Oracle Cloud Infrastructureドキュメント

Oracleサービスへのアクセス : サービス・ゲートウェイ

このトピックでは、サービス・ゲートウェイの設定および管理方法について説明します。 サービス・ゲートウェイを使用すると、パブリックIPアドレスを持たないクラウド・リソースは、Oracleサービスにプライベート・アクセスできます。

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

Oracle Servicesへのアクセス

Oracle Services Networkは、Oracleサービス用に予約されているOracle Cloud Infrastructureの概念的なネットワークです。 これらのサービスは、インターネット経由でアクセスできる「パブリックIPアドレス」を備えています。 ただし、Oracle Services NetworkのパブリックIPアドレスには、インターネットを経由してトラフィックもアクセスできません。 アクセスが必要なホストに応じて、方法は異なります:

Highlights

  • サービス・ゲートウェイを使用すると、パブリック・インターネットにデータを公開せずに、仮想クラウド・ネットワーク(VCN)は特定のOracleサービスに非公開でアクセスできます。 インターネット・ゲートウェイやNATが特定のサービスにアクセスする必要はありません。 VCN内のリソースはプライベート・サブネット内にあり、プライベートIPアドレスのみを使用できます。 VCNからOracleサービスへのトラフィックは、Oracleネットワーク・ファブリックを経由して、インターネットを走査しません。
  • サービス・ゲートウェイはリージョンで、VCNとしてサポートされているOracleサービス「同じリージョン」にのみアクセスが可能です。
  • サービス・ゲートウェイでは、リージョン内のサポートされているOracleサービスにアクセスして、インターネットからデータを保護できます。 ワークロードでは、サービス・ゲートウェイでサポートされていないパブリック・エンドポイントまたはサービス(更新またはパッチのダウンロードなど)へのアクセスが必要になる場合があります。 必要に応じて、「NATゲートウェイ」または他のインターネットへのアクセス権を持っていることを確認します。

  • サポートされるOracleサービスは、Oracleサービス・ネットワーク内のOracle Cloud Infrastructure Object Storageなどです。 リストについては、「サービス・ゲートウェイ: Oracle Services Networkでサポートされているクラウド・サービス」を参照してください。
  • サービス・ゲートウェイでは、「サービスCIDRラベル」の概念が使用されます。これは、対象となるサービスまたはサービスのグループのすべてのリージョンのパブリックIPアドレス範囲を表す文字列です(たとえば、OCI PHX Object Storageは、us-phoenix-1Object Storageの文字列です)。 サービスへのトラフィックを制御するためにサービス・ゲートウェイおよび関連するルート・ルールを構成する場合、そのサービスCIDRラベルを使用します。 オプションで、セキュリティ・リスト・ルールを構成するときにこのルールを使用できます。 サービスのパブリックIPアドレスが将来変更された場合は、これらのルールを調整する必要はありません。

サービス・ゲートウェイの概要

サービス・ゲートウェイでは、インターネット・ゲートウェイやNATにデータを公開することなく、VCN内のリソースが特定のOracleサービスに非公開でアクセスできます。 VCN内のリソースはプライベート・サブネット内にあり、プライベートIPアドレスのみを使用できます。 VCNから、Oracleネットワーク・ファブリックを介して移動するサービスへのトラフィック。インターネットを横断することはありません。

次の単純なダイアグラムは、パブリック・サブネットとプライベート・サブネットの両方を持つVCNを示しています。 プライベート・サブネット内のリソースには、プライベートIPアドレスのみが存在します。

VCNには3つのゲートウェイがあります:

  • インターネット・ゲートウェイ: パブリック・サブネットにインターネット上のパブリック・エンドポイントへのダイレクト・アクセスを提供します。 接続は、サブネットまたはインターネットから開始できます。 パブリック・サブネット内のリソースには、パブリックIPアドレスが必要です。 詳細は、「インターネット・ゲートウェイ」を参照してください。
  • サービス・ゲートウェイ: リージョン内でサポートされているOracleサービスへのプライベート・アクセスを提供するため。 接続を開始できるのは、サブネットからのみです。
  • NATゲートウェイ: プライベート・サブネットにインターネット上のパブリック・エンドポイントへのプライベート・アクセスを提供します。 接続を開始できるのは、サブネットからのみです。 詳細は、「NATゲートウェイ」を参照してください。

サブネット・レベルでVCNのルーティングを制御するため、VCN内のサブネットが各ゲートウェイを使用するかどうかを指定できます。 この図では、パブリック・サブネットのルート表は、インターネット・ゲートウェイを介してローカル以外のトラフィックを送信します。 プライベート・サブネットのルート表は、Oracleサービスがサービス・ゲートウェイを介して転送されるトラフィックを送信します。 残りのすべてのトラフィックをNATゲートウェイに送信します。

♪このイメージは、サービス・ゲートウェイを持つVCNの基本レイアウトを示しています

サービス・ゲートウェイは、ゲートウェイ独自のVCN内のリソースによってのみ使用できます。 VCNが「他とピアド」の場合、他のVCNのリソースはサービス・ゲートウェイにアクセスできません。 また、FastConnectでサービス・ゲートウェイVCNに接続されているオンプレミス・ネットワークのリソースでも、IPSec VPNはサービス・ゲートウェイを使用できません。 ただし、オンプレミス・ネットワークでは、パブリックOracle Cloud Infrastructureサービスへのプライベート・アクセスにFastConnectパブリック・ピアリングを使用できます。 FastConnectパブリック・ピアリングで使用可能なサービスのリストについては、FastConnectサポートされているクラウド・サービス」を参照してください。

VCNには、1つのサービス・ゲートウェイのみを含めることができます。 制限の詳細は、「サービス制限」を参照してください。

サービス・ゲートウェイの設定手順については、「コンソールでのサービス・ゲートウェイの設定」を参照してください。

サービスCIDRラベルについて

各Oracleサービスには、パブリックIPアドレスをアクセスに使用するリージョン・パブリック・エンドポイントがあります。 Oracleサービスへのアクセス権を持つサービス・ゲートウェイを設定するときは、Networkingサービス・ルート・ルール、およびオプションでサービスとのトラフィックを制御するセキュリティ・リスト・ルールも設定します。 つまり、これらのルールを設定するには、サービスのパブリックIPアドレスを知っておく必要があります。 より簡単にするために、Networkingサービスでは、「サービスCIDRラベル」を使用して、指定されたOracleサービスまたはOracleサービスのグループのすべてのパブリックcidrを表します。 サービスのCidrが将来変更された場合、ルート・ルールまたはセキュリティ・リスト・ルールを調整する必要はありません。

例:

詳細に示すように、サービスCIDRラベルは単一のOracleサービスに関連付けることができます(例: ) : Object Storage、複数のOracleサービス。

このトピックでは、serviceという用語は、より正確に「サービスCIDRラベル」の形で使用されることがよくあります。 注意する必要があるのは、サービス・ゲートウェイ(および関連するルート・ルール)を設定するときは、目的の「サービスCIDRラベル」を指定することです。 コンソールには、使用可能なサービスCIDRラベルが表示されます。 REST APIを使用する場合、ListServices操作は使用可能なServiceオブジェクトを返します。 ServiceオブジェクトcidrBlock属性にはサービスCIDRラベルが含まれます(例: )。 : all-phx-services-in-oracle-services-network ).

使用可能なサービスCIDRラベル

使用可能なサービスCIDRラベルは次のとおりです:

重要

サービス・ゲートウェイを介したOracle YUMサービスへのアクセスの詳細は、この「既知の問題」を参照してください。

サービス・ゲートウェイでのサービスCIDRラベルの有効化

指定されたサービスCIDRラベルへのVCNアクセス権を付与するには、VCNサービス・ゲートウェイのCIDRラベルをサービスとする「有効化」とする必要があります。 これは、サービス・ゲートウェイの作成時、または作成後に実行できます。 サービス・ゲートウェイのサービスCIDRラベルをいつでも無効にできます。

重要

Object StorageOCI <region> Object Storage「Oracle Services Networkのすべての<region> Services」の両方で説明されているため、サービス・ゲートウェイでは「サービスCIDRラベルのうち1つのみ」を使用できます。

同様に、ルート表にはサービスCIDRラベルの1つに対する1つのルールを含めることができます。 ラベルごとに2つの個別のルールを持つことはできません。

また、コンソールでは特別な制限が強制されます。: ターゲットとしてサービス・ゲートウェイを使用するルート・ルールを設定する場合、ルール宛先サービスは、そのサービス・ゲートウェイで有効なサービスCIDRラベルである必要があります。

サービス・ゲートウェイを別のサービスCIDRラベルを使用するように切り替える場合は、「別のサービスCIDRラベルに切り替えるには」を参照してください。

サービス・ゲートウェイを介したトラフィックのブロック

特定のVCNのコンテキストでサービス・ゲートウェイを作成します。 つまり、サービス・ゲートウェイは常にその1つのVCNにアタッチされます。 ただし、いつでもサービス・ゲートウェイ経由のトラフィックをブロックまたは許可できます。 デフォルトでは、ゲートウェイは作成時にトラフィック・フローを許可します。 サービス・ゲートウェイ・トラフィックをブロックすると、有効なサービスCIDRラベル、またはVCN内の既存のルート・ルールまたはセキュリティ・リストに関係なく、すべてのトラフィックが流れないようになります。 トラフィックをブロックする方法については、「サービス・ゲートウェイのトラフィックをブロックまたは許可するには」を参照してください。

サービス・ゲートウェイのルート・ルールとセキュリティ・リストのルール

トラフィックをVCNのサブネットからサービス・ゲートウェイにルーティングするには、それに応じてルールをサブネット・ルート表に追加する必要があります。 ルールでは、ターゲットとしてサービス・ゲートウェイを使用する必要があります。 宛先には、サービス・ゲートウェイに対して有効化されている「サービスCIDRラベル」を使用する必要があります。 これは、時間が経過すると変化する可能性がある特定のパブリックCidrを知る必要がないことを意味します。

その後、サービスのパブリックCidrにサブネットを残しているトラフィックが、サービス・ゲートウェイにルーティングされます。 サービス・ゲートウェイ・トラフィックがブロックされると、トラフィックに一致するルート・ルールがあっても、そのトラフィックを流れることはありません。 サービス・ゲートウェイのルート・ルールを設定する手順については、「タスク2: サブネットのルーティングを更新」を参照してください。

また、サブネット・セキュリティ・リストは、目的のトラフィックを許可する必要もあります。 必要に応じて、CIDRのかわりに、目的のトラフィックのソースまたは宛先にサービスCIDRラベルを使用できます。 これも、サービスの特定のパブリックCidrがわからないことを意味します。 つまり、VCNにサービス・ゲートウェイがなく、サービスへのトラフィックでインターネット・ゲートウェイが使用されている場合でも、セキュリティ・リスト・ルールでサービスCIDRラベルを使用できます。

サービスCIDRラベルを使用する「ステートフルまたはステートレスのセキュリティ・リストのルール」を使用できます:

  • ステートフル・ルールの場合: 宛先service = 関心のサービスCIDRラベルを使用してエグレス・ルールを作成します。 任意のセキュリティ・リスト・ルールと同様に、IPプロトコル、送信元および送信先ポートなどのその他のアイテムを指定できます。
  • ステートレス・ルールの場合:エグレス・ルールとイングレス・ルールの両方が必要です。 宛先service = 関心のサービスCIDRラベルを使用してエグレス・ルールを作成します。 また、ソース・サービス=関心のあるサービスCIDRラベルを持つingressルールも作成します。 任意のセキュリティ・リスト・ルールと同様に、IPプロトコル、送信元および送信先ポートなどのその他のアイテムを指定できます。

サービスCIDRラベルを使用するセキュリティ・リスト・ルールの設定手順については、「タスク3: (オプション)サブネットのセキュリティ・リストを更新」を参照してください。

Object Storage: 特定のVCNまたはCIDR範囲からのバケット・アクセスの許可

サービス・ゲートウェイを使用してObject Storageにアクセスする場合は、特定のObject Storageバケットへのアクセスを許可するIAMポリシーを記述できます。その要件が満たされている場合にかぎります:

  • リクエストはサービス・ゲートウェイを介して行われます。
  • リクエストは、ポリシーで指定された特定のVCNまたはCIDR (たとえば、VCN内のサブネット)から取得されます。

この特定タイプのIAMポリシーの例と、その使用についての重要な注意点については、「タスク4: (オプション) Object Storageバケット・アクセスを制限するためにIAMポリシーを更新」を参照してください。

サービス・ゲートウェイの削除

サービス・ゲートウェイを削除するには、そのトラフィックをブロックする必要はありませんが、ターゲットとしてリストするルート表は存在してはいけません。 「サービス・ゲートウェイを削除するには」を参照してください。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者が作成するポリシーで、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどちらを使用しているかにかかわらず、必要なタイプのアクセスを付与する必要があります。 アクションを実行しようとしたときに、権限のないメッセージや権限のないメッセージを取得する場合は、管理者に付与されているアクセスのタイプと作業するコンパートメントを確認してください。

管理者向け: 「NetworkingのIAMポリシー」を参照してください。

コンソールでのサービス・ゲートウェイの設定

次に、サービス・ゲートウェイを設定するプロセスを示します。 ここでは、すでにサブネット(プライベートまたはパブリックのいずれか)を持つVCNがあると想定しています。

重要

サービス・ゲートウェイでは、リージョン内のサポートされているOracleサービスにアクセスして、インターネットからデータを保護できます。
アプリケーションには、サービス・ゲートウェイでサポートされていないパブリック・エンドポイントまたはサービスへのアクセスが必要な場合があります(更新またはパッチのダウンロードなど)。 必要に応じて、「NATゲートウェイ」または他のインターネットへのアクセス権を持っていることを確認します。

タスク1: サービス・ゲートウェイを作成
タスク2: サブネットのルーティングを更新
タスク3: (オプション)サブネットのセキュリティ・リストを更新
タスク4: (オプション) Object Storageバケット・アクセスを制限するためにIAMポリシーを更新

コンソールでのサービス・ゲートウェイの管理

別のサービスCIDRラベルに切り替えるには
サービス・ゲートウェイを更新するには
サービス・ゲートウェイのトラフィックをブロックまたは許可するには
サービス・ゲートウェイを削除するには
サービス・ゲートウェイのタグを管理するには

APIによるサービス・ゲートウェイの管理

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

警告

組織内のすべてのユーザーがサービス・ゲートウェイを実装する場合は、Networkingサービスのルート・ルールおよびセキュリティ・リストと連携するクライアント・コードの更新が必要になる場合があります。」に注意してください。
APIを変更する可能性があります。 詳細は、「サービス・ゲートウェイのリリース・ノート」を参照してください。

サービス・ゲートウェイを管理するには、次の操作を使用します:

ルート表を管理するには、「ルート表」を参照してください。 セキュリティ・リストを管理するには、「セキュリティ・リスト」を参照してください。 IAMポリシーを管理するには、「ポリシーの管理」を参照してください。