ネットワーク・ポートおよびプロトコルのマトリックス
Compute Cloud@Customerでは、特定のIPアドレス、ポートおよびプロトコルに対するアクセス権限を付与する必要があります。
ほぼすべてのファイアウォールのデフォルトのセキュリティ状態は、アクセスを拒否することです。これは、Compute Cloud@Customerラックとカスタマ・データ・センターの間で使用されるファイアウォールに適用されます。
特定のCompute Cloud@Customer機能が正しく動作できるようにするには、特定のIPアドレスおよび関連サービスに対するアクセス権が付与されている必要があります。0.0.0.0/0
などの「すべて許可」ルールは、セキュリティ上の目的ではあまりにも広いため、許可するアドレス、ポートおよびプロトコルを明示的にリストすることがベスト・プラクティスです。
Compute Cloud@Customerは、様々な目的で様々なネットワークに接続してインストールされます(顧客サイトのネットワーク要件を参照)。セキュリティ上の理由から、Compute Cloud@Customerは管理ネットワークを顧客データ・ネットワークから分離します。
Compute Cloud@Customerのインストール中、Oracleは分離されたネットワークを構成し、ネットワーク管理者と連携してネットワーク・ポートを構成し、環境内で動作するようにします。
次の表に、データ・センターおよび管理ネットワークの分離に対して付与される特定のIPアドレス、ポートおよびプロトコルのアクセス権限を示します。
表キー:
- 顧客 –Compute Cloud@Customerリソース管理の顧客管理者アクセス
- Oracle– Oracle管理者アクセス。Oracle Operator Access Controlを使用して顧客がアクセス権を付与された場合にのみ、Oracleからアクセスできます。
ソースIPアドレス |
宛先IPアドレス・アドレス |
ポート番号 |
プロトコル |
内容 |
---|---|---|---|---|
すべての顧客ネットワーク | 顧客VIP | ICMP | タイプ0/エコー・リプライ | |
Oracle管理者 | Oracle VIP | ICMP | タイプ0/エコー・リプライ | |
すべての顧客ネットワーク | 管理ノード | ICMP | タイプ0/エコー・リプライ | |
すべての顧客ネットワーク | オブジェクト・ストレージIP | ICMP | タイプ0/エコー・リプライ | |
すべての顧客ネットワーク | 顧客VIP | ICMP | タイプ3/到達不可 | |
Oracle管理者 | Oracle VIP | ICMP | タイプ3/到達不可 | |
すべての顧客ネットワーク | 管理ノード | ICMP | タイプ3/到達不可 | |
すべての顧客ネットワーク | オブジェクト・ストレージIP | ICMP | タイプ3/到達不可 | |
すべての顧客ネットワーク | 顧客VIP | ICMP | VIPへのタイプ8/ping | |
Oracle管理者 | Oracle VIP | ICMP | VIPへのタイプ8/ping | |
Oracle管理者 | 管理ノード | ICMP | ノードへのタイプ8/ping | |
すべての顧客ネットワーク | オブジェクト・ストレージIP | ICMP | VIPへのタイプ8/ping | |
Oracle管理者 | Oracle VIP | 22 | TCP | アクティブ管理ノードへのSSHの実行 |
Oracle管理者 | 管理ノード | 22 | TCP | 特定の管理ノードへのSSHの実行 |
初期インストールDNS IP | 顧客VIP | 53 | UDP | 認可ゾーン |
初期インストールDNS IP | 顧客VIP | 53 | TCP | 認可ゾーン |
初期インストールDNS IP | Oracle VIP | 53 | UDP | 管理ゾーン |
初期インストールのAdminDNS IP | Oracle VIP | 53 | TCP | 管理ゾーン |
管理ノード | 初期インストールDNS IP | 53 | UDP | データ・ネットワークの外部DNS解決 |
管理ノード | 初期インストールDNS IP | 53 | TCP | データ・ネットワークの外部DNS解決 |
管理ノード | 初期インストールのAdminDNS IP | 53 | UDP | 管理ネットワークの外部DNS解決 |
管理ノード | 初期インストールのAdminDNS IP | 53 | TCP | 管理ネットワークの外部DNS解決 |
Oracle管理者 | Oracle VIP | 443 | TCP | Oracle APIエンドポイントおよびBUI |
すべてのCompute Cloud@Customerユーザー | 顧客VIP | 443 | TCP | Compute Cloud@CustomerのAPIエンドポイントおよびBUI |
すべてのCompute Cloud@Customerユーザー | 顧客VIP | 8079 | TCP | イメージ・ダウンロード・リポジトリ |
Oracle管理者 | Oracle VIP | 30006 | TCP | 管理CLI |
Oracle管理者 | 管理ノード | 30006 | TCP | 管理CLI |
顧客VIP | DNS再帰サーバー | 53 | UDP | DNS転送 |
顧客VIP | DNS再帰サーバー | 53 | TCP | DNS転送 |
Oracle VIP | DNS再帰サーバー | 53 | UDP | DNS転送 |
Oracle VIP | DNS再帰サーバー | 53 | TCP | DNS転送 |
Oracle VIP | 顧客NTPサーバー | 123 | UDP | NTP |
Oracle VIP | 通常 transport.oracle.com | 443 | TCP | ASRターゲット |
Oracle VIP | Oracle Grafana通知ターゲット | 443 | TCP | Grafana通知ターゲット |
Oracle VIP | OracleローカルULNミラー | 443 | TCP | パッチ適用 |
顧客VIP | ローカル・イメージ・リポジトリ | 443 | TCP | カスタム・イメージ・インポートfrom-object-uri |
管理ノード | ロード・バランサ・パブリックIPアドレス | 6443 | TCP | ロード・バランサ・パブリックIPアドレス・エンドポイント |
すべての顧客ネットワーク |
インスタンス・コンソール | 1443 | TCP | インスタンス・コンソール接続 |