機械翻訳について

11 IPネットワークの構成

トピック

• IPネットワークについて
• IPネットワーク上のインタフェースへのアクセス制御について
• IPネットワークの使用のワークフロー
• IPネットワークの管理
• IPネットワーク交換の管理
• vNICsetの管理
• ルートの管理
• IPアドレス接頭辞セットの管理
• IPネットワークのセキュリティ・プロトコルの管理
• IPネットワークのセキュリティ・ルールの管理
• ACLの管理
• パブリックIPアドレスの管理

IPネットワーク上のインタフェースへのアクセス制御について

IPネットワークにインスタンスを追加すると、インスタンスとの間でトラフィックが流れるかどうかが2つのファクタによって決まります: ネットワークの到達可能性とアクセス制御。 デフォルトでは、IPネットワーク上のインタフェースは、同じIPネットワーク上または同じIPチェンジに接続されたIPネットワーク上にインタフェースがある場合に限り、他のインスタンスによって到達可能です。 IPネットワーク上のインタフェースは、デフォルトでは、同じIPネットワーク上または同じIPネットワーク交換上にない任意のソースから到達可能ではありません。

到達可能性が提供されると、インタフェースへのアクセス制御は、vNICが追加されたvNICsetsおよびvNICsetsに適用されたアクセス制御リストによって決定されます。 仮想NIC(vNIC)は、インスタンスをネットワークに関連付けることができる仮想ネットワーク・インタフェース・カードです。 オラクル社が提供するリリース・バージョン16.3.6以降のOracle LinuxイメージまたはWindowsイメージを使用して作成されたインスタンスでは8つのvNICをサポートしているため、各インスタンスを最大8つのネットワークに関連付けることができます。 各vNICを複数のvNICsetに追加できます。 次に、さまざまなアクセス・コントロール・リストを定義し、各vNICsetに適用することができます。

アクセス制御リスト(ACL)は、vNICsetに適用できるセキュリティ・ルールのコレクションです。 ACLにより、そのセキュリティ・ルールで指定された基準に基づいて、vNICを宛先としてパケットを転送できるか、vNICをソースとしてパケットを転送できるかが決定されます。 セキュリティ・ルールにより、指定したソースからのトラフィックまたは指定した宛先へのトラフィックが許可されます。 セキュリティ・ルールの方向(イングレスまたはエグレス)を指定する必要があります。 さらに、許可されたトラフィックのソースまたは宛先と、パケットの送信または受信に使用するセキュリティ・プロトコルおよびポートを指定できます。 セキュリティ・ルールで指定する各パラメータは、そのルールによって許可されるトラフィックのタイプが一致する必要がある基準を指定します。 指定されたすべての基準に一致するパケットのみが許可されます。 パラメータで一致基準を指定しない場合、そのパラメータではすべてのトラフィックが許可されます。 たとえば、セキュリティ・プロトコルを指定しない場合、すべてのプロトコルおよびポートでトラフィックが許可されます。

インスタンスを作成するときは、IPネットワーク上の各インタフェースに1つ以上のvNICsetを指定できます。 また、さまざまなACLを定義して各vNICsetに適用することもできます。 インスタンスが作成されると、それらのインタフェースのvNICが指定されたvNICsetsに追加され、各vNICへのアクセスはそれらのvNICsetsに適用されるACLによって制御されます。

インタフェースにvNICsetsを指定しない場合、そのインタフェースのvNICがデフォルトのvNICsetに追加されます。 デフォルトACLは、デフォルトのvNICsetに適用されます。 このデフォルトACLには、デフォルトのイングレスおよびエグレス・セキュリティ・ルールが含まれており、デフォルトのvNICsetのvNIC間のトラフィックを許可します。

注意:

しかし、到達可能性も保証されなければならないことを忘れないでください。 vNICsetにIPネットワーク交換によって接続されていないIPネットワーク上のvNICが含まれている場合、それらのvNICは相互に通信できなくなります。

次のネットワーク・オブジェクトは、デフォルトのvNICsetのvNICとの間のトラフィックを制御するために、デフォルトで存在します。

• /Compute-identity_domain/default: デフォルトのvNICset。 インスタンスの作成中にインタフェースにvNICsetを指定しないと、そのインタフェースのvNICがこのデフォルトのvNICsetに自動的に追加されます。

• /Compute-identity_domain/default: デフォルトACL。 このACLは、デフォルトのvNICsetに自動的に適用されます。

• /Compute-identity_domain/default/ingress: デフォルトのイングレス・セキュリティ・ルール。 このセキュリティ・ルールは、送信元と宛先としてデフォルトのvNICsetを指定します。 セキュリティ・プロトコルは指定されていません。 トラフィックは、デフォルトのvNICset内のvNICから、すべてのプロトコルおよびポート上のデフォルトのvNICset内の任意の宛先に許可されます。

• /Compute-identity_domain/default/egress: デフォルトのエグレス・セキュリティ・ルール。 このセキュリティ・ルールは、デフォルトのvNICsetを送信元として指定します。 宛先またはセキュリティ・プロトコルは指定されていません。 デフォルトのvNICsetからのトラフィックは、すべてのプロトコルおよびポート上のすべての宛先に許可されます。

注意:

デフォルトのアクセス制御オブジェクトのいずれかを削除することは可能ですが、そうすると複数のvNICへのアクセスが切断される可能性があります。 デフォルトACL、vNICset、またはセキュリティ・ルールを削除する場合は、影響を受けるvNICとの間で送受信されるトラフィックを有効にし、制御するために必要な対応するオブジェクトを作成してください。

関連項目:

「IPネットワークにおけるインスタンスへのネットワーク・アクセスの制御」