プライベート・エンドポイントを使用したネットワーク・アクセスの構成

Autonomous Databaseがテナンシの仮想クラウド・ネットワーク(VCN)内のプライベート・エンドポイントを使用するように指定できます。Autonomous Databaseのプロビジョニング中またはクローニング中にプライベート・エンドポイントを構成することも、パブリック・エンドポイントを使用する既存のデータベースでプライベート・エンドポイントを使用するように切り替えることもできます。これにより、データベースとの間のすべてのトラフィックをパブリック・インターネットから切り離すことができます。

仮想クラウド・ネットワーク構成を指定すると、指定した仮想クラウド・ネットワークからのトラフィックのみが許可され、すべてのパブリックIPまたはVCNからのデータベースへのアクセスがブロックされます。これにより、セキュリティ・リストまたはネットワーク・セキュリティ・グループ(NSG)レベルでセキュリティ・ルールを定義して、Autonomous Databaseインスタンスのイングレス/エグレスを指定できます。プライベート・エンドポイントを使用し、セキュリティ・リストまたはNSGを定義すると、Autonomous Databaseインスタンスとの間のトラフィックを制御できます。

ノート

プライベート・エンドポイントを使用するようにAutonomous Databaseインスタンスを構成し、特定のパブリックIPアドレスからの接続も許可する場合、またはサービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するようにそれらのVCNが構成されている場合は、「パブリック・アクセスの許可」オプションを選択します。これにより、プライベート・エンドポイントで構成されたデータベースのパブリック・エンドポイントが追加されます。詳細は、パブリック・アクセスが許可されたプライベート・エンドポイントの使用を参照してください。

「パブリック・アクセスの許可」オプションは、データベースがECPUコンピュート・モデルを使用する場合にのみ使用できます。

トピック

プライベート・エンドポイントの構成

Autonomous Databaseがプライベート・エンドポイントを使用するように指定し、プライベート・エンドポイントで使用するテナンシ内の仮想クラウド・ネットワーク(VCN)を構成できます。

プライベート・エンドポイントを構成するための前提条件ステップ

Autonomous Databaseインスタンスのプライベート・エンドポイントを構成する前に実行する必要がある前提条件ステップについて説明します。

プライベート・エンドポイントを構成する前に、次の前提条件ステップを実行します:

プライベート・エンドポイントの管理に必要なIAMポリシー

Autonomous Databaseのプロビジョニングおよび管理に必要なポリシーに加えて、プライベート・エンドポイントを使用するには一部のネットワーク・ポリシーが必要です。

次の表に、クラウド・ユーザーがプライベート・エンドポイントを追加するために必要なIAMポリシーを示します。リストされているポリシーは、プライベート・エンドポイントを追加するための最小要件です。より広範なポリシー・ルールを使用することもできます。たとえば、ポリシー・ルールを設定する場合:

Allow group MyGroupName to manage virtual-network-family in tenancy

このルールは必要なポリシーをすべて含むスーパーセットであるため、これでも問題ありません。

操作 必要なIAMポリシー

プライベート・エンドポイントの構成

VCNが存在するコンパートメントに対するuse vcns

VCNが存在するコンパートメントに対するuse subnets

ネットワーク・セキュリティ・グループが存在するコンパートメントに対するuse network-security-groups

VCNが存在するコンパートメントに対するmanage private-ips

VCNが存在するコンパートメントに対するmanage vnics

データベースがプロビジョニングされているかプロビジョニングされる予定のコンパートメントに対するmanage vnics

Autonomous Databaseは、IAM (Identity and Access Management)サービスを利用して、Oracle Cloud Infrastructureインタフェース(コンソール、REST API、CLI、SDKなど)を使用する操作を実行するクラウド・ユーザーを認証および認可します。

IAMサービスでは、グループコンパートメントおよびポリシーを使用して、どのクラウド・ユーザーがどのリソースにアクセスできるかを制御します。具体的には、ポリシーは、ユーザーのグループが特定のコンパートメント内の特定の種類のリソースに対して持つアクセスの種類を定義します。詳細は、ポリシーの開始を参照してください。

インスタンスのプロビジョニング時またはクローニング時のプライベート・エンドポイントの構成

Autonomous Databaseインスタンスをプロビジョニングまたはクローニングするときに、プライベート・エンドポイントを構成できます。

次のステップは、インスタンスをプロビジョニング中またはクローニング中で、前提条件のステップが完了しており、プロビジョニングまたはクローニングのステップのうち、「ネットワーク・アクセスの選択」ステップを実行していることを前提としています:

  1. 「プライベート・エンドポイント・アクセスのみ」を選択します。

    これにより、仮想クラウド・ネットワークのプライベート・アクセス構成領域が展開されます。


    adb_private_vcn.pngの説明が続きます

    「プライベート・エンドポイント・アクセスのみ」を選択すると、指定したプライベート・ネットワーク(VCN)、ピアリングされたSCNおよびVCNに接続されたオンプレミス・ネットワークからの接続のみが許可されます。プライベート・エンドポイントでAutonomous Databaseインスタンスを構成して、オンプレミス・ネットワークからの接続を許可できます。例については、例: データ・センターからAutonomous Databaseへの接続を参照してください。

    パブリックIPアドレスからの接続、または許可されたIPおよびVCNからの接続を許可する場合は、次のオプションがあります。

    • 「すべての場所からのセキュア・アクセス」を選択します。

    • 「許可されたIPおよびVCNからのアクセスのみの保護」を選択します。

    • 「プライベート・エンドポイント・アクセスのみ」を選択した場合は、「拡張オプションの表示」を展開し、「パブリック・アクセスの許可」を選択します。詳細は、プライベート・エンドポイントの拡張オプションの構成を参照してください。

  2. コンパートメント内の仮想クラウド・ネットワークを選択するか、VCNが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして、VCNを含むコンパートメントを選択し、仮想クラウド・ネットワークを選択します。

    詳細は、VCNとサブネットを参照してください。

  3. Autonomous Databaseをアタッチするサブネットをコンパートメント内で選択します。または、サブネットが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして、サブネットを含むコンパートメントを選択し、サブネットを選択します。

    詳細は、VCNとサブネットを参照してください。

  4. (オプション)「拡張オプションの表示」をクリックして、追加のプライベート・エンドポイント・オプションを表示します。

    拡張オプションの詳細は、プライベート・エンドポイントの拡張オプションの構成を参照してください。

  5. 相互TLS (mTLS)認証が必要。

    「相互TLS (mTLS)認証が必要」のオプションは:

    • 「相互TLS (mTLS)認証が必要」の選択を解除すると、TLSおよびmTLS接続が許可されます。これはデフォルト構成です。

    • 「相互TLS (mTLS)認証が必要」が選択されている場合、mTLS接続のみが許可されます(TLS認証は許可されません)。

    詳細は、Autonomous DatabaseでTLS認証を許可するか相互TLS (mTLS)認証のみを必要とするようにネットワーク・オプションを更新を参照してください。

  6. Autonomous DatabaseインスタンスのプロビジョニングAutonomous DatabaseインスタンスのクローニングまたはバックアップからのAutonomous Databaseのクローニングの説明に従って、プロビジョニングまたはクローニングの残りのステップを実行します。

詳細は、プライベート・エンドポイントのノートを参照してください。

Autonomous Databaseでのパブリック・エンドポイントからプライベート・エンドポイントへの変更

Autonomous Databaseインスタンスがパブリック・エンドポイントを使用するように構成されている場合、構成をプライベート・エンドポイントに変更できます。

  1. 「詳細」ページで、「他のアクション」ドロップダウン・リストから「ネットワーク・アクセスの更新」を選択します。

    インスタンスをパブリック・エンドポイントからプライベート・エンドポイントに変更するには、Autonomous Databaseインスタンスが使用可能状態(ライフサイクル状態: 使用可能)である必要があります。

  2. 「ネットワーク・アクセスの更新」ダイアログで、「プライベート・エンドポイント・アクセスのみ」を選択します。

    これにより、仮想クラウド・ネットワークのプライベート・アクセス構成領域が展開されます。

    adb_network_private_update.pngの説明が続きます

    「プライベート・エンドポイント・アクセスのみ」を選択すると、指定したプライベート・ネットワーク(VCN)、ピアリングされたSCNおよびVCNに接続されたオンプレミス・ネットワークからの接続のみが許可されます。プライベート・エンドポイントでAutonomous Databaseインスタンスを構成して、オンプレミス・ネットワークからの接続を許可できます。例については、例: データ・センターからAutonomous Databaseへの接続を参照してください。

    パブリックIPアドレスからの接続、または許可されたIPおよびVCNからの接続を許可する場合は、次のオプションがあります。

    • 「すべての場所からのセキュア・アクセス」を選択します。

    • 「許可されたIPおよびVCNからのアクセスのみの保護」を選択します。

    • 「プライベート・エンドポイント・アクセスのみ」を選択した場合は、「拡張オプションの表示」を展開し、「パブリック・アクセスの許可」を選択します。詳細は、プライベート・エンドポイントの拡張オプションの構成を参照してください。

  3. コンパートメント内の仮想クラウド・ネットワークを選択するか、VCNが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして、VCNを含むコンパートメントを選択し、仮想クラウド・ネットワークを選択します。

    詳細は、VCNとサブネットを参照してください。

  4. Autonomous Databaseをアタッチするサブネットをコンパートメント内で選択します。または、サブネットが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして、サブネットを含むコンパートメントを選択し、サブネットを選択します。

    詳細は、VCNとサブネットを参照してください。

  5. (オプション)「拡張オプションの表示」をクリックして、追加のオプションを表示します。

    拡張オプションの詳細は、プライベート・エンドポイントの拡張オプションの構成を参照してください。

  6. 「更新」をクリックします。
  7. 「確認」ダイアログで、Autonomous Databaseの名前を入力します。
  8. 「確認」ダイアログで、「更新」をクリックします。

ライフサイクル状態は、操作が完了するまで「更新中」に変わります。

パブリック・ネットワーク・アクセスからプライベート・ネットワーク・アクセスへの変更に関するノート:

  • ネットワーク・アクセス・タイプを更新した後、すべてのデータベース・ユーザーは、新しいウォレットを取得し、新しいウォレットを使用してデータベースにアクセスする必要があります。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。

  • パブリック・エンドポイントにACLが定義されている場合、そのACLはプライベート・エンドポイントには適用されません。

  • プライベート・エンドポイントを使用するようにネットワーク・アクセスを更新した後、データベース・ツールのURLは、パブリック・エンドポイントを使用する場合と異なります。更新されたURLは、パブリック・エンドポイントからプライベート・エンドポイントに変更した後、コンソールで確認できます。

プライベート・エンドポイントの構成の更新

既存のAutonomous Databaseインスタンスのプライベート・エンドポイントの構成で、いくつかのオプションを変更できます。

  1. 「詳細」ページで、「他のアクション」ドロップダウン・リストから「ネットワーク・アクセスの更新」を選択します。

    これは、「ネットワーク・アクセスの更新」ダイアログを示しています。

    adb_network_access_private_update.pngの説明が続きます
  2. 「プライベート・エンドポイント・アクセスのみ」を選択します。

    パブリックIPアドレスからの接続、または許可されたIPおよびVCNからの接続を許可する場合は、次のオプションがあります。

    • 「すべての場所からのセキュア・アクセス」を選択します。

    • 「許可されたIPおよびVCNからのアクセスのみの保護」を選択します。

    • 「プライベート・エンドポイント・アクセスのみ」および「パブリック・アクセスの許可」を選択すると、プライベート・エンドポイント・データベースにはプライベート・エンドポイントとパブリック・エンドポイントの両方があります。

    1. オプションで、ネットワーク・セキュリティ・グループ(NSG)を追加します。

      オプションで、Autonomous Databaseインスタンスへの接続を許可するには、NSGにセキュリティ・ルールを定義します。これにより、Autonomous Databaseの仮想ファイアウォールが作成されます。

      • Autonomous Databaseをアタッチするネットワーク・セキュリティ・グループをコンパートメント内で選択します。または、ネットワーク・セキュリティ・グループが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして別のコンパートメントを選択し、そのコンパートメント内のネットワーク・セキュリティ・グループを選択します。
      • 別のネットワーク・セキュリティ・グループを追加するには、「+ 別のネットワーク・セキュリティ・グループ」をクリックします。
      • ネットワーク・セキュリティ・グループのエントリを削除するには、「x」をクリックします。

      プライベート・エンドポイント用に選択したNSGの場合、次のようにセキュリティ・ルールを定義します:

      • 相互TLS (mTLS)認証の場合は、ソースがデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルがTCPに設定され、宛先ポート範囲が1522に設定された、ステートフル・イングレス・ルールを追加します。詳細は、相互TLS (mTLS)認証についてを参照してください。

      • TLS認証の場合は、ソースがデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルがTCPに設定され、宛先ポート範囲が1521に設定された、ステートフル・イングレス・ルールを追加します。詳細は、TLS認証についてを参照してください。

      • Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。

      ノート

      受信接続と送信接続は、NSGで定義されたイングレス・ルールとエグレス・ルール、およびVCNで定義されたセキュリティ・リストの組合せによって制限されます。NSGがない場合でも、VCNのセキュリティ・リストで定義されたイングレスおよびエグレス・ルールが適用されます。セキュリティ・リストの操作の詳細は、セキュリティ・リストを参照してください。

      例については、Autonomous Databaseでのプライベート・エンドポイント構成の例を参照してください。

      詳細は、ネットワーク・セキュリティ・グループを参照してください。

    2. オプションで、「パブリック・アクセスの許可」を選択するか、すでに選択されている場合は、プライベート・エンドポイント・データベースで構成されているパブリック・エンドポイントに対するアクセス制御ルールを構成できます。

      「パブリック・アクセスの許可」オプションは、データベースがECPUコンピュート・モデルを使用する場合にのみ使用できます。

      「パブリック・アクセスの許可」を選択すると、データベースに接続できる許可されたIPアドレス、CIDRブロックまたは仮想クラウド・ネットワークを入力するためのアクセス制御オプションが表示されます。

      次のいずれかを選択します。

      • IPアドレス:

        「値」フィールドに、IPアドレスの値を入力します。ネットワークACLエントリに指定されたIPアドレスは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックIPアドレスです。たとえば、Oracle Cloud Infrastructure VMの場合、これはそのVMのOracle Cloud Infrastructureコンソールの「パブリックIP」フィールドに表示されるIPアドレスです。

        オプションで、「自分のIPアドレスの追加」をクリックして、現在のIPアドレスをACLエントリに追加します。

      • CIDRブロック:

        「値」フィールドに、CIDRブロックの値を入力します。指定されたCIDRブロックは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックCIDRブロックです。

      • 仮想クラウド・ネットワーク:

        このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

        このオプションは、Oracle Cloud Infrastructure Service Gatewayで使用するVCNを指定する場合に使用します。

        • 「仮想クラウド・ネットワーク」フィールドで、アクセス権を付与するVCNを選択します。テナンシ内のVCNを表示する権限がない場合、このリストは空です。この場合、「仮想クラウド・ネットワーク(OCID)」を選択して、VCNのOCIDを指定します。
        • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。
      • 仮想クラウド・ネットワーク(OCID):

        このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

        • 「値」フィールドに、アクセス権を付与するVCNのOCIDを入力します。
        • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。

      同じVCN内の複数のIPアドレスまたはCIDR範囲を指定する場合は、複数のACLエントリを作成しないでください。複数のIPアドレスまたはCIDR範囲の値をカンマで区切って指定した、1つのACLエントリを使用します。

  3. 「更新」をクリックします。

「更新」をクリックすると、Lifecycle Stateが「使用可能」の場合、変更が適用されるまで、Lifecycle Stateは「更新中」に変わります。データベースは引き続き稼働中でアクセス可能であり、停止時間はありません。更新が完了すると、Lifecycle Stateは「使用可能」に戻ります。

詳細は、プライベート・エンドポイントのノートを参照してください。

プライベート・エンドポイントの拡張オプションの構成

プライベート・エンドポイント・アクセスの拡張オプションを使用すると、ユーザーが指定したプライベートIPアドレスとホスト名を入力したり、1つ以上のネットワーク・セキュリティ・グループを選択したり、プライベート・エンドポイント・データベースへのパブリック・アクセスを許可する詳細を指定できます。

これらのステップは、Autonomous Databaseインスタンスをプロビジョニングまたはクローニングする場合、または既存のAutonomous Databaseインスタンスのパブリック・アクセスからプライベート・アクセスに変更する場合で、「ネットワーク・アクセスの選択」ステップにいることを前提としています。

  1. 「プライベート・エンドポイント・アクセスのみ」を選択します。

    これは、仮想クラウド・ネットワークのプライベート・アクセス構成領域を示しています。

  2. (オプション)「拡張オプションの表示」をクリックして、追加のプライベート・エンドポイント・オプションを表示します。

    これにより、拡張オプションが表示されます。

    adb_network_access_private_advanced.pngの説明が続きます
    1. オプションで、プライベートIPアドレスを入力します。

      このフィールドを使用して、カスタム・プライベートIPアドレスを入力します。入力するプライベートIPアドレスは、選択したサブネットのCIDR範囲内である必要があります。

      カスタム・プライベートIPアドレスを指定しない場合、IPアドレスは自動的に割り当てられます。

    2. オプションで、ホスト名接頭辞を入力します。

      これにより、Autonomous Databaseのホスト名接頭辞が指定され、DNS名が次の形式でデータベース・インスタンスに関連付けられます:

      hostname_prefix.adb.region.oraclecloud.com

      ホスト名接頭辞を指定しない場合、システム生成のホスト名接頭辞が指定されます。

    3. オプションで、ネットワーク・セキュリティ・グループ(NSG)を追加します。

      オプションで、Autonomous Databaseインスタンスへの接続を許可するには、NSGにセキュリティ・ルールを定義します。これにより、Autonomous Databaseの仮想ファイアウォールが作成されます。

      • Autonomous Databaseをアタッチするネットワーク・セキュリティ・グループをコンパートメント内で選択します。または、ネットワーク・セキュリティ・グループが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして別のコンパートメントを選択し、そのコンパートメント内のネットワーク・セキュリティ・グループを選択します。
      • 別のネットワーク・セキュリティ・グループを追加するには、「+ 別のネットワーク・セキュリティ・グループ」をクリックします。
      • ネットワーク・セキュリティ・グループのエントリを削除するには、「x」をクリックします。

      プライベート・エンドポイント用に選択したNSGの場合、次のようにセキュリティ・ルールを定義します:

      • 相互TLS (mTLS)認証の場合は、ソースがデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルがTCPに設定され、宛先ポート範囲が1522に設定された、ステートフル・イングレス・ルールを追加します。詳細は、相互TLS (mTLS)認証についてを参照してください。

      • TLS認証の場合は、ソースがデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルがTCPに設定され、宛先ポート範囲が1521に設定された、ステートフル・イングレス・ルールを追加します。詳細は、TLS認証についてを参照してください。

      • Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。

      ノート

      受信接続と送信接続は、NSGで定義されたイングレス・ルールとエグレス・ルール、およびVCNで定義されたセキュリティ・リストの組合せによって制限されます。NSGがない場合でも、VCNのセキュリティ・リストで定義されたイングレスおよびエグレス・ルールが適用されます。セキュリティ・リストの操作の詳細は、セキュリティ・リストを参照してください。

      例については、Autonomous Databaseでのプライベート・エンドポイント構成の例を参照してください。

      詳細は、ネットワーク・セキュリティ・グループを参照してください。

    4. オプションで、「パブリック・アクセスの許可」を選択し、プライベート・エンドポイント・データベースのパブリック・エンドポイントを追加するためのアクセス制御ルールを構成します。

      「パブリック・アクセスの許可」オプションは、データベースがECPUコンピュート・モデルを使用する場合にのみ使用できます。

      「パブリック・アクセスの許可」を選択すると、データベースに接続できる許可されたIPアドレス、CIDRブロックまたは仮想クラウド・ネットワークを入力するためのアクセス制御オプションが表示されます。

      次のいずれかを選択します。

      • IPアドレス:

        「値」フィールドに、IPアドレスの値を入力します。ネットワークACLエントリに指定されたIPアドレスは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックIPアドレスです。たとえば、Oracle Cloud Infrastructure VMの場合、これはそのVMのOracle Cloud Infrastructureコンソールの「パブリックIP」フィールドに表示されるIPアドレスです。

        オプションで、「自分のIPアドレスの追加」をクリックして、現在のIPアドレスをACLエントリに追加します。

      • CIDRブロック:

        「値」フィールドに、CIDRブロックの値を入力します。指定されたCIDRブロックは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックCIDRブロックです。

      • 仮想クラウド・ネットワーク:

        このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

        このオプションは、Oracle Cloud Infrastructure Service Gatewayで使用するVCNを指定する場合に使用します。

        • 「仮想クラウド・ネットワーク」フィールドで、アクセス権を付与するVCNを選択します。テナンシ内のVCNを表示する権限がない場合、このリストは空です。この場合、「仮想クラウド・ネットワーク(OCID)」を選択して、VCNのOCIDを指定します。
        • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。
      • 仮想クラウド・ネットワーク(OCID):

        このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

        • 「値」フィールドに、アクセス権を付与するVCNのOCIDを入力します。
        • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。

      同じVCN内の複数のIPアドレスまたはCIDR範囲を指定する場合は、複数のACLエントリを作成しないでください。複数のIPアドレスまたはCIDR範囲の値をカンマで区切って指定した、1つのACLエントリを使用します。

  3. 残りのプライベート・エンドポイント構成ステップを完了します。

パブリック・アクセスが許可されたプライベート・エンドポイントの使用

プライベート・エンドポイントを使用するようにAutonomous Databaseを構成し、特定のパブリックIPアドレスまたは特定のVCNからの接続も許可する場合は、「パブリック・アクセスの許可」オプションを選択します(SCNがサービス・ゲートウェイを使用してAutonomous Databaseにプライベートに接続するように構成されている場合)。

このオプションは、プライベート・エンドポイントに構成されているデータベースのパブリック・エンドポイントを追加します。Autonomous Databaseインスタンスのプライベート・エンドポイントは、インスタンスのプロビジョニング時またはクローニング時、または既存のAutonomous Databaseのネットワーク構成の更新時に構成します。プライベート・エンドポイントを使用してAutonomous Databaseインスタンスを構成するステップの詳細は、次を参照してください:

プライベート・エンドポイント・データベースでパブリック・アクセスの許可を使用してパブリック・アクセスが有効になっている場合、インスタンスにはプライベート・エンドポイントとパブリック・エンドポイントの両方があります:

  • プライベート・ホスト名、エンドポイントURLおよびプライベートIPアドレスを使用すると、データベースが存在するVCNからデータベースに接続できます。

  • パブリック・ホスト名を使用すると、特定のパブリックIPアドレスから、または特定のVCN (サービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するように構成されている場合)からデータベースに接続できます。

「パブリック・アクセスの許可」が有効になっているプライベート・エンドポイント・データベースのAutonomous Database接続文字列の追加

プライベート・エンドポイント・データベースで「パブリック・アクセスの許可」が有効になっている場合、パブリック・エンドポイントからデータベースに接続できる追加の接続文字列があります:

  • Autonomous Databaseウォレットzipのtnsnames.oraの接続文字列には、パブリック・インターネットからの接続で使用するパブリック接続文字列が含まれます。パブリック・エンドポイントの接続文字列では、次のネーミング規則を使用します。

    dbname_public_consumerGroup

    次に例を示します。

    adbfinance_public_low

    詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。

  • パブリック・エンドポイントとプライベート・エンドポイントの両方の接続文字列は、Oracle Cloud Infrastructure Consoleから(またはAPIを使用して)表示できます。

    詳細については、View TNS Names and Connection Strings for an Autonomous Database Instanceを参照してください。

「パブリック・アクセスの許可」が有効になっているプライベート・エンドポイント・データベースのAutonomous Databaseツール追加

プライベート・エンドポイント・データベースでパブリック・アクセスの許可が有効になっている場合、データベース・ツールでは、特定のパブリックIPアドレスから、または特定のVCNから接続できます(これらのVCNがサービス・ゲートウェイを使用してAutonomous Databaseにプライベートに接続するように構成されている場合)。

  • 各ツールには、プライベート・アクセスURLと、ツール構成表に表示されるパブリック・アクセスURLがあります。パブリック・アクセスURLを使用して、特定のパブリックIPアドレスからツールにアクセスするか、特定のVCN (サービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するように構成されている場合)からツールにアクセスします。

    たとえば:

    adb_tools_status_private_public.pngの説明が続きます

    詳細は、Autonomous Databaseの組込みツール・ステータスの表示を参照してください。

  • ウォレットzipファイルのREADMEファイルは、各データベース・ツールのプライベート・エンドポイントのアクセス・リンクとパブリック・アクセス・リンクの両方を提供します。

    詳細は、Wallet READMEファイルを参照してください。

プライベート・エンドポイントを使用したアウトバウンド接続のセキュリティの強化

Autonomous Databaseインスタンスでプライベート・エンドポイントを使用する場合、ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティを値PRIVATE_ENDPOINTに設定することで、セキュリティを強化できます。

ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティを値PRIVATE_ENDPOINTに設定すると、ターゲット・ホストへのすべての送信接続がプライベート・エンドポイントのエグレス・ルールの対象および制限されます。エグレス・ルールは、Virtual Cloud Network (VCN)セキュリティ・リストまたはAutonomous Databaseインスタンスのプライベート・エンドポイントに関連付けられたネットワーク・セキュリティ・グループ(NSG)で定義します。

ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティを設定する前に、プライベート・エンドポイントを使用するようにAutonomous Databaseインスタンスを構成します。詳細は、プライベート・エンドポイントの構成に関する項を参照してください。

ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティにPRIVATE_ENDPOINTを設定して、すべての送信接続をAutonomous Databaseインスタンスのプライベート・エンドポイントVCNのエグレス・ルールの対象にすることを指定します。値PRIVATE_ENDPOINTを指定すると、データベースは送信接続をプライベート・エンドポイントのエグレス・ルールで指定された場所に制限し、DNS解決も変更して、ホスト名がVCNのDNSリゾルバを使用して解決されるようにします(パブリックDNSリゾルバを使用しません)。

ノート

ROUTE_OUTBOUND_CONNECTIONSPRIVATE_ENDPOINTに設定されていない場合、パブリック・インターネットへのすべての送信接続は、サービスVCNのネットワーク・アドレス変換(NAT)ゲートウェイを通過します。この場合、ターゲット・ホストがパブリック・エンドポイント上にあると、送信接続はAutonomous Databaseインスタンスのプライベート・エンドポイントVCNまたはNSGエグレス・ルールに従いません。

Autonomous Databaseインスタンスのプライベート・エンドポイントを構成し、ROUTE_OUTBOUND_CONNECTIONSPRIVATE_ENDPOINTに設定すると、この設定によって、次のものに対するアウトバウンド接続およびDNS解決の処理が変更されます:

ROUTE_OUTBOUND_CONNECTIONSを設定するには:

  1. データベースに接続します。
  2. データベース・プロパティROUTE_OUTBOUND_CONNECTIONSを設定します。

    たとえば、次のとおりです。

    ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = 'PRIVATE_ENDPOINT';

ROUTE_OUTBOUND_CONNECTIONSの設定に関するノート:

  • デフォルトのパラメータ値を復元するには、次のコマンドを使用します:

    ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = '';
  • 次のコマンドを使用して、現在のパラメータ値を問い合せます:

    SELECT * FROM DATABASE_PROPERTIES
            WHERE PROPERTY_NAME = 'ROUTE_OUTBOUND_CONNECTIONS';

    プロパティが設定されていない場合、問合せは結果を返しません。

  • このプロパティは、プロパティを値PRIVATE_ENDPOINTに設定した後に作成するデータベース・リンクにのみ適用されます。したがって、プロパティを設定する前に作成したデータベース・リンクは、サービスVCNのNAT Gatewayを引き続き使用し、Autonomous Databaseインスタンスのプライベート・エンドポイントのエグレス・ルールの対象にはなりません。

  • プライベート・エンドポイントでAutonomous Databaseを使用している場合のみ、ROUTE_OUTBOUND_CONNECTIONSを値PRIVATE_ENDPOINTに設定してください。

  • データベースがプライベート・エンドポイントにあり、VCNによってアウトバウンド接続を解決する場合は、ROUTE_OUTBOUND_CONNECTIONSパラメータをPRIVATE_ENDPOINTに設定する必要があります。

ネットワーク・アドレス変換(NAT)ゲートウェイの詳細は、NAT Gatewayを参照してください。

プライベート・エンドポイントのノート

Autonomous Databaseでのプライベート・エンドポイントの制限およびノートについて説明します。

  • プライベート・エンドポイントを使用するようにネットワーク・アクセスを更新した後、またはプライベート・エンドポイントの構成を伴うプロビジョニングまたはクローニングが完了した後、Autonomous Databaseの詳細ページの「ネットワーク」セクションでネットワーク構成を表示できます。

    「ネットワーク」セクションには、プライベート・エンドポイントに関する次の情報が表示されます:

    • アクセス・タイプ: Autonomous Database構成のアクセス・タイプを指定します。プライベート・エンドポイント構成には、アクセス・タイプ仮想クラウド・ネットワークが表示されます。
    • 可用性ドメイン: Autonomous Databaseインスタンスの可用性ドメインを指定します。
    • 仮想クラウド・ネットワーク: これには、プライベート・エンドポイントに関連付けられたVCNのリンクが含まれます。
    • サブネット: これには、プライベート・エンドポイントに関連付けられたサブネットのリンクが含まれます。
    • プライベート・エンドポイントIP: プライベート・エンドポイント構成のプライベート・エンドポイントIPが表示されます。
    • プライベート・エンドポイントURL: プライベート・エンドポイント構成のプライベート・エンドポイントURLが表示されます。
    • ネットワーク・セキュリティ・グループ: このには、プライベート・エンドポイントを使用して構成されたNSGへのリンクが含まれます。
    • パブリック・アクセス: このフィールドは、プライベート・エンドポイントに対してパブリック・アクセスが有効かどうかを示します。Editリンクをクリックして、許可されるACLまたはVCNを表示または変更します。
    • パブリック・エンドポイントURL: これは、プライベート・エンドポイントでパブリック・アクセスの許可が有効になっている場合に表示されます。これは、パブリック・インターネットで許可されたIPまたはVCNから接続するために使用できるパブリック・エンドポイントURLです。

    Oracle Cloud Infrastructure Consoleのネットワーク情報の詳細は、OCIコンソールでのネットワーク情報の表示を参照してください。

  • プロビジョニングまたはクローニングが完了したら、パブリック・エンドポイントを使用するようにAutonomous Database構成を変更できます。

    パブリック・エンドポイントへの変更の詳細は、Autonomous Databaseでのプライベート・エンドポイントからパブリック・エンドポイントへの変更を参照してください。

  • 最大5つのNSGを指定して、Autonomous Databaseへのアクセスを制御できます。

  • Autonomous Databaseのプライベート・エンドポイントのネットワーク・セキュリティ・グループ(NSG)を変更できます。

    プライベート・エンドポイントのNSGを変更するには、次を実行します:

    1. 「Autonomous Databases」ページで、「表示名」列の下のリンクからAutonomous Databaseを選択します。

    2. Autonomous Databaseの詳細ページの「ネットワーク」の下にある「ネットワーク・セキュリティ・グループ」フィールドで、「編集」をクリックします。

  • オンプレミス・データベースに対して行うように、データ・ゲートウェイを使用して、プライベート・エンドポイントを持つAutonomous DatabaseにOracle Analytics Cloudインスタンスを接続できます。詳細は、Data Visualization用のデータ・ゲートウェイの構成および登録を参照してください。

  • プライベート・エンドポイントを使用して構成されたデータベースでは、次のAutonomous Databaseツールがサポートされています:

    • データベース・アクション
    • Oracle APEX
    • Oracle Graph Studio
    • Oracle Machine Learningノートブック
    • Oracle REST Data Services
    • Oracle Database API for MongoDB

    これらのAutonomous Databaseツールにオンプレミス環境からアクセスするには、追加の構成が必要です。詳細は、例: データ・センターからAutonomous Databaseへの接続を参照してください。

    追加のプライベート・エンドポイント構成を完了せずに、オンプレミス環境からプライベート・エンドポイントを使用してOracle APEX、データベース・アクション、Oracle Graph StudioまたはOracle REST Data Servicesにアクセスすると、エラーが表示されます:

    404 Not Found
  • プライベート・エンドポイントを使用するようにネットワーク・アクセスを更新した後、データベース・ツールのURLは、パブリック・エンドポイントを使用する場合と異なります。更新されたURLは、パブリック・エンドポイントからプライベート・エンドポイントに変更した後、コンソールで確認できます。

  • Autonomous Databaseで事前構成されたデフォルトのOracle REST Data Services (ORDS)に加えて、より多くの構成オプションを提供し、プライベート・エンドポイントで使用できる、代替ORDSデプロイメントを構成できます。プライベート・エンドポイントで使用できる代替ORDSデプロイメントについて学習するには、Autonomous Databaseでの顧客管理対象Oracle REST Data Servicesについてを参照してください。

  • 「プライベートIPアドレス」フィールドに値を入力したときにIPアドレスが自動的に割り当てられるかどうかに関係なく、インスタンスをプロビジョニングまたはクローニングした後はプライベートIPアドレスの変更は許可されません。

Autonomous Databaseでのプライベート・エンドポイント構成の例

Autonomous Databaseのプライベート・エンドポイント(VCN)構成のサンプルをいくつか示します。

例: Oracle Cloud Infrastructure VCN内からの接続

Oracle Cloud Infrastructure内で、Autonomous Databaseに対して構成されているのと同じVCNの仮想マシン(VM)で実行されているアプリケーションを示します。

adb_private_endpoint1.pngの説明が続きます

"Your VCN"という名前のVCNにプライベート・エンドポイントを持つAutonomous Databaseインスタンスがあります。このVCNには、"SUBNET B" (CIDR 10.0.1.0/24)と"SUBNET A" (CIDR 10.0.2.0/24)の2つのサブネットが含まれています。

Autonomous Databaseインスタンスに関連付けられたネットワーク・セキュリティ・グループ(NSG)は、"NSG 1 - Security Rules"として表示されています。このネットワーク・セキュリティ・グループは、Autonomous Databaseインスタンスとの間の送受信トラフィックを許可するセキュリティ・ルールを定義するものです。Autonomous Databaseインスタンスのルールを次のように定義します:

  • 相互TLS認証の場合は、ソースからAutonomous Databaseインスタンスへの接続を許可するためのステートフル・イングレス・ルールを追加します。ソースはデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルはTCPに設定され、宛先ポート範囲は1522に設定されます。

  • TLS認証の場合は、ソースからAutonomous Databaseインスタンスへの接続を許可するステートフル・イングレス・ルールを追加します。ソースは、データベースへの接続を許可するアドレス範囲に設定され、IPプロトコルはTCPに設定され、宛先ポート範囲は1521に設定されます。

  • Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。

次の図は、Autonomous Databaseインスタンスのトラフィックを制御するサンプルのステートフル・セキュリティ・ルールを示しています:

adb_private_vcn_nsg_stateful1.pngの説明が続きます

Autonomous Databaseに接続するアプリケーションは、SUBNET BのVMで実行されています。VMとの間のトラフィックを許可するセキュリティ・ルールも追加します(図に示すように、"NSG 2 Security Rules"というラベルが付いています)。VMにはステートフル・セキュリティ・ルールを使用できるため、NSG 2 Security Rulesにエグレスのルールを追加するだけです(これにより、宛先サブネットAへのアクセスが許可されます)。

次の図は、VMのトラフィックを制御するサンプルのセキュリティ・ルールを示しています:

adb_private_vcn_rules2.pngの説明が続きます

セキュリティ・ルールを構成すると、アプリケーションはクライアント資格証明ウォレットを使用してAutonomous Databaseインスタンスに接続できます。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。

ネットワーク・セキュリティ・グループの構成の詳細は、ネットワーク・セキュリティ・グループを参照してください。

例: データ・センターからAutonomous Databaseへの接続

オンプレミス・データ・センターからAutonomous Databaseにプライベートに接続する方法を示します。このシナリオでは、トラフィックはパブリック・インターネットを経由しません。

adb_private_endpoint2.pngの説明が続きます

データ・センターから接続するには、オンプレミス・ネットワークをFastConnectでVCNに接続し、動的ルーティング・ゲートウェイ(DRG)を設定します。Autonomous Databaseのプライベート・エンドポイントを解決するには、完全修飾ドメイン名(FQDN)のエントリをオンプレミス・クライアントのhostsファイルに追加する必要があります。たとえば、Linuxマシンの場合は/etc/hostsファイルです。たとえば:

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloud.com

Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、同じIPを持つ別のエントリを追加します。たとえば:

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloudapps.com

プライベート・エンドポイントのIPとFQDNは次のようになります:

  • プライベートIPは、インスタンスのOracle Cloud InfrastructureコンソールのAutonomous Database詳細ページに表示されます。

  • FQDNは、Autonomous Databaseクライアント資格証明ウォレットのtnsnames.oraファイルに表示されます。

または、DNS名前解決を提供するためにOracle Cloud InfrastructureプライベートDNSを使用することもできます。詳細は、プライベートDNSを参照してください。

この例では、オンプレミス・データ・センターと"Your VCN"の間に動的ルーティング・ゲートウェイ(DRG)があります。このVCNにはAutonomous Databaseが含まれています。また、DRGを経由するCIDR 172.16.0.0/16への送信トラフィック用に、Autonomous Databaseに関連付けられたVCNのルート表も表示されています。

DRGの設定に加えて、データ・センターのCIDR範囲(172.16.0.0/16)のルールを追加することで、Autonomous Databaseとの間のトラフィックを許可するネットワーク・セキュリティ・グループ(NSG)ルールを定義します。この例では、"NSG 1"のセキュリティ・ルールを次のように定義します:

  • 相互TLS認証の場合は、データ・センターからのイングレス・トラフィックを許可するステートフル・ルールを作成します。これは、ソースがデータベースへの接続を許可するアドレス範囲に設定され、プロトコルがTCPに設定され、ソース・ポート範囲がCIDR範囲(172.16.0.0/16)に設定され、宛先ポートが1522に設定されている、ステートフル・イングレス・ルールです。

  • TLS認証の場合は、データ・センターからのイングレス・トラフィックを許可するステートフル・ルールを作成します。これは、ソースがデータベースへの接続を許可するアドレス範囲に設定され、プロトコルがTCPに設定され、ソース・ポート範囲がCIDR範囲(172.16.0.0/16)に設定され、宛先ポートが1521に設定されている、ステートフル・イングレス・ルールです。

  • Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。

次の図は、Autonomous Databaseインスタンスのトラフィックを制御するセキュリティ・ルールを示しています:

adb_private_vcn_nsg_stateful2.pngの説明が続きます

セキュリティ・ルールを構成すると、オンプレミス・データベース・アプリケーションは、クライアント資格証明ウォレットを使用してAutonomous Databaseインスタンスに接続できます。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。