIPv4アドレスおよびオプションでIPv6アドレスで構成されます。例: 172.16.1.0/24。IPv4アドレスおよびIPv6アドレスでは、サブネットのCIDRの最初と最後の2つのアドレスは、ネットワーキング・サービスで予約されています。サブネットのIPv4接頭辞のサイズは、作成後に変更できます。IPv6対応サブネットは、常に/64です。
サブネットは、ルート表、セキュリティ・リストおよびDHCPオプションで構成される構成の単位として機能します。詳細は、VCNに付属するデフォルトのコンポーネントに関する項を参照してください。
サブネットは、パブリックまたはプライベートのいずれかにできます(パブリック・サブネットとプライベート・サブネットを参照)。パブリックまたはプライベートの選択は、サブネットの作成中に行われ、後から変更できません。
各コンピューティング・インスタンスは、サブネット内に存在していると考えることができます。ただし、正確に言えば、各インスタンスは仮想ネットワーク・インタフェース・カード(VNIC)にアタッチされており、このカードがサブネット内に存在し、そのインスタンスのネットワーク接続を可能にしています。
IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。
リージョナル・サブネットについて
当初、サブネットは、1つのリージョンで1つの可用性ドメイン(AD)のみをカバーするように設計されました。すべてのAD固有であったため、サブネットのリソースは特定の可用性ドメインに存在する必要がありました。現在、サブネットはAD固有またはリージョナルです。タイプはサブネットの作成時に選択します。両方のタイプのサブネットが同じVCNに共存できます。次の図で、サブネット1から3はAD固有で、サブネット4はリージョン別です。
AD制約の削除とは別に、リージョナル・サブネットはAD固有のサブネットと同じように動作します。リージョナル・サブネットは柔軟性が高いため、使用することをお薦めします。これにより、アベイラビリティ・ドメイン障害を考慮した設計をしながら、VCNを複数のサブネットに効率的に分割できます。
コンピュート・インスタンスなどのリソースを作成する際は、リソースが属する可用性ドメインを決定します。仮想ネットワーキングの観点から、インスタンスが属するVCNおよびサブネットを決定する必要があります。リージョナル・サブネットまたはそのインスタンスに対して選択したADに一致するAD固有のサブネットを選択できます。
組織内のユーザーがリージョナルド・サブネットを実装している場合、ネットワーキング・サービスのサブネットおよびプライベートIPと連携しているクライアント・コードの更新が必要になる可能性があることに注意してください。リージョナル・サブネットには、API変更の違反の可能性が含まれます。詳細は、リージョナル・サブネットのリリース・ノートを参照してください。
VCNおよびサブネットの制限
|
リソース |
スコープ |
Oracle Universal Credits |
Pay As You Goまたはトライアル |
|---|---|---|---|
| VCN | リージョン | 50 | 10 |
| サブネット | VCN | 300 | 300 |
| IPv4 CIDR | VCN | 16 | 16 |
| IPv6接頭辞 | VCN | 16 | 16 |
| IPv4 CIDR | サブネット | 16 | 16 |
| IPv6接頭辞 | サブネット | 16 | 16 |
| Oracleによって割り当てられたIPv6接頭辞 | VCN | 1 | 1 |
| * このリソースの制限は最大5まで引き上げることができます。 | |||
VCNとサブネットの作業
Oracle Cloud Infrastructureリソースでの作業で最初に行うことの1つは、1つ以上のサブネットを持つVCNの作成です。単純なVCNと、インスタンスを作成して接続できるようにする関連リソースを使用して、コンソールで簡単に起動できます。チュートリアル - 最初のLinuxインスタンスの起動またはチュートリアル - 最初のWindowsインスタンスの起動を参照してください。
アクセス制御の目的のために、VCNまたはサブネットを作成するときに、リソースを配置するコンパートメントを指定する必要があります。使用するコンパートメントを不明な場合は、テナンシ管理者に問い合せてください。
オプションで、VCNとそのサブネットにわかりやすい名前を割り当てることができます。名前は一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子を各リソースに自動的に割り当てます。詳細は、リソース識別子を参照してください。
また、VCNおよび各サブネットのDNSラベルを追加できます。これらは、インスタンスがVCNのDNSに対してInternet and VCN Resolver機能を使用する場合に必要です。詳細は、Virtual Cloud NetworkのDNSを参照してください。
サブネットの作成時に、オプションで、サブネットが使用するルート表を指定できます。そうしない場合、サブネットはクラウド・ネットワークのデフォルト・ルート表を使用します。いつでもサブネットが使用するルート表を変更できます。
また、オプションで、使用するサブネットのセキュリティ・リストを1つ以上指定できます(最大5つ)。そうしない場合、サブネットはクラウド・ネットワークのデフォルト・セキュリティ・リストを使用します。いつでもサブネットが使用するセキュリティ・リストを変更できます。リストがサブネット・レベルで関連付けられていても、セキュリティ・ルールはインスタンス・レベルで適用されることに注意してください。ネットワーク・セキュリティ・グループは、セキュリティ・リストの代替機能であり、特定のサブネット内のすべてのリソースではなく、すべて同じセキュリティ体制を持つ一連のリソースに対してセキュリティ・ルールのセットを適用できます。
オプションで、サブネットが使用するDHCPオプションのセットを指定できます。サブネット内のすべてのインスタンスが、DHCPオプションのセットで指定されている構成を取得します。セットを指定しない場合、サブネットでは、クラウド・ネットワークのDHCPオプションのデフォルト・セットが使用されます。いつでもサブネットが使用するDHCPオプションのセットを変更できます。
サブネットを削除するには、リソースが含まれていない必要があります(インスタンス、ロード・バランサ、OCIデータベース・システムおよび孤立したマウント・ターゲットが含まれていない)。詳細は、サブネットまたはVCNの削除を参照してください。
VCNを削除するには、そのサブネットにリソースが含まれていない必要があります。また、VCNにはアタッチされたゲートウェイが含まれていない必要があります。コンソールを使用している場合は、最初にサブネットが空であることを確認した後で使用できる「すべて削除」プロセスです。VCNの削除を参照してください。
適用可能な限界のリストおよび制限拡大のリクエスト方法については、サービス制限を参照してください。
必要なIAMポリシー
Oracle Cloud Infrastructureを使用するには、管理者が、テナンシ管理者がポリシーでセキュリティ・アクセス権を付与したグループのメンバーである必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、テナンシ管理者に、どのタイプのアクセス権があり、どのコンパートメントでアクセスが作業する必要があるかを管理者に確認してください。
管理者用: ネットワーキングに対するIAMポリシーを参照してください。
セキュリティ・ゾーン
セキュリティ・ゾーンは、クラウド・リソースがOracleのセキュリティ原則に準拠していることを確認します。セキュリティ・ゾーン・コンパートメント内のリソースに対する操作がそのセキュリティ・ゾーンのポリシーに違反している場合、その操作は拒否されます。
次のセキュリティ・ゾーン・ポリシーは、VCNsおよびサブネットの管理機能に影響します:
- セキュリティ・ゾーン内のサブネットはパブリックにできません。すべてのサブネットをプライベートにする必要があります。
- セキュリティ・ゾーン内のサブネットを標準コンパートメントに移動することはできません。