Oracle Cloud Infrastructureドキュメント

ネットワーキングの概要

Oracle Cloud Infrastructureを使用する場合、最初のステップの1つは、クラウド・リソース用の仮想クラウド・ネットワーク(VCN)を設定することです。 このトピックでは、Oracle Cloud Infrastructure Networkingコンポーネントの概要と、VCNを使用するための一般的なシナリオを示します。

ネットワーキング・コンポーネント

ネットワーキング・サービスは、すでによく知っているかもしれない従来のネットワーク・コンポーネントの仮想バージョンを使用します:

仮想クラウド・ネットワーク(vcn)
仮想、つまり、Oracleデータセンター内で設定したプライベート・ネットワーク。 これは、ファイアウォール・ルールおよび使用するよう選択できる特定のタイプの通信ゲートウェイを使用した、従来のネットワークと似ています。 VCNは単一のOracle Cloud Infrastructureリージョンに存在し、任意の単一の連続したIPv4 CIDRブロックをカバーします。 「許容されるVCNのサイズとアドレス範囲」を参照してください。 「仮想クラウド・ネットワーク」「VCN、クラウド・ネットワーク」という用語は、このマニュアルでは同じ意味で使用されています。 詳細については、「VCNとサブネット」を参照してください。
サブネット

SubDivisionはVCNで定義します(例: 10.0.0.0/24、10.0.1.0/24)。 サブネットには、インスタンスにアタッチする仮想ネットワーク・インタフェース・カード(VNIC)が含まれています。 各サブネットは、VCN内の他のサブネットと重ならないIPアドレスの連続した範囲で構成されます。 サブネットが単一の可用性ドメインまたはリージョン全体に存在するように指定できます(リージョンのサブネットが推奨されます)。 サブネットは、VCN内の構成単位として機能: 特定のサブネット内のすべてのVNICは、同じルート表、セキュリティ・リスト、およびDHCPオプションを使用します(以下の定義を参照)。 サブネットは、作成時にパブリックまたはプライベートとして指定できます。 プライベートは、サブネット内のVNICがパブリックIPアドレスを持つことができないことを意味します。 パブリックは、サブネット内のVNICに、自由にパブリックIPアドレスを指定できることを意味します。 参照。「インターネットへのアクセス」

vnic
仮想ネットワーク・インタフェース・カード(VNIC)。は、インスタンスにアタッチし、サブネットVCNへのアタッチを有効にするためにサブネットに存在します。 VNICは、インスタンスがVCNの内外のエンドポイントとどのように接続するかを決定します。 各インスタンスには、インスタンスの起動時に作成されるプライマリVNICがあり、削除することはできません。 セカンダリVNICを既存のインスタンス(プライマリVNICと同じ「可用性ドメイン」内)に追加して、必要に応じて削除できます。 各セカンダリVNICは、プライマリVNICと同じVCN内のサブネット内、または同じVCNまたは異なるサブネット内にある可能性があります。 ただし、VNICはすべてインスタンスと同じ「可用性ドメイン」内にある必要があります。 詳細は、「バーチャル・ネットワーク・インタフェース・カード(VNIC)」を参照してください。
プライベートIP
プライベートIPアドレスと、インスタンスのアドレス指定に関する関連情報(たとえば、DNSのホスト名)。 各VNICにプライマリ・プライベートIPがあり、セカンダリ・プライベートIPを追加および削除できます。 インスタンスのプライマリ・プライベートIPアドレスは、インスタンスの存続期間中は変更されず、インスタンスから削除できません。 詳細は、「プライベートIPアドレス」を参照してください。
パブリックIP
パブリックIPアドレスおよび関連情報。 オプションで、インスタンスまたはプライベートIPを持つ他のリソースにパブリックIPを割り当てることができます。 パブリックIPは、ephemeralまたはreservedのいずれかです。 詳細は、「パブリックIPアドレス」を参照してください。
動的ルーティング・ゲートウェイ(drg)
オプションの仮想ルーターで、VCNに追加できます。 これは、VCNとオンプレミス・ネットワーク間のprivatenetworkトラフィックのパスを提供します。 そのコンポーネントは、別のネットワーキング・コンポーネントやオンプレミス・ネットワークのルーターとともに使用して、IPSec VPNまたはOracle Cloud Infrastructure FastConnectを介して接続を確立できます。 また、VCNと別のリージョンの別のVCNとの間のプライベート・ネットワーク・トラフィックのパスを提供することもできます。 詳細は、「オンプレミス・ネットワークへのアクセス」「動的ルーティング・ゲートウェイ(DRG)」および「リモートVCNピアリング(リージョン間)」を参照してください。
インターネット・ゲートウェイ
別のオプションの仮想ルーターで、インターネットに直接アクセスするためにVCNに追加できます。 詳細は、「インターネットへのアクセス」および「シナリオA: パブリック・サブネット」も参照してください。
ネットワーク・アドレス変換(nat)ゲートウェイ
他方のオプションの仮想ルーター。VCNに追加できます。 これにより、受信インターネット接続に公開せずに、インターネットへのパブリックIPアドレスを持たないクラウド・リソースにアクセスできるようになります。 詳細は、「インターネットへのアクセス」および「NATゲートウェイ」も参照してください。
サービス・ゲートウェイ
他方のオプションの仮想ルーター。VCNに追加できます。 これは、VCNとOracle Services Networkでサポートされているサービスの間 (例: Oracle Cloud Infrastructure オブジェクト・ストレージAutonomous Database) のprivateネットワーク・トラフィックのパスを提供します。 たとえば、VCNのプライベート・サブネットにあるDBシステムは、パブリックIPアドレスやインターネットへのアクセスを必要とせずに、オブジェクト・ストレージにデータをバックアップできます。 詳細は、「Oracle Servicesへのアクセス: サービス・ゲートウェイ」を参照してください。
ローカル・ピアリング・ゲートウェイ(lpg)
他方のオプションの仮想ルーター。VCNに追加できます。 同じリージョンに別のVCNを持つ別のVCNを持つピアを指定できます。 「ピアリング」は、専用IPアドレスを使用してVCNと通信しますが、インターネットを経由したり、オンプレミス・ネットワークを介してルーティングしたりするトラフィックはありません。 指定したVCNは、確立する各ピアリングに対して個別のLPGを持つ必要があります。 詳細は、「ローカルVCNピアリング(リージョン内)」を参照してください。
リモート・ピアリング接続 (rpc)
DRGに追加できるコンポーネント。 これにより、「異なる」リージョンに別のVCNがあるVCNとピアであることが可能になります。 詳細は、「リモートVCNピアリング(リージョン間)」を参照してください。
ルート表
VCNの仮想ルート表。 ゲートウェイまたは特別に構成されたインスタンスを介して、サブネットからVCN外部の宛先にトラフィックをルーティングするルールがあります。 VCNには空のデフォルト・ルート表が付属しており、独自のカスタム・ルート表を追加できます。 詳細は、「ルート表」を参照してください。
セキュリティ・リスト
VCNの仮想ファイアウォール・ルール。 セキュリティ・リストには、インスタンスに対して許可されるトラフィック(プロトコルおよびポート)のタイプを指定する、イングレスおよびエグレス・ルールがあります。 指定したルールがステートフルかステートレスかを選択できます。 たとえば、ソースCIDR 0.0.0.0/0および宛先TCPポート22を持つステートフルなイングレス・ルールを設定することによって、受信SSHトラフィックを任意の場所からサブネット・インスタンスに許可できます。 VCNにはデフォルト・ルールのセキュリティ・リストが付属しており、自分のカスタム・セキュリティ・リストを追加できます。 詳細は、「セキュリティ・リスト」を参照してください。
dhcpオプション
起動時に自動的にインスタンスに提供される構成情報。 詳細は、「DHCPオプション」を参照してください。

許容されるVCNのサイズとアドレス範囲

VCNは、選択した単一の連続したIPv4 CIDRブロックをカバーします。 使用可能なVCNサイズの範囲は、/16〜/30です。 例: 10.0.0.0/16. ネットワーキング・サービスは、最初の2つのIPアドレスと各サブネットCIDRの最後のIPアドレスを予約します。 VCNまたはサブネットを作成したら、そのサイズを変更することはできません。そのため、作成する前に必要なVCNとサブネットのサイズを考えることが重要です。

VCNについては、RFC 1918 (10.0.0.0/8、172.16/12、および192.168/16)で指定されたプライベートIPアドレス範囲のいずれかを使用することをお薦めします。 ただし、公開されるルーティング可能な範囲を使用できます。 それにかかわらず、このドキュメントでは、VCN CIDRのIPアドレスを参照するときに用語「プライベートIPアドレス」を使用しています。

VCN CIDRは、オンプレミス・ネットワークまたは「仲間にいる別のVCN」と重複してはいけません。 特定のVCN内のサブネットは、互いに重複してはいけません。 参考までに、ここには「CIDR計算機」があります。

「可用性ドメイン」およびVCN

あなたのVCNは単一のOracle Cloud Infrastructureリージョンにあります。 リージョンは、分離と冗長性を実現するために複数の「可用性ドメイン」を持つことができます。 詳細は、「リージョンと可用性ドメイン」を参照してください。

元のサブネットは、リージョンで「可用性ドメイン」 (AD)を1つだけカバーするように設計されていました。 これらはすべてAD-specificでした。つまり、特定の「可用性ドメイン」に存在する必要のあるサブネット・リソースが指定されていました。 サブネットは、AD固有にすることも、regionalにすることもできます。 サブネットの作成時にタイプを選択します。 両方のタイプのサブネットが同じVCNに共存できます。 次の図では、サブネット1-3はAD固有で、サブネット4はリージョンです。

このイメージは、リージョンのサブネットおよび3つのAD固有サブネットを持つVCNを示しています。

AD制約の削除以外に、リージョンのサブネットはAD固有のサブネットと同様に動作します。 より柔軟性が高いので、Oracleは、リージョンのサブネットの使用をお勧めします これらは、「可用性ドメイン」障害を設計しながら、VCNをサブネットに効率的に分割する方が簡単です。

コンピュート・インスタンスなどのリソースを作成する場合、リソースが存在する「可用性ドメイン」を選択します。 仮想ネットワーク・ワーク・ポイントから、VCNおよびインスタンスが属するサブネットも選択する必要があります。 リージョンのサブネットを選択するか、インスタンスに対して選択したADに一致するAD固有のサブネットを選択できます。

VCNに付属のデフォルト・コンポーネント

VCNは、次のdefaultコンポーネントに自動的に付加されます。

これらのデフォルト・コンポーネントは削除できません。 ただし、そのコンテンツを変更できます(たとえば、デフォルトのセキュリティ・リスト内のルール)。 また、VCNにコンポーネントの種類ごとに独自のカスタム・バージョンを作成できます。 作成できるルールの数とルールの最大数に制限があります。 詳細は、「サービス制限」を参照してください。

各サブネットには、常に次のコンポーネントが関連付けられます。

  • 1つのルート表
  • 1つ以上のセキュリティ・リスト(最大数は、「サービス制限」を参照)
  • DHCPオプションの1セット

サブネットの作成中に、サブネットが使用するルート表、セキュリティ・リスト、およびDHCPオプションのセットを選択できます。 特定のコンポーネントを指定しない場合、サブネットは自動的にVCNデフォルト・コンポーネントを使用します。 「サブネットが使用するコンポーネントの変更」はいつでも利用できます。

接続性の選択肢

サブネットがパブリックかプライベートか、およびインスタンスがパブリックIPアドレスを取得するかどうかを制御できます。 VCNを設定して、必要に応じてインターネットにアクセスできます。 非公開でVCNをオブジェクト・ストレージなどのパブリックOracle Cloud Infrastructureサービス、オンプレミス・ネットワーク、または別のVCNに接続することもできます。

パブリックとプライベートのサブネット

サブネットを作成すると、デフォルトではパブリックとみなされます。つまり、そのサブネット内のインスタンスはパブリックIPアドレスを持つことができます。 誰でもインスタンスを起動すると、パブリックIPアドレスを持つかどうかを選択します。 サブネットの作成時にその動作を無効にしてプライベートであることをリクエストすることができます。つまり、サブネットで起動されたインスタンスはパブリックIPアドレスを持つことができません。 したがって、ネットワーク管理者は、VCNに動作中のインターネット・ゲートウェイがあり、セキュリティ・リストとファイアウォール・ルールによってトラフィックが許可されている場合でも、サブネット内のインスタンスにインターネット・アクセスがないことを保証できます。

IPアドレスの割り当て方法

各インスタンスには、インスタンスの起動時に作成されるプライマリVNICがあり、削除することはできません。 「セカンダリVNIC」を既存のインスタンス(プライマリVNICと同じ「可用性ドメイン」内)に追加して、好きなだけ削除することができます。

すべてのVNICには、関連するサブネットCIDRからのプライベートIPアドレスがあります。 特定のIPアドレス(インスタンスの起動時またはセカンダリVNICの作成時)を選択することも、Oracleが選択することもできます。 プライベートIPアドレスは、インスタンスの存続期間中は変更されず、削除できません。 「セカンダリ・プライベートIP」をVNICに追加することもできます。

VNICがパブリック・サブネット内にある場合、そのVNIC上の各プライベートIPは、裁量で割り当てられた「パブリックIP」を持つことができます。 Oracleは特定のIPアドレスを選択します。 パブリックIPには2つのタイプがあります: ephemeralおよびreserved エフェメラル・パブリックIPは、割り当てられているプライベートIPの存続期間中にのみ存在します。 対照的に、望む限り、予約済みの公開IPは存在します。 予約されたパブリックIPのプールを維持し、裁量でインスタンスに割り当てます。 必要に応じてリージョン内のリソースからリソースに移動できます。

インターネットへのアクセス

必要なインターネット・アクセスのタイプに応じて、VCNに追加できるオプションのゲートウェイ(仮想ルーター)が2つあります。

  • インターネット・ゲートウェイ: インターネットから到達する必要があるパブリックIPアドレスを持つリソースの場合(例: webサーバー)またはインターネットへの接続を開始する必要があります。
  • NATゲートウェイ: インターネットへの接続を開始する必要があるパブリックIPアドレスを持たないリソースの場合 (例: ソフトウェア更新の場合) でも、インターネットからのインバウンド接続から保護する必要があります。

インターネット・ゲートウェイのみを使用しても、VCNサブネット内のインスタンスはインターネットに直接公開されません。 次の要件も満たす必要があります。

ヒント

インターネット経由でトラフィックを発生させずに、VCNからオブジェクト・ストレージなどのパブリック・サービスにアクセスするには、「サービス・ゲートウェイ」を使用します。

また、インターネット・ゲートウェイがパブリックIPアドレス「それはOracle Cloud Infrastructureの一部です」 (オブジェクト・ストレージなど)宛てのVCNからトラフィックを受信すると、インターネット・ゲートウェイはインターネット経由でトラフィックを送信せずに宛先にトラフィックをルーティングすることに注意してください。

オンプレミス・ネットワークでインターネット・プロキシを設定し、このネットワークをDRG経由でVCNに接続することによって、サブネット「間接」アクセスをインターネットに付与することもできます。 詳細は、「オンプレミス・ネットワークへのアクセス」を参照してください。

パブリックOracle Cloud Infrastructureサービスへのアクセス

VCNでサービス・ゲートウェイを使用すると、オブジェクト・ストレージなどのパブリックOracle Cloud Infrastructureサービスへのプライベート・アクセスを有効にできます。 たとえば、VCNのプライベート・サブネットにあるDBシステムは、パブリックIPアドレスやインターネットへのアクセスを必要とせずに、オブジェクト・ストレージにデータをバックアップできます。 インターネット・ゲートウェイやNATは必要ありません。 詳細は、「Oracle Servicesへのアクセス: サービス・ゲートウェイ」を参照してください。

オンプレミス・ネットワークへのアクセス

オンプレミス・ネットワークをOracle Cloud Infrastructureに接続するには、次の2つの方法があります:

  • VPN接続: DRGを作成してVCNにアタッチすることで、既存のネットワーク・エッジとVCNの間にある複数のIPSecトンネルを提供します。
  • Oracle Cloud Infrastructure FastConnect: 既存のネットワーク・エッジとOracle Cloud Infrastructure間のプライベート接続を提供します。 トラフィックはインターネットを通過しません。 プライベート・ピアリングとパブリック・ピアリングの両方がサポートされています。 つまり、オンプレミス・ホストは、VCNのプライベートIPv4アドレスおよびOracle Cloud InfrastructureのリージョンのパブリックIPv4アドレス(たとえば、オブジェクト・ストレージ、またはVCNのパブリック「ロード・バランサ」)にアクセスできます。

上記の接続の1つまたは両方のタイプを使用できます。 両方を使用する場合は、それらを同時に、または冗長な構成で使用できます。 これらの接続は、作成しVCNにアタッチする単一DRGを介してVCNに接続されます。 DRGのアタッチおよびDRGのルート・ルールがない場合、トラフィックはVCNとオンプレミス・ネットワーク間をフローしません。 いつでも、VCNからDRGをデタッチできますが、接続のrestを構成する残りのコンポーネントはすべて維持されます。 その後、DRGを再アタッチしたり、別のVCNにアタッチしたりすることができます。

別のVCNへのアクセス

VCNを、インターネットを通過するトラフィックを必要としないプライベート接続を介して別のVCNに接続することができます。 一般に、このタイプの接続は「VCNピアリング」と呼ばれます。 ピアリングを有効にするには、各VCNに特定のコンポーネントが必要です。 VCNには、特定のIAMポリシー、ルート・ルール、および接続の確立を許可するセキュリティ・リストと、必要なネットワーク・トラフィックが接続上を流れるようにする必要もあります。 詳細は、「他のVCNへのアクセス: ピアリング」を参照してください。

Oracle Cloud Infrastructure Classicへの接続

Oracle Cloud Infrastructure環境とOracle Cloud Infrastructure Classic環境間の接続を設定できます。 この接続により、2つの環境間のハイブリッド・デプロイメントや、Oracle Cloud Infrastructure ClassicからOracle Cloud Infrastructureへの移行が容易になります。 詳細は、「Oracle Cloud Infrastructure Classicへのアクセス」を参照してください。

Microsoft Azureへの接続

OracleおよびMicrosoftでは、特定のリージョンでOracle Cloud InfrastructureとMicrosoft Azureの間にクロスクラウド接続が作成されています。 この接続により、インターネットを経由したクラウド間のトラフィックを発生させずに、クロスクラウド・ワークロードを設定できます。 詳細は、「Microsoft Azureへのアクセス」を参照してください。

Libreswanによる他のクラウドへの接続

顧客構内機器 (CPE)としてLibreswan VMを使用するIPSec VPNを使用して、VCNを別のクラウド・プロバイダに接続できます。 詳細については、「Libreswanによる他のクラウドへのアクセス」を参照してください。

ネットワーキング・シナリオ

このドキュメントには、ネットワーキング・サービスを理解するのに役立ついくつかの基本的なネットワーク・シナリオと、一般にコンポーネントの連携について説明します。 次のトピックを参照してください。

また、1つのOracle Cloud Infrastructure FastConnectまたはIPSec VPN上のオンプレミス・ネットワークと複数のVCN間の通信を可能にする高度なシナリオもあります。 詳細は、「拡張シナリオ: 転送ルーティング」を参照してください。

リージョンと可用性ドメイン

あなたのVCNは単一のOracle Cloud Infrastructureリージョンにあります。 各サブネットは1つの「可用性ドメイン」 (AD)内にあります。 「可用性ドメイン」は、前のシナリオBおよびCで説明したように、VCNに分離と冗長性を提供するように設計されています。 たとえば、サブネットのプライマリ・セットを1つのADに設定し、セカンダリADにサブネットの重複セットを設定することができます。 2つのADはOracleデータセンターで互いに分離されているため、いずれかが失敗した場合は、もう一方のADに簡単に切り替えることができます。 詳細は、「リージョンと可用性ドメイン」を参照してください。

パブリックIPアドレス範囲

ホワイトリストに記載するOracle Cloud InfrastructureパブリックIP範囲のリストについては、「IPアドレス範囲」を参照してください。

オラクルが使用するために予約されているIPアドレス

特定のIPアドレスはOracle Cloud Infrastructure使用のために予約されており、アドレス番号付けスキームで使用されない可能性があります。

169.254.0.0/16

これらのアドレスは、ブート・ボリュームとブロック・ボリューム、インスタンス・メタデータ、およびその他のサービスへのiSCSI接続に使用されます。

各サブネットに3つのIPアドレス

これらのアドレスは、次のもので構成されます:

  • CIDRの最初のIPアドレス(ネットワーク・アドレス)
  • CIDRの最後のIPアドレス(ブロードキャスト・アドレス)
  • CIDRの最初のホスト・アドレス(サブネットのデフォルト・ゲートウェイ・アドレス)

たとえば、CIDR 192.168.0.0/24というサブネットでは、これらのアドレスは予約されます:

  • 192.168.0.0 (ネットワーク・アドレス)
  • 192.168.0.255 (ブロードキャスト・アドレス)
  • 192.168.0.1 (サブネットのデフォルトのゲートウェイ・アドレス)

CIDRに含まれている残りのアドレス(192.168、0.2、192.168.0.254)が使用可能です。

リソース識別子

ほとんどのタイプのOracle Cloud Infrastructureリソースには、Oracle Cloud ID (OCID)という名前の一意のOracle割当て識別子があります。 OCID形式およびリソースを識別するその他の方法については、「リソース識別子」を参照してください。

Oracle Cloud Infrastructureにアクセスする方法

コンソール (ブラウザベースのインタフェース)またはREST APIを使用して、Oracle Cloud Infrastructureにアクセスできます。 コンソールおよびAPIの手順は、このガイドのトピックに含まれています。 使用可能なSDKのリストについては、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

コンソールにアクセスするには、「サポートされているブラウザ」を使用する必要があります。 このページの上部にあるコンソール・リンクを使用して、サインイン・ページにアクセスできます。 クラウド・テナント、ユーザー名、およびパスワードを入力するよう求められます。

APIの使用に関する一般的な情報は、REST APIを参照してください。

認証と認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。

組織の管理者は、どのユーザーがどのサービス、どのリソースおよびアクセスのタイプにアクセスできるかを制御するグループ、コンパートメントおよびポリシーを設定する必要があります。 たとえば、ポリシーは、新しいユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、「ポリシーの開始」を参照してください。 異なる各サービスに対するポリシーの記述の詳細は、「ポリシー・リファレンス」を参照してください。

会社が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、管理者に連絡してユーザーIDを設定してください。 管理者は、使用する必要があるコンパートメントを確認できます。

ネットワーキング・コンポーネントの制限

適用可能な制限の一覧と制限の増加をリクエストする手順については、「サービス制限」を参照してください。