シナリオA: パブリック・サブネット
シナリオAは、テナンシ内のコンピュート・インスタンスへのネットワーク接続に必要なリージョナル・パブリック・サブネットを持つ仮想クラウド・ネットワーク(VCN)で構成されます。パブリック・サーバーは冗長性のために個別の可用性ドメイン(AD)に作成され、VCNでは、より柔軟で効率的にVCNをサブネットに分割しやすくなり、潜在的な障害も発生するため、リージョナル・サブネットが使用されます。VCNは、インターネット・ゲートウェイ経由でインターネットに直接接続されています。また、オンプレミス・ネットワークへの接続にもゲートウェイが使用されます。オンプレミス・ネットワーク内のこのVCN内のリソースと通信する必要があるリソースは、パブリックIPアドレスおよびインターネットへのアクセス権を持つ必要があります。
サブネットでは初期デフォルト・セキュリティ・リストが使用されるため、Oracle Cloud Infrastructureの使用を簡単に開始できます。このリストには、一般的な必須アクセス(インバウンドSSH接続や任意のタイプのアウトバウンド接続など)を許可するセキュリティ・ルールが含まれています。セキュリティ・リスト・ルールでは、セキュリティ・リスト・ルールで明示的に許可されないトラフィックおよびトラフィックのみが暗黙的に拒否されることに注意してください。ルート・ルールについても同様です。ルート・ルールでは、アウトバウンド・トラフィックが明示的に許可され、特定の宛先へのトラフィックが必要なゲートウェイに送信されることも必要です。VCN外部のルーティング宛先は、作成するゲートウェイを介して到達可能で、リソースが使用するサブネットに関連付けられたルート表に明示的に指定する必要があります。
このシナリオでは、デフォルト・セキュリティ・リストに新しいルールを追加します。このルールは、コンピュート・インスタンスにインターネットへのアクセス権を付与するために必要です。かわりに、このルールのカスタム・セキュリティ・リストを作成し、デフォルト・セキュリティ・リストとカスタム・セキュリティ・リストの両方を使用するようにサブネットを設定できますが、これはこのシナリオの範囲外です。
このシナリオでは、サブネットはデフォルト・ルート表も使用します。VCNの作成時に、この表はルールなしで始まります。表に必要なルールは、インターネット・ゲートウェイに対して1つのみです。
このシナリオでは、Dynamic Routing Gateway (DRG)は使用されません。
次の図は、リージョナル・パブリック・サブネット内のパブリックIPアドレスを持つリソースと、同じサブネット内の異なるAD内の冗長リソースを示しています。パブリック・サブネット・ルート表では、すべての受信トラフィックがインターネット・ゲートウェイを介してパブリック・サブネットに進入および退出することができ、デフォルト・セキュリティ・リストを使用して、VCNに組み込まれたローカル・ルーティングを使用します。インターネット経由でVCNリソースと通信するには、オンプレミス・ホストにパブリックIPアドレスが必要です。
| 宛先CIDR | ルート・ターゲット |
|---|---|
| 0.0.0.0/0 | インターネット・ゲートウェイ |
必要なIAMポリシー
Oracle Cloud Infrastructureを使用するには、管理者がテナンシ管理者によってポリシーでセキュリティ・アクセス権が付与されたグループのメンバーである必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、どのタイプのアクセス権があり、どのコンパートメントでアクセスが機能するかをテナンシ管理者に確認してください。
管理者グループのメンバーであれば、シナリオAを実装するために必要なアクセス権はすでにある可能性があります。そうでない場合は、Networkingへのアクセス権が必要であり、インスタンスを作成できる必要もあります。ネットワーキングに対するIAMポリシーを参照してください。
コンソールでのシナリオAの設定
コンソールでの設定は簡単です。
以前にVCNを作成したことがない場合、「インターネット接続性を持つVCNの作成」で説明したワークフローは、パブリックおよびプライベートのサブネット、ゲートウェイ、およびVCN内のインスタンスおよび他のリソースへのインターネット・アクセスを提供するために必要なルート・ルールおよびセキュリティ・ルールを含むVCNを簡単に作成する方法です。ワークフローを使用してこのタスクを実行すると、ワークフローはこのシナリオのタスク1から5を処理できます。
- ナビゲーション・メニューを開き、「ネットワーキング」、「仮想クラウド・ネットワーク」の順に選択します。
- 「リスト範囲」で、in.Theページの更新を操作する権限があるコンパートメントを選択し、そのコンパートメント内のリソースのみを表示します。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。 ノート
新しいリソースを作成するには、そのリソースのサービス制限に達していない必要があります。リソース・タイプのサービス制限に達したら、そのタイプの未使用のリソースを削除するか、サービス制限引上げをリクエストできます。 - 「VCNの作成」を選択します。
- 次を入力します:
- 名前: VCNのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
- コンパートメントで作成: そのままにします。
- IPv4 CIDRブロック: VCNに少なくとも1つ、最大5つのIPv4 CIDRブロックを入力します。CIDRブロックは重複できません。例: 172.16.0.0/16。CIDRブロックは後で追加または削除できます。許容されるVCNのサイズとアドレス範囲を参照してください。参照用として、ここにCIDR計算機があります。
- このVCNでDNSホスト名を使用します: このオプションは、VCNのホストにDNSホスト名を割り当てるために必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定の場合に必要です。このオプションを選択した場合、VCNのDNSラベルを指定することも、コンソールに生成させることもできます。ダイアログ・ボックスには、VCNの対応するDNSドメイン名(
<VCN_DNS_label>.oraclevcn.com)が自動的に表示されます。詳細は、仮想クラウド・ネットワークのDNSを参照してください。 - IPv6接頭辞: 単一のOracle割当てのIPv6 /56接頭辞をこのVCNに割り当てるようにリクエストできます。または、VCNにBYOIPv6接頭辞またはULA接頭辞を割り当てることができます。このオプションは、すべての商用リージョンおよび政府リージョンで使用可能です。IPv6の詳細は、IPv6アドレスを参照してください。
- タグ:リソースの作成権限がある場合は、フリーフォーム・タグをそのリソースに適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に問い合せてください。タグは後で適用できます。
-
「Create Virtual Cloud Network」を選択します。
これにより、VCNが作成され、選択したコンパートメントの「仮想クラウド・ネットワーク」ページに表示されます。
- VCNの表示中に、「サブネットの作成」を選択します。
-
次を入力します:
- 名前: サブネットのわかりやすい名前(リージョナル・パブリック・サブネットなど)。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
- リージョナルまたは可用性ドメイン固有: 「リージョナル」(推奨)を選択します。これは、サブネットがリージョン内のすべての可用性ドメインにわたることを意味します。後でインスタンスを作成するときに、リージョン内の任意の可用性ドメインにそれを作成できます。詳細は、可用性ドメインおよびVCNsを参照してください。
- IPv4 CIDRブロック: VCN CIDRブロック内の単一の連続CIDRブロック。例: 172.16.0.0/24。この値は後で変更できません。参照用として、ここにCIDR計算機があります。
- IPv6接頭辞: Oracle割当てのIPv6 /64接頭辞をリクエストするか、BYOIPv6またはULA接頭辞を入力できます。1つのサブネットに最大3つのIPv6接頭辞を含めることができます。IPv6接頭辞をVCNに割り当てた後は、少なくとも1つのIPv6接頭辞が常に割り当てられている必要があります。このオプションは、VCNがIPv6に対してすでに有効になっている場合、すべての商用リージョンおよび政府リージョンのVCNsで使用できます。詳細は、IPv6アドレスを参照してください。
- ルート表: デフォルト・ルート表を選択します。
- Private or public subnet: 「Public subnet」を選択します。これは、サブネット内のインスタンスに、オプションでパブリックIPアドレスを含めることができることを意味します。詳細は、インターネットへのアクセスを参照してください。
- このサブネットでDNSホスト名を使用:このオプションは、VCNの作成時にDNSラベルが指定されていた場合にのみ使用できます。このオプションは、サブネットのホストにDNSホスト名を割り当てるために必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定です。このチェック・ボックスを選択した場合、サブネットのDNSラベルを指定するか、コンソールで自動的に生成できます。ダイアログ・ボックスには、サブネットの対応するDNSドメイン名がFQDNとして自動的に表示されます。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
- DHCPオプション:サブネットに関連付けるDHCPオプションのセットを選択します。すでにコンパートメント選択を有効にしている場合は、まずDHCPオプションのセットを含むコンパートメントを指定します。
- セキュリティ・リスト: デフォルト・セキュリティ・リストが選択されていることを確認します。
- タグ付けオプションの表示:このリンクを選択すると、サブネットにタグを追加するためのオプションが表示されます。リソースの作成権限がある場合は、フリーフォーム・タグをそのリソースに適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に問い合せてください。タグは後で適用できます。
-
「サブネットの作成」を選択します。
サブネットが作成され、「サブネット」ページに表示されます。
- VCNの表示中に、「リソース」で「インターネット・ゲートウェイ」を選択します。
- 「インターネット・ゲートウェイの作成」を選択します。
-
次を入力します:
- 名前: インターネット・ゲートウェイのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
- コンパートメントで作成: そのままにします。
- 「拡張オプションの表示」を選択して、次のオプションを設定できます。
- ルート表の関連付け: (拡張オプション)そのままにします。特定のVCNルート表をこのゲートウェイに関連付けることができます。ルート表を関連付けた後、ゲートウェイには常にルート表が関連付けられている必要があります。現在のルート表のルールを変更することも、別のルート表に置換することもできます。
- タグ: (詳細オプション)そのままにします。リソースの作成権限がある場合は、フリーフォーム・タグをそのリソースに適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に問い合せてください。タグは後で適用できます。
-
「インターネット・ゲートウェイの作成」を選択します。
インターネット・ゲートウェイが作成され、「インターネット・ゲートウェイ」ページに表示されます。ゲートウェイはすでに有効になっていますが、トラフィックがゲートウェイに流れることを許可するルート・ルールを追加する必要があります。
デフォルト・ルート表は、ルールなしで開始されます。ここで、VCN外部のアドレスに対して送信されるすべてのトラフィックをインターネット・ゲートウェイにルーティングするルールを追加します。このルールが存在することで、インバウンド接続がインターネットからインターネット・ゲートウェイを介してインターネットからサブネットに到達できるようになります。セキュリティ・リスト・ルールを使用して、サブネット内のインスタンスの出入りが許可されるトラフィックのタイプを制御します(次のタスクを参照)。
VCN内でトラフィックをルーティングするために必要なルート・ルールはありません。
- 「リソース」で、「ルート表」を選択します。
- 詳細を表示するデフォルト・ルート表を選択します。
- 「ルート・ルールの追加」を選択します。
-
次を入力します:
- ターゲット・タイプ: インターネット・ゲートウェイ
- 宛先CIDRブロック: 0.0.0.0/0 (これは、VCNからVCN外の宛先への、ルート表内の他のルールでカバーされていないすべてのトラフィックがこのルールで指定されたターゲットに送信されることを意味します)。
- コンパートメント:インターネット・ゲートウェイを含むコンパートメント。
- ターゲット: 作成したインターネット・ゲートウェイ。
- 説明: ルールのオプションの説明。
- 「ルート・ルールの追加」を選択します。
これで、デフォルト・ルート表にインターネット・ゲートウェイに対するルールが追加されます。サブネットはデフォルト・ルート表を使用するように設定されているため、サブネット内のリソースはインターネット・ゲートウェイを使用できるようになりました。次のステップでは、サブネットで後で作成するインスタンスの内外で許可するトラフィックのタイプを指定します。
以前に、VCNのデフォルト・セキュリティ・リストを使用するようにサブネットを設定しています。今度は、VCN内のインスタンスに必要となる接続タイプを許可するセキュリティ・リスト・ルールを追加します。
例: インターネット・ゲートウェイを使用するパブリック・サブネットの場合、作成する(Webサーバー)インスタンスはインターネットからインバウンドHTTPS接続を受信する必要があります。次に、デフォルト・セキュリティ・リストに別のルールを追加して、そのトラフィックを有効化する方法を示します:
- 「リソース」で、「セキュリティ・リスト」を選択します。
- デフォルト・セキュリティ・リストを選択して詳細を表示します。デフォルトでは、「イングレス・ルール」ページが表示されます。
- 「イングレス・ルールの追加」を選択します。
-
HTTPS (TCPポート443)に対してインバウンド接続を有効にするには、次を入力します:
- ステートレス: 選択解除(これはステートフル・ルールです)
- ソース・タイプ: CIDR
- ソースCIDR: 0.0.0.0/0
- IPプロトコル: TCP
- ソース・ポート範囲: すべて
- 宛先ポート範囲: 443
- 説明: ルールのオプションの説明。
- 「イングレス・ルールの追加」を選択します。
Windowsインスタンスのセキュリティ・リスト・ルール
Windowsインスタンスを作成する場合は、Remote Desktop Protocol (RDP)アクセスを有効化するセキュリティ・ルールを追加する必要があります。RDPを有効にするには、ソース0.0.0.0/0および任意のソース・ポートからの宛先port 3389上のTCPトラフィックに対してステートフル・イングレス・ルールが必要です。詳細は、セキュリティ・リストを参照してください。
本番VCNでは、通常、各サブネットに1つ以上のカスタム・セキュリティ・リストを設定します。オプションで、異なるセキュリティ・リストを使用するようにサブネットを編集できます。デフォルト・セキュリティ・リストを使用しない場合は、カスタム・セキュリティ・リストに複製するデフォルト・ルールを慎重に評価した後にのみ行います。例: デフォルト・セキュリティ・リストにあるデフォルトのICMPルールは、接続メッセージを受信するために重要です。
次のステップでは、サブネット内に1つ以上のインスタンスを作成します。このシナリオの図は、2つの異なる可用性ドメイン内のインスタンスを示しています。インスタンスを作成するときに、AD、使用するVCNとサブネット、およびその他の特性を選択します。
各インスタンスは、自動的にプライベートIPアドレスを取得します。パブリック・サブネットにインスタンスを作成する場合、インスタンスがパブリックIPアドレスを取得するかどうかを決定します。シナリオAでこのネットワーク設定にした場合は、各インスタンスにパブリックIPアドレスを付与する必要があります。そうしないと、インターネット・ゲートウェイを介してインスタンスにアクセスできません。デフォルト(パブリック・サブネット用)では、インスタンスがパブリックIPアドレスを取得します。
このシナリオでインスタンスを作成した後は、オンプレミス・ネットワークやインターネット上のその他の場所から、SSHまたはRDPを使用してインターネット経由でインスタンスに接続できます。詳細は、インスタンスの作成を参照してください。
APIを使用したシナリオAの設定
APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。
次の操作を使用します:
- CreateVcn: インスタンスにホスト名を付ける場合は、常にVCNのDNSラベルを含めてください(仮想クラウド・ネットワークのDNSを参照)。
- CreateSubnet: リージョナル・パブリック・サブネットを1つ作成します。インスタンスにホスト名を付ける場合は、サブネットのDNSラベルを含めてください。デフォルト・ルート表、デフォルト・セキュリティ・リストおよびデフォルトのDHCPオプション・セットを使用します。
- CreateInternetGateway
- UpdateRouteTable: インターネット・ゲートウェイ経由の通信を有効にするには、宛先を0.0.0.0/0、宛先ターゲットをインターネット・ゲートウェイに設定したルート・ルールを含めてデフォルト・ルート表を更新します。このルールにより、VCN外部のアドレスに対して送信されるすべてのトラフィックがインターネット・ゲートウェイにルーティングされます。VCN内でトラフィックをルーティングするために必要なルート・ルールはありません。
- UpdateSecurityList: サブネット内のインスタンスを起点または終点とする特定タイプの接続を許可します。
Windowsインスタンスのセキュリティ・リスト・ルール
次のステップでは、サブネット内に1つ以上のインスタンスを作成します。このシナリオの図は、2つの異なる可用性ドメイン内のインスタンスを示しています。インスタンスを作成するときに、AD、使用するVCNとサブネット、およびその他の特性を選択します。
各インスタンスは、自動的にプライベートIPアドレスを取得します。パブリック・サブネットにインスタンスを作成する場合、インスタンスがパブリックIPアドレスを取得するかどうかを決定します。シナリオAでこのネットワーク設定にした場合は、各インスタンスにパブリックIPアドレスを付与する必要があります。そうしないと、インターネット・ゲートウェイを介してインスタンスにアクセスできません。デフォルト(パブリック・サブネット用)では、インスタンスがパブリックIPアドレスを取得します。
このシナリオでインスタンスを作成した後は、オンプレミス・ネットワークやインターネット上のその他の場所から、SSHまたはRDPを使用してインターネット経由でインスタンスに接続できます。詳細は、インスタンスの作成を参照してください。