Oracle Cloud Infrastructureドキュメント

アクセス・ポリシーの作成

サービス・メッシュのアクセス・ポリシーを作成します。デフォルトでは、サービス間のすべての通信は拒否されます。したがって、サービス間通信を有効にするには、少なくとも1つのアクセス・ポリシーが必要です。

    1. ナビゲーション・メニューを開き、「開発者サービス」をクリックします。「コンテナおよびアーティファクト」で、「サービス・メッシュ」をクリックします。
    2. 「サービス・メッシュ」をクリックします。
    3. 「サービス・メッシュ」ページの左側にあるコンパートメントのリストから、コンパートメントを選択します。
    4. メッシュのリストから、アクセス ポリシーを作成するメッシュ名をクリックします。
    5. メッシュの詳細ページで、「リソース」の下の「アクセス・ポリシー」をクリックします。
    6. 「アクセス・ポリシーの作成」をクリックします。
    7. 「アクセス・ポリシーの作成」パネルで、次の詳細を指定します:
      • 名前: 新規アクセス・ポリシーの名前。名前は、文字またはアンダースコアで始まり、文字、数字、ハイフンまたはアンダースコアが続く必要があります。長さは1から255文字です。機密情報を入力しないでください。
      • 説明: (オプション)新しいアクセス・ポリシーの説明。機密情報を入力しないでください。
      • コンパートメント: アクセス・ポリシーを作成するコンパートメント。デフォルト・コンパートメントは前に選択したコンパートメントですが、作業権限を持つ任意のコンパートメントを選択できます。
      • ソース: このアクセス・ポリシーが適用されるトラフィックの次のいずれかのソースを選択します:
        • すべての仮想サービス: すべての仮想サービスに適用されます。
        • 仮想サービス: 特定の仮想サービスを選択します。
        • イングレス・ゲートウェイ: 特定のイングレス・ゲートウェイを選択します。
      • 宛先: このアクセス・ポリシーが適用されるトラフィックの宛先を選択します。
        • すべての仮想サービス:すべての仮想サービスに適用されます。
        • 仮想サービス:特定の仮想サービスを選択します。
        • 外部サービス:外部サービスのプロトコル、ホスト名またはIPアドレス、およびポートを指定します。
        • プロトコル: HTTPHTTPSまたはTCPプロトコルを選択します。「HTTP」または「HTTPS」を選択した場合は、説明に従ってホスト名を入力します。「TCP」を選択した場合は、説明に従ってIPアドレスを入力します。
        • ホスト名: 完全修飾ホスト名またはワイルドカードを使用できます。たとえば、host.example.com*.example.com*.comおよび*です。
          ノート

          '*'を使用すると、すべてのエグレス・トラフィックが許可されます。
        • IPアドレス: CIDR表記の外部サービスのIPアドレス。指定されたCIDR表記と一致するすべてのリクエストが通過します。ワイルドカードCIDR "0.0.0.0/0"が指定されている場合、仮想サービス通信に同じポートを使用することはできません。
        • ポート(カンマ区切り): 値は、単一のポートまたはカンマで区切られたポートのリストです。次の例は、複数のポートをコンマで区切って示しています。 
          80, 443, 8080
          ノート

          ポートが設定されていない場合、すべてのポートでエグレスが許可されます。
          注意

          メッシュ・リソースでは、15000、15003、15006または9901のサービス・メッシュ予約ポートを使用しないでください。
      • 別のルールを追加するには、「+ルールの追加」をクリックします。
      • (オプション)アクセス・ポリシーにタグを追加するには、「拡張オプションの表示」をクリックします。タグ付けの詳細は、リソース・タグを参照してください。
    8. 「アクセス・ポリシーの作成」をクリックします。

    サンプル・アクセス・ポリシー・ルール

    次のアクセス・ポリシー・ルールの例をアプリケーションで使用できます:

    ルール:すべての仮想サービスが他のすべての仮想サービスと通信できるようにします。

    ソース: All Virtual Services -> 処置: Allow -> 宛先: All Virtual Services

    ルール:イングレス・ゲートウェイは、メッシュへのトラフィック・エントリ・ポイントとして機能します。イングレス・ゲートウェイ・トラフィックは、特定の仮想サービスと通信します。

    ソース: イングレス・ゲートウェイ: <ingress-gateway-name> -> 処置: Allow -> 宛先: Virtual Service: 仮想サービス: <virtual-service-name>

    ルール:仮想サービスからのトラフィックは、メッシュ・ネットワーク内のすべての仮想サービスに流れます。

    ソース: 仮想サービス: <virtual-service-name> -> 処置: Allow -> 宛先: All Virtual Services

  • アクセス・ポリシーを作成するには、service-meshリソースをaccess-policyオプションとともに使用します。

    oci service-mesh access-policy create --from-json <json-file-name>

    例: 

    oci service-mesh access-policy create --from-json file://create.json

    access-policy createで使用可能な操作を確認するには、次を使用します: 

    oci service-mesh access-policy create -h

    access-policy createのサンプルJSONファイルを生成するには、次を使用します:

    oci service-mesh access-policy create --generate-full-command-json-input

  • アクセス・ポリシーを作成するには、CreateAccessPolicy操作を使用します。