Oracle Cloud Infrastructureドキュメント

インターネット・ゲートウェイ

このトピックでは、VCNインターネット・アクセスを付与するインターネット・ゲートウェイを設定および管理する方法を説明します。

ヒント

Oracleは、「NATゲートウェイ」も提供します。これは、インターネットからのイングレス接続が必要がないVCNでのサブネットに推奨します。

ハイライト

  • インターネット・ゲートウェイは、VCNに追加してインターネットに直接接続できるオプションの仮想ルーターです。
  • ゲートウェイは、VCN (エグレス)内から開始された接続およびインターネット(イングレス)から開始された接続をサポートしています。
  • インターネット・アクセスにゲートウェイを使用する必要があるリソースは、「パブリック・サブネット」内に存在し、「パブリックIPアドレス」を持っている必要があります。 代わりにプライベートIPアドレスを持つリソースは、「NATゲートウェイ」を使用してインターネットへの接続を開始できます。
  • インターネット・ゲートウェイを使用する必要のある各パブリック・サブネットには、ターゲットとしてゲートウェイを指定する「ルート表ルール」が必要です。
  • 「セキュリティ・ルール」を使用して、そのサブネット内のリソースの内外で許可されるトラフィックのタイプを制御します。 必要なタイプのインターネット・トラフィックのみを許可してください。
  • インターネット・ゲートウェイは、ゲートウェイVCNのリソースによってのみ使用できます。 接続されているオンプレミス・ネットワークまたは「ピアのVCN」内のホストは、そのインターネット・ゲートウェイを使用できません。

インターネット・ゲートウェイの概要

続行する前に、読み取り「インターネットへのアクセス」を保持し、サブネット内のリソースに「セキュリティ・ルール」を設定する方法も理解していることを確認します。

インターネットを使用してVCNの端を接続する、オプションの仮想ルーターとしてのインターネット・ゲートウェイ。 ゲートウェイを使用するには、接続の両端のホストにルーティング用のパブリックIPアドレスが必要です。 VCNで発生しており、パブリックIPアドレス(VCNの内側または外側)のために使用される接続は、インターネット・ゲートウェイを経由します。 VCN外部で発生しており、VCN内のパブリックIPアドレスのために使用される接続は、インターネット・ゲートウェイを経由します。

指定したVCNには、インターネット・ゲートウェイを1つのみ含めることができます。 VCN内のどのパブリック・サブネットでゲートウェイを使用できるかは、関連付けられているサブネット表を構成することで制御します。 セキュリティ・ルールを使用して、それらのパブリック・サブネット内のリソースおよびリソース外で許可されるトラフィックのタイプを制御します。

次の図は、2つの公開サブネットを持つ単純なVCN設定を示しています。 VCNにはインターネット・ゲートウェイがあり、2つのパブリック・サブネットは両方ともVCNのデフォルト・ルート表を使用するように構成されています。 この表には、すべてのエグレス・トラフィックをサブネットからインターネット・ゲートウェイに送信するルート・ルールがあります。 ゲートウェイを使用すると、VCN内のリソースのパブリックIPアドレスと同じ宛先IPアドレスを持つインターネットからのイングレス接続をすべて許可できます。 ただし、パブリック・サブネット・セキュリティ・リストのルールは、サブネット内のリソースで許可されるトラフィックの特定の「タイプ」を最終的に決定します。 これらの特定のセキュリティ・ルールは、ダイアグラムには表示されません。

このイメージは、インターネット・ゲートウェイを使用する2つの公開サブネットを持つVCNの単純なレイアウトを示しています。

ヒント

インターネット・ゲートウェイがOracle Cloud Infrastructureの一部であるパブリックIPアドレス(オブジェクト・ストレージなど)のために宛先となるトラフィックをVCNから受信すると、インターネット経由でトラフィックを送信せずに、インターネット・ゲートウェイはトラフィックを宛先にルーティングします。

インターネット・ゲートウェイでの作業

特定のVCNのコンテキストでインターネット・ゲートウェイを作成します。 つまり、インターネット・ゲートウェイはVCNに自動的にアタッチされます。 ただし、いつでもインターネット・ゲートウェイを無効にして再度有効にすることができます。 これを、スタンドアロン・オブジェクトとして作成する「ダイナミック・ルーティング・ゲートウェイ」 (DRG)と比較して、attachを特定のVCNと比較します。 DRGは、VCNをオンプレミス・ネットワークに非公開で接続するためのモジュール・ビルド・ブロックであることを目的としているため、別のモデルを使用します。

サブネットとインターネット・ゲートウェイ間のトラフィックをフローするためには、それに応じてサブネット・ルート表にルート・ルールを作成する必要があります(たとえば、宛先CIDR = 0.0.0.0/0およびtarget = Internet gateway)。 インターネット・ゲートウェイが無効な場合、そのトラフィックを有効にするルート・ルールが存在しても、インターネット間でトラフィックが流れないことを意味します。 詳細は、「ルート表」を参照してください。

アクセス制御の目的で、インターネット・ゲートウェイを配置するコンパートメントを指定する必要があります。 使用するコンパートメントが不明な場合は、インターネット・ゲートウェイをクラウド・ネットワークと同じコンパートメントに配置します。 詳細は、「アクセス制御」を参照してください。

必要に応じて、インターネット・ゲートウェイにわかりやすい名前を割り当てることができます。 ユニークである必要はなく、後で変更することもできます。 Oracleは、自動的にインターネット・ゲートウェイに、Oracle Cloud ID (OCID)と呼ばれる一意の識別子を割り当てます。 詳細は、「リソース識別子」を参照してください。

インターネット・ゲートウェイを削除するには、無効にする必要はありませんが、ターゲットとしてリストするルート表は存在してはいけません。

コンソールを使用した場合

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

インターネット・ゲートウェイを設定するには
インターネット・ゲートウェイを無効/有効にするには
インターネット・ゲートウェイを削除するには
インターネット・ゲートウェイのタグを管理するには
インターネット・ゲートウェイを別のコンパートメントに移動するには

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

インターネット・ゲートウェイを管理するには、次の操作を使用します: