Oracle Cloud Infrastructureドキュメント

Oracle提供のイメージ

イメージは仮想ハード・ドライブのテンプレートです。 イメージは、インスタンスのオペレーティング・システムおよびその他のソフトウェアを決定します。 次の表に、Oracle Cloud Infrastructureで使用可能なイメージを示します。 特定のイメージとカーネル・バージョンの詳細と、バージョン間の変更については、「Oracle提供のイメージ・リリース・ノート」を参照してください。

イメージ 名前 説明
Oracle Linux 7 Unbreakable Enterprise Kernelリリース5 Oracle-Linux-7.x-<date>-<number>

Unbreakable Enterprise Kernel (UEK)は、要求の厳しいOracleワークロード用のOracle最適化オペレーティング・システム・カーネルです。

このイメージではGPUシェイプがサポートされています。

Oracle Linux 6 Unbreakable Enterprise Kernelリリース4 Oracle-Linux-6.x-<date>-<number>

Unbreakable Enterprise Kernel (UEK)は、要求の厳しいOracleワークロード用のOracle最適化オペレーティング・システム・カーネルです。

CentOS 7 CentOS-7-<date>-<number>

CentOSは、エンタープライズ・クラウド環境での使用に適した、フリーでオープンソースのLinuxディストリビューションです。 詳細は、https://www.centos.org/を参照してください。

CentOS 6 CentOS-6.x-<date>-<number>

CentOSは、エンタープライズ・クラウド環境での使用に適した、フリーでオープンソースのLinuxディストリビューションです。 詳細は、https://www.centos.org/を参照してください。

Ubuntu 18.04 LTS

Canonical-Ubuntu-18.04-<date>-<number>

Ubuntuは無料のオープンソースのLinuxディストリビューションで、クラウドでの使用に適しています。 詳細は、https://www.ubuntu.comを参照してください。

最小Ubuntuは、スケールでの自動使用を目的として設計されています。 そのあとは小さいブート・ボリュームを使用し、高速にブートすると、セキュリティ・パッチの表面は標準のUbuntuイメージよりも小さくなります。 詳細は、https://wiki.ubuntu.com/Minimalを参照してください。

このイメージではGPUシェイプがサポートされています。 NVIDIAから適切なGPUドライバをインストールする必要があります。

Ubuntu 16.04 LTS

Canonical-Ubuntu-16.04-<date>-<number>

Ubuntuは無料のオープンソースのLinuxディストリビューションで、クラウドでの使用に適しています。 詳細は、https://www.ubuntu.comを参照してください。

最小Ubuntuは、スケールでの自動使用を目的として設計されています。 そのあとは小さいブート・ボリュームを使用し、高速にブートすると、セキュリティ・パッチの表面は標準のUbuntuイメージよりも小さくなります。 詳細は、https://wiki.ubuntu.com/Minimalを参照してください。

このイメージではGPUシェイプがサポートされています。 最小Ubuntuの場合、該当するGPUドライバをNVIDIAからインストールする必要があります。

Ubuntu 14.04 LTS

Canonical-Ubuntu-14.04-<date>-<number>

Ubuntuは無料のオープンソースのLinuxディストリビューションで、クラウドでの使用に適しています。 詳細は、https://www.ubuntu.comを参照してください。

Windows Server 2016 Windows-Server-2016-<edition>-Gen2.<date>-<number>

Windows Server 2016は、Oracle Cloud Infrastructureで運用中のWindowsワークロードを実行することをサポートしています。

このイメージではGPUシェイプがサポートされています。 NVIDIAから適切なGPUドライバをインストールする必要があります。

Windows Server 2012 R2 Windows-Server-2012-R2-<edition>-<gen>-<date>-<number>

Windows Server 2012 R2では、Oracle Cloud Infrastructureで運用環境のWindowsワークロードを実行することができます。

このイメージではGPUシェイプがサポートされています。 NVIDIAからGPUドライバをインストールする必要があります。

Windows Server 2008 R2 - 仮想マシン(VM) Windows-Server-2008-R2-Enterprise-Edition-VM-<date>-<number>

Windows Server 2008 R2 Enterprise Editionは、Oracle Cloud Infrastructureで運用環境のWindowsワークロードを実行することをサポートしています。

新しいインスタンスを起動するためのブート・ディスクOSとソフトウェア構成の「カスタム・イメージの作成」を実行することもできます。

必須のファイアウォール・ルール

警告

Windows 2008サーバーR2イメージでは、管理者など、ローカル・プリンシパルに対する特定のファイアウォール・ルールの制限はサポートされていないため、インスタンスで認証されたユーザーは、インスタンスのブートやブロック・ボリュームを提供するiSCSIネットワーク・エンドポイント(169.254.0.2:3260, 169.254.2.0/24:3260)への送信接続を行うことができます。

すべてのオラクル提供のイメージには、Linuxインスタンスでは"root"、Windows Server 2012 R2およびWindows Server 2016インスタンスでは"Administrators"のみが、インスタンスのブートおよびブロック・ボリュームをサーブするiSCSIネットワーク・エンドポイント(169.254.0.2:3260、169.254.2.0/24:3260)へのアウトゴーイング接続を作成することを許可するルールが含まれています。

  • これらのルールを削除するには、インスタンスでファイアウォールを再構成しないことをお薦めします。 これらのルールを削除すると、非rootユーザーまたは非管理者がインスタンスのブート・ディスク・ボリュームにアクセスできます。

  • セキュリティ・リスクを理解していないかぎり、これらのルールなしでカスタム・イメージを作成しないことをお薦めします。

  • UbuntuイメージでUncomplicated Firewall (UFW)を実行すると、これらのルールに問題が発生する可能性があるため、インスタンスでUFWを有効にしないことをお勧めします。 詳細については、「Uncomplicated Firewall (UFW)を有効にした後、Ubuntuインスタンスがリブートに失敗」を参照してください。

ユーザー・データ

Oracle提供のイメージは、インスタンスの起動時にカスタム・スクリプトを実行したり、カスタム・メタデータを提供する機能を提供します。 これを行うには、「インスタンスの作成」ダイアログの「ユーザー・データ」フィールドにカスタム起動スクリプトを指定します。 起動スクリプトの詳細については、Linuxベースのイメージの場合はcloud-init、Windowsベースのイメージの場合はcloudbase-initを参照してください。

LinuxイメージのOSアップデート

Oracle LinuxおよびCentOSイメージは、Oracle public yumサーバーのリポジトリからパッケージをインストールおよび更新できるように事前に構成されています。 リポジトリ構成ファイルは、インスタンスの/etc/yum.repos.dディレクトリにあります。 Yumユーティリティを使用して、パッケージをインストール、更新および削除できます。

ノート

Oracle LinuxおよびCentOSイメージのOSセキュリティ・アップデート

Oracle LinuxまたはCentOSイメージを使用してインスタンスを起動した後、Oracle public yumサーバー経由で公開される必要なOSセキュリティ更新を適用します。 詳細は、「Yumセキュリティ・プラグインのインストールと使用」を参照してください。

Ubuntuイメージは、パッケージのインストール、更新、および削除を可能にする適切なリポジトリで事前設定されています。

ノート

UbuntuイメージのOSセキュリティ・アップデート

Ubuntuイメージを使用してインスタンスを起動すると、sudo apt-get upgradeコマンドを使用して必要なOSセキュリティ・アップデートを適用する責任があります。

Linuxカーネル・アップデート

Oracle Linux Oracle Cloud Infrastructureのイメージには、Oracle Linuxプレミア・サポートが追加費用なしで含まれています。 これにより、Oracle Kspliceを含むPremier Supportに含まれるすべてのサービスが提供されます。 Kspliceを使用すると、重要なセキュリティやその他の重要なカーネル・アップデートを再起動せずに適用できます。 詳細は、「Oracle Kspliceについて」および「Kspliceの概要」を参照してください。

Kspliceは、2017年2月15日以降に開始されたLinuxインスタンスでのみ利用できます。 2017年8月25日より前に起動されたインスタンスについては、Kspliceを実行する前にインストールする必要があります。 詳細については、「Oracle Kspliceのインストールと実行」を参照してください。

ノート

Kspliceのサポート

Oracle Kspliceは、CentOSおよびUbuntuイメージ、または2017年2月15日前に起動されたLinuxイメージではサポートされていません。

インスタンス起動時の自動パッケージ更新の構成

クラウド内起動スクリプトを使用してインスタンスを最初に起動したときに、最新のパッケージ・バージョンが自動的に更新されるようにインスタンスを構成できます。 これを行うには、起動スクリプトに次のコードを追加します:

package_upgrade: true

インスタンスが起動され、完了するまでバックグラウンドで実行されると、アップグレード・プロセスが開始されます。 正常に完了したことを確認するには、クラウドのログイン(/var/log)を確認します。

詳細については、「ユーザー・データ」「クラウド構成の例 - Aptまたはyumアップグレードの実行」を参照してください。

Linuxイメージの詳細

Oracle Linuxサポート・ポリシーの詳細は、「Lifetime Support Policy: Oracle LinuxおよびOracle VMのカバレッジ」を参照してください。

ユーザー

Oracle LinuxおよびCentOSイメージを使用して作成されたインスタンスの場合、ユーザー名opcが自動的に作成されます。 opcユーザーはsudo特権を持ち、RSAキーを使用してSSH v2プロトコル経由でリモート・アクセスするように構成されています。 インスタンスの作成時に指定するSSH公開キーは、/home/opc/.ssh/authorized_keysファイルに追加されます。

Ubuntuイメージを使用して作成されたインスタンスの場合、ユーザー名ubuntuが自動的に作成されます。 ubuntuユーザーはsudo特権を持ち、RSAキーを使用してSSH v2プロトコル経由でリモート・アクセスするように構成されています。 インスタンスの作成時に指定するSSH公開キーは、/home/ubuntu/.ssh/authorized_keysファイルに追加されます。

rootのログインは無効になっています。

リモート・アクセス

インスタンスへのアクセスは、SSH v2プロトコル上でのみ許可されます。 他のすべてのリモート・アクセス・サービスは無効になっています。

ファイアウォール・ルール

Oracle提供のイメージを使用して作成されたインスタンスには、SSHアクセスのみを許可するデフォルトのファイアウォール・ルールがあります。 インスタンス所有者は必要に応じてこれらのルールを変更できますが、このページの上部にある警告に従い、リンク・ローカル・トラフィックを169.254.0.2に制限することはできません。

「ネットワーキング」サービスは、「ネットワーク・セキュリティ・グループ」および「セキュリティ・リスト」を使用して、インスタンスとの間でパック・レベルのトラフィックを制御していることに注意してください。 インスタンスへのアクセスをトラブルシューティングするときに、次のアイテムがすべて正しく設定されていることを確認してください: インスタンスが属しているネットワーク・セキュリティ・グループ、インスタンス・サブネットに関連付けられているセキュリティ・リストおよびインスタンス・ファイアウォール・ルール。

Cloud-initの互換性

Oracleで提供されるイメージを使用して作成されるインスタンスは、クラウド内のイメージと互換性があります。 「コア・サービスAPI」でインスタンスを起動するときは、メタデータ・パラメータを指定してクラウド内のディレクティブを渡すことができます。 詳細は、LaunchInstanceを参照してください。

OCIユーティリティ

Oracle Linuxを使用して作成されるインスタンスには、Oracle Linuxイメージを操作しやすくするように設計された、事前インストールされた一連のユーティリティが含まれます。 これらのユーティリティは、サービス・コンポーネントおよび関連するコマンドライン・ツールで構成されます。

次の表に、OCIユーティリティに含まれているコンポーネントをまとめます。

名前 説明
ocid Oci-tilsのサービス・コンポーネント。 これは通常、systemd経由で起動されたデーモンとして実行されます。 このサービスでは、iSCSIおよびVNICデバイス構成内の変更がスキャンされ、インスタンスのOCIメタデータとパブリックIPアドレスがキャッシュされます。
oci-iscsi-config コンピュート・インスタンスにアタッチされているiSCSIデバイスを表示および構成するために使用されます。 コマンド・ライン・オプションが指定されていない場合は、注意が必要なデバイスをリストします。
oci-metadata コンピュート・インスタンスのメタデータを表示します。 コマンド・ライン・オプションを指定しない場合、使用可能なすべてのメタデータがリストされます。 メタデータには、インスタンスOCID、表示名、コンパートメント、シェイプ、リージョン、可用性ドメイン、作成日、状態、イメージ、およびSSH公開キーなどの指定したカスタム・メタデータが含まれます。
oci-network-config コンピュート・インスタンスにアタッチされている仮想ネットワーク・インタフェース・カード(VNIC)をリストまたは構成します。 クラウドでプロビジョニングされ、インスタンスで構成されている現在の仮想ネットワーク・インタフェース・カード(VNIC)をリストします。 セカンダリVNICをクラウド内でプロビジョニングする場合は、このスクリプトまたは類似のコマンドを使用してインスタンス上で明示的に構成する必要があります。
oci-public-ip 現在のシステムのパブリックIPアドレスを判読可能またはJSON形式で表示します。

詳細は、「OCIユーティリティ」のリファレンスを参照してください。

WindowsイメージのためのWindows OSの更新

Windowsイメージには、Microsoftから最新のWindowsアップデートを入手するために実行できるWindows Updateユーティリティが含まれています。 インスタンスがWindows更新サーバーにアクセスできるようにするには、インスタンス・サブネットで使用するインスタンス「ネットワーク・セキュリティ・グループ」または「セキュリティ・リスト」を構成する必要があります。

Windowsイメージの詳細

ユーザー

Oracle提供のWindowsイメージを使用して作成されたインスタンスの場合、ユーザー名opcが自動的に作成されます。 Windowsイメージを使用してインスタンスを起動すると、Oracle Cloud InfrastructureはコンソールまたはAPIを使用して取得できる初期のワンタイム・パスワードを生成します。 このパスワードは、最初にログオンした後に変更する必要があります。

リモート・アクセス

インスタンスへのアクセスは、リモート・デスクトップ接続を介してのみ許可されます。

ファイアウォール・ルール

Windowsイメージを使用して作成されたインスタンスには、リモート・デスクトップ・プロトコルまたはポート3389でのRDPアクセスを許可するファイアウォール・ルールのデフォルトのセットがあります。 インスタンス所有者は必要に応じてこれらのルールを変更できますが、Microsoft Key Management Service (KMS)でインスタンスをアクティブにするには、リンク・ローカル・トラフィックを169.254.169.253に制限しないでください。 これは、インスタンスがアクティブなままでライセンスを取得する方法です。

「ネットワーキング」サービスは、「ネットワーク・セキュリティ・グループ」および「セキュリティ・リスト」を使用して、インスタンスとの間でパック・レベルのトラフィックを制御していることに注意してください。 インスタンスへのアクセスをトラブルシューティングするときに、次のアイテムがすべて正しく設定されていることを確認してください: インスタンスが属しているネットワーク・セキュリティ・グループ、インスタンス・サブネットに関連付けられているセキュリティ・リストおよびインスタンス・ファイアウォール・ルール。

Windowsイメージのユーザー・データ

Windowsイメージでは、カスタム・ユーザー・データ・スクリプトは、Linuxベースのイメージではcloud-initに相当するcloudbase-initを使用して実行されます。 Oracle Cloud Infrastructure上のOracle提供のWindowsイメージには、デフォルトでインストールされたcloudbase-initが含まれています。 インスタンスが起動すると、cloudbase-initはPowerShell、バッチ・スクリプト、または追加のユーザー・データ・コンテンツを実行します。 サポートされるコンテンツ・タイプについては、cloudbase-init Userdataを参照してください。

ユーザー・データ・スクリプトを使用して、次のようなさまざまなタスクを実行できます:

  • GPUサポートを有効にして、カスタム・スクリプトを使用して、該当するGPUドライバをインストールします。

  • ローカル・ユーザー・アカウントを追加または更新します。

  • インスタンスをドメイン・コントローラに参加させます。

  • 証明書を証明書ストアにインストールします。

  • 必要なアプリケーション・ワークロード・ファイルをオブジェクト・ストレージ・サービスからインスタンスに直接コピーします。

警告

再起動をトリガーする可能性があるスクリプトに何も含めないでください。これはインスタンスの起動に影響を及ぼし、それが失敗する原因となります。
再起動が必要なアクションは、インスタンスの状態がRUNNINGのときにのみ実行してください。

Windowsリモート管理

「Windowsリモート管理」 (WinRM)は、Oracle提供のWindowsイメージではデフォルトで有効になっています。 WinRMは、オペレーティング・システムをリモート管理する機能を提供します。

WinRMを使用するには、宛先ポート5986でTCPトラフィック用のステートフル・イングレス「セキュリティ・ルール」を追加する必要があります。 このセキュリティ・ルールは、インスタンスが属する「ネットワーク・セキュリティ・グループ」またはインスタンス・サブネットによって使用される「セキュリティ・リスト」のいずれかに実装できます。

警告

次の手順では、0.0.0.0/0からのWinRM接続が許可されます。これは、パブリックIPアドレスを含む任意のIPアドレスを意味します。
VCN内のインスタンスからのアクセスのみを許可するには、ソースCIDR値をVCN CIDRブロックに変更します。 詳細は、「セキュリティの推奨事項」を参照してください。

WinRMアクセスを有効にするには
インスタンスでWinRMを使用するには