Oracle Cloud Infrastructureドキュメント

シナリオA : パブリック・サブネット

このトピックでは、仮想クラウド・ネットワーク(VCN)およびリージョンのパブリック・サブネットで構成されるシナリオAの設定方法について説明します。 個別の可用性ドメインに、冗長性のためのパブリック・サーバーが存在します。 VCNは、インターネット・ゲートウェイを介してインターネットに直接接続されます。 ゲートウェイはオンプレミス・ネットワークへの接続にも使用されます。 オンプレミス・ネットワークのリソースで、VCNのリソースと通信する必要がある場合は、パブリックIPアドレスとインターネットへのアクセス権が必要です。

サブネットは「デフォルト・セキュリティ・リスト」を使用します。この「デフォルト・セキュリティ・リスト」は、Oracle Cloud Infrastructureを使用して簡単に開始できるように設計されたデフォルトのルールを持ちます。 ルールを使用すると、標準的な必要なアクセス権(たとえば、インバウンドSSH接続や任意のタイプのアウトバウンド接続)が可能になります。 セキュリティ・リストのルールはallowトラフィックのみです。 セキュリティ・リスト・ルールによって明示的に設定されていないトラフィックはすべて暗黙的に拒否されます。

このシナリオでは、デフォルトのセキュリティ・リストにルールを追加します。 かわりに、これらのルールのカスタム・セキュリティ・リストを作成することもできます。 次に、デフォルトのセキュリティ・リストとカスタム・セキュリティ・リストの両方を使用するようにサブネットを設定します。

ヒント

セキュリティ・リストは、VCNリソースの内外でトラフィックを制御する1つの方法です。
「ネットワーク・セキュリティ・グループ」も使用できます。これにより、セキュリティ・ルールのセットを、セキュリティ情報がすべて同じリソース・セットに適用できます。

サブネットでは、VCNの作成時にルールなしで開始されるデフォルトのルート表が使用されます。 このシナリオでは、表にはインターネット・ゲートウェイ用のルールが1つのみ含まれます。

次の図を参照してください。

このイメージは、シナリオA: リージョンのパブリック・サブネットおよびインターネット・ゲートウェイを持つVCN。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者が作成するポリシーで、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどちらを使用しているかにかかわらず、必要なタイプのアクセスを付与する必要があります。 アクションを実行しようとしたときに、権限のないメッセージや権限のないメッセージを取得する場合は、管理者に付与されているアクセスのタイプと作業するコンパートメントを確認してください。

Administratorsグループのメンバーである場合は、シナリオAを実行するために必要なアクセス権が既に付与されています。 それ以外の場合は、ネットワーキングにアクセスする必要があり、インスタンスを起動する必要があります。 「ネットワーキングのIAMポリシー」を参照してください。

コンソールでのシナリオAの設定

設定はコンソールで簡単です。

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

タスク1: VCNの作成
タスク2: リージョンのパブリック・サブネットの作成
タスク3: インターネット・ゲートウェイを作成
タスク4: インターネット・ゲートウェイを使用するようにデフォルト・ルート表を更新
タスク5: デフォルトのセキュリティ・リストを更新
タスク6: 別々の可用性ドメインでインスタンスを作成

APIによるシナリオAの設定

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

次の操作を使用します:

  1. CreateVcn: インスタンスにホスト名を含める場合は、VCNのDNSラベルを含めてください(あなたの仮想クラウド・ネットワークのDNSを参照)。
  2. CreateSubnet: 1つのリージョンのパブリック・サブネットを作成します。 インスタンスにホスト名を含める場合は、サブネットにDNSラベルを含めます。 デフォルト・ルート表、デフォルト・セキュリティ・リスト、およびDHCPオプションのデフォルト・セットを使用します。
  3. CreateInternetGateway
  4. UpdateRouteTable: インターネット・ゲートウェイとの通信を有効にするには、デフォルトのルート表を更新して、destination = 0.0.0.0/0、およびdestination target = Internet Gatewayにルート・ルールを含めます。 このルールでは、VCN外部のアドレス宛にあるすべてのトラフィックをインターネット・ゲートウェイにルーティングします。 VCN自体内でトラフィックをルーティングするためにルート・ルールは必要ありません。
  5. UpdateSecurityList: サブネット内のインスタンスとの間に特定のタイプの接続を許可します。
重要

Windowsインスタンスのセキュリティ・リスト・ルール

Windowsインスタンスを起動する場合は、RDP (Remote Desktop Protocol)アクセスを有効にするセキュリティ・リスト・ルールを追加する必要があります。 具体的には、宛先ポート3389のTCPトラフィックのステートフルなイングレス・ルールがソース0.0.0.0/0およびすべてのソース・ポートから必要です。 詳細は、「セキュリティ・リスト」を参照してください。

次のステップは、サブネット内に1つ以上のインスタンスを作成することです。 シナリオ・ダイアグラムには、2つの異なる「可用性ドメイン」にインスタンスが表示されます。 インスタンスの作成時には、AD (VCNとサブネットを使用する)、およびその他のいくつかの特性を選択します。

各インスタンスは、プライベートIPアドレスを自動的に取得します。 「パブリック・サブネット」でインスタンスを作成するときは、インスタンスがパブリックIPアドレスを取得するかどうかを選択します。 シナリオAでこのネットワークを設定すると、各インスタンスにパブリックIPアドレスを指定する必要があります。そうしないと、インターネット・ゲートウェイを介してアクセスできません。 デフォルト(パブリック・サブネット用)は、インスタンスがパブリックIPアドレスを取得するためのものです。

このシナリオでインスタンスを作成した後は、インターネット上のオンプレミス・ネットワークや他のロケーションからSSHまたはRDPでそのインスタンスに接続できます。 詳細と手順については、「インスタンスの起動」を参照してください。