シナリオA: パブリック・サブネット

このトピックでは、仮想クラウド・ネットワーク(VCN)とリージョナル・パブリック・サブネットで構成されるシナリオAの設定方法について説明します。冗長性のために、パブリック・サーバーはそれぞれの可用性ドメインに存在します。VCNは、インターネット・ゲートウェイ経由でインターネットに直接接続されています。また、オンプレミス・ネットワークへの接続にもゲートウェイが使用されます。VCN内のリソースと通信する必要があるオンプレミス・ネットワーク内のリソースは、パブリックIPアドレスおよびインターネットへのアクセス権を持つ必要があります。

サブネットはデフォルト・セキュリティ・リストを使用します。このリストには、Oracle Cloud Infrastructureを簡単に使い始められるように設計されたデフォルト・ルールが含まれています。これらのルールを使用すると、一般的な必須アクセス(インバウンドSSH接続や、任意のタイプのアウトバウンド接続など)が可能になります。セキュリティ・リスト・ルールはトラフィックを許可するのみです。セキュリティ・リスト・ルールで明示的にカバーされていないトラフィックはすべて、暗黙的に拒否されます。

このシナリオでは、DRGは使用しません。

このシナリオでは、デフォルト・セキュリティ・リストに別のルールを追加します。かわりに、それらのルールにカスタム・セキュリティ・リストを作成することもできます。その場合は、デフォルト・セキュリティ・リストとカスタム・セキュリティ・リストの両方を使用するようにサブネットを設定します。

ヒント

セキュリティ・リストは、VCNのリソース内外のトラフィックを制御する1つの方法です。また、ネットワーク・セキュリティ・グループを使用すると、すべて同じセキュリティ体制を持つ一連のリソースにセキュリティ・ルールのセットを適用できます。

サブネットはデフォルト・ルート表を使用します。VCNが作成された当初は、この表にはルールがありません。このシナリオでは、この表にはインターネット・ゲートウェイに関するルールが1つのみ含まれています。

次の図は、リージョナル・パブリック・サブネット内のパブリックIPアドレスを持つリソースと、同じサブネット内の異なるAD内の冗長リソースを示しています。パブリック・サブネット・ルート表では、すべての受信トラフィックがインターネット・ゲートウェイを介してパブリック・サブネットに進入および退出することができ、デフォルト・セキュリティ・リストを使用したり、VCNに組み込まれたローカル・ルーティングを使用したりします。インターネット経由でVCNリソースと通信するには、オンプレミス・ホストにパブリックIPアドレスが必要です。

この図は、シナリオA: リージョナル・パブリック・サブネットおよびインターネット・ゲートウェイを使用したVCNを示しています。
コールアウト1: リージョナル・パブリック・サブネット・ルート表
宛先CIDR ルート・ターゲット
0.0.0.0/0 インターネット・ゲートウェイ

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者からポリシーでセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。

管理者グループのメンバーであれば、シナリオAを実装するために必要なアクセス権はすでに持っています。そうでない場合は、ネットワーキングへのアクセス権が必要であり、インスタンスを起動できる必要もあります。ネットワーキングに対するIAMポリシーを参照してください。

コンソールでのシナリオAの設定

コンソールでの設定は簡単です。

ノート

VCNを初めて作成する場合、「インターネット接続性を持つVCNの作成」で説明するウィザードは、パブリックおよびプライベートのサブネット、ゲートウェイ、およびVCN内のインスタンスおよび他のリソースへのインターネット・アクセスを提供するために必要なルート・ルールおよびセキュリティ・ルールを含むVCNを簡単に作成する方法です。ウィザードを使用してこのタスクを実行すると、ウィザードはこのシナリオのタスク1から5を処理できます。
タスク1: VCNの作成
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 「リスト範囲」で、in.Theページの更新を操作する権限があるコンパートメントを選択し、そのコンパートメント内のリソースのみを表示します。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
    ノート

    新しいリソースを作成するには、そのリソースのサービス制限に達していない必要があります。リソース・タイプのサービス制限に達したら、そのタイプの未使用のリソースを削除するか、サービス制限の引上げをリクエストできます。
  3. 「仮想クラウド・ネットワークの作成」をクリックします。
  4. 次を入力します:
    • 名前: VCNのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • コンパートメントで作成: そのままにします。
    • IPv4 CIDRブロック: 最大5個(ただし、VCNに対して少なくとも1つの重複していないIPv4 CIDRブロック)。例: 172.16.0.0/16。CIDRブロックは後で追加または削除できます。許容されるVCNのサイズとアドレス範囲を参照してください。参照用として、ここにCIDR計算機があります。
    • このVCNでDNSホスト名を使用します: このオプションは、VCNのホストにDNSホスト名を割り当てるために必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定の場合に必要です。このオプションを選択した場合、VCNのDNSラベルを指定するか、コンソールで自動的に生成できます。ダイアログ・ボックスには、VCNの対応するDNSドメイン名(<VCN_DNS_label>.oraclevcn.com)が自動的に表示されます。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
    • IPv6接頭辞: 単一のOracle割当てのIPv6 /56接頭辞をこのVCNに割り当てるようにリクエストできます。または、VCNにBYOIPv6接頭辞またはULA接頭辞を割り当てることができます。このオプションは、すべての商用リージョンおよび政府リージョンで使用可能です。IPv6の詳細は、IPv6アドレスを参照してください。
    • タグ: リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後で適用できます。
  5. 「仮想クラウド・ネットワークの作成」をクリックします。

    これにより、VCNが作成され、選択したコンパートメントの「仮想クラウド・ネットワーク」ページに表示されます。

タスク2: リージョナル・パブリック・サブネットの作成
  1. VCNを表示したまま、「サブネットの作成」をクリックします。
  2. 次を入力します:

    • 名前: サブネットのわかりやすい名前(リージョナル・パブリック・サブネットなど)。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • リージョンまたは可用性ドメイン固有: 「リージョナル」(推奨)を選択します。これは、サブネットがリージョン内のすべての可用性ドメインにわたることを意味します。後でインスタンスを起動するときに、リージョン内の任意の可用性ドメインにそれを作成できます。詳細は、VCNとサブネットの概要を参照してください。
    • CIDRブロック: VCNのCIDRブロック内の単一の連続CIDRブロック。例: 172.16.0.0/24。この値は後で変更できません。参照用として、ここにCIDR計算機があります。
    • IPv6アドレス割当ての有効化: このオプションは、VCNがIPv6に対して有効になっている場合にのみ使用できます。IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。
    • ルート表: デフォルト・ルート表を選択します。
    • プライベートまたはパブリック・サブネット: 「パブリック・サブネット」を選択します。これは、サブネット内のインスタンスに、オプションでパブリックIPアドレスを含めることができることを意味します。詳細は、インターネットへのアクセスを参照してください。
    • このサブネットでDNSホスト名を使用:このオプションは、VCNの作成時にDNSラベルが指定されていた場合にのみ使用できます。このオプションは、サブネットのホストにDNSホスト名を割り当てるために必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定の場合にも必要です。チェック・ボックスを選択した場合、サブネットのDNSラベルを指定するか、コンソールで自動的に生成できます。ダイアログ・ボックスには、サブネットの対応するDNSドメイン名がFQDNとして自動的に表示されます。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
    • DHCPオプション: DHCPオプションのデフォルト・セットを選択します。
    • セキュリティ・リスト: デフォルト・セキュリティ・リストが選択されていることを確認します。
    • タグ: そのままにします。タグは後から追加できます。詳細は、リソース・タグを参照してください。
  3. 「サブネットの作成」をクリックします。

    サブネットが作成され、「サブネット」ページに表示されます。

タスク3: インターネット・ゲートウェイの作成
  1. 「リソース」で、「インターネット・ゲートウェイ」をクリックします。
  2. 「インターネット・ゲートウェイの作成」をクリックします。
  3. 次を入力します:

    • 名前: インターネット・ゲートウェイのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • コンパートメントで作成: そのままにします。
    • タグ: そのままにします。タグは後から追加できます。詳細は、リソース・タグを参照してください。
  4. 「インターネット・ゲートウェイの作成」をクリックします。

    インターネット・ゲートウェイが作成され、「インターネット・ゲートウェイ」ページに表示されます。ゲートウェイはすでに有効になっていますが、トラフィックがゲートウェイに流れることを許可するルート・ルールを追加する必要があります。

タスク4: インターネット・ゲートウェイを使用するためのデフォルト・ルート表の更新

デフォルト・ルート表は、ルールなしで開始されます。ここで、VCN外部のアドレスに対して送信されるすべてのトラフィックをインターネット・ゲートウェイにルーティングするルールを追加します。このルールが存在することで、インバウンド接続がインターネットからインターネット・ゲートウェイを介してサブネットに到達できるようになります。セキュリティ・リスト・ルールを使用して、サブネット内のインスタンスの出入りが許可されるトラフィックのタイプを制御します(次のタスクを参照)。

VCN内でトラフィックをルーティングするために必要なルート・ルールはありません。

  1. 「リソース」で、「ルート表」をクリックします。
  2. 詳細を表示するデフォルト・ルート表をクリックします。
  3. 「ルート・ルールの追加」をクリックします。
  4. 次を入力します:

    • ターゲット・タイプ: インターネット・ゲートウェイ
    • 宛先CIDRブロック: 0.0.0.0/0 (ルート表内の他のルールでカバーされないVCN外部のすべてのトラフィックが、このルールで指定されたターゲットに送信されることを意味します)
    • コンパートメント: インターネット・ゲートウェイが配置されているコンパートメント。
    • ターゲット: 作成したインターネット・ゲートウェイ。
    • 説明: ルールのオプションの説明。
  5. 「ルート・ルールの追加」をクリックします。

これで、デフォルト・ルート表にインターネット・ゲートウェイに対するルールが追加されます。サブネットはデフォルト・ルート表を使用するように設定されているため、サブネット内のリソースはインターネット・ゲートウェイを使用できるようになりました。次のステップでは、サブネットで後で作成するインスタンスの内外で許可するトラフィックのタイプを指定します。

タスク5: デフォルト・セキュリティ・リストの更新

以前に、VCNのデフォルト・セキュリティ・リストを使用するようにサブネットを設定しています。今度は、VCN内のインスタンスに必要となる接続タイプを許可するセキュリティ・リスト・ルールを追加します。

例: インターネット・ゲートウェイを使用するパブリック・サブネットの場合、起動する(Webサーバー)インスタンスは、状況によってはインターネットからインバウンドHTTPS接続を受信する必要があります。次に、デフォルト・セキュリティ・リストに別のルールを追加して、そのトラフィックを有効化する方法を示します:

  1. 「リソース」で、「セキュリティ・リスト」.をクリックします
  2. デフォルト・セキュリティ・リストをクリックして詳細を表示します。デフォルトでは、「イングレス・ルール」ページが表示されます。
  3. 「イングレス・ルールの追加」をクリックします。
  4. HTTPS (TCPポート443)に対してインバウンド接続を有効にするには、次を入力します:

    • ステートレス: 選択解除(これはステートフル・ルールです)
    • ソース・タイプ: CIDR
    • ソースCIDR: 0.0.0.0/0
    • IPプロトコル: TCP
    • ソース・ポート範囲: すべて
    • 宛先ポート範囲: 443
    • 説明: ルールのオプションの説明。
  5. 「イングレス・ルールの追加」をクリックします。
重要

Windowsインスタンスのセキュリティ・リスト・ルール

Windowsインスタンスを起動する場合は、Remote Desktop Protocol (RDP)アクセスを有効化するセキュリティ・ルールを追加する必要があります。具体的には、ソース0.0.0.0/0および任意のソース・ポートからの宛先ポート3389でのTCPトラフィックに対するステートフル・イングレス・ルールが必要です。詳細は、セキュリティ・リストを参照してください。

本番VCNでは、通常、各サブネットに1つ以上のカスタム・セキュリティ・リストを設定します。必要に応じて、別のセキュリティ・リストを使用するようにサブネットを編集できます。デフォルト・セキュリティ・リストを使用しない場合は、カスタム・セキュリティ・リストに複製するデフォルト・ルールを慎重に評価した後にのみ行います。例: デフォルト・セキュリティ・リストにあるデフォルトのICMPルールは、接続メッセージを受信するために重要です。

タスク6: 別々の可用性ドメインへのインスタンスの作成

次のステップでは、サブネット内に1つ以上のインスタンスを作成します。このシナリオの図は、2つの異なる可用性ドメイン内のインスタンスを示しています。インスタンスを作成するときに、AD、使用するVCNとサブネット、およびその他の特性を選択します。

各インスタンスは、自動的にプライベートIPアドレスを取得します。パブリック・サブネットにインスタンスを作成する場合、インスタンスがパブリックIPアドレスを取得するかどうかを選択します。シナリオAでこのネットワーク設定にした場合は、各インスタンスにパブリックIPアドレスを付与する必要があります。そうしないと、インターネット・ゲートウェイを介してインスタンスにアクセスできません。デフォルト(パブリック・サブネット用)では、インスタンスがパブリックIPアドレスを取得します。

このシナリオでインスタンスを作成した後は、オンプレミス・ネットワークやインターネット上のその他の場所から、SSHまたはRDPを使用してインターネット経由でインスタンスに接続できます。詳細および手順は、インスタンスの起動を参照してください。

APIを使用したシナリオAの設定

APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。

次の操作を使用します:

  1. CreateVcn: インスタンスにホスト名を付ける場合は、常にVCNのDNSラベルを含めてください(仮想クラウド・ネットワークのDNSを参照)。
  2. CreateSubnet: リージョナル・パブリック・サブネットを1つ作成します。インスタンスにホスト名を付ける場合は、サブネットのDNSラベルを含めてください。デフォルト・ルート表、デフォルト・セキュリティ・リストおよびデフォルトのDHCPオプション・セットを使用します。
  3. CreateInternetGateway
  4. UpdateRouteTable: インターネット・ゲートウェイ経由の通信を有効にするには、宛先を0.0.0.0/0、宛先ターゲットをインターネット・ゲートウェイに設定したルート・ルールを含めてデフォルト・ルート表を更新します。このルールにより、VCN外部のアドレスに対して送信されるすべてのトラフィックがインターネット・ゲートウェイにルーティングされます。VCN内でトラフィックをルーティングするために必要なルート・ルールはありません。
  5. UpdateSecurityList: サブネット内のインスタンスを起点または終点とする特定タイプの接続を許可します。
重要

Windowsインスタンスのセキュリティ・リスト・ルール

Windowsインスタンスを起動する場合は、Remote Desktop Protocol (RDP)アクセスを有効化するセキュリティ・ルールを追加する必要があります。具体的には、ソース0.0.0.0/0および任意のソース・ポートからの宛先ポート3389でのTCPトラフィックに対するステートフル・イングレス・ルールが必要です。詳細は、セキュリティ・リストを参照してください。

次のステップでは、サブネット内に1つ以上のインスタンスを作成します。このシナリオの図は、2つの異なる可用性ドメイン内のインスタンスを示しています。インスタンスを作成するときに、AD、使用するVCNとサブネット、およびその他の特性を選択します。

各インスタンスは、自動的にプライベートIPアドレスを取得します。パブリック・サブネットにインスタンスを作成する場合、インスタンスがパブリックIPアドレスを取得するかどうかを選択します。シナリオAでこのネットワーク設定にした場合は、各インスタンスにパブリックIPアドレスを付与する必要があります。そうしないと、インターネット・ゲートウェイを介してインスタンスにアクセスできません。デフォルト(パブリック・サブネット用)では、インスタンスがパブリックIPアドレスを取得します。

このシナリオでインスタンスを作成した後は、オンプレミス・ネットワークやインターネット上のその他の場所から、SSHまたはRDPを使用してインターネット経由でインスタンスに接続できます。詳細および手順は、インスタンスの起動を参照してください。