VCNとサブネットの概要
OCIの仮想クラウド・ネットワーク(VCN)とサブネットについて学習します。
このトピックでは、仮想クラウド・ネットワーク(VCN)およびその中のサブネットについて説明します。このトピックでは、仮想クラウド・ネットワーク、VCNおよびクラウド・ネットワークという用語は、同じ意味で使用します。コンソールでは仮想クラウド・ネットワークという用語を使用しますが、APIでは簡潔にVCNを使用します。
VCNは、特定のリージョンのOracle Cloud Infrastructureデータ・センターで設定するソフトウェア定義のネットワークです。サブネットは、VCNの下位区分です。VCNの概要、許容されるサイズ、デフォルトのVCNコンポーネント、およびVCNの使用シナリオは、ネットワーキングの概要を参照してください。
VCNには、VCNの作成後に変更できる重複しないIPv4 CIDRブロックを複数含めることができます。CIDRブロックの数に関係なく、VCN内に作成できるプライベートIPの最大数は64,000です。VCNはオプションでIPv6に対して有効にでき、Oracleは/56接頭辞を割り当てます。BYOIP IPv6接頭辞をインポートして既存のVCNに割り当てることも、BYOIPまたはULA IPv6接頭辞を使用して新しいVCNを作成することもできます。
トラフィックがインターネットを横断しないように、VCNを別のVCNにプライベート接続できます。2つのVCNのCIDRが重複しないようにする必要があります。詳細は、他のVCNへのアクセス: ピアリングを参照してください。複数のVCNのピアリングを使用する拡張ルーティング・シナリオの例は、ハブVCN内の転送ルーティングを参照してください。
VCNの各サブネットは、VCNの他のサブネットと重複しない連続したIPv4アドレスおよびオプションのIPv6アドレスの範囲で構成されます。例: 172.16.1.0/24。IPv4アドレスおよびIPv6アドレスでは、サブネットのCIDRの最初の2つのアドレスと最後のアドレスは、ネットワーキング・サービスで予約されています。サブネットのサイズは、作成後に変更できます。IPv6対応サブネットは常に/64です。
サブネットは構成単位として機能します。特定のサブネット内のすべてのインスタンスは、同じルート表、セキュリティ・リストおよびDHCPオプションを使用します。詳細は、VCNに付属するデフォルト・コンポーネントを参照してください。
サブネットは、パブリックまたはプライベートのいずれかにできます(パブリック・サブネットとプライベート・サブネットを参照)。パブリックまたはプライベートの選択は、サブネットの作成中に行われ、後から変更できません。
各コンピュート・インスタンスは、サブネット内に存在していると考えることができます。ただし、正確に言えば、各インスタンスは仮想ネットワーク・インタフェース・カード(VNIC)にアタッチされており、このカードがサブネット内に存在し、そのインスタンスのネットワーク接続を可能にしています。
IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。
リージョナル・サブネットについて
当初、サブネットは、1つのリージョンで1つの可用性ドメイン(AD)のみをカバーするように設計されました。それらはすべてAD固有であったため、サブネットのリソースは特定の可用性ドメインに存在する必要がありました。現在、サブネットはAD固有またはリージョナルです。サブネットの作成時にタイプを選択します。両方のタイプのサブネットが同じVCNに共存できます。次の図で、サブネット1-3はAD固有で、サブネット4はリージョナルです。
AD制約の削除とは別に、リージョナル・サブネットはAD固有のサブネットと同じように動作します。より柔軟なリージョナル・サブネットの使用をお薦めします。それにより、可用性ドメインの障害を考慮した設計をしながら、VCNを複数のサブネットに効率的に分割できます。
コンピュート・インスタンスなどのリソースを作成する際は、リソースが属する可用性ドメインを選択します。仮想ネットワーキングの観点から、インスタンスが属するVCNおよびサブネットを選択する必要もあります。リージョナル・サブネットを選択するか、そのインスタンスに対して選択したADに一致するAD固有のサブネットを選択できます。
組織内のユーザーがリージョナル・サブネットを実装している場合、ネットワーキング・サービスのサブネットおよびプライベートIPと連携しているクライアント・コードの更新が必要になる可能性があることに注意してください。重大なAPIの変更が発生する可能性があります。詳細は、リージョン・サブネットのリリース・ノートを参照してください。
VCNおよびサブネットの制限
|
リソース |
スコープ |
Oracle Universal Credits |
Pay As You Goまたはトライアル |
|---|---|---|---|
| VCN | リージョン | 50 | 10 |
| サブネット | VCN | 300 | 300 |
| IPv4 CIDR | VCN | 5 | 5 |
| IPv6接頭辞 | VCN | 5 | 5 |
| IPv4 CIDR | サブネット | 1 | 1 |
| IPv6接頭辞 | サブネット | 3* | 3* |
| Oracleによって割り当てられたIPv6接頭辞 | サブネット | 1 | 1 |
| * このリソースの制限は最大5まで引き上げることができます。 | |||
VCNとサブネットの作業
Oracle Cloud Infrastructureリソースでの作業で最初に行うことの1つは、1つ以上のサブネットを持つVCNの作成です。単純なVCNと、インスタンスを起動して接続できるようにする関連リソースを使用して、コンソールで簡単に開始できます。チュートリアル - 最初のLinuxインスタンスの起動またはチュートリアル - 最初のWindowsインスタンスの起動を参照してください。
アクセス制御の目的のために、VCNまたはサブネットを作成するときに、リソースを配置するコンパートメントを指定する必要があります。使用するコンパートメントが不明な場合は、組織の管理者に問い合せてください。
オプションとして、VCNとそのサブネットにわかりやすい名前を割り当てることができます。名前は一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子を各リソースに自動的に割り当てます。詳細は、リソース識別子を参照してください。
また、VCNおよび各サブネットのDNSラベルを追加できます。これらは、インスタンスがVCNのDNSに対してInternet and VCN Resolver機能を使用する場合に必要です。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
サブネットの作成時に、オプションで、サブネットが使用するルート表を指定できます。そうしない場合、サブネットはクラウド・ネットワークのデフォルト・ルート表を使用します。いつでもサブネットが使用するルート表を変更できます。
オプションで、サブネットが使用する1つ以上のセキュリティ・リストも指定できます(最大5つ)。そうしない場合、サブネットはクラウド・ネットワークのデフォルト・セキュリティ・リストを使用します。いつでもサブネットが使用するセキュリティ・リストを変更できます。リストがサブネット・レベルで関連付けられていても、セキュリティ・ルールはインスタンス・レベルで適用されることに注意してください。ネットワーク・セキュリティ・グループは、セキュリティ・リストの代替機能であり、特定のサブネット内のすべてのリソースではなく、すべて同じセキュリティ体制を持つ一連のリソースに対してセキュリティ・ルールのセットを適用できます。
オプションで、サブネットが使用するDHCPオプションのセットを指定できます。サブネット内のすべてのインスタンスが、DHCPオプションのセットで指定されている構成を取得します。セットを指定しない場合、サブネットでは、クラウド・ネットワークのDHCPオプションのデフォルト・セットが使用されます。いつでもサブネットが使用するDHCPオプションのセットを変更できます。
サブネットを削除するには、リソースが含まれていない必要があります(インスタンス、ロード・バランサ、OCIデータベース・システムおよび孤立したマウント・ターゲットが含まれていない)。詳細は、サブネットまたはVCNの削除を参照してください。
VCNを削除するには、そのサブネットにリソースが含まれていない必要があります。また、VCNにはアタッチされたゲートウェイが含まれていない必要があります。コンソールを使用している場合は、最初にサブネットが空であることを確認した後で使用できる「すべて削除」プロセスがあります。VCNの削除を参照してください。
適用可能な制限の一覧と制限の引上げをリクエストする手順は、「サービス制限」を参照してください。
必要なIAMポリシー
Oracle Cloud Infrastructureを使用するには、管理者からポリシーでセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。
管理者用: ネットワーキングに対するIAMポリシーを参照してください。
セキュリティ・ゾーン
セキュリティ・ゾーンは、クラウド・リソースが確実にOracleのセキュリティ原則に準拠するようにします。セキュリティ・ゾーン・コンパートメント内のリソースに対する操作がそのセキュリティ・ゾーンのポリシーに違反している場合、その操作は拒否されます。
次のセキュリティ・ゾーン・ポリシーは、VCNおよびサブネットを管理する機能に影響します:
- セキュリティ・ゾーン内のサブネットはパブリックにできません。すべてのサブネットをプライベートにする必要があります。
- セキュリティ・ゾーン内のサブネットを標準コンパートメントに移動することはできません。