プライベート・エンドポイントを使用したネットワーク・アクセスの構成
Autonomous Databaseがテナンシの仮想クラウド・ネットワーク(VCN)内のプライベート・エンドポイントを使用するように指定できます。Autonomous Databaseのプロビジョニング中またはクローニング中にプライベート・エンドポイントを構成することも、パブリック・エンドポイントを使用する既存のデータベースでプライベート・エンドポイントを使用するように切り替えることもできます。これにより、データベースとの間のすべてのトラフィックをパブリック・インターネットから切り離すことができます。
仮想クラウド・ネットワーク構成を指定すると、指定した仮想クラウド・ネットワークからのトラフィックのみが許可され、すべてのパブリックIPまたはVCNからのデータベースへのアクセスがブロックされます。これにより、セキュリティ・リストまたはネットワーク・セキュリティ・グループ(NSG)レベルでセキュリティ・ルールを定義して、Autonomous Databaseインスタンスのイングレス/エグレスを指定できます。プライベート・エンドポイントを使用し、セキュリティ・リストまたはNSGを定義すると、Autonomous Databaseインスタンスとの間のトラフィックを制御できます。
プライベート・エンドポイントを使用するようにAutonomous Databaseインスタンスを構成し、特定のパブリックIPアドレスからの接続も許可する場合、またはサービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するようにそれらのVCNが構成されている場合は、「パブリック・アクセスの許可」オプションを選択します。これにより、プライベート・エンドポイントで構成されたデータベースのパブリック・エンドポイントが追加されます。詳細は、パブリック・アクセスが許可されたプライベート・エンドポイントの使用を参照してください。
「パブリック・アクセスの許可」オプションは、データベースがECPUコンピュート・モデルを使用する場合にのみ使用できます。
トピック
- プライベート・エンドポイントの構成
Autonomous Databaseがプライベート・エンドポイントを使用するように指定し、プライベート・エンドポイントで使用するテナンシ内のVirtual Cloud Network (VCN)を構成できます。 - プライベート・エンドポイントを使用したアウトバウンド接続のセキュリティの強化
Autonomous Databaseインスタンスでプライベート・エンドポイントを使用すると、ROUTE_OUTBOUND_CONNECTIONS
データベース・プロパティを値PRIVATE_ENDPOINT
に設定することで、セキュリティを強化できます。 - プライベート・エンドポイントのノート
Autonomous Databaseでのプライベート・エンドポイントの制限およびノートについて説明します。 - Autonomous Databaseでのプライベート・エンドポイント構成の例
Autonomous Databaseのプライベート・エンドポイント(VCN)構成のサンプルをいくつか示します。
プライベート・エンドポイントの構成
Autonomous Databaseがプライベート・エンドポイントを使用するように指定し、プライベート・エンドポイントで使用するテナンシ内の仮想クラウド・ネットワーク(VCN)を構成できます。
- プライベート・エンドポイントを構成するための前提条件ステップ
Autonomous Databaseインスタンスのプライベート・エンドポイントを構成する前に実行する必要がある前提条件ステップについて説明します。 - プライベート・エンドポイントの管理に必要なIAMポリシー
Autonomous Databaseのプロビジョニングおよび管理に必要なポリシーに加えて、プライベート・エンドポイントを使用するには一部のネットワーク・ポリシーが必要です。 - インスタンスのプロビジョニングまたはクローニング時のプライベート・エンドポイントの構成
Autonomous Databaseインスタンスのプロビジョニングまたはクローニング時に、プライベート・エンドポイントを構成できます。 - Autonomous Databaseでのパブリック・エンドポイントからプライベート・エンドポイントへの変更
Autonomous Databaseインスタンスがパブリック・エンドポイントを使用するように構成されている場合、構成をプライベート・エンドポイントに変更できます。 - プライベート・エンドポイントの構成の更新
既存のAutonomous Databaseインスタンス上のプライベート・エンドポイントの構成の一部のオプションを変更できます。 - プライベート・エンドポイントの拡張オプションの構成
プライベート・エンドポイント・アクセスの拡張オプションを使用すると、ユーザーが指定したプライベートIPアドレスとホスト名を入力したり、1つ以上のネットワーク・セキュリティ・グループを選択したり、プライベート・エンドポイント・データベースへのパブリック・アクセスを許可する詳細を指定できます。 - パブリック・アクセスが許可されたプライベート・エンドポイントの使用
プライベート・エンドポイントを使用するようにAutonomous Databaseを構成し、特定のパブリックIPアドレスまたは特定のVCNからの接続も許可する場合は、「パブリック・アクセスの許可」オプションを選択します(SCNがサービス・ゲートウェイを使用してAutonomous Databaseにプライベートに接続するように構成されている場合)。
プライベート・エンドポイントを構成するための前提条件ステップ
Autonomous Databaseインスタンスのプライベート・エンドポイントを構成する前に実行する必要がある前提条件ステップについて説明します。
プライベート・エンドポイントを構成する前に、次の前提条件ステップを実行します:
-
作業するリソースに必要なポリシーを設定します。詳細は、プライベート・エンドポイントの管理に必要なIAMポリシーを参照してください。
-
Autonomous Databaseを含むリージョン内にVCNを作成します。詳細は、VCNとサブネットを参照してください。
-
デフォルトのDHCPオプションを使用して構成されたVCN内のサブネットを構成します。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
-
(オプション)プライベート・エンドポイントを構成する前に、次のオプションのステップを実行します:
VCN内のネットワーク・セキュリティ・グループ(NSG)を指定します。NSGは、Autonomous Databaseへの接続のルールを指定します。詳細は、ネットワーク・セキュリティ・グループを参照してください。
親トピック: プライベート・エンドポイントの構成
プライベート・エンドポイントの管理に必要なIAMポリシー
Autonomous Databaseのプロビジョニングおよび管理に必要なポリシーに加えて、プライベート・エンドポイントを使用するには一部のネットワーク・ポリシーが必要です。
次の表に、クラウド・ユーザーがプライベート・エンドポイントを追加するために必要なIAMポリシーを示します。リストされているポリシーは、プライベート・エンドポイントを追加するための最小要件です。より広範なポリシー・ルールを使用することもできます。たとえば、ポリシー・ルールを設定する場合:
Allow group MyGroupName to manage virtual-network-family in tenancy
このルールは必要なポリシーをすべて含むスーパーセットであるため、これでも問題ありません。
操作 | 必要なIAMポリシー |
---|---|
プライベート・エンドポイントの構成 |
VCNが存在するコンパートメントに対する VCNが存在するコンパートメントに対する ネットワーク・セキュリティ・グループが存在するコンパートメントに対する VCNが存在するコンパートメントに対する VCNが存在するコンパートメントに対する データベースがプロビジョニングされているかプロビジョニングされる予定のコンパートメントに対する |
Autonomous Databaseは、IAM (Identity and Access Management)サービスを利用して、Oracle Cloud Infrastructureインタフェース(コンソール、REST API、CLI、SDKなど)を使用する操作を実行するクラウド・ユーザーを認証および認可します。
IAMサービスでは、グループ、コンパートメントおよびポリシーを使用して、どのクラウド・ユーザーがどのリソースにアクセスできるかを制御します。具体的には、ポリシーは、ユーザーのグループが特定のコンパートメント内の特定の種類のリソースに対して持つアクセスの種類を定義します。詳細は、ポリシーの開始を参照してください。
親トピック: プライベート・エンドポイントの構成
インスタンスのプロビジョニング時またはクローニング時のプライベート・エンドポイントの構成
Autonomous Databaseインスタンスをプロビジョニングまたはクローニングするときに、プライベート・エンドポイントを構成できます。
次のステップは、インスタンスをプロビジョニング中またはクローニング中で、前提条件のステップが完了しており、プロビジョニングまたはクローニングのステップのうち、「ネットワーク・アクセスの選択」ステップを実行していることを前提としています:
詳細は、プライベート・エンドポイントのノートを参照してください。
親トピック: プライベート・エンドポイントの構成
Autonomous Databaseでのパブリック・エンドポイントからプライベート・エンドポイントへの変更
Autonomous Databaseインスタンスがパブリック・エンドポイントを使用するように構成されている場合、構成をプライベート・エンドポイントに変更できます。
ライフサイクル状態は、操作が完了するまで「更新中」に変わります。
パブリック・ネットワーク・アクセスからプライベート・ネットワーク・アクセスへの変更に関するノート:
-
ネットワーク・アクセス・タイプを更新した後、すべてのデータベース・ユーザーは、新しいウォレットを取得し、新しいウォレットを使用してデータベースにアクセスする必要があります。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。
-
パブリック・エンドポイントにACLが定義されている場合、そのACLはプライベート・エンドポイントには適用されません。
-
プライベート・エンドポイントを使用するようにネットワーク・アクセスを更新した後、データベース・ツールのURLは、パブリック・エンドポイントを使用する場合と異なります。更新されたURLは、パブリック・エンドポイントからプライベート・エンドポイントに変更した後、コンソールで確認できます。
親トピック: プライベート・エンドポイントの構成
プライベート・エンドポイントの構成の更新
既存のAutonomous Databaseインスタンスのプライベート・エンドポイントの構成で、いくつかのオプションを変更できます。
「更新」をクリックすると、Lifecycle Stateが「使用可能」の場合、変更が適用されるまで、Lifecycle Stateは「更新中」に変わります。データベースは引き続き稼働中でアクセス可能であり、停止時間はありません。更新が完了すると、Lifecycle Stateは「使用可能」に戻ります。
詳細は、プライベート・エンドポイントのノートを参照してください。
親トピック: プライベート・エンドポイントの構成
プライベート・エンドポイントの拡張オプションの構成
プライベート・エンドポイント・アクセスの拡張オプションを使用すると、ユーザーが指定したプライベートIPアドレスとホスト名を入力したり、1つ以上のネットワーク・セキュリティ・グループを選択したり、プライベート・エンドポイント・データベースへのパブリック・アクセスを許可する詳細を指定できます。
これらのステップは、Autonomous Databaseインスタンスをプロビジョニングまたはクローニングする場合、または既存のAutonomous Databaseインスタンスのパブリック・アクセスからプライベート・アクセスに変更する場合で、「ネットワーク・アクセスの選択」ステップにいることを前提としています。
親トピック: プライベート・エンドポイントの構成
パブリック・アクセスが許可されたプライベート・エンドポイントの使用
プライベート・エンドポイントを使用するようにAutonomous Databaseを構成し、特定のパブリックIPアドレスまたは特定のVCNからの接続も許可する場合は、「パブリック・アクセスの許可」オプションを選択します(SCNがサービス・ゲートウェイを使用してAutonomous Databaseにプライベートに接続するように構成されている場合)。
このオプションは、プライベート・エンドポイントに構成されているデータベースのパブリック・エンドポイントを追加します。Autonomous Databaseインスタンスのプライベート・エンドポイントは、インスタンスのプロビジョニング時またはクローニング時、または既存のAutonomous Databaseのネットワーク構成の更新時に構成します。プライベート・エンドポイントを使用してAutonomous Databaseインスタンスを構成するステップの詳細は、次を参照してください:
プライベート・エンドポイント・データベースでパブリック・アクセスの許可を使用してパブリック・アクセスが有効になっている場合、インスタンスにはプライベート・エンドポイントとパブリック・エンドポイントの両方があります:
-
プライベート・ホスト名、エンドポイントURLおよびプライベートIPアドレスを使用すると、データベースが存在するVCNからデータベースに接続できます。
-
パブリック・ホスト名を使用すると、特定のパブリックIPアドレスから、または特定のVCN (サービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するように構成されている場合)からデータベースに接続できます。
「パブリック・アクセスの許可」が有効になっているプライベート・エンドポイント・データベースのAutonomous Database接続文字列の追加
プライベート・エンドポイント・データベースで「パブリック・アクセスの許可」が有効になっている場合、パブリック・エンドポイントからデータベースに接続できる追加の接続文字列があります:
-
Autonomous Databaseウォレットzipの
tnsnames.ora
の接続文字列には、パブリック・インターネットからの接続で使用するパブリック接続文字列が含まれます。パブリック・エンドポイントの接続文字列では、次のネーミング規則を使用します。dbname_public_consumerGroup
次に例を示します。
adbfinance_public_low
詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。
-
パブリック・エンドポイントとプライベート・エンドポイントの両方の接続文字列は、Oracle Cloud Infrastructure Consoleから(またはAPIを使用して)表示できます。
詳細については、View TNS Names and Connection Strings for an Autonomous Database Instanceを参照してください。
「パブリック・アクセスの許可」が有効になっているプライベート・エンドポイント・データベースのAutonomous Databaseツール追加
プライベート・エンドポイント・データベースでパブリック・アクセスの許可が有効になっている場合、データベース・ツールでは、特定のパブリックIPアドレスから、または特定のVCNから接続できます(これらのVCNがサービス・ゲートウェイを使用してAutonomous Databaseにプライベートに接続するように構成されている場合)。
-
各ツールには、プライベート・アクセスURLと、ツール構成表に表示されるパブリック・アクセスURLがあります。パブリック・アクセスURLを使用して、特定のパブリックIPアドレスからツールにアクセスするか、特定のVCN (サービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するように構成されている場合)からツールにアクセスします。
たとえば:
詳細は、Autonomous Databaseの組込みツール・ステータスの表示を参照してください。
-
ウォレットzipファイルの
README
ファイルは、各データベース・ツールのプライベート・エンドポイントのアクセス・リンクとパブリック・アクセス・リンクの両方を提供します。詳細は、Wallet READMEファイルを参照してください。
親トピック: プライベート・エンドポイントの構成
プライベート・エンドポイントを使用したアウトバウンド接続のセキュリティの強化
Autonomous Databaseインスタンスでプライベート・エンドポイントを使用する場合、ROUTE_OUTBOUND_CONNECTIONS
データベース・プロパティを値PRIVATE_ENDPOINT
に設定することで、セキュリティを強化できます。
ROUTE_OUTBOUND_CONNECTIONS
データベース・プロパティを値PRIVATE_ENDPOINT
に設定すると、ターゲット・ホストへのすべての送信接続がプライベート・エンドポイントのエグレス・ルールの対象および制限されます。エグレス・ルールは、Virtual Cloud Network (VCN)セキュリティ・リストまたはAutonomous Databaseインスタンスのプライベート・エンドポイントに関連付けられたネットワーク・セキュリティ・グループ(NSG)で定義します。
ROUTE_OUTBOUND_CONNECTIONS
データベース・プロパティを設定する前に、プライベート・エンドポイントを使用するようにAutonomous Databaseインスタンスを構成します。詳細は、プライベート・エンドポイントの構成に関する項を参照してください。
ROUTE_OUTBOUND_CONNECTIONS
データベース・プロパティにPRIVATE_ENDPOINT
を設定して、すべての送信接続をAutonomous Databaseインスタンスのプライベート・エンドポイントVCNのエグレス・ルールの対象にすることを指定します。値PRIVATE_ENDPOINT
を指定すると、データベースは送信接続をプライベート・エンドポイントのエグレス・ルールで指定された場所に制限し、DNS解決も変更して、ホスト名がVCNのDNSリゾルバを使用して解決されるようにします(パブリックDNSリゾルバを使用しません)。
ROUTE_OUTBOUND_CONNECTIONS
がPRIVATE_ENDPOINT
に設定されていない場合、パブリック・インターネットへのすべての送信接続は、サービスVCNのネットワーク・アドレス変換(NAT)ゲートウェイを通過します。この場合、ターゲット・ホストがパブリック・エンドポイント上にあると、送信接続はAutonomous Databaseインスタンスのプライベート・エンドポイントVCNまたはNSGエグレス・ルールに従いません。
Autonomous Databaseインスタンスのプライベート・エンドポイントを構成し、ROUTE_OUTBOUND_CONNECTIONS
をPRIVATE_ENDPOINT
に設定すると、この設定によって、次のものに対するアウトバウンド接続およびDNS解決の処理が変更されます:
-
データベース・リンク
-
APEX_LDAP、APEX_MAILおよびAPEX_WEB_SERVICE
-
UTL_HTTP、UTL_SMTPおよびUTL_TCP
-
DBMS_LDAP
-
Microsoft Active Directoryを使用したCMU
詳細は、Autonomous DatabaseでのMicrosoft Active Directoryの使用を参照してください。
ROUTE_OUTBOUND_CONNECTIONS
を設定するには:
ROUTE_OUTBOUND_CONNECTIONS
の設定に関するノート:
-
デフォルトのパラメータ値を復元するには、次のコマンドを使用します:
ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = '';
-
次のコマンドを使用して、現在のパラメータ値を問い合せます:
SELECT * FROM DATABASE_PROPERTIES WHERE PROPERTY_NAME = 'ROUTE_OUTBOUND_CONNECTIONS';
プロパティが設定されていない場合、問合せは結果を返しません。
-
このプロパティは、プロパティを値
PRIVATE_ENDPOINT
に設定した後に作成するデータベース・リンクにのみ適用されます。したがって、プロパティを設定する前に作成したデータベース・リンクは、サービスVCNのNAT Gatewayを引き続き使用し、Autonomous Databaseインスタンスのプライベート・エンドポイントのエグレス・ルールの対象にはなりません。 -
プライベート・エンドポイントでAutonomous Databaseを使用している場合のみ、
ROUTE_OUTBOUND_CONNECTIONS
を値PRIVATE_ENDPOINT
に設定してください。 -
データベースがプライベート・エンドポイントにあり、VCNによってアウトバウンド接続を解決する場合は、
ROUTE_OUTBOUND_CONNECTIONS
パラメータをPRIVATE_ENDPOINT
に設定する必要があります。
ネットワーク・アドレス変換(NAT)ゲートウェイの詳細は、NAT Gatewayを参照してください。
プライベート・エンドポイントのノート
Autonomous Databaseでのプライベート・エンドポイントの制限およびノートについて説明します。
-
プライベート・エンドポイントを使用するようにネットワーク・アクセスを更新した後、またはプライベート・エンドポイントの構成を伴うプロビジョニングまたはクローニングが完了した後、Autonomous Databaseの詳細ページの「ネットワーク」セクションでネットワーク構成を表示できます。
「ネットワーク」セクションには、プライベート・エンドポイントに関する次の情報が表示されます:
- アクセス・タイプ: Autonomous Database構成のアクセス・タイプを指定します。プライベート・エンドポイント構成には、アクセス・タイプ仮想クラウド・ネットワークが表示されます。
- 可用性ドメイン: Autonomous Databaseインスタンスの可用性ドメインを指定します。
- 仮想クラウド・ネットワーク: これには、プライベート・エンドポイントに関連付けられたVCNのリンクが含まれます。
- サブネット: これには、プライベート・エンドポイントに関連付けられたサブネットのリンクが含まれます。
- プライベート・エンドポイントIP: プライベート・エンドポイント構成のプライベート・エンドポイントIPが表示されます。
- プライベート・エンドポイントURL: プライベート・エンドポイント構成のプライベート・エンドポイントURLが表示されます。
- ネットワーク・セキュリティ・グループ: このには、プライベート・エンドポイントを使用して構成されたNSGへのリンクが含まれます。
- パブリック・アクセス: このフィールドは、プライベート・エンドポイントに対してパブリック・アクセスが有効かどうかを示します。
Edit
リンクをクリックして、許可されるACLまたはVCNを表示または変更します。 - パブリック・エンドポイントURL: これは、プライベート・エンドポイントでパブリック・アクセスの許可が有効になっている場合に表示されます。これは、パブリック・インターネットで許可されたIPまたはVCNから接続するために使用できるパブリック・エンドポイントURLです。
Oracle Cloud Infrastructure Consoleのネットワーク情報の詳細は、OCIコンソールでのネットワーク情報の表示を参照してください。
-
プロビジョニングまたはクローニングが完了したら、パブリック・エンドポイントを使用するようにAutonomous Database構成を変更できます。
パブリック・エンドポイントへの変更の詳細は、Autonomous Databaseでのプライベート・エンドポイントからパブリック・エンドポイントへの変更を参照してください。
-
最大5つのNSGを指定して、Autonomous Databaseへのアクセスを制御できます。
-
Autonomous Databaseのプライベート・エンドポイントのネットワーク・セキュリティ・グループ(NSG)を変更できます。
プライベート・エンドポイントのNSGを変更するには、次を実行します:
-
「Autonomous Databases」ページで、「表示名」列の下のリンクからAutonomous Databaseを選択します。
-
Autonomous Databaseの詳細ページの「ネットワーク」の下にある「ネットワーク・セキュリティ・グループ」フィールドで、「編集」をクリックします。
-
-
オンプレミス・データベースに対して行うように、データ・ゲートウェイを使用して、プライベート・エンドポイントを持つAutonomous DatabaseにOracle Analytics Cloudインスタンスを接続できます。詳細は、Data Visualization用のデータ・ゲートウェイの構成および登録を参照してください。
-
プライベート・エンドポイントを使用して構成されたデータベースでは、次のAutonomous Databaseツールがサポートされています:
- データベース・アクション
- Oracle APEX
- Oracle Graph Studio
- Oracle Machine Learningノートブック
- Oracle REST Data Services
- Oracle Database API for MongoDB
これらのAutonomous Databaseツールにオンプレミス環境からアクセスするには、追加の構成が必要です。詳細は、例: データ・センターからAutonomous Databaseへの接続を参照してください。
追加のプライベート・エンドポイント構成を完了せずに、オンプレミス環境からプライベート・エンドポイントを使用してOracle APEX、データベース・アクション、Oracle Graph StudioまたはOracle REST Data Servicesにアクセスすると、エラーが表示されます:
404 Not Found
-
プライベート・エンドポイントを使用するようにネットワーク・アクセスを更新した後、データベース・ツールのURLは、パブリック・エンドポイントを使用する場合と異なります。更新されたURLは、パブリック・エンドポイントからプライベート・エンドポイントに変更した後、コンソールで確認できます。
-
Autonomous Databaseで事前構成されたデフォルトのOracle REST Data Services (ORDS)に加えて、より多くの構成オプションを提供し、プライベート・エンドポイントで使用できる、代替ORDSデプロイメントを構成できます。プライベート・エンドポイントで使用できる代替ORDSデプロイメントについて学習するには、Autonomous Databaseでの顧客管理対象Oracle REST Data Servicesについてを参照してください。
-
「プライベートIPアドレス」フィールドに値を入力したときにIPアドレスが自動的に割り当てられるかどうかに関係なく、インスタンスをプロビジョニングまたはクローニングした後はプライベートIPアドレスの変更は許可されません。
Autonomous Databaseでのプライベート・エンドポイント構成の例
Autonomous Databaseのプライベート・エンドポイント(VCN)構成のサンプルをいくつか示します。
- 例: Oracle Cloud Infrastructure VCN内からの接続
Autonomous Databaseに構成されているのと同じVCNの仮想マシン(VM)で、Oracle Cloud Infrastructure内で実行されているアプリケーションを示します。 - 例: データ・センターからAutonomous Databaseへの接続
オンプレミス・データ・センターからAutonomous Databaseにプライベートに接続する方法を示します。このシナリオでは、トラフィックはパブリック・インターネットを経由しません。
例: Oracle Cloud Infrastructure VCN内からの接続
Oracle Cloud Infrastructure内で、Autonomous Databaseに対して構成されているのと同じVCNの仮想マシン(VM)で実行されているアプリケーションを示します。
"Your VCN"という名前のVCNにプライベート・エンドポイントを持つAutonomous Databaseインスタンスがあります。このVCNには、"SUBNET B" (CIDR 10.0.1.0/24)と"SUBNET A" (CIDR 10.0.2.0/24)の2つのサブネットが含まれています。
Autonomous Databaseインスタンスに関連付けられたネットワーク・セキュリティ・グループ(NSG)は、"NSG 1 - Security Rules"として表示されています。このネットワーク・セキュリティ・グループは、Autonomous Databaseインスタンスとの間の送受信トラフィックを許可するセキュリティ・ルールを定義するものです。Autonomous Databaseインスタンスのルールを次のように定義します:
-
相互TLS認証の場合は、ソースからAutonomous Databaseインスタンスへの接続を許可するためのステートフル・イングレス・ルールを追加します。ソースはデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルはTCPに設定され、宛先ポート範囲は1522に設定されます。
-
TLS認証の場合は、ソースからAutonomous Databaseインスタンスへの接続を許可するステートフル・イングレス・ルールを追加します。ソースは、データベースへの接続を許可するアドレス範囲に設定され、IPプロトコルはTCPに設定され、宛先ポート範囲は1521に設定されます。
-
Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。
次の図は、Autonomous Databaseインスタンスのトラフィックを制御するサンプルのステートフル・セキュリティ・ルールを示しています:
Autonomous Databaseに接続するアプリケーションは、SUBNET BのVMで実行されています。VMとの間のトラフィックを許可するセキュリティ・ルールも追加します(図に示すように、"NSG 2 Security Rules"というラベルが付いています)。VMにはステートフル・セキュリティ・ルールを使用できるため、NSG 2 Security Rulesにエグレスのルールを追加するだけです(これにより、宛先サブネットAへのアクセスが許可されます)。
次の図は、VMのトラフィックを制御するサンプルのセキュリティ・ルールを示しています:
セキュリティ・ルールを構成すると、アプリケーションはクライアント資格証明ウォレットを使用してAutonomous Databaseインスタンスに接続できます。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。
ネットワーク・セキュリティ・グループの構成の詳細は、ネットワーク・セキュリティ・グループを参照してください。
例: データ・センターからAutonomous Databaseへの接続
オンプレミス・データ・センターからAutonomous Databaseにプライベートに接続する方法を示します。このシナリオでは、トラフィックはパブリック・インターネットを経由しません。
データ・センターから接続するには、オンプレミス・ネットワークをFastConnectでVCNに接続し、動的ルーティング・ゲートウェイ(DRG)を設定します。Autonomous Databaseのプライベート・エンドポイントを解決するには、完全修飾ドメイン名(FQDN)のエントリをオンプレミス・クライアントのhostsファイルに追加する必要があります。たとえば、Linuxマシンの場合は/etc/hosts
ファイルです。たとえば:
/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloud.com
Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、同じIPを持つ別のエントリを追加します。たとえば:
/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloudapps.com
プライベート・エンドポイントのIPとFQDNは次のようになります:
-
プライベートIPは、インスタンスのOracle Cloud InfrastructureコンソールのAutonomous Database詳細ページに表示されます。
-
FQDNは、Autonomous Databaseクライアント資格証明ウォレットの
tnsnames.ora
ファイルに表示されます。
または、DNS名前解決を提供するためにOracle Cloud InfrastructureプライベートDNSを使用することもできます。詳細は、プライベートDNSを参照してください。
この例では、オンプレミス・データ・センターと"Your VCN"の間に動的ルーティング・ゲートウェイ(DRG)があります。このVCNにはAutonomous Databaseが含まれています。また、DRGを経由するCIDR 172.16.0.0/16への送信トラフィック用に、Autonomous Databaseに関連付けられたVCNのルート表も表示されています。
DRGの設定に加えて、データ・センターのCIDR範囲(172.16.0.0/16)のルールを追加することで、Autonomous Databaseとの間のトラフィックを許可するネットワーク・セキュリティ・グループ(NSG)ルールを定義します。この例では、"NSG 1"のセキュリティ・ルールを次のように定義します:
-
相互TLS認証の場合は、データ・センターからのイングレス・トラフィックを許可するステートフル・ルールを作成します。これは、ソースがデータベースへの接続を許可するアドレス範囲に設定され、プロトコルがTCPに設定され、ソース・ポート範囲がCIDR範囲(172.16.0.0/16)に設定され、宛先ポートが1522に設定されている、ステートフル・イングレス・ルールです。
-
TLS認証の場合は、データ・センターからのイングレス・トラフィックを許可するステートフル・ルールを作成します。これは、ソースがデータベースへの接続を許可するアドレス範囲に設定され、プロトコルがTCPに設定され、ソース・ポート範囲がCIDR範囲(172.16.0.0/16)に設定され、宛先ポートが1521に設定されている、ステートフル・イングレス・ルールです。
-
Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。
次の図は、Autonomous Databaseインスタンスのトラフィックを制御するセキュリティ・ルールを示しています:
セキュリティ・ルールを構成すると、オンプレミス・データベース・アプリケーションは、クライアント資格証明ウォレットを使用してAutonomous Databaseインスタンスに接続できます。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。