Oracle Cloud Infrastructureドキュメント

シナリオC : VPNを使用したパブリック・サブネットとプライベート・サブネット

このトピックでは、複数層設定の単純な例であるシナリオCの設定方法について説明します。 これは、パブリック・サーバー(Webサーバーなど)を保持するリージョンのパブリック・サブネットを持つ仮想クラウド・ネットワーク(VCN)と、プライベート・サーバー(データベース・サーバーなど)を保持するリージョンのプライベート・サブネットで構成されます。 別々の可用性ドメインに、冗長性のためのサーバーがあります。

VCNには、オンプレミス・ネットワークとの接続のための動的ルーティング・ゲートウェイ(DRG)とIPSec VPNがあります。 パブリック・サブネット内のインスタンスは、インターネット・ゲートウェイによってインターネットに直接アクセスできます。 プライベート・サブネット内のインスタンスは、NATゲートウェイ(たとえばソフトウェア更新を取得する)によってインターネットへの接続を開始できますが、そのゲートウェイ経由でインターネットからのインバウンド接続を受信することはできません。

各サブネットでは「デフォルト・セキュリティ・リスト」を使用します。この「デフォルト・セキュリティ・リスト」は、Oracle Cloud Infrastructureを使用して簡単に開始できるように設計されたデフォルトのルールを持ちます。 ルールを使用すると、標準的な必要なアクセス権(たとえば、インバウンドSSH接続や任意のタイプのアウトバウンド接続)が可能になります。 セキュリティ・リストのルールはallowトラフィックのみです。 セキュリティ・リスト・ルールによって明示的に設定されていないトラフィックはすべて拒否されます。

ヒント

セキュリティ・リストは、VCNリソースの内外でトラフィックを制御する1つの方法です。
「ネットワーク・セキュリティ・グループ」も使用できます。これにより、セキュリティ・ルールのセットを、セキュリティ情報がすべて同じリソース・セットに適用できます。

各サブネットには、独自のカスタム・セキュリティ・リストおよびカスタム・ルート表もあり、サブネット・インスタンスのニーズに固有のルールがあります。 このシナリオでは、VCNデフォルト・ルート表(常に開始が空)は使用されません。

次の図を参照してください。

このイメージは、シナリオC: publicとprivateの両方のサブネット、インターネット・ゲートウェイ、NATゲートウェイ、およびVPN IPSec接続を含むVCN。

ヒント

このシナリオでは、接続にIPSec VPNを使用します。
しかし、かわりにOracle Cloud Infrastructure FastConnectを使用することもできます。

前提条件

このシナリオでVPNを設定するには、ネットワーク管理者から次の情報を入手する必要があります:

  • VPNの最後の顧客構内機器(CPE)の公開IPアドレス
  • オンプレミス・ネットワークの静的ルート(このシナリオでは、VPNトンネルの静的ルーティングを使用しますが、かわりに「BGP動的ルーティング」を使用できます)

Oracleにこの情報を提供し、VPNの終わりにオンプレミス・ルーターを構成するために、ネットワーク管理者が必要とする情報を受け取ります。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者が作成するポリシーで、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどちらを使用しているかにかかわらず、必要なタイプのアクセスを付与する必要があります。 アクションを実行しようとしたときに、権限のないメッセージや権限のないメッセージを取得する場合は、管理者に付与されているアクセスのタイプと作業するコンパートメントを確認してください。

Administratorsグループのメンバーである場合は、シナリオCを実行するために必要なアクセス権がすでに付与されています。 それ以外の場合は、ネットワーキングにアクセスする必要があり、インスタンスを起動する必要があります。 「ネットワーキングのIAMポリシー」を参照してください。

シナリオCの設定

設定はコンソールで簡単です。 また、Oracle Cloud Infrastructure APIを使用すると、個々の操作を自分で実行できます。

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

重要

このプロセスの大部分では、コンソールまたはAPI (どちらか選択した方)を使用して、目的のネットワーキング・コンポーネントを設定します。
しかし、組織内のネットワーク管理者は、コンポーネントの設定から受け取った情報を取得し、VPNの終わりにオンプレミス・ルーターを構成するためにそれを使用する必要があります。 したがって、このプロセスを1回の短いセッションで完了することはできません。 ネットワーク管理者が構成を完了してから、後で戻ってVPN上のインスタンスとの通信を確認している間に、不明な時間中断する必要があります。

コンソールの使用

タスク1: VCNおよびサブネットを設定
タスク2: 別々の可用性ドメインでインスタンスを作成
タスク3: IPSec VPNをVCNに追加
タスク4: オンプレミス・ルーター(CPE)の構成

APIの使用