始める前に
この15分間のチュートリアルでは、Oracle Cloud InfrastructureでOracle PaaSサービス・インスタンスに必要なインフラストラクチャ・リソースを作成する方法を示します。
背景
Oracle Cloud Infrastructureでは、Oracle Database Cloud ServiceやOracle Java Cloud Serviceなど、Oracle PaaSサービスのインスタンスを作成できます。Oracle Cloud Infrastructureでは、PaaSサービス・インスタンスに特定のネットワーク、ストレージ、セキュリティ・リソースが必要です。PaaSサービス・インスタンスを作成する前に、これらのリソースを作成する必要があります。
このチュートリアルで説明する前提条件は、次のサービスに関連しています。
- Oracle Big Data Cloud
- Oracle Database Cloud Service
- Oracle Data Hub Cloud Service
- Oracle Event Hub Cloud Service
- Oracle Java Cloud Service
- Oracle MySQL Cloud Service
- Oracle SOA Cloud Service
前提条件
- Oracle Cloud Infrastructureのユーザー名とパスワード。Oracle Cloud Infrastructureテナントの管理者は、このチュートリアルで説明されているすべての前提条件を完了できます。他のユーザーがこれらのタスクを実行できるようにするには、テナント管理者は、(認証トークンを生成するユーザー機能を持つ)ユーザーを作成し、グループに割り当て、そのグループがコンパートメントを作成および管理し、ポリシーを作成できるようにするポリシーを定義する必要があります。Oracle Cloud Infrastructureのドキュメントで例のシナリオを参照してください。
- (Oracle Big Data Cloudのみ) API署名キーを生成する
openssl
ユーティリティ。openssl
は、ほとんどのUNIX系システムでデフォルトで使用できます。WindowsではGit Bashを使用できます。
ユーザー名とパスワードがない場合は、組織のOracle Cloud管理者に問い合せてください。Oracle Cloud My Servicesの資格証明は、Oracle Cloud Infrastructureの資格証明と異なる場合があります。
コンパートメントの作成
Oracle Cloud Infrastructureのリソースは、コンパートメントに編成されます。コンパートメント内のリソースへのアクセスは、ポリシーによって制御されます。
注意: Oracle Cloud InfrastructureにOracle PaaSインスタンスを初めて作成するとき、コンパートメントを作成します。後続のPaaSインスタンスの場合は、同じコンパートメントまたは新しいコンパートメントを使用できます。これは、PaaSサービスが他のPaaSサービスに依存するかどうかに基づいて選択します。たとえば、Java Cloud Serviceインスタンスは、関連付けられているDatabase Cloud Serviceデプロイメントと同じVCNにある必要があります。このため、Java Cloud Serviceインスタンスおよび関連するDatabase Cloud Serviceデプロイメント用に作成するインフラストラクチャ・リソースは、同じコンパートメント内に存在する必要があります。
- Oracle Cloud Infrastructure Webコンソールにサインインします。
- Webコンソールの左上隅にある をクリックします。
- メニューで、「アイデンティティ」まで下にスクロールし、「コンパートメント」を選択します。
- 「コンパートメント」ページで、「コンパートメントの作成」をクリックします。
- 「コンパートメントの作成」ダイアログ・ボックスで、コンパートメントの名前と説明を入力します。
- 親コンパートメントとしてテナントのデフォルト・ルート・コンパートメントを受け入れるか、新規コンパートメントを作成するコンパートメントを選択します。
- 「コンパートメントの作成」をクリックします。
- 新しいコンパートメント名を書き留めます。これは、このチュートリアルで後で必要になります。
(オプション) VCNの作成
仮想クラウド・ネットワーク(VCN)は、Oracle Cloud Infrastructureに定義するネットワークです。これには、サブネット、ルート表およびゲートウェイが含まれます。
- PaaSサービス・インスタンスを作成する際、
ManagedCompartmentForPaaS
コンパートメント内のパブリック・サブネットをインスタンスに自動的に割り当てる場合は、チュートリアルのこの項をスキップし、オブジェクト・ストレージのバケットの作成に直接進みます。 - 自分が作成したプライベート・サブネットまたはパブリック・サブネットにPaaSサービス・インスタンスをアタッチする場合は、この項の手順に従ってVCNおよびサブネットを作成します。これは、Oracle Cloud InfrastructureにOracle PaaSインスタンスを初めて作成するときに実行する必要があります。後続のPaaSインスタンスの場合は、同じVCNまたは新しいVCNを使用できます。これは、PaaSサービスが他のPaaSサービスに依存するかどうかに基づいて選択します。たとえば、Java Cloud Serviceインスタンスは、関連付けられているDatabase Cloud Serviceデプロイメントと同じVCNにある必要があります。
次のステップを実行します。
- Oracle Cloud Infrastructure Webコンソールの右上隅にあるリージョン選択フィールドで、Oracle PaaSサービス・インスタンスを作成するリージョンを選択します。
注意: アカウントのデフォルト・データ・リージョン内にあるリージョンを選択します。たとえば、デフォルト・データ・リージョンがEMEAの場合、eu-frankfurt-1またはuk-london-1を選択します。
- Webコンソールの左上隅にある をクリックします。
- 「ネットワーキング」にある「仮想クラウド・ネットワーク」を選択します。
- 「仮想クラウド・ネットワーク」ページで、「仮想クラウド・ネットワークの作成」をクリックします。
- 仮想クラウド・ネットワークの名前を入力し、作成したコンパートメントを選択してから、CREATE VIRTUAL CLOUD NETWORK PLUS RELATED RESOURCESを選択します。
- 重要: 下にスクロールして、Oracle PaaSインスタンスで使用する各サブネットの名前を書き留めます。
- 「仮想クラウド・ネットワークの作成」をクリックします。
- (オプション)このステップは、REST APIまたはCLIを使用してPaaSインスタンスを作成する場合に必要です。作成したVCNで、Oracle PaaSインスタンスで使用する各サブネットのOCIDを書き留めます。
OCIDは、インスタンスの作成に使用するREST APIコールまたはCLIコマンドのリクエスト本文で指定する必要があります。
Oracle Cloud Infrastructureでは、CIDRブロック10.0.0.0/16
および1つのパブリック・サブネットを使用して、各可用性ドメインに仮想クラウド・ネットワークが作成されます。
(オプション)ポリシーの作成
PaaSサービスでOracle Cloud Infrastructureのネットワーク・リソースを使用するには、特定のアクセス・ポリシーを定義する必要があります。
- 前の項で説明した独自のVCNおよびサブネットを作成しない場合、ポリシーを定義する必要はありません。チュートリアルのこの項をスキップし、オブジェクト・ストレージのバケットの作成に進みます。
- VCNおよびサブネットを作成した場合は、この項の手順に従って、PaaSサービスで必要なネットワーク・リソースの使用を許可するポリシーを作成します。Oracle Cloud InfrastructureにOracle PaaSインスタンスを初めて作成するときに、ポリシーを作成する必要があります。後続のPaaSインスタンスの場合は、異なるコンパートメントでネットワーク・リソースを使用する場合のみポリシーを作成する必要があります。これは、PaaSサービスが他のPaaSサービスに依存するかどうかに基づいて選択します。たとえば、Java Cloud Serviceインスタンスは、関連付けられているDatabase Cloud Serviceデプロイメントと同じVCNにある必要があります。したがって、1つのポリシーが必要です。
次のステップを実行します。
- Webコンソールの左上隅にある をクリックします。
- 「アイデンティティ」にある「ポリシー」を選択します。
- 「コンパートメント」フィールドで、テナントのルート・コンパートメントを選択します。
- 「ポリシーの作成」をクリックします。
- 「ポリシーの作成」ダイアログ・ボックスで、ポリシーの名前と説明を入力します。
- 「ポリシーのバージョニング」フィールドで、ポリシーで使用する動詞とリソースの定義を指定します。
- 動詞とリソースの定義に対する将来の変更をポリシーに反映する必要がある場合は、「ポリシーを最新の状態に維持」を選択します。
- ポリシーで特定の日付に有効になる定義を使用する必要がある場合は、「バージョンの日付の使用」を選択し、その日付をYYYY-MM-DD形式で入力します。
- 「ポリシー文」フィールドに、次のポリシー文を入力します。これは、追加する4つのポリシー文の最初の文です。
注意:
<compartment_name>
は、このチュートリアルですでに作成したコンパートメントの名前に置き換えます。ポリシー文の他の箇所は変更しないでください。Allow service PSM to inspect vcns in compartment <compartment_name>
- をクリックし、次のポリシーを一度に1つずつ追加します。
Allow service PSM to use subnets in compartment <compartment_name> Allow service PSM to use vnics in compartment <compartment_name> Allow service PSM to manage security-lists in compartment <compartment_name>
- (オプション) Oracle Java Cloud Serviceインスタンスのインフラストラクチャ・スキーマ・データベースとして、コンパートメントでAutonomous Transaction ProcessingまたはOracle Cloud Infrastructure Databaseインスタンスを使用できるようにする場合は、次の文を追加します。
Allow service PSM to inspect autonomous-database in compartment <compartment_name> Allow service PSM to inspect database-family in compartment <compartment_name>
- 必要なポリシーを追加した後、「作成」をクリックします。
バケットの作成
Oracle PaaSサービス・インスタンスでは、Oracle Cloud Infrastructureオブジェクト・ストレージのバケットを使用して、バックアップおよびその他のアーティファクトを格納します。
- Oracle Cloud Infrastructure Webコンソールにサインインします。Oracle Cloud Infrastructure Identity and Access Managementで管理者が作成したローカル・ユーザーとして、またはフェデレーテッド・アイデンティティ・プロバイダによって自動的に作成された同期ユーザーとしてサインインします。
- 右上隅にあるリージョン選択フィールドで、Oracle PaaSサービス・インスタンスを作成するリージョンを選択します。
注意: アカウントのデフォルト・データ・リージョン内にあるリージョンを選択します。たとえば、デフォルト・データ・リージョンがEMEAの場合、eu-frankfurt-1またはuk-london-1を選択します。
- Webコンソールの左上隅にある をクリックします。
- メニューの「オブジェクト・ストレージ」から「オブジェクト・ストレージ」を選択します。
- 「バケット」ページの「コンパートメント」フィールドで、作成したコンパートメントを選択します。
- 「バケットの作成」をクリックします。
- 「バケットの作成」ダイアログ・ボックスで、バケットの名前を入力します。
重要: この名前を書き留めます。これは、後でOracle PaaSインスタンスを作成するときに必要になります。
- 他のフィールドのデフォルト値を受け入れ、「バケットの作成」をクリックします。
- この項のステップを繰り返して、Oracle Cloud Infrastructureで作成するOracle PaaSサービス・インスタンスごとにバケットを作成します。
認証トークンの生成
注意: Oracle Big Data Cloudの場合は、この項をスキップします。次の項に進みます。
PaaSサービスでは、Oracle Cloud Infrastructureオブジェクト・ストレージにアクセスしてバックアップを格納するための認証トークンが必要です。
バケットを作成したユーザーまたはバケットへのアクセス権限を持つユーザーごとに認証トークンを生成します。たとえば、java_user
がJava Cloud Serviceのバケットを作成し、db_user
がDatabase Cloud Serviceのバケットを作成した場合、各ユーザーに対して別々に認証トークンを生成します。同じユーザーが両方のバケットを作成したり、両方のバケットにアクセスできる場合は、そのユーザーの認証トークンを1つ生成します。
- バケットを作成したユーザーまたはバケットへのアクセス権限を持つユーザーとして、Oracle Cloud Infrastructure Webコンソールにサインインします。
- 右上隅にあるユーザー・アイコンをクリックし、表示されるメニューから「ユーザー設定」を選択します。
- 「リソース」ナビゲーション・ペインで、「認証トークン」をクリックし、「トークンの生成」をクリックします。
- 「トークンの生成」ダイアログ・ボックスで、トークンの説明を入力し、「トークンの生成」をクリックします。
- 重要: 生成されたトークンをコピーして保存します。これは、後でPaaSインスタンスを作成するときに必要になります。
- PaaSインスタンスのバケットを作成したユーザーごとに、この項のステップを繰り返します。
API署名キーの生成と登録
注意: この項は、Oracle Big Data Cloudにのみ該当します。その他のサービスの場合は、この項をスキップします。
Big Data Cloudでは、API署名キーを使用してOracle Cloud Infrastructureオブジェクト・ストレージで認証します。キー・ペアをPEM形式で生成し、Oracle Cloud Infrastructureに公開キーを登録する必要があります。openssl
を使用してキー・ペアを生成できます。このユーティリティは、ほとんどのUNIX系システムでデフォルトで使用できます。Windowsでは、Git Bashを使用できます。
この項に示すコマンドは、WindowsのGit Bash用です。UNIX系システムとの違いは、関連する場所に記載されています。
注意: Big Data Cloudクラスタのバケットを作成したユーザーごとに、API署名キーを生成して公開キーをアップロードします。たとえば、bdc_user1
およびbdc_user2
がBig Data Cloudクラスタのバケットを作成した場合は、これらのユーザーごとに個別に、API署名キーを生成して公開キーをアップロードする必要があります。
- ローカル・コンピュータで、生成するキーを格納するディレクトリを作成します。
mkdir ~/.oci
- 秘密キーを生成します。
openssl genrsa -out ~/.oci/oci_api_key.pem -aes128 -passout stdin 2048
注意: UNIX系システムでは、コマンドから
-passout stdin
を省略します。パスフレーズを入力し、キーが生成されるまで待機します。
Generating RSA private key, 2048 bit long modulus .+++ .....................+++ e is 65537 (0x10001
- 秘密キー・ファイルに対する権限を読取り専用に変更します。
chmod go-rwx ~/.oci/oci_api_key.pem
- 重要: 秘密キー・ファイルへのフルパスを書き留めます。
Big Data Cloudクラスタのオブジェクト・ストレージ設定を構成するときに、フルパスとファイル名が必要になります。
- キーのフィンガープリントを取得します。
openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key.pem -passin stdin | openssl md5 –c
- 重要: フィンガープリントをコピーします。これは、前のステップの後に表示されるコロン区切り文字の文字列です。
Big Data Cloudクラスタのオブジェクト・ストレージ設定を構成するときに、このフィンガープリントが必要になります。
- 以前に生成した秘密キーに対する公開キーを生成します。
openssl rsa -pubout -in ~/.oci/oci_api_key.pem -out ~/.oci/oci_api_key_public.pem -passin stdin
注意: UNIX系システムでは、コマンドから
-passin stdin
を省略します。パスフレーズを入力し、公開キーが生成されるまで待機します。
writing RSA key
- 公開キーを表示します。
cat ~/.oci/oci_api_key_public.pem
次に、公開キーの例を示します。
-----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA75bcmb2HuKwZNpYxeP5X WjxeKg3rFLUUp1RMK6YAnGOilON98jTGpDRMVMNbYXH4Y2D9c7QYByQa1qcdMH+I wumWZCfTIb6Y5yXXHHJLJoS8dclEX1p2lqQf73BUGPpd/3ymrhjZKjW14gpfBs7p ZNLa5k97TLV/IlqefIAJktndKLGggUJZLUReX9hZY2e27VpW1OSMyZImwnSnJct6 3rRqi2bANUf7ojN5OcOnZ5bZrn2YfxpcZaWWV1/xFU+ODChnoM4Z7O1+JtFzw+Mi takns0aiDyvUjWkR3cYrO3g+MHHMgOzrhpfYBPrNHVZDLykhDfvR+A/gnWtqw5EB bQIDAQAB -----END PUBLIC KEY-----
BEGIN
行およびEND
行を含む公開キーをコピーします。- Oracle Cloud Infrastructure Webコンソールで、Big Data Cloudのバケットを作成したユーザーのユーザー名をクリックし、「ユーザー設定」を選択します。
- 「リソース」ナビゲーション・ペインで、「APIキー」をクリックし、「公開キーの追加」をクリックします。
- 「公開キーの追加」ダイアログ・ボックスで、以前に生成してコピーした公開キーを貼り付け、「追加」をクリックします。
キーのフィンガープリントが表示されます。以前に生成したフィンガープリントと一致する必要があります。
- 重要: Oracle Big Data Cloudクラスタのバケットを作成したユーザーごとに、この項のステップを繰り返します。
注意: UNIX系システムでは、コマンドから-passin stdin
を省略します。
パスフレーズを入力し、フィンガープリントが生成され表示されるまで待機します。
writing RSA key
(stdin)= 17:65:02:91:a0:d8:20:60:ac:72:74:82:47:0e:91:b9
次のステップ
- PaaSインスタンスをプライベート・サブネットにアタッチする場合は、作成したVCNに次の追加リソースを作成する必要があります。
関連するドキュメントは、さらに学習するにはの項を参照してください。
- サービス・ゲートウェイ
サービス・ゲートウェイは、Oracle Java Cloud ServiceおよびOracle Database Cloud Serviceインスタンスがオブジェクト・ストレージ・サービスにアクセスするために必要です。 - (オプション) NATゲートウェイ
NATゲートウェイは、Oracle Java Cloud ServiceおよびOracle Database Cloud Serviceインスタンスのノードがパブリック・インターネットにアクセスするために必要です。このようなアクセスは、たとえば、ノードがOracle Yumサーバーにアクセスして追加パッケージやOSパッチをダウンロードできるようにする場合に便利です。 - 次のルールを含むルート表:
-サービス・ゲートウェイを介してトラフィックをオブジェクト・ストレージ・サービスにルーティングするルール
-(オプション) NATゲートウェイを介してトラフィックをパブリック・インターネットにルーティングするルール - 次のルールを含むセキュリティ・リスト:
- VCN内の他のコンピュート・ノードからのトラフィックを許可する受信ルール
- プライベート・サブネットからのすべてのアウトバウンド・トラフィックを許可する送信ルール - 以前に作成したルート表とセキュリティ・リストを含むプライベート・サブネット
- サービス・ゲートウェイ
- Oracle PaaSインスタンスを作成するときに必要になる次の情報を書き留めてください。
- Oracle Cloud Infrastructureリソースを作成したリージョンの名前(例:
us-phoenix-1
)。PaaSサービス・インスタンスを作成するときに、同じリージョンを選択する必要があります。 - (オプション) Oracle PaaSインスタンスをアタッチするサブネットの名前(例:
Public Subnet iKgW:PHX-AD-1
、Public Subnet iKgW:PHX-AD-2
)。 - (オプション) Oracle PaaSインスタンスをアタッチするサブネットのOCID。REST APIまたはCLIを使用してPaaSサービス・インスタンスを作成するとき、リクエスト本文に(サブネット名ではなく)サブネットのOCIDを指定する必要があります。
- 作成したオブジェクト・ストレージ・バケットの名前
- (Big Data Cloud以外のすべてのPaaSサービスの場合) PaaSインスタンスのバケットを作成した各ユーザーの認証トークン
- (Big Data Cloudの場合のみ) Big Data Cloudクラスタのバケットを作成した各ユーザーの、公開キーのフィンガープリントおよび秘密キー・ファイルへのフルパス
- Oracle Cloud Infrastructureリソースを作成したリージョンの名前(例:
これで、Oracle Cloud Infrastructureに必要なリソースを作成しました。Oracle Cloud InfrastructureにOracle PaaSインスタンスを作成できるようになりました。
さらに学習するには
- Oracle Cloud Infrastructureのドキュメントの次の項:
- Oracle Database Cloud Serviceの使用のOracle Cloud Infrastructureでのデータベース・デプロイメントについて
- Oracle Java Cloud Serviceの管理のOracle Cloud InfrastructureのJava Cloud Serviceインスタンスについて
- Oracle MySQL Cloud Serviceの使用のOracle Cloud InfrastructureでのMySQL Cloud Serviceデプロイメントについて
- Oracle Event Hub Cloud Serviceの管理 - 専用のOracle Cloud Infrastructureのインスタンスについて
- Oracle Data Hub Cloud Serviceの管理のOracle Cloud InfrastructureでのData Hub Cloud Serviceクラスタについて
- Oracle Big Data Cloudの使用のOracle Cloud InfrastructureでのBig Data Cloudクラスタについて
- 顧客管理型環境でのOracle SOA Cloud Serviceの管理のOracle Cloud Infrastructure ClassicおよびOracle Cloud InfrastructureでのSOA Cloud Serviceインスタンスについて