このコンテンツを正しく表示するには、JavaScriptが有効になっている必要があります

第4章ネットワーク

4.1 VCNおよびサブネットの管理

VCNは、Oracle Private Cloud Appliance製品の基本ネットワーキング・ユニットです。 VCNはさらにIPサブネットに分割でき、個々のVCNは、特定の目的に使用される各タイプのゲートウェイを介して相互に通信できます。

4.1.1 VCNの作成

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
Create VCNをクリックして、Create a Virtual Cloud Networkウィンドウを開きます。
次の詳細を入力します。
- 名前: VCNのわかりやすい名前を入力します。
- コンパートメント: VCNを作成するコンパートメントを選択します。
- CIDRブロック: VCN内で使用できるCIDR範囲を指定します。
- DNS: VCNでDNSホスト名を使用するかどうかを指定します。その場合、DNSラベルを入力するか、フィールドを空白のままにして、システムで名前を生成させます。最初の文字は英字である必要があります。文字と数字のみを使用してください。最大15文字を使用できます。
オプションで、このVCNリソースに1つ以上のタグを追加します。

タグ付けの詳細は、第3.4.1項、「リソース作成時のタグの追加」または「リソース・タグ管理」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
「仮想クラウド・ネットワークの作成」をクリックします。新しいVCNは、作成したコンパートメントの仮想クラウド・ネットワークのリストに表示されます。

CLI の使用

VCNを作成するコンパートメントのOCIDをコピーします。

少なくともコンパートメントIDおよびCIDRブロック・オプションを使用して、vcn createコマンドを入力します。

VCNでDNSホスト名を使用する場合は、作成コマンドにDNSラベルを含めます。あとから追加することはできません。

この例では、VCNにわかりやすい表示名も設定します。

# oci network vcn create --compartment-id "<target-compartment-ocid>" \
--cidr-block "10.1.0.0/16" --dns-label "vcn1" --display-name "myvcn1"
{
  "data": {
    "cidr-block": "10.1.0.0/16",
    "compartment-id": "ocid1.compartment.….….….uniqueID",
    "default-dhcp-options-id": "ocid1.dhcpoptions.oc1.pca..….….….uniqueID",
    "default-route-table-id": "ocid1.routetable.oc1.pca..….….….uniqueID",
    "default-security-list-id": "ocid1.security_list.oc1.pca..….….….uniqueID",
    "defined-tags": null,
    "display-name": "myvcn1",
    "dns-label": "vcn1",
    "freeform-tags": null,
    "id": "ocid1.vcn.oc1.pca...….….….uniqueID",
    "ipv6-cidr-block": null,
    "ipv6-public-cidr-block": null,
    "lifecycle-state": "AVAILABLE",
    "time-created": "2021-01-11T14:08:15+00:00",
    "vcn-domain-name": "vcn1.oraclevcn.com"
  },
  "etag": "1"
}

4.1.2 サブネットの作成

VCNはサブネットに分割できます。 1000個のIPアドレスを持つ巨大なVCNを持つことは可能ですが、多くの場合、パフォーマンスと障害の分離の観点から、VCN内に複数のサブネットを作成できます。サブネットは、適切に構成されていても通信できます。

IPサブネットの計算は、特に、範囲内のどのIPアドレスが予約されているかを特定する場合に困難なタスクとなる場合があります。許容されるCIDRブロック・アドレスの範囲は、問題を複雑にします。 https://www.calculator.net/ip-subnet-calculator.htmlなど、オンラインで使用できる無料のサブネット計算ツールがあります。

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
新しいサブネットを作成するVCNをクリックします。「VCNの詳細」ページが表示されます。
サブネットの作成をクリックして、サブネットの作成ウィンドウを開きます。
次の詳細を入力します。
- 名前: サブネットのわかりやすい名前を入力します。
- CIDRブロック: サブネット内で使用できるCIDR範囲を指定します。 VCN CIDRブロック内にあり、他のサブネットと重複しないようにする必要があります。
- ルート表(オプション): このサブネットに関連付けるルート表を選択します。コンパートメントの選択を有効にした場合は、ルート表を含むコンパートメントを指定します。ルート表を選択しない場合、デフォルトのルート表が使用されます。
- サブネット・アクセス: このサブネットのインスタンスでパブリックIPアドレスの取得を許可するかどうかを選択します。
- DNSラベル(オプション): このオプションは、作成時にVCNにDNSラベルを指定した場合にのみ使用できます。サブネットでDNSホスト名を使用するかどうかを指定します。その場合は、システム全体で一意のDNSラベルを入力します。
- DHCPオプション(オプション): サブネットに関連付けるDHCPオプションのセットを選択します。コンパートメントの選択を有効にした場合は、DHCPオプションのセットを含むコンパートメントを指定します。これらの値を設定しない場合は、デフォルトの値セットが使用されます。
- セキュリティ・リスト(オプション): サブネットに関連付ける1つ以上のセキュリティ・リストを選択します。セキュリティ・リストを選択しない場合は、デフォルトのセキュリティ・リストが使用されます。
オプションで、このサブネット・リソースに1つ以上のタグを追加します。

タグ付けの詳細は、第3.4.1項、「リソース作成時のタグの追加」または「リソース・タグ管理」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
「サブネットの作成」をクリックします。新しいサブネットは、それを作成したVCNのサブネットのリストに表示されます。

CLI の使用

次のリソースに必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)すべてのコンパートメントの表示から、サブネットを作成するコンパートメントのOCIDを選択します。
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)

少なくともコンパートメントID、VCN IDおよびCIDRブロック・オプションを使用して、subnet createコマンドを入力します。

サブネットでDNSホスト名を使用する場合は、createコマンドにDNSラベルを含めます。あとから追加することはできません。このオプションは、作成時にVCNにDNSラベルを指定した場合にのみ使用できます。

この例では、サブネットにわかりやすい表示名も設定します。 DHCPオプションのセットが指定されていないため、サブネットではVCNデフォルト・セットが使用されます。

# oci network subnet create --compartment-id "<target-compartment-ocid>" \
--vcn-id "<parent-vcn-ocid>" --cidr-block "10.1.1.0/24" --dns-label "sn1" --display-name "mysn1"
{
  "data": {
    "availability-domain": "PCANETWORK",
    "cidr-block": "10.1.1.0/24",
    "compartment-id": "ocid1.tenancy.oc1.pca..….….….uniqueID",
    "defined-tags": null,
    "dhcp-options-id": "ocid1.dhcpoptions.oc1.pca..….….….uniqueID",
    "display-name": "mysn1",
    "dns-label": "sn1",
    "freeform-tags": null,
    "id": "ocid1.subnet.oc1.pca..….….….uniqueID",
    "ipv6-cidr-block": null,
    "ipv6-public-cidr-block": null,
    "ipv6-virtual-router-ip": null,
    "lifecycle-state": "AVAILABLE",
    "prohibit-public-ip-on-vnic": false,
    "route-table-id": "ocid1.routetable.oc1.pca..….….….uniqueID",
    "security-list-ids": [
      "ocid1.security_list.oc1.pca..….….….uniqueID"
    ],
    "subnet-domain-name": "sn1.testvcn1.example.com",
    "time-created": "2021-01-11T17:51:54+00:00",
    "vcn-id": "ocid1.vcn.oc1.pca..….….….uniqueID",
    "virtual-router-ip": "10.1.1.1",
    "virtual-router-mac": "00:13:97:0e:8f:ff"
  },
  "etag": "1"
}

4.1.3 サブネットの編集

VCNサブネットが確立されると、サブネットの名前、サブネットによって使用されるルート表およびセキュリティ・リスト、DHCPオプションなどのプロパティを変更できます。

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
編集するサブネットを含むVCNをクリックします。「VCNの詳細」ページが表示されます。
サブネット・リストで、編集するアイテムを見つけます。アクション・メニューで、編集をクリックしてサブネットの編集ウィンドウを開きます。
サブネットに必要な変更を行います。次のプロパティを編集できます:
- 名前: サブネットの名前を変更します。
- ルート表: このサブネットに関連付ける別のルート表を選択します。コンパートメントの選択を有効にした場合は、ルート表を含むコンパートメントを指定します。
- DHCPオプション: サブネットに関連付ける別のDHCPオプションのセットを選択します。コンパートメントの選択を有効にした場合は、DHCPオプションのセットを含むコンパートメントを指定します。
- セキュリティ・リスト: このサブネットに関連付ける別のセキュリティ・リストを選択します。コンパートメントの選択を有効にした場合は、ルート表を含むコンパートメントを指定します。
オプションで、このサブネット・リソースのタグを追加または削除します。

タグ付けの詳細は、第3.4.1項、「リソース作成時のタグの追加」または「リソース・タグ管理」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
「変更の保存」をクリックします。サブネットのプロパティが更新されます。

CLI の使用

必要な情報を収集します。
- コンパートメントOCID ( oci iam compartment list --all)
- サブネットOCID (oci network subnet list --compartment-id <compartment_OCID>)

サブネットIDと変更するパラメータを使用して、subnet updateコマンドを入力します。

この例では、サブネットのDHCPオプションおよびルート表を変更します。

# oci network subnet update --subnet-id "<subnet-ocid>" \
--dhcp-options-id "<dhcp-options-ocid>" \
--route-table-id "<route-table-ocid>"
{
  "data": {
    "availability-domain": "PCANETWORK",
    "cidr-block": "10.1.1.0/24",
    "compartment-id": "ocid1.tenancy.oc1.pca..….….….uniqueID",
    "defined-tags": null,
    "dhcp-options-id": "ocid1.dhcpoptions.oc1.pca..….….….uniqueID",
    "display-name": "mysn1",
    "dns-label": "sn1",
    "freeform-tags": null,
    "id": "ocid1.subnet.oc1.pca..….….….uniqueID",
    "ipv6-cidr-block": null,
    "ipv6-public-cidr-block": null,
    "ipv6-virtual-router-ip": null,
    "lifecycle-state": "AVAILABLE",
    "prohibit-public-ip-on-vnic": false,
    "route-table-id": "ocid1.routetable.oc1.pca..….….….uniqueID",
    "security-list-ids": [
      "ocid1.security_list.oc1.pca..….….….uniqueID"
    ],
    "subnet-domain-name": "sn1.testvcn1.oraclevcn.com",
    "time-created": "2021-01-11T17:51:54+00:00",
    "vcn-id": "ocid1.vcn.oc1.pca..….….….uniqueID",
    "virtual-router-ip": "10.1.1.1",
    "virtual-router-mac": "00:13:97:0e:8f:ff"
  },
  "etag": "4"
}

4.1.4 サブネットの削除

サブネットを削除できるのは、空の場合のみです。サブネットを削除する前に、すべてのコンピュート・インスタンスおよび他のリソースが削除されていることを確認してください。

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
削除するサブネットを含むVCNをクリックします。「VCNの詳細」ページが表示されます。
サブネット・リストで、削除するアイテムを見つけます。アクション・メニューで、削除をクリックします。プロンプトが表示されたら、操作を確認します。

CLI の使用

削除するサブネットのOCIDをコピーします。

サブネットIDを使用してsubnet deleteコマンドを入力します。

# oci network subnet delete --subnet-id <subnet-ocid>
Are you sure you want to delete this resource? [y/N]: y

4.1.5 VCNの終了

VCNを削除するには、まず空であり、関連するリソースまたはアタッチされたゲートウェイ(たとえば、)がない必要があります: インターネット・ゲートウェイ、動的ルーティング・ゲートウェイなどはありません。 VCNサブネットを削除するには、まず空である必要があります。

VCNを終了する場合、VCNを削除するときにエラーは発生しません。

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
終了するVCNをドロップダウン・リストから選択します。「VCNの詳細」ページが、リソース・リストの割当てゲートウェイとともに表示されます。
「終了済」をクリックします。プロンプトが表示されたら、操作を確認します。

4.1.6 VCNの削除

VCNが空の場合(終了およびデタッチされている場合)、削除できます。 VCNを削除する前に、影響を受けるすべてのコンピュート・インスタンスおよびその他のリソースを認識していることを確認してください。

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
削除するVCNをクリックします。「VCNの詳細」ページが表示されます。
「終了済」をクリックします。プロンプトが表示されたら、操作を確認します。

CLI の使用

次のリソースの情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)

# oci network vcn delete --vcn-id <vcn-ocid>
Are you sure you want to delete this resource? [y/N]: y

4.2 VCNルールおよびオプションの構成

VCNとそのサブネットには、様々なルールおよびオプションが関連付けられています。主なカテゴリは、DHCP、ルート表およびセキュリティの使用です。これらの領域は非常に重要です。これらを明示的に構成しない場合でも、カテゴリごとに一連のデフォルト値が使用されます。

デフォルト値は常に変更または追加できますが、DHCPオプション、ルート表およびセキュリティ・リストに使用可能なパラメータを把握することが重要です。

4.2.1 DHCPオプションの操作

サブネットを作成する際は、サブネットに関連付けるDHCPオプションのセットを指定します。そうしない場合、VCNのDHCPオプションのデフォルト・セットが使用されます。サブネットのDHCPオプションはいつでも変更できますが、サブネットには一度に1つのDHCPオプションのセットのみを割り当てることができます。 DHCPオプションのセットはリソースで、独自のOCIDがあります。割り当てられたDHCPオプション・セットは、そのサブネット内のすべてのインスタンスに適用されます。

DHCPオプションの新しいセットを作成する場合、オプションでわかりやすい名前を割り当てることができます。一意である必要はなく、後で変更できます。

DHCPオプションのセットを削除するには、サブネットに関連付けることはできません。 DHCPオプションのセットがサブネットに関連付けられている場合は、DHCPオプション・セットをデタッチしてから削除する必要があります。 VCNのDHCPオプションのデフォルト・セットは削除できません。

詳細は、「仮想ネットワークの概要」の「DHCPオプション」の項を参照してください。

4.2.1.1 DHCPオプションのVCNデフォルト・セットの表示

すべてのVCNには個別のデフォルトVCNオプションのセットがあります。 VCN AおよびVCN Bを構成した場合、各VCNにはDHCPオプションのデフォルト・セットが関連付けられています: "VCN AのデフォルトDHCPオプション"および"VCN BのデフォルトDHCPオプション"。正しいDHCPオプション・セットを選択してください。

ノート

ターゲットのプライマリ・プライベートIPにパブリックIPをすでに割り当てることはできません。

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
Resourcesの下のDHCP Optionsをクリックします。

デフォルト・セットとその詳細がリストに表示されます。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID (oci iam compartment list --all)。これは、このパブリックIPアドレスを割り当てるインスタンスのプライマリ・プライベートIPアドレス(private-ip-id)のOCIDである必要があります。 is-primaryの値は"true"である必要があります。コンパートメントOCIDは、プライベートIPが存在するコンパートメントに対するものである必要があり、必ずしもインスタンスのコンパートメントではありません。

次のコマンドを実行します

この例はDHCPオプションのデフォルト・セットを示していますが、このコマンドにより、コンパートメントで使用可能なすべてのDHCPオプション・セットが一覧表示されます(構成されている場合)。

oci network dhcp-options list --compartment-id \
ocid1.tenancy..….uniqueID
{
  "data": [
    {
      "compartment-id": "ocid1.tenancy..….uniqueID",
      "defined-tags": {},
      "display-name": "Default DHCP Options for VCN-10-0-0-0-lr",
      "freeform-tags": {},
      "id": "ocid1.dhcpoptions..….uniqueID",
      "lifecycle-state": "AVAILABLE",
      "options": [
        {
          "custom-dns-servers": null,
          "server-type": "VcnLocalPlusInternet",
          "type": "DomainNameServer"
        },
        {
          "search-domain-names": [
            "vcn10.oraclevcn.com"
          ],
          "type": "SearchDomain"
        }
      ],
      "time-created": "2021-05-17T20:05:57+00:00",
      "vcn-id": "ocid1.vcn..….uniqueID"
    }
  ]
}

4.2.1.2 DHCPオプションの既存のセットの更新

DHCPオプションに加えた変更は、インスタンスの再起動後に有効になります。詳細は、https://docs.oracle.com/en-us/iaas/Content/Network/Tasks/managingDHCP.htm#Importanを参照してください

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
Resourcesの下のDHCP Optionsをクリックします。
目的のセットについて、アクション・アイコン(3つのドット)をクリックし、編集をクリックします:
- DNSタイプ: サブネット内のインスタンスがインターネット・ホスト名およびVCN内のインスタンスのホスト名を解決する場合は、Internet and VCN Resolverを選択します。または、選択したDNSサーバーを使用するには、Custom Resolverを選択し、サーバーのIPアドレスを入力します(最大3つのサーバー)。詳細は、「仮想ネットワークの概要」の「名前解決」の項を参照してください。
- ドメインの検索: サブネットのインスタンスで、DNS問合せの解決時に特定の検索ドメインを追加する場合は、ここに入力します。詳細は、「仮想ネットワークの概要」の「DHCPオプション」の項を参照してください。
- タグ付け: オプションで、このリソースに1つ以上のタグを追加します。
  
  タグを適用するかどうかわからない場合は、このオプションをスキップします(後でタグを適用できます)。
  
  リソースのタグ付けの詳細は、第3.4.1項、「リソース作成時のタグの追加」または「リソース・タグ管理」を参照してください。
「変更の保存」をクリックします。
このDHCPオプションのセットを使用するサブネット内に既存のインスタンスがある場合は、影響を受ける各インスタンスのDHCPクライアントを再起動するか、インスタンス自体を再起動して新しい設定を取得します。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- DHCP OCID (oci network dhcp-options list --compartment-id <compartment_OCID>)

次のコマンドを実行します

構文(1行に入力):

oci network dhcp-options update \
--display-name <new_name> 
--dhcp-id <dhcp_OCID>

例

oci network dhcp-options update --display-name sample-vcn \
--dhcp-id ocid1.dhcpoptions..….uniqueID
{
  "data": {
    "compartment-id": "ocid1.tenancy..….uniqueID",
    "defined-tags": {},
    "display-name": "sample-vcn",
    "freeform-tags": {},
    "id": "ocid1.dhcpoptions..….uniqueID",
    "lifecycle-state": "AVAILABLE",
    "options": [
      {
        "custom-dns-servers": null,
        "server-type": "VcnLocalPlusInternet",
        "type": "DomainNameServer"
      }
    ],
    "time-created": "2021-05-21T14:36:30+00:00",
    "vcn-id": "ocid1.vcn..….uniqueID"
  },
  "etag": "3"
}

4.2.1.3 新しいDHCPオプションのセットの作成

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
Resourcesの下のDHCP Optionsをクリックします。
Create DHCP Optionsをクリック
次のように入力します。
- 名前: オプションのセットのわかりやすい名前。一意である必要はなく、後で変更できます。
- コンパートメントに作成: DHCPオプションのセットを作成するコンパートメント。
- DNSタイプ: サブネット内のインスタンスがインターネット・ホスト名およびVCN内のインスタンスのホスト名を解決する場合は、Internet and VCN Resolverを選択します。または、選択したDNSサーバーを使用するには、Custom Resolverを選択し、サーバーのIPアドレスを入力します(最大3つのサーバー)。詳細は、「仮想ネットワークの概要」の「名前解決」の項を参照してください。
- ドメインの検索: サブネットのインスタンスで、DNS問合せの解決時に特定の検索ドメインを追加する場合は、ここに入力します。特定の状況では、ネットワーキング・サービスによって「ドメインの検索」オプションが自動的に設定されることに注意してください。詳細は、「仮想ネットワークの概要」の「DHCPオプション」の項を参照してください。
- タグ付け: タグ付けの詳細は、第3.4.1項、「リソース作成時のタグの追加」またはリソース・タグ管理を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
Create DHCP Optionsをクリックします。

オプションのセットが作成され、選択したコンパートメントの「DHCPオプション」ページに表示されます。これで、サブネットの作成時または更新時に、このオプション・セットを指定できます。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)

次のコマンドを実行しますこの手順では、このコマンドに必要な最小パラメータを示します。オプションのパラメータについては、--helpオプションを指定してコマンドを実行します。

構文(1行に入力):

oci network dhcp-options create --compartment-id <compartment-id-ocid> 
--vcn-id <vcn-ocid>

最小限必要なパラメータを使用する例:

oci network dhcp-options create \
--compartment-id ocid1.tenancy..….uniqueID \
--vcn-id ocid1.vcn..….uniqueID \
--options '{"type": "DomainNameServer", "customDnsServers": "202.44.61.9", \
     "serverType": "CustomDnsServer"}'
{
  "data": {
    "compartment-id": "ocid1.tenancy..….uniqueID",
    "defined-tags": {},
    "display-name": "dhcp_options20210521161734",
    "freeform-tags": {},
    "id": "ocid1.dhcpoptions..….uniqueID",
    "lifecycle-state": "PROVISIONING",
    "options": null,
    "time-created": "2021-05-21T16:17:34+00:00",
    "vcn-id": "ocid1.vcn..….uniqueID"
  },
  "etag": "1"
}

4.2.1.4 サブネットのDHCPオプションの変更

指定されたDHCPオプションのセットを更新します。表示名またはその他のオプションを更新できます。フリー・フォームやその他のDHCPオプション・タグを更新することもできます。

変更は数秒以内に有効になります。新しいDHCPオプションのセット全体が有効になります。

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
「サブネット」をクリックします。
目的のサブネットをクリックします。
「編集」をクリックします。
「DHCPオプション」セクションで、サブネットで使用する新しいDHCPオプションのセットを選択します。
「変更の保存」をクリックします。

CLI の使用

次の情報を収集して、oci network dhcp-options updateコマンドを実行します:
- コンパートメントOCID ( oci iam compartment list --all)
- DHCP OCID (oci network dhcp-options list --compartment-id <compartment_OCID>)

次のコマンドを実行します

この手順では、このコマンドに必要な最小パラメータを示します。オプションのパラメータについては、--helpオプションを指定してコマンドを実行します。

oci network dhcp-options update --dhcp-id ocid1.dhcpoptions...….uniqueID
{
  "data": {
    "compartment-id": "ocid1.compartment....….uniqueID",
    "defined-tags": {},
    "display-name": "test_DHCP_options",
    "freeform-tags": "",
    "id": "ocid1.dhcpoptions.defaultrealm....….uniqueID",
    "lifecycle-state": "PROVISIONING",
    "options": [
      {
        "custom-dns-servers": "",
        "server-type": "VcnLocalPlusInternet",
        "type": "DomainNameServer"
      }
    ],
    "time-created": "2021-10-08T20:50:11.414117+00:00",
    "vcn-id": "ocid1.vcn.defaultrealm....….uniqueID"
  },
  "etag": "83139c07-160c-4948-9bc1-866230c3ca83"
}

4.2.1.5 DHCPオプションのセットの削除

DHCPオプションのセットを削除するには、サブネットにまだ関連付けられていない必要があります。 VCN内のDHCPオプションのデフォルト・セットは削除できません。

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
Resourcesの下のDHCP Optionsをクリックします。
削除するセットについて、アクション・アイコン(3つのドット)をクリックし、削除をクリックします。
要求されたら、確認します。

CLI の使用

次の情報を収集して、oci network dhcp-options deleteコマンドを実行します:
- コンパートメントOCID ( oci iam compartment list --all)
- DHCP OCID (oci network dhcp-options list --compartment-id <compartment_OCID>)
次のコマンドを実行します

この手順では、このコマンドに必要な最小パラメータを示します。オプションのパラメータについては、--helpオプションを指定してコマンドを実行します。
```
oci network dhcp-options delete --dhcp-id ocid1.vcn..….uniqueID

Are you sure you want to delete this resource? [y/N]: y
```

4.2.2 ルート表の使用

サブネットを作成する際は、サブネットに関連付けるルート表を指定します。そうしない場合、VCNの作成時に作成されたデフォルト・ルート表が使用されます。サブネットのルート表エントリは、いつでも変更できますが、サブネットには一度に1つのルート表のみを割り当てることができます。割り当てられたルート表は、そのサブネット内のすべてのインスタンスに適用されます。

新しいルート表を作成する場合は、オプションでわかりやすい名前を割り当てることができます。一意である必要はなく、後で変更できます。 Oracleでは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子がルート表に自動的に割り当てられます。

ルート表を削除するには、サブネットにまだ関連付けられていない必要があります。 VCNデフォルト・ルート表は削除できません。

詳細は、「仮想ネットワークの概要」の「ルート表」の項を参照してください。

4.2.2.1 VCNデフォルト・ルート表の表示

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
「Resources」の下の「Route Tables」をクリックします。

デフォルトのルート表が表リストに表示されます。
デフォルト・ルート表をクリックして、その詳細を表示します。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)

次のコマンドを実行します

構文(1行に入力):

oci network route-table list \
--compartment-id <compartment-id-ocid> \ 
--vcn-id <vcn-ocid>

最小限必要なパラメータを使用する例:

oci network route-table list \
--compartment-id ocid1.tenancy.….uniqueID \
--vcn-id ocid1.vcn..….uniqueID
{
  "data": {
      "compartment-id": "ocid1.tenancy..….uniqueID",
      "defined-tags": {},
      "display-name": "Default Route Table for VCN-10-0-0-0-lr",
      "freeform-tags": {},
      "id": "ocid1.routetable..….uniqueID",
      "lifecycle-state": "AVAILABLE",
      "route-rules": [],
      "time-created": "2021-05-17T20:05:57+00:00",
      "vcn-id": "ocid1.vcn..….uniqueID"
  },
}

4.2.2.2 既存のルート表のルールの更新

UIを使用して、既存のルート表内のルールを追加、編集または削除できます。ただし、CLIを使用してルート表のルールを更新すると、更新によって、現在のすべてのルールが更新で指定されたルールに置き換えられます。つまり、更新は修正操作よりも置換操作です。

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
「Resources」の下の「Route Tables」をクリックします。
目的のルート表をクリックします。
ルート・ルールを作成する場合は、ルート・ルールの追加をクリックし、次を入力します:
- ターゲット・タイプ: 許可されているターゲット・タイプのリストからターゲット・タイプを選択します。
- 宛先CIDRブロック: この値は、トラフィックの宛先CIDRブロックです。 0.0.0.0/0の値は、ルート表内の他のルールでカバーされていないすべての非VCNトラフィックがこのルールで指定されたターゲットに送信されることを意味します。
- コンパートメント: ターゲットが配置されているコンパートメント。
- ターゲットまたはゲートウェイ:使用するゲートウェイの名前をリストから選択します。
- 説明: ルールの説明(オプション)。
既存のルールを削除する場合は、アクション・アイコン(3つのドット)をクリックし、「削除」をクリックします。
既存のルールを編集する場合は、アクション・アイコン(3つのドット)をクリックし、「編集」をクリックします。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- ルート表OCID ( oci network route-table list --compartment-id <compartment_OCID>)
次のコマンドを実行します

構文(1行に入力):
```
oci network route-table update --rt-id <vcn-ocid> --route-rules [complex type]
```
複合データ型は、通常、--generate-full-command-json-inputオプション(この場合はoci network route-table update --generate-param-json-input route-rules)を使用して処理されます。このコマンド・オプションで使用するサンプルのjsonファイルが生成されます。キー名は事前に移入され、コマンド・オプション名と一致します(compartment-idがcompartmentIdのようにcamelCase形式に変換されます)。

このコマンドの入力としてサンプル・ファイルを使用する前に、キーの値がユーザーによって編集されます。

複数の値を受け入れるコマンド・オプションの場合、キーの値はJSON配列にできます。

オプションはコマンド行でも指定できます。 JSONドキュメントとコマンドラインの両方にオプションが存在する場合、コマンドラインで指定された値が使用されます。

ルート・ルールの入力ファイル、新しい表示名、および必要な最小パラメータを使用する例:
```
oci network route-table update --rt-id ocid1.routetable.….uniqueID \ 
 --display-name new-route-table-for-vcn-a \
 --route-rules file:///root/users-stuff/updated-route-rules.json

{
  "data": [
    {
      "compartment-id": "ocid1.tenancy.....….uniqueID",
      "defined-tags": {},
      "display-name": "new-route-table-for-vcn-a",
      "freeform-tags": {},
      "id": "ocid1.routetable......….uniqueID",
      "lifecycle-state": "AVAILABLE",
      "route-rules": [
        {
          "cidr-block": null,
          "description": "new route rules for VCN A,
          "destination": "0.0.0.0/0",
          "destination-type": "CIDR_BLOCK",
          "network-entity-id": "ocid1.internetgateway......….uniqueID"
        }
      ],
      "time-created": "2021-11-08T19:21:37.429310+00:00",
      "vcn-id": "ocid1.vcn......….uniqueID"
    }
  ]
}
```

4.2.2.3 ルート表の作成

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
「Resources」の下の「Route Tables」をクリックします。
「ルート表の作成」をクリックします。
次のように入力します。
- 名前: ルート表のわかりやすい名前。名前は一意である必要はなく、後でコンソールで変更することはできません(ただし、APIを使用して変更できます)。機密情報は入力しないでください。
- コンパートメントに作成: ルート表を作成するコンパートメント(現在作業しているコンパートメントと異なる場合)。
オプションで、+Additionalルート・ルールをクリックして、1つ以上のルート・ルールを追加します。各ルールには次の情報が含まれます(ルート表は、ルールを追加する準備ができるまで、ルールなしで存在できます):
- ターゲット・タイプ: VCNのルーティングの概要のターゲット・タイプのリストを参照してください。
- 宛先CIDRブロック: この値は、トラフィックの宛先CIDRブロックです。 0.0.0.0/0の値は、ルート表内の他のルールでカバーされていないすべての非VCNトラフィックがこのルールで指定されたターゲットに送信されることを意味します。
- コンパートメント: ターゲットが配置されているコンパートメント。
- ターゲット: ルールのターゲットを選択します。
- 説明: ルールの説明(オプション)。
タグ付け: リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
「ルート表の作成」をクリックします。

ルート表が作成され、選択したコンパートメントの「ルート表」ページに表示されます。これで、サブネットの作成時または更新時に、このルート表を指定できます。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)

次のコマンドを実行します

構文(1行に入力):

oci network route-table create \
--compartment-id <compartment-id-ocid> \
--route-rules [complex-type] \
--vcn-id <vcn-ocid>

最小限必要なパラメータを使用する例:

oci network route-table create  --compartment-id \
ocid1.compartment....uniqueID \
--route-rules '[{"cidrBlock":"0.0.0.0/0","networkEntityId": \
     "ocid1.internetgateway.oc1..….….….uniqueID"}]' \
--vcn-id ocid1.vcn.….uniqueID

oci network route-table create 
 --compartment-id ocid1.compartment....uniqueID \
 --route-rules file:///root/users-stuff/updated-route-rules.json
 --vcn-id ocid1.vcn.….uniqueID

{
  "data": [
    {
      "compartment-id": "ocid1.tenancy.....….uniqueID",
      "defined-tags": {},
      "display-name": "Route Table for VCN A",
      "freeform-tags": {},
      "id": "ocid1.routetable......….uniqueID",
      "lifecycle-state": "AVAILABLE",
      "route-rules": [
        {
          "cidr-block": null,
          "description": "Route Rules for VCN A,
          "destination": "0.0.0.0/0",
          "destination-type": "CIDR_BLOCK",
          "network-entity-id": "ocid1.internetgateway......….uniqueID"
        }
      ],
      "time-created": "2021-11-08T19:21:37.429310+00:00",
      "vcn-id": "ocid1.vcn......….uniqueID"
    }
  ]
}

4.2.2.4 ルート表の削除

前提条件: ルート表を削除するには、サブネットにまだ関連付けられていない必要があります。 VCN内のデフォルト・ルート表は削除できません。

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
「Resources」の下の「Route Tables」をクリックします。
目的のルート表をクリックします。
「削除」をクリックします。
要求されたら、確認します。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- ルート表OCID ( oci network route-table list --compartment-id <compartment_OCID>)

次のコマンドを実行します

構文(1行に入力):

oci network route-table delete \
--rt-id <rt-ocid>

最小限必要なパラメータを使用する例:

oci network route-table delete --rt-id \
ocid1.routetable.….uniqueID
Are you sure you want to delete this resource? [y/N]: y

このプロンプトを非表示にするには、--forceオプションを使用します。

4.2.2.5 ルート表のタグの管理

コンピュートWeb UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
「Resources」の下の「Route Tables」をクリックします。
目的のルート表をクリックします。
「Tags」タブをクリックして、既存のタグを表示または編集します。または、タグの適用をクリックして新しいタグを追加します。

詳細は、リソース・タグを参照してください。

4.2.3 セキュリティ・リストを使用したトラフィックの制御

セキュリティ・リストを使用して、サブネットのすべてのインバウンド(イングレス)トラフィックとアウトバウンド(エグレス)トラフィックに適用されるルールを定義します。サブネット当たり最大5つのセキュリティ・リストを関連付けることができます。ルート表と同様に、デフォルトのセキュリティ・リストと専用のセキュリティ・リストがあります。より適切に管理および管理するには、サブネットごとに専用のセキュリティ・リストを必ず使用してください。

4.2.3.1 VCNセキュリティ・リストの表示

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
「Resources」の下の「Security Lists」をクリックします。

セキュリティ・リストが表リストに表示されます。
セキュリティ・リストをクリックして、詳細なイングレスおよびエグレス・ルールを表示します。

CLI の使用

目的のVCNのコマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list <options>)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)

次のコマンドを実行します

構文(1行に入力):

oci network security-list list \
--compartment-id <compartment-id-ocid> \
--vcn-id <vcn-ocid>

最小限必要なパラメータを使用する例:

oci network security-list list \
--compartment-id ocid1.tenancy.….uniqueID \
--vcn-id ocid1.vcn.….uniqueID

{
  "data": [
    {
      "compartment-id": "ocid1.tenancy..….uniqueID",
      "defined-tags": {},
      "display-name": "Default Security List for VCN-10.25",
      "egress-security-rules": [
        {
          "description": null,
          "destination": "0.0.0.0/0",
          "destination-type": "CIDR_BLOCK",
          "icmp-options": null,
          "is-stateless": null,
          "protocol": "all",
          "tcp-options": null,
          "udp-options": null
        }
      ],
      "freeform-tags": {},
      "id": "ocid1.security_list..….uniqueID",
      "ingress-security-rules": [
        {
          "description": null,
          "icmp-options": null,
          "is-stateless": true,
          "protocol": "all",
          "source": "0.0.0.0/0",
          "source-type": "CIDR_BLOCK",
          "tcp-options": null,
          "udp-options": null
        }
      ],
      "lifecycle-state": "AVAILABLE",
      "time-created": "2021-08-18T18:52:02.378108+00:00",
      "vcn-id": "ocid1.vcn..….uniqueID"
    }
}

4.2.3.2 新しいセキュリティ・リストの作成

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
「Resources」の下の「Security Lists」をクリックします。
「セキュリティ・リストの作成」をクリックします。
次のように入力します。
- 名前: セキュリティ・リストのわかりやすい名前。名前は一意である必要はなく、後でコンソールで変更することはできません(ただし、APIを使用して変更できます)。機密情報は入力しないでください。
- コンパートメントに作成: ルート表を作成するコンパートメント(現在作業しているコンパートメントと異なる場合)。
オプションで、イングレスのルール許可ボックスで、+Newルールをクリックして、1つ以上の新しいイングレス・ルールを追加します。各ルールには次の情報が必要です(デフォルトのセキュリティ・リストは、追加可能なルールの基本セットが存在します):
- ステートレス: 新しいルールをステートレスにする場合は、このボックスを選択します。デフォルトでは、セキュリティ・リスト・ルールはステートフルであり、リクエストと調整されたレスポンスの両方に適用されます。ステートレス・ルールおよびステートフル・ルールの詳細は、「Oracle Private Cloud Appliance概要ガイド」の仮想ネットワーキングの概要の「セキュリティ・リスト」の項を参照してください。
- イングレス・タイプ: 許可されるタイプのドロップダウン・リストからセキュリティ・リスト・ルールのタイプを設定します。この値は、トラフィックの宛先CIDRブロックです。
  - イングレスCIDR: イングレス・タイプにCIDRを選択した場合は、ルールの対象となるCIDRブロックを入力します。
- IPプロトコル: ルールは、すべてのIPプロトコル、またはICMP、TCP、UDPなどの選択肢に適用できます。ドロップダウン・リストから対象となるプロトコルを選択します。
  - ポート範囲: TCPやUDPなどの一部のプロトコルでは、ポート範囲を指定できます。
  - パラメータ・タイプおよびコード: ICMPの場合、ルールを適用する特定のパラメータ・タイプおよびパラメータ・コードを指定できます。
- 説明: ルールの説明(オプション)。
オプションで、エグレスのルール許可ボックスで、+Newルールをクリックして、1つ以上の新しいエグレス・ルールを追加します。各ルールには次の情報が必要です(デフォルトのセキュリティ・リストは、追加可能なルールの基本セットが存在します):
- ステートレス: 新しいルールをステートレスにする場合は、このボックスを選択します。デフォルトでは、セキュリティ・リスト・ルールはステートフルであり、リクエストと調整されたレスポンスの両方に適用されます。ステートレス・ルールおよびステートフル・ルールの詳細は、「Oracle Private Cloud Appliance概要ガイド」の仮想ネットワーキングの概要の「セキュリティ・リスト」の項を参照してください。
- エグレス・タイプ: 許可されるタイプのドロップダウン・リストからセキュリティ・リスト・ルールのタイプを設定します。この値は、トラフィックの宛先CIDRブロックです。
  - エグレスCIDR: エグレス・タイプにCIDRを選択した場合は、ルールの対象となるCIDRブロックを入力します。
- IPプロトコル: ルールは、すべてのIPプロトコル、またはICMP、TCP、UDPなどの選択肢に適用できます。ドロップダウン・リストから対象となるプロトコルを選択します。
  - ポート範囲: TCPやUDPなどの一部のプロトコルでは、ポート範囲を指定できます。
  - パラメータ・タイプおよびコード: ICMPの場合、ルールを適用する特定のパラメータ・タイプおよびパラメータ・コードを指定できます。
- 説明: ルールの説明(オプション)。
タグ付け: タグ付けの詳細は、第3.4.1項、「リソース作成時のタグの追加」または「リソース・タグ管理」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
「セキュリティ・リストの作成」をクリックします。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list <options>)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)

次のコマンドを実行します

構文(1行に入力):

oci network security-list create \
--compartment-id <compartment-id-ocid> \
--vcn-id <vcn-ocid> \
--ingress-security-rules <complex-data-type> \
--egress-security-rules <complex-data-type>

最小限必要なパラメータを使用する例:

oci network security-list create --compartment-id ocid1.tenancy..….uniqueID 
--vcn-id ocid1.vcn..….uniqueID 
--egress-security-rules '[{"destination": "10.0.2.0/24", "protocol": "6", "isStateless":
 true, "tcpOptions": {"destinationPortRange": {"max": 1521, "min": 1521}, 
 "sourcePortRange": {"max": 1521, "min": 1521}}}]' 
--ingress-security-rules  '[{"source": "10.0.2.0/24", "protocol": "6", "isStateless":
 true, "tcpOptions": {"destinationPortRange": {"max": 1521, "min": 1521}, 
 "sourcePortRange": {"max": 1521, "min": 1521}}}]'
{
  "data": {
    "compartment-id": "ocid1.tenancy...….uniqueID",
    "defined-tags": null
    },
    "display-name": "securitylist20210916174938",
    "egress-security-rules": [
      {
        "description": null,
        "destination": "10.0.2.0/24",
        "destination-type": "CIDR_BLOCK",
        "icmp-options": null,
        "is-stateless": true,
        "protocol": "6",
        "tcp-options": {
          "destination-port-range": {
            "max": 1521,
            "min": 1521
          },
          "source-port-range": {
            "max": 1521,
            "min": 1521
          }
        },
        "udp-options": null
      }
    ],
    "freeform-tags": {},
    "id": "ocid1.security_list...….uniqueID",
    "ingress-security-rules": [
      {
        "description": null,
        "icmp-options": null,
        "is-stateless": true,
        "protocol": "6",
        "source": "10.0.2.0/24",
        "source-type": "CIDR_BLOCK",
        "tcp-options": {
          "destination-port-range": {
            "max": 1521,
            "min": 1521
          },
          "source-port-range": {
            "max": 1521,
            "min": 1521
          }
        },
        "udp-options": null
      }
    ],
    "lifecycle-state": "PROVISIONING",
    "time-created": "2021-09-16T17:49:38.243708+00:00",
    "vcn-id": "ocid1.vcn...….uniqueID"
  },
  "etag": "508fb93a-c68b-4539-817b-bd7bdbe9ec34"
}

4.2.3.3 既存のセキュリティ・リストのルールの更新

UIを使用して、デフォルトのセキュリティ・リストであっても、既存のセキュリティ・リスト内のルールを追加、編集または削除できます。ただし、CLIでは、セキュリティ・リスト内のルールを更新すると、更新によって、現在のすべてのルールが更新で指定されたルールに置き換えられます。つまり、CLIでは、更新操作は修正操作よりも置換操作です。

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
「Resources」の下の「Security Lists」をクリックします。

デフォルトのセキュリティ・リストが表リストに表示されます。
デフォルトのセキュリティ・リストをクリックして、詳細なイングレスおよびエグレス・ルールを表示します。
イングレス・ルールを更新するには、更新するイングレス・ルールの横にあるアクション・メニュー・アイコン(3つのドット)をクリックします。
- ルールを削除するには、削除をクリックします。
- 新しい情報でルールを更新するには、編集をクリックします。
エグレス・ルールを更新するには、更新するエグレス・ルールの横にあるアクション・メニュー・アイコン(3つのドット)をクリックします。
- ルールを削除するには、削除をクリックします。
- 新しい情報でルールを更新するには、編集をクリックします。
すべての変更が完了したら、変更の保存をクリックします。 (取り消すと変更が破棄されます。)

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list <options>)
- セキュリティ・リストOCID ( oci network security-list list --compartment-id <compartment-id-ocid>)

次のコマンドを実行します

構文(1行に入力):

oci network security-list update \
--compartment-id <compartment-id-ocid> \
--security-list-id <security-list-id-ocid>
--display-name <text> (this parameter is optional, but you must update something)

技術的には、セキュリティ・リストを更新するために必要なパラメータはセキュリティ・リストOCIDのみです。ただし、他のすべてのパラメータはオプションであるため、変更されません。エグレスまたはイングレス・ルールのパラメータを変更するときは、変更を確認または拒否する必要があります(ただし、次の場合を除きます)

--force

パラメータは、確認プロンプトを削除するために使用されます。

この例では、エグレス・ルールを更新して、セキュリティ・リストのポート範囲を1521から1500に変更します。変更は強制されません:

oci network security-list update --security-list-id ocid1.security_list....….uniqueID
 --egress-security-rules '[{"destination": "10.0.2.0/24", "protocol": "6", "isStateless": 
 true, "tcpOptions": {"destinationPortRange": {"max": 1500, "min": 1500}, 
 "sourcePortRange": {"max": 1500, "min": 1500}}}]'

WARNING: Updates to defined-tags and egress-security-rules and freeform-tags and 
 ingress-security-rules will replace any existing values. 
 Are you sure you want to continue? [y/N]: y
                        
{
  "data": {
    "compartment-id": "ocid1.tenancy....….uniqueID",
    "defined-tags": {
      "Finance": {
        "CostCenter": "Assigned by: admin"
      }
    },
    "display-name": "securitylist20210916174938",
    "egress-security-rules": [
      {
        "description": null,
        "destination": "10.0.2.0/24",
        "destination-type": "CIDR_BLOCK",
        "icmp-options": null,
        "is-stateless": true,
        "protocol": "6",
        "tcp-options": {
          "destination-port-range": {
            "max": 1500,
            "min": 1500
          },
          "source-port-range": {
            "max": 1500,
            "min": 1500
          }
        },
        "udp-options": null
      }
    ],
    "freeform-tags": {},
    "id": "ocid1.security_list....….uniqueID",
    "ingress-security-rules": [
      {
        "description": null,
        "icmp-options": null,
        "is-stateless": true,
        "protocol": "6",
        "source": "10.0.2.0/24",
        "source-type": "CIDR_BLOCK",
        "tcp-options": {
          "destination-port-range": {
            "max": 1521,
            "min": 1521
          },
          "source-port-range": {
            "max": 1521,
            "min": 1521
          }
        },
        "udp-options": null
      }
    ],
    "lifecycle-state": "AVAILABLE",
    "time-created": "2021-09-16T17:49:38.243708+00:00",
    "vcn-id": "ocid1.vcn....….uniqueID"
  },
  "etag": "1b3875c4-0bb8-4af7-9584-a5209c8d23ac"
}

4.2.3.4 セキュリティ・リストの削除

前提条件があります。セキュリティ・リストを削除するには、サブネットに関連付けられていない必要があります。 VCNのデフォルト・セキュリティ・リストは削除できません。

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
「Resources」の下の「Security Lists」をクリックします。
関心のあるセキュリティ・リストをクリックします。
アクション・メニュー・アイコン(3つのドット)をクリックし、削除を選択します。
要求されたら、削除を確認します。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list <options>)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)
- セキュリティ・リストOCID ( oci network route-table list --compartment-id <compartment_OCID> --vcn-id <vcn_OCID>)

次のコマンドを実行します

構文(1行に入力):

oci network security-list delete \
--security-list-id <security-list-ocid>

最小限必要なパラメータを使用する例:

oci network security-list delete --security-list-id \
ocid1.securitylist.….uniqueID
Are you sure you want to delete this resource? [y/N]: y

4.2.3.5 セキュリティ・リストのタグの管理

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
「Resources」の下の「Security Lists」をクリックします。
関心のあるセキュリティ・リストをクリックします。
「Tags」タブをクリックして、既存のタグを表示または編集します。または、タグの適用をクリックして新しいタグを追加します。

タグ付けの詳細は、第3.4.1項、「リソース作成時のタグの追加」または「リソース・タグ管理」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。

4.2.4 ネットワーク・セキュリティ・グループを使用したトラフィックの制御

セキュリティ・リストは、サブネット内のすべてのVNICに仮想ファイアウォール・ルールを提供します。 (特定のサブネットではなく)VCN内の特定のVNICセットに対してファイアウォール・ルールのセットを提供するために、ネットワーク・セキュリティ・グループ(NSG)を作成できます。 NSGをマウント・ターゲットに適用することもできます。

NSGでは、インスタンスが異なるサブネットにあっても、インスタンスのグループのルールを作成できます。たとえば、すべてのデータベース・サーバーまたは特定のアプリケーションを実行しているすべてのアプリケーション・サーバーに同じNSGを適用できます。セキュリティを特定のサブネットに適用するかわりに、NSGを作成し、適切なインスタンスをNSGに追加します。

セキュリティ・リストまたはNSGを使用する必要はありません。セキュリティ・リストは、NSGを確立せずに使用することも、セキュリティ・リストを作成せずにNSGを作成することもできます。ただし、セキュリティ・リストとNSGの両方を使用する場合、VNICに適用されるルールは、VNICのセキュリティ・リストに含まれるルールとNSGからのそのVNICに固有のルールの和集合(両方のセット)になります。

セキュリティ・リストとNSGの両方では、セキュリティ・ルールを使用してその機能を実装します。ただし、セキュリティ・リストとは異なり、NSGには最初に作成されたときのデフォルト・ルールは含まれません。 NSGのルールは、作成後、および有効になる前に作成して構成する必要があります。

NSGの作成には、2つの特定の構成領域が含まれます: VNICおよびセキュリティ・ルール。 NSGによって参照されるVNICは、すべて同じVCN内にある必要があります。 NSGセキュリティ・ルールは、NSG内のVNICの内外で許可されるトラフィックのタイプを決定します。

NSGを削除する前に、NSGからすべてのVNICを削除する必要があります。

4.2.4.1 VCNネットワーク・セキュリティ・グループの作成

NSGを使用する前に作成する必要があります。

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
Resourcesの下のNetwork Security Groupsをクリックします。
Create Network Security Groupをクリックします。
次のように入力します。
- 名前: ネットワーク・セキュリティ・グループのわかりやすい名前。名前は一意である必要はなく、後でコンソールで変更することはできません(ただし、APIを使用して変更できます)。機密情報は入力しないでください。
- コンパートメントに作成: NSGを作成するコンパートメント(現在作業しているコンパートメントと異なる場合)。
タグ付け: タグ付けの詳細は、第3.4.1項、「リソース作成時のタグの追加」または「リソース・タグ管理」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
Create Network Security Groupをクリックします。

NSGが作成され、セキュリティ・ルールを作成してNSGをVNICに適用するために空のNSGに配置されます。 NSGルールは、セキュリティ・リストと同じ手順で作成されます。つまり、VNICとの間のトラフィックを防止または許可するエグレスおよびイングレス・ルールを構成します。

現時点ではNSGルールを作成する必要はありません。空のNSGのみを作成する場合は、完了します。
この時点でNSGのセキュリティ・ルールを作成する場合は、セキュリティ・ルールの作成をクリックします。
イングレスのルール許可ボックスで、+Newルールをクリックして、1つ以上の新しいイングレス・ルールを追加します。各ルールには次の情報が必要です:
- ステートレス: 新しいルールをステートレスにする場合は、このボックスを選択します。デフォルトでは、セキュリティ・リスト・ルールはステートフルであり、リクエストと調整されたレスポンスの両方に適用されます。
- イングレス・タイプ: 許可されるタイプのドロップダウン・リストからセキュリティ・リスト・ルールのタイプを設定します。この値は、トラフィックの宛先CIDRブロックです。
  - イングレスCIDR: イングレス・タイプにCIDRを選択した場合は、ルールの対象となるCIDRブロックを入力します。
- IPプロトコル: ルールは、すべてのIPプロトコル、またはICMP、TCP、UDPなどの選択肢に適用できます。ドロップダウン・リストから対象となるプロトコルを選択します。
  - ポート範囲: TCPやUDPなどの一部のプロトコルでは、ポート範囲を指定できます。
  - パラメータ・タイプおよびコード: ICMPの場合、ルールを適用する特定のパラメータ・タイプおよびパラメータ・コードを指定できます。
- 説明: ルールの説明(オプション)。
エグレスのルール許可ボックスで、+Newルールをクリックして、1つ以上の新しいエグレス・ルールを追加します。各ルールには次の情報が必要です:
- ステートレス: 新しいルールをステートレスにする場合は、このボックスを選択します。デフォルトでは、セキュリティ・リスト・ルールはステートフルであり、リクエストと調整されたレスポンスの両方に適用されます。
- エグレス・タイプ: 許可されるタイプのドロップダウン・リストからセキュリティ・リスト・ルールのタイプを設定します。値は、トラフィックまたはサービスの宛先CIDRブロックです。
  - エグレスCIDR: エグレス・タイプにCIDRを選択した場合は、ルールの対象となるCIDRブロックを入力します。
- IPプロトコル: ルールは、すべてのIPプロトコル、またはICMP、TCP、UDPなどの選択肢に適用できます。ドロップダウン・リストから対象となるプロトコルを選択します。
  - ポート範囲: TCPやUDPなどの一部のプロトコルでは、ポート範囲を指定できます。
  - パラメータ・タイプおよびコード: ICMPの場合、ルールを適用する特定のパラメータ・タイプおよびパラメータ・コードを指定できます。
- 説明: ルールの説明(オプション)。
NSGは、VNICにアタッチする準備ができました。

CLI の使用

便利なルールを使用したNSGの作成は、CLIでの2ステップのプロセスです。最初にNSGを作成してから、セキュリティ・ルールを追加します。

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)

次のコマンドを実行します

構文(1行に入力):

oci network nsg create \
--compartment-id <compartment_OCID> \
--vcn-id <vcn_OCID>

最小限必要なパラメータを使用する例:

oci network nsg create 
--compartment-id ocid1.compartment.….uniqueID
--vcn-id ocid1.vcn.….uniqueID
{
  "data": {
    "compartment-id": "ocid1.compartment.….uniqueID",
    "defined-tags": {},
    "display-name": "securitygroup20210921221126",
    "freeform-tags": {},
    "id": "ocid1.networksecuritygroup..….uniqueID",
    "lifecycle-state": "PROVISIONING",
    "time-created": "2021-09-21T22:11:26.538684+00:00",
    "vcn-id": "ocid1.vcn..….uniqueID"
  },
  "etag": "ab7ecc36-06a0-46e3-ac97-c794cbe8c8d8"
}

4.2.4.2 VNICへのネットワーク・セキュリティ・グループのアタッチ

NSGが機能するには、NSGをVCN内のアタッチされたVNICにリンクする必要があります。 NSGレベルでNSGに関連付けるVNICまたはインスタンスを指定しません。アタッチメントを成功させるには、インスタンスが実行されている必要があります。同様に、NSGからVNICを削除するには、NSGではなくインスタンスを更新して、そのアクションを実行します。関連トピックは第4.4.3.5項、「ネットワーク・セキュリティ・グループからのVNICの追加または削除」です。

UIの使用

ナビゲーション・メニューを開きます。 Computeで、View Instancesをクリックします。
リストで、NSGに関連付けるインスタンスをクリックします。
「リソース」で、「アタッチされたVNIC」をクリックします。

このインスタンスにアタッチされたVNICのリストが表示されます。
アタッチされたVNICのリストから、NSGに関連付けるアタッチされているVNICの名前をクリックします。
アタッチされたVNICのリソースで、ネットワーク・セキュリティ・グループをクリックします。
ネットワーク・セキュリティ・グループの更新をクリックします。
ネットワーク・セキュリティ・グループの有効化の横にあるボックスを選択します。
VNICにアタッチするNSGをドロップダウン・リストから選択します。複数のNSGを一度に追加できます。
VNICのネットワーク・セキュリティ・グループの更新をクリックします。インスタンスのVNICアタッチメントの最大数に達した場合、エラー・メッセージが表示され、操作は完了できません。アタッチメントを成功させるには、インスタンスが実行されている必要があります。
VNICアタッチメントは、生成された名前で作成され、インスタンスのネットワーク・セキュリティ・グループのリストに表示されます。 NSGルールを確認するには、VCNのNSGを選択してから、リソースでNSGのセキュリティ・ルールおよびVNICを調べます。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- ネットワーク・セキュリティ・グループOCID ( oci network nsg list --compartment-id <compartment_OCID>)

次のコマンドを実行します

構文(1行に入力):

oci network vnic update \
--vnic-id <vnic-ocid> \
--nsg-id <nsg-ocid>

最小限必要なパラメータを使用する例:

oci network vnic update \ 
--vnic-id ocid1.vnic....….….uniqueID \  
--nsg-ids '["ocid1.networksecuritygroup....….….uniqueID"]
'
WARNING: Updates to defined-tags and freeform-tags and nsg-ids will replace any existing values. 
Are you sure you want to continue? [y/N]: y
{
  "data": {
    "availability-domain": "ad1",
    "compartment-id": "ocid1.compartment....….….uniqueID",
    "defined-tags": {},
    "display-name": "example-instance",
    "freeform-tags": {},
    "hostname-label": "example-instance",
    "id": "ocid1.vnic.1742XC3024.broom14....….….uniqueID",
    "is-primary": false,
    "lifecycle-state": "PROVISIONING",
    "mac-address": "00:13:97:5c:7a:58",
    "nsg-ids": [
      "ocid1.networksecuritygroup.1...….….uniqueID"
    ],
    "private-ip": "10.27.100.2",
    "public-ip": null,
    "skip-source-dest-check": true,
    "subnet-id": "ocid1.subnet....….….uniqueID",
    "time-created": "2021-12-01T17:14:46.084875+00:00",
    "vlan-id": null
  },
  "etag": "17e8e038-3051-4ef8-96a4-21d7107d37e6"
}

4.2.4.3 ネットワーク・セキュリティ・グループからのリソースの追加または削除

ネットワーク・セキュリティ・グループ(NSG)は、VCNで作成されたインスタンスに適用されます。インスタンスのVNICは、NSGのパースペクティブから見たリソースの形式です。 VNICのようなリソースをNSGに追加または削除できます。

4.2.4.4 ネットワーク・セキュリティ・グループのルールの管理

ネットワーク・セキュリティ・グループ(NSG)によって適用されるルールを変更できます。

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークの表示をクリックします。
リストで、NSG内のルールを管理するVCNをクリックします。
Resourcesの下のNetwork Security Groupsをクリックします。

このVCNのNSGのリストが表示されます。存在しない場合は、最初にNSGを作成する必要があります。
NSGのリストから、ルールを管理するNSGの名前をクリックします。新しいルールを追加したり(第4.2.4.1項、「VCNネットワーク・セキュリティ・グループの作成」を参照)、以前に作成した既存のルールを管理できます。
エグレスまたはイングレス・ルールのアクション・メニュー(3つのドット)で、編集をクリックします。
変更するフィールドを変更してから、クロック更新を選択します。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- ネットワーク・セキュリティ・グループOCID ( oci network nsg list --compartment-id <compartment_OCID>)

次のコマンドを実行します

構文(1行に入力):

oci network nsg rules update \
--nsg-id <nsg-ocid> \
--security-rules [complex type]

複合データ型は、通常、--generate-full-command-json-inputオプション(この場合はoci network nsg rules update security-rules --generate-param-json-input route-rules)を使用して処理されます。このコマンド・オプションで使用するサンプルのjsonファイルが生成されます。キー名は事前に移入され、コマンド・オプション名と一致します(compartment-idがcompartmentIdのようにcamelCase形式に変換されます)。

このコマンドの入力としてサンプル・ファイルを使用する前に、キーの値がユーザーによって編集されます。

複数の値を受け入れるコマンド・オプションの場合、キーの値はJSON配列にできます。

オプションはコマンド行でも指定できます。 JSONドキュメントとコマンドラインの両方にオプションが存在する場合、コマンドラインで指定された値が使用されます。

最小限必要なパラメータを使用する例:

oci network nsg rules update 
 --nsg-id ocid1.networksecuritygroup..….uniqueID 
 --security-rules '[{"description": "TEST-RULE","destination": "0.0.0.0/0",
   "destinationType": "CIDR", "direction": "INGRESS","isStateless": true,
   "protocol": "6","source": "0.0.0.0/0","sourceType": "CIDR_BLOCK",
   "tcpOptions": {"destinationPortRange": {"max": 100,"min": 10},
   "sourcePortRange": {"max": 500,"min": 50}}}]'

{
  "data": {
    "security-rules": [
      {
        "description": "TEST-RULE",
        "destination": null,
        "destination-type": null,
        "direction": "INGRESS",
        "icmp-options": null,
        "id": "ocid1.security_rule..….uniqueID",
        "is-stateless": true,
        "is-valid": true,
        "protocol": "6",
        "source": "0.0.0.0/0",
        "source-type": "CIDR_BLOCK",
        "tcp-options": {
          "destination-port-range": {
            "max": 100,
            "min": 10
          },
          "source-port-range": {
            "max": 500,
            "min": 50
          }
        },
        "time-created": null,
        "udp-options": null
      }
    ]
  },
  "etag": "90000"
}

4.2.4.5 VCNネットワーク・セキュリティ・グループの表示

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
Resourcesの下のNetwork Security Groupsをクリックします。カッコ内の数には、このVCN用に構成されたNSGの数が表示されます。数値がゼロ(0)の場合、表示するNSGはありません。
目的のネットワーク・セキュリティ・グループをクリックします。
NSGのセキュリティ・ルールがある場合は、それらを表示できます。ルールがない場合は作成できます。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- ネットワーク・セキュリティ・グループOCID ( oci network nsg list --compartment-id <compartment_OCID>)

次のコマンドを実行します

構文(1行に入力):

oci network nsg rules list \
--nsg-id <nsg-ocid>

最小限必要なパラメータを使用する例:

oci network nsg rules list 
 --nsg-id ocid1.networksecuritygroup..….….….uniqueID

{
  "data": [
    {
      "description": "test-rule-1",
      "destination": null,
      "destination-type": null,
      "direction": "INGRESS",
      "icmp-options": null,
      "id": "ocid1.security_rule..….….….uniqueID",
      "is-stateless": false,
      "is-valid": true,
      "protocol": "6",
      "source": "0.0.0.0/0",
      "source-type": "CIDR_BLOCK",
      "tcp-options": {
        "destination-port-range": {
          "max": 3000,
          "min": 3000
        },
        "source-port-range": {
          "max": 3000,
          "min": 3000
        }
      },
      "time-created": "2021-10-21T21:09:39.941613+00:00",
      "udp-options": null
    },
    {
      "description": "test-rule-2",
      "destination": null,
      "destination-type": null,
      "direction": "INGRESS",
      "icmp-options": null,
      "id": "ocid1.security_rule..….….….uniqueID
",
      "is-stateless": true,
      "is-valid": true,
      "protocol": "6",
      "source": "0.0.0.0/0",
      "source-type": "CIDR_BLOCK",
      "tcp-options": {
        "destination-port-range": {
          "max": 100,
          "min": 10
        },
        "source-port-range": {
          "max": 500,
          "min": 50
        }
      },
      "time-created": "2021-10-21T23:18:17.145627+00:00",
      "udp-options": null
    }
  ]
}

4.2.4.6 ネットワーク・セキュリティ・グループのタグの管理

NSGの作成中または作成後にタグを追加できます。

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
Resourcesの下のNetwork Security Groupsをクリックします。
NSGのドロップダウン・リストから、NSGをクリックしてタグを追加します。
アクション・アイコン(3つのドット)をクリックし、タグの表示をクリックします。ここから、既存のタグを表示して編集し、新しいタグを適用できます。
または、ネットワーク・セキュリティ・グループの編集をクリックします。ここから、既存のタグを表示して編集し、新しいタグを適用できます。

タグ付けの詳細は、第3.4.1項、「リソース作成時のタグの追加」または「リソース・タグ管理」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。

4.2.4.7 VCNネットワーク・セキュリティ・グループの削除

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
目的のVCNをクリックします。
Resourcesの下のNetwork Security Groupsをクリックします。カッコ内の数には、このVCN用に構成されたNSGの数が表示されます。数値がゼロ(0)の場合、削除するNSGはありません。
NSGに関連付けられているアクション・アイコン(3つのドット)をクリックし、削除をクリックします。
要求されたら、確認します。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- ネットワーク・セキュリティ・グループOCID ( oci network nsg list --compartment-id <compartment_OCID>)

次のコマンドを実行します

構文(1行に入力):

oci network nsg delete \
--nsg-id <nsg-ocid>

最小限必要なパラメータを使用する例:

oci network nsg delete 
 --nsg-id ocid1.networksecuritygroup.….uniqueID \
Are you sure you want to delete this resource? [y/N]: y

このプロンプトを非表示にするには、--forceオプションを使用します。 NSGがVNICからデタッチされていない場合、NSGが使用中のため削除できないことを示すメッセージが表示されます。

4.3 VCNゲートウェイの構成

仮想プロセスは、様々な方法で他のプロセスと通信します。 2つのVMが同じサブネット内にある(つまり、それらのIPアドレスのネットワーク部分が一致している)場合、通信を許可するために特別な構成は必要ありません。論理スイッチは、MACアドレス・レベルでソースと宛先を接続します。また、同じVCN内のVM間の通信が異なるサブネットでは、ルーティング構成は必要ありません。ルーティングが必要なのは、宛先に向かっているトラフィック、またはVCNの外部から送信されたトラフィックのみです。

2つの仮想プロセス間の通信が必要で、ソースと宛先が2つの異なるVCNにある場合、ソースVCNで5つの異なるタイプのゲートウェイのいずれかの構成が必要です。このコンテキストでは、ゲートウェイは特別なタイプのルーターであり、ルート表で設定されたルールに従って2つの異なるIPネットワークを接続します。 (ルーターはマルチ・ポート・ゲートウェイと考えることができ、ゲートウェイは2ポートルーターと考えることができます)

VCNを初めて作成する場合、様々なリソースがUIにリストされ、CLIコマンドを使用したリストに使用できます。一部のリソースはサブネットの作成時に自動的にリストされ、その他のリソースは明示的に構成する必要があります。

サブネットこのリソースは、VCNの下に作成されたサブネットの数を指定します。他のすべてのリソースには、VCNの数も表示されます。
ルート表このリソースは、ルート表の数を指定します。サブネットはルート表(特にデフォルト・ルート表)を共有できるため、この数はサブネット数と同じとはかぎりません。特に、VCNに複数のサブネットがある場合です。
インターネット・ゲートウェイこのリソースには、構成されているインターネット・ゲートウェイの数が表示されます。最初は何もありません。
ローカル・ピアリング・ゲートウェイこのリソースは、構成されているローカル・ピアリング・ゲートウェイの数を指定します。最初は何もありません。
DHCPオプション。このリソースは、DHCPオプション・リストの数を指定します。 VCNにはデフォルトで少なくとも1つ存在しますが、さらに作成できます。
セキュリティ・リストこのリソースでは、セキュリティ・リストの数を指定します。 VCNにはデフォルトで少なくとも1つのイングレスおよびエグレス・ルールのセットがありますが、さらに作成できます。
NATゲートウェイ。このリソースは、構成されているNATゲートウェイの数を指定します。最初は何もありません。
ネットワーク・セキュリティ・グループこのリソースには、構成されたネットワーク・セキュリティ・グループの数が表示されます。最初は何もありませんが、既存のセキュリティ・リストをネットワーク・セキュリティ・グループに収集して、すべてのセキュリティ・ルールを必要に応じて一度に適用できます。
サービス・ゲートウェイこのリソースは、構成されたサービス・ゲートウェイの数を指定します。最初は何もありません。
動的ルーティング・ゲートウェイこのリソースは、構成された動的ルーティング・ゲートウェイ(DRG)の数を指定します。最初は何もありません。これらのゲートウェイはVCNなしでは構成されず、VCNにアタッチされることに注意してください。
動的ルーティング・ゲートウェイのアタッチメントこのリソースは、構成されている動的ルーティング・ゲートウェイ添付の数を指定します。アタッチメントをリストするようにDRGを構成する必要があります。

様々なタイプのゲートウェイは、非常に具体的な理由で構成されます。

NATゲートウェイ。 NATゲートウェイは、IPネットワークの一部分から別の部分へのトラフィック・パスとしてIPアドレスを変換するために使用されます。 VCNとオンプレミス・データ・センター・ネットワークの間で使用される場合。NATアドレスは、データ・センター・ネットワークに送信されるトラフィックのソース・アドレスになります。 NATゲートウェイを使用すると、VCNからオンプレミス・ネットワークへのエグレスが可能になります。 VCN内のVMへの接続を開始することはできません。基本的には一方向ですが、VCNで開始された接続では戻りトラフィックが許可されます。 NATゲートウェイとインターネット・ゲートウェイとの対比で、VCNへの接続とNATゲートウェイを使用すると、パブリックIPアドレスを持つVMをPCAネットワークの外部からアクセスできるようになります。

ノート

動的ルーティング・ゲートウェイを使用してオンプレミス・ネットワークに接続されたVCNは、動的ルーティング・ゲートウェイに接続されているオンプレミスCIDRまたはその他のVCN CIDRと重複できません。つまり、使用されるIPアドレスはVCNに限定されている必要があります。
インターネット・ゲートウェイ(IGW)。 IGWは、VCNにグローバル・パブリック・インターネットへのアクセス権を提供しますが、オンプレミス・データ・センター・ネットワーク経由でのみアクセスできます。ソースと宛先にはルーティング可能なパブリックIPアドレスが必要で、VCNには1つのIGWしか指定できません。
ローカル・ピアリング・ゲートウェイ(LPG)。ローカル・ピアリング・ゲートウェイ(LPG)は、プライベートIPアドレスを使用しても、各VCNの要素が通信できるように、VCNを接続する方法です。ピアVCNは異なるテナンシに存在できます。
動的ルーティング・ゲートウェイ(DRG) DRGは、VCNをデータ・センターのIPアドレス領域に接続するために使用されます。つまり、データ・センターのOracle Private Cloud Applianceラックの外側です。データ・センター・ネットワークが構成されている場合は、Oracle Private Cloud Applianceトラフィックを他の宛先に渡すことができます。
サービス・ゲートウェイ(SG) 一部のサービスは、セキュリティおよびパフォーマンスの理由から、独自のネットワーク上で分離されています。サービス・ゲートウェイ(SG)では、プライベート・サブネットのサービス・ネットワーク・サービス(オブジェクト・ストレージなど)にプライベート・アクセスできないVCNが許可されます。

4.3.1 NATゲートウェイを介したパブリック接続の有効化

NATゲートウェイは、IPネットワークの一部分から別の部分へのトラフィック・パスとしてIPアドレスを変換するために使用されます。これにより、ソースと宛先が同じIPアドレスを持つことを防ぎ、Oracle Private Cloud Applianceトラフィックで使用されるRFC 1918プライベート・アドレスがオンプレミス・データ・センター・ネットワークと通信できるようになります。 NATゲートウェイはサブネット・レベルのVCNにアタッチされるため、アドレス変換をより細かく制御できます。 NATゲートウェイは、VCNとは別に構成され、VCNと同じコンパートメントに存在する必要はありません(ただし、可能です)。ただし、NATゲートウェイはVCN内にあり、VCN当たり1つのNATのみが許可されます。 NATアドレスは、データセンター・ネットワークに送信されるトラフィックのソース・アドレスになります。

UIの使用

ナビゲーション・メニューのネットワーキングで、仮想クラウド・ネットワークをクリックします。コンパートメントで以前に構成されたVCNのリストが表示されます。 NATゲートウェイを作成しているコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
NATゲートウェイを作成するVCNをクリックします。
そのVCNのリソース・メニューで、NATゲートウェイをクリックします(カッコ内に構成されているNATゲートウェイの数は問題ありません)。
NATゲートウェイの作成をクリック
必要なNATゲートウェイ情報を入力します:
- 名前: NATゲートウェイの名前または説明を指定します。組織の機密情報は使用しないでください。
- コンパートメントに作成: NATゲートウェイを作成するコンパートメントを選択します。
- 「ブロック・トラフィック」このNATゲートウェイへのトラフィックをブロックするかどうかを選択します。
  - (はい): トラフィックがブロックされていません): デフォルトでは、VCNは完全に構成されていない場合でもNATゲートウェイを使用します。
  - (いいえ): トラフィックがブロックされました): NATゲートウェイが明示的に有効になるまでトラフィックを表示しないように設定できます。
  NATゲートウェイの詳細は、Oracle Private Cloud Appliance概要ガイドの仮想ネットワーキングの概要の章の「NATゲートウェイ」の項を参照してください。
- タグ付け: オプションで、このリソースに1つ以上のタグを追加します。
  
  タグを適用するかどうかわからない場合は、このオプションをスキップします(後でタグを適用できます)。
  
  リソースのタグ付けの詳細は、「タグ付けの概要」を参照してください。
Create NAT Gatewayをクリックします。

NATゲートウェイでは、ルート・ルールまたはセキュリティ設定を追加する準備ができました。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)

oci network nat-gateway createコマンドを実行します。

ノート

構文(1行に入力):

oci network nat-gateway create \
--compartment-id <compartment_OCID> \
--vcn-id <vcn_OCID>

例:

oci network nat-gateway create \
 --compartment-id ocid1.compartment.….….….uniqueID \
 –-vcn-id ocid1.vcn.….….….uniqueID
 
{
  "data": {
    "block-traffic": true,
    "compartment-id": "ocid1.compartment.….….….uniqueID",
    "defined-tags": {},
    "display-name": "natgateway20210827215953",
    "freeform-tags": {},
    "id": "ocid1.vcn.….….….uniqueID",
    "lifecycle-state": "PROVISIONING",
    "nat-ip": "10.133.80.3",
    "public-ip-id": "ocid1.publicip.AK00661530.scasg01..….….….uniqueID",
    "time-created": "2021-08-27T21:59:53.858329+00:00",
    "vcn-id": "ocid1.vcn.AK00661530.scasg01..….….….uniqueID"
  },
  "etag": "c98377e4-ae89-46cf-9c61-52aea68a3476"
}

NATゲートウェイでは、ルート・ルールまたはセキュリティ設定を追加する準備ができました。ゲートウェイの名前(natgateway20210827215953)はパラメータによってではなく自動的に割り当てられ、デバイスのIPアドレス(10.133.80.3)も自動的に割り当てられることに注意してください。

4.3.2 インターネット・ゲートウェイを介したパブリック・アクセスの提供

インターネット・ゲートウェイ(IGW)。 IGWは、VCNにグローバル・パブリック・インターネットへのアクセス権を提供しますが、オンプレミス・データ・センター・ネットワーク経由でのみアクセスできます。 IGWはVCN内で構成されるため、IGWはそれが構成されているVCNに自動的にアタッチされます。ソースと宛先にはルーティング可能なパブリックIPアドレスが必要で、VCNには1つのIGWしか指定できません。パブリックIPアドレスを使用するトラフィックは、IGWを経由します。 IGWは、VCNと同じコンパートメントに存在する必要はありません。サブネット・ルート表は、IGWを使用できるパブリック・サブネットを決定し、サブネット・セキュリティ・リストはIGWを使用できるトラフィックのタイプを定義します。物理ルーターと同様に、どのようなアクセス権が確立されていても、IGWはCLIを通じて無効にできます。

コンピュートWeb UIの使用

ナビゲーション・メニューのネットワーキングで、仮想クラウド・ネットワークをクリックします。コンパートメントで以前に構成されたVCNのリストが表示されます。インターネット・ゲートウェイを作成しているコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
インターネット・ゲートウェイを作成するVCNをクリックします。
そのVCNのリソース・メニューで、インターネット・ゲートウェイをクリックします(カッコ内に構成されているインターネット・ゲートウェイの数は問題ありません)。
Create Internet Gatewayをクリック
必要なインターネット・ゲートウェイ情報を入力します:
- 名前: インターネット・ゲートウェイの名前または説明を指定します。組織の機密情報は使用しないでください。
- コンパートメントに作成: インターネット・ゲートウェイを作成するコンパートメントを選択します。
  
  NATゲートウェイの詳細は、Oracle Private Cloud Appliance概要ガイドの仮想ネットワーキングの概要の章の「インターネット・ゲートウェイ」の項を参照してください。
- タグ付け: オプションで、このリソースに1つ以上のタグを追加します。
  
  タグ付けの詳細は、第3.4.1項、「リソース作成時のタグの追加」または「リソース・タグ管理」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
「Create Internet Gateway」をクリックします。

インターネット・ゲートウェイは、ルート・ルールまたはセキュリティ設定を追加する準備ができました。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)

oci network internet-gateway createコマンドを実行します。

ノート

構文(1行に入力):

oci network internet-gateway create
--compartment-id <compartment_OCID>
--is-enabled <boolean: true | false>
--vcn-id <vcn_OCID>

例:

oci network internet-gateway create \
 --compartment-id ocid1.compartment.….….….uniqueID
 –-is-enabled true 
 –-vcn-id ocid1.vcn.….….….uniqueID
 
{
  "data": {
    "compartment-id": "ocid1.compartment.….….….uniqueID",
    "defined-tags": {},
    "display-name": "internetgateway20210830165014",
    "freeform-tags": {},
    "id": "ocid1.internetgateway.AK00661530.scasg01..….….….uniqueID",
    "is-enabled": true,
    "lifecycle-state": "PROVISIONING",
    "time-created": "2021-08-30T16:50:14.634466+00:00",
    "vcn-id": "ocid1.vcn.….….….uniqueID",
  },
  "etag": "c98377e4-ae89-46cf-9c61-52aea68a3476"
}

インターネット・ゲートウェイは、ルート・ルールまたはセキュリティ設定を追加する準備ができました。ゲートウェイの名前はパラメータではなく、自動的に(internetgateway20210830165014)割り当てられることに注意してください。

4.3.3 ローカル・ピアリング・ゲートウェイを介したVCNの接続

ローカル・ピアリング・ゲートウェイ(LPG)は、プライベートIPアドレスを使用しても、各VCNの要素が通信できるように、VCNを接続する方法です。ピアVCNを別のテナンシに含めることはできません。 LPG構成には、他にもいくつかの要件があります:

LPGによってリンクされているVCNのCIDRは重複できません。
ピアリングされた各VCNにLPGが正しく構成されており、LPGが接続されている必要があります。
VCNルート・ルールは、LPGとの間でVCNサブネット・トラフィックを制御するように適切に構成する必要があります。
特定のタイプのVCNサブネット・トラフィックがLPGを使用することを許可または拒否するように、セキュリティ・ルールを適切に構成する必要があります

UIの使用

ナビゲーション・メニューのネットワーキングで、仮想クラウド・ネットワークをクリックします。コンパートメントで以前に構成されたVCNのリストが表示されます。ローカル・ピアリング・ゲートウェイを作成するコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
ローカル・ピアリング・ゲートウェイを作成するVCNをクリックします。
そのVCNのリソース・メニューで、ローカル・ピアリング・ゲートウェイ(カッコ内に構成されているローカル・ピアリング・ゲートウェイの数は問題ありません)をクリックします。
Create Local Peering Gatewayをクリック
必要なローカル・ピアリング・ゲートウェイ情報を入力します:
- 名前: ローカル・ピアリング・ゲートウェイの名前または説明を指定します。組織の機密情報は使用しないでください。
- コンパートメントに作成: ローカル・ピアリング・ゲートウェイを作成するコンパートメントを選択します。
- 「ルート表の関連付け(オプション)」オプションで、ルート表をローカル・ピアリング・ゲートウェイに関連付けることができます。選択したコンパートメントの構成済ルート表のリストがドロップダウン・リストに表示されます。コンパートメントを変更するには、コンパートメント名の横にある(変更)をクリックします。
  
  ローカル・ピアリング・ゲートウェイの詳細は、Oracle Private Cloud Appliance概要ガイドの仮想ネットワーキングの概要の章の「ローカル・ピアリング・ゲートウェイ」の項を参照してください。
- タグ付け: オプションで、このリソースに1つ以上のタグを追加します。
  
  タグ付けの詳細は、第3.4.1項、「リソース作成時のタグの追加」または「リソース・タグ管理」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
ローカル・ピアリング・ゲートウェイの作成をクリックします。

これで、ローカル・ピアリング・ゲートウェイはピアリング接続の確立およびルート・ルールまたはセキュリティ設定の追加に、VCNを接続する準備ができました。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)

oci network local-peering-gateway createコマンドを実行します。

ノート

構文(1行に入力):

oci network local-peering-gateway create \
--compartment-id <compartment_OCID> \
--vcn-id <vcn_OCID>

例:

oci network local-peering-gateway create \
 --compartment-id ocid1.compartment.….….….uniqueID \
 –-vcn-id ocid1.vcn.….….….uniqueID
 
{
  "data": {
    "compartment-id": "ocid1.compartment.….….….uniqueID",
    "defined-tags": {},
    "display-name": "localpeeringgateway20210830174050",
    "freeform-tags": {},
    "id": "ocid1.lpg.AK00661530.scasg01..….….….uniqueID",
    "is-cross-tenancy-peering": false,
    "lifecycle-state": "AVAILABLE",
    "peer-advertised-cidr": null,
    "peer-advertised-cidr-details": null,
    "peering-status": "NEW",
    "peering-status-details": null,
    "route-table-id": null,
    "time-created": "2021-08-30T17:40:50.876023+00:00",
    "vcn-id": "ocid1.vcn.….….….uniqueID"
  },
  "etag": "c98377e4-ae89-46cf-9c61-52aea68a3476"
}

4.3.4 動的ルーティング・ゲートウェイを使用したオンプレミス・ネットワークへの接続

動的ルーティング・ゲートウェイ(DRG) DRGは、汎用ルーターと同等のOracle Private Cloud Applianceです。 DRGは、VCNをデータ・センターのIPアドレス領域に接続するために使用されます。ルーターは、コンパートメント・レベルでVCNとは別に構成され、VCNと同じコンパートメントに存在する必要はありません(ただし、通常はそうです)。構成すると、DRGを複数のVCNにアタッチでき、物理ルーターと同様に、トラフィックが失われても、いつでもアタッチおよびデタッチできます。また、物理ルーターと同様に、VCNにアタッチされている場合でも、DRGには、トラフィックをオンプレミス・データ・センターのネットワークIPアドレス空間に誘導するルート表ルールが必要です。

4.3.4.1 動的ルーティング・ゲートウェイの作成

コンピュートWeb UIの使用

ナビゲーション・メニューのネットワーキングで、動的ルーティング・ゲートウェイ(DRG)をクリックします。コンパートメントで以前に構成されたDRGのリストが表示されます。動的ルーティング・ゲートウェイを作成するコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
Create Dynamic Routing Gateway(動的ルーティング・ゲートウェイの作成)をクリック
必要な動的ルーティング・ゲートウェイ情報を入力します:
- 名前: 動的ルーティング・ゲートウェイの名前または説明を指定します。組織の機密情報は使用しないでください。
- コンパートメントに作成: 動的ルーティング・ゲートウェイを作成するコンパートメントを選択します。
  
  動的ルーティング・ゲートウェイの詳細は、Oracle Private Cloud Appliance概要ガイドの仮想ネットワーキングの概要の章の「動的ルーティング・ゲートウェイ」の項を参照してください。
- タグ付け: オプションで、このリソースに1つ以上のタグを追加します。
  
  タグを適用するかどうかわからない場合は、このオプションをスキップします(後でタグを適用できます)。
  
  リソースのタグ付けの詳細は、「タグ付けの概要」を参照してください。
Create Dynamic Routing Gatewayをクリックします。

動的ルーティング・ゲートウェイでDRGアタッチメントを追加する準備ができました。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)

oci network drg createコマンドを実行します。

ノート

構文(1行に入力):

oci network drg create
--compartment-id <compartment_OCID>

例:

oci network drg create \
 --compartment-id ocid1.compartment.….….….uniqueID 
 
{
  "data": {
    "compartment-id": "ocid1.compartment.….….….uniqueID",
    "defined-tags": {},
    "display-name": "drg20210830204524",
    "freeform-tags": {},
    "id": "ocid1.drg..….….….uniqueID",
    "lifecycle-state": "AVAILABLE",
    "time-created": "2021-08-30T20:45:24.236954+00:00"
  },
  "etag": "c98377e4-ae89-46cf-9c61-52aea68a3476"
}

4.3.4.2 動的ルーティング・ゲートウェイへのVCNのアタッチ

多くのVCNをDRGに接続できますが、各VCNは1つのDRGのみをアタッチできます。ルート表とセキュリティ・リストで通信が許可されていることを確認する必要があります。

UIの使用

ナビゲーション・メニューのネットワーキングで、動的ルーティング・ゲートウェイをクリックします。コンパートメントで以前に構成されたDRGのリストが表示されます。動的ルーティング・ゲートウェイをアタッチしているコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
そのコンパートメントのDRGのリストで動的ルーティング・ゲートウェイ名をクリックします。
仮想クラウド・ネットワークにアタッチをクリックします。
VCNをクリックして、ドロップダウン・リストのVCNのリストからDRGをアタッチします。正しいコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
DRGにアタッチをクリックします。
プロセスを繰り返して、他のVCNをDRGにアタッチし、VCNを接続します。

動的ルーティング・ゲートウェイは、選択したVCNにアタッチされます。

最大10個のVCNをDRGに接続できますが、各VCNはアタッチできるDRGは1つのみです。ルート表とセキュリティ・リストで通信が許可されていることを確認する必要があります。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID
- 動的ルーティング・ゲートウェイOCID (oci network drg-attachment --compartment-id <compartment_OCID)

oci network drg-attachment createコマンドを実行します。

ノート

構文(1行に入力):

oci network drg-attachment create \
--drg-id <drg_OCID> \
--vcn-id <vcn_OCID>

例:

oci network drg-attachment create \
 --drg-id ocid1.drg.….….….uniqueID \
 --vcn-id ocid1.vcn.….….….uniqueID 
 
{
 "data": {
 "compartment-id": "ocid1.compartment.….….….uniqueID",
 "display-name": "drgattachment20210902221928",
 "drg-id": "ocid1.drg.….….….uniqueID",
 "id": "ocid1.drgattachment.AK00661530.scasg01..….….….uniqueID",
 "lifecycle-state": "ATTACHING",
 "route-table-id": null,
 "time-created": "2021-09-02T22:19:28.642402+00:00",
 "vcn-id": "ocid1.vcn.….….….uniqueID
 },
 "etag": "c98377e4-ae89-46cf-9c61-52aea68a3476"
}

4.3.5 サービス・ゲートウェイを介したOracleサービスへのアクセス

一部のサービスは、セキュリティおよびパフォーマンスの理由から、独自のネットワーク上で分離されています。サービス・ゲートウェイ(SG)では、プライベート・サブネットのサービス・ネットワーク・サービス(オブジェクト・ストレージなど)にプライベート・アクセスできないVCNが許可されます。これらのサービスは、管理ノード・クラスタを介してインフラストラクチャ・レベルで到達します。

この機能は機能せず、互換性のために実装されます。

VCNに指定できるサービス・ゲートウェイは1つのみです。サービス・ゲートウェイは、作成されるVCNに自動的にアタッチされます。サービスはCIDRラベルを使用し、デフォルトで許可されます。

有効なサービスごとに、サービス・オブジェクトのcidrBlockをルールの宛先に、サービス・ゲートウェイをルール・ターゲットとするルート・ルールが必要です。

UIの使用

ナビゲーション・メニューのネットワーキングで、仮想クラウド・ネットワークをクリックします。コンパートメントで以前に構成されたVCNのリストが表示されます。サービス・ゲートウェイを作成するコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
サービス・ゲートウェイを作成するVCNをクリックします。
そのVCNのリソース・メニューで、サービス・ゲートウェイをクリックします(特定のVCNのサービス・ゲートウェイを作成する場合<、カッコ内に構成されているサービス・ゲートウェイの数はゼロ(0)である必要があります)。
Create Service Gatewayをクリック
必要なサービス・ゲートウェイ情報を入力します:
- 名前: サービス・ゲートウェイの名前または説明を指定します。組織の機密情報は使用しないでください。
- コンパートメントに作成: サービス・ゲートウェイを作成するコンパートメントを選択します。
- サービス: リストからサービスを選択します。
- ルート表の関連付け(オプション): オプションで、ルート表をサービス・ゲートウェイに関連付けることができます。選択したコンパートメントの構成済ルート表のリストがドロップダウン・リストに表示されます。コンパートメントを変更するには、コンパートメント名の横にある(変更)をクリックします。
  
  サービス・ゲートウェイの詳細は、Oracle Private Cloud Appliance概要ガイドの仮想ネットワーキングの概要の章の「サービス・ゲートウェイ」の項を参照してください。
- タグ付け: オプションで、このリソースに1つ以上のタグを追加します。
  
  タグ付けの詳細は、第3.4.1項、「リソース作成時のタグの追加」または「リソース・タグ管理」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
「サービス・ゲートウェイの作成」をクリックします。

サービス・ゲートウェイは、ルート・ルールまたはセキュリティ設定を追加する準備ができました。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID
oci network service-gateway createコマンドを実行します。

複合データ型は、通常、--generate-full-command-json-inputオプション(この場合はoci network service-gateway create --generate-param-json-input services)を使用して処理されます。このコマンド・オプションで使用するサンプルのjsonファイルが生成されます。キー名は事前に移入され、コマンド・オプション名と一致します(compartment-idがcompartmentIdのようにcamelCase形式に変換されます)。

このコマンドの入力としてサンプル・ファイルを使用する前に、キーの値がユーザーによって編集されます。

複数の値を受け入れるコマンド・オプションの場合、キーの値はJSON配列にできます。

オプションはコマンド行でも指定できます。 JSONドキュメントとコマンドラインの両方にオプションが存在する場合、コマンドラインで指定された値が使用されます。
```
oci network service-gateway create 
--compartment-id ocid1.compartment..….….….uniqueID
--vcn-id ocid1.vcn..….….….uniqueID 
--services '[{"serviceId":"grafana"}]'

{
 "data": {
  "displayName": "servicegateway20210830204524",
  "freeform-tags": {},
  "id": "ocid1.servicegateway..….….….uniqueID",
  "maxWaitSeconds": 0,
  "routeTableId": NULL,
  "services": [
   {
   "serviceId": "grafana"
   }
   ],
  "vcnId": ""ocid1.vcn.….….….uniqueID",
  "waitForState": "PROVISIONING",
  "waitIntervalSeconds": 0
  },
 "etag": "c98377e4-ae89-46cf-9c61-52aea68a3476"
}
```

4.4 VNICおよびIPアドレス指定の構成

Oracle Private Cloud Applianceのコンピュート・ノードには物理ネットワーク・インタフェース・カード(NIC)があります。いずれかのサーバーでコンピュート・インスタンスを作成して起動すると、ネットワーキング・サービスは、インスタンスがネットワーク経由で通信できるように、物理インタフェースの上にVNICが作成されるようにします。各インスタンスには、起動時に自動的に作成およびアタッチされるプライマリVNICがあります。プライマリVNICは、インスタンスの作成時に指定したサブネットに存在します。インスタンスから削除できません。

セカンダリVNICは、起動後にインスタンスに追加できます。セカンダリVNICを使用できるようにするには、そのインスタンスOSも構成する必要があります。セカンダリVNICは常にインスタンスにアタッチする必要があり、移動できません。セカンダリVNICを作成するプロセスによって、インスタンスに自動的にアタッチされます。セカンダリVNICをデタッチするプロセスによって、自動的に削除されます。インスタンスを終了すると、自動的にデタッチされて削除されます。

インスタンスは通信にIPアドレスを使用します。各インスタンスには、少なくとも1つのプライベートIPアドレスと、オプションでパブリックIPアドレスがあります。プライベートIPアドレスを使用すると、インスタンスはVCN内の他のインスタンス、またはオンプレミス・ネットワーク内のホストと通信できます。パブリックIPアドレスを使用すると、インスタンスはOracle Private Cloud Applianceネットワーク環境の外部ホストと通信できます。

サブネットを作成すると、デフォルトでパブリックとみなされるため、そのサブネット内のインスタンスはパブリック・アドレスを持つことができ、インターネット通信が許可されます。インスタンスを起動するユーザーが、パブリック・アドレスがあるかどうかを選択します。サブネットの作成時にこの動作をオーバーライドし、それをプライベートにリクエストして、パブリック・アドレスやインターネット通信の使用を禁止できます。したがって、ネットワーク管理者は、VCNに正常なインターネット・ゲートウェイがあり、セキュリティ・ルールおよびファイアウォール・ルールでトラフィックが許可されている場合でも、サブネット内のインスタンスにインターネット・アクセスがないことを確認できます。

4.4.1 パブリックIPアドレス

パブリックIPアドレスは、インターネットからアクセス可能なIPv4アドレスです。テナンシのリソースにインターネットから直接アクセス可能にする必要がある場合は、パブリックIPアドレスが必要です。リソースのタイプによっては、他の要件が存在する場合があります。

テナンシ内の特定のタイプのリソースは、インターネットから直接アクセスできるように設計されているため、自動的にパブリックIPアドレスが付きます。次に例を示します: NATゲートウェイまたはパブリック・ロード・バランサ。他のタイプのリソースは、そのように構成した場合にのみ直接アクセス可能です。たとえば、VCN内のインスタンスです。

この項では、次の項目について説明します:

パブリックIPアドレスのタイプとその特性
インスタンスにパブリックIPアドレスがあるかどうかを制御する方法
IPアドレスの作成と管理

パブリックIPアドレスをインスタンスに割り当てて、インターネットとの通信を有効にできます。インスタンスには、アドレス・プールからパブリックIPアドレスが割り当てられます。

実際には、インスタンス上のプライベートIPアドレス・オブジェクトへの割当てです。プライベートIPが割り当てられているVNICは、パブリック・サブネットに存在する必要があります。特定のインスタンスに複数のセカンダリVNICを含めることができ、特定のVNICに複数のセカンダリ・プライベートIPを含めることができます。したがって、必要に応じて、1つ以上のVNICに特定のインスタンスを複数のパブリックIPに割り当てることができます。

パブリックIPには2つのタイプがあります:

エフェメラル: このタイプは、インスタンスの存続期間中に一時的に存在するものと考えてください。
予約済: このタイプの永続的であり、割り当てられているインスタンスの存続期間を超えて存在すると考えてください。割当てを解除し、必要に応じて別のインスタンスに再割当てできます。

パブリック・サブネットでインスタンスを起動すると、デフォルトでは、特に指定しないかぎり、インスタンスはパブリックIPを取得します。特定のパブリックIPを作成した後は、そのタイプを変更できません。たとえば、1つのIPアドレスで一時的パブリックIPが割り当てられているインスタンスを起動した場合、一時的パブリックIPを同じアドレスを持つ予約済パブリックIPに変換できません。

すでにパブリックIP制限に達したVNICまたはインスタンスにパブリックIPを割り当てたり移動したりする操作を実行しようとすると、エラーが返されます。

次の操作があります。

パブリックIPの割当て
パブリックIPを使用した新しいセカンダリVNICの作成
パブリックIPを持つプライベートIPを別のVNICに移動
別のプライベートIPへのパブリックIPの移動

4.4.2 パブリックIPアドレスの管理

パブリックIPアドレスをインスタンスに割り当てて、インターネットとの通信を有効にできます。インスタンスには、Oracle Cloud Infrastructureアドレス・プールからパブリックIPアドレスが割り当てられます。インスタンスにすでに存在するプライベートIPアドレス・オブジェクトに対する割当てです。

インスタンスがインターネットと直接通信するには、次のすべてが必要です:

インスタンスは、サブネットの作成時に構成されるパブリック・サブネットに存在する必要があります。プライベート・サブネットは、サブネットのインスタンスにパブリックIPアドレスを割り当てることはできません。
インスタンスにはパブリックIPアドレスが必要です。
インスタンスVCNには、インターネット・ゲートウェイが構成されている必要があります。
パブリック・サブネットには、インターネット通信を有効にするルート表およびセキュリティ・リスト・エントリが必要です。

この項では、パブリックIPアドレスの作成と管理について説明します。この項では、インスタンス、インターネット・ゲートウェイ、ルート表またはセキュリティ・リストの構成については説明しません。詳細は、これらのコンポーネント構成のセクションおよび「Oracle Private Cloud Applianceユーザーズ・ガイド」の「ネットワーク」章の「ネットワーク・シナリオ」の項を参照してください。

4.4.2.1 パブリックIPアドレスの表示

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID: (oci iam compartment list <options>)
次のコマンドを実行します

ノート

この手順では、このコマンドに必要な最小パラメータを示します。オプションのパラメータについては、--helpオプションを指定してコマンドを実行します。

構文(1行に入力):
```
oci network public-ip list 
--compartment-id <compartment_OCID>
--scope <REGION | AVAILABILITY_DOMAIN>
```
ノート

パブリックIPがリージョン内に存在し、リージョナル・エンティティ(NATゲートウェイなど)に割り当てられている場合、そのパブリックIPは、リージョン内の任意の可用性ドメインのプライベートIPに割り当てることができます。予約済パブリックIPには、リージョン・エンティティに割り当てられたエフェメラル・パブリックIPと同様に、scope = REGIONがあります。一方、一時的パブリックIPはプライベートIPに割り当てられ、scope = AVAILABILITY_DOMAINを持つことができます。

例:
```
oci network public-ip list 
--compartment-id ocid1.compartment.   .….  .uniqueID
--scope REGION
{
  "data": [
    {
      "assigned-entity-id": null,
      "assigned-entity-type": "PRIVATE_IP",
      "availability-domain": null,
      "compartment-id": "ocid1.compartment.   .….  .uniqueID",
      "defined-tags": {},
      "display-name": "publicip20211110220031",
      "freeform-tags": {},
      "id": "ocid1.publicip..   .….  .uniqueID",
      "ip-address": "10.80.79.158",
      "lifecycle-state": "AVAILABLE",
      "lifetime": "RESERVED",
      "private-ip-id": null,
      "public-ip-pool-id": null,
      "scope": "REGION",
      "time-created": "2021-11-10T22:00:31.040800+00:00"
    }
  ]
}
```

4.4.2.2 パブリックIPアドレスの予約

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID: (oci iam compartment list <options>)

次のコマンドを実行します

ノート

構文(1行に入力):

oci network public-ip create \
--compartment-id <compartment_OCID> \
--lifetime <RESERVED>

例

oci network public-ip create 
--compartment-id ocid1.compartment.   .….  .uniqueID
--lifetime RESERVED
{
  "data": {
    "assigned-entity-id": null,
    "assigned-entity-type": "PRIVATE_IP",
    "availability-domain": null,
    "compartment-id": "ocid1.compartment.   .….  .uniqueID",
    "defined-tags": {},
    "display-name": "publicip20211110220031",
    "freeform-tags": {},
    "id": "ocid1.publicip.   .….  .uniqueID",
    "ip-address": "10.80.79.158",
    "lifecycle-state": "PROVISIONING",
    "lifetime": "RESERVED",
    "private-ip-id": null,
    "public-ip-pool-id": null,
    "scope": "REGION",
    "time-created": "2021-11-10T22:00:31.040800+00:00"
  },
  "etag": "aad5bbcc-9d89-40cd-ab10-03dcc2e4ee0a"
}

4.4.2.3 インスタンスへのパブリックIPアドレスの割当て

private-ip-idパラメータ・オプションは、パブリックIPアドレスをプライベートIPアドレスに割り当てるために使用します。これを行うには、EPHEMERALパブリックIPアドレスを作成する必要があります。一時的なアドレス存続期間は、インスタンスの存続期間です。エフェメラルIPアドレスは、プライベートIPが削除されるか、VNICがデタッチまたは終了されるか、またはインスタンスが終了されると削除されます。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID: (oci iam compartment list --all)
- プライベートIP OCID ( oci network private-ip list)
  
  1つのIPアドレスのみをリストする--ip-addressを指定することもできます。さらに、--vlan-id、oci network private-ip get --private-ip-id OCID、および--vnic-idオプションは1つのIPアドレスを一覧表示します。

次のコマンドを実行します

ノート

オプションのパラメータについては、--helpオプションを指定してコマンドを実行します。

構文(1行に入力):

oci network public-ip create \
--compartment-id <compartment_OCID> \
--lifetime <EPHEMERAL> \
--private-ip-id <private_ip_OCID> (required for EPHEMERAL lifetime)

例:

# oci network public-ip create \
--compartment ocid1.compartment.ocid1.compartment.   .….  .uniqueID \
--lifetime EPHEMERAL \ 
--private-ip-id ocid1.privateip..   .….  .uniqueID
{
  "data": {
    "assigned-entity-id": "ocid1.privateip..   .….  .uniqueID",
    "assigned-entity-type": "PRIVATE_IP",
    "availability-domain": "ad1",
    "compartment-id": "ocid1.compartment..   .….  .uniqueID",
    "defined-tags": {},
    "display-name": "publicip20211115191656",
    "freeform-tags": {},
    "id": "ocid1.publicip..   .….  .uniqueID",
    "ip-address": "10.80.79.159",
    "lifecycle-state": "ASSIGNING",
    "lifetime": "EPHEMERAL",
    "private-ip-id": "ocid1.privateip..   .….  .uniqueID",
    "public-ip-pool-id": null,
    "scope": "AVAILABILITY_DOMAIN",
    "time-created": "2021-11-15T19:16:56.063971+00:00"
  },
  "etag": "aad5bbcc-9d89-40cd-ab10-03dcc2e4ee0a"
}

4.4.2.4 パブリックIPアドレスの編集

パブリックIPアドレスに関連付けられたパラメータの一部を更新できます。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID: (oci iam compartment list --all)
- パブリックIPアドレスOCID: (oci network public-ip list --compartment-id <compartment_OCID> --scope AVAILABILITY_DOMAIN)

次のコマンドを実行します

ノート

構文(1行に入力):

oci network public-ip update 
--public-ip-id <public_ip_OCID>
--display-name <text> (this parameter is optional)

ノート

display-nameパラメータは技術的にはオプションですが、ここでは編集または更新できる項目の例として使用されます。

例

oci network public-ip update 
--public-ip-id ocid1.compartment.   .….  .uniqueID
--display-name public-ip-test-address
{
  "data": {
    "assigned-entity-id": null,
    "assigned-entity-type": "PRIVATE_IP",
    "availability-domain": null,
    "compartment-id": "ocid1.compartment.   .….  .uniqueID"
",
    "defined-tags": {},
    "display-name": "public-ip-test-address",
    "freeform-tags": {},
    "id": "ocid1.publicip.   .….  .uniqueID",
    "ip-address": "10.80.79.158",
    "lifecycle-state": "AVAILABLE",
    "lifetime": "RESERVED",
    "private-ip-id": null,
    "public-ip-pool-id": null,
    "scope": "REGION",
    "time-created": "2021-11-10T22:00:31.040800+00:00"
  },
  "etag": "2f878ae9-c038-42f9-a410-4574810e5a25"
}

4.4.2.5 パブリックIPアドレスの削除

パブリックIPアドレスを削除できます。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID: (oci iam compartment list --all)
- パブリックIPアドレスOCID: (oci network public-ip list --compartment-id <compartment_OCID> --all)
次のコマンドを実行します

ノート

この手順では、このコマンドに必要な最小パラメータを示します。オプションのパラメータについては、--helpオプションを指定してコマンドを実行します。

構文(1行に入力):
```
oci network public-ip delete 
--public-ip-id <public_ip_OCID>
```
例
```
oci network public-ip delete 
--public-ip-id ocid1.publicip.   .….  .uniqueID

Are you sure you want to delete this resource? [y/N]: y
```

--forceオプションを使用すると、確認を抑制できます。

4.4.3 VNICの作成と管理

セカンダリVNICは、起動後にインスタンスに追加できます。セカンダリVNICを使用できるようにするには、そのインスタンスOSも構成する必要があります。インスタンスのVNICの最大数はシェイプによって異なります。各セカンダリVNICは、プライマリVNICと同じVCN内のサブネット、または同じVCN内にある異なるサブネットまたは別のサブネットに配置できます。同じサブネットCIDRブロックからインスタンスに複数のVNICをアタッチすると、特にLinuxインスタンスで非対称ルーティングが発生する可能性があります。詳細は、「Oracle Private Cloud Appliance概要ガイド」の「インスタンス接続」章の「仮想ネットワーク・インタフェース・カード(VNIC)」の項を参照してください。

4.4.3.1 インスタンスVNICの表示

UIの使用

ナビゲーション・メニューを開き、「コンピュート」をクリックします。「コンピュート」で、「インスタンス」をクリックします。
関心のあるインスタンスを含むコンパートメントを表示していることを確認します。
インスタンスをクリックして詳細を表示します。
「リソース」で、「アタッチされたVNIC」をクリックします。

インスタンスにアタッチされているプライマリVNICおよびすべてのセカンダリVNICが表示されます。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- インスタンスOCID: (oci compute instance list --all)

次のコマンドを実行します

ノート

構文(1行に入力):

oci compute instance list-vnics \
--instance-id <instance_OCID>

例

oci compute instance list-vnics --instance-id ocid1.…..uniqueID

{
  "data": [
    {
      "availability-domain": "PCANETWORK",
      "compartment-id": "ocid1.tenancy..…..uniqueID",
      "defined-tags": {},
      "display-name": "vnic20210528203222",
      "freeform-tags": {},
      "hostname-label": null,
      "id": "ocid1.vnic..…..uniqueID",
      "is-primary": true,
      "lifecycle-state": "AVAILABLE",
      "mac-address": "00:13:97:99:cc:4b",
      "nsg-ids": null,
      "private-ip": "10.0.5.3",
      "public-ip": null,
      "skip-source-dest-check": false,
      "subnet-id": "ocid1.subnet..…..uniqueID",
      "time-created": "2021-05-28T20:32:22+00:00",
      "vlan-id": null
    }
  ]
}

4.4.3.2 コンパートメント内のVNICアタッチメントの表示

UIの使用

ナビゲーション・メニューを開きます。ネットワーキングで、インスタンスをクリックします。
目的のコンパートメントにいることを確認します。そうでない場合は、コンパートメントのドロップダウン・リストから適切なコンパートメントを選択できます。
目的のインスタンスをクリックします。
インスタンスのリソース・リストで、アタッチされたVNICをクリックします。

そのインスタンスにアタッチされているVNICのリストが表示されます。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)

次のコマンドを実行します

ノート

構文(1行に入力):

oci compute vnic-attachment list \ 
--compartment-id <compartment_OCID>

例

oci compute vnic-attachment list --compartment-id ocid1.tenancy.….uniqueID
{
  "data": [
    {
      "availability-domain": "PCANETWORK",
      "compartment-id": "ocid1.tenancy..….uniqueID",
      "display-name": "vnicattachment20210528203222",
      "id": "ocid1.vnicattachment..….uniqueID",
      "instance-id": "ocid1.instance..….uniqueID",
      "lifecycle-state": "ATTACHED",
      "nic-index": 0,
      "subnet-id": "ocid1.subnet..….….uniqueID",
      "time-created": "2021-05-28T20:32:22+00:00",
      "vlan-id": null,
      "vlan-tag": 0,
      "vnic-id": "ocid1.vnic..….uniqueID"
    },
    {
      "availability-domain": "PCANETWORK",
      "compartment-id": "ocid1.tenancy..….….uniqueID",
      "display-name": "vnicattachment20210601150704",
      "id": "ocid1.vnicattachment..….….uniqueID",
      "instance-id": "ocid1.instance..….….uniqueID",
      "lifecycle-state": "ATTACHED",
      "nic-index": 0,
      "subnet-id": "ocid1.subnet..….….uniqueID",
      "time-created": "2021-06-01T15:07:04+00:00",
      "vlan-id": null,
      "vlan-tag": 0,
      "vnic-id": "ocid1.vnic..….….uniqueID"
    }
  ]
}

4.4.3.3 セカンダリVNICの作成およびアタッチ

インスタンスのセカンダリVNICをいつでも構成できます。ただし、インスタンスOSがセカンダリVNICにアタッチおよび使用できるようにするには、セカンダリVNICを使用するようにインスタンスも構成する必要があります。 VNICを使用するようにインスタンスOSを構成するには、インスタンスOSに応じて、「Linux: セカンダリVNICのOSの構成」または「ウィンドウ: セカンダリVNICのOSの構成」を参照してください。

UIの使用

ナビゲーション・メニューを開き、「コンピュート」をクリックします。「コンピュート」で、「インスタンス」をクリックします。
関心のあるインスタンスを含むコンパートメントを表示していることを確認します。
インスタンスをクリックして詳細を表示します。
「リソース」で、「アタッチされたVNIC」をクリックします。

インスタンスにアタッチされているプライマリVNICおよびすべてのセカンダリVNICが表示されます。
VNICの作成をクリックします。
「VNICアタッチメントの作成」ダイアログ・ボックスで、VNICを配置するVCNおよびサブネットを指定します。デフォルトでは、VNICは現在のコンパートメントに作成されます。同じコンパートメントまたは別のコンパートメントからVCNとサブネットを選択できます。

次のように入力します。
- コンパートメント: 現在のコンパートメントが表示されます。ドロップダウン・リストにある別のコンパートメントを選択するには、(変更)をクリックします。
- VCN: ドロップダウン・リストから、目的のサブネットを含むVCNを選択します。
- サブネット: ドロップダウン・リストから目的のサブネットを選択します。セカンダリVNICはインスタンスのプライマリVNICと同じ可用性ドメインに存在する必要があるため、サブネット・リストにはプライマリVNIC可用性ドメインの「リージョナル・サブネットまたはAD固有のサブネット」が含まれます。
- ソース/宛先チェックをスキップ: デフォルトでは、このチェック・ボックスは選択されていません。つまり、VNICはソース/宛先チェックを実行します。 VNICがトラフィックを転送できるようにする場合のみ、このチェック・ボックスを選択します。「VNICと物理NICの概要」を参照してください。
- パブリックIPアドレスの割当て: パブリックIPv4アドレスをVNICプライマリ・プライベートIPに割り当てるかどうか。このオプションは、サブネットがパブリックの場合にのみ使用できます。名前で既存の「予約済パブリックIPアドレス」を指定するか、名前を割り当ててアドレスのソース「IPプール」を選択して新しい予約済IPアドレスを作成するには、このオプションを選択します。作成したIPプールを選択しない場合は、デフォルトのOracle IPプールが使用されます。
- プライマリIP情報:
  - プライベートIPアドレス: Optional. 入力されたアドレスは、サブネットに割り当てられたCIDRブロック範囲内にある必要があり、まだ使用中であってはなりません。
  - ホスト名: Optional. クラウド・ネットワーク内でDNSに使用されるホスト名。空白を含まない文字、数字およびハイフンのみを使用できます(最大63文字)。オプションを使用できるのは、VCNとサブネットの両方にDNSラベルがある場合のみです。
- ネットワーク・セキュリティ・グループの有効化: デフォルトでは、ネットワーク・セキュリティ・グループをVNICにアタッチできません。ネットワーク・セキュリティ・グループを許可し、構成したNSGのドロップダウン・リストを表示する場合に選択します。
添付の作成をクリックします。セカンダリVNICが作成され、インスタンスのアタッチされたVNICリストに表示されます。セカンダリVNICがページに表示されるまでに数秒かかる場合があります。
それでも、セカンダリVNICを使用するようにインスタンスOSを構成する必要があります。「Linux: セカンダリVNICのOSの構成」または「ウィンドウ: セカンダリVNICのOSの構成」を参照してください。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- インスタンスOCID: (oci compute instance list --compartment-id <compartment_OCID> --all)
- サブネットOCID: (oci network subnet list --compartment-id <compartment_OCID> --all)

次のコマンドを実行します

ノート

構文(1行に入力):

oci compute instance attach-vnic \
--instance-id <instance_OCID> \
--subnet-id <subnet_OCID>

例

 oci compute instance attach-vnic \
--instance-id ocid1.instance...….….uniqueID \ 
--subnet-id ocid1.subnet...….….uniqueID

正常に終了した場合、このコマンドからの出力はありません。アタッチされたVNICを表示するには、oci compute instance list-vnics --instance-id <instance_OCID>コマンドを使用します。新しいアタッチされたセカンダリVNICは、プライマリではないエントリです(is-primary = false)。

oci compute instance list-vnics \
--instance-id ocid1.instance....….….uniqueID
{
  "data": [
    {
      "availability-domain": "ad1",
      "compartment-id": "ocid1.compartment....….….uniqueID",
      "defined-tags": {},
      "display-name": "example-instance",
      "freeform-tags": {},
      "hostname-label": "example",
      "id": "ocid1.vnic.....….….uniqueID",
      "is-primary": true,
      "lifecycle-state": "AVAILABLE",
      "mac-address": "00:13:97:18:e4:ec",
      "nsg-ids": null,
      "private-ip": "192.168.0.2",
      "public-ip": "10.80.79.145",
      "skip-source-dest-check": false,
      "subnet-id": "ocid1.subnet....….….uniqueID",
      "time-created": "2021-12-01T16:31:05.681547+00:00",
      "vlan-id": null
    },
    {
      "availability-domain": "ad1",
      "compartment-id": "ocid1.compartment....….….uniqueID",
      "defined-tags": {},
      "display-name": "example-instance",
      "freeform-tags": {},
      "hostname-label": "example-instance",
      "id": "ocid1.vnic....….….uniqueID",
      "is-primary": false,
      "lifecycle-state": "AVAILABLE",
      "mac-address": "00:13:97:30:9d:db",
      "nsg-ids": null,
      "private-ip": "10.27.100.2",
      "public-ip": "10.80.79.141",
      "skip-source-dest-check": false,
      "subnet-id": "ocid1.subnet....….….uniqueID",
      "time-created": "2021-12-01T18:21:48.442239+00:00",
      "vlan-id": null
    }
  ]
}

それでも、セカンダリVNICを使用するようにインスタンスOSを構成する必要があります。「Linux: セカンダリVNICのOSの構成」または「ウィンドウ: セカンダリVNICのOSの構成」を参照してください。

4.4.3.4 既存のVNICの更新

VNICのプライベートIPアドレスまたはホスト名を更新するか、ネットワーク・セキュリティ・グループを使用するかどうかを更新できます。

UIの使用

アタッチされたVNICと既存のVNICをインスタンスを介して更新します。目的のインスタンスを選択します。
そのインスタンスのリソース・リストからアタッチ済VNICを選択します。
更新するアタッチされたVNICを選択します。
インスタンスのリソース・リストからIPアドレスまたはネットワーク・セキュリティ・グループを選択します。
IPアドレスで、プライベートIPアドレスの割当てをクリックして、VNICアタッチメントのIPアドレスまたはホスト名を変更します。
1. IPアドレス: VNICに使用する新しいIPアドレスを入力します。入力されたアドレスは、サブネットに割り当てられたCIDRブロック範囲内にある必要があり、まだ使用中であってはなりません。
2. ホスト名:クラウド・ネットワーク内のDNSに使用されるホスト名。空白を含まない文字、数字およびハイフンのみを使用できます(最大63文字)。オプションを使用できるのは、VCNとサブネットの両方にDNSラベルがある場合のみです。
3. VNICのIPアドレスのアタッチをクリックして変更を保存します。
ネットワーク・セキュリティ・グループで、ネットワーク・セキュリティ・グループの更新をクリックします。
1. ネットワーク・セキュリティ・グループの有効化: デフォルトでは、ネットワーク・セキュリティ・グループをVNICにアタッチできません。ネットワーク・セキュリティ・グループを許可し、構成したNSGのドロップダウン・リストを表示する場合に選択します。 NSGが有効になっている場合は、このオプションをクリアしてVNICからNSGを削除します。
2. VNICのネットワーク・セキュリティ・グループの更新をクリックして変更を保存します。
インスタンスVNICのIPアドレスまたはNSGリソースについて更新された情報がリストされます。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- VNIC OCID: (oci compute vnic-attachment list --compartment-id <compartment_OCID> --all)

次のコマンドを実行します

ノート

構文(1行に入力):

oci network vnic update \
--vnic-id <vnic_OCID> \
--display-name <name> (optional parameter, but used for example)

例

oci network vnic update --vnic-id ocid1.vnic..….….uniqueID
--display-name easy-to-recall-display-name
{
  "data": [
    {
      "availability-domain": "ad1",
      "compartment-id": "ocid1.tenancy...….….uniqueID",
      "display-name": "easy-to-recall-display-name",
      "id": "ocid1.vnicattachment..….….uniqueID",
      "instance-id": "ocid1.instance..….….uniqueID",
      "lifecycle-state": "ATTACHING",
      "nic-index": 0,
      "subnet-id": "ocid1.subnet..….….uniqueID",
      "time-created": "2021-10-22T17:06:14.398445+00:00",
      "vlan-id": null,
      "vlan-tag": 0,
      "vnic-id": "ocid1...….….uniqueID"
    }    
  ]
}

4.4.3.5 ネットワーク・セキュリティ・グループからのVNICの追加または削除

VNICが属する「ネットワーク・セキュリティ・グループ」 (NSG)を変更したり、すべてのNSGからVNICを削除できます。関連トピックは第4.2.4.2項、「VNICへのネットワーク・セキュリティ・グループのアタッチ」です。

UIの使用

ナビゲーション・メニューを開き、「コンピュート」をクリックします。「コンピュート」で、「インスタンス」をクリックします。
関心のあるインスタンスを含むコンパートメントを表示していることを確認します。
インスタンスをクリックして詳細を表示します。
「リソース」で、「アタッチされたVNIC」をクリックします。

インスタンスにアタッチされているプライマリVNICおよびすべてのセカンダリVNICが表示されます。
目的のVNICをクリックします。

各VNICの詳細ページには、VNICが属するNSGのリスト(存在する場合)が含まれます。
目的のNSGをクリックします。
ネットワーク・セキュリティ・グループの更新をクリックします。
VNICに追加するNSGを選択します。
VNICのネットワーク・セキュリティ・グループの更新をクリックします。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --options)
- VNIC OCID: (oci compute vnic-attachment list --compartment-id <compartment_OCID> --all)
- NSG OCID (oci network nsg list --compartment-id <compartment_OCID> --options))

次のコマンドを実行します警告では、既存の値を更新するかどうかを選択できます。

構文(1行に入力):

oci network vnic update \
--vnic-id <vnic_OCID> \
--nsg-ids '["<nsg_OCID>"]'

例

oci network vnic update \ 
--vnic-id ocid1.vnic....….….uniqueID \  
--nsg-ids '["ocid1.networksecuritygroup....….….uniqueID"]
'
WARNING: Updates to defined-tags and freeform-tags and nsg-ids will replace any existing values. 
Are you sure you want to continue? [y/N]: y
{
  "data": {
    "availability-domain": "ad1",
    "compartment-id": "ocid1.compartment....….….uniqueID",
    "defined-tags": {},
    "display-name": "example-instance",
    "freeform-tags": {},
    "hostname-label": "example-instance",
    "id": "ocid1.vnic.1742XC3024.broom14....….….uniqueID",
    "is-primary": false,
    "lifecycle-state": "PROVISIONING",
    "mac-address": "00:13:97:5c:7a:58",
    "nsg-ids": [
      "ocid1.networksecuritygroup.1...….….uniqueID"
    ],
    "private-ip": "10.27.100.2",
    "public-ip": null,
    "skip-source-dest-check": true,
    "subnet-id": "ocid1.subnet....….….uniqueID",
    "time-created": "2021-12-01T17:14:46.084875+00:00",
    "vlan-id": null
  },
  "etag": "17e8e038-3051-4ef8-96a4-21d7107d37e6"
}

4.4.3.6 セカンダリVNICの削除

この操作は、指定されたセカンダリVNICをデタッチして削除します。この操作は、インスタンスのプライマリVNICでは使用できません。インスタンスを終了すると、アタッチされたすべてのVNIC(プライマリおよびセカンダリ)は自動的にデタッチされて削除されます。

注意

VNICに「ルート・ルールのターゲット」のプライベートIPがある場合、VNICを削除すると、ルート・ルールがブラック・ホールになり、トラフィックは削除されます。

UIの使用

ナビゲーション・メニューを開き、「コンピュート」をクリックします。「コンピュート」で、「インスタンス」をクリックします。
関心のあるインスタンスを含むコンパートメントを表示していることを確認します。
インスタンスをクリックして詳細を表示します。
「リソース」で、「アタッチされたVNIC」をクリックします。

インスタンスにアタッチされているプライマリVNICおよびすべてのセカンダリVNICが表示されます。
削除するVNICについて、アクション・アイコン(3つのドット)をクリックし、VNICの削除をクリックします。
要求されたら、確認します。

通常は、VNICの削除に数秒かかります。

セカンダリVNICがLinuxインスタンス上にある場合: Linux: セカンダリVNIC用のOSの構成で示されているスクリプトを実行すると、セカンダリVNICがOS構成から削除されます。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- VNIC OCID: (oci compute vnic-attachment list --compartment-id <compartment_OCID> --all)

次のコマンドを実行します

構文(1行に入力):

oci compute instance detach-vnic \
--compartment-id <compartment_OCID> \
--vnic-id <vnic_OCID>

例

oci compute instance detach-vnic \
 --compartment-id ocid1.compartment..….….uniqueID \
 --vnic-id ocid1.vnic..….….uniqueID
Are you sure you want to delete this resource? [y/N]: y

4.4.3.7 VNICのタグの管理

UIの使用

ナビゲーション・メニューを開き、「コンピュート」をクリックします。「コンピュート」で、「インスタンス」をクリックします。
関心のあるインスタンスを含むコンパートメントを表示していることを確認します。
インスタンスをクリックして詳細を表示します。
「リソース」で、「アタッチされたVNIC」をクリックします。

インスタンスにアタッチされているプライマリVNICおよびすべてのセカンダリVNICが表示されます。
目的のVNICをクリックします。
「Tags」タブをクリックして、既存のタグを表示または編集します。または、タグの追加をクリックして新しいタグを追加します。

タグ付けの詳細は、第3.4.1項、「リソース作成時のタグの追加」または「リソース・タグ管理」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- VNIC OCID (oci compute vnic-attachment list --compartment-id <compartment_OCID> --all)
- Defined-tags (変更するタグをリストするJSON文字列またはファイルに指定)
  
  複合データ型は、通常、--generate-full-command-json-inputオプション(この場合はoci network vnic update --generate-param-json-input defined-tags)を使用して処理されます。このコマンド・オプションで使用するサンプルのjsonファイルが生成されます。キー名は事前に移入され、コマンド・オプション名と一致します(compartment-idがcompartmentIdのようにcamelCase形式に変換されます)。
  
  このコマンドの入力としてサンプル・ファイルを使用する前に、キーの値がユーザーによって編集されます。
  
  複数の値を受け入れるコマンド・オプションの場合、キーの値はJSON配列にできます。
  
  オプションはコマンド行でも指定できます。 JSONドキュメントとコマンドラインの両方にオプションが存在する場合、コマンドラインで指定された値が使用されます。

次のコマンドを実行します警告では、既存の値を更新するかどうかを選択できます。

構文(1行に入力):

oci network vnic update \ 
--vnic-id <vnic_OCID> \
--defined-tags <complex-type>

例

oci network vnic update  \
 --vnic-id ocid1.vnic..….….uniqueID \
 --defined-tags '{"tagNamespace1":{"tagKey1": "tagValue1","tagKey2": "tagValue2"}, \
   "tagNamespace2":{"tagKey1":"tagValue1","tagKey2": "tagValue2"}}'
WARNING: Updates to defined-tags and freeform-tags and nsg-ids will replace any existing values. 
 Are you sure you want to continue? [y/N]: y
{
  "data": {
    "availability-domain": "ad1",
    "compartment-id": "ocid1.compartment...….….uniqueID",
    "defined-tags": {
       "tagNamespace1": {
         "tagKey1": "tagValue1",
         "tagKey2": "tagValue2"
       },
       "tagNamespace2": {
         "tagKey1": "tagValue1",
         "tagKey2": "tagValue2"
       }
     },
    "display-name": "example-instance",
    "freeform-tags": {},
    "hostname-label": "example",
    "id": "ocid1.vnic...….….uniqueID",
    "is-primary": true,
    "lifecycle-state": "PROVISIONING",
    "mac-address": "00:13:97:18:e4:ec",
    "nsg-ids": null,
    "private-ip": "192.168.0.2",
    "public-ip": "10.80.79.145",
    "skip-source-dest-check": false,
    "subnet-id": "ocid1.subnet...….….uniqueID",
    "time-created": "2021-12-01T16:31:05.681547+00:00",
    "vlan-id": null
  },
  "etag": "17e8e038-3051-4ef8-96a4-21d7107d37e6"
}

4.4.4 VNICへのIPアドレスの割当て

プライベートIPアドレスをインスタンスおよびVNICに割り当てることができ、そのインスタンスにはIPアドレスがありません。

UIの使用

ダッシュボードで、Compute-View Instancesをクリックします。
リソース・ナビゲーション・メニューから、インスタンスをクリックします。
ドロップダウン・リストから目的のインスタンスをクリックして、その詳細を表示します。
「リソース」で、「アタッチされたVNIC」をクリックします。

インスタンスにアタッチされているプライマリVNICおよびすべてのセカンダリVNICが表示されます。
目的のVNICがアタッチされているインスタンスをクリックします。

各インスタンスの詳細ページには、インスタンス・ホスト名(存在する場合)に関連付けられたIPアドレスのリストが表示されます。
Assign Private IP Addressをクリックします。

次のように入力します。
- IPアドレス: インスタンスに割り当てるプライベートIPアドレスを入力します。 IPアドレスは、インスタンスのCIDRブロック内にある必要があります。
- ホスト名: インスタンスに割り当てるnostnameを入力します。
IPアドレスのアタッチをクリックします。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- VNIC OCID: (oci compute vnic-attachment list --compartment-id <compartment_OCID> --all)

次のコマンドを実行します

構文(1行に入力):

oci network vnic assign-private-ip --vnic-id <vnic_OCID>

例

oci network vnic assign-private-ip \
--vnic-id ocid1.vnic..….….uniqueID
{
  "data": {
    "assigned-entity-id": null,
    "assigned-entity-type": "PRIVATE_IP",
    "availability-domain": null,
    "compartment-id": "ocid1.compartment.   .….  .uniqueID"
",
    "defined-tags": {},
    "display-name": "public-ip-test-address",
    "freeform-tags": {},
    "id": "ocid1.publicip.   .….  .uniqueID",
    "ip-address": "10.27.100.3",
    "lifecycle-state": "AVAILABLE",
    "lifetime": "RESERVED",
    "private-ip-id": null,
    "public-ip-pool-id": null,
    "scope": "REGION",
    "time-created": "2021-11-10T22:00:31.040800+00:00"
  },
  "etag": "2f878ae9-c038-42f9-a410-4574810e5a25"
}

4.5 パブリックDNSゾーンの管理

最も基本的な形式では、DNSは、そのゾーンのDNS名前空間に文字列を指定すると、IPアドレス(既知の場合)を返します。ただし、DNSは、IPホスト・クライアント・アプリケーションが、DHCP (DHCIDレコード)を使用して独自の構成情報を取得したり、電子メールを送受信したりする場所(MXレコード)を認識する方法でもあります。 DNSを使用しない場合、クライアント・デバイスは、ローカル・サーバーのみでなく、それらが対話するすべてのサーバーやアプリケーションについて、どこに配置されていても、適切なIPアドレスを知る必要があります。 DNSを使用すると、クライアントは常にwww.oracle.comまたはその他のアプリケーションの正しいロケーションを見つけることができます。

コンパートメント内にDNSゾーンを作成すると、そのゾーンを別のコンパートメントに移動できなくなります。

4.5.1 パブリックDNSゾーンの作成

DNSゾーンは、IPアドレスをDNSネームスペースの一部に関連付けるためにコンパートメント内に作成されます。ゾーンは、DNSサービスを使用してコンパートメントに作成されます。

UIの使用

ナビゲーション・メニューのDNSで、Zonesをクリックします。コンパートメントで以前に構成されたゾーンのリストが表示されます。 DNSゾーンを作成するコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
「ゾーンの作成」をクリックします。
必要なゾーン情報を入力します:
- ゾーン名: DNSゾーンの名前または説明を指定します。組織の機密情報は使用しないでください。
- コンパートメント: DNSゾーンを作成するコンパートメントを選択します。
- ゾーン・タイプ: 作成するDNSゾーンのタイプを選択します。
  - プライマリ: プライマリDNSゾーンは、DNSネームスペースの一部の元の認可DNSゾーンです。 DNSサーバーがプライマリ・ゾーンをホストする場合、そのDNSサーバーは認可DNSサーバーであり、そのゾーン内の情報のプライマリ・ソースとみなされます。
  - セカンダリ: セカンダリDNSゾーンは、プライマリDNSゾーンまたは別のセカンダリDNSゾーンの読取り専用コピーです。セカンダリDNSゾーンはセカンダリDNSサーバーに保持され、プライマリDNSゾーンへの負荷が減り、ゾーン内の名前解決のための単一障害のリスクが排除されます。
  DNSゾーンの詳細は、Oracle Private Cloud Appliance概要ガイドの仮想ネットワーキングの概要の章の「名前解決」の項を参照してください。
- タグ付け: オプションで、このリソースに1つ以上のタグを追加します。
  
  タグを適用するかどうかわからない場合は、このオプションをスキップします(後でタグを適用できます)。
  
  リソースのタグ付けの詳細は、「タグ付けの概要」を参照してください。
「ゾーンの作成」をクリックします。

ゾーン・レコードの追加、またはTSIGキーまたはリング・ポリシーの構成の準備が整いました。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)

oci dns zone createコマンドを実行します。

ノート

構文(1行に入力):

oci dns zone create \
--compartment-id <compartment_OCID> \
--name <dns_zone_name> \
--zone-type <PRIMARY | SECONDARY>

例:

oci dns zone create \
 --compartment-id ocid1.compartment.….….….uniqueID \ 
 –-name test-dns-zone \
 --zone-type PRIMARY 

{
  "data": {
    "compartment-id": "ocid1.compartment.….….….uniqueID",
    "defined-tags": {},
    "external-masters": null,
    "freeform-tags": {},
    "id": "ocid1.dns-zone.….….….uniqueID",
    "is-protected": null,
    "lifecycle-state": "ACTIVE",
    "name": "test_dns_zone",
    "nameservers": [
      {
        "hostname": "ns1.example.com"
      }
    ],
    "scope": null,
    "self-uri": "https://20180115/zones/test_dns_zone",
    "serial": 1,
    "time-created": "2021-08-17T18:08:00.059867+00:00",
    "version": 1,
    "view-id": null,
    "zone-type": "PRIMARY"
  },
  "etag": "3e389cab-b3fd-4783-91c1-ede81bc132d5"
}

4.5.2 ゾーン・レコードの操作

DNSゾーンの作成は、DNSの操作の開始のみです。このゾーンは、基本のStart of Authority (SOA)レコードとName Server (NS)レコードを除き、基本的に空になります。SOAレコードは、このDNSゾーンの一種の履歴を提供し、最後に更新された日時やそのような情報を保持します。 NSレコードには、ゾーンのDNSサーバーの完全修飾名が含まれます。 NSレコードは非常に重要であるため、通常は24時間(86400秒)のTTLが高くなります。

ネーム・サーバーを実際に役立つようにするには、ゾーンを丸め、クライアントが行う問合せの種類へのレスポンスの基礎を形成するDNSレコードが入力されている必要があります。これらの問合せには、ドメイン・ネーム・スペースの一部のIPアドレス、電子メール・サーバーの詳細などが含まれます。

4.5.2.1 ゾーン・レコードの作成

「The RDATA」フィールドは、ゾーン・レコードのコンテンツが入力される場所です。情報の形式は、作成するレコードのタイプによって異なります。ただし、データは、DNSが理解する形式のいずれかである必要があります。たとえば、Aタイプのゾーン・レコードRDATAはIPアドレスで、MXレコードには電子メールのルーティング方法に関する情報が含まれます。ゾーン内のゾーン・レコードの認可特性のため、RDATAは編集できません。ゾーンのDNS情報が変更された場合、古いレコードを削除し、新しいレコードを作成する必要があります。

UIの使用

ナビゲーション・メニューのDNSで、Zonesをクリックします。コンパートメントで以前に構成されたゾーンのリストが表示されます。ゾーン・レコードを追加するコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
ゾーンの名前をクリックします。情報画面には、タイプおよびコンパートメント、OCID (全表示またはクリップボードにコピー可能)、ゾーンが作成された日時などの一般的なゾーン情報が含まれます。存在するゾーン・レコードも表示され、最初はSOAおよびNSレコードのみです。
必要なゾーン・レコード情報を入力します:
- ゾーン・レコード:作成するゾーン・レコードのタイプをドロップダウン・リストから選択します。
  - A - IPv4アドレス: ホスト名をIPv4アドレスに指定するために使用されるホスト・レコード。これは最も基本的なDNSレコード・タイプです。
  - 他の多数のタイプのゾーン・レコードを追加できます: ドロップダウン・リスト内の任意のタイプ。 DNSゾーン・レコード・タイプおよび必要なデータの詳細は、Oracle Private Cloud Appliance概要ガイドの仮想ネットワーキング概要の章の「名前解決」の項を参照してください。
- ドメイン(オプション): ゾーン・サブ・ドメイン(使用されている場合)の名前を入力します(この値はゾーン自体に基づいてすでに入力されています): ゾーン・サブドメインの追加には、最初のドット(".")が使用されます。
- TTL: このボックスにチェックマークを入れると、その特定のレコード・タイプのTTLに独自の値が設定されます。このボックスにチェックマークを入れない場合、そのレコード・タイプのデフォルトのTTL値が使用されます(たとえば、SOAの場合は300、NSの場合は86400)。有効な範囲は1 ~ 129540秒です(1秒から約1日半)。
- RDATAの編集: ゾーン・レコード・タイプによって確立されたIPアドレスやターゲットなどのRDATA情報を編集する場合は、このボックスにチェックマークを入れます。このボックスは、一部のゾーン・レコードのタイプについてのみ表示されます。
- (RDATA): このラベルなしフィールドは、作成されたゾーン・レコードのタイプによって異なります。たとえば、AタイプのDNSレコードに対応する32ビットIPアドレス、またはDNSKEYゾーン・レコードに対するフラグ(作成中の場合)を入力します。
  - A - IPv4アドレス: Aタイプのゾーン・レコードを作成する場合、データは適切にフォーマットされたIPv4アドレスになります。これは最も基本的なDNSレコードですが、他にも多くのレコードがあります。
  - 「The RDATA」フィールドには、選択したゾーン・レコードのタイプに関する正しい情報が反映されます。
Create Recordをクリックします。

ゾーン・レコードがゾーンに追加されます。「別のレコードの追加」のオプション・ボックスをクリックすると、画面は「DNSゾーン・レコードの作成」状態のままになり、レコード・エントリがより効率的になります。

CLIの使用

CLIには「create dns zone record」コマンドはありません。かわりに、コマンド" oci dns zone record update "コマンドは、指定したゾーン内のレコードを、コマンドのリクエスト本文で指定されたレコードに置き換えます。指定されたレコードが存在しない場合は作成されます。また、現在のレコードがレコード・リストにない場合は削除されます。レコードが存在する場合は、リクエスト本文のレコード情報で更新されるため、注意が必要です。このセクションのコマンドは、「dns-test-zone」という名前のDNSゾーンにAリソース・レコード(IPv4アドレスとドメイン名)を追加します。

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- DNSゾーン名(oci dns zone list --compartment_OCID <compartment_OCID> --all)
oci dns record zone updateコマンドを実行します。

ノート

この手順では、このコマンドに必要な最小パラメータを示します。オプションのパラメータについては、--helpオプションを指定してコマンドを実行します。

構文(1行に入力):
```
oci dns record zone update \
 --zone-name-or-id <zone_name> or <compartment_OCID> \
 --items <complex type> 
```
ノート

DNSリソース・レコード・タイプは、複雑なJSON形式でアイテムとして提供されます。これは、タイプがRecordDetailsのJSONリストです。 RecordDetailsのドキュメントについては、https://docs.cloud.oracle.com/api/#/en/dns/20180115/datatypes/RecordDetailsを参照してください。これは、値が有効なJSONである必要がある複合タイプです。この値は、コマンドラインで文字列として指定するか、file://path/to/file構文を使用してファイルとして渡すことができます。

--generate-param-json-inputオプションを使用すると、指定する必要があるJSONの例を生成できます。この例をファイルに格納し、必要に応じて変更してから、file://構文を使用して再度渡すことをお薦めします。

例:
```
oci dns record zone update
 --zone-name-or-id <zone_name> or <compartment_OCID> 
 --items 
{
    "domain": "test-dns-zone.test-pca-comparment.example.com",
    "isProtected": true,
    "rdata": "10.225.15.10",
    "recordHash": "fkT4md",
    "rrsetVersion": "1",
    "rtype": "1",
    "ttl": 3600
}
```

4.5.2.2 ゾーン・レコードの編集

edit recordコマンドはありません。レコードのグループを更新でき、rdataを除いてリスト内のレコードの1つが同じ場合(実際にはレコードを更新した場合など)。

4.5.2.3 ゾーン・レコードの削除

多数のDNSゾーン・レコードを削除できますが、すべてを削除することはできません。ゾーンの作成時にデフォルトで作成される初期SOAおよびNSレコードは削除できません。ゾーン・レコードを削除するには:

コンピュートWeb UIの使用

ナビゲーション・メニューのDNSで、Zonesをクリックします。コンパートメントで以前に構成されたゾーンのリストが表示されます。ゾーン・レコードを追加するコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
ゾーンの名前をクリックします。情報画面には、タイプおよびコンパートメント、OCID (全表示またはクリップボードにコピー可能)、ゾーンが作成された日時などの一般的なゾーン情報が含まれます。存在するゾーン・レコードも表示されます。
削除するゾーン・レコードの右側に3つのドットがあるアクション四角形をクリックします。
「削除」をクリックします。

ゾーン・レコードは削除され、そのDNSゾーンのリストから削除されます。

CLI の使用

CLIを使用してゾーンのリソース・レコードを削除するには、oci dns record rrset deleteコマンドを使用して、リソース・レコード・セット全体を削除します(たとえば、特定のホスト名のすべてのAタイプのIPv4アドレス・レコード)。リソース・レコードは、DNSレコード・タイプ(A、MXなど)によって識別されます。このセクションのコマンドは、「test-device-1」という名前のデバイスの「dns-test-zone」という名前のDNSゾーン内のAリソース・レコード(IPv4アドレスとドメイン名)を削除します。

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- DNSゾーン名(oci dns zone list --compartment_OCID <compartment_OCID> --all)

oci dns record rrset deleteコマンドを実行します。

構文 : (1行に入力):

oci dns record rrset delete \
 --domain <domain-name> \
 –-rtype <resource-record-type> \
 --zone-name-or-id <zone_name> or <compartment_OCID>

例:

oci dns record rrset delete \
 --domain "test-device-1.dns-test-zone.example.com" \
 –-rtype "A" \
 --zone-name-or-id "dns-test-zone"

レコードがゾーンから削除されます。

4.5.3 パブリックDNSゾーンの編集

既存のゾーンにリソース・タグを追加できます。 SECONDARYゾーンのexternalMastersフィールドを編集することもできます。

4.5.4 トランザクション・シグネチャ・キーの操作

DNSトランザクション・シグネチャ(TSIG)は、RFC 2845で定義されたネットワーク・プロトコルです。 TSIGの主な目的は、DNSがDNSデータベースに対する更新を認証できるようにすることです。これにより、悪意のあるユーザーは、銀行のIPアドレスではなく、ボー・ガスのIPアドレスを指すように名前解決レコードを変更できません。 TSIGでは、一方向ハッシュおよび共有秘密キーを使用して、接続のエンドポイントを認証してDNS更新リクエストを処理(またはレスポンス)するためのセキュアな手段を提供します。

TSIGプロトコルはタイムスタンプを使用して、記録されたレスポンスをリプレイしません。したがって、DNSサーバーとTSIGクライアントは、タイムスタンプを提供するために正確なクロックを必要とします。 TSIGでサポートされる暗号化方式とハッシュ方式のタイプを拡張するために、基本的なTSIGプロトコルに対する数多くの拡張機能が行われました。

DNSゾーンにTSIGを使用するには、DNSゾーンにTSIGキーを追加します。 TSIGキーは、base 64でエンコードされている必要があります。

UIの使用

ナビゲーション・メニューのDNSゾーンで、TSIGキーをクリックします。
「キーの作成」をクリックします。
必要なTSIGキー情報を入力します:
- 名前: TSIGキーの名前または説明を入力します。組織の機密情報は使用しないでください。
- コンパートメント: TSIGキーを作成するコンパートメントを選択します。
- アルゴリズム: 作成するTSIGキーのセキュリティ・アルゴリズム(hmac-sha256など)を選択します。
- 秘密キー: キーに対応するバイナリ共有シークレットをエンコードするbase64文字列を指定します。最大は255文字です。 base64エンコーディングのサンプル・キーをRFC3874に示します。次の2つの方法のいずれかでキーを指定できます:
  - キー・ファイルを選択: この方法でTSIG共有秘密キーを指定すると、キー・ファイルを指定されたスペースにドラッグ・アンド・ドロップできます。
  - キーを貼り付けます: この方法でTSIG共有秘密キーを指定すると、キー・ファイルのコンテンツをコピーして、指定された領域に貼り付けることができます。
- タグ付け: オプションで、このリソースに1つ以上のタグを追加します。
  
  タグを適用するかどうかわからない場合は、このオプションをスキップします(後でタグを適用できます)。
  
  リソースのタグ付けの詳細は、「タグ付けの概要」を参照してください。
TSIGキーの作成をクリックします。

TSIGキーは、DNSゾーンでTSIGクライアントとDNSサーバーの間で使用できるようになりました。

CLI の使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)

oci dns tsig-key createコマンドを実行します。

ノート

構文(1行に入力):

oci dns tsig-key create \
--algorithm <hmac-algorithm> \
--name <tsig-key-name> \
--compartment-id <compartment_OCID> \
--secret <secret-string>

例:

oci dns tsig-key create --algorithm hmac-sha256 --name new-tsig-key \
--compartment-id ocid1.compartment.….….….uniqueID \
--secret 2o8goaon2168n(secret key string)e6um8lvd2lwdoouq46lsygak0009014
{
  "data": {
    "-self": "https://20180115/tsigKeys/new-tsig-key",
    "algorithm": "hmac-sha256",
    "compartment-id": "ocid1.compartment.….….….uniqueID",
    "defined-tags": {},
    "freeform-tags": {},
    "id": "ocid1.dns-tsig-key..….….….uniqueID",
    "lifecycle-state": "ACTIVE",
    "name": "new-tsig-key",
    "secret": "2o8goaon2168n(secret key string)e6um8lvd2lwdoouq46lsygak0009014",
    "time-created": "2021-10-29T17:50:31.219934+00:00",
    "time-updated": null
  },
  "etag": "81eb0e02-e09c-4b25-9d21-eefa9ab2aacc"
}

このコンパートメントのDNSのTSIGキーのリストに新しいキーが表示されます。

4.5.4.1 TSIGキーの追加

TSIGキーを既存のTSIGキーのリストに追加するには、一意のTSIGキー名および新しいアルゴリズムまたは新しいキー値を持つ別のキーを作成するだけです。既存のTSIGキーのフィールドを変更するには、「更新」コマンドを使用します。

TSIGキーは、DNSゾーンとは別のオブジェクトです。 SECONDARY DNSゾーンでは、ExternalMaster定義の一部としてTSIGキーを参照できます。ただし、新しいキーを作成しても、PRIMARYゾーンに対して何も行われません。

4.5.4.2 TSIGキーの削除

UIの使用

ナビゲーション・メニューのDNSゾーンで、TSIGキーをクリックします。
TSIGキーのドロップダウン・リストから削除するTSIGキーをクリックします。
アクション・メニュー・アイコン(3つのバー)の下にあるアクションのリストから削除をクリックするか、表示ウィンドウの上部にある削除ボタンをクリックします。

TSIGキーがリストから削除されます。

CLI の使用

次のリソースの情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- TSIG OCID (oci dns tsig-key list --compartment-id <compartment_OCID>)

構文(1行に入力):

oci dns tsig-key delete --tsig-key-id <tsig-key_OCID>

例:

oci dns tsig-key delete --tsig-key-id ocid1.dns.tsig.key.….….….uniqueID \
Are you sure you want to delete this resource? [y/N]: y

TSIGキーは、このコンパートメントのDNSのTSIGキーのリストから削除されます。 --forceオプションを使用して、「Are you sure...?」メッセージを抑制します。

4.5.5 パブリックDNSゾーンの削除

UIの使用

ナビゲーション・メニューのDNSゾーンで、ゾーンをクリックします。
ゾーンのドロップダウン・リストから削除するゾーン名をクリックします。
表示ウィンドウの上部にあるDeleteボタンをクリックします。

DNSゾーンがリストから削除されます。

CLI の使用

次のリソースの情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)
- ゾーンOCID (oci dns zone list --compartment-id <compartment_OCID>)

構文(1行に入力):

oci dns zone delete --zone-name-or-id zone_OCID-or-zone-name>

例:

oci dns zone delete --zone-id ocid1.dns.zone.….….….uniqueID \
Are you sure you want to delete this resource? [y/N]: y

DNSゾーンがコンパートメントから削除されます。 --forceオプションを使用して、「Are you sure...?」メッセージを抑制します。

4.6 リング・ポリシーを使用したトラフィックの管理

DNSは、そのゾーンのDNSネームスペースに文字列を指定した場合、IPアドレス(既知の場合)を返す以上を実行できます。 DNSは、トラフィック管理のシステムの一部でもあり、ロケーションなどの条件に応じて複数のサーバーにトラフィックが分散されます。リング・ポリシーは、単一完全修飾名へのアクセスを複数のサーバーに分散する手段です。

たとえば、ストリーミング・ビデオか製品データベースからのレコードかに関係なく、複数のソース・サーバーから同じコンテンツを使用できます。 1台のサーバーが米国に、もう1台のサーバーがヨーロッパに設置されている可能性があります。トラフィック・リング・ポリシーは、IPアドレスまたはCIDRに基づいてトラフィックを分散できます。ロード・バランシングなどのこのトラフィック分散には、複数のサーバーの負荷をほぼ等しい状態に保つために、他の基準を使用できます。

Oracle Private Cloud Applianceには、ロード・バランシングとIPアドレス・プレフィクスの値(192.168.100.0/24)など)に基づいて、2つの主要なタイプのトラフィック・リング・ポリシーが用意されています。

4.6.1 ロード・バランサ・リング・ポリシーの作成

複数のDNSサーバーがある場合は、各サーバーに割り当てた重みに基づいて、ロード・バランシング方式でトラフィックを分散できます。

コンピュートWeb UIの使用

ナビゲーション・メニューを開きます。 DNSゾーンで、リング・ポリシーをクリックします。
リング・ポリシーの作成をクリックします。
ロード・バランサ・ボタンをクリックして、ロード・バランサ・リング・ポリシーを作成します。
必須情報を入力します:
- 名前: ロード・バランサ・リング・ポリシーに表示する名前を入力します。機密情報は使用しないでください。
- ポリシーTTL: リング・ポリシー・リクエストへのレスポンスのTTLを秒単位で入力します。最大は604800秒(168時間または7日間)です。
- 解答: FILTER、WEIGHEDおよびLIMITルールのDNSリクエストに対する回答または回答を指定します。回答を使用する条件を指定する必要はありません: ロード・バランサ・テンプレートによって実行されます。
  - 名前: 返されるRDataの名前(Server1など)を入力します。
  - タイプ: ドロップダウン・リストから、リクエストに対して返すリソース・レコードのタイプを選択します。選択肢は、A (IPv4アドレス)やCNAME (正規名)などのアイテムです。
  - RData: 選択したタイプに対応する、返されるリソース・レコードRDataを入力します。たとえば、Type = Aの場合、RDataはIPv4アドレスになります。
  - 重量: このポリシーの負荷分散に使用する重みを入力します。最大256の値がサポートされています。デフォルトは10です。重みが高いほど、ポリシーの回答がより頻繁に使用されることを意味します。たとえば、dns-server1とdns-server2の重みが等しい場合、DNSリクエストはそれらの間で均等に分割されます。 dns-server1の重みがdns-server2の2倍である場合、dns-server1はdns-server2と同じ頻度で2回使用されます。
無効: リング・ポリシーの回答は、作成時にデフォルトで有効になります。このリング・ポリシーの回答を無効にするには、このトグルをクリックして無効値をTRUEに変更します。
オプションで、このサブネット・リソースのタグを追加または削除します。

タグ付けの詳細は、「タグ付けの概要」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
「変更の保存」をクリックします。ロード・バランシング・リング・ポリシーが作成されます。

OCI CLIの使用

必要な情報を収集します。
- コンパートメントOCID ( oci iam compartment list --all)

LOAD_BALANCEパラメータを指定してoci dns steering-policy createコマンドを実行します。

ノート

この手順では、このコマンドに必要な最小パラメータを示します。オプションのパラメータについては、--helpオプションを指定してコマンドを実行します。複合型は、長いjson文字列です。

構文(1行に入力):

oci dns steering-policy create
--compartment-id <compartment_OCID>
--display-name <dns_steering_policy_name>
--template <LOAD_BALANCE>
--answers <complex-type> 
--rules <complex-type>

例:

oci dns steering-policy create 
--compartment-id ocid1.compartment.….….….uniqueID 
--display-name test-lb-policy-1 
--template LOAD_BALANCE 
--answers '[{"name": "server","pool": "server","rdata": "10.25.11.10","rtype": "A"},
{"name": "trial","pool": "trial","rdata": "10.25.11.10","rtype": "A"}]' 
--rules '[{"ruleType": "FILTER","defaultAnswerData": [{"answerCondition": 
"answer.isDisabled != true","shouldKeep": true}]},{"ruleType": "WEIGHTED","defaultAnswerData": 
[{"answerCondition": "answer.name == 'server'","value": 90},{"answerCondition": 
"answer.name == 'trial'","value": 10}]},{"defaultCount": 1,"ruleType": "LIMIT"}]'

{
  "data": {
    "-self": "https://20180115/steeringPolicies/ocid1.dnspolicy..….….….uniqueID",
    "answers": [
      {
        "is-disabled": true,
        "name": "server",
        "pool": "server",
        "rdata": "10.25.11.10",
        "rtype": "A"
      },
      {
        "is-disabled": true,
        "name": "trial",
        "pool": "trial",
        "rdata": "10.25.11.10",
        "rtype": "A"
      }
    ],
    "compartment-id": "ocid1.compartment.….….….uniqueID",
    "defined-tags": {},
    "display-name": "lr-policy",
    "freeform-tags": {},
    "health-check-monitor-id": null,
    "id": "ocid1.dnspolicy..….….….uniqueID",
    "lifecycle-state": "ACTIVE",
    "rules": [
      {
        "cases": null,
        "default-answer-data": [
          {
            "answer-condition": "answer.isDisabled != true",
            "should-keep": true
          }
        ],
        "description": null,
        "rule-type": "FILTER"
      },
      {
        "cases": null,
        "default-answer-data": [
          {
            "answer-condition": "answer.name == 'server'",
            "value": 90
          },
          {
            "answer-condition": "answer.name == 'trial'",
            "value": 10
          }
        ],
        "description": null,
        "rule-type": "WEIGHTED"
      },
      {
        "cases": null,
        "default-count": 1,
        "description": null,
        "rule-type": "LIMIT"
      }
    ],
    "template": "LOAD_BALANCE",
    "time-created": "2021-11-03T23:36:25.392833+00:00",
    "ttl": 30
  },
  "etag": "2c63fca5-f747-487e-b2f3-0ae5d6fe939c"
}

ロード・バランサ・リング・ポリシーが作成され、DNSドメインにアタッチできます。

4.6.2 IPプレフィクス・ステアリング・ポリシーの作成

IPプレフィクス・ステアリング・ポリシーは、発信元IPプレフィクス(172.16.1.0/24)など)に基づいて、DNSリクエスト・トラフィックを様々なサーバーに動的にルーティングします。

UIの使用

ナビゲーション・メニューを開きます。 DNS Zonesで、Manage DNSをクリックします。
DNSリソースのリストから、リング・ポリシーをクリックします。そのコンパートメントのリング・ポリシーが表示されます。
リング・ポリシーの作成をクリックします。
IPプレフィクス・ステアリングを選択し、次のプロパティを指定します:
- 名前: 新しいリング・ポリシーの名前。
- ポリシーTTL:リング・ポリシーからのレスポンスの存続時間(TTL)(秒単位)。最大許容値は604800 (168時間または7日)です。
回答ボックスで、次のプロパティを指定します:
- 名前: 新しいリング・ポリシーに送信されたリクエストへのレスポンスの名前。
- タイプ: リクエストおよびレスポンスのタイプ。選択肢はA、AAAまたはCNAMEです。
- RData: 問合せで返すゾーン・レコード・データ。選択したタイプによって予期されるタイプと一致する必要があります。
- プール: ドロップダウン・リストからポリシーを使用するIPアドレス・プールを選択します。
- +Add解答: リング・ポリシーによって受信されたリクエストに回答を追加するには、このボックスをクリックします。
- 無効: このトグルは、IPプレフィクスの回答が作成時に有効になるかどうかを決定します。デフォルトは有効です。
IPプレフィクス・ステアリング・ルール・ボックスで、次のプロパティを指定します:
- +Addルール: このボックスをクリックして、IPプレフィクス・ステアリング・ポリシーにルールを追加します。
- オーダー: 方向矢印を使用して、構成されたルールの順序でルールを順序付けします。
- サブネット・アドレス: このリング・ポリシーに適用するIPサブネット・プレフィクスを入力します。
- 「+Addルール」をクリックすると、このリング・ポリシーにさらにルールを追加できます。
タグ付け: オプションで、リング・ポリシーにタグを追加できます。

タグ付けの詳細は、「タグ付けの概要」を参照してください。

タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
「変更の保存」をクリックします。 IPプレフィクス・ステアリング・ポリシーが作成されます。

CLI の使用

必要な情報を収集します。
- コンパートメントOCID ( oci iam compartment list --all)

ROUTE_BY_IPパラメータを指定してoci dns steering-policy createコマンドを実行します。

ノート

構文(1行に入力):

oci dns steering-policy create
--compartment-id <compartment_OCID>
--display-name <dns_steering_policy_name>
--template <ROUTE_BY_IP>
--answers <complex-type> 
--rules <complex-type>

例:

oci dns steering-policy create --compartment-id ocid1.compartment..….….….uniqueID
--display-name test-ip-steering-1 
--template ROUTE_BY_IP  
--answers file:///root/users-stuff/ip-steering-answers.json 
--rules file:///root/users-stuff/ip-steering-rules-2.json
{
  "data": {
    "-self": "https://20180115/steeringPolicies/ocid1.dnspolicy..….….….uniqueID",
    "answers": [
      {
        "is-disabled": null,
        "name": "server",
        "pool": "server",
        "rdata": "10.20.10.10",
        "rtype": "A"
      },
      {
        "is-disabled": null,
        "name": "trial",
        "pool": "trial",
        "rdata": "10.20.10.10",
        "rtype": "A"
      }
    ],
    "compartment-id": "ocid1.compartment..….….….uniqueID",
    "defined-tags": {},
    "display-name": "test-ip-steering-1",
    "freeform-tags": {},
    "health-check-monitor-id": null,
    "id": "ocid1.dnspolicy..….….….uniqueID",
    "lifecycle-state": "ACTIVE",
    "rules": [
      {
        "cases": null,
        "default-answer-data": [
          {
            "answer-condition": "answer.isDisabled != true",
            "should-keep": true
          }
        ],
        "description": null,
        "rule-type": "FILTER"
      },
      {
        "cases": [
          {
            "answer-data": [
              {
                "answer-condition": "answer.pool == 'internal'",
                "value": 1
              }
            ],
            "case-condition": "query.client.address in (subnet '10.0.3.0/24')"
          },
          {
            "answer-data": [
              {
                "answer-condition": "answer.pool == 'external'",
                "value": 1
              }
            ],
            "case-condition": null
          }
        ],
        "default-answer-data": null,
        "description": null,
        "rule-type": "PRIORITY"
      },
      {
        "cases": null,
        "default-count": 1,
        "description": null,
        "rule-type": "LIMIT"
      }
    ],
    "template": "ROUTE_BY_IP",
    "time-created": "2021-11-09T16:53:34.963177+00:00",
    "ttl": 30
  },
  "etag": "aad5bbcc-9d89-40cd-ab10-03dcc2e4ee0a"
}

IPリング・ポリシーが作成され、DNSドメインにアタッチできるようになります。

4.6.3 リング・ポリシーの編集

UIの使用

ナビゲーション・メニューを開きます。 DNSをクリックし、リング・ポリシーをクリックします。
更新するポリシーについて、アクション・メニューをクリックし、編集オプションをクリックします。
「リング・ポリシーの編集」ダイアログで必要な変更を行います。
変更が終了したら、ダイアログのSave Changesボタンをクリックします。

このリング・ポリシーの詳細ページが更新された情報とともに表示されます。

CLI の使用

リング・ポリシーOCIDを取得します。

次のコマンドを使用して、指定したコンパートメント内のすべてのリング・ポリシーをリストし、更新するリング・ポリシーのOCIDを取得します:
```
# oci dns steering-policy list --compartment-id compartment_OCID
```
リング・ポリシー更新コマンドを実行します。

構文:
```
oci dns steering-policy update --steering-policy-id steering_policy_OCID \
options_with_values_to_update
```
例:

この例は、リング・ポリシーのanswersブロックの置換を示しています。表示名、ヘルス・チェック・モニター、ルールまたはルール・テンプレート、TTLおよびスコープを変更することもできます。
```
# oci dns steering-policy update --steering-policy-id ocid1.dnspolicy.unique_ID \
--answers file://answers.json
```
このコマンドは、steering-policy getコマンドと同じ出力を返します。

4.6.4 別のコンパートメントへのリング・ポリシーの移動

CLI の使用

次の情報を取得します:
- リング・ポリシーが現在配置されているコンパートメントのOCIDと、リング・ポリシーを移動するコンパートメントのOCID。
```
# oci iam compartment list [options]
```
- リング・ポリシーOCID。
```
# oci dns steering-policy list --compartment-id current_compartment_OCID
```
リング・ポリシー更新コマンドを実行します。

構文:
```
oci dns steering-policy change-compartment -c destination_compartment_OCID \
--steering-policy-id steering_policy_OCID
```
このコマンドは、steering-policy getコマンドと同じ出力を返します。新しいcompartment-idを確認します。

4.6.5 リング・ポリシーへのドメインのアタッチ

そのドメインのDNS問合せに応答するには、ポリシーにリング・ポリシーをアタッチする必要があります。アタッチメントは、ドメイン・ゾーンと同じコンパートメントに自動的に配置されます。

UIの使用

ナビゲーション・メニューを開きます。 DNSをクリックし、リング・ポリシーをクリックします。
ドメインをアタッチするポリシーの名前をクリックします。
リソース・セクションまでスクロールし、アタッチ済ドメインをクリックします。
アタッチされたドメインのリストで、Add Attached Domainボタンをクリックします。
「アタッチ済ドメインの追加」ダイアログで、ドメイン名を入力し、ゾーンを選択します。
「送信」ボタンをクリックします。

このリング・ポリシーのアタッチ済ドメイン・リストに新しいドメインが追加されます。

CLI の使用

次の情報を取得します:
- リング・ポリシーOCID。次のコマンドを使用して、指定したコンパートメント内のすべてのリング・ポリシーをリストし、ドメインのアタッチ先のリング・ポリシーのOCIDを取得します:
```
# oci dns steering-policy list --compartment-id current_compartment_OCID
```
- リング・ポリシーにアタッチするドメインの名前。
- アタッチされたゾーンのOCID。次のコマンドを使用して、指定したコンパートメント内のすべてのゾーンをリストし、アタッチするドメインがあるゾーンのOCIDを取得します:
```
# oci dns zone list compartment_OCID
```
リング・ポリシー・アタッチメントのcreateコマンドを実行します。

構文:
```
oci dns steering-policy-attachment create --steering-policy-id steering_policy_OCID \
--domain-name domain_name --zone-id zone_OCID
```
--domain-name引数の値は、--zone-id引数で指定されたアタッチされたゾーン内のアタッチされたドメインです。

このコマンドは、steering-policy-attachment getコマンドと同じ出力を返します。

4.6.6 アタッチされたドメインの編集

UIの使用

ナビゲーション・メニューを開きます。 DNSをクリックし、リング・ポリシーをクリックします。
アタッチされたドメインを編集するポリシーの名前をクリックします。
リソース・セクションまでスクロールし、アタッチ済ドメインをクリックします。
編集するアタッチされたドメインの名前をクリックします。
アタッチされたドメインの詳細ページの上部にある編集ボタンをクリックします。
「リング・ポリシー・アタッチメントの編集」ダイアログで必要な変更を行います。
変更が終了したら、ダイアログのSave Changesボタンをクリックします。

このリング・ポリシー・アタッチメントの詳細ページが更新された情報とともに表示されます。

CLI の使用

リング・ポリシー・アタッチメントOCIDを取得します。

次のコマンドを使用して、指定したコンパートメント内のすべてのリング・ポリシー・アタッチメントをリストし、更新するリング・ポリシー・アタッチメントのOCIDを取得します:
```
# oci dns steering-policy-attachment list --compartment-id compartment_OCID
```
リング・ポリシー・アタッチメントの更新コマンドを実行します。

構文:
```
oci dns steering-policy-attachment update \
--steering-policy-attachment-id steering_policy_attachment_OCID
```
このコマンドは、steering-policy-attachment getコマンドと同じ出力を返します。

4.6.7 リング・ポリシー・アタッチメントの削除

UIの使用

ナビゲーション・メニューを開きます。 DNSをクリックし、リング・ポリシーをクリックします。
アタッチメントを削除するポリシーの名前をクリックします。
リソース・セクションまでスクロールし、アタッチ済ドメインをクリックします。
削除するアタッチされたドメインについて、アクション・メニューをクリックし、削除オプションをクリックして削除を確認します。

リング・ポリシー・アタッチメントがアタッチ済ドメイン・リストから削除されます。

CLI の使用

リング・ポリシー・アタッチメントOCIDを取得します。

次のコマンドを使用して、指定したコンパートメント内のすべてのリング・ポリシー・アタッチメントをリストし、削除するリング・ポリシー・アタッチメントのOCIDを取得します:
```
# oci dns steering-policy-attachment list --compartment-id compartment_OCID
```

リング・ポリシー・アタッチメント削除コマンドを実行します。

構文:

oci dns steering-policy-attachment delete \
--steering-policy-attachment-id steering_policy_attachment_OCID

4.6.8 リング・ポリシーの削除

どのゾーンにもアタッチされているポリシーは削除できません。ゾーンからポリシーをデタッチするには、第4.6.7項、「リング・ポリシー・アタッチメントの削除」を参照してください。

UIの使用

ナビゲーション・メニューを開きます。 DNSをクリックし、リング・ポリシーをクリックします。
削除するポリシーの名前をクリックします。
リソース・セクションまでスクロールし、アタッチ済ドメインをクリックして、このポリシーに添付されたドメインがないことを確認します。
リング・ポリシーの詳細ページの上部にある削除ボタンをクリックし、このリング・ポリシーを削除することを確認します。

リング・ポリシー・リスト・ページが表示されます。

CLI の使用

リング・ポリシーOCIDを取得します。

次のコマンドを使用して、指定したコンパートメント内のすべてのリング・ポリシーをリストし、削除するリング・ポリシーのOCIDを取得します:
```
# oci dns steering-policy list --compartment-id compartment_OCID
```

リング・ポリシー削除コマンドを実行します。

構文:

oci dns steering-policy delete --steering-policy-id steering_policy_OCID

4.7 ネットワーキング・シナリオ

仮想化クラウド環境のすべてのネットワーク・シナリオは、物理スイッチ、ルーターおよびゲートウェイによって接続された個々のIPサブネットのシナリオに類似しています。つまり、仮想デバイスでは、フレームおよびIPアドレスのソースおよび宛先アドレスとしてのMAC (ハードウェア)アドレスが、パケット内の宛先アドレスととしてのままになります。

コンテンツ配信は本質的に同様に機能します。ソースIPアドレスと宛先IPアドレスのネットワーク部分が同じ定義済VCNサブネット内にある場合、配信は、ソースと宛先のMACフレーム・アドレスに基づく論理スイッチ(ブリッジ)を介して行われます。ソースIPアドレスと宛先IPアドレスのネットワーク部分が異なるVCNサブネットにある場合、配信はソースと宛先IPパケット・アドレスに基づきます。

Oracle Private Cloud Applianceの論理スイッチを構成する必要はありません。 MACアドレスは、論理スイッチに接続されているすべてのほかのエンティティで認識されます。複数のVMを同じVCNサブネットに配置すると、通信しても問題ありません。 VM分離が目標である場合、それらに対して別々のサブネットまたはVCNを確立します。

4.7.1 論理ルーター

異なるVCNサブネット間のトラフィックは、定義によって少なくとも1つの論理ルーターによって処理されます。 IPパケット・アドレスを使用して転送ステップを決定するデバイス、およびリンクする異なるサブネット上で異なるMACフレーム・アドレスを使用するデバイスは、ルーターと呼ばれます。ルーターがインターネットにアタッチする場合、これらの仮想デバイスはインターネット・ゲートウェイ(IGW)です。

送信元または宛先のIPアドレス規則にIPネットワーク・アドレス変換(NAT)が含まれている場合、パケットは一部のタイプのNATゲートウェイによって処理されます(いくつかのタイプのNATゲートウェイがあります)。 NATの形式が使用されている場合は、NATゲートウェイ(NATGWまたはNGW)です。

仮想化されたクラウド・ネットワーキングの多くのケースでは、ルーティングは非常にシンプルで、宛先が豊富である小規模の静的ルーティング表によって処理できます。より複雑な仮想環境では、定期的に更新される動的情報を含む、より複雑な論理ルーターが必要です。

論理ルーターはパケットのIPアドレスを検査します。 IPアドレス(ソースと宛先)は、Oracle Private Cloud Applianceの「ルート・ルール表」と呼ばれるルート表で検索され、IPアドレス・ルールでこれが許可されている場合は、パケットを次のホップ(別のルーター)または宛先(ローカル配信の場合)に転送します。ルート・ルールがIPアドレスに適用されない場合、パケットはサイレント・ドロップされ、エラー・メッセージは生成されません(これは、ブロックされたプローブが情報を収集しないようにするためのセキュリティ機能です)。ただし、このエラー・メッセージの欠落は、ルート・ルールを慎重に構成する必要があることを意味します。

ルーティング・ルールに関して特別なIPアドレスは1つです。これは、基本的にすべてのIPアドレスと一致するIPv4アドレス0.0.0.0/0,です。一部のドキュメントでは、0.0.0.0/0はIPアドレスCIDRブロックと呼ばれていますが、コール内容に関係なく、同じユニバーサル・マッチングがtrueです。

たとえば、次のルート・ルールでは、VCN内から任意のIPアドレスにパケットが送信され、インターネットへのゲートウェイに到達できます:

Destination                                                          Target
0.0.0.0/0                                          Internet Gateway  vcn-20210714-0910

ルート・ルールは、パケットの宛先を判別するよりも多くなります。ルート・ルールは、ネットワーク・ファイアウォールの基礎も形成します。

4.7.2 ファイアウォールの使用

インターネットへのアクセスは便利ですが、脆弱性とセキュリティに懸念があります。ファイアウォールは、ネットワーク要素間のトラフィックの空きパスを制限し、ネットワークを保護するために存在します。ファイアウォール(論理または物理)は、特定のソースから特定の宛先へのトラフィック・フローを調べ、ルート・ルール表の構成済セキュリティ・ルールに基づいてパケットを許可またはブロックします。

ファイアウォールは、外部ソースから外部ソースへのトラフィックを許可またはブロックするだけでなく、同じVCN内のサブネットに渡されるトラフィックを検証するように構成する必要があります。脅威は外部ソースから発生する可能性がありますが、ネットワーク内の危険なVMから発生することもあります。

4.7.3 ネットワーク・セグメンテーションの使用

は、仮想ネットワークを1つの大きなエンティティとして構成し、あらゆるものに簡単にアクセスできます。しかし、攻撃者がネットワークを侵害することは比較的容易です: かつては、どこにでもいる。ネットワークにセグメンテーションを使用し、リソースおよびデータを様々なセグメントにグループ化することをお薦めします。

Oracle Private Cloud Applianceでは、セグメントは基本的にテナント・グループです。

通常、類似性またはデータ機密性に基づいて、データとリソースを異なるテナント・グループにグループ化します。たとえば、データセンターから受信したすべてのトラフィックを検査するグループを設定できます。セキュリティ・ルールに基づいて、このトラフィックをアプリケーション・サーバーのグループに渡してから、データベース・サーバーに渡すことができます。

このアプローチでは、グループ間のファイアウォールによって、データ・センターの危険にさらされたコンポーネントからアプリケーションとデータベース・サーバーが保護されます。

4.7.4 トンネリングの使用

仮想化されたクラウド・ネットワーキングの複雑さの1つは、IPアドレスをVCNサブネットに割り当てる中心的な権限がないことです。 VCN-1のSubnet-1にあるVM-1へのIPアドレス192.168.1.6など、1つのハイパーバイザの割当ては停止せず、別のハイパーバイザがVCN-1のSubnet-1にあるVM-7に同じIPアドレス192.168.1.6を割り当てます。ただし、様々な表が正しく構成されている場合は、引き続き通信できます。

これらのネットワーク・アドレスの問題を効果的に非表示にするために、Oracle Private Cloud Applianceは、IPトンネルを介して論理ルーターなどのネットワーク・コンポーネント間でトラフィックを移動します。ただし、このトンネルの使用(一般的なIPネットワーク手法)では、ネットワーク・シナリオは変更されません。 VMにはまだIPアドレスがあり、これらのアドレスは特定のサブネットに引き続き割り当てられ、サブネットは仮想ネットワーク・インタフェース・カード(VNIC)に割り当てられます。同じハイパーバイザの下で実行中の様々なVMからのすべてのトラフィックは、同時にIPトンネルに結合され、ソースと宛先の間の次のデバイスに転送されます。

4.7.5 仮想クラウド・ネットワークの使用

テナンシで実行されるプライベート・クラウド・ネットワークである1つ以上のVCNにリソースが収集されると簡単に言えます。ただし、リソースのグループを宣言してVCNの境界を作成するよりも、VCNはかなり多く存在します。

VCNを計画することは、デプロイメントの重要な部分です。 VCNは、アプリケーション・サーバー、データベース、提供されるその他のサービスを構築するための基盤として機能します。 VCNは、冗長性、高可用性、スケーラビリティ、セキュリティなどのあらゆるニーズを考慮する必要があります。

この項では、VCNの重要な部分について説明します。

4.7.5.1 IPアドレス範囲

VCNを計画する場合、最初に行うディシジョンは、使用するIPアドレスCIDRブロックです。

ノート

CIDRブロックの計算に役立つように、適切なリソースは「CIDRのIPアドレス・ガイド」です

VCNネットワーク・アドレス範囲は、 /16から /30までの任意のVLSMにする必要があります。これは、4つの使用可能なIPアドレス(/30)から65,536の使用可能なIPアドレス(/16)間の仮想ネットワークをカバーしますが、最も高いIPアドレスと最も低いIPアドレスはエンドポイント・デバイスには役立ちません。

VCNに選択されたCIDRブロックのサイズは重要です。サイズが大きすぎると、ネットワーク内の他の場所で使用できるIPアドレスが無駄になります。サイズが小さすぎると、VCNに十分なIPアドレスがないため、ソリューションはスケーリングされません。常に別のVCNを作成して相互にピアリングできますが、これは慎重な計画によって回避できる問題です。

VCN CIDRブロックに関するいくつかの重要なポイントがあります:

VCNは、RFC1918プライベート・アドレス範囲のいずれかを使用する必要があります: 10.0.0.0/8, 172.16.0.0/12および192.168.0.0/16。
VCNは連続したIPv4 CIDRブロックを使用します。 IPv6 はサポートされません。
VCNおよびサブネットのサイズ(作成後に10.100.0.0/21)など)は変更できません。
IPアドレス範囲は、ピアリングするVCNと重複できません。
VCN内のサブネットは相互に重複することはできません。
範囲内の最大および最小のIPアドレスは、ネットワーク機能用に予約されています。

4.7.5.2 IPサブネット

サブネットは、CIDRで確立された継続的なIPアドレス範囲を使用するVCNの下位区分です。サブネットは、IPアドレス別にリソースをグループ化します。

VCNのパースペクティブから、サブネットはパブリックまたはプライベートにできます。 Oracle Private Cloud Applianceのコンテキストでは、プライベートVCNアドレスは、同じプライベート・アドレス領域を使用している他のVCNと対話する前に、NATを使用して変更する必要があります。パブリックVCNアドレスにより、データ・センター・ネットワークへの接続が可能であり、ラック外からアクセスできます。

ただし、RFC1918アドレス・スペースをパブリックIPアドレス・スペース(外部データ・センター接続が可能)とプライベートIPアドレス・スペース(Oracle Private Cloud Applianceラック内で接続)の両方にサブネット化できます。

たとえば、VCNではIP CIDRブロックを使用してこれを実行できます:

Subnet Name                           Subnet Access                               IP CIDR Block

Public_Subnet_01                      Public                                      10.100.0.0/24
Private_Subnet_01                     Private                                     10.100.1.0/24

Public_Subnet_01には、10.100.0.0から10.100.0.255までの256個のIPアドレスがあります(これらの2つのアドレスは、デバイスには頻繁に使用されず、ほとんどのIPネットワークで特別な用途があります)。ネットマスクは255.255.255.0です

Private_Subnet_01には、10.100.1.0から10.100.1.255までの256個のIPアドレスもあります(通常は、低および高のアドレスはデバイスには役立ちません)。ネットマスクは255.255.255.0です。

2つのアドレス範囲が重複していないことに注意してください。 (公開範囲が10.100.0.0/23,の場合、256デバイスは10.100.1.0/24と重複します。)

4.7.5.3 ルート表

VCNは、ルート表を使用して、VMによるトラフィックの送信および受信を制御するルールを保持します。 VCNは、次のような宛先へのフォーム到達を許可または禁止できます:

グローバル・パブリック・インターネット
日付センター・ネットワークなどのオンプレミス・ネットワーク
ピアVCN

VCNが作成されるたびに、デフォルト・ルート表を持つ仮想ルーターも作成されます。

セキュリティを向上させるには、デフォルト・ルールを使用するのではなく、サブネットごとに専用のルート表を作成することをお薦めします。これは、必要なセキュリティ・レベルに適していない可能性があります。専用ルート表は、各サブネットが必要とするルート・ルールをより効果的に管理できます。たとえば、サブネットがグローバル・パブリック・インターネットへのトラフィックの送信を許可されている場合、そのサブネットのルート表には、ユニバーサル宛先0.0.0.0/0を使用してインターネット・ゲートウェイにトラフィックをルーティングするルールが必要です。

ノート

CIDRブロック0.0.0.0/0は、IPv4アドレス空間内のすべてのアドレスと一致します。これは、「任意のサブネット・マスクを持つ任意のIPv4アドレス」を意味します。

グローバル・パブリック・ネットワーク・アクセスを必要としないサブネットには、ルート表にそのルールを含めないでください。さらに、次もあります。

VCN内のソースと宛先とのトラフィックは、ルート表ルールによって制御されません。
ルールが重複する場合(通常は異なるCIDRブロックまたはサブネットに関して)、より具体的なルールが適用されます(最も長い一致と見られることが多い)。
トラフィック・フローに適用されるルールがない場合、トラフィックは暗黙的に削除されます(エラー・メッセージは送信されません)。

ルート表のすべてのルールにターゲットがあります。ターゲットは、任意のネットワークの共通コンポーネントの機能ネットワーク・ノードです:

動的ルーティング・ゲートウェイ(DRG): ルート表ルールは静的に構成されていませんが、BGPなどのルーティング・プロトコルを使用して変更します。
グローバル・パブリック・インターネットに接続するためのインターネット・ゲートウェイ(IG)。
IPアドレス変換用のNATゲートウェイ(NATG)。
サービス・ゲートウェイ(SG)は、他のサブネットの多様なサービスに到達できます。
ピアVCNに接続するためのローカル・ピアリング・ゲートウェイ(LPG)。
プライベートIPアドレス。VCN内の特定のインスタンスにトラフィックをルーティングします。

たとえば、VCNには、次のルールを持つルート表を含めることができます:

Subnet Name                           Route Table                                Target

Public_Subnet_01                      Public_Subnet_01_Route_Table               IG
Private_Subnet_01                     Private_Subnet_01_Route_Table              NAT Gateway

ルート表は、VCNセキュリティの基盤です。

4.7.5.4 セキュリティ・リストとネットワーク・セキュリティ・グループ

オンプレミス・ネットワークにはファイアウォールのようなセキュリティが必要な場合があります。しかし、セキュリティは常にすべてのコンテキストで重要であり、すべての脅威が組織の外部から来るわけではありません。

Oracle Private Cloud Applianceには、パケット・レベルでトラフィックを制御するためにファイアウォールのように動作する2つのセキュリティ・ネットワーキング・メカニズムがあります:

セキュリティ・リスト。サブネットの物理ファイアウォールなどに使用されます。
ネットワーク・セキュリティ・グループ(NSG)。サブネットをまたがるインスタンスのグループのファイアウォールとして機能します。

セキュリティ・リストとは対照的に、NSGでは、インスタンスが異なるサブネットにあっても、インスタンスのグループのルールを作成できます。たとえば、すべてのデータベース・サーバーまたは特定のアプリケーションを実行しているすべてのアプリケーション・サーバーに同じNSGを適用できます。セキュリティを特定のサブネットに適用するかわりに、NSGを作成し、適切なインスタンスをNSGに追加します。

VCNを作成する際、3つのイングレス・ルールと1つのエグレス・ルールを含むデフォルト・セキュリティ・リストが作成されます。デフォルトのルールはステートフルです。つまり、どの接続であるか、およびリクエストにレスポンスが続いていること、およびルールでこれを考慮に入れる必要があることを意味します。対照的に、状態に関係なく、すべてのパケットにステートレス・ルールが適用されます。

デフォルトのイングレスおよびエグレス・セキュリティ・ルールは、表示すると次のようになります。まず、イングレス・ルール(10.0.0.0/16 CIDRブロック用):

Stateless Source       Source Type  IP Protocol Source Port Range Destination Port Range  Type and
                                                                                          Code

No        10.0.0.0/16  CIDR Block   ICMP                                                  3
No        0.0.0.0/0    CIDR Block   ICMP                                                  3, 4
No        0.0.0.0/0    CIDR Block   TCP         22 - 22            22 - 22

これらのルールは、行ごとに次のように読み取ることができます:

ICMPプロトコル・タイプ= 3メッセージ形式(宛先に到達できません)およびすべてのコードを使用して、VCNの10.0.0.0/16 CIDRブロックから発生したトラフィックに適用されるステートフル・ルールがあります。つまり、このルールによって、10.0.0.0/16 CIDRブロック内のデバイスは、任意のコード(NetやHost Unreachableなど)を含む宛先到達不能メッセージを送信者(VCNサブネット内の別のインスタンス)に戻すことができます。
ICMPプロトコル・タイプ= 3メッセージ・フォーマット(宛先到達不能)およびコード= 4(メッセージを断片化する必要があるが、パケットにフラグメントしない(DF)ビットが設定されている任意のIPアドレス(0.0.0.0/0 CIDRブロック)から発信されたトラフィックに適用するステートフル・ルールがあります: これらはパスMTU検出メッセージです)。つまり、このルールでは、コンテンツがこのVCNサブネットに設定されたMTUサイズを超えているため、断片化する必要があるパケットにDFビットが設定されていることをデバイスに通知できます。
接続指向のTCPプロトコルおよびソース・ポートまたは宛先ポート= 22 (SSH)を使用して、任意のIPアドレス(0.0.0.0/0 CIDRブロック)から発信されたトラフィックに適用するステートフル・ルールがあります。つまり、このルールでは、このVCNサブネットのSSHが許可されます。

この最後のルールによって、新しいVCNおよびサブネットを作成し、Linuxインスタンスを起動し、SSHを使用して新しいセキュリティ・リスト・ルールを記述せずにそのインスタンスに接続できます。

重要事項

デフォルトのイングレス・セキュリティ・リストには、リモート・デスクトップ・プロトコル(RDP)アクセスを許可するルールは含まれていません。「Windowsイメージ」を使用している場合は、認可されたソースIPアドレスおよびすべてのソース・ポートから、宛先ポート3389上のTCPトラフィックに対してステートフル・イングレス・ルールを追加してください。詳細は、「RDPアクセスを有効にするには」を参照してください。

単一のエグレス・ルールは非常にシンプルです:

Stateless Source       Source Type  IP Protocol Source Port Range Destination Port Range  Type and
                                                                                          Code

No        0.0.0.0/0    CIDR Block   All

これは、次のように読み取ることができます: 「送信元アドレスを持つパケット、およびVCNを離れる任意のIPプロトコルを持つパケットを許可するステートフル・ルールがあります。」。これは基本的に、何も問題なくVCNサブネットから離れる可能性があることを示しています。

デフォルトのセキュリティ・リストには、ステートレス・ルールはありません。ただし、デフォルトのセキュリティ・リストに対していつでもルールを追加または削除できます。

NSGでこれらのデフォルト・ルールを使用するには、デフォルトのイングレスおよびエグレス・ルールの個別名(Ingress_Security_List_Subnet01やEgress_Security_List_Subnet01など)を指定します。これらのルールをNSGに追加する前に、まずNSGを作成する必要があります。 NSGを作成するには、名前を付け、既存のコンパートメントに割り当てる必要があります。タグを追加することもできますが、後で追加できます。

第4章 ネットワーク

4.1 VCNおよびサブネットの管理

4.1.1 VCNの作成

4.1.2 サブネットの作成

4.1.3 サブネットの編集

4.1.4 サブネットの削除

4.1.5 VCNの終了

4.1.6 VCNの削除

4.2 VCNルールおよびオプションの構成

4.2.1 DHCPオプションの操作

4.2.1.1 DHCPオプションのVCNデフォルト・セットの表示

4.2.1.2 DHCPオプションの既存のセットの更新

4.2.1.3 新しいDHCPオプションのセットの作成

4.2.1.4 サブネットのDHCPオプションの変更

4.2.1.5 DHCPオプションのセットの削除

4.2.2 ルート表の使用

4.2.2.1 VCNデフォルト・ルート表の表示

4.2.2.2 既存のルート表のルールの更新

4.2.2.3 ルート表の作成

4.2.2.4 ルート表の削除

4.2.2.5 ルート表のタグの管理

4.2.3 セキュリティ・リストを使用したトラフィックの制御

4.2.3.1 VCNセキュリティ・リストの表示

4.2.3.2 新しいセキュリティ・リストの作成

4.2.3.3 既存のセキュリティ・リストのルールの更新

4.2.3.4 セキュリティ・リストの削除

4.2.3.5 セキュリティ・リストのタグの管理

4.2.4 ネットワーク・セキュリティ・グループを使用したトラフィックの制御

4.2.4.1 VCNネットワーク・セキュリティ・グループの作成

4.2.4.2 VNICへのネットワーク・セキュリティ・グループのアタッチ

4.2.4.3 ネットワーク・セキュリティ・グループからのリソースの追加または削除

4.2.4.4 ネットワーク・セキュリティ・グループのルールの管理

4.2.4.5 VCNネットワーク・セキュリティ・グループの表示

4.2.4.6 ネットワーク・セキュリティ・グループのタグの管理

4.2.4.7 VCNネットワーク・セキュリティ・グループの削除

4.3 VCNゲートウェイの構成

4.3.1 NATゲートウェイを介したパブリック接続の有効化

4.3.2 インターネット・ゲートウェイを介したパブリック・アクセスの提供

4.3.3 ローカル・ピアリング・ゲートウェイを介したVCNの接続

4.3.4 動的ルーティング・ゲートウェイを使用したオンプレミス・ネットワークへの接続

4.3.4.1 動的ルーティング・ゲートウェイの作成

4.3.4.2 動的ルーティング・ゲートウェイへのVCNのアタッチ

4.3.5 サービス・ゲートウェイを介したOracleサービスへのアクセス

4.4 VNICおよびIPアドレス指定の構成

4.4.1 パブリックIPアドレス

4.4.2 パブリックIPアドレスの管理

4.4.2.1 パブリックIPアドレスの表示

4.4.2.2 パブリックIPアドレスの予約

4.4.2.3 インスタンスへのパブリックIPアドレスの割当て

4.4.2.4 パブリックIPアドレスの編集

4.4.2.5 パブリックIPアドレスの削除

4.4.3 VNICの作成と管理

4.4.3.1 インスタンスVNICの表示

4.4.3.2 コンパートメント内のVNICアタッチメントの表示

4.4.3.3 セカンダリVNICの作成およびアタッチ

4.4.3.4 既存のVNICの更新

4.4.3.5 ネットワーク・セキュリティ・グループからのVNICの追加または削除

4.4.3.6 セカンダリVNICの削除

4.4.3.7 VNICのタグの管理

4.4.4 VNICへのIPアドレスの割当て

4.5 パブリックDNSゾーンの管理

4.5.1 パブリックDNSゾーンの作成

4.5.2 ゾーン・レコードの操作

4.5.2.1 ゾーン・レコードの作成

4.5.2.2 ゾーン・レコードの編集

4.5.2.3 ゾーン・レコードの削除

4.5.3 パブリックDNSゾーンの編集

4.5.4 トランザクション・シグネチャ・キーの操作

4.5.4.1 TSIGキーの追加

4.5.4.2 TSIGキーの削除

4.5.5 パブリックDNSゾーンの削除

4.6 リング・ポリシーを使用したトラフィックの管理

4.6.1 ロード・バランサ・リング・ポリシーの作成

4.6.2 IPプレフィクス・ステアリング・ポリシーの作成

4.6.3 リング・ポリシーの編集

4.6.4 別のコンパートメントへのリング・ポリシーの移動

4.6.5 リング・ポリシーへのドメインのアタッチ

4.6.6 アタッチされたドメインの編集

4.6.7 リング・ポリシー・アタッチメントの削除

4.6.8 リング・ポリシーの削除

第4章ネットワーク