Oracle Cloud Infrastructureドキュメント

Oracleサービスへのアクセス: サービス・ゲートウェイ

このトピックでは、サービス・ゲートウェイの設定および管理方法について説明します。 サービス・ゲートウェイを使用すると、パブリックIPアドレスを持たないクラウド・リソースは、Oracleサービスにプライベート・アクセスできます。

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

Oracle Servicesへのアクセス

Oracle Services Networkは、Oracleサービス用に予約されているOracle Cloud Infrastructureの概念的なネットワークです。 これらのサービスには、通常インターネット経由でアクセスする「パブリックIPアドレス」があります。 ただし、Oracle Services Network 「トラフィックがインターネットを経由して進行していない場合」にアクセスできます。 アクセスが必要なホストに応じて、方法は異なります:

ハイライト

  • サービス・ゲートウェイを使用すると、パブリック・インターネットにデータを公開せずに、仮想クラウド・ネットワーク(VCN)は特定のOracleサービスに非公開でアクセスできます。 インターネット・ゲートウェイやNATが特定のサービスにアクセスする必要はありません。 VCN内のリソースはプライベート・サブネット内にあり、プライベートIPアドレスのみを使用できます。 VCNからOracleサービスへのトラフィックは、Oracleネットワーク・ファブリックを経由して、インターネットを走査しません。
  • サービス・ゲートウェイはリージョンで、VCNとしてサポートされているOracleサービス「同じリージョン」にのみアクセスが可能です。
  • サービス・ゲートウェイでは、リージョン内のサポートされているOracleサービスにアクセスして、インターネットからデータを保護できます。 ワークロードでは、サービス・ゲートウェイでサポートされていないパブリック・エンドポイントまたはサービス(更新またはパッチのダウンロードなど)へのアクセスが必要になる場合があります。 必要に応じて、「NATゲートウェイ」または他のインターネットへのアクセス権を持っていることを確認します。

  • サポートされるOracleサービスは、Oracleサービス・ネットワーク内のOracle Cloud Infrastructure Object Storageなどです。 リストについては、「サービス・ゲートウェイ: Oracle Services Networkでサポートされているクラウド・サービス」を参照してください。
  • サービス・ゲートウェイは「サービスCIDRラベル」の概念を使用します。これは、対象となるサービスまたはサービスのグループのすべてのリージョンのパブリックIPアドレス範囲を表す文字列です(たとえば、「OCI PHXオブジェクト・ストレージ」は、「US West (フェニックス)」「オブジェクト・ストレージ」の文字列です)。 サービスへのトラフィックを制御するためにサービス・ゲートウェイおよび関連するルート・ルールを構成する場合、そのサービスCIDRラベルを使用します。 オプションで、「セキュリティ・ルール」の構成時にこれを使用できます。 サービスのパブリックIPアドレスが将来変更された場合は、これらのルールを調整する必要はありません。
  • VCNおよびVCNサービス・ゲートウェイを使用してオンプレミス・ネットワークに「プライベート・アクセス」からOracleのサービスを提供するように、VCNを設定できます。 オンプレミス・ネットワークのホストはプライベートIPアドレスと通信し、トラフィックはインターネットを経由していません。 詳細は、「伝送ルーティング: Oracle Servicesへのプライベート・アクセス」を参照してください。

サービス・ゲートウェイの概要

サービス・ゲートウェイでは、インターネット・ゲートウェイやNATにデータを公開することなく、VCN内のリソースが特定のOracleサービスに非公開でアクセスできます。 VCN内のリソースはプライベート・サブネット内にあり、プライベートIPアドレスのみを使用できます。 VCNから、Oracleネットワーク・ファブリックを介して移動するサービスへのトラフィック。インターネットを横断することはありません。

次の単純なダイアグラムは、パブリック・サブネットとプライベート・サブネットの両方を持つVCNを示しています。 プライベート・サブネット内のリソースには、プライベートIPアドレスのみが存在します。

VCNには3つのゲートウェイがあります:

  • インターネット・ゲートウェイ: パブリック・サブネットにインターネット上のパブリック・エンドポイントへのダイレクト・アクセスを提供します。 接続は、サブネットまたはインターネットから開始できます。 パブリック・サブネット内のリソースには、パブリックIPアドレスが必要です。 詳細は、「インターネット・ゲートウェイ」を参照してください。
  • サービス・ゲートウェイ: リージョン内でサポートされているOracleサービスへのプライベート・アクセスを提供するため。 接続を開始できるのは、サブネットからのみです。
  • NATゲートウェイ: プライベート・サブネットにインターネット上のパブリック・エンドポイントへのプライベート・アクセスを提供します。 接続を開始できるのは、サブネットからのみです。 詳細は、「NATゲートウェイ」を参照してください。

サブネット・レベルでVCNのルーティングを制御するため、VCN内のサブネットが各ゲートウェイを使用するかどうかを指定できます。 この図では、パブリック・サブネットのルート表は、インターネット・ゲートウェイを介してローカル以外のトラフィックを送信します。 プライベート・サブネットのルート表は、Oracleサービスがサービス・ゲートウェイを介して転送されるトラフィックを送信します。 残りのすべてのトラフィックをNATゲートウェイに送信します。

このイメージは、サービス・ゲートウェイを持つVCNの基本レイアウトを示しています

重要

パブリック・サブネットに関連付けられたルート表のターゲットとして「サービス・ゲートウェイ」にルート・ルールを構成する方法の詳細は、この「既知の問題」を参照してください。

サービス・ゲートウェイは、ゲートウェイ自体のVCNのリソースで使用できます。 ただし、VCNが「他とピアド」の場合、他のVCNのリソースはサービス・ゲートウェイにアクセスできません。

FastConnectまたはVPN接続を含むサービス・ゲートウェイVCNに接続されているオンプレミス・ネットワーク内のリソースもサービス・ゲートウェイを使用できます。 詳細は、「伝送ルーティング: Oracle Servicesへのプライベート・アクセス」を参照してください。

オンプレミス・ネットワークでは、パブリックなOracleサービスへのプライベート・アクセスに、alsoFastConnectパブリック・ピアリング」を使用することができます。 つまり、オンプレミス・ネットワークには、OracleサービスのパブリックIPアドレス範囲にアクセスするための複数のパスが存在する可能性があります。 この場合、エッジ・デバイスは、OracleサービスのパブリックIPアドレス範囲の複数のパス上へのルート通知を受信します。 エッジ・デバイスを正しく構成する方法の重要な情報は、「オンプレミス・ネットワークへの接続のルーティング詳細」を参照してください。

VCNには、1つのサービス・ゲートウェイのみを含めることができます。 制限の詳細は、「サービス制限」を参照してください。

サービス・ゲートウェイの設定手順については、「コンソールでのサービス・ゲートウェイの設定」を参照してください。

サービスCIDRラベルについて

各Oracleサービスには、パブリックIPアドレスをアクセスに使用するリージョン・パブリック・エンドポイントがあります。 Oracle serviceへのアクセスを含むサービス・ゲートウェイを設定する場合は、サービスへのトラフィックを制御する「ネットワーキング」サービス「ルート・ルール」およびオプションの「セキュリティ・ルール」も設定します。 つまり、これらのルールを設定するには、サービスのパブリックIPアドレスを知っておく必要があります。 より簡単にするために、ネットワーキング・サービスでは、「サービスCIDRラベル」を使用して、指定されたOracleサービスまたはOracleサービスのグループのすべてのパブリックcidrを表します。 サービスCidrが将来変更される場合、ルート・ルールまたはセキュリティ・ルールを調整する必要はありません。

例:

  • 「OCI PHXオブジェクト・ストレージ」は、「US West (フェニックス)」リージョン内のすべての「オブジェクト・ストレージ」 CIDRを表すサービスCIDRラベルです。
  • 「Oracle Services NetworkのすべてのPHXサービス」は、「US West (フェニックス)」リージョンのOracle Services NetworkでサポートされているサービスのすべてのCIDRsを表すサービスCIDRラベルです。 サービスのリストについては、「サービス・ゲートウェイ: Oracle Services Networkでサポートされているクラウド・サービス」を参照してください。

詳細に示すように、サービスCIDRラベルは単一のOracleサービスに関連付けることができます(例: ) : オブジェクト・ストレージ、複数のOracleサービス。

このトピックでは、serviceという用語は、より正確に「サービスCIDRラベル」の形で使用されることがよくあります。 注意する必要があるのは、サービス・ゲートウェイ(および関連するルート・ルール)を設定するときは、目的の「サービスCIDRラベル」を指定することです。 コンソールには、使用可能なサービスCIDRラベルが表示されます。 REST APIを使用する場合、ListServices操作は使用可能なServiceオブジェクトを返します。 ServiceオブジェクトcidrBlock属性にはサービスCIDRラベルが含まれます(例: )。 : all-phx-services-in-oracle-services-network ).

使用可能なサービスCIDRラベル

使用可能なサービスCIDRラベルは次のとおりです:

重要

サービス・ゲートウェイを介したOracle YUMサービスへのアクセスの詳細は、この「既知の問題」を参照してください。

サービス・ゲートウェイでのサービスCIDRラベルの有効化

指定されたサービスCIDRラベルへのVCNアクセス権を付与するには、VCNサービス・ゲートウェイのCIDRラベルをサービスとする「有効化」とする必要があります。 これは、サービス・ゲートウェイの作成時、または作成後に実行できます。 サービス・ゲートウェイのサービスCIDRラベルをいつでも無効にできます。

重要

オブジェクト・ストレージOCI <region>オブジェクト・ストレージ「Oracle Services Networkのすべての<region> Services」の両方で説明されているため、サービス・ゲートウェイでは「サービスCIDRラベルのうち1つのみ」を使用できます。 同様に、ルート表にはサービスCIDRラベルの1つに対する1つのルールを含めることができます。 ラベルごとに2つの個別のルールを持つことはできません。

サービス・ゲートウェイが「Oracle Services Networkのすべての<region> Services」を使用するように構成されている場合、ルート・ルールにCIDRラベルを使用できます。 ただし、サービス・ゲートウェイが「OCI <region>オブジェクト・ストレージ」を使用するように構成されていて、ルート・ルールが「Oracle Services Networkのすべての<region>サービス」を使用する場合、「オブジェクト・ストレージ」を除くOracle Services Networkのサービスへのトラフィックはblackholedです。 コンソールでは、サービス・ゲートウェイおよび対応するルート表をそのように構成することは許可されています。

サービス・ゲートウェイを別のサービスCIDRラベルを使用するように切り替える場合は、「別のサービスCIDRラベルに切り替えるには」を参照してください。

サービス・ゲートウェイを介したトラフィックのブロック

特定のVCNのコンテキストでサービス・ゲートウェイを作成します。 つまり、サービス・ゲートウェイは常にその1つのVCNにアタッチされます。 ただし、いつでもサービス・ゲートウェイ経由のトラフィックをブロックまたは許可できます。 デフォルトでは、ゲートウェイは作成時にトラフィック・フローを許可します。 サービス・ゲートウェイ・トラフィックをブロックすると、どのサービスCIDRラベルが有効になっているかに関係なく、あるいはVCN内の既存のルート・ルールまたはセキュリティ・ルールをフローできなくなります。 トラフィックをブロックする方法については、「サービス・ゲートウェイのトラフィックをブロックまたは許可するには」を参照してください。

サービス・ゲートウェイのルート・ルールおよびセキュリティ・ルール

トラフィックをVCNのサブネットからサービス・ゲートウェイにルーティングするには、それに応じてルールをサブネット・ルート表に追加する必要があります。 ルールでは、ターゲットとしてサービス・ゲートウェイを使用する必要があります。 宛先には、サービス・ゲートウェイに対して有効化されている「サービスCIDRラベル」を使用する必要があります。 これは、時間が経過すると変化する可能性がある特定のパブリックCIDRを知る必要がないことを意味します。

その後、サービスのパブリックCIDRにサブネットを残しているトラフィックが、サービス・ゲートウェイにルーティングされます。 サービス・ゲートウェイ・トラフィックがブロックされると、トラフィックに一致するルート・ルールがあっても、そのトラフィックを流れることはありません。 サービス・ゲートウェイのルート・ルールを設定する手順については、「タスク2: サブネットのルーティングを更新」を参照してください。

VCNのセキュリティ・ルールも必要なトラフィックを許可している必要があります。 必要に応じて、CIDRのかわりに、目的のトラフィックのソースまたは宛先にサービスCIDRラベルを使用できます。 これも、サービスの特定のパブリックCIDRがわからないことを意味します。 サービスCIDRラベルは、VCNにサービス・ゲートウェイがなく、サービスへのトラフィックがインターネット・ゲートウェイを使用する場合でも、セキュリティ・ルールで簡単に使用できます。

サービスCIDRラベルを使用する「ステートフルまたはステートレスのセキュリティ・ルール」を使用できます:

  • ステートフル・ルールの場合: 宛先service = 関心のサービスCIDRラベルを使用してエグレス・ルールを作成します。 任意のセキュリティ・ルールと同様に、IPプロトコルやソースおよび宛先ポートなどの他のアイテムを指定できます。
  • ステートレス・ルールの場合: エグレス・ルールとイングレス・ルールの両方が必要です。 宛先service = 関心のサービスCIDRラベルを使用してエグレス・ルールを作成します。 また、ソース・サービス=関心のあるサービスCIDRラベルを持つイングレス・ルールも作成します。 任意のセキュリティ・ルールと同様に、IPプロトコルやソースおよび宛先ポートなどの他のアイテムを指定できます。

サービスCIDRラベルを使用するセキュリティ・ルールの設定手順については、「タスク3: (オプション)セキュリティ・ルールを更新」を参照してください。

オブジェクト・ストレージ: 特定のVCNまたはCIDR範囲からのバケット・アクセスの許可

サービス・ゲートウェイを使用してオブジェクト・ストレージにアクセスする場合は、特定のオブジェクト・ストレージ・バケットへのアクセスを許可するIAMポリシーを記述できます。その要件が満たされている場合にかぎります:

  • リクエストはサービス・ゲートウェイを介して行われます。
  • リクエストは、ポリシーで指定された特定のVCNまたはCIDR (たとえば、VCN内のサブネット)から取得されます。

この特定タイプのIAMポリシーの例と、その使用についての重要な注意点については、「タスク4: (オプション)オブジェクト・ストレージ・バケット・アクセスを制限するためにIAMポリシーを更新」を参照してください。

サービス・ゲートウェイの削除

サービス・ゲートウェイを削除するには、そのトラフィックをブロックする必要はありませんが、ターゲットとしてリストするルート表は存在してはいけません。 「サービス・ゲートウェイを削除するには」を参照してください。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者が作成するポリシーで、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどちらを使用しているかにかかわらず、必要なタイプのアクセスを付与する必要があります。 アクションを実行しようとしたときに、権限のないメッセージや権限のないメッセージを取得する場合は、管理者に付与されているアクセスのタイプと作業するコンパートメントを確認してください。

管理者向け: 「ネットワーキングのIAMポリシー」を参照してください。

コンソールでのサービス・ゲートウェイの設定

次に、サービス・ゲートウェイを設定するプロセスを示します。 ここでは、すでにサブネット(プライベートまたはパブリックのいずれか)を持つVCNがあると想定しています。

重要

サービス・ゲートウェイでは、リージョン内のサポートされているOracleサービスにアクセスして、インターネットからデータを保護できます。
アプリケーションには、サービス・ゲートウェイでサポートされていないパブリック・エンドポイントまたはサービスへのアクセスが必要な場合があります(更新またはパッチのダウンロードなど)。 必要に応じて、「NATゲートウェイ」または他のインターネットへのアクセス権を持っていることを確認します。

タスク1: サービス・ゲートウェイを作成
タスク2: サブネットのルーティングを更新
タスク3: (オプション)セキュリティ・ルールを更新
タスク4: (オプション)オブジェクト・ストレージ・バケット・アクセスを制限するためにIAMポリシーを更新

コンソールでのサービス・ゲートウェイの管理

別のサービスCIDRラベルに切り替えるには
サービス・ゲートウェイを更新するには
サービス・ゲートウェイのトラフィックをブロックまたは許可するには
ルート表を既存のサービス・ゲートウェイに関連付けるには
サービス・ゲートウェイを削除するには
サービス・ゲートウェイのタグを管理するには
サービス・ゲートウェイを別のコンパートメントに移動するには

APIによるサービス・ゲートウェイの管理

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

警告

組織内のすべてのユーザーがサービス・ゲートウェイを実装する場合は、ネットワーキング・サービスのルート・ルールおよびセキュリティ・リストと連携するクライアント・コードの更新が必要になる場合があります。」に注意してください。
APIを変更する可能性があります。 詳細は、「サービス・ゲートウェイのリリース・ノート」を参照してください。

サービス・ゲートウェイを管理するには、次の操作を使用します:

ルート表を管理するには、「ルート表」を参照してください。 セキュリティ・リストを管理するには、「セキュリティ・リスト」を参照してください。 ネットワーク・セキュリティ・グループを管理するには、「ネットワーク・セキュリティ・グループ」を参照してください。 IAMポリシーの管理方法は、「ポリシーの管理」を参照してください。