Oracle Cloud Infrastructureドキュメント

シナリオC : VPNを使用したパブリック・サブネットとプライベート・サブネット

このトピックでは、複数層設定の単純な例であるシナリオCの設定方法について説明します。 これは、パブリック・サーバー(Webサーバーなど)を保持するリージョンのパブリック・サブネットを持つ仮想クラウド・ネットワーク(VCN)と、プライベート・サーバー(データベース・サーバーなど)を保持するリージョンのプライベート・サブネットで構成されます。 別々の可用性ドメインに、冗長性のためのサーバーがあります。

VCNには、オンプレミス・ネットワークとの接続のための動的ルーティング・ゲートウェイ(DRG)とIPSec VPNがあります。 パブリック・サブネット内のインスタンスは、インターネット・ゲートウェイによってインターネットに直接アクセスできます。 プライベート・サブネット内のインスタンスは、NATゲートウェイ(たとえばソフトウェア更新を取得する)によってインターネットへの接続を開始できますが、そのゲートウェイ経由でインターネットからのインバウンド接続を受信することはできません。

各サブネットでは「デフォルト・セキュリティ・リスト」を使用します。この「デフォルト・セキュリティ・リスト」は、Oracle Cloud Infrastructureを使用して簡単に開始できるように設計されたデフォルトのルールを持ちます。 ルールを使用すると、標準的な必要なアクセス権(たとえば、インバウンドSSH接続や任意のタイプのアウトバウンド接続)が可能になります。 セキュリティ・リストのルールはallowトラフィックのみです。 セキュリティ・リスト・ルールによって明示的に設定されていないトラフィックはすべて拒否されます。

ヒント

セキュリティ・リストは、VCNリソースの内外でトラフィックを制御する1つの方法です。
「ネットワーク・セキュリティ・グループ」も使用できます。これにより、セキュリティ・ルールのセットを、セキュリティ情報がすべて同じリソース・セットに適用できます。

各サブネットには、独自のカスタム・セキュリティ・リストおよびカスタム・ルート表もあり、サブネット・インスタンスのニーズに固有のルールがあります。 このシナリオでは、VCNデフォルト・ルート表(常に開始が空)は使用されません。

次の図を参照してください。

このイメージは、シナリオC: publicとprivateの両方のサブネット、インターネット・ゲートウェイ、NATゲートウェイ、およびVPN IPSec接続を含むVCN。

ヒント

このシナリオでは、接続にIPSec VPNを使用します。
しかし、かわりにOracle Cloud Infrastructure FastConnectを使用することもできます。

前提条件

このシナリオでVPNを設定するには、ネットワーク管理者から次の情報を入手する必要があります:

  • VPNの終わりにあるオンプレミス・ルーターのIPアドレス
  • オンプレミス・ネットワークの静的ルート

Oracleにこの情報を提供し、VPNの終わりにオンプレミス・ルーターを構成するために、ネットワーク管理者が必要とする情報を受け取ります。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者が作成するポリシーで、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどちらを使用しているかにかかわらず、必要なタイプのアクセスを付与する必要があります。 アクションを実行しようとしたときに、権限のないメッセージや権限のないメッセージを取得する場合は、管理者に付与されているアクセスのタイプと作業するコンパートメントを確認してください。

Administratorsグループのメンバーである場合は、シナリオCを実行するために必要なアクセス権がすでに付与されています。 それ以外の場合は、ネットワーキングにアクセスする必要があり、インスタンスを起動する必要があります。 「ネットワーキングのIAMポリシー」を参照してください。

シナリオCの設定

設定はコンソールで簡単です。 また、Oracle Cloud Infrastructure APIを使用すると、個々の操作を自分で実行できます。

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

重要

このプロセスの大部分では、コンソールまたはAPI (どちらか選択した方)を使用して、目的のネットワーキング・コンポーネントを設定します。
しかし、組織内のネットワーク管理者は、コンポーネントの設定から受け取った情報を取得し、VPNの終わりにオンプレミス・ルーターを構成するためにそれを使用する必要があります。 したがって、このプロセスを1回の短いセッションで完了することはできません。 ネットワーク管理者が構成を完了してから、後で戻ってVPN上のインスタンスとの通信を確認している間に、不明な時間中断する必要があります。

コンソールの使用

タスク1: VCNおよびサブネットを設定
タスク2: 別々の可用性ドメインでインスタンスを作成
タスク3: IPSec VPNをVCNに追加
タスク4: オンプレミス・スルーターの構成

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

次の操作を使用します:

  1. CreateVcn: VCNにVCNリゾルバ(仮想クラウド・ネットワークのDNSを参照)を使用させる場合は、必ずDNSラベルを含めてください。
  2. CreateInternetGateway
  3. CreateNatGateway
  4. CreateRouteTable: コールしてパブリック・サブネット・ルート表を作成します。 インターネット・ゲートウェイを介した通信を有効にするには、以前に作成したインターネット・ゲートウェイにdestination = 0.0.0.0/0、destination target =を持つルート・ルールを追加します。
  5. CreateRouteTable: 再びコールして、プライベート・サブネット・ルート表を作成します。 NATゲートウェイによる通信を有効にするには、宛先=0.0.0.0/0、宛先ターゲット=以前に作成したNATゲートウェイにルート・ルールを追加します。
  6. 最初にGetSecurityListを呼び出してデフォルト・セキュリティ・リストを取得し、UpdateSecurityListを呼び出します:

    • オンプレミス・ネットワークCIDRを0.0.0.0.0ではなくソースCIDRとして使用するように、既存のステートフルなイングレス・ルールを変更します。
    • Windowsインスタンスを起動する場合は、このステートフルなイングレス・ルールを追加してください: ソース・タイプ= CIDR、ソースCIDR = TCP上のオンプレミス・ネットワーク、ソース・ポート=すべて、宛先ポート= 3389 (RDP用)。
  7. CreateSecurityList: それを呼び出すと、次のルールでパブリック・サブネット・セキュリティ・リストが作成されます:

    • ステートフルなイングレス: ソース・タイプ= CIDR、TCP上のソース0.0.0.0/0、ソース・ポート= all、宛先ポート= 80 (HTTP)
    • ステートフルなイングレス: ソース・タイプ= CIDR、TCP上のソース0.0.0.0/0、ソース・ポート= all、宛先ポート= 443 (HTTPS)
    • ステートフルなエグレス: 宛先タイプ= CIDR、TCP上のプライベート・サブネットの宛先CIDRブロック、ソース・ポート= all、宛先ポート= 1521 (Oracleデータベースの場合)
  8. CreateSecurityList: 次のルールを使用してプライベート・サブネット・セキュリティ・リストを作成するには、もう一度コールします:

    • ステートフルなイングレス: ソース・タイプ= CIDR、TCP上のパブリック・サブネットのソースCIDRブロック、ソース・ポート= all、宛先ポート= 1521 (Oracleデータベースの場合)
    • ステートフルなイングレス: ソース・タイプ= CIDR、TCP上のプライベート・サブネットのソースCIDRブロック、ソース・ポート= all、宛先ポート= 1521 (Oracleデータベースの場合)
    • ステートフルなエグレス: 宛先タイプ= CIDR、TCP上のプライベート・サブネットの宛先CIDRブロック、ソース・ポート= all、宛先ポート= 1521 (Oracleデータベースの場合)
  9. CreateSubnet: リージョンのパブリック・サブネットを作成するためにコールします。 サブネット内のVNICのホスト名をVCN Resolverが解決する場合は、サブネットのDNSラベルを含めます。 以前に作成したパブリック・サブネット・ルート表を使用します。 以前に作成したデフォルトのセキュリティ・リストとパブリック・サブネットのセキュリティ・リストの両方を使用します。 DHCPオプションのデフォルト・セットを使用します。
  10. CreateSubnet: リージョンのプライベート・サブネットを作成するために再度呼び出します。 サブネット内のVNICのホスト名をVCN Resolverが解決する場合は、サブネットのDNSラベルを含めます。 前に作成したプライベート・サブネット・ルート表を使用します。 以前に作成したデフォルトのセキュリティ・リストとプライベート・サブネットのセキュリティ・リストの両方を使用します。 DHCPオプションのデフォルト・セットを使用します。
  11. CreateDrg: これにより、新しい動的ルーティング・ゲートウェイ(DRG)が作成されます。
  12. CreateDrgAttachment: これにより、DRGがVCNにアタッチされます。
  13. CreateCpe: ここでは、VPNの最後にルーターのIPアドレスを指定します(前提条件を参照)。
  14. CreateIPSecConnection: ここでは、オンプレミス・ネットワークの静的ルートを提供します(前提条件を参照)。 返信したら、ルーターを構成するために、ネットワーク管理者が必要とする構成情報を受信します。 後でその情報が必要な場合は、GetIPSecConnectionDeviceConfigで入手できます。 構成の詳細は、「CPE構成」を参照してください。
  15. 最初にGetRouteTableを呼び出して、プライベート・サブネット・ルート表を取得します。 次に、UpdateRouteTableを呼び出して、宛先=オンプレミス・ネットワークCIDR (この例では10.0.0.0/16)でルート・ルールを追加し、宛先ターゲット=以前に作成したDRGを追加します。
  16. LaunchInstance: 各サブネットで少なくとも1つのインスタンスを起動します。 デフォルトでは、パブリック・サブネット内のインスタンスにはパブリックIPアドレスが割り当てられます。 詳細については、「インスタンスの起動」を参照してください。

オンプレミス・ネットワークから、インターネット・ゲートウェイを介してパブリック・サブネット内のインスタンスと通信できるようになりました。

重要

インスタンスはプライベート・サブネットに起動できますが、ネットワーク管理者がオンプレミス・ルーターを構成するまでは、オンプレミス・ネットワークからそのインスタンスと通信できません(「CPE構成」を参照)。
その後、IPSec接続が起動して実行されているはずです。 GetIPSecConnectionDeviceStatusを使用してそのステータスを確認できます。 オンプレミス・ネットワークからインスタンスに接続して、IPSec接続が稼働していることを確認することもできます。