このページは機械翻訳したものです。

Oracle Cloud Infrastructureドキュメント
Free Tierを試してみる

ネットワーキング・シナリオ

Compute Cloud@Customerの様々なネットワーキング・シナリオについて学習します。

次の項では、ネットワーキング・サービスを理解するための基本的なネットワーキング・シナリオと、ネットワーキング・コンポーネントがどのように連携するかについて説明します。

重要

選択したネットワーキング・シナリオに関係なく、Compute Cloud@CustomerパブリックIPとして構成されたIPアドレス範囲が、データ・センター・ネットワーク内で使用されるIPアドレスと競合しないようにしてください。

動的ルーティング・ゲートウェイ(DRG)を使用して仮想クラウド・ネットワーク(VCN)を構成する場合は、VCN IPアドレス範囲が相互に、またはオンプレミス・ネットワークと重複しないようにしてください。

シナリオA - パブリック・サブネット

このシナリオでは、VCNとCompute Cloud@Customer上のパブリック・サブネットで構成される設定について説明します。

外部接続の場合、VCNにはインターネット・ゲートウェイが必要です。また、オンプレミス・ネットワークでは、このゲートウェイを使用してVCN内のリソースと通信します。このシナリオで使用されるIPアドレスは、パブリックである必要があります。プライベート・クラウド・コンテキストでは、これは、オンプレミス・ネットワークから直接アクセスできる一意のアドレスを意味します。

サブネットはデフォルトのセキュリティ・リストを使用します。このリストには、開始を簡素化するために設計されたデフォルト・ルールが含まれています。これらのルールを使用すると、インバウンドSSH接続や、任意のタイプのアウトバウンド接続など、一般的な必須アクセスが可能になります。セキュリティ・リスト・ルールではトラフィックのみが許可されることに注意してください。セキュリティ・リスト・ルールで明示的にカバーされていないトラフィックはすべて、暗黙的に拒否されます。このシナリオでは、デフォルト・セキュリティ・リストに別のルールを追加します。かわりに、それらのルールにカスタム・リストを作成することもできます。その場合は、デフォルト・セキュリティ・リストとカスタム・セキュリティ・リストの両方を使用するようにサブネットを設定します。

サブネットはデフォルト・ルート表を使用します。VCNの作成時は、この表にはルールがありません。このシナリオでは、表には、インターネット・ゲートウェイを介してすべての宛先(0.0.0.0/0)を対象とするトラフィックをルーティングするルールが1つのみあります。

このネットワーキング・シナリオを設定するには、次のステップを実行します:

  1. VCNを作成します。

    作業する権限があるコンパートメントを選択します。VCNに重複しない1つ以上のCIDRブロックを指定します(例: 172.16.0.0/16)。オプションで、DNSを有効にし、VCNのDNSラベルを指定します。

  2. パブリック・サブネットを作成します。

    VCN CIDRブロック内の単一の連続CIDRブロックを指定します。たとえば: 172.16.10.0/24。デフォルト・ルート表を選択します。インスタンスがパブリックIPアドレスを取得できるように、サブネットがパブリック・サブネットであることを確認します。VCNレベルでDNSを有効にした場合、サブネットにホスト名を割り当て、サブネットDNSラベルも指定できます。

  3. インターネット・ゲートウェイを作成します。

    インターネット・ゲートウェイを作成すると、すぐに有効になります。ただし、トラフィックがゲートウェイに流れるようにルート・ルールを追加する必要があります。

  4. インターネット・ゲートウェイを使用するようにデフォルト・ルート表を更新します。

    デフォルト・ルート表は、ルールなしで開始されます。VCN内でトラフィックをルーティングする必要はありません。VCN外部のアドレスに対して送信されるすべてのトラフィックをインターネット・ゲートウェイにルーティングするルールを追加する必要があります。次のパラメータを入力します。

    • ターゲット・タイプ: Internet Gateway

    • 宛先CIDRブロック: 0.0.0.0/0

      つまり、ルート表内の他のルールでカバーされないVCN外のすべてのトラフィックが、このルールで指定されたターゲットに送信されます。

    • ターゲット: 作成したインターネット・ゲートウェイ。

    サブネットはデフォルト・ルート表を使用するように設定されているため、サブネット内のリソースはインターネット・ゲートウェイを使用できるようになりました。このルールが存在することで、インターネット・ゲートウェイを介したサブネットへのインバウンド接続も有効になります。次のステップでは、サブネットで後で作成するインスタンスの内外で許可するトラフィック・タイプを指定します。

  5. デフォルト・セキュリティ・リストを更新します。

    VCNのデフォルト・セキュリティ・リストを使用するようにサブネットを設定します。今度は、VCN内のインスタンスに必要となる接続タイプを許可するセキュリティ・リスト・ルールを追加します。

    たとえば、サブネット内のインスタンスがWebサーバーである場合、インバウンドHTTPS接続を受信する必要がある可能性があります。そのトラフィックを有効にするには、次のパラメータを使用して、デフォルト・セキュリティ・リストにイングレス・ルールを追加します:

    • ソース・タイプ: CIDR

    • ソースCIDR: 0.0.0.0/0

    • IPプロトコル: TCP

    • ソース・ポート範囲: すべて

    • 宛先ポート範囲: 443

  6. インスタンスの作成

    次のステップでは、サブネット内に1つ以上のインスタンスを作成します。各インスタンスは、自動的にプライベートIPアドレスを取得します。このシナリオのネットワーク設定では、各インスタンスにパブリックIPアドレスを付与する必要があります。そうしないと、インターネット・ゲートウェイを介してインスタンスにアクセスできません。

シナリオB - プライベート・サブネット

このシナリオでは、Compute Cloud@Customer上のVCNとプライベート・サブネットで構成される設定について説明します。

オンプレミス・ネットワークに接続するには、VCNに動的ルーティング・ゲートウェイ(DRG)が必要です。

サブネットはデフォルトのセキュリティ・リストを使用します。このリストには、開始を簡素化するように設計されたデフォルト・ルールが含まれています。これらのルールを使用すると、インバウンドSSH接続や、任意のタイプのアウトバウンド接続など、一般的な必須アクセスが可能になります。セキュリティ・リスト・ルールではトラフィックのみが許可されることに注意してください。セキュリティ・リスト・ルールで明示的にカバーされていないトラフィックはすべて、暗黙的に拒否されます。このシナリオでは、デフォルト・セキュリティ・リストに別のルールを追加します。かわりに、それらのルールにカスタム・リストを作成することもできます。その場合は、デフォルト・セキュリティ・リストとカスタム・セキュリティ・リストの両方を使用するようにサブネットを設定します。

サブネットはデフォルト・ルート表を使用します。VCNの作成時は、この表にはルールがありません。このシナリオでは、表には、DRGを介してすべての宛先(0.0.0.0/0)を対象とするトラフィックをルーティングするルールが1つのみあります。

このネットワーキング・シナリオを設定するには、次のステップを実行します:

  1. VCNを作成します。

    作業する権限があるコンパートメントを選択します。VCNに重複しない1つ以上のCIDRブロックを指定します(例: 172.16.0.0/16)。オプションで、DNSを有効にし、VCNのDNSラベルを指定します。

  2. プライベート・サブネットを作成します。

    VCN CIDRブロック内の単一の連続CIDRブロックを指定します。たとえば: 172.16.10.0/24。サブネットをプライベートにします。作成したインスタンスはパブリックIPアドレスを取得できません。デフォルト・ルート表を選択します。VCNレベルでDNSを有効にした場合、サブネットにホスト名を割り当て、サブネットDNSラベルも指定できます。

  3. デフォルト・セキュリティ・リストを更新します。

    VCNのデフォルト・セキュリティ・リストを使用するようにサブネットを設定します。今度は、VCN内のインスタンスに必要となる接続タイプを許可するセキュリティ・リスト・ルールを追加します。

    たとえば、サブネットにMicrosoft Windowsインスタンスが含まれ、RDPを使用してそれらにアクセスする場合は、次のパラメータを使用して、イングレス・ルールをデフォルトのセキュリティ・リストに追加します:

    • ソース・タイプ: CIDR

    • ソースCIDR: 0.0.0.0/0

    • IPプロトコル: TCP

    • ソース・ポート範囲: すべて

    • 宛先ポート範囲: 3389

  4. 動的ルーティング・ゲートウェイ(DRG)を作成し、それをVCNにアタッチします。

    DRGを作成すると、短期間「プロビジョニング中」状態になります。続行する前にプロビジョニングが完了していることを確認してください。次に、作成したDRGをVCNにアタッチします。このシナリオでは、拡張添付オプションは無視できます。準備完了の前の短い間、DRGアタッチメントは「アタッチ中」状態になります。

    トラフィックがDRGに流れるようにするには、ルート・ルールを追加する必要があります。

  5. DRGを使用するようにデフォルト・ルート表を更新します。

    デフォルト・ルート表は、ルールなしで開始されます。VCN内でトラフィックをルーティングする必要はありません。オンプレミス・ネットワーク内のアドレス宛のすべてのトラフィックをDRGにルーティングするルールを追加する必要があります。次のパラメータを入力します。

    • ターゲット・タイプ: 動的ルーティング・ゲートウェイ

      VCNにアタッチされたDRGがターゲットとして自動的に選択されます。

    • 宛先CIDRブロック: 0.0.0.0/0

      つまり、ルート表内の他のルールでカバーされないVCN外部のすべてのトラフィックが、このルールで指定されたターゲットに送信されます。

    サブネットはデフォルト・ルート表を使用するように設定されているため、DRGではサブネット内のリソースとオンプレミス・ネットワーク内のリソース間のトラフィックが有効になります。

  6. インスタンスの作成

    次のステップでは、サブネット内に1つ以上のインスタンスを作成します。各インスタンスは、自動的にプライベートIPアドレスを取得します。このシナリオのネットワーク設定では、オンプレミス・ネットワークからインスタンスにアクセスするために追加の構成は必要ありません。

シナリオC - パブリック・サブネットとプライベート・サブネット

このシナリオでは、Compute Cloud@Customer上のパブリック・サブネットとプライベート・サブネットを持つVCNで構成される多層設定について説明します。

パブリック・サブネットはWebサーバーなどのパブリック・インスタンスを保持し、プライベート・サブネットはデータベース・サーバーなどのプライベート・インスタンスを保持します。VCNには、オンプレミス・ネットワークに接続するための動的ルーティング・ゲートウェイ(DRG)があります。パブリック・サブネット内のインスタンスは、インターネット・ゲートウェイを介した外部アクセスを持ちます。

ノート

パブリック・クラウド環境では、プライベート・サブネット内のインスタンスは、ソフトウェア更新の取得など、NATゲートウェイを使用して外部接続を開始できます。ただし、Compute Cloud@Customerでは、NATゲートウェイはオンプレミス・ネットワークへのアクセスを提供します。このネットワークは、DRGですでにそれらのインスタンスに対して有効になっています。NATゲートウェイとDRGの組合せによって、非決定的なルーティングが原因で問題が発生する可能性があります。

各サブネットは、スタート・ガイドを簡素化するために設計されたデフォルト・ルールを含む、デフォルトのセキュリティ・リストを使用します。これらのルールを使用すると、インバウンドSSH接続や、任意のタイプのアウトバウンド接続など、一般的な必須アクセスが可能になります。セキュリティ・リスト・ルールではトラフィックのみが許可されることに注意してください。セキュリティ・リスト・ルールで明示的にカバーされていないトラフィックはすべて、暗黙的に拒否されます。

また、各サブネットには、そのサブネットのインスタンスのニーズに固有のルールを含む独自のカスタム・セキュリティ・リストとカスタム・ルート表もあります。このシナリオでは、VCNのデフォルト・ルート表は、最初は常に空です。

このネットワーキング・シナリオを設定するには、次のステップを実行します:

  1. VCNを作成します。

    作業する権限があるコンパートメントを選択します。VCNに1つ以上の重複しないCIDRブロックを指定します(例: 172.16.0.0/16)。オプションで、DNSを有効にし、VCNのDNSラベルを指定します。

  2. 必要なゲートウェイをVCNに追加します。

    パブリック・サブネットのインスタンスは、受信および送信パブリック・トラフィック用のインターネット・ゲートウェイを必要とします。プライベート・サブネットのインスタンスは、データ・センター・ネットワークおよびインターネットにアクセスできるようにNATゲートウェイを必要とします。これらのゲートウェイは作成直後に有効になりますが、トラフィックがゲートウェイに流れるようにルート・ルールを追加する必要があります。

    オンプレミス・ネットワークからVCN内のプライベート・インスタンスにアクセスするには、DRGを作成してVCNにアタッチします。DRGを作成すると、短期間「プロビジョニング中」状態になります。VCNにアタッチする前に、プロビジョニングが実行されていることを確認します。このシナリオでは、拡張添付オプションは無視できます。準備完了の前の短い間、DRGアタッチメントは「アタッチ中」状態になります。トラフィックがDRGに流れるようにするには、ルート・ルールも追加する必要があります。

  3. 後で作成するサブネットのカスタム・ルート表を作成します。

    1. パブリック・サブネットの場合、ルート表を作成し、VCN外部のアドレスを宛先とするすべてのトラフィックをインターネット・ゲートウェイにルーティングするルールを追加します。次のパラメータを入力します。

      • ターゲット・タイプ: Internet Gateway

      • 宛先CIDRブロック: 0.0.0.0/0

        つまり、ルート表内の他のルールでカバーされないVCN外のすべてのトラフィックが、このルールで指定されたターゲットに送信されます。

      • ターゲット: 作成したインターネット・ゲートウェイ。

    2. プライベート・サブネットの場合、ルート表を作成し、2つのルールを追加します。1つはオンプレミス・ネットワークを宛先とするトラフィックをDRGにルーティングするルール、もう1つはVCNを離れる他のすべてのトラフィックをNATゲートウェイにルーティングするルールです。

      次のパラメータを使用して、NATゲートウェイのルート・ルールを作成します:

      • ターゲット・タイプ: NATゲートウェイ

      • 宛先CIDRブロック: 0.0.0.0/0

        つまり、ルート表内の他のルールでカバーされていないVCN内以外のトラフィックはすべて、このルールで指定されたターゲットに移動します。

      • ターゲット: 作成したNATゲートウェイ。

      次のパラメータを使用して、DRGのルート・ルールを作成します:

      • ターゲット・タイプ: 動的ルーティング・ゲートウェイ

        VCNのアタッチされているDRGがターゲットとして自動的に選択されます。

      • 宛先CIDRブロック: 10.25.0.0/16

        つまり、オンプレミス・ネットワーク(10.25.x.y)のアドレスを対象としたトラフィックは、このルールで指定されたDRGターゲットに送信されます。

  4. デフォルト・セキュリティ・リストを更新します。

    VCN内のインスタンスに必要となる接続タイプを許可するセキュリティ・リスト・ルールを追加します。

    ソースCIDRが0.0.0.0/0ではなく、オンプレミス・ネットワークのCIDR(この例では10.25.0.0/16)になるように、既存のステートフル・イングレス・ルールをそれぞれ編集します。

  5. 後で作成するサブネットのカスタム・セキュリティ・リストを作成します。

    1. パブリック・サブネットのカスタム・セキュリティ・リストを作成し、パブリック・インスタンスが必要とする接続のタイプを許可するルールを追加します。たとえば、Webサーバーは、HTTPおよびHTTPSイングレス・トラフィックを受信する必要がある場合があります。HTTPの場合は、次の設定を使用します。HTTPSの場合は、TCPポート443に同様のルールを追加します。

      • ソース・タイプ: CIDR

      • ソースCIDR: 0.0.0.0/0

      • IPプロトコル: TCP

      • ソース・ポート範囲: すべて

      • 宛先ポート範囲: 80

    2. プライベート・サブネットのカスタム・セキュリティ・リストを作成し、プライベート・インスタンスが必要とする接続のタイプを許可するルールを追加します。たとえば、データベース・サーバーは、プライベート・サブネットおよびパブリック・サブネット内のクライアントからSQL*Net (TCPポート1521)イングレス・トラフィックを受信する必要がある場合があります。パブリック・サブネット内のクライアントには、次の設定を使用します。プライベート・サブネット内のクライアントの場合は、プライベート・サブネット(172.16.1.0/24)のCIDRに同様のルールをもう1つ追加します。

      • ソース・タイプ: CIDR

      • ソースCIDR: 172.16.2.0/24

      • IPプロトコル: TCP

      • ソース・ポート範囲: すべて

      • 宛先ポート範囲: 1521

  6. VCN内にサブネットを作成します。

    • パブリック・サブネット:

      VCN CIDRブロック内の単一の連続CIDRブロックを指定します。たとえば: 172.16.2.0/24。インスタンスがパブリックIPアドレスを取得できるように、サブネットがパブリック・サブネットであることを確認します。以前に作成したカスタム・パブリック・サブネット・ルート表を選択します。

      2つのセキュリティ・リストを選択します: デフォルト・セキュリティ・リストと、以前に作成したパブリック・サブネット・セキュリティ・リストの両方です。VCNレベルでDNSを有効にした場合、サブネットにホスト名を割り当て、サブネットDNSラベルも指定できます。

    • プライベート・サブネット:

      VCN CIDRブロック内の単一の連続CIDRブロックを指定します。たとえば: 172.16.1.0/24。サブネットをプライベートにします。このサブネットに作成するインスタンスは、パブリックIPアドレスを取得できません。以前に作成したカスタム・プライベート・サブネット・ルート表を選択します。

      2つのセキュリティ・リストを選択します: デフォルト・セキュリティ・リストと、以前に作成したプライベート・サブネット・セキュリティ・リストの両方です。VCNレベルでDNSを有効にした場合、サブネットにホスト名を割り当て、サブネットDNSラベルも指定できます。

  7. インスタンスの作成

    次のステップでは、サブネットにインスタンスを作成します。各インスタンスは、自動的にプライベートIPアドレスを取得します。パブリック・サブネット内の各インスタンスには、必ずパブリックIPアドレスを割り当ててください。そうしないと、オンプレミス・ネットワークからインスタンスに到達できなくなります。設定したDRGを使用すると、追加の構成なしで、オンプレミス・ネットワークからプライベート・サブネット内のインスタンスにアクセスできます。

この記事は役に立ちましたか。