Oracle Cloud Infrastructureドキュメント

その他へのアクセスVCN : ピアリング

VCNピアリングは、複数の仮想クラウド・ネットワーク(VCN)への接続するプロセスです。 VCNピアリングには2つのタイプがあります:

VCNピアリングを使用して、ネットワークを複数のVCN (部門や事業ラインなど)に分割することができます。それぞれのVCNは他のVCNに直接アクセスします。 IPSec VPNまたはFastConnect経由で、トラフィックがインターネットを経由して、またはオンプレミス・ネットワークを経由する場合は不要です。 他のすべてのVCNがプライベートにアクセスできる単一のVCNに共有リソースを配置することもできます。

リモートVCNピアリングはリージョンを横断するため、リージョンを使用してリージョンを別のリージョンにミラーリングまたはバックアップすることができます。

ピアリングの重要な含意

このセクションでは、ピアリング済VCNのアクセス制御、セキュリティ、およびパフォーマンスへの影響を要約します。 一般に、IAMポリシー、各VCNのルート表、および各VCNのセキュリティ・リストを使用して、2つのピアされたVCN間のアクセスとトラフィックを制御できます。

ピアリングの確立の制御

IAMポリシーを使用すると、以下を制御できます:

接続上のトラフィック・フローの制御

VCNと他のピア間でピアリング接続が確立されている場合でも、VCNのルート表との接続でパケット・フローを制御できます。 たとえば、トラフィックを他のVCN内の特定のサブネットだけに制限できます。

ピアリングを終了することなく、トラフィックをVCNから他のVCNに転送するルート・ルールを削除するだけで、他のVCNへのトラフィック・フローを停止できます。 また、他のVCNとのイングレス・トラフィックまたはエグレス・トラフィックを有効にするセキュリティ・リスト・ルールを削除することで、トラフィックを効果的に停止することもできます。 これにより、ピアリング接続上を流れるトラフィックは停止しませんが、VNICレベルで停止します。

ルーティングとセキュリティ・リストの詳細については、以下のセクションの説明を参照してください:

ローカルVCNピアリング:

リモートVCNピアリング:

許可される特定のトラフィック・タイプの制御

各VCN管理者は、他のVCNとのすべての発信トラフィックとインバウンド・トラフィックが意図され、予期され、よく定義されていることを確認することが重要です。 実際には、VCNが相手に送信し、相手から受け入れるトラフィックのタイプを明示的に示すセキュリティ・リスト・ルールを実装することを意味します。

重要

Oracleが提供するLinuxイメージまたはWindowsイメージを実行しているインスタンスにも、インスタンスへのアクセスを制御するOSファイアウォール・ルールがあります。 インスタンスへのアクセスをトラブルシューティングするときに、次のアイテムがすべて正しく設定されていることを確認します:

  • インスタンスが存在するネットワーク・セキュリティ・グループ内のルール
  • インスタンス・サブネットに関連付けられているセキュリティ・リスト内のルール
  • インスタンスのOSファイアウォール・ルール

詳細は、「Oracle提供のイメージ」を参照してください。

インスタンスがOracle Linux 7を実行している場合、firewalldを使用してiptablesルールと対話する必要があります。 参考までに、ポートを開くためのコマンドを以下に示します(この例では1521):

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

iSCSIブート・ボリュームを持つインスタンスでは、前述の--reloadコマンドは問題を引き起こすことがあります。 詳細および回避策については、「Firewall-cmd --reloadの実行後、インスタンスの経験システムがハングしました」を参照してください。

セキュリティ・リストやファイアウォールに加えて、VCN内のインスタンス上の他のOSベースの構成を評価する必要があります。 独自のVCN CIDRには適用されませんが、誤って他のVCN CIDRに適用されるデフォルト構成が存在する可能性があります。

デフォルトのセキュリティ・リスト・ルールの使用

VCNサブネットで「デフォルト・セキュリティ・リスト」をデフォルトのルールとともに使用する場合は、どこからでもイングレス・トラフィックを許可する2つのルール(つまり、0.0.0.0/0、したがって他のVCN)があることに注意してください:

  • 0.0.0.0/0からのTCPポート22 (SSH)トラフィックと任意のソース・ポートを許可するステートフルなイングレス・ルール
  • ICMPタイプ3、0.0.0.0/0からのコード4トラフィック、および任意のソース・ポートを許可するステートフルなイングレス・ルール

これらのルールを評価し、それらのルールを維持または更新するかどうかを確認してください。 前述のように、許可するすべてのインバウンド・トラフィックまたはアウトバウンド・トラフィックが、意図されているか、予期されており、明確に定義されていることを確認する必要があります。

パフォーマンスへの影響とセキュリティのリスクの準備

一般的には、他のVCNの影響を受ける可能性のあるVCNを準備する必要があります。 たとえば、VCNまたはそのインスタンスの負荷が増加する可能性があります。 あるいは、VCNが他のVCNからの直接的な悪意のある攻撃を受ける可能性があります。

パフォーマンスについて: VCNが別のVCNにサービスを提供している場合は、他のVCNの要求に対応するためにサービスをスケール・アップする準備をしてください。 これは、必要に応じて追加のインスタンスを起動する準備ができている可能性があります。 または、VCNに到達するネットワーク・トラフィックの高レベルが懸念される場合は、「ステートレス・セキュリティ・リストのルール」を使用して、VCNが実行する必要がある接続トラッキングのレベルを制限することを検討してください。 ステートレスなセキュリティ・リスト・ルールは、サービス拒否(DoS)攻撃の影響を緩和するのにも役立ちます。

セキュリティ上のリスク: 他のVCNがインターネットに接続されているかどうかは、必ずしも制御できません。 そうであれば、インターネット上の悪意のあるホストがVCNにトラフィックを送信することができますが、それがピアリングされているVCNから来ているように見えるように、VCNがバウンス攻撃にさらされる可能性があることに注意してください。 これを防ぐには、前述のように、セキュリティ・リストを使用して、他のVCNからのインバウンド・トラフィックを慎重に予期され、明確に定義されたトラフィックに制限します。