インターネット・ゲートウェイ
このトピックでは、インターネットにVCNアクセスできるようにインターネット・ゲートウェイを設定して管理する方法を説明します。
ハイライト
- インターネット・ゲートウェイは、VCNに追加してインターネットへの直接接続を有効にできるオプションのゲートウェイです。
- ゲートウェイは、VCN (エグレス)内から開始された接続およびインターネット(イングレス)から開始された接続をサポートします。
- インターネット・アクセスのためにゲートウェイを使用する必要のあるリソースは、パブリック・サブネットに存在し、パブリックIPアドレスを持つ必要があります。プライベートIPアドレスを持つリソースは、かわりにNATゲートウェイを使用してインターネットへの接続を開始できます。
- インターネット・ゲートウェイを使用する必要のある各パブリック・サブネットには、ターゲットとしてゲートウェイを指定するルート表のルールが必要です。
- セキュリティ・ルールを使用して、そのサブネットのリソース内外で許可されるトラフィックのタイプを制御します。必要なタイプのインターネット・トラフィックのみを許可してください。
- インターネット・ゲートウェイは、ゲートウェイのVCN内のリソースのみが使用できます。接続されているオンプレミス・ネットワークまたはピアリングされたVCNのホストは、そのインターネット・ゲートウェイを使用できません。
- インターネット・ゲートウェイをセキュリティ・ゾーン内のVCNに追加または移動することはできません。セキュリティ・ゾーンでは、パブリック・サブネットは許可されません。
- VCNごとに必要なインターネット・ゲートウェイは1つのみです。セキュリティ・ルールおよびルート表ルールでそのアクセスが許可されている場合、VCN内のすべてのパブリック・サブネットはインターネット・ゲートウェイにアクセスできます。
インターネット・ゲートウェイの概要
続行する前に、インターネットへのアクセスを読み、サブネット内のリソースに対してセキュリティ・ルールを設定する方法についても理解してください。
インターネット・ゲートウェイは、VCNのエッジをインターネットに接続するオプションの仮想ルーターです。ゲートウェイを使用するには、接続の両端のホストに、ルーティングのためのパブリックIPアドレスが必要です。VCNで生成され、パブリックIPアドレス(VCNの内部または外部)を宛先とする接続は、インターネット・ゲートウェイを経由します。VCN外部で生成され、VCN内部のパブリックIPアドレスを宛先とする接続は、インターネット・ゲートウェイを経由します。
特定のVCNは、1つのインターネット・ゲートウェイのみを持つことができます。サブネットに関連付けられたルート表を構成することで、ゲートウェイを使用できるVCN内のパブリック・サブネットを制御します。セキュリティ・ルールを使用して、それらのパブリック・サブネットのリソース内外で許可されるトラフィックのタイプを制御します。
次の図は、1つのパブリック・サブネットを持つ単純なVCN設定を示しています。VCNにはインターネット・ゲートウェイがあり、パブリック・サブネットはVCNのデフォルト・ルート表を使用するように構成されています。この表には、サブネットからインターネット・ゲートウェイにすべてのエグレス・トラフィックを送信するルート・ルールが含まれます。ゲートウェイは、VCNのリソースのパブリックIPアドレスと等しい宛先IPアドレスを使用して、インターネットからのイングレス接続を許可します。ただし、最終的には、パブリック・サブネットのセキュリティ・リスト・ルールがサブネットのリソース内外で許可される特定のタイプのトラフィックを決定します。これらの特定のセキュリティ・ルールは、表示されていません。
宛先CIDR | ルート・ターゲット |
---|---|
0.0.0.0/0 | インターネット・ゲートウェイ |
VCNとOracle Cloud Infrastructure (オブジェクト・ストレージなど)の一部であるパブリックIPアドレス間のトラフィックは、インターネット・ゲートウェイではなくサービス・ゲートウェイを介してルーティングする必要があります。
インターネット・ゲートウェイの作業
インターネット・ゲートウェイは、特定のVCNのコンテキストで作成します。つまり、インターネット・ゲートウェイは常にVCNにアタッチされます。ただし、インターネット・ゲートウェイはいつでも無効化して再有効化できます。これとは対照的に、動的ルーティング・ゲートウェイ(DRG)は、スタンドアロン・オブジェクトとして作成してから特定のVCNにアタッチします。DRGは、オンプレミス・ネットワークにVCNをプライベート接続するためのモジュール型ビルディング・ブロックとなるように意図されているため、別のモデルを使用しています。
パブリック・サブネットからインターネットへのトラフィックが流れるようにするには、対応するルート・ルールをサブネットのルート表に作成する必要があります。たとえば、宛先CIDR = 0.0.0.0/0およびターゲット = インターネット・ゲートウェイ。ファイアウォールを介してトラフィックをルーティングする場合、ターゲットはファイアウォールのプライベートIPアドレスにすることができます。ファイアウォール・サブネットには、インターネット・ゲートウェイをターゲットとしてインターネットに到達するためのルート(通常は0.0.0.0/0)が必要です。
インターネットからパブリック・サブネットの宛先に流れるトラフィックの場合、インターネット・ゲートウェイはデフォルトで宛先にトラフィックを直接ルーティングします。ルート表をインターネット・ゲートウェイに関連付け、イングレス・パブリック・トラフィックをVCN内の宛先にルーティングするルート・ルールを定義できます。たとえば、インターネット・ゲートウェイでトラフィックをVCN内のファイアウォールに最初にルーティングする場合は、ファイアウォール・プライベートIPアドレスをターゲットとして、宛先サブネットCIDRのルート・ルールを作成できます。インターネット・ゲートウェイのルート表のVCN外部にある宛先に対するルート・ルールは、サポートされていません。
VCNごとに必要なインターネット・ゲートウェイは1つのみです。VCN内のすべてのパブリック・サブネットは、セキュリティ・ルールおよびルート表ルールによってそのアクセスが許可されている場合に、インターネット・ゲートウェイにアクセスできます。
アクセス制御の目的のために、インターネット・ゲートウェイを配置するコンパートメントを指定する必要があります。使用するコンパートメントがわからない場合、インターネット・ゲートウェイをクラウド・ネットワークと同じコンパートメントに配置します。詳細は、アクセス制御を参照してください。
オプションとして、インターネット・ゲートウェイにわかりやすい名前を割り当てることができます。一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子をインターネット・ゲートウェイに自動的に割り当てます。詳細は、リソース識別子を参照してください。
インターネット・ゲートウェイを削除するには、無効にする必要はありませんが、それをターゲットとしてリストするルート表が存在してはなりません。
制限関連の情報については、ゲートウェイの制限およびサービス制限の引上げのリクエストを参照してください。
インターネット・ゲートウェイ設定
前提条件:
- VCNのどのサブネットがインターネットにアクセスする必要があるかを決定し、それらのパブリック・サブネットを作成しました。
VCNごとに必要なインターネット・ゲートウェイは1つのみです。VCN内のすべてのパブリック・サブネットは、セキュリティ・ルールおよびルート表ルールによってそのアクセスが許可されている場合に、インターネット・ゲートウェイにアクセスできます。
- 各パブリック・サブネットのリソースに対して有効にするイングレスおよびエグレス・インターネット・トラフィックのタイプ(イングレスHTTPS接続やイングレスICMP ping接続など)を決定しました。
- ネットワーキング・サービス・リソースを使用するために必要なIAMポリシーが準備されています。管理者用: ネットワーキングに対するIAMポリシーを参照してください。
デフォルト・セキュリティ・リストを使用するようにパブリック・サブネットを構成している場合は、基本的な必須アクセス(イングレスSSHやすべての宛先へのエグレス・アクセスなど)を有効にする有用なデフォルト・ルールがリストに含まれていることに注意してください。これらのデフォルト・ルールによって提供される基本的なアクセスについてよく理解することをお薦めします。デフォルト・セキュリティ・リストを使用しない場合は、これらのセキュリティ・ルールをネットワーク・セキュリティ・グループ(NSG)またはカスタム・セキュリティ・リストに実装して、この基本的なアクセスを提供してください。
次の手順ではセキュリティ・リストを使用しますが、かわりにネットワーク・セキュリティ・グループにセキュリティ・ルールを実装し、サブネットのリソースをすべてそのNSGに作成することもできます。
-
インターネット・ゲートウェイを使用する必要があるパブリック・サブネットごとに、サブネットのセキュリティ・リスト・ルールを設定して、必要なインターネット・トラフィックを許可します。次の設定例を参照してください。
パブリック・サブネットにWebサーバーがあるとします。この例では、インターネットからWebサーバーへのHTTPS接続(TCPポート443)に対するイングレス・ルールの追加方法を示します。このルールがない場合、インバウンドHTTPS接続は許可されません。
- 「ステートレス」チェック・ボックスは選択を解除したままにします。
- ソース・タイプ: CIDR
- ソースCIDR: 0.0.0.0/0
- IPプロトコル: TCPのままにします。
- ソース・ポート範囲: 「すべて」のままにします。
- 宛先ポート範囲: 443と入力します。
- 説明: ルールのオプションの説明。
-
インターネット・ゲートウェイが作成され、選択したVCNの「インターネット・ゲートウェイ」ページに表示されると、すでに有効になっていますが、トラフィックがゲートウェイに流れることを許可するルート・ルールを追加する必要があります。
-
インターネット・ゲートウェイを使用する必要があるパブリック・サブネットごとに、次の設定例を使用してサブネットのルート表を更新します:
- ターゲット・タイプ: インターネット・ゲートウェイ
- 宛先CIDRブロック: 0.0.0.0/0 (ルート表内の他のルールでカバーされないVCN外部のすべてのトラフィックが、このルールで指定されたターゲットに送信されることを意味します)
- コンパートメント: インターネット・ゲートウェイが配置されているコンパートメント。
- ターゲット: 作成したインターネット・ゲートウェイ。
- 説明: ルールのオプションの説明。
インターネット・ゲートウェイが有効になり、クラウド・ネットワークに対して機能します。