Oracle Cloud Infrastructureドキュメント

ルール・セットの管理

このトピックでは、HTTPリスナーでトラフィックに適用するアクションで構成されるルール・セットの作成方法について説明します。

ロード・バランサ・リスナーの管理の詳細は、「ロード・バランサ・リスナーの管理」を参照してください。

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者が作成するポリシーで、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどちらを使用しているかにかかわらず、必要なタイプのアクセスを付与する必要があります。 アクションを実行しようとしたときに、権限のないメッセージや権限のないメッセージを取得する場合は、管理者に付与されているアクセスのタイプと作業するコンパートメントを確認してください。

管理者向け: ロード・バランサとそのコンポーネントにアクセスできる典型的なポリシーについては、「ネットワーク管理者がロード・バランサを管理できるようにします」を参照してください。

また、inspect load-balancersを含むポリシー・ステートメントは、指定されたグループに、ロード・バランサに関するすべての情報を表示する機能を提供することに注意してください。 詳細は、「ロード・バランシングの詳細」を参照してください。

新しいポリシーの場合は、「ポリシーの開始」「共通ポリシー」を参照してください。

ルール・セットの操作

ルール・セットは、ロード・バランサに関連付けられ、そのロード・バランサの1つ以上のリスナーに適用された名前付きのルール・セットです。 ルールは、ロード・バランサ・リスナーでトラフィックに適用されるアクションを表すオブジェクトです。

次のタイプのルールをルール・セットに含めることができます:

ルール・セットはHTTPリスナーにのみ適用されます。

リスナーの編集時には、既存のルール・セットを適用できます。 同じルール・セットを同じロード・バランサの複数のリスナーに適用できます。

ルール・セットはロード・バランサ間で共有されません。 別のロード・バランサで同じルール・セットを使用するには、そのロード・バランサの下に新しい同じルール・セットを作成する必要があります。

ルール・セットには最大20個のルールを含めることができます。 最大50ルールをロード・バランサに関連付けることができます。

アクセス制御ルール

アクセス制御ルールは、ユーザー指定のIPアドレスまたはアドレス範囲の一致条件に基づいて、アプリケーション・リソースへのアクセスを許可します。 アクセス制御ルールを指定しない場合は、デフォルト・ルールによってすべてのトラフィックが許可されます。 アクセス制御ルールを追加すると、ロード・バランサはルールに一致しないトラフィックを拒否します。

サービスは、一致条件に対してクラス間ルーティング(CIDR)形式(x.x.x.x/y or x:x::x/y)文字列のみを受け入れます。

すべての受信トラフィックに一致する0.0.0.0/0または::/0を指定します。

ノート

現在、Government CloudリージョンのみがIPv6値を許可しています。

アクセス方法ルール

アクセス・メソッド・ルールは、関連するリスナーで許可されるHTTPメソッドを指定します。 ロード・バランサは、許可されていないリクエストをバックエンド・サーバーに転送せず、使用可能なメソッドのリストとともに405 Method Not Allowedレスポンスを返します。 許可されたメソッドのリストは、指定のリスナーに1つのみ関連付けることができます。

デフォルトでは、「HTTPメソッド・レジストリ」で定義されている標準HTTPメソッドのみを指定できます。 HTTPメソッドのリストは拡張可能です。 カスタムHTTPメソッドを構成する必要がある場合は、My Oracle Supportに連絡して、テナンシから制限を削除してください。 バックエンド・アプリケーションは、指定されたメソッドを処理できる必要があります。

デフォルトHTTPメソッド

リクエストおよびレスポンス・ヘッダー・ルール

リクエストおよびレスポンスのヘッダー・ルールによって、HTTPリクエストまたはレスポンスのヘッダーが追加、変更または削除されます。 これらのルールは、メタデータをバックエンド・サーバーに渡して次のような操作を行うのに役立ちます:

  • どのリスナーがリクエストを送信したかを識別します。
  • SSLの終了についてバックエンド・サーバーに通知します。

ルール・セットがサイト・セキュリティの向上に役立つ例を次に示します:

  • 外部ドメインがサイトをダイアグラムできないようにするためのヘッダーの追加。
  • "Server"などのデバッグ・ヘッダーを削除すると、バックエンド・サーバーから送信されます。 このアクションは、バックエンドの実装詳細を非表示にするのに役立ちます。
  • "strict-transport-security"ヘッダーを適切な値でレスポンスに追加します。 このヘッダーは、サイトへのアクセスがHTTPSのみであることを保証するのに役立ちます。
  • 適切な値を使用したX-xss-protectionヘッダーの追加。 このヘッダーにより、最新のブラウザに組み込まれたクロスサイト・スクリプティング(XSS)保護を強制的に適用できます。
  • 適切な値を使用したx-content-typeヘッダーの追加。 このヘッダーは、コンテンツ・タイプのシフトに基づく攻撃を防止するのに役立ちます。

例: ロード・バランサがSSLを終了したことをWebLogicに通知

SSL終了を実行するようにロード・バランサを構成できます。 多くの場合、バックエンド・アプリケーションにはこのアクションの通知が必要です。 たとえば、HTTPS WebLogic e-commerceのオンライン・トランザクション処理では、リクエストがSSLに由来することを確認するために、WL-Proxy-SSLヘッダーが検索されます。 ルール・セットを使用して、ロード・バランサ・リスナーでこのヘッダーを追加できます。

ヒント

セキュリティ上の理由から、WebLogicは、WebLogic管理コンソールで「Weblogicプラグインの有効化」チェック・ボックスを選択(チェック)しないかぎり、このヘッダーを無視します。

  1. 「ルール・セットの作成」の手順に従い、次の手順を実行します:

    1. 「アクション」ドロップダウン・リストから「リクエスト・ヘッダーの追加」オプションを選択します。
    2. 「ヘッダー」名としてWL-Proxy-SSLと入力します。
    3. ヘッダーを設定します:

      • ロード・バランサがSSL終了を実行するよう構成されている場合、この値を"true"に設定します。
      • SSL終了ポイントがプラグインが動作するWebサーバー内にある場合は、この値を"false"に設定します。
  2. 「リスナーの作成」「既存のリスナーを編集」、および新しいルール・セットを追加します。

コンソールの使用

ルール・セットをリスナーに適用するには、最初にそのルールを含むルール・セットを作成します。 ルール・セットはロード・バランサ構成の一部になります。 ロード・バランサのリスナーを作成または更新するときに使用するルール・セットを指定できます。

ルール・セットを作成するには
ルール・セットを更新するには
リスナーからルール・セットを削除するには

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

次のAPI操作を使用して、ルール・セットを管理します: