Oracle Cloud Infrastructureドキュメント

シナリオB: VPNとのプライベート・サブネット

このトピックでは、仮想クラウド・ネットワーク(VCN)とリージョンのプライベート・サブネットで構成されるシナリオbの設定方法について説明します。 別々の可用性ドメインに、冗長性のためのサーバーがあります。 VCNには、オンプレミス・ネットワークとの接続のための動的ルーティング・ゲートウェイ(DRG)とIPSec VPNがあります。 VCNはインターネットに直接接続していません。 インターネットとの接続では、オンプレミス・ネットワークを介して間接的に接続する必要があります。

サブネットは「デフォルト・セキュリティ・リスト」を使用します。この「デフォルト・セキュリティ・リスト」は、Oracle Cloud Infrastructureを使用して簡単に開始できるように設計されたデフォルトのルールを持ちます。 ルールを使用すると、標準的な必要なアクセス権(たとえば、インバウンドSSH接続や任意のタイプのアウトバウンド接続)が可能になります。 セキュリティ・リストのルールはallowトラフィックのみです。 セキュリティ・リスト・ルールによって明示的に設定されていないトラフィックはすべて拒否されます。

このシナリオでは、デフォルトのセキュリティ・リストにルールを追加します。 かわりに、これらのルールのカスタム・セキュリティ・リストを作成することもできます。 次に、デフォルトのセキュリティ・リストとカスタム・セキュリティ・リストの両方を使用するようにサブネットを設定します。

ヒント

セキュリティ・リストは、VCNリソースの内外でトラフィックを制御する1つの方法です。
「ネットワーク・セキュリティ・グループ」も使用できます。これにより、セキュリティ・ルールのセットを、セキュリティ情報がすべて同じリソース・セットに適用できます。

サブネットでは、VCNの作成時にルールなしで開始されるデフォルトのルート表が使用されます。 このシナリオでは、表にはDRGのルールが1つのみあります。 VCN自体内でトラフィックをルーティングするためにルート・ルールは必要ありません。

次の図を参照してください。

このイメージは、シナリオB: リージョンのプライベート・サブネットとVPN IPSec接続を持つVCN。

ヒント

このシナリオでは、接続にIPSec VPNを使用します。
しかし、かわりにOracle Cloud Infrastructure FastConnectを使用することもできます。

前提条件

このシナリオでVPNを設定するには、ネットワーク管理者から次の情報を入手する必要があります:

  • VPNの最後の顧客構内機器(CPE)の公開IPアドレス
  • オンプレミス・ネットワークの静的ルート

この情報を提供し、ネットワーク管理者がVPNの最後にCPEを構成する必要がある情報を受信します。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者が作成するポリシーで、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどちらを使用しているかにかかわらず、必要なタイプのアクセスを付与する必要があります。 アクションを実行しようとしたときに、権限のないメッセージや権限のないメッセージを取得する場合は、管理者に付与されているアクセスのタイプと作業するコンパートメントを確認してください。

Administratorsグループのメンバーである場合は、シナリオBを実行するために必要なアクセス権が既に付与されています。 それ以外の場合は、ネットワーキングにアクセスする必要があり、インスタンスを起動する必要があります。 「ネットワーキングのIAMポリシー」を参照してください。

シナリオBの設定

設定はコンソールで簡単です。 また、Oracle Cloud Infrastructure APIを使用すると、個々の操作を自分で実行できます。

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

重要

このプロセスの大部分では、コンソールまたはAPI (どちらか選択した方)を使用して、目的のネットワーキング・コンポーネントを設定します。
ただし、組織内のネットワーク管理者がコンポーネントの設定から受信する情報を取得し、その情報を使用してVPNの最後にCPEを構成する必要がある重要なステップもあります。 したがって、このプロセスを1回の短いセッションで完了することはできません。 ネットワーク管理者が構成を完了してから、後で戻ってVPN上のインスタンスとの通信を確認している間に、不明な時間中断する必要があります。

コンソールの使用

タスク1: VCNおよびサブネットの設定
タスク2: 別々の可用性ドメインでインスタンスを作成
タスク3: IPSec VPNをVCNに追加
タスク4: CPEの構成

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

次の操作を使用します:

  1. CreateVcn: インスタンスにホスト名を含める場合は、VCNのDNSラベルを含めてください(あなたの仮想クラウド・ネットワークのDNSを参照)。
  2. CreateSubnet: 1つのリージョンのプライベート・サブネットを作成します。 インスタンスにホスト名を含める場合は、サブネットにDNSラベルを含めます。 デフォルト・ルート表、デフォルト・セキュリティ・リスト、およびDHCPオプションのデフォルト・セットを使用します。
  3. CreateDrg: これにより、新しい動的ルーティング・ゲートウェイ(DRG)が作成されます
  4. CreateDrgAttachment: これにより、DRGがVCNにアタッチされます。
  5. CreateCpe: ここでは、VPNの最後にCPEのパブリックIPアドレスを指定します(前提条件を参照)。
  6. CreateIPSecConnection: ここでは、オンプレミス・ネットワークの静的ルートを提供します(前提条件を参照)。 言い換えると、ネットワーク管理者がCPEを構成するために必要な構成情報を受信します。 後でその情報が必要な場合は、GetIPSecConnectionDeviceConfigで入手できます。 構成の詳細は、「CPE構成」を参照してください。
  7. UpdateRouteTable : VPN経由で通信を有効にするには、このルートを含めるようにデフォルト・ルート表を更新 : 宛先= 0.0.0.0/0および宛先ターゲットが指定されたルート・ルール=以前に作成したDRG。
  8. 最初にGetSecurityListを呼び出してデフォルトのセキュリティ・リストを取得し、UpdateSecurityListを呼び出して、VCNにインスタンスで必要な接続タイプのルールを追加します。 UpdateSecurityListは一連のルール全体を上書きすることに注意してください。 次に、追加の推奨されるルールをいくつか示します:

    • ステートフルなイングレス: ソース・タイプ=CIDR、ソースCIDR=0.0.0.0/0、プロトコル=TCP、ソース・ポート = すべて、宛先ポート=80 (HTTPの場合)。
    • ステートフルなイングレス: ソース・タイプ=CIDR、ソースCIDR=0.0.0.0/0、プロトコル=TCP、ソース・ポート = すべて、宛先ポート=443 (HTTPSの場合)。
    • ステートフルなイングレス: ソース・タイプ=CIDR、ソースCIDR=0.0.0.0/0、プロトコル=TCP、ソース・ポート = すべて、宛先ポート=1521 (OracleデータベースへのSQL*Netアクセスの場合)。
    • ステートフルなイングレス: ソース・タイプ=CIDR、ソースCIDR=0.0.0.0/0、プロトコル=TCP、ソース・ポート=すべて、宛先ポート=3389 (RDPの場合、Windowsインスタンスを使用する場合のみ必要)。
  9. ヒント

    さらにセキュリティを強化するために、すべてのステートフルなイングレス・ルールを変更して、VCNおよびオンプレミス・ネットワーク内からのトラフィックだけを許可することができます。
    それぞれにVCN CIDRをソースとして、1つにオンプレミス・ネットワークCIDRをソースとしてそれぞれ別のルールを作成する必要があります。

  10. LaunchInstance: サブネットに1つ以上のインスタンスを作成します。 シナリオ・ダイアグラムには、2つの異なる「可用性ドメイン」にインスタンスが表示されます。 インスタンスの作成時には、AD (VCNとサブネットを使用する)、およびその他のいくつかの特性を選択します。 詳細については、「インスタンスの起動」を参照してください。

重要

サブネットにインスタンスを作成できますが、ネットワーク管理者がCPEを構成するまでは、これらのインスタンスとオンプレミス・ネットワークとの通信ができません(「CPE構成」を参照)。
その後、IPSec接続が起動して実行されているはずです。 GetIPSecConnectionDeviceStatusを使用してそのステータスを確認できます。 オンプレミス・ネットワークからインスタンスに接続して、IPSec接続が稼働していることを確認することもできます。