Oracle Cloud Infrastructureドキュメント

プライベート・アクセス・チャネルの前提条件

プライベート・アクセス・チャネルを構成する前に、Oracle Analytics CloudでアクセスするプライベートDNSゾーンまたはSCANホストのドメイン名を知り、Enterprise EditionでOracle Analytics Cloudをデプロイしたことを確認して、適切な権限があることを確認する必要があります。

Oracle Analytics Cloudがパブリック・エンドポイントとともにデプロイされている場合は、Oracle Analytics Cloudでプライベート・ソースへのアクセスに使用するOracle Cloud InfrastructureのVCNおよびサブネットも知っておく必要があります。Oracle Analytics Cloudインスタンスをプライベート・エンドポイントとともにデプロイした場合は、プライベート・アクセス・チャネルではインスタンスに構成したVCNおよびサブネットと同じものが自動的に使用されるため、ステップ3を実行する必要はありません。

  1. Oracle Analytics CloudデプロイメントにEnterprise Editionが含まれていることを確認します。

    エディション情報は「インスタンスの詳細」ページに表示されます。サービスの確認を参照してください。

    プライベート・アクセス・チャネルは、Professional EditionでデプロイされたOracle Analytics Cloudインスタンスでは使用できません。

  2. Oracle Analytics Cloudでプライベート・チャネルを介してアクセスする各プライベート・データ・ソース(DNSゾーン)のドメイン名を記録します。

    たとえば、example.comcompanyabc.comのようなドメイン名です。

    • Oracle Cloud Infrastructure VCNとピアリングされた企業ネットワーク内のプライベート・データ・ソース

      DNSゾーンを<domain name>のフォーマットで登録します

      例:

      • データ・ソースFQDNホスト名がdata-source-ds01.companyabc.comの場合は、DNSゾーンをcompanyabc.comとして追加します。
      • データ・ソースFQDNホスト名がdb01.dbdomain.companyabc.comの場合は、Oracle Analytics Cloudがdbdomain.companyabc.comのホストにのみアクセスできるように、DNSゾーンをdbdomain.companyabc.comとして追加します。

    • Oracle Cloud Infrastructure VCN内のプライベート・データ・ソース

      DNSゾーンを<VCN DNS label>.oraclevcn.comのフォーマットで登録します

      例: companyabc.oraclevcn.com

      ヒント: プライベート・アクセス・チャネルと同じVCNのプライベート・ソースに接続する場合は、「プライベート・アクセス・チャネルの構成」ページで「DNSゾーンとしての仮想クラウド・ネットワークのドメイン名」チェック・ボックスを選択すると、ドメイン名の値が自動入力されます。

    • Oracle Cloud Infrastructure VCN内のプライベートOracle Autonomous Data WarehouseまたはOracle Autonomous Transaction Processing

      DNSゾーンをadb.<region>.<realm public domain>のフォーマットで登録します

      例:

      • adb.ap-sydney-1.oraclecloud.com
      • adb.uk-gov-cardiff-1.oraclegovcloud.uk
  3. Oracle Analytics Cloudでプライベート・チャネルを介してアクセスする単一クライアント・アクセス名(SCAN)で構成された各プライベートOracle DatabaseのSCANホスト名およびSCANポートを記録します。たとえば、db01-scan.corp.example.comprd-db01-scan.mycompany.comなどのSCANホスト名では、ポート1521を使用できます。

    Oracle Cloud InfrastructureでプライベートDB Systemに接続する場合は、「DB System情報」ページ(「SCAN DNS名」および「ポート」)でSCANの詳細を確認できます。

    SCANホストとポート

  4. Oracle Analytics Cloudでプライベート・チャネルに使用するOracle Cloud InfrastructureのVCNおよびサブネットを決定します。

    VCNの前提条件

    • リージョン: VCNは、Oracle Analytics Cloudと同じリージョンに属している必要があります。

    サブネットの前提条件

    • サイズ: 各プライベート・アクセス・チャネルに少なくとも4つのIPアドレスが必要です。ネットワーク・トラフィック・エグレスには2つのIPアドレスが必要です。1つはプライベート・アクセス・チャネル用で、もう1つは将来の使用のために予約されたものです。つまり、1つのプライベート・アクセス・チャネルの最小サブネット・サイズは/29です。たとえば、サブネットCIDR 10.0.0.0/29です。

      複数のOracle Analytics Cloudインスタンスがある場合は、複数のプライベート・アクセス・チャネルの構成が必要になることがあります。複数のチャネルに単一のサブネットを使用する場合は、それに応じたサブネットのサイズを設定する必要があります。または、各プライベート・アクセス・チャネルに専用のサブネットを使用します。

    • エグレス・ルール: サブネットには、プライベート・データ・ソース(IPアドレスおよびポート)への通信を可能にするエグレス・ルールが含まれている必要があります。

    • イングレス・ルール: サブネットには、プライベート・データ・ソースからの通信を可能にするイングレス・ルールが含まれている必要があります。

    よくわからない場合は、ネットワーク管理者に問い合せてください。

    VCNおよびサブネットの構成タスクは、通常、Oracle Cloud Infrastructureネットワークを担当するネットワーク管理者が実行します。詳細は、シナリオB: VPNを使用したプライベート・サブネットまたはシナリオC: VPNを使用したパブリック・サブネットとプライベート・サブネットタスク1: VCNおよびサブネットの設定を参照してください。

  5. 自分(またはOracle Analytics Cloudのプライベート・アクセス・チャネルの構成の計画担当者)が、VCNへのアクセスに必要なポリシーが付与されたグループに属していることを確認します。

    いくつかの方法があります最も適したレベルを選択してください:

    広範囲のリソース・アクセス・ポリシー

    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO READ compartments IN TENANCY
    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO MANAGE virtual-network-family IN TENANCY

    限定されたリソース・アクセス・ポリシー

    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO READ compartments IN TENANCY
    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO READ virtual-network-family IN compartment <compartment name of VCN>
    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO USE subnets IN compartment <compartment name of subnet>
    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO MANAGE vnics IN compartment <compartment name of Analytics instance>
    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO USE private-ips IN compartment <compartment name of Analytics instance>

    中程度のリソース・アクセス・ポリシー - オプション1

    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO READ compartments IN TENANCY
    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO READ virtual-network-family IN TENANCY
    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO USE subnets IN TENANCY
    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO MANAGE vnics IN TENANCY
    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO MANAGE private-ips IN compartment <compartment name of Analytics instance>

    中程度のリソース・アクセス・ポリシー - オプション2

    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO READ compartments IN TENANCY
    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO USE virtual-network-family IN compartment <compartment name of VCN>
    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO MANAGE virtual-network-family IN compartment <compartment name of Analytics instance>
  6. SCANホストおよびポートの詳細を含むデータ・ソースへのアクセスを有効にする場合は、ユーザー(またはOracle Analytics Cloudのプライベート・アクセス・チャネルの構成を計画しているユーザー)が、作業リクエストへのアクセスに必要なポリシーが付与されたグループに属していることを確認してください。

    最も適したレベルを選択してください:

    広範囲のリソース・アクセス・ポリシー

    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO READ work-requests IN TENANCY

    限定されたリソース・アクセス・ポリシー

    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO READ work-requests IN compartment <compartment name of Analytics instance>
  7. オプション: ネットワーク・セキュリティ・グループ・ルールを使用してプライベート・アクセス・チャネルを介したトラフィックを制限する場合は、チャネルの作成時にこれを実行するか、後でタスクを保存できます。
    プライベート・アクセス・チャネルの作成時にネットワーク・セキュリティ・グループを構成する場合は、ネットワーク・セキュリティ・グループが存在し、ネットワーク・セキュリティ・グループを使用するために必要なポリシーがあることを確認してください。 
    • ALLOW GROUP <ANALYTICS ADMIN GROUP> TO USE network-security-groups IN TENANCY