ネットワーキング

4 ネットワーキング

VCNおよびサブネットの管理

VCNは、Oracle Private Cloud Appliance製品の基本ネットワーキング・ユニットです。 VCNはさらにIPサブネットに分割でき、個々のVCNは、特定の目的に使用される各タイプのゲートウェイを介して相互に通信できます。

VCNの作成

VCNは、Oracle Private Cloud Appliance製品の基本ネットワーク・ユニットです。 VCNは、さらにIPサブネットに分割できます。 VCNは、それぞれが特定の目的のために設計された様々なタイプのゲートウェイを介して相互に通信できます。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
「Virtual Cloudネットワークの作成」ボタンをクリックして、「Virtual Cloudネットワークの作成」ダイアログを開きます。
次の情報を入力します。
- 名前: VCNのわかりやすい名前を入力します。
- コンパートメント: VCNを作成するコンパートメントを選択します。
- CIDRブロック: VCN内で使用できるCIDR範囲を指定します。
- DNS: このVCNでDNSホスト名を使用するボックスにチェックマークを入れる場合、DNSラベルを入力するか、フィールドを空白のままにしてシステムによってラベルが生成されるようにできます。ラベルの最初の文字は文字である必要があります。文字と数字のみを使用してください。最大15文字を使用できます。
オプションで、このVCNリソースに1つ以上のタグを追加します。

タグ付けの詳細は、「リソース・タグの操作」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
ダイアログでCreate Virtual Cloud Networkボタンをクリックします。新しいVCNの詳細ページが表示されます。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --compartment-id-in-subtree true)

少なくともコンパートメントOCIDおよびCIDRブロック・オプションを使用して、vcn createコマンドを入力します。

VCNでDNSホスト名を使用する場合は、作成コマンドにDNSラベルを含めます。あとから追加することはできません。

オプションで、VCNのわかりやすい名前を設定します。

$ oci network vcn create --compartment-id compartment_OCID \
--cidr-block 10.0.0.0/16 --dns-label vcn1 --display-name VCN1
{
  "data": {
    "cidr-block": "10.0.0.0/16",
    "compartment-id": "ocid1.compartment.unique_ID",
    "default-dhcp-options-id": "ocid1.dhcpoptions.unique_ID",
    "default-route-table-id": "ocid1.routetable.unique_ID",
    "default-security-list-id": "ocid1.security_list.unique_ID",
    "defined-tags": {},
    "display-name": "VCN1",
    "dns-label": "vcn1",
    "freeform-tags": {},
    "id": "ocid1.vcn.unique_ID",
    "ipv6-cidr-block": null,
    "ipv6-private-cidr-block": null,
    "lifecycle-state": "PROVISIONING",
    "time-created": "2022-04-27T04:34:58.722835+00:00",
    "vcn-domain-name": "vcn1.oraclevcn.com"
  },
  "etag": "a555bf2a-0764-4389-8d72-e9a746f63a78"
}

サブネットの作成

VCNはサブネットに分割できます。 1000個のIPアドレスを持つ巨大なVCNを持つことは可能ですが、多くの場合、パフォーマンスと障害の分離の観点から、VCN内に複数のサブネットを作成できます。サブネットは、適切に構成されていても通信できます。

IPサブネットの計算は、特に、範囲内のどのIPアドレスが予約されているかを特定する場合に困難なタスクとなる場合があります。許容されるCIDRブロック・アドレスの範囲は、問題を複雑にします。 https://www.calculator.net/ip-subnet-calculator.htmlなど、オンラインで使用可能な無料のサブネット計算ツールが役立ちます。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
新しいサブネットを作成するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
「リソース」セクションで、「サブネット」をクリックします。
サブネット・リストの上部にある「サブネットの作成」ボタンをクリックして、「サブネットの作成」ダイアログを開きます。
次の情報を入力します。
- 名前: サブネットのわかりやすい名前を入力します。
- コンパートメントに作成: このサブネットを作成するコンパートメントを選択します。
- CIDRブロック: サブネット内で使用できるCIDR範囲を指定します。 VCN CIDRブロック内にあり、他のサブネットと重複しないようにする必要があります。
- ルート表(オプション): このサブネットに関連付けるルート表を選択します。コンパートメントの選択を変更する必要がある場合があります。ルート表を選択しない場合、VCNデフォルト・ルート表が使用されます。
- プライベート・サブネットまたはパブリック・サブネット: プライベート・サブネットを選択した場合、このサブネット内のインスタンスはパブリックIPアドレスの取得を許可されません。
- DNSホスト名(オプション): このサブネットでインスタンスを起動するときにDNSホスト名を割り当てることができるようにするには、このボックスにチェックマークを入れます。このボックスにチェックマークを入れる場合は、システム全体で一意のDNSラベルを入力します。
- DHCPオプション(オプション): サブネットに関連付けるDHCPオプションのセットを選択します。コンパートメントの選択を変更する必要がある場合があります。オプションのセットを選択しない場合、VCNのデフォルト・セットが使用されます。
- セキュリティ・リスト(オプション): このサブネットのセキュリティ・リストが必要な場合は、+Addセキュリティ・リスト・ボタンをクリックします。サブネットに関連付けるセキュリティ・リストを選択します。コンパートメントの選択を変更する必要がある場合があります。別のセキュリティ・リストが必要な場合は、+Addセキュリティ・リスト・ボタンをクリックして別のセキュリティ・リストを選択します。セキュリティ・リストを選択しない場合、VCNのデフォルト・セキュリティ・リストが使用されます。
オプションで、「リソース作成時のタグの追加」の説明に従って、1つ以上の定義済タグまたはフリー・フォーム・タグをこのサブネットに追加します。タグは後で適用することもできます。
ダイアログでサブネットの作成ボタンをクリックします。新しいサブネットの詳細ページが表示されます。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --compartment-id-in-subtree true)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)

少なくともコンパートメントID、VCN IDおよびCIDRブロック・オプションを使用して、subnet createコマンドを入力します。

サブネットでDNSホスト名を使用する場合は、createコマンドにDNSラベルを含めます。あとから追加することはできません。このオプションは、作成時にVCNにDNSラベルを指定した場合にのみ使用できます。

この例では、サブネットの説明的な名前も設定します。 DHCPオプションのセットが指定されていないため、サブネットではVCNデフォルト・セットが使用されます。

$ oci network subnet create --compartment-id compartment_OCID \
--vcn-id vcn_OCID --cidr-block 10.0.1.0/24 --dns-label subnet1 \
--display-name NoPublicIP
{
  "data": {
    "availability-domain": "ad1",
    "cidr-block": "10.0.1.0/24",
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "dhcp-options-id": "ocid1.dhcpoptions.unique_ID",
    "display-name": "NoPublicIP",
    "dns-label": "subnet1",
    "freeform-tags": {},
    "id": "ocid1.subnet.unique_ID",
    "ipv6-cidr-block": null,
    "ipv6-virtual-router-ip": null,
    "lifecycle-state": "PROVISIONING",
    "prohibit-internet-ingress": null,
    "prohibit-public-ip-on-vnic": true,
    "route-table-id": "ocid1.routetable.unique_ID",
    "security-list-ids": [
      "ocid1.security_list.unique_ID"
    ],
    "subnet-domain-name": "subnet1.vcn1.oraclevcn.com",
    "time-created": "2022-04-27T04:41:54.984856+00:00",
    "vcn-id": "ocid1.vcn.unique_ID",
    "virtual-router-ip": "10.0.1.1",
    "virtual-router-mac": "00:13:97:0e:8f:ff"
  },
  "etag": "30d67d2d-5e11-4b13-9607-1948c52a78f5"
}

サブネットの編集

サブネットの名前、サブネットで使用されるルート表およびセキュリティ・リストおよびDHCPオプションを変更できます。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
編集するサブネットを含むVCNの名前をクリックします。 VCNの詳細ページが表示されます。
リソース・セクションのサブネット・リストで、編集するサブネットを見つけます。アクション・メニューで、編集をクリックしてサブネットの編集ウィンドウを開きます。
サブネットを変更します。次のプロパティを編集できます:
- 名前: サブネットの名前を変更します。
- ルート表: このサブネット用に別のルート表を選択してください。コンパートメントの選択を変更する必要がある場合があります。
- DHCPオプション: このサブネット用に別のDHCPオプションのセットを選択します。コンパートメントの選択を変更する必要がある場合があります。
- セキュリティ・リスト: このサブネットの異なるセキュリティ・リストまたは追加のセキュリティ・リストを選択します。コンパートメントの選択を変更する必要がある場合があります。
オプションで、このサブネットのタグを追加または削除します。

タグ付けの詳細は、「リソース・タグの操作」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
「変更の保存」をクリックします。サブネットのプロパティが更新されます。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --compartment-id-in-subtree true)
- ルート表、DHCPオプション・セットまたはセキュリティ・リストにOCIDsが必要になる場合もあります。

サブネットOCIDおよび変更するパラメータを使用して、subnet updateコマンドを入力します。

この例では、サブネットのDHCPオプションおよびルート表を変更します。

$ oci network subnet update --subnet-id ocid1.subnet.unique_ID \
--dhcp-options-id ocid1.dhcpoptions.unique_ID \
--route-table-id ocid1.routetable.unique_ID
{
  "data": {
    "availability-domain": "ad1",
    "cidr-block": "10.0.1.0/24",
    "compartment-id": "ocid1.compartment.unique_ID,
    "defined-tags": {},
    "dhcp-options-id": "ocid1.dhcpoptions.unique_ID",
    "display-name": "NoPublicIP",
    "dns-label": "subnet1",
    "freeform-tags": {},
    "id": "ocid1.subnet.unique_ID",
    "ipv6-cidr-block": null,
    "ipv6-virtual-router-ip": null,
    "lifecycle-state": "AVAILABLE",
    "prohibit-internet-ingress": null,
    "prohibit-public-ip-on-vnic": true,
    "route-table-id": "ocid1.routetable.unique_ID",
    "security-list-ids": [
      "ocid1.securitylist.unique_ID"
    ],
    "subnet-domain-name": "subnet1.vcn1.oraclevcn.com",
    "time-created": "2022-04-27T04:41:54.984856+00:00",
    "vcn-id": "ocid1.vcn.unique_ID",
    "virtual-router-ip": "10.0.1.1",
    "virtual-router-mac": "00:13:97:0e:8f:ff"
  },
  "etag": "30d67d2d-5e11-4b13-9607-1948c52a78f5"
}

サブネットの削除

サブネットを削除できるのは、空の場合のみです。サブネットを削除する前に、すべてのコンピュート・インスタンスおよびその他のリソースが削除されていることを確認してください。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
削除するサブネットを含むVCNの名前をクリックします。 VCNの詳細ページが表示されます。
リソース・セクションのサブネット・リストで、削除するサブネットを見つけます。アクション・メニューで、削除をクリックします。プロンプトが表示されたら、操作を確認します。

OCI CLIの使用

削除するサブネットのOCIDを取得します( oci network subnet list -c compartment_OCID)

subnet deleteコマンドを入力します。

$ oci network subnet delete --subnet-id subnet_OCID
Are you sure you want to delete this resource? [y/N]: y

VCNの終了

VCNは空の場合のみ終了できます。 VCNを終了する前に、すべてのサブネット、ルート表、ゲートウェイおよびその他のリソースが削除されていることを確認してください。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
終了するVCNの名前をクリックします。 VCNの詳細ページが表示されます。リソース・リストが空であることを確認します。
終了ボタンをクリックします。プロンプトが表示されたら、操作を確認します。

OCI CLIの使用

削除するVCNのOCIDを取得します( oci network vcn list -c compartment_OCID)

vcn deleteコマンドを入力します。

$ oci network vcn delete --vcn-id vcn_OCID
Are you sure you want to delete this resource? [y/N]: y

VCNルールおよびオプションの構成

VCNとそのサブネットには、様々なルールおよびオプションが関連付けられています。主なカテゴリは、DHCP、ルート表およびセキュリティの使用です。これらのルールとオプションを明示的に構成しない場合は、デフォルト値が使用されます。

この項では、DHCPオプション、ルート表およびセキュリティ・リストで使用可能なパラメータについて説明します。

DHCPオプションの操作

サブネットを作成するときに、サブネットのDHCPオプションのセットを指定できます。 DHCPオプションのセットは、OCIDを持つリソースです。 DHCPオプションのセットを指定しない場合は、VCNのデフォルト・セットが使用されます。

サブネットに割り当てることができるDHCPオプションのセットは1つのみです。 DHCPオプションのセットの編集、新しいセットの作成、およびサブネットに割り当てられているセットの変更を行うことができます。割り当てられたDHCPオプション・セットは、そのサブネット内のすべてのインスタンスに適用されます。

詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の"DHCP Options"を参照してください。

VCN DHCPオプション・セットの表示

すべてのVCNには、VCN_nameのデフォルトのDHCPオプションと呼ばれるDHCPオプションのデフォルト・セットがあります。追加のセットを作成する場合は、サブネットに割り当てるセットを選択できます。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
DHCPオプション・セットをリストするVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のDHCP Optionsをクリックします。 DHCPオプション・セットのリストが表示されます。
リスト内のDHCP Optionsセットはクリックできません。セットに定義されているオプションを表示するには、そのセットの処理メニューをクリックし、編集をクリックします。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list)
- VCN OCID (oci network vcn list --compartment-id compartment_OCID)
listコマンドを実行します。

VCN OCIDとコンパートメントOCIDの両方を使用して、指定されたVCNに属し、指定されたコンパートメントにあるすべてのDHCPオプション・セットをリストします。
```
oci network dhcp-options list --compartment-id ocid1.compartment.unique_ID \
--vcn-id ocid1.vcn.unique_ID
```
コンパートメントOCIDのみを使用して、そのコンパートメント内のすべてのDHCPオプション・セットをリストします。コンパートメント内のDHCPオプション・セットは、任意のVCNに属することができます。 DHCPオプション・セットは、VCNと同じコンパートメントに存在する必要はありません。
```
oci network dhcp-options list --compartment-id ocid1.compartment.unique_ID
```
次のいずれかのメソッドを使用して、DHCPオプション・セットを1つのみ表示します。
- DHCPオプション・セットの名前を指定してlistコマンドを使用します。
```
oci network dhcp-options list --compartment-id ocid1.compartment.unique_ID \
--display-name CustomDNSservers
```
- DHCPオプション・セットのOCIDを指定してgetコマンドを使用します。 DHCPオプション・セットOCIDは、DHCPオプション・セットlistコマンド出力のidプロパティの値です。
```
oci network dhcp-options get --dhcp-id ocid1.dhcpoptions.unique_ID
```

一連のDHCPオプションの作成

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
DHCPオプションのセットを作成するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のDHCP Optionsをクリックします。
Create DHCP Optionsボタンをクリックします。
「DHCPオプションの作成」ダイアログで、次の情報を入力します:
- 名前: オプション・セットのわかりやすい名前。名前は一意である必要はなく、後で変更できます。
- コンパートメントに作成: DHCPオプションのセットを作成するコンパートメント。
- DNSタイプ: サブネット内のインスタンスがインターネット・ホスト名およびVCN内のインスタンスのホスト名を解決する場合は、Internet and VCN Resolverを選択します。選択したDNSサーバーを使用するには、Custom Resolverを選択し、DNSサーバーのIPアドレスを入力します。最大3つのDNSサーバーのIPアドレスを入力できます。詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の"Name Resolution"を参照してください。
- ドメインの検索: DNS問合せの解決時にサブネット内のインスタンスが特定の検索ドメインを追加できるようにする場合は、ここにそのドメインを入力します。特定の状況では、ネットワーキング・サービスによって検索ドメイン・オプションが自動的に設定されることに注意してください。詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の"DHCP Options"を参照してください。
- タグ付け: タグ付けの詳細は、リソース・タグの操作を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
ダイアログのCreate DHCP Optionsボタンをクリックします。

このオプションのセットは、サブネットの作成または更新時に指定できます。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- このDHCPオプションのセットを作成するコンパートメントのOCID ( oci iam compartment list)
- このDHCPオプション・セットのVCNのOCID (oci network vcn list --compartment-id compartment_OCID)
--optionsオプションの引数を作成します。

DHCPオプションはJSON形式です。オプションの書式設定方法を確認するには、次のコマンドを使用します:
```
oci network dhcp-options create --generate-param-json-input options > options_format.json
```
または、既存のDHCP Optionsオブジェクトのlistまたはgetを実行し、optionsプロパティの値をコピーします。

これらのオプションの情報を適切な場所に適切な形式で配置するか、コピーしたオプションの情報を置き換えます。

--optionsオプションの値は、一重引用符またはfile://path_to_file.jsonとして指定されたファイルの間の文字列です。

DHCP options createコマンドを実行します。

構文:

oci network dhcp-options create --compartment-id <compartment_OCID> \
--vcn-id <vcn_OCID> --options JSON_formatted_values

例:

$ oci network dhcp-options create \
--compartment-id ocid1.compartment.unique_ID --vcn-id ocid1.vcn.unique_ID \
--display-name CustomDNSservers --options \
'[{"customDnsServers": ["IP_address"], "serverType": "CustomDnsServer","type":"DomainNameServer"},{"searchDomainNames": ["name.example.com"],"type":"SearchDomain"}]'
{
  "data": {
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "CustomDNSservers",
    "domain-name-type": null,
    "freeform-tags": {},
    "id": "ocid1.dhcpoptions.unique_ID",
    "lifecycle-state": "PROVISIONING",
    "options": null,
    "time-created": "2022-05-04T19:29:16.763027+00:00",
    "vcn-id": "ocid1.vcn.unique_ID"
  },
  "etag": "cf50eb7e-88ff-4e1f-b129-08e2c25b3aa2"
}

新しいDHCP Optionsオブジェクトはまだプロビジョニング中ですが、指定されたオプションが表示されない可能性があります。オプションを確認するには、create出力のidプロパティのOCIDを使用して、getコマンドを実行します:

$ oci network dhcp-options get --dhcp-id ocid1.dhcpoptions.unique_ID
{
  "data": {
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "CustomDNSservers",
    "domain-name-type": null,
    "freeform-tags": {},
    "id": "ocid1.dhcpoptions.unique_ID",
    "lifecycle-state": "AVAILABLE",
    "options": [
      {
        "custom-dns-servers": [
          "IP_address"
        ],
        "server-type": "CustomDnsServer",
        "type": "DomainNameServer"
      },
      {
        "search-domain-names": [
          "name.example.com"
        ],
        "type": "SearchDomain"
      }
    ],
    "time-created": "2022-05-04T19:29:16.763027+00:00",
    "vcn-id": "ocid1.vcn.unique_ID"
  },
  "etag": "cf50eb7e-88ff-4e1f-b129-08e2c25b3aa2"
}

一連のDHCPオプションの更新

サブネット内のインスタンスのDHCPオプションを更新するには、次のいずれかを実行します:

このセクションの説明に従って、そのサブネットに現在割り当てられているDHCP Optionsオブジェクトを更新します。
「サブネットの編集」の説明に従って、サブネットを更新し、別のDHCPオプション・オブジェクトを割り当てます。

インスタンスで変更を有効にする方法の詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の"DHCP Options"を参照してください。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
編集するDHCPオプションのVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のDHCP Optionsをクリックします。

DHCPオプション・セットのリストが表示されます。
変更するオプションのセットに対して、Actions(処理)メニューをクリックし、Edit(編集)をクリックします。「一連のDHCPオプションの作成」のName、DNS TypeおよびSearch Domainの説明を参照してください。
編集ダイアログで変更の保存ボタンをクリックします。

OCI CLIの使用

更新するDHCPオプション・オブジェクトのOCIDを取得します( oci network dhcp-options list --compartment-id compartment_OCID)
DHCP options updateコマンドを実行します。

構文:
```
oci network dhcp-options update --dhcp-id dhcp_OCID values_to_update
```
表示名、ドメイン名タイプおよびオプションを更新できます。指定したオプションJSONオブジェクトは、オプションのセット全体を置き換えます。既存のオプションのいずれかを保持する場合は、この--dhcp-idを指定してgetコマンドを実行し、必要なものを出力optionプロパティからオプションJSONオブジェクトにコピーします。

例:
```
$ oci network dhcp-options update --dhcp-id ocid1.dhcpoptions.unique_ID \
--options file:///home/flast/dhcp_options.json
```
このコマンドの出力は、create、listおよびgetコマンドの出力に似ています。オプションを変更しても、それらの変更が最初に表示されない場合は、数秒待ってからgetコマンドを実行します。

一連のDHCPオプションの削除

サブネットに割り当てられているDHCPオプションのセットは削除できません。サブネットからDHCPオプション・セットの割当てを解除するには、サブネットを更新して別のDHCPオプション・セットを割り当てます。「サブネットの編集」を参照してください。 VCNのDHCPオプションのデフォルト・セットは削除できません。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
DHCPオプション・セットを削除するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のDHCP Optionsをクリックします。
削除するセットに対して、Actions(処理)メニューをクリックし、Delete(削除)をクリックします。
要求されたら、確認します。

OCI CLIの使用

削除するDHCPオプション・オブジェクトのOCIDを取得します( oci network dhcp-options list --compartment-id compartment_OCID)
DHCP options deleteコマンドを実行します。
```
$ oci network dhcp-options delete --dhcp-id ocid1.dhcpoptions.unique_ID
Are you sure you want to delete this resource? [y/N]: y
```
このプロンプトを抑制するには、--forceオプションを使用します。

ルート表の使用

サブネットを作成する際は、サブネットに関連付けるルート表を指定します。そうしないと、VCNデフォルト・ルート表が使用されます。サブネットのルート表エントリは、いつでも変更できますが、サブネットには一度に1つのルート表のみを割り当てることができます。割り当てられたルート表は、そのサブネット内のすべてのインスタンスに適用されます。

ルート表を削除するには、サブネットにまだ関連付けられていない必要があります。 VCNデフォルト・ルート表は削除できません。

詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の"Route Tables"を参照してください。

VCNルート表の表示

特定のサブネットに割り当てられている表を確認するには、サブネットを表示します。サブネット詳細ページのルート表を参照するか、サブネット・リストのroute-table-idプロパティを参照するか、コマンド出力を取得します。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
ルート表を表示するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のRoute Tablesをクリックします。ルート表のリストが表示されます。
ルート・ルールを表示するには、ルート表の名前をクリックします。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list)
- VCN OCID (oci network vcn list --compartment-id compartment_OCID)
route table listコマンドを実行します。

VCN OCIDとコンパートメントOCIDの両方を使用して、指定されたVCNに属し、指定されたコンパートメントにあるすべてのルート表をリストします。
```
oci network route-table list --compartment-id ocid1.compartment.unique_ID \
--vcn-id ocid1.vcn.unique_ID
```
コンパートメントOCIDのみを使用して、そのコンパートメント内のすべてのルート表をリストします。コンパートメント内のルート表は、任意のVCNに属することができます。ルート表は、VCNと同じコンパートメントに存在する必要はありません。
```
oci network route-table list --compartment-id ocid1.compartment.unique_ID
```
次のいずれかのメソッドを使用して、1つのルート表のみを表示します。
- ルート表の名前を指定してlistコマンドを使用します。
```
oci network security-list list --compartment-id ocid1.compartment.unique_ID \
--display-name ExtRoute
```
- ルート表のOCIDを指定してgetコマンドを使用します。ルート表のOCIDは、ルート表のlistコマンド出力のidプロパティの値です。
```
oci network route-table get --rt-id ocid1.routetable.unique_ID
```

ルート表の作成

VCN外部のトラフィックを送信するには、ルート・ルールが必要です。 VCN外部でトラフィックを送信する必要がない場合は、VCNの作成時に作成されたデフォルト・ルート表を使用できます。デフォルトのルート表にはルールがありません。

各ルート・ルールでは、宛先CIDRブロックと、そのCIDRに一致するトラフィックのターゲット(ネクスト・ホップ)を指定します。ルールを作成する前に、ターゲットを作成する必要があります。ターゲット・タイプの詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の"Network Gateways"を参照してください。「VCNのルーティングの概要」を参照してください。ターゲットを作成するには、「VCNゲートウェイの構成」のいずれかの手順を使用します。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
ルート表を作成するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のRoute Tablesをクリックします。
Create Route Tableボタンをクリックします。
名前とコンパートメントを入力します。
- 名前: ルート表のわかりやすい名前。名前は一意である必要はなく、後で変更できます。
- コンパートメントに作成: ルート表を作成するコンパートメント。 VCNと同じコンパートメントにルート表を作成する必要はありません。
ルールを追加するには、「+新規ルール」をクリックし、次の情報を入力します:
- ターゲット・タイプ: リストから選択します。
- CIDRブロック: トラフィックの宛先CIDRブロック。 0.0.0.0/0の値は、ルート表内の他のルールでカバーされていないすべての非VCNトラフィックがこのルールで指定されたターゲットに送信されることを意味します。
- ターゲット: この値のラベルは、ターゲット・タイプに選択した値です。矢印をクリックして、ターゲットを選択します。矢印のすぐ上にあるコンパートメントの変更が必要になる場合があります。
- 説明: ルールのオプションの説明。
タグ付け: オプションで、リソース・タグの操作の説明に従ってタグを追加します。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
ダイアログのCreate Route Tableボタンをクリックします。

新しいルート表の詳細ページが表示されます。このルート表は、サブネットの作成または更新時に指定できます。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- このルート表を作成するコンパートメントのOCID ( oci iam compartment list)
- このルート表のVCNのOCID (oci network vcn list --compartment-id compartment_OCID)
--route-rulesオプションの引数を作成します。

ルート・ルールはJSON形式です。ルールの書式設定方法を確認するには、次のコマンドを使用します:
```
oci network route-table create --generate-param-json-input route-rules > route_rule_format.json
```
または、ルート・ルールを含むルート表がすでに存在する場合は、そのルート表をlistまたはgetし、route-rulesプロパティの値をコピーできます。

この新しいルールの情報を適切な書式の場所に配置するか、コピーしたルールの情報を置換します。

--route-rulesオプションの値は、一重引用符またはfile://path_to_file.jsonとして指定されたファイルの間の文字列です。

ルート表作成コマンドを実行します。

表示名を指定しない場合は、名前が表示されます。

構文:

oci network route-table create --compartment-id compartment_OCID \
--vcn-id vcn_OCID --route-rules route_rules_json

例:

$ oci network route-table create --compartment-id ocid1.compartment.unique_ID \
--vcn-id ocid1.vcn.unique_ID --display-name InternetRoute --route-rules \
'[{"cidrBlock":"0.0.0.0/0","networkEntityId":"ocid1.internetgateway.unique_ID"}]'
{
  "data": {
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "InternetRoute",
    "freeform-tags": {},
    "id": "ocid1.routetable.unique_ID",
    "lifecycle-state": "PROVISIONING",
    "route-rules": [
      {          
        "cidr-block": "0.0.0.0/0",
        "description": null,
        "destination": null,
        "destination-type": "CIDR_BLOCK",
        "network-entity-id": "ocid1.internetgateway.unique_ID"
      }
    ],
    "time-created": "2022-04-11T06:00:29.527637+00:00",
    "vcn-id": "ocid1.vcn.unique_ID"
  },
  "etag": "15dcf54f-fa85-40f6-9557-75774e73f1ce" 
}

新しいルート表がまだプロビジョニングされている間、route-rulesプロパティが空である場合があります。オプションを確認するには、create出力のidプロパティのOCIDを使用して、getコマンドを実行します:

oci network route-table get --rt-id ocid1.routetable.unique_ID

ルート表のルールの更新

ルート表の名前を変更し、ルート表内のルールを追加、編集または削除できます。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
ルート表を更新するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のRoute Tablesをクリックします。
更新するルート表の名前をクリックします。
ルート表の名前を変更するには、編集ボタンをクリックして、ダイアログで名前を変更し、変更の保存ボタンをクリックします。
ルート・ルールを作成するには、ルート・ルールの追加をクリックし、「ルート表の作成」で説明されている情報を入力します。
既存のルールを編集するには、そのルールのアクション・メニューをクリックし、「編集」をクリックします。
ルールを削除するには、そのルールのアクション・メニューをクリックし、「削除」をクリックします。

OCI CLIの使用

更新するルート表のOCIDを取得します( oci network route-table list --compartment-id compartment_OCID)
ルート・ルールを変更する場合は、--route-rulesオプションの引数を作成します。「ルート表の作成」を参照してください。この引数は既存のルート・ルールを置き換えるため、保持するルールを含めてください。次のコマンドを使用して、このルート表の既存のルールを表示します:
```
oci network route-table get --rt-id ocid1.routetable.unique_ID
```

次のコマンドを実行します

構文:

oci network route-table update --rt-id route_table_OCID --route-rules options_to_change

名前(--display-name)、ルール(--route-rules)またはタグを変更できます。

例:

oci network route-table update --rt-id ocid1.routetable.unique_ID \
--route-rules file:///home/flast/InternetRoute_rules.json
{
  "data": {
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "InternetRoute",
    "freeform-tags": {},
    "id": "ocid1.routetable.unique_ID",
    "lifecycle-state": "AVAILABLE",
    "route-rules": [
      {          
        "cidr-block": "0.0.0.0/0",
        "description": "Uses the ExtG8Way",
        "destination": null,
        "destination-type": "CIDR_BLOCK",
        "network-entity-id": "ocid1.internetgateway.unique_ID"
      }
    ],
    "time-created": "2022-04-11T06:00:29.527637+00:00",
    "vcn-id": "ocid1.vcn.unique_ID"
  },
  "etag": "15dcf54f-fa85-40f6-9557-75774e73f1ce" 
}

ルート表の削除

サブネットに関連付けられているルート表は削除できません。 VCNデフォルト・ルート表は削除できません。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
ルート表を削除するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のRoute Tablesをクリックします。
削除するルート表のアクション・メニューをクリックし、削除をクリックします。
要求されたら、確認します。

OCI CLIの使用

削除するルート表のOCIDを取得します( oci network route-table list --compartment-id compartment_OCID)
ルート表削除コマンドを実行します。
```
$ oci network route-table delete --rt-id ocid1.routetable.unique_ID
Are you sure you want to delete this resource? [y/N]: y
```
このプロンプトを抑制するには、--forceオプションを使用します。

セキュリティ・リストを使用したトラフィックの制御

セキュリティ・リストとネットワーク・セキュリティ・グループ(NSG)はどちらも、コンピュート・インスタンスの仮想ファイアウォール・タイプです。セキュリティ・リストとNSGの両方が、インスタンス(VNIC)の内外で許可されるトラフィックのタイプを決定するネットワーク・セキュリティ・ルールを定義します。

セキュリティ・リストは、サブネット内のすべてのVNICに仮想ファイアウォール・ルールを提供します。 VCNで選択したVNICのセットに対してファイアウォール・ルールのセットを指定するには、NSGを作成できます。「ネットワーク・セキュリティ・グループを使用したトラフィックの制御」を参照してください。

セキュリティ・リストを使用すると、サブネット内のすべてのVNICに適用されるネットワーク・セキュリティ・ルールを定義できます。デフォルトのセキュリティ・リストは、VCNごとに自動的に作成されます。異なるセキュリティ・リストを割り当てない場合、そのデフォルト・セキュリティ・リストはVCN内の各サブネットに割り当てられます。最大5つのセキュリティ・リストを1つのサブネットに関連付けることができます。

セキュリティ・リストとNSGの両方を使用する場合、適用可能なセキュリティ・リストまたはNSGのいずれかのルールでトラフィックが許可されている場合、特定のVNICとの間のトラフィックは許可されます:

VNICサブネットに関連付けられているセキュリティ・リスト内の任意のルール
VNICが存在するNSG内の任意のルール

一般情報およびセキュリティ・リストとNSGの比較については、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の"Virtual Firewall"を参照してください。

VCNセキュリティ・リストの表示

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
セキュリティ・リストを表示するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のSecurity Listsをクリックします。セキュリティ・リストのリストが表示されます。
セキュリティ・リストの名前をクリックして、そのイングレス・ルールおよびエグレス・ルールを表示します。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list)
- VCN OCID (oci network vcn list --compartment-id compartment_OCID)
listコマンドを実行します。

VCN OCIDとコンパートメントOCIDの両方を使用して、指定されたVCNに属し、指定されたコンパートメントにあるすべてのセキュリティ・リストをリストします。
```
oci network security-list list --compartment-id ocid1.compartment.unique_ID \
--vcn-id ocid1.vcn.unique_ID
```
コンパートメントOCIDのみを使用して、そのコンパートメント内のすべてのセキュリティ・リストをリストします。コンパートメントのセキュリティ・リストは任意のVCNに属することができます。セキュリティ・リストは、VCNと同じコンパートメントに存在する必要はありません。
```
oci network security-list list --compartment-id ocid1.compartment.unique_ID
```
次のいずれかのメソッドを使用して、セキュリティ・リストを1つのみ表示します。
- セキュリティ・リストの名前を指定してlistコマンドを使用します。
```
oci network security-list list --compartment-id ocid1.compartment.unique_ID \
--display-name "Custom Security List"
```
- セキュリティ・リストのOCIDを指定してgetコマンドを使用します。セキュリティ・リストOCIDは、セキュリティ・リストlistコマンド出力のidプロパティの値です。
```
oci network security-list get --security-list-id ocid1.securitylist.unique_ID
```

セキュリティ・リストの作成

セキュリティ・リストを作成する前に、次のコマンドを使用して、デフォルト・セキュリティ・リストにすでに定義されているセキュリティ・ルールと、このVCNの他のセキュリティ・リストを確認します:

$ oci network security-list get --security-list-id ocid1.securitylist.unique_ID

セキュリティ・リストには少なくとも1つのルールが必要です。セキュリティ・リストにイングレス・ルールとエグレス・ルールの両方を含める必要はありません。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
セキュリティ・リストを作成するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のSecurity Listsをクリックします。
Create Security Listボタンをクリックします。
「セキュリティ・リストの作成」ダイアログで、次の情報を入力します:
- 名前: セキュリティ・リストのわかりやすい名前。名前は一意である必要はありません。名前は後でコンソールで変更することはできませんが、CLIで変更できます)。
- コンパートメントに作成: セキュリティ・リストを作成するコンパートメント。
少なくとも1つのルールを追加します。

1つ以上のイングレス・ルールを追加するには、「イングレスのルールの許可」ボックスの「+新規ルール」をクリックします。 1つ以上のエグレス・ルールを追加するには、「エグレスのルールの許可」ボックスの「+新規ルール」をクリックします。次の情報を入力します。
- ステートレス: 新しいルールをステートレスにする場合は、このボックスを選択します。デフォルトでは、セキュリティ・リスト・ルールはステートフルであり、リクエストと調整されたレスポンスの両方に適用されます。ステートレス・ルールおよびステートフル・ルールの詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の"Security Lists"を参照してください。
- CIDR: イングレスまたはエグレス・トラフィックのCIDRブロック。
- IPプロトコル: ルールは、すべてのIPプロトコル、またはICMP、TCP、UDPなどの選択肢に適用できます。ドロップダウン・リストからプロトコルを選択します。
  - ポート範囲: TCPやUDPなどの一部のプロトコルでは、ソース・ポート範囲および宛先ポート範囲を指定できます。
  - パラメータ・タイプおよびコード: ICMPの場合、パラメータ・タイプおよび対応するパラメータ・コードを選択できます。
- 説明: ルールのオプションの説明。
タグ付け: タグ付けの詳細は、リソース・タグの操作を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
ダイアログのCreate Security Listボタンをクリックします。

新しいセキュリティ・リストの詳細ページが表示されます。このセキュリティ・リストは、サブネットの作成または更新時に指定できます。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- このセキュリティ・リストを作成するコンパートメントのOCID ( oci iam compartment list)
- このセキュリティ・リストのVCNのOCID (oci network vcn list --compartment-id compartment_OCID)
--ingress-security-rulesおよび--egress-security-rulesオプションの引数を構築します。

セキュリティ・ルールはJSON形式です。ルールの書式設定方法を確認するには、次のコマンドを使用します:
```
oci network security-list create --generate-param-json-input ingress-security-rules > ingress.json
```
egress-security-rulesと同じコマンドを使用します。

イングレスおよびエグレス・セキュリティ・ルールは同じですが、イングレス・ルールにはsourceおよびsourceTypeプロパティがありますが、エグレス・ルールにはdestinationおよびdestinationTypeプロパティがあります。

protocolプロパティの値は、allまたは次の番号のいずれかです: ICMPの場合は1、TCPの場合は6、UDPの場合は17。

または、デフォルトのセキュリティ・リストまたは別のセキュリティ・リストをlistまたはgetして、egress-security-rulesおよびingress-security-rulesプロパティの値をコピーすることもできます。

この新しいセキュリティ・リストのルール情報を適切な形式で適切な場所に配置するか、コピーしたルールの情報を置換します。

両方のルール・オプションの値は、一重引用符の間の文字列、またはfile://path_to_file.jsonとして指定されたファイルのいずれかです。

セキュリティ・リストcreateコマンドを実行します。

構文:

--ingress-security-rulesまたは--egress-security-rulesの少なくとも1つを指定する必要があります。両方を指定できます。

oci network security-list create --compartment-id compartment_OCID \
--vcn-id vcn_OCID --ingress-security-rules ingress_rules \
--egress-security-rules egress_rules

例:

$ oci network security-list create --compartment-id ocid1.compartment.unique_ID \
--vcn-id ocid1.vcn.unique_ID --display-name "Limited Port Range" \
--egress-security-rules '[{"destination": "10.0.2.0/24", "protocol": "6", "isStateless": true, \
"tcpOptions": {"destinationPortRange": {"max": 1521, "min": 1521}, \
"sourcePortRange": {"max": 1521, "min": 1521}}}]' \
--ingress-security-rules '[{"source": "10.0.2.0/24", "protocol": "6", "isStateless": true, \
"tcpOptions": {"destinationPortRange": {"max": 1521, "min": 1521}, \
"sourcePortRange": {"max": 1521, "min": 1521}}}]'
{
  "data": {
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "Limited Port Range",
    "egress-security-rules": [
      {
        "description": null,
        "destination": "10.0.2.0/24",
        "destination-type": "CIDR_BLOCK",
        "icmp-options": null,
        "is-stateless": true,
        "protocol": "6",
        "tcp-options": {
          "destination-port-range": {
            "max": 1521,
            "min": 1521
          },
          "source-port-range": {
            "max": 1521,
            "min": 1521
          }
        },
        "udp-options": null
      }
    ],
    "freeform-tags": {},
    "id": "ocid1.securitylist.unique_ID",
    "ingress-security-rules": [
      {
        "description": null,
        "icmp-options": null,
        "is-stateless": true,
        "protocol": "6",
        "source": "10.0.2.0/24",
        "source-type": "CIDR_BLOCK",
        "tcp-options": {
          "destination-port-range": {
            "max": 1521,
            "min": 1521
          },
          "source-port-range": {
            "max": 1521,
            "min": 1521
          }
        },
        "udp-options": null
      }
    ],
    "lifecycle-state": "PROVISIONING",
    "time-created": "2022-05-06T02:17:10.965748+00:00",
    "vcn-id": "ocid1.vcn.unique_ID"
  },
  "etag": "30d67d2d-5e11-4b13-9607-1948c52a78f5"
}

セキュリティ・リストの更新

セキュリティ・リストの名前を編集したり、デフォルトのセキュリティ・リストを含む任意のセキュリティ・リストのルールまたはタグを追加、編集または削除できます。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
セキュリティ・リストを更新するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のSecurity Listsをクリックします。
更新するセキュリティ・リストに対して、次のいずれかを実行します:
- アクション・メニューをクリックし、編集をクリックして「セキュリティ・リストの編集」ダイアログを開きます。イングレス・ルールの許可およびエグレス・ルールの許可セクションのルールを更新します。ルールを削除するには、ごみ箱アイコンをクリックします。ルールを追加するには、「+新規ルール」ボタンをクリックします。セキュリティ・リストの名前およびタグを更新することもできます。ダイアログの保存ボタンをクリックします。
- Actions(処理)メニューをクリックし、View Details(詳細の表示)をクリックして、セキュリティ・リストの詳細ページを開きます。
  - 編集ボタンをクリックして、「セキュリティ・リストの編集」ダイアログを開きます。
  - ルールのみを編集するには、リソース・セクションにスクロールして、イングレス・ルールまたはエグレス・ルールをクリックします。新しいルールを作成するには、セキュリティ・ルールの作成ボタンをクリックします。ルールを更新するには、そのルールのアクション・メニューをクリックし、編集をクリックします。ルールを削除するには、アクション・メニューをクリックし、削除をクリックします。

OCI CLIの使用

更新するセキュリティ・リストのOCIDを取得します( oci network vcn list --compartment-id compartment_OCID)
ルールを更新する場合は、「セキュリティ・リストの作成」の説明に従って、--ingress-security-rulesおよび--egress-security-rulesオプションの引数を作成します。これらのルール・オプションに指定する引数によって、既存のルールが上書きされます。既存のルールを保持する場合は、次のコマンドを使用して現在のルールを表示し、新しいオプション引数に保持するルールをコピーします。
```
$ oci network security-list get --security-list-id ocid1.securitylist.unique_ID
```

セキュリティ・リスト更新コマンドを実行します。

例:

oci network security-list update  \
--security-list-id ocid1.securitylist.unique_ID \
--ingress-security-rules file:///home/flast/ingress_rules.json

WARNING: Updates to defined-tags and egress-security-rules and freeform-tags and 
 ingress-security-rules will replace any existing values. 
 Are you sure you want to continue? [y/N]: y

セキュリティ・リストの削除

サブネットに関連付けられているセキュリティ・リストは削除できません。 VCNのデフォルト・セキュリティ・リストは削除できません。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
セキュリティ・リストを削除するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のSecurity Listsをクリックします。
削除するセキュリティ・リストについて、アクション・メニューをクリックし、削除をクリックします。
要求されたら、削除を確認します。

OCI CLIの使用

削除するセキュリティ・リストのOCIDを取得します( oci network vcn list --compartment-id compartment_OCID)
セキュリティ・リスト削除コマンドを実行します。
```
$ oci network security-list delete --security-list-id ocid1.securitylist.unique_ID
Are you sure you want to delete this resource? [y/N]: y
```
このプロンプトを抑制するには、--forceオプションを使用します。

ネットワーク・セキュリティ・グループを使用したトラフィックの制御

ネットワーク・セキュリティ・グループ(NSG)とセキュリティ・リストはどちらも、コンピュート・インスタンスの仮想ファイアウォールのタイプです。 NSGとセキュリティ・リストの両方が、インスタンス(VNIC)の内外で許可されるトラフィックのタイプを決定するネットワーク・セキュリティ・ルールを定義します。

NSGは、VCNで選択したVNICのセットに対して仮想ファイアウォール・ルールを提供します。サブネット内のすべてのVNICに対してファイアウォール・ルールのセットを指定するには、セキュリティ・リストを作成できます。「セキュリティ・リストを使用したトラフィックの制御」を参照してください。

NSGを使用すると、インスタンスのグループにネットワーク・セキュリティ・ルールを定義できます。これは異なるサブネットにあってもかまいません。たとえば、NSGは、すべてのデータベース・サーバー、または特定のアプリケーションを実行しているすべてのアプリケーション・サーバーに適用できます。特定のサブネットにセキュリティを適用するかわりに、NSGを作成し、適切なインスタンス(VNIC)をNSGに追加します。

VCNを作成すると、デフォルトのセキュリティ・リストが作成されます。グループに含めるVNICを選択する必要があるため、デフォルトNSGは作成されません。

VNICサブネットに関連付けられているセキュリティ・リスト内の任意のルール
VNICが存在するNSG内の任意のルール

ネットワーク・セキュリティ・グループの作成

これらのプロシージャは、ルールがなくVNICのないNSGを作成します。

NSGにセキュリティ・ルールを追加するには、「ネットワーク・セキュリティ・グループのルールの管理」を参照してください。
NSGにVNICを追加するには、「ネットワーク・セキュリティ・グループへのVNICのアタッチ」を参照してください。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
NSGを作成するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のNetwork Security Groupsをクリックします。
Create Network Security Groupボタンをクリックします。
「ネットワーク・セキュリティ・グループの作成」ダイアログで、次の情報を入力します:
- 名前: NSGの説明的な名前。名前は一意である必要はなく、後で変更できます。
- コンパートメントに作成: NSGを作成するコンパートメント。
タグ付け: タグ付けの詳細は、リソース・タグの操作を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
ダイアログのCreate Network Security Groupボタンをクリックします。

新しいNSGの詳細ページが表示されます。セキュリティ・ルールを作成してVNICを選択してグループに追加することも、後でこれらのタスクを実行することもできます。このセクションの最初に説明されている手順を参照してください。

OCI CLIの使用

表示名と定義済タグおよびフリー・フォーム・タグを追加できます。同様に、NSG (oci network nsg update)を更新する場合、名前およびタグのみを更新できます。ルールおよびVNICを追加するには、この項の最初に参照されている手順を参照してください。

コマンドを実行するために必要な情報を収集します:
- このNSGを作成するコンパートメントのOCID ( oci iam compartment list)
- このNSGのVCNのOCID (oci network vcn list --compartment-id compartment_OCID)

NSG createコマンドを実行します。

例:

$ oci network nsg create --compartment-id ocid1.compartment.unique_ID \
--vcn-id ocid1.vcn.unique_ID --display-name "Application A"
{
  "data": {
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "Application A",
    "freeform-tags": {},
    "id": "ocid1.networksecuritygroup.unique_ID",
    "lifecycle-state": "PROVISIONING",
    "time-created": "2022-05-09T15:48:30.069904+00:00",
    "vcn-id": "ocid1.vcn.unique_ID"
  },
  "etag": "49073741-0cc7-4371-82ee-2abf4667b14d"
}

VCNネットワーク・セキュリティ・グループの表示

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
ネットワーク・セキュリティ・グループを表示するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のNetwork Security Groupsをクリックします。 NSGのリストが表示されます。
NSGの名前をクリックして、セキュリティ・ルールやアタッチされたVNICなどの詳細を表示します。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list)
- VLAN OCID (oci network vlan list --compartment-id compartment_OCID)
NSG listコマンドを実行します。

コンパートメントOCIDを指定して、そのコンパートメント内のすべてのNSGをリストします。
```
oci network nsg list --compartment-id ocid1.compartment.unique_ID
```
VLAN OCIDを指定して、そのVLAN内のすべてのNSGをリストします。
```
oci network nsg list \
--vlan-id ocid1.networksecuritygroup.unique_ID
```
次のいずれかのメソッドを使用して、1つのNSGのみを表示します。
- listコマンドをNSGの名前とともに使用します。
```
oci network nsg list --compartment-id ocid1.compartment.unique_ID \
--display-name "Custom NSG"
```
- getコマンドをNSGのOCIDとともに使用します。 NSG OCIDは、NSG listコマンド出力のidプロパティの値です。
```
oci network nsg get --nsg-id ocid1.networksecuritygroup.unique_ID
```
NSGセキュリティ・ルールは、リストまたはgetコマンド出力には表示されません。次のコマンドを使用して、NSGセキュリティ・ルールを表示します。
```
oci network nsg rules list --nsg-id ocid1.networksecuritygroup.unique_ID
```

ネットワーク・セキュリティ・グループのルールの管理

これらの手順では、NSGによって適用されるルールを追加、更新および削除する方法について説明します。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
NSGのルールを管理するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のNetwork Security Groupsをクリックします。
NSGのリストで、ルールを管理するNSGの名前をクリックします。 NSG詳細ページが表示されます。
Resourcesの下のSecurity Rulesをクリックします。
新しいルールを追加したり、既存のルールを編集および削除できます。

ルールを追加するには、セキュリティ・ルールの作成ボタンをクリックします。 1つ以上のイングレス・ルールを追加するには、「イングレスのルールの許可」ボックスの「+新規ルール」をクリックします。 1つ以上のエグレス・ルールを追加するには、「エグレスのルールの許可」ボックスの「+新規ルール」をクリックします。次の情報を入力します。
- ステートレス: 新しいルールをステートレスにする場合は、このボックスを選択します。デフォルトでは、セキュリティ・リスト・ルールはステートフルであり、リクエストと調整されたレスポンスの両方に適用されます。ステートレス・ルールおよびステートフル・ルールの詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の"Security Lists"を参照してください。
- CIDR: イングレスまたはエグレス・トラフィックのCIDRブロック。
- IPプロトコル: ルールは、すべてのIPプロトコル、またはICMP、TCP、UDPなどの選択肢に適用できます。ドロップダウン・リストからプロトコルを選択します。
  - ポート範囲: TCPやUDPなどの一部のプロトコルでは、ソース・ポート範囲および宛先ポート範囲を指定できます。
  - パラメータ・タイプおよびコード: ICMPの場合、パラメータ・タイプおよび対応するパラメータ・コードを選択できます。
- 説明: ルールのオプションの説明。
ルールを編集するには、エグレスまたはイングレス・ルールのアクション・メニューをクリックし、編集をクリックして必要な変更を行い、更新をクリックします。

ルールを削除するには、エグレスまたはイングレス・ルールのアクション・メニューをクリックし、削除をクリックしてから、確認をクリックします。ルールの編集中に、ごみ箱アイコンをクリックしてルールを削除します。

OCI CLIの使用

ルールを管理するNSGのOCID (oci network nsg list --compartment-id <compartment_OCID>)を取得します。
--security-rulesオプションの引数を作成します。セキュリティ・ルールはJSON形式です。ルールの書式設定方法を確認するには、次のコマンドを使用します:
```
oci network nsg rules add --generate-param-json-input security-rules > nsg_rules.json
```
--security-rulesオプション引数は、oci network nsg rules updateコマンドの場合とまったく同じです。

または、既存のNSGのルールをリストおよびコピーできます。
```
oci network nsg rules list --nsg-id ocid1.networksecuritygroup.unique_ID
```
この新規または更新されたNSGのルール情報を、--generate-param-json-inputによる形式出力の適切な場所に配置するか、コピーしたルールの情報を変更します。

ルール・オプションの値は、一重引用符の間の文字列、またはfile://path_to_file.jsonとして指定されたファイルのいずれかです。
NSGルールの追加または更新コマンドを実行します。

Add:

指定したsecurity_rulesは、既存のルールに追加されます。
```
oci network nsg rules add --nsg-id nsg_OCID \
--security-rules security_rules
```
更新:

指定したsecurity_rulesは、既存のルールを置換します。
```
oci network nsg rules update --nsg-id nsg_OCID \
--security-rules security_rules
```

1つ以上のルールを削除するには、ルールOCIDsのリストを作成します。

次のコマンドを使用して、削除するルールのOCIDsを検索します:

oci network nsg rules list --nsg-id ocid1.networksecuritygroup.unique_ID

NSGルール削除コマンドを実行します。

oci network nsg rules add --nsg-id ocid1.networksecuritygroup.unique_ID \
--security-rule-ids '{[ocid1.security_rule.unique_ID1,ocid1.security_rule.unique_ID2]}'

ネットワーク・セキュリティ・グループへのVNICのアタッチ

NSGには1つ以上のVNICがあります。インスタンスを作成するとき、またはVNICを作成または更新するときに、VNICをNSGにアタッチできます。次の手順を参照してください。

次のいずれかを実行して、VNICがアタッチされているNSGのリストを表示します:

VNICの詳細を表示します。
1. インスタンスの詳細ページで、リソース・セクションまでスクロールし、アタッチされたVNICをクリックします。
2. リストで、VNICの名前をクリックします。
3. VNICの詳細ページで、リソース・セクションまでスクロールし、ネットワーク・セキュリティ・グループをクリックします。

次のコマンドを実行します。

$ oci network vnic get --vnic-id ocid1.vnic.unique_ID

次のいずれかを実行して、NSGにアタッチされているVNICのリストを表示します:

NSGの詳細を表示します。
1. VCN詳細ページで、リソース・セクションまでスクロールし、Network Security Groupsをクリックします。
2. リストで、NSGの名前をクリックします。
3. NSGの詳細ページで、リソース・セクションまでスクロールし、VNICをクリックします。

次のコマンドを実行します。

$ oci network nsg vnics list --nsg-id ocid1.networksecuritygroup.unique_ID

VNICがアタッチされているNSGのリストを変更するには、VNICを更新します。

ネットワーク・セキュリティ・グループの削除

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
NSGを削除するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のNetwork Security Groupsをクリックします。
削除するNSGに対して、アクション・メニューをクリックし、削除をクリックします。
要求されたら、削除を確認します。

OCI CLIの使用

削除するNSGのOCIDを取得します( oci network nsg list --compartment-id compartment_OCID)

NSG削除コマンドを実行します。

$ oci network nsg delete --nsg-id ocid1.networksecuritygroup.unique_ID
Are you sure you want to delete this resource? [y/N]: y

このプロンプトを抑制するには、--forceオプションを使用します。

VCNゲートウェイの構成

仮想プロセスは、様々な方法で他のプロセスと通信します。 2つのインスタンスが同じサブネット内にあり、つまりIPアドレスのネットワーク部分が一致する場合、通信を許可するために特別な構成は必要ありません。論理スイッチは、MACアドレス・レベルでソースと宛先を接続します。また、同じVCN内の異なるサブネットのインスタンス間の通信には、ルーティング構成は必要ありません。ルーティングが必要なのは、宛先に向かっているトラフィック、またはVCNの外部から送信されたトラフィックのみです。

2つの仮想プロセス間の通信が必要で、ソースと宛先が2つの異なるVCNにある場合、ソースVCNで5つの異なるタイプのゲートウェイのいずれかの構成が必要です。このコンテキストでは、ゲートウェイは特別なタイプのルーターであり、ルート表で設定されたルールに従って2つの異なるIPネットワークを接続します。 (ルーターはマルチ・ポート・ゲートウェイと考えることができ、ゲートウェイは2ポートルーターと考えることができます)

VCNを初めて作成する場合、様々なリソースがUIにリストされ、CLIコマンドを使用したリストに使用できます。一部のリソースはサブネットの作成時に自動的にリストされ、その他のリソースは明示的に構成する必要があります。

サブネットこのリソースは、VCNの下に作成されたサブネットの数を指定します。他のすべてのリソースには、VCNの数も表示されます。
ルート表このリソースは、ルート表の数を指定します。サブネットはルート表(特にデフォルト・ルート表)を共有できるため、この数はサブネット数と同じとはかぎりません。特に、VCNに複数のサブネットがある場合です。
インターネット・ゲートウェイこのリソースには、構成されているインターネット・ゲートウェイの数が表示されます。最初は何もありません。
ローカル・ピアリング・ゲートウェイこのリソースは、構成されているローカル・ピアリング・ゲートウェイの数を指定します。最初は何もありません。
DHCPオプション。このリソースは、DHCPオプション・リストの数を指定します。 VCNにはデフォルトで少なくとも1つ存在しますが、さらに作成できます。
セキュリティ・リストこのリソースでは、セキュリティ・リストの数を指定します。 VCNにはデフォルトで少なくとも1つのイングレスおよびエグレス・ルールのセットがありますが、さらに作成できます。
NATゲートウェイ。このリソースは、構成されているNATゲートウェイの数を指定します。最初は何もありません。
ネットワーク・セキュリティ・グループこのリソースには、構成されたネットワーク・セキュリティ・グループの数が表示されます。最初は何もありませんが、既存のセキュリティ・リストをネットワーク・セキュリティ・グループに収集して、すべてのセキュリティ・ルールを必要に応じて一度に適用できます。
サービス・ゲートウェイこのリソースは、構成されたサービス・ゲートウェイの数を指定します。最初は何もありません。
動的ルーティング・ゲートウェイこのリソースは、構成された動的ルーティング・ゲートウェイ(DRG)の数を指定します。最初は何もありません。これらのゲートウェイはVCNなしでは構成されず、VCNにアタッチされることに注意してください。
動的ルーティング・ゲートウェイのアタッチメントこのリソースは、構成されている動的ルーティング・ゲートウェイ添付の数を指定します。アタッチメントをリストするようにDRGを構成する必要があります。

様々なタイプのゲートウェイは、非常に具体的な理由で構成されます。

NATゲートウェイ。 NATゲートウェイは、IPネットワークの一部分から別の部分へのトラフィック・パスとしてIPアドレスを変換するために使用されます。 VCNとオンプレミス・データ・センター・ネットワークの間で使用される場合。NATアドレスは、データ・センター・ネットワークに送信されるトラフィックのソース・アドレスになります。 NATゲートウェイを使用すると、VCNからオンプレミス・ネットワークへのエグレスが可能になります。 VCN内のインスタンスへの接続を開始することはできません。基本的には一方向ですが、VCNで開始された接続では戻りトラフィックが許可されます。 NAT GatewayとVCNとの間の接続を可能にするインターネット・ゲートウェイと対照的に、NAT Gatewayでは、パブリックIPアドレスを持つインスタンスがPCAネットワークの外部からアクセス可能になります。

ノート:

動的ルーティング・ゲートウェイを使用してオンプレミス・ネットワークに接続されたVCNは、動的ルーティング・ゲートウェイに接続されているオンプレミスCIDRまたはその他のVCN CIDRと重複できません。つまり、使用されるIPアドレスはVCNに限定されている必要があります。
インターネット・ゲートウェイ(IGW)。 IGWは、オンプレミス・データ・センター・ネットワークを介した外部アクセスをVCNに提供します。ソースと宛先にはルーティング可能なパブリックIPアドレスが必要で、VCNには1つのIGWしか指定できません。
ローカル・ピアリング・ゲートウェイ(LPG)。ローカル・ピアリング・ゲートウェイ(LPG)は、プライベートIPアドレスを使用しても、各VCNの要素が通信できるように、VCNを接続する方法です。ピアVCNは異なるテナンシに存在できます。
動的ルーティング・ゲートウェイ(DRG) DRGは、VCNをデータ・センターのIPアドレス領域に接続するために使用されます。つまり、データ・センターのOracle Private Cloud Applianceラックの外です。データ・センター・ネットワークはそのように構成されている場合は、Oracle Private Cloud Applianceトラフィックを他の宛先に渡すことができます。
サービス・ゲートウェイ(SG) 一部のサービスは、セキュリティおよびパフォーマンスの理由から、独自のネットワーク上で分離されています。サービス・ゲートウェイ(SG)では、プライベート・サブネットのサービス・ネットワーク・サービス(オブジェクト・ストレージなど)にプライベート・アクセスできないVCNが許可されます。

NATゲートウェイを介したパブリック接続の有効化

NATゲートウェイは、IPネットワークの一部分から別の部分へのトラフィック・パスとしてIPアドレスを変換するために使用されます。これにより、ソースと宛先が同じIPアドレスを持つことを防ぎ、Oracle Private Cloud Applianceトラフィックで使用されるRFC 1918プライベート・アドレスがオンプレミス・データ・センター・ネットワークと通信できるようになります。 NATゲートウェイはサブネット・レベルのVCNにアタッチされるため、アドレス変換をより細かく制御できます。 NATゲートウェイは、VCNとは別に構成され、VCNと同じコンパートメントに存在する必要はありません(ただし、可能です)。ただし、NATゲートウェイはVCN内にあり、VCN当たり1つのNATのみが許可されます。 NATアドレスは、データセンター・ネットワークに送信されるトラフィックのソース・アドレスになります。

「コンピュートWeb UI」の使用

ナビゲーション・メニューのネットワーキングで、仮想クラウド・ネットワークをクリックします。コンパートメントで以前に構成されたVCNのリストが表示されます。 NATゲートウェイを作成しているコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
NATゲートウェイを作成するVCNをクリックします。
そのVCNのリソース・メニューで、NATゲートウェイをクリックします(カッコ内に構成されているNATゲートウェイの数は問題ありません)。
NATゲートウェイの作成をクリック
必要なNATゲートウェイ情報を入力します:
- 名前: NATゲートウェイの名前または説明を指定します。組織の機密情報は使用しないでください。
- コンパートメントに作成: NAT Gatewayを作成するコンパートメントを選択します。
- 「ブロック・トラフィック」このNATゲートウェイへのトラフィックをブロックするかどうかを選択します。
  - (はい): トラフィックがブロックされていません): デフォルトでは、VCNは完全に構成されていない場合でもNATゲートウェイを使用します。
  - (いいえ): トラフィックがブロックされました): NATゲートウェイが明示的に有効になるまでトラフィックを表示しないように設定できます。
  NATゲートウェイの詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」章の"NAT Gateways"を参照してください。
- タグ付け: オプションで、このリソースに1つ以上のタグを追加します。タグ付けの詳細は、「リソース・タグの操作」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
Create NAT Gatewayをクリックします。

NATゲートウェイでは、ルート・ルールまたはセキュリティ設定を追加する準備ができました。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --compartment-id-in-subtree true)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)

oci network nat-gateway createコマンドを実行します。

ノート:

この手順では、このコマンドに必要な最小パラメータを示します。オプションのパラメータについては、--helpオプションを指定してコマンドを実行します。

構文(1行に入力):

oci network nat-gateway create \
--compartment-id <compartment_OCID> \
--vcn-id <vcn_OCID>

例:

oci network nat-gateway create \
 --compartment-id ocid1.compartment.….….….uniqueID \
 –-vcn-id ocid1.vcn.….….….uniqueID
 
{
  "data": {
    "block-traffic": true,
    "compartment-id": "ocid1.compartment.….….….uniqueID",
    "defined-tags": {},
    "display-name": "natgateway20210827215953",
    "freeform-tags": {},
    "id": "ocid1.vcn.….….….uniqueID",
    "lifecycle-state": "PROVISIONING",
    "nat-ip": "10.133.80.3",
    "public-ip-id": "ocid1.publicip.AK00661530.scasg01..….….….uniqueID",
    "time-created": "2021-08-27T21:59:53.858329+00:00",
    "vcn-id": "ocid1.vcn.AK00661530.scasg01..….….….uniqueID"
  },
  "etag": "c98377e4-ae89-46cf-9c61-52aea68a3476"
}

NATゲートウェイでは、ルート・ルールまたはセキュリティ設定を追加する準備ができました。ゲートウェイ(natgateway20210827215953の名前はパラメータではなく自動的に割り当てられ、デバイスのIPアドレス(10.133.80.3)も自動的に割り当てられることに注意してください。

インターネット・ゲートウェイを介したパブリック・アクセスの提供

インターネット・ゲートウェイ(IGW)は、オンプレミス・データ・センター・ネットワークを介した外部アクセスをVCNに提供します。 IGWはVCN内で構成されるため、IGWはそれが構成されているVCNに自動的にアタッチされます。ソースと宛先にはルーティング可能なパブリックIPアドレスが必要で、VCNには1つのIGWしか指定できません。パブリックIPアドレスを使用するトラフィックは、IGWを経由します。 IGWは、VCNと同じコンパートメントに存在する必要はありません。サブネット・ルート表は、IGWを使用できるパブリック・サブネットを決定し、サブネット・セキュリティ・リストはIGWを使用できるトラフィックのタイプを定義します。物理ルーターと同様に、IGWを無効にして、どのような権限が確立されていてもインターネット・アクセスを切断できます。

「コンピュートWeb UI」の使用

ナビゲーション・メニューのネットワーキングで、仮想クラウド・ネットワークをクリックします。コンパートメントで以前に構成されたVCNのリストが表示されます。インターネット・ゲートウェイを作成しているコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
インターネット・ゲートウェイを作成するVCNをクリックします。
そのVCNのリソース・メニューで、インターネット・ゲートウェイをクリックします(カッコ内に構成されているインターネット・ゲートウェイの数は問題ありません)。
Create Internet Gatewayをクリック
必要なインターネット・ゲートウェイ情報を入力します:
- 名前: インターネット・ゲートウェイの名前または説明を指定します。組織の機密情報は使用しないでください。
- コンパートメントに作成: インターネット・ゲートウェイを作成するコンパートメントを選択します。
  
  インターネット・ゲートウェイの詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」にある"Internet Gateways"を参照してください。
- 有効: トグルを使用して、ゲートウェイが作成時に有効になっているかどうかを確認します。デフォルトでは、ゲートウェイが有効になります。
  - (はい): ゲートウェイ有効: デフォルトでは、VCNは作成時にゲートウェイを使用します。(いいえ): ゲートウェイ無効): ゲートウェイは、明示的に有効にされるまでトラフィックを表示しないように設定できます。
- タグ付け: オプションで、このリソースに1つ以上のタグを追加します。
  
  タグ付けの詳細は、「リソース・タグの操作」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
インターネット・ゲートウェイの作成をクリックします。

インターネット・ゲートウェイは、ルート・ルールまたはセキュリティ設定を追加する準備ができました。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --compartment-id-in-subtree true)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)

oci network internet-gateway createコマンドを実行します。

ノート:

構文(1行に入力):

oci network internet-gateway create
--compartment-id <compartment_OCID>
--is-enabled <boolean: true | false>
--vcn-id <vcn_OCID>

例:

oci network internet-gateway create \
 --compartment-id ocid1.compartment.….….….uniqueID
 –-is-enabled true 
 –-vcn-id ocid1.vcn.….….….uniqueID
 
{
  "data": {
    "compartment-id": "ocid1.compartment.….….….uniqueID",
    "defined-tags": {},
    "display-name": "internetgateway20210830165014",
    "freeform-tags": {},
    "id": "ocid1.internetgateway.AK00661530.scasg01..….….….uniqueID",
    "is-enabled": true,
    "lifecycle-state": "PROVISIONING",
    "time-created": "2021-08-30T16:50:14.634466+00:00",
    "vcn-id": "ocid1.vcn.….….….uniqueID",
  },
  "etag": "c98377e4-ae89-46cf-9c61-52aea68a3476"
}

インターネット・ゲートウェイは、ルート・ルールまたはセキュリティ設定を追加する準備ができました。ルート表にゲートウェイのルート・ルールが1つ以上ないかぎり、IGWにアクセスできません。ルート・ルールの構成の詳細は、「ルート表の操作」を参照してください。

インターネット・ゲートウェイの無効化または有効化

「コンピュートWeb UI」またはOCI CLIを使用して、IGWを有効または無効にできます。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
有効化または無効化するIGWを含むVCNの名前をクリックします。 VCNの詳細ページが表示されます。
リソース・セクションのインターネット・ゲートウェイ・リストで、有効化または無効化するIGWを見つけます。構成詳細には、IGWが有効かどうかが表示されます(はいまたはいいえ)。
アクション・メニューから編集ダイアログにアクセスするか、詳細ボックスの右上にある編集をクリックします。
使用可能トグルのステータスをはいまたはいいえに変更します。更新をクリックして、IGWのステータスを変更します。

OCI CLIの使用

有効化または無効化するIGWのIGW OCIDを取得します( oci network internet-gateway list -c compartment_OCID)
TrueまたはFalseブール値を指定してinternet-gateway update --is-enabledコマンドを入力します。
```
$ oci network internet-gateway update --ig-id internetgateway_OCID --is-enabled boolean
```
確認ステップをオーバーライドするには、--forceオプションを使用します。

インターネット・ゲートウェイの削除

以前にIGWを構成している場合は、削除できます。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
削除するIGWを含むVCNの名前をクリックします。 VCNの詳細ページが表示されます。
リソース・セクションのインターネット・ゲートウェイ・リストで、削除するIGWを見つけます。アクション・メニューで、削除をクリックします。プロンプトが表示されたら、操作を確認します。

OCI CLIの使用

削除するIGWのIGW OCIDを取得します( oci network internet-gateway list -c compartment_OCID)
internet-gateway deleteコマンドを入力します。
```
$ oci network internet-gateway delete --ig-id internet-gateway_OCID
Are you sure you want to delete this resource? [y/N]: y
```
確認ステップをオーバーライドするには、--forceオプションを使用します。

ローカル・ピアリング・ゲートウェイを介したVCNの接続

ローカル・ピアリング・ゲートウェイ(LPG)は、プライベートIPアドレスを使用しても、各VCNの要素が通信できるように、VCNを接続する方法です。ピアVCNは異なるテナンシに存在できます。 LPG構成には、他にもいくつかの要件があります:

LPGによってリンクされているVCNのCIDRは重複できません。
ピアリングされた各VCNにLPGが正しく構成されており、LPGが接続されている必要があります。
VCNルート・ルールは、LPGとの間でVCNサブネット・トラフィックを制御するように適切に構成する必要があります。
特定のタイプのVCNサブネット・トラフィックがLPGを使用することを許可または拒否するように、セキュリティ・ルールを適切に構成する必要があります

「コンピュートWeb UI」の使用

ナビゲーション・メニューのネットワーキングで、仮想クラウド・ネットワークをクリックします。コンパートメントで以前に構成されたVCNのリストが表示されます。ローカル・ピアリング・ゲートウェイを作成するコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
ローカル・ピアリング・ゲートウェイを作成するVCNをクリックします。
そのVCNのリソース・メニューで、ローカル・ピアリング・ゲートウェイ(カッコ内に構成されているローカル・ピアリング・ゲートウェイの数は問題ありません)をクリックします。
Create Local Peering Gatewayをクリック
必要なローカル・ピアリング・ゲートウェイ情報を入力します:
- 名前: ローカル・ピアリング・ゲートウェイの名前または説明を指定します。組織の機密情報は使用しないでください。
- コンパートメントに作成: ローカル・ピアリング・ゲートウェイを作成するコンパートメントを選択します。
- 「ルート表の関連付け(オプション)」オプションで、ルート表をローカル・ピアリング・ゲートウェイに関連付けることができます。選択したコンパートメントの構成済ルート表のリストがドロップダウン・リストに表示されます。コンパートメントを変更するには、コンパートメント名の横にある(変更)をクリックします。
  
  ローカル・ピアリング・ゲートウェイの詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の章の「ローカル・ピアリング・ゲートウェイ」を参照してください。
- タグ付け: オプションで、このリソースに1つ以上のタグを追加します。
  
  タグ付けの詳細は、「リソース・タグの操作」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
ローカル・ピアリング・ゲートウェイの作成をクリックします。

これで、ローカル・ピアリング・ゲートウェイはピアリング接続の確立およびルート・ルールまたはセキュリティ設定の追加に、VCNを接続する準備ができました。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --compartment-id-in-subtree true)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)

oci network local-peering-gateway createコマンドを実行します。

ノート:

構文(1行に入力):

oci network local-peering-gateway create \
--compartment-id <compartment_OCID> \
--vcn-id <vcn_OCID>

例:

oci network local-peering-gateway create \
 --compartment-id ocid1.compartment.….….….uniqueID \
 –-vcn-id ocid1.vcn.….….….uniqueID
 
{
  "data": {
    "compartment-id": "ocid1.compartment.….….….uniqueID",
    "defined-tags": {},
    "display-name": "localpeeringgateway20210830174050",
    "freeform-tags": {},
    "id": "ocid1.lpg.AK00661530.scasg01..….….….uniqueID",
    "is-cross-tenancy-peering": false,
    "lifecycle-state": "AVAILABLE",
    "peer-advertised-cidr": null,
    "peer-advertised-cidr-details": null,
    "peering-status": "NEW",
    "peering-status-details": null,
    "route-table-id": null,
    "time-created": "2021-08-30T17:40:50.876023+00:00",
    "vcn-id": "ocid1.vcn.….….….uniqueID"
  },
  "etag": "c98377e4-ae89-46cf-9c61-52aea68a3476"
}

動的ルーティング・ゲートウェイを使用したオンプレミス・ネットワークへの接続

動的ルーティング・ゲートウェイ(DRG) DRGは、汎用ルーターに相当するOracle Private Cloud Applianceです。 DRGは、VCNをデータ・センターのIPアドレス領域に接続するために使用されます。ルーターは、コンパートメント・レベルでVCNとは別に構成され、VCNと同じコンパートメントに存在する必要はありません(ただし、通常はそうです)。構成すると、DRGを複数のVCNにアタッチでき、物理ルーターと同様に、トラフィックが失われても、いつでもアタッチおよびデタッチできます。また、物理ルーターと同様に、VCNにアタッチされている場合でも、DRGには、トラフィックをオンプレミス・データ・センターのネットワークIPアドレス空間に誘導するルート表ルールが必要です。

動的ルーティング・ゲートウェイの作成

「コンピュートWeb UI」の使用

ナビゲーション・メニューのネットワーキングで、動的ルーティング・ゲートウェイ(DRG)をクリックします。コンパートメントで以前に構成されたDRGのリストが表示されます。動的ルーティング・ゲートウェイを作成するコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
「動的ルーティング・ゲートウェイの作成」をクリック
必要な動的ルーティング・ゲートウェイ情報を入力します:
- 名前: 動的ルーティング・ゲートウェイの名前または説明を指定します。組織の機密情報は使用しないでください。
- コンパートメントに作成: 動的ルーティング・ゲートウェイを作成するコンパートメントを選択します。
  
  動的ルーティング・ゲートウェイの詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の「動的ルーティング・ゲートウェイ」を参照してください。
- タグ付け: オプションで、このリソースに1つ以上のタグを追加します。タグ付けの詳細は、「リソース・タグの操作」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
「動的ルーティング・ゲートウェイ」をクリックします。

動的ルーティング・ゲートウェイでDRGアタッチメントを追加する準備ができました。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --compartment-id-in-subtree true)

oci network drg createコマンドを実行します。

ノート:

構文(1行に入力):

oci network drg create
--compartment-id <compartment_OCID>

例:

oci network drg create \
 --compartment-id ocid1.compartment.….….….uniqueID 
 
{
  "data": {
    "compartment-id": "ocid1.compartment.….….….uniqueID",
    "defined-tags": {},
    "display-name": "drg20210830204524",
    "freeform-tags": {},
    "id": "ocid1.drg..….….….uniqueID",
    "lifecycle-state": "AVAILABLE",
    "time-created": "2021-08-30T20:45:24.236954+00:00"
  },
  "etag": "c98377e4-ae89-46cf-9c61-52aea68a3476"
}

動的ルーティング・ゲートウェイへのVCNのアタッチ

多くのVCNをDRGに接続できますが、各VCNは1つのDRGのみをアタッチできます。ルート表とセキュリティ・リストで通信が許可されていることを確認する必要があります。

「コンピュートWeb UI」の使用

ナビゲーション・メニューのネットワーキングで、動的ルーティング・ゲートウェイをクリックします。コンパートメントで以前に構成されたDRGのリストが表示されます。動的ルーティング・ゲートウェイをアタッチしているコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
そのコンパートメントのDRGのリストで動的ルーティング・ゲートウェイ名をクリックします。
仮想クラウド・ネットワークにアタッチをクリックします。
VCNをクリックして、ドロップダウン・リストのVCNのリストからDRGをアタッチします。正しいコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
DRGにアタッチをクリックします。
プロセスを繰り返して、他のVCNをDRGにアタッチし、VCNを接続します。

動的ルーティング・ゲートウェイは、選択したVCNにアタッチされます。

最大10個のVCNをDRGに接続できますが、各VCNはアタッチできるDRGは1つのみです。ルート表とセキュリティ・リストで通信が許可されていることを確認する必要があります。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --compartment-id-in-subtree true)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)
- 動的ルーティング・ゲートウェイOCID (oci network drg-attachment --compartment-id <compartment_OCID> )

oci network drg-attachment createコマンドを実行します。

ノート:

構文(1行に入力):

oci network drg-attachment create \
--drg-id <drg_OCID> \
--vcn-id <vcn_OCID>

例:

oci network drg-attachment create \
 --drg-id ocid1.drg.….….….uniqueID \
 --vcn-id ocid1.vcn.….….….uniqueID 
 
{
 "data": {
 "compartment-id": "ocid1.compartment.….….….uniqueID",
 "display-name": "drgattachment20210902221928",
 "drg-id": "ocid1.drg.….….….uniqueID",
 "id": "ocid1.drgattachment.AK00661530.scasg01..….….….uniqueID",
 "lifecycle-state": "ATTACHING",
 "route-table-id": null,
 "time-created": "2021-09-02T22:19:28.642402+00:00",
 "vcn-id": "ocid1.vcn.….….….uniqueID
 },
 "etag": "c98377e4-ae89-46cf-9c61-52aea68a3476"
}

サービス・ゲートウェイを介したOracleサービスへのアクセス

一部のサービスは、セキュリティおよびパフォーマンスの理由から、独自のネットワーク上で分離されています。サービス・ゲートウェイ(SG)では、プライベート・サブネットのサービス・ネットワーク・サービス(オブジェクト・ストレージなど)にプライベート・アクセスできないVCNが許可されます。これらのサービスは、管理ノード・クラスタを介してインフラストラクチャ・レベルで到達します。

この機能は機能せず、互換性のために実装されます。

VCNに指定できるサービス・ゲートウェイは1つのみです。サービス・ゲートウェイは、作成されるVCNに自動的にアタッチされます。サービスはCIDRラベルを使用し、デフォルトで許可されます。

有効なサービスごとに、サービス・オブジェクトのcidrBlockをルールの宛先に、サービス・ゲートウェイをルール・ターゲットとするルート・ルールが必要です。

「コンピュートWeb UI」の使用

ナビゲーション・メニューのネットワーキングで、仮想クラウド・ネットワークをクリックします。コンパートメントで以前に構成されたVCNのリストが表示されます。サービス・ゲートウェイを作成するコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
サービス・ゲートウェイを作成するVCNをクリックします。
そのVCNのリソース・メニューで、サービス・ゲートウェイをクリックします(特定のVCNのサービス・ゲートウェイを作成する場合<、カッコ内に構成されているサービス・ゲートウェイの数はゼロ(0)である必要があります)。
Create Service Gatewayをクリック
必要なサービス・ゲートウェイ情報を入力します:
- 名前: サービス・ゲートウェイの名前または説明を指定します。組織の機密情報は使用しないでください。
- コンパートメントに作成: サービス・ゲートウェイを作成するコンパートメントを選択します。
- サービス: リストからサービスを選択します。
- ルート表の関連付け(オプション): オプションで、ルート表をサービス・ゲートウェイに関連付けることができます。選択したコンパートメントの構成済ルート表のリストがドロップダウン・リストに表示されます。コンパートメントを変更するには、コンパートメント名の横にある(変更)をクリックします。
  
  サービス・ゲートウェイの詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」章の"Service Gateways"を参照してください。
- タグ付け: オプションで、このリソースに1つ以上のタグを追加します。
  
  タグ付けの詳細は、「リソース・タグの操作」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
「サービス・ゲートウェイの作成」をクリックします。

サービス・ゲートウェイは、ルート・ルールまたはセキュリティ設定を追加する準備ができました。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --compartment-id-in-subtree true)
- VCN OCID (oci network vcn list --compartment-id <compartment_OCID>)
oci network service-gateway createコマンドを実行します。

複合データ型は、通常、--generate-full-command-json-inputオプション(この場合はoci network service-gateway create --generate-param-json-input services)を使用して処理されます。このコマンド・オプションで使用するサンプルのjsonファイルが生成されます。キー名は事前に移入され、コマンド・オプション名と一致します(compartment-idがcompartmentIdのようにcamelCase形式に変換されます)。

このコマンドの入力としてサンプル・ファイルを使用する前に、キーの値がユーザーによって編集されます。

複数の値を受け入れるコマンド・オプションの場合、キーの値はJSON配列にできます。

オプションはコマンド行でも指定できます。 JSONドキュメントとコマンドラインの両方にオプションが存在する場合、コマンドラインで指定された値が使用されます。
```
oci network service-gateway create 
--compartment-id ocid1.compartment..….….….uniqueID
--vcn-id ocid1.vcn..….….….uniqueID 
--services '[{"serviceId":"grafana"}]'

{
 "data": {
  "displayName": "servicegateway20210830204524",
  "freeform-tags": {},
  "id": "ocid1.servicegateway..….….….uniqueID",
  "maxWaitSeconds": 0,
  "routeTableId": NULL,
  "services": [
   {
   "serviceId": "grafana"
   }
   ],
  "vcnId": ""ocid1.vcn.….….….uniqueID",
  "waitForState": "PROVISIONING",
  "waitIntervalSeconds": 0
  },
 "etag": "c98377e4-ae89-46cf-9c61-52aea68a3476"
}
```

VNICおよびIPアドレス指定の構成

Oracle Private Cloud Applianceのコンピュート・ノードには、物理ネットワーク・インタフェース・カード(NIC)があります。コンピュート・インスタンスを起動すると、ネットワーキング・サービスによってNIC上に仮想NIC (VNIC)が作成され、インスタンスがネットワーク経由で通信できるようになります。各インスタンスはプライマリVNICを取得し、そのプライマリVNICはプライマリ・プライベートIPアドレスを取得します。プライマリVNICとプライマリ・プライベートIPアドレスのどちらも、インスタンスから削除できません。

サブネットでパブリックIPアドレスが許可されている場合は、オプションでパブリックIPアドレスをプライベートIPアドレスにアタッチできます。プライベートIPアドレスを使用すると、インスタンスはVCN上の他のインスタンスと通信できます。パブリックIPアドレスによって、インスタンスはデータ・センター・ネットワーク上のVCN外部のホストと通信できます。インターネット・アクセスは、データ・センター・ネットワークで許可されている内容によって異なります。「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の「プライベート・クラウドのパブリック・ネットワーク」および"IP Addressing"を参照してください。

インスタンスの起動後に、インスタンスにセカンダリVNICを追加できます。各セカンダリVNICは、プライベートIPアドレスも取得し、サブネットでパブリックIPアドレスが許可されている場合は、オプションでパブリックIPアドレスをプライベートIPアドレスにアタッチできます。「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の"仮想ネットワーク・インタフェース・カード(VNIC) "を参照してください。

セカンダリ・プライベートIPアドレスをVNICに追加でき、オプションでパブリックIPアドレスを任意のセカンダリ・プライベートIPアドレスにアタッチできます。セカンダリIPアドレスの使用方法の詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の「セカンダリ・プライベートIPについて」を参照してください。

VNICの管理

Private Cloud ApplianceでのプライマリおよびセカンダリVNICの使用方法の詳細は、『Oracle Private Cloud Appliance Concepts Guide』の「仮想ネットワークの概要」の「仮想ネットワーク・インタフェース・カード(VNIC)」を参照してください。

VNICアタッチメントの表示

「コンピュートWeb UI」を使用すると、特定のインスタンスのVNICアタッチメントのみを表示できます。 OCI CLIを使用すると、コンパートメント内のすべてのVNICアタッチメントを表示でき、リストをインスタンスまたはVNICでフィルタできます。

「コンピュートWeb UI」の使用

ダッシュボードで、「コンピュート/インスタンスの表示」ボタンをクリックします。
VNICアタッチメントを表示するインスタンスの名前をクリックします。必要なインスタンスを見つけるには、コンパートメントの変更が必要になる場合があります。
インスタンスの詳細ページのリソース・ボックスで、アタッチされたVNICをクリックします。

そのインスタンスにアタッチされているVNICのリストが表示されます。

OCI CLIの使用

コマンドの実行に必要な情報を取得します。
- コンパートメント内のすべてのVNICアタッチメントをリストするには、コンパートメントのOCIDを取得: oci iam compartment list
- 特定のインスタンスに対してのみVNICアタッチメントをリストするには、そのインスタンスのOCIDを取得: oci compute instance list
- 特定のVNICのみのVNICアタッチメントをリストするには、そのVNICのOCIDを取得: oci compute instance list-vnics

VNICアタッチメント・リスト・コマンドを実行します。

構文:

oci compute vnic-attachment list --compartment-id compartment_OCID

例:

次の例では、指定されたコンパートメント内のすべてのインスタンスのすべてのVNICアタッチメントをリストします:

$ oci compute vnic-attachment list --compartment-id ocid1.compartment.uniqueID
{
  "data": [
    {
      "availability-domain": "ad1",
      "compartment-id": "ocid1.compartment.uniqueID",
      "display-name": "Ainstance",
      "id": "ocid1.vnicattachment.uniqueID",
      "instance-id": "ocid1.instance.uniqueID",
      "lifecycle-state": "ATTACHED",
      "nic-index": 0,
      "subnet-id": "ocid1.subnet.uniqueID",
      "time-created": "2022-05-09T15:17:39.398551+00:00",
      "vlan-id": null,
      "vlan-tag": 0,
      "vnic-id": "ocid1.vnic.uniqueID"
    },
...
  ]
}

次の例では、指定したインスタンスのVNICアタッチメントをリストします:

$ oci compute vnic-attachment list --compartment-id ocid1.compartment.uniqueID \
--instance-id ocid1.instance.uniqueID

次の例では、指定されたVNICのVNICアタッチメントをリストします:

$ oci compute vnic-attachment list --compartment-id ocid1.compartment.uniqueID \
--vnic-id ocid1.vnic.uniqueID

VNICの表示

リソース・タグ、ホスト名ラベル、MACアドレス、NSG、プライベートおよびパブリックIPアドレス、このVNICがプライマリまたはセカンダリVNICかどうか、およびソース/宛先チェックがスキップされているかどうかなど、VNICの詳細を表示するには、次の手順を使用します。

「コンピュートWeb UI」の使用

ダッシュボードで、「コンピュート/インスタンスの表示」ボタンをクリックします。
VNICアタッチメントを表示するインスタンスの名前をクリックします。必要なインスタンスを見つけるには、コンパートメントの変更が必要になる場合があります。
インスタンスの詳細ページで、リソース・セクションまでスクロールし、アタッチされたVNICをクリックします。

このインスタンスにアタッチされているVNICのリストが表示されます。
アタッチされたVNICの名前をクリックして、VNICの詳細ページを表示します。

OCI CLIの使用

コマンドの実行に必要な情報を取得します。
- コンパートメント内のすべてのVNICをリストするには、コンパートメントのOCIDを取得: oci iam compartment list
- 特定のインスタンスにアタッチされているすべてのVNICをリストするには、そのインスタンスのOCIDを取得: oci compute instance list

VNIC listコマンドを実行します。

構文:

oci compute instance list-vnics \
{--compartment-id compartment_OCID | --instance-id instance_OCID}

例:

次の例では、指定されたコンパートメント内のすべてのインスタンスのすべてのVNICをリストします:

oci compute instance list-vnics --compartment-id ocid1.compartment.uniqueID

{
  "data": [
    {
      "availability-domain": "ad1",
      "compartment-id": "ocid1.compartment.uniqueID",
      "defined-tags": {
        "Oracle-Tags": {
          "CreatedBy": "flast",
          "CreatedOn": "2022-06-07T16:09:47.05Z"
        }
      },
      "display-name": "Ainstance",
      "freeform-tags": {},
      "hostname-label": "ainstance",
      "id": "ocid1.vnic.uniqueID",
      "is-primary": true,
      "lifecycle-state": "AVAILABLE",
      "mac-address": "MACaddress",
      "nsg-ids": [
        "ocid1.networksecuritygroup.uniqueID"
      ],
      "private-ip": "privateIP",
      "public-ip": "publicIP",
      "skip-source-dest-check": false,
      "subnet-id": "ocid1.subnet.uniqueID",
      "time-created": "2022-06-07T16:09:59.813530+00:00",
      "vlan-id": null
    },
...
  ]
}

次の例では、指定されたインスタンスのVNICをリストします:

$ oci compute instance list-vnics --instance-id ocid1.instance.uniqueID

特定のVNICの詳細を表示するには、VNIC getコマンドを使用します。

list-vnicsコマンドを使用して、VNIC OCIDを取得します。
```
$ oci network vnic get --vnic-id ocid1.vnic.uniqueID
```

セカンダリVNICの作成およびアタッチ

インスタンスに追加できるセカンダリVNICの数は、「Oracle Private Cloud Appliance概要ガイド」の「コンピュート・インスタンスの概念」の「コンピュート・シェイプ」に示すように、インスタンスのシェイプによって異なります。

次のPrivate Cloud Applianceプロシージャを実行した後、インスタンスにログオンして、新しいインタフェースを使用するようにインスタンスOSを構成します。「セカンダリVNICのインスタンスOSの構成」を参照してください。

「コンピュートWeb UI」の使用

ダッシュボードで、「コンピュート/インスタンスの表示」ボタンをクリックします。
セカンダリVNICを追加するインスタンスの名前をクリックします。必要なインスタンスを見つけるには、コンパートメントの変更が必要になる場合があります。
インスタンスの詳細ページのリソース・ボックスで、アタッチされたVNICをクリックします。

インスタンスにアタッチされているプライマリVNICおよびすべてのセカンダリVNICが表示されます。
VNICアタッチメントの作成ボタンをクリックします。
「VNICアタッチメントの作成」ダイアログ・ボックスのサブネット・セクションで、VNICに使用するサブネットを指定します。必要なVCNおよびサブネットを検索するには、別のコンパートメントを選択する必要がある場合があります。

このインスタンスの別のVNICに指定されているこのVNICに同じサブネットを指定すると、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の「仮想ネットワーク・インタフェース・カード(VNIC)」の説明に従って非対称ルーティングを導入できます。

このインスタンスの既存のVNICと同じサブネットにVNICを作成するかわりに、このサブネットにある既存のVNICのセカンダリ・プライベートIPアドレスを作成することを検討してください。「セカンダリ・プライベートIPアドレスの割当て」を参照してください。
ソース/宛先チェックを無効にするかどうかを指定します。

デフォルトでは、VNICは、各ネットワーク・パケットのヘッダーにリストされているソースと宛先を確認します。 VNICが送信元または送信先でない場合、パケットは削除されます。

VNICがトラフィックを転送する必要がある場合(たとえば、VNICがネットワーク・アドレス変換を実行する必要がある場合)、このソース/宛先チェックを無効にするボックスを選択します。
パブリック・サブネットを選択した場合は、パブリックIPv4アドレス・オブジェクトをVNICプライベートIPアドレス・オブジェクトに自動的に割り当てるかどうかを指定できます。
(オプション)次のプライベートIP情報を指定します。
- プライベートIPアドレスサブネットに割り当てられ、まだ使用されていないCIDRブロック範囲内のアドレス。アドレスを入力しないと、IPアドレスが自動的に割り当てられます。
- ホスト名クラウド・ネットワーク内でDNSに使用されるホスト名。このオプションは、VCNとサブネットの両方にDNSラベルがある場合にのみ使用できます。ホスト名は、最大63文字の文字、数字、およびハイフンを使用できます。空白は使用できません。
(オプション)このVNICをNSGに追加します。

デフォルトでは、新しいVNICはどのNSGにもアタッチされていません。ネットワーク・セキュリティ・グループの有効化というラベルのボックスにチェックマークを入れ、このVNICを1つ以上のNSGに追加します。
1. ドロップダウン・リストからNSGを選択します。必要なNSGを見つけるためにコンパートメントを変更する必要がある場合があります。
2. 別のNSGにアタッチする場合は、別のNSGの追加ボタンをクリックします。
3. リストからNSGを削除するには、そのNSGの右側にあるごみ箱をクリックします。最後のNSGまたはすべてのNSGを削除するには、ネットワーク・セキュリティ・グループの有効化ボックスの選択を解除します。
NSGの詳細は、「ネットワーク・セキュリティ・グループを使用したトラフィックの制御」を参照してください。
ダイアログで添付の作成ボタンをクリックします。セカンダリVNICが作成され、インスタンスのアタッチされたVNICリストに表示されます。
セカンダリVNICを使用するようにインスタンスOSを構成します。「セカンダリVNICのインスタンスOSの構成」を参照してください。

OCI CLIの使用

コマンドの実行に必要な情報を取得します:
- インスタンスOCID: oci compute instance list
- サブネットOCID: oci network subnet list
  
  このインスタンスの別のVNICに指定されているこのVNICに同じサブネットを指定すると、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の「仮想ネットワーク・インタフェース・カード(VNIC)」の説明に従って非対称ルーティングを導入できます。
  
  このインスタンスの既存のVNICと同じサブネットにVNICを作成するかわりに、このサブネットにある既存のVNICのセカンダリ・プライベートIPアドレスを作成することを検討してください。「セカンダリ・プライベートIPアドレスの割当て」を参照してください。
ソース/宛先チェックを無効にするオプション・パラメータのリストを確認し、プライベートIPアドレスの明示的な指定、パブリックIPアドレスの割当て、ホスト名の指定、ネットワーク・セキュリティ・グループへのアタッチまたは表示名の割当てを行います。
```
oci compute instance attach-vnic -h
```
次のコマンドを使用して、アタッチされたNSGのリストを指定するために使用するJSON形式を表示します:
```
oci compute instance attach-vnic --generate-param-json-input nsg-ids
```

VNICアタッチ・コマンドを実行します。

構文:

oci compute instance attach-vnic --instance-id instance_OCID \
--subnet-id subnet_OCID

例:

この例では、新しくアタッチされたVNICはパブリックIPアドレスと表示名を取得し、1つ以上のNSGにアタッチされます。

$ oci compute instance attach-vnic --instance-id ocid1.instance.unique_ID \
--subnet-id ocid1.subnet.unique_ID --assign-public-ip true \
--nsg-ids file://./InstABC-nsgs.json --vnic-display-name "InstABC-Secondary-VNIC"

成功すると、attach-vnicコマンドに出力はありません。セカンダリVNICがアタッチされていることを確認するには、インスタンスのVNICをリストします。アタッチされた新しいセカンダリVNICは非プライマリVNICです(is-primaryプロパティの値はfalseです)。

$ oci compute instance list-vnics --instance-id ocid1.instance.unique_ID
{
  "data": [
    {
      ...
      "display-name": "InstABC-VNIC",
      ...
      "id": "ocid1.vnic.unique_ID",
      "is-primary": true,
      ...
      "time-created": "2022-06-22T22:24:31.853538+00:00",
      ...
    },
    {
      ...
      "display-name": "InstABC-Secondary-VNIC",
      ...
      "id": "ocid1.vnic.unique_ID",
      "is-primary": false,
      ...
      "nsg-ids": [
        "ocid1.networksecuritygroup.unique_ID"
      ],
      ...
      "public-ip": "publicIP",
      ...
      "time-created": "2022-06-29T18:28:44.355805+00:00",
      ...
    }
  ]
}

セカンダリVNICを使用するようにインスタンスOSを構成します。「セカンダリVNICのインスタンスOSの構成」を参照してください。

セカンダリVNICのインスタンスOSの構成

「セカンダリVNICの作成およびアタッチ」の説明に従ってセカンダリVNICを作成した後、インスタンスにログインし、新しいVNICを使用するようにインスタンスOSを構成します。

LinuxおよびMicrosoft Windowsでは、Oracleによって提供されるスクリプトを使用できます。 Oracleスクリプトは、インスタンス・メタデータからの情報を使用します。 VNICデータの表示方法など、インスタンスOSでそのデータを表示する手順については、「インスタンス内からのインスタンス・メタデータの取得」を参照してください。

LinuxインスタンスのOS構成

インスタンスOSの手動構成

物理NICには、ifdownおよびifupコマンドを使用します。リブート後もこの構成を維持するには、/etc/sysconfig/network-scriptsに構成ファイルを作成します。

VNICを追加するには、構成ファイルを追加し、ifupを使用します。

VNICを削除するには、ifdownを使用して構成ファイルを削除します。

Oracleスクリプトの使用

https://docs.oracle.com/en-us/iaas/Content/Resources/Assets/secondary_vnic_all_configure.shからOracleスクリプトをダウンロードできます。スクリプトがポリシーベースのルーティングを構成することに注意してください: インスタンスOSの2つの異なるルート表に2つのデフォルト・ルートがあります。ポリシーベースのルーティングでは、パケットがセカンダリVNICのプライマリIPアドレスから取得される場合、非対称ルーティングの問題がなくても、任意の場所からすべてのプライマリ・プライベートIPアドレスを使用できます。アプリケーションは、セカンダリVNICを介してVNICサブネット外のホストと通信できます。このような構成は必要ない場合があります。たとえば、セカンダリVNICを使用してVNICの直接アタッチされたサブネットのデバイスと通信する場合、前の手順で説明した/etc/sysconfig/network-scriptsメソッドを使用して、IPおよびルートをセカンダリVNICに追加できます。

スクリプトによって実行される構成は、リブート後も維持されません。 VNICを追加または削除したり、インスタンスを再起動するたびにスクリプトを実行します。

このスクリプトで最も一般的に使用されるオプションは次のとおりです:

-cインスタンス・メタデータを使用して、構成されていないVNICのIP構成を追加し、プロビジョニングされなくなったVNICの構成を削除します。
-sすべてのプロビジョニングおよびインタフェース構成に関する情報を表示します。これは、オプションを指定しない場合のデフォルトの動作です。
-hスクリプトの使用方法に関する情報を表示します。

構成しているセカンダリVNICにすでにセカンダリ・プライベートIPアドレスがある場合は、このOracleスクリプトを-eオプションとともに使用して、セカンダリIPアドレスを構成します。インスタンス・メタデータには、セカンダリIPアドレスに関する情報は含まれません。コマンドラインでIPアドレスとVNIC OCIDを指定する必要があります。「セカンダリIPアドレスのインスタンスOSの構成」も参照してください。

Oracle SolarisインスタンスOS構成

ipadmコマンドを使用して、ネットワーク・インタフェースを永続的に構成します。

Microsoft WindowsインスタンスOS構成

インスタンスOSの手動構成

設定を開き、ネットワーク・アダプタを開きます。

Oracleスクリプトの使用

https://docs.oracle.com/en-us/iaas/Content/Resources/Assets/secondary_vnic_windows_configure.ps1からOracle-provided PowerShellスクリプトをダウンロードできます。

スクリプトを実行するときに、オプションで、構成するセカンダリVNICのOCIDを指定できます。インスタンス・メタデータからVNIC OCIDを取得する方法の詳細は、「インスタンス内からのインスタンス・メタデータの取得」を参照してください。

.\secondary_vnic_windows_configure.ps1 "ocid1.vnic.unique_ID"

構成するVNICのOCIDを入力しない場合、スクリプトにはインスタンス上のセカンダリVNICのリストが表示され、構成するVNICの選択が求められます。

このスクリプトにより、次のことが実行されます。

ネットワーク・インタフェースにIPアドレスとデフォルト・ルートがあるかどうかをチェックします。
OSがセカンダリVNICを使用できるようにするために、スクリプトはIPアドレスおよびデフォルト・ルートを静的設定で上書きします。これらのアクションによって、DHCPが事実上無効になります。スクリプトによって、静的設定で上書きするか終了するかを確認するプロンプトが表示されます。

VNICの更新中

VNIC名、ホスト名、およびソース/宛先チェックを無効にするかどうかを更新できます。 VNICをNSGに追加し、VNICをNSGから削除できます。

「コンピュートWeb UI」編集オプションの使用

NSGの追加または削除のみを行う場合は、「コンピュートWeb UIを使用したNSGのみの更新」を参照してください。

ダッシュボードで、「コンピュート/インスタンスの表示」ボタンをクリックします。
VNICを更新するインスタンスの名前をクリックします。必要なインスタンスを見つけるには、コンパートメントの変更が必要になる場合があります。
インスタンスの詳細ページのリソース・ボックスで、アタッチされたVNICをクリックします。

そのインスタンスにアタッチされているVNICのリストが表示されます。
更新するVNICについて、アクション・メニューをクリックし、編集をクリックします。
「VNICの更新」ダイアログで、VNIC名、ホスト名、ソース/宛先チェックを無効にするかどうか、またはこのVNICをNSGにアタッチするか、このVNICをNSGからデタッチするかを更新します。

スキップ・ソース/宛先チェックの選択の詳細は、「セカンダリVNICの作成およびアタッチ」を参照してください。

ネットワーク・セキュリティ・グループの有効化ボックスをオフからチェック・ボックスに変更する場合は、ドロップダウン・リストからNSGを選択する必要があります。必要なNSGを見つけるためにコンパートメントを変更する必要がある場合があります。

ネットワーク・セキュリティ・グループの有効化ボックスにすでにチェックマークが入っている場合は、別のNSGの追加ボタンをクリックして別のNSGにアタッチできます。

複数のNSGがすでにリストされている場合は、既存のNSGの横にあるごみ箱をクリックして、このVNICをそのNSGからデタッチできます。最後のNSGまたはすべてのNSGをデタッチするには、ネットワーク・セキュリティ・グループの有効化ボックスの選択を解除します。

NSGの詳細は、「ネットワーク・セキュリティ・グループを使用したトラフィックの制御」を参照してください。
ダイアログでVNICの更新ボタンをクリックします。

「コンピュートWeb UI」を使用したNSGのみの更新

前の手順のステップに従って、インスタンスにアタッチされたVNICのリストを表示します。

NSGを変更するVNICの名前をクリックします。
VNICの詳細ページで、リソース・セクションまでスクロールし、ネットワーク・セキュリティ・グループをクリックします。
Update Network Security Groupsボタンをクリックします。
VNICのネットワーク・セキュリティ・グループの更新ダイアログで、このVNICをNSGにアタッチするか、このVNICをNSGからデタッチします。

ネットワーク・セキュリティ・グループの有効化ボックスをオフからチェック・ボックスに変更する場合は、ドロップダウン・リストからNSGを選択する必要があります。必要なNSGを見つけるためにコンパートメントを変更する必要がある場合があります。

ネットワーク・セキュリティ・グループの有効化ボックスにすでにチェックマークが入っている場合は、別のNSGの追加ボタンをクリックして別のNSGにアタッチできます。

複数のNSGがすでにリストされている場合は、既存のNSGの右側にあるごみ箱をクリックして、このVNICをそのNSGからデタッチできます。最後のNSGまたはすべてのNSGをデタッチするには、ネットワーク・セキュリティ・グループの有効化ボックスの選択を解除します。
ダイアログのVNICのネットワーク・セキュリティ・グループの更新ボタンをクリックします。
NSGからVNICをデタッチする別の方法は、デタッチ・メニュー・オプションを使用することです。
1. VNICの詳細ページで、リソース・セクションまでスクロールし、ネットワーク・セキュリティ・グループをクリックします。
2. ネットワーク・セキュリティ・グループ・リストで、デタッチするNSGについて、アクション・メニューをクリックし、デタッチをクリックします。

OCI CLIの使用

次のいずれかのコマンドを使用して、更新するVNICのOCIDを取得します:
```
oci compute instance list-vnics
oci compute vnic-attachment list
```
VNIC名またはホスト名ラベルの更新に使用するオプション・パラメータのリストを確認し、ソース/宛先チェックを無効にするか、NSGをアタッチまたはデタッチするかを変更します。
```
oci network vnic update -h
```
次のコマンドを使用して、アタッチされたNSGのリストの置換に使用するJSON形式を表示します:
```
oci network vnic update --generate-param-json-input nsg-ids
```

VNIC更新コマンドを実行します。

構文:

oci network vnic update --vnic-id vnic_OCID

例:

この例では、ソース/宛先チェックが無効になり、アタッチされたNSGのリストが置換されます。

$ oci network vnic update --vnic-id ocid1.vnic.unique_ID \
--nsg-ids '["ocid1.networksecuritygroup.unique_ID"]' \
--skip-source-dest-check true
{
  "data": {
    "availability-domain": "ad1",
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {
      "Oracle-Tags": {
        "CreatedBy": "flast",
        "CreatedOn": "2022-06-28T23:08:55.06Z"
      }
    },
    "display-name": "A2instance",
    "freeform-tags": {},
    "hostname-label": "a2instance",
    "id": "ocid1.vnic.unique_ID",
    "is-primary": false,
    "lifecycle-state": "AVAILABLE",
    "mac-address": "MACaddress",
    "nsg-ids": [
      "ocid1.networksecuritygroup.unique_ID"
    ],
    "private-ip": "privateIP",
    "public-ip": "publicIP",
    "skip-source-dest-check": true,
    "subnet-id": "ocid1.subnet.unique_ID",
    "time-created": "2022-06-28T23:08:55.960950+00:00",
    "vlan-id": null
  },
  "etag": "67fe1002-e72f-4cd5-9200-ea4b5721db39"
}

初期コマンド出力にNSG更新が表示されない場合があります。更新が表示されない場合は、network vnic getコマンドを使用してVNIC構成を再確認してください。

セカンダリVNICの削除

この操作は、指定されたセカンダリVNICをデタッチして削除します。インスタンスのプライマリVNICは削除できません。インスタンスを終了すると、アタッチされたすべてのVNIC(プライマリおよびセカンダリ)は自動的にデタッチされて削除されます。

「コンピュートWeb UI」の使用

ダッシュボードで、「コンピュート/インスタンスの表示」ボタンをクリックします。
VNICを削除するインスタンスの名前をクリックします。必要なインスタンスを見つけるには、コンパートメントの変更が必要になる場合があります。
インスタンスの詳細ページのリソース・ボックスで、アタッチされたVNICをクリックします。

そのインスタンスにアタッチされているVNICのリストが表示されます。
削除するVNICについて、アクション・メニューをクリックし、削除をクリックします。
ダイアログの確認ボタンをクリックします。

VNICの状態がデタッチ済に変わります。数秒後、VNICがリストから削除されます。
インスタンスにログオンし、インスタンスOSからIPアドレスの構成を削除します。

VNICを追加したときに実行した構成を元に戻します。「セカンダリVNICのインスタンスOSの構成」を参照してください。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID: oci iam compartment list
- VNIC OCID: oci compute vnic-attachment list

インスタンスdetach VNICコマンドを実行します。

$ oci compute instance detach-vnic \
--compartment-id ocid1.compartment.unique_ID \
--vnic-id ocid1.vnic.unique_ID
Are you sure you want to delete this resource? [y/N]: y

--forceオプションを使用すると、確認を抑制できます。

インスタンスにログオンし、インスタンスOSからIPアドレスの構成を削除します。

VNICを追加したときに実行した構成を元に戻します。「セカンダリVNICのインスタンスOSの構成」を参照してください。

IPアドレスの管理

プライベートIPアドレスを使用すると、VCN上のリソースとの通信が可能になります。パブリックIPアドレスは、ルート・ルール、セキュリティ・ルールおよびゲートウェイとともに、データ・センター・ネットワークを含むVCN外部の通信を可能にします。

インスタンスがVCNの外部と通信するには、次のすべてが必要です:

インスタンスは、サブネットの作成時に構成されるパブリック・サブネットに存在する必要があります。プライベート・サブネットは、サブネットのインスタンスにパブリックIPアドレスを割り当てることはできません。
インスタンスにはパブリックIPアドレスが必要です。
インスタンスVCNには、インターネット・ゲートウェイが構成されている必要があります。
パブリック・サブネットには、VCN外部での通信を可能にするルート表およびセキュリティ・リストのエントリが必要です。

ルート・ルール、セキュリティ・ルールおよびゲートウェイの詳細は、「VCNルールおよびオプションの構成」および「VCNゲートウェイの構成」を参照してください。概念の詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の"IP Addressing"を参照してください。

プライベートIPアドレスの表示

「コンピュートWeb UI」を使用すると、特定のインスタンスのプライベートIPアドレスおよびパブリックIPアドレスを表示できます。

OCI CLIを使用すると、テナンシ内、または指定したサブネットまたはVNIC内のすべてのプライベートIPアドレス・オブジェクトをリストできます。 IPアドレスを指定して、単一のプライベートIPアドレス・オブジェクトをリストすることもできます。

「コンピュートWeb UI」の使用

ダッシュボードで、「コンピュート/インスタンスの表示」ボタンをクリックします。
プライベートIPアドレスを表示するインスタンスの名前をクリックします。必要なインスタンスを見つけるには、コンパートメントの変更が必要になる場合があります。
インスタンスの詳細ページで、ネットワーキング情報またはVNIC情報を表示します。
- Networkingタブをクリックします。プライマリ・プライベートIPアドレスおよびアタッチされたパブリックIPアドレスが、インスタンス・アクセス列に表示されます。
- リソース・セクションまでスクロールし、アタッチされたVNICをクリックします。 IPアドレスを表示するVNICの名前をクリックします。
  
  VNICの詳細ページで、リソース・セクションまでスクロールし、IPアドレスをクリックします。次の表に、プライマリ・プライベートIPアドレスとセカンダリ・プライベートIPアドレス、およびアタッチされたパブリックIPアドレスを示します。

OCI CLIの使用

コマンドの実行に必要な情報を取得します:
- サブネットOCID: oci network subnet list
- VNIC OCID: oci compute instance list-vnics

コマンドを実行して、プライベートIPアドレス・オブジェクトをリストします。

構文:

oci network private-ip list

例:

テナンシ内のすべてのプライベートIPアドレス・オブジェクトをリストします:

$ oci network private-ip list
{
  "data": [
    {
      "availability-domain": "ad1",
      "compartment-id": "ocid1.compartment.unique_ID",
      "defined-tags": {},
      "display-name": "privateip20220705090302",
      "freeform-tags": {},
      "hostname-label": "ol8instance",
      "id": "ocid1.privateip.unique_ID",
      "ip-address": "IPaddress",
      "is-primary": true,
      "subnet-id": "ocid1.subnet.unique_ID",
      "time-created": "2022-07-05T09:03:02.025808+00:00",
      "vlan-id": null,
      "vnic-id": "ocid1.vnic.unique_ID"
    },
...
  ]
}

指定されたサブネット内のすべてのプライベートIPアドレス・オブジェクトをリストします:

$ oci network private-ip list --subnet-id ocid1.subnet.unique_ID

指定されたVNIC内のすべてのプライベートIPアドレス・オブジェクトをリストします:

$ oci network private-ip list --vnic-id ocid1.vnic.unique_ID

指定されたIPアドレスを持つプライベートIPアドレス・オブジェクトをリストします:

$ oci network private-ip list --ip-address IPaddress

前述のlistコマンドの出力は、次のgetコマンドの出力と同じです:

$ oci network private-ip get --private-ip-id ocid1.privateip.unique_ID

「コンピュートWeb UI」インスタンス情報と同様に、instance list-vnicsコマンドは各VNIC内の各プライベートおよびパブリックIPアドレスを表示します。このコマンドでは、OCIDsやIPアドレス・オブジェクトに関するその他の情報は表示されません。「VNICの表示」を参照してください。

セカンダリ・プライベートIPアドレスの割当て

インスタンスを作成すると、インスタンスは自動的にVNICを取得し、VNICは自動的にプライマリ・プライベートIPアドレスを取得します。 VNICにセカンダリ・プライベートIPアドレスを追加できます。 VNICは最大32個のプライベートIPアドレスを持つことができます: 1つのプライマリ・プライベートIPアドレスと、最大31のセカンダリ・プライベートIPアドレス。

同じインスタンスの別のVNICと同じサブネットにVNICを作成すると、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の「仮想ネットワーク・インタフェース・カード(VNIC)」で説明されている非対称ルーティングが発生する可能性があります。かわりに、目的のサブネットにある既存のVNICのセカンダリ・プライベートIPアドレスを作成できます。

「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の"IP Addressing"にあるセカンダリ・プライベートIPアドレス(ユースケースを含む)に関する情報を参照してください。

次のPrivate Cloud Applianceプロシージャを実行してセカンダリ・プライベートIPアドレスを割り当てた後、インスタンスにログインし、新しいIPアドレスを使用するようにインスタンスOSを構成します。「セカンダリIPアドレスのインスタンスOSの構成」を参照してください。

セカンダリIPアドレスの移動

セカンダリ・プライベートIPアドレスの追加に加えて、この手順を使用して、現在割り当てられているセカンダリ・プライベートIPアドレスを別のVNICに再割当て(移動)できます。 VNICは、セカンダリ・プライベートIPアドレスが現在割り当てられているVNICと同じサブネットにある必要があるため、新しいVNICはおそらく別のインスタンスにアタッチされています。前述のように、同じインスタンス内に同じサブネットに2つのVNICがあると、非対称ルーティングが発生する可能性があります。

セカンダリ・プライベートIPアドレスを移動するには、割り当てられている場合は割当て解除、次の手順の--unassign-if-already-assignedオプションを参照してください。

VNICプライマリ・プライベートIPアドレスは移動できません。

パブリックIPアドレス・オブジェクトがセカンダリ・プライベートIPアドレス・オブジェクトに割り当てられ、そのセカンダリ・プライベートIPアドレス・オブジェクトを別のVNICに移動すると、パブリックIPアドレス・オブジェクトも一緒に移動します。

「コンピュートWeb UI」の使用

ダッシュボードで、「コンピュート/インスタンスの表示」ボタンをクリックします。
セカンダリ・プライベートIPアドレスを追加するインスタンスの名前をクリックします。必要なインスタンスを見つけるには、コンパートメントの変更が必要になる場合があります。
インスタンスの詳細ページで、リソース・セクションまでスクロールし、アタッチされたVNICをクリックします。

インスタンスにアタッチされているプライマリVNICおよびすべてのセカンダリVNICが表示されます。
セカンダリ・プライベートIPアドレスを追加するアタッチされたVNICの名前をクリックします。
VNICの詳細ページで、リソース・セクションまでスクロールし、IPアドレスをクリックします。
セカンダリ・プライベートIPアドレスの割当てボタンをクリックします。
「プライベートIPのアタッチ」ダイアログでは、すべての入力フィールドはオプションです。
- IPアドレス: アドレスを入力しない場合、サブネットCIDRのIPアドレスが自動的に割り当てられます。
  
  アドレスを入力する場合、IPアドレスはサブネットのCIDRブロック内にある必要があります。サブネット内の別のVNICにすでに割り当てられているセカンダリ・プライベートIPアドレスを入力できます。プライマリ・プライベートIPアドレスは入力できません。
  
  すでに割り当てられているIPアドレスを入力する場合は、次のオプションを参照してください。
- 割当済の場合は割当解除: 前のオプションで、すでに割り当てられているセカンダリ・プライベートIPアドレスを入力した場合は、このボタンをチェックして、そのプライベートIPアドレスを引っ越しします。アドレスは、現在割り当てられ、このVNICに再割当てされているVNICから割当て解除されます。
  
  すでに割り当てられているIPアドレスを入力したが、このボタンを選択しない場合、このセカンダリ・プライベートIPの割当て操作は失敗します。
- ホスト名: クラウド・ネットワーク内のDNSに使用するホスト名を入力します。このオプションは、VCNとサブネットの両方にDNSラベルがある場合にのみ使用できます。
ダイアログでIPアドレスのアタッチ・ボタンをクリックします。

次の表に、新しいセカンダリ・プライベートIPアドレスを示します。
インスタンスで新しいセカンダリ・プライベートIPアドレスを構成します。「セカンダリIPアドレスのインスタンスOSの構成」を参照してください

OCI CLIの使用

このセカンダリ・プライベートIPアドレスを割り当てるVNICのOCIDを取得: oci compute instance list-vnics

プライベートIPの割当てコマンドを実行します。

構文:

oci network vnic assign-private-ip --vnic-id vnic_OCID

例:

$ oci network vnic assign-private-ip --vnic-id ocid1.vnic.unique_ID
{
  "data": {
    "availability-domain": "ad1",
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "privateip20220707213054",
    "freeform-tags": {},
    "hostname-label": null,
    "id": "ocid1.privateip.unique_ID",
    "ip-address": "IPaddress",
    "is-primary": false,
    "subnet-id": "ocid1.subnet.unique_ID",
    "time-created": "2022-07-07T21:30:54.305936+00:00",
    "vlan-id": null,
    "vnic-id": "ocid1.vnic.unique_ID"
  },
  "etag": "756b973a-c76e-4151-92ad-24fa265c8289"
}

次の例では、既存のプライベートIPアドレスが別のVNICに移動されます:

$ oci network vnic assign-private-ip --vnic-id ocid1.vnic.unique_ID \
--ip-address IPaddress --unassign-if-already-assigned

インスタンスで新しいセカンダリ・プライベートIPアドレスを構成します。「セカンダリIPアドレスのインスタンスOSの構成」を参照してください。

セカンダリIPアドレスのインスタンスOSの構成

「セカンダリ・プライベートIPアドレスの割当て」の説明に従ってVNICにセカンダリ・プライベートIPアドレスを作成した後、インスタンスにログインし、新しいIPアドレスを使用するようにインスタンスOSを構成します。

LinuxインスタンスのOS構成

インスタンスOSの手動構成

この構成では、既存のNICから完全に独立したIPアドレス・サブネット、ネットマスク、ゲートウェイおよびDNSサービスを使用できます。この構成は、リブート後も保持されます。

新しいネットワーク・インタフェース構成ファイルを作成して、既存のNICにサブインタフェースを作成します。この例では、ens03は既存のNICの名前で、ifcfg-ens3:0は新しい構成ファイルの名前です。

/etc/sysconfig/network-scripts/ディレクトリにネットワーク構成ファイルifcfg-ens3:0を作成し、既存のens3 NICに最初のサブインタフェース(:0)を作成します。

ifcfg-ens3:0に次のエントリを含めます :
```
TYPE=Ethernet
BOOTPROTO=none
IPADDR=a.b.c.d
PREFIX=24
GATEWAY=
DNS=
NAME=ens3:0
DEVICE=ens3:0
```
この新しいサブインタフェースに適切なIPADDR, PREFIX, GATEWAYおよびDNSエントリを含めます。
次のコマンドを実行して、新しいインタフェースを起動します:
```
# ifup ens3:0
```
次のコマンドを実行して、新しいインタフェースが動作していることを確認します:
```
# ifconfig -a
```

「Linux: セカンダリIPアドレスの詳細」も参照してください。

Oracleスクリプトの使用

Oracleスクリプトは、セカンダリVNIC上のセカンダリIPアドレスのみを構成できます。プライマリVNICでセカンダリIPアドレスを構成するには、前の手順で説明した/etc/sysconfig/network-scripts/メソッドを使用します。 https://docs.oracle.com/en-us/iaas/Content/Resources/Assets/secondary_vnic_all_configure.shからOracleスクリプトをダウンロードできます。

このスクリプトを使用してセカンダリVNICにセカンダリ・プライベートIPアドレスを構成するには、次に示すように-eオプションを使用します。インスタンス・メタデータには、セカンダリIPアドレスに関する情報は含まれません。コマンドラインでIPアドレスとVNIC OCIDを指定する必要があります。

$ secondary_vnic_all_configure.sh -e IP_address VNIC_OCID

スクリプトによって実行される構成は、リブート後も維持されません。新しいセカンダリ・プライベートIPアドレスを追加するかインスタンスを再起動するたびに、スクリプトを実行します。セカンダリIPアドレスが複数ある場合は、前述の手動手順の説明に従って構成ファイルを作成することを検討してください。

Oracle SolarisインスタンスOS構成

ipadmコマンドを使用して、ネットワーク・インタフェースを永続的に構成します。

Microsoft WindowsインスタンスOS構成

次のいずれかを行う方法の詳細は、「ウィンドウ : セカンダリIPアドレスの詳細」を参照してください:

PowerShellスクリプトを作成します。
ネットワークと共有センターのUIを使用します。

セカンダリ・プライベートIPアドレスの更新

VNICプライマリ・プライベートIPアドレスは更新できません。

セカンダリ・プライベートIPアドレス・オブジェクトのホスト名を更新できます。 IPアドレスを変更するには、「セカンダリ・プライベートIPアドレスの削除」の説明に従ってセカンダリ・プライベートIPアドレス・オブジェクトを削除し、使用するIPアドレスを明示的に指定して、「セカンダリ・プライベートIPアドレスの割当て」の説明に従って新しいプライベートIPアドレス・オブジェクトを作成します。

VNICのプライマリ・プライベートIPのホスト名を更新するには、VNICを更新します。「VNICの更新中」を参照してください。

「コンピュートWeb UI」の使用

ダッシュボードで、「コンピュート/インスタンスの表示」ボタンをクリックします。
更新するセカンダリ・プライベートIPアドレス・オブジェクトがあるインスタンスの名前をクリックします。必要なインスタンスを見つけるには、コンパートメントの変更が必要になる場合があります。
インスタンスの詳細ページで、リソース・セクションまでスクロールし、アタッチされたVNICをクリックします。

インスタンスにアタッチされているプライマリVNICおよびすべてのセカンダリVNICが表示されます。
更新するセカンダリ・プライベートIPアドレス・オブジェクトがあるアタッチされたVNICの名前をクリックします。
VNICの詳細ページで、リソース・セクションまでスクロールし、IPアドレスをクリックします。
更新するセカンダリ・プライベートIPアドレス・オブジェクトのアクション・メニューをクリックし、編集をクリックします。
「プライベートIPのアタッチ」ダイアログで、ホスト名を更新します。
ダイアログでIPアドレスのアタッチ・ボタンをクリックします。

OCI CLIの使用

更新するセカンダリ・プライベートIPアドレス・オブジェクトのOCIDを取得: oci network private-ip list
プライベートIPアドレス更新コマンドを実行します。

構文:
```
oci network private-ip update --private-ip-id private_ip_OCID \
--hostname-label newhostname
```
出力は、private-ip getコマンドの出力と同じです。

セカンダリ・プライベートIPアドレスの削除

VNICプライマリ・プライベートIPアドレスは削除できません。

削除が成功すると、プライベートIPアドレスはサブネット内の使用可能なアドレスのプールに返されます。アタッチされたパブリックIPアドレスは、再度割当てに使用できます。

「コンピュートWeb UI」の使用

ダッシュボードで、「コンピュート/インスタンスの表示」ボタンをクリックします。
セカンダリ・プライベートIPアドレスを削除するインスタンスの名前をクリックします。必要なインスタンスを見つけるには、コンパートメントの変更が必要になる場合があります。
インスタンスの詳細ページで、リソース・セクションまでスクロールし、アタッチされたVNICをクリックします。

インスタンスにアタッチされているプライマリVNICおよびすべてのセカンダリVNICが表示されます。
セカンダリ・プライベートIPアドレスを削除するアタッチされたVNICの名前をクリックします。
VNICの詳細ページで、リソース・セクションまでスクロールし、IPアドレスをクリックします。
削除するセカンダリ・プライベートIPアドレスについて、アクション・メニューをクリックし、削除をクリックします。

削除を確定します。
インスタンスにログオンし、インスタンスOSからIPアドレスの構成を削除します。

IPアドレスを追加したときに実行した構成を元に戻します。「セカンダリIPアドレスのインスタンスOSの構成」を参照してください。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- プライベートIPアドレス: oci network private-ip list
- VNIC OCID: oci compute instance list-vnics
unassign private IPコマンドを実行します。

構文:
```
oci network vnic unassign-private-ip --ip-address IPaddress --vnic-id VNIC_OCID
```
削除を確認するか、--forceオプションを使用します。

セカンダリ・プライベートIPアドレス・オブジェクトが割当て解除され、削除されます。
インスタンスにログオンし、インスタンスOSからIPアドレスの構成を削除します。

IPアドレスを追加したときに実行した構成を元に戻します。「セカンダリIPアドレスのインスタンスOSの構成」を参照してください。

パブリックIPアドレスの表示

「コンピュートWeb UI」を使用すると、特定のインスタンスのプライベートIPアドレスおよびパブリックIPアドレスを表示できます。「プライベートIPアドレスの表示」の「コンピュートWeb UIの使用」を参照してください。

OCI CLIを使用すると、指定したコンパートメント内のパブリックIPアドレス・オブジェクトをリストできます。

OCI CLIの使用

インスタンスが存在するコンパートメントのOCIDを取得: oci iam compartment list

パブリックIPリスト・コマンドを実行します。

構文:

oci network public-ip list --compartment-id compartment_OCID \
--scope {region | availability_domain}

例:

予約済パブリックIPアドレス・オブジェクトをリストします:

$ oci network public-ip list --compartment-id ocid1.compartment.unique_ID \
--scope region --lifetime reserved
{
  "data": [
    {
      "assigned-entity-id": null,
      "assigned-entity-type": "PRIVATE_IP",
      "availability-domain": null,
      "compartment-id": "ocid1.compartment.unique_ID",
      "defined-tags": {},
      "display-name": "apublicIP",
      "freeform-tags": {},
      "id": "ocid1.publicip.unique_ID",
      "ip-address": "IPaddress",
      "lifecycle-state": "AVAILABLE",
      "lifetime": "RESERVED",
      "private-ip-id": null,
      "public-ip-pool-id": null,
      "scope": "REGION",
      "time-created": "2022-07-06T16:36:56.860931+00:00"
    }
  ]
}

NATゲートウェイなどのリージョン・エンティティに割り当てられる一時的パブリックIPアドレス・オブジェクトをリストします:

$ oci network public-ip list --compartment-id ocid1.compartment.unique_ID \
--scope region --lifetime ephemeral

プライマリ・プライベートIPアドレス・オブジェクトに割り当てられている一時的パブリックIPアドレス・オブジェクトをリストします:

$ oci network public-ip list --compartment-id ocid1.compartment.unique_ID \
--scope availability_domain --availability-domain ad1 --lifetime ephemeral

インスタンスへの一時的パブリックIPアドレスの割当て

パブリックIPアドレスをインスタンスに割り当てるには、パブリックIPアドレス・オブジェクトをプライベートIPアドレス・オブジェクトに割り当てます。

一時パブリックIPアドレスが作成され、同じステップで割り当てられます。

一時パブリックIPアドレスは、プライマリ・プライベートIPアドレスにのみ割り当てることができます: プライベートIPアドレス・オブジェクトのis-primaryプロパティの値は、trueである必要があります。すべてのVNICには1つのプライマリ・プライベートIPアドレスがあります。

セカンダリ・プライベートIPアドレス(プライベートIPアドレス・オブジェクトのis-primaryプロパティの値はfalse)の場合は、予約済パブリックIPアドレスを割り当てます。「インスタンスへの予約済パブリックIPアドレスの割当て」を参照してください。

一時パブリックIPアドレスは割当て解除できず、別のプライベートIPアドレスに移動できません。

エフェメラル・パブリックIPアドレス・オブジェクトは、次の場合に削除されます:

そのプライベートIPアドレス・オブジェクトが削除されます。
そのVNICがデタッチまたは終了されます。
そのインスタンスが終了されます。

「コンピュートWeb UI」の使用

ダッシュボードで、「コンピュート/インスタンスの表示」ボタンをクリックします。
パブリックIPアドレスを割り当てるインスタンスの名前をクリックします。必要なインスタンスを見つけるには、コンパートメントの変更が必要になる場合があります。
インスタンスの詳細ページで、リソース・セクションまでスクロールし、アタッチされたVNICをクリックします。パブリックIPアドレスを割り当てるVNICの名前をクリックします。
VNICの詳細ページで、リソース・セクションまでスクロールし、IPアドレスをクリックします。次の表に、プライマリ・プライベートIPアドレスとセカンダリ・プライベートIPアドレス、およびアタッチされたパブリックIPアドレスを示します。
プライマリ・プライベートIPアドレスにまだパブリックIPアドレスが割り当てられていない場合は、プライマリ・プライベートIPアドレスのアクション・メニューをクリックし、パブリックIPの編集をクリック
ダイアログで、エフェメラル・パブリックIPをクリックします。
(オプション)エフェメラル・パブリックIPアドレスに名前を付けます。
ダイアログのパブリックIPの予約ボタンをクリックします。

新しいパブリックIPアドレスを表示するには、ページをリフレッシュする必要がある場合があります。新しいパブリックIPアドレスは、リソースの「IPアドレス」表、VNICのプライマリIP情報列およびインスタンスのネットワーキング・タブのインスタンス・アクセス列に表示されます。

OCI CLIの使用

コマンドの実行に必要な情報を取得します:
- コンパートメントOCID: oci iam compartment list
- プライベートIP OCID: oci network private-ip list
- パブリックIP OCID: oci network public-ip list

パブリックIP createコマンドを実行します。

このコマンドは、新しい一時的パブリックIPアドレス・オブジェクトを作成し、指定されたプライベートIPアドレス・オブジェクトに割り当てます。

$ oci network public-ip create --compartment-id ocid1.compartment.unique_ID \
--lifetime ephemeral --private-ip-id ocid1.privateip.unique_ID
  "data": {
    "assigned-entity-id": "ocid1.privateip.unique_ID",
    "assigned-entity-type": "PRIVATE_IP",
    "availability-domain": "ad1",
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "publicip20220708231248",
    "freeform-tags": {},
    "id": "ocid1.publicip.unique_ID",
    "ip-address": "IPaddress",
    "lifecycle-state": "ASSIGNING",
    "lifetime": "EPHEMERAL",
    "private-ip-id": "ocid1.privateip.unique_ID",
    "public-ip-pool-id": null,
    "scope": "AVAILABILITY_DOMAIN",
    "time-created": "2022-07-08T23:12:48.610545+00:00"
  },
  "etag": "dcb8dafe-bbe4-42ff-b86a-9e1ebaf4d94c"
}

パブリックIPアドレスの予約

予約済パブリックIPアドレスを1ステップで作成して割り当てるには、「パブリックIPアドレスの更新」の「コンピュートWeb UI」プロシージャを使用します。

次のOCI CLIプロシージャを使用して、後でプライベートIPアドレス・オブジェクトに割り当てることができる予約済パブリックIPアドレスを作成します。

OCI CLIの使用

IPアドレス・オブジェクトを作成するコンパートメントのOCIDを取得: oci iam compartment list

パブリックIP createコマンドを実行します。

構文:

oci network public-ip create --compartment-id compartment_OCID \
--lifetime reserved

例:

$ oci network public-ip create --compartment-id ocid1.compartment.unique_ID \
--lifetime reserved --display-name apublicIP
{
  "data": {
    "assigned-entity-id": null,
    "assigned-entity-type": "PRIVATE_IP",
    "availability-domain": null,
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "apublicIP",
    "freeform-tags": {},
    "id": "ocid1.publicip.unique_ID",
    "ip-address": "IPaddress",
    "lifecycle-state": "PROVISIONING",
    "lifetime": "RESERVED",
    "private-ip-id": null,
    "public-ip-pool-id": null,
    "scope": "REGION",
    "time-created": "2022-07-06T16:36:56.860931+00:00"
  },
  "etag": "dcb8dafe-bbe4-42ff-b86a-9e1ebaf4d94c"
}

インスタンスへの予約済パブリックIPアドレスの割当て

エフェメラル・パブリックIPアドレスは、VNICのプライマリ・プライベートIPアドレスにのみ割り当てることができます。「インスタンスへの一時的パブリックIPアドレスの割当て」を参照してください。予約済パブリックIPアドレスは、任意のプライベートIPアドレスに割り当てることができます。

後でプライベートIPアドレス・オブジェクトに割り当てることができる予約済パブリックIPアドレスを作成するには、「パブリックIPアドレスの予約」を参照してください。

「パブリックIPアドレスの更新」の手順を使用して、既存の予約済パブリックIPアドレス・オブジェクトを指定されたプライベートIPアドレス・オブジェクトに割り当てるか、予約済パブリックIPアドレスを1ステップで作成して割り当てます。

予約済パブリックIPアドレス・オブジェクトは、そのプライベートIPアドレス・オブジェクトが削除された場合、そのVNICがデタッチまたは終了された場合、またはそのインスタンスが終了した場合でも、再割当てに使用できます。

パブリックIPアドレスの更新

パブリックIP更新コマンドを使用して、次のいずれかを実行できます:

既存の予約済パブリックIPアドレス・オブジェクトをプライベートIPアドレス・オブジェクトに割り当てます。
予約済パブリックIPアドレス・オブジェクトを1ステップで作成して割り当てます。
予約済パブリックIPアドレス・オブジェクトを別のプライベートIPアドレス・オブジェクトに移動します。
予約済パブリックIPアドレス・オブジェクトをプライベートIPアドレス・オブジェクトから割当て解除します。
パブリックIPアドレス・オブジェクトの表示名またはタグを変更します。

「コンピュートWeb UI」の使用

ダッシュボードで、「コンピュート/インスタンスの表示」ボタンをクリックします。
パブリックIPアドレスを割り当てるインスタンスの名前をクリックします。必要なインスタンスを見つけるには、コンパートメントの変更が必要になる場合があります。
インスタンスの詳細ページで、リソース・セクションまでスクロールし、アタッチされたVNICをクリックします。パブリックIPアドレスを割り当てるVNICの名前をクリックします。
VNICの詳細ページで、リソース・セクションまでスクロールし、IPアドレスをクリックします。次の表に、プライマリ・プライベートIPアドレスとセカンダリ・プライベートIPアドレス、およびアタッチされたパブリックIPアドレスを示します。
パブリックIPアドレスを追加または更新するプライベートIPアドレスの場合は、アクション・メニューをクリックし、パブリックIPの編集をクリックします。
「パブリックIPの予約」ダイアログで、次のいずれかを選択します:
- パブリックIPがありません
  
  ダイアログのReserve Public IPボタンをクリックして、このプライベートIPアドレスからこのパブリックIPアドレスの割当てを解除します。パブリックIPアドレスが割り当てられていないことを確認するには、ページをリフレッシュする必要がある場合があります。
- パブリックIPの予約
  
  次の選択肢のいずれかをクリックします:
  - 既存のパブリックIPの予約
    1. 既存のパブリックIPアドレスを選択します。コンパートメントの変更が必要な場合があります。
    2. ダイアログのパブリックIPの予約ボタンをクリックします。
      指定されたパブリックIPアドレス・オブジェクトが別のプライベートIPアドレス・オブジェクトにすでに割り当てられている場合、パブリックIPアドレス・オブジェクトは現在のプライベートIPアドレス・オブジェクトから割当て解除(移動)され、指定されたプライベートIPアドレス・オブジェクトに再割当てされます。
  - パブリックIPの作成
    
    予約済パブリックIPアドレスを1ステップで作成して割り当てます。
    1. (オプション)新しい予約済パブリックIPアドレス・オブジェクトの名前を指定します。
    2. 新しい予約済パブリックIPアドレス・オブジェクトが作成されるコンパートメントを選択します。
    3. IP Address Sourceを選択します。
    4. ダイアログのパブリックIPの予約ボタンをクリックします。
新しい予約済パブリックIPアドレスは、リソースの「IPアドレス」表に表示されます。新しいパブリックIPアドレスを表示するには、ページのリフレッシュが必要になる場合があります。

OCI CLIの使用

更新するパブリックIPオブジェクトのOCIDを取得します。「パブリックIPアドレスの表示」を参照してください。

パブリックIPオブジェクトをプライベートIPオブジェクトに割り当てたり、プライベートIPオブジェクトに移動する場合は、プライベートIPオブジェクトのOCIDを取得します。「プライベートIPアドレスの表示」を参照してください。
public IP updateコマンドを実行します。

構文:
```
oci network public-ip update --public-ip-id public_ip_OCID
```
例:

次の例では、既存の予約済パブリックIPアドレス・オブジェクトを更新し、指定されたプライベートIPアドレス・オブジェクトに割り当てます。指定されたパブリックIPアドレス・オブジェクトが別のプライベートIPアドレス・オブジェクトにすでに割り当てられている場合、パブリックIPアドレス・オブジェクトは現在のプライベートIPアドレス・オブジェクトから割当て解除(移動)され、指定されたプライベートIPアドレス・オブジェクトに再割当てされます。
```
$ oci network public-ip update --public-ip-id ocid1.publicip.unique_ID \
--private-ip-id ocid1.privateip.unique_ID
{
  "data": {
    "assigned-entity-id": null,
    "assigned-entity-type": "PRIVATE_IP",
    "availability-domain": null,
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "apublicIP",
    "freeform-tags": {},
    "id": "ocid1.publicip.unique_ID",
    "ip-address": "IPaddress",
    "lifecycle-state": "ASSIGNING",
    "lifetime": "RESERVED",
    "private-ip-id": null,
    "public-ip-pool-id": null,
    "scope": "REGION",
    "time-created": "2022-07-06T16:36:56.860931+00:00"
  },
  "etag": "dcb8dafe-bbe4-42ff-b86a-9e1ebaf4d94c"
}
```
次の例では、指定された予約済パブリックIPアドレス・オブジェクトを割当て解除し、将来の再割当てで使用できるようにします。
```
$ oci network public-ip update --public-ip-id ocid1.publicip.unique_ID \
--private-ip-id ""
```

パブリックIPアドレスの削除

一時パブリックIPアドレス・オブジェクトは割当て解除できず、直接削除できません。エフェメラル・パブリックIPアドレス・オブジェクトは、次の場合に削除されます:

そのプライベートIPアドレス・オブジェクトが削除されます。
そのVNICがデタッチまたは終了されます。
そのインスタンスが終了されます。

予約済パブリックIPアドレス・オブジェクトは未割当てですが、プライベートIPアドレス・オブジェクトが削除された場合、そのVNICがデタッチまたは終了された場合、またはそのインスタンスが終了した場合、再割当てに使用可能なままになります。

予約済パブリックIPアドレス・オブジェクトを削除するには、次の手順を使用します。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID: oci iam compartment list
- パブリックIPアドレスOCID: oci network public-ip list

パブリックIPの削除コマンドを実行します。

構文:

oci network public-ip delete --public-ip-id public_ip_OCID

例:

oci network public-ip delete --public-ip-id ocid1.publicip.unique_ID --force

パブリックDNSゾーンの管理

最も基本的な形式では、DNSは、そのゾーンのDNS名前空間に文字列を指定すると、IPアドレス(既知の場合)を返します。ただし、DNSは、IPホスト・クライアント・アプリケーションが、DHCP (DHCIDレコード)を使用して独自の構成情報を取得したり、電子メールを送受信したりする場所(MXレコード)を認識する方法でもあります。 DNSを使用しない場合、クライアント・デバイスは、ローカル・サーバーのみでなく、それらが対話するすべてのサーバーやアプリケーションについて、どこに配置されていても、適切なIPアドレスを知る必要があります。 DNSを使用すると、クライアントは常にwww.oracle.comまたはその他のアプリケーションの正しいロケーションを見つけることができます。

コンパートメント内にDNSゾーンを作成すると、そのゾーンを別のコンパートメントに移動できなくなります。

パブリックDNSゾーンの作成

DNSゾーンは、IPアドレスをDNSネームスペースの一部に関連付けるためにコンパートメント内に作成されます。ゾーンは、DNSサービスを使用してコンパートメントに作成されます。

「コンピュートWeb UI」の使用

ナビゲーション・メニューのDNSで、Zonesをクリックします。コンパートメントで以前に構成されたゾーンのリストが表示されます。 DNSゾーンを作成するコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
「ゾーンの作成」をクリックします。
必要なゾーン情報を入力します:
- ゾーン名: DNSゾーンの名前または説明を指定します。組織の機密情報は使用しないでください。
- コンパートメント: DNSゾーンを作成するコンパートメントを選択します。
- ゾーン・タイプ: 作成するDNSゾーンのタイプを選択します。
  - プライマリ: プライマリDNSゾーンは、DNSネームスペースの一部の元の認可DNSゾーンです。 DNSサーバーがプライマリ・ゾーンをホストする場合、そのDNSサーバーは認可DNSサーバーであり、そのゾーン内の情報のプライマリ・ソースとみなされます。
  - セカンダリ: セカンダリDNSゾーンは、プライマリDNSゾーンまたは別のセカンダリDNSゾーンの読取り専用コピーです。セカンダリDNSゾーンはセカンダリDNSサーバーに保持され、プライマリDNSゾーンへの負荷が減り、ゾーン内の名前解決のための単一障害のリスクが排除されます。
  DNSゾーンの詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の"Name Resolution"を参照してください。
- タグ付け: オプションで、このリソースに1つ以上のタグを追加します。
  
  タグ付けの詳細は、「リソース・タグの操作」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
「ゾーンの作成」をクリックします。

ゾーン・レコードの追加、またはTSIGキーまたはリング・ポリシーの構成の準備が整いました。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --compartment-id-in-subtree true)

oci dns zone createコマンドを実行します。

構文(1行に入力):

oci dns zone create \
--compartment-id <compartment_OCID> \
--name <dns_zone_OCID> \
--zone-type <PRIMARY | SECONDARY>

例:

oci dns zone create \
 --compartment-id ocid1.compartment.….….….uniqueID \ 
 –-name test-dns-zone \
 --zone-type PRIMARY 

{
  "data": {
    "compartment-id": "ocid1.compartment.….….….uniqueID",
    "defined-tags": {},
    "external-masters": null,
    "freeform-tags": {},
    "id": "ocid1.dns-zone.….….….uniqueID",
    "is-protected": null,
    "lifecycle-state": "ACTIVE",
    "name": "test_dns_zone",
    "nameservers": [
      {
        "hostname": "ns1.example.com"
      }
    ],
    "scope": null,
    "self-uri": "https://20180115/zones/test_dns_zone",
    "serial": 1,
    "time-created": "2021-08-17T18:08:00.059867+00:00",
    "version": 1,
    "view-id": null,
    "zone-type": "PRIMARY"
  },
  "etag": "3e389cab-b3fd-4783-91c1-ede81bc132d5"
}

ゾーン・レコードの操作

DNSゾーンの作成は、DNSの操作の開始のみです。このゾーンは、基本のStart of Authority (SOA)レコードとName Server (NS)レコードを除き、基本的に空になります。SOAレコードは、このDNSゾーンの一種の履歴を提供し、最後に更新された日時やそのような情報を保持します。 NSレコードには、ゾーンのDNSサーバーの完全修飾名が含まれます。 NSレコードは非常に重要であるため、通常は24時間(86400秒)のTTLが高くなります。

ネーム・サーバーを実際に役立つようにするには、ゾーンを丸め、クライアントが行う問合せの種類へのレスポンスの基礎を形成するDNSレコードが入力されている必要があります。これらの問合せには、ドメイン・ネーム・スペースの一部のIPアドレス、電子メール・サーバーの詳細などが含まれます。

ゾーン・レコードの作成

「The RDATA」フィールドは、ゾーン・レコードのコンテンツが入力される場所です。情報の形式は、作成するレコードのタイプによって異なります。ただし、データは、DNSが理解する形式のいずれかである必要があります。たとえば、Aタイプのゾーン・レコードRDATAはIPアドレスで、MXレコードには電子メールのルーティング方法に関する情報が含まれます。ゾーン内のゾーン・レコードの認可特性のため、RDATAは編集できません。ゾーンのDNS情報が変更された場合、古いレコードを削除し、新しいレコードを作成する必要があります。

「コンピュートWeb UI」の使用

ナビゲーション・メニューのDNSで、Zonesをクリックします。コンパートメントで以前に構成されたゾーンのリストが表示されます。ゾーン・レコードを追加するコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
ゾーンの名前をクリックします。情報画面には、タイプおよびコンパートメント、OCID (全表示またはクリップボードにコピー可能)、ゾーンが作成された日時などの一般的なゾーン情報が含まれます。存在するゾーン・レコードも表示され、最初はSOAおよびNSレコードのみです。
必要なゾーン・レコード情報を入力します:
- ゾーン・レコード: ドロップダウン・リストから、作成するゾーン・レコードのタイプを選択します。
  - A - IPv4アドレス: ホスト名をIPv4アドレスに指定するために使用されるホスト・レコード。これは最も基本的なDNSレコード・タイプです。
  - 他の多数のタイプのゾーン・レコードを追加できます: ドロップダウン・リスト内の任意のタイプ。
    
    DNSゾーンの詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の"Name Resolution"を参照してください。
- ドメイン(オプション): ゾーン・サブ・ドメイン(使用されている場合)の名前を入力します(この値はゾーン自体に基づいてすでに入力されています): ゾーン・サブドメインの追加には、最初のドット(".")が使用されます。
- TTL: 特定のレコード・タイプのTTLに独自の値を設定するには、このボックスにチェックマークを入れます。このボックスにチェックマークを入れない場合、そのレコード・タイプのデフォルトのTTL値が使用されます(たとえば、SOAの場合は300、NSの場合は86400)。有効な範囲は1 ~ 129540秒です(1秒から約1日半)。
- RDATAの編集: ゾーン・レコード・タイプによって確立されたIPアドレスやターゲットなどのRDATA情報を編集する場合は、このボックスにチェックマークを入れます。このボックスは、一部のゾーン・レコードのタイプについてのみ表示されます。
- (RDATA): このラベルなしフィールドは、作成されたゾーン・レコードのタイプによって異なります。たとえば、AタイプのDNSレコードに対応する32ビットIPアドレス、またはDNSKEYゾーン・レコードに対するフラグ(作成中の場合)を入力します。
  - A - IPv4アドレス: Aタイプのゾーン・レコードを作成する場合、データは適切にフォーマットされたIPv4アドレスになります。これは最も基本的なDNSレコードですが、他にも多くのレコードがあります。
  - 「The RDATA」フィールドには、選択したゾーン・レコードのタイプに関する正しい情報が反映されます。
Create Recordをクリックします。

ゾーン・レコードがゾーンに追加されます。「別のレコードの追加」のオプション・ボックスをクリックすると、画面は「DNSゾーン・レコードの作成」状態のままになり、レコード・エントリがより効率的になります。

OCI CLIの使用

CLIには「create dns zone record」コマンドはありません。かわりに、コマンド"oci dns zone record update"コマンドは、指定したゾーン内のレコードを、コマンドのリクエスト本文で指定されたレコードに置き換えます。指定されたレコードが存在しない場合は作成されます。また、現在のレコードがレコード・リストにない場合は削除されます。レコードが存在する場合は、リクエスト本文のレコード情報で更新されるため、注意が必要です。このセクションのコマンドは、dns-test-zoneという名前のDNSゾーンにAリソース・レコード(IPv4アドレスおよびドメイン名)を追加します。

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --compartment-id-in-subtree true)
- DNSゾーン名(oci dns zone list --compartment_OCID <compartment_OCID>)
oci dns record zone updateコマンドを実行します。

ノート:

この手順では、このコマンドに必要な最小パラメータを示します。オプションのパラメータについては、--helpオプションを指定してコマンドを実行します。

構文(1行に入力):
```
oci dns record zone update \
 --zone-name-or-id <zone_name> or <compartment_OCID> \
 --items <complex type>
```
ノート:

DNSリソース・レコード・タイプは、JSON形式のオブジェクトとして提供されます。これは、タイプがRecordDetailsのJSONリストです。 RecordDetailsのドキュメントについては、https://docs.cloud.oracle.com/api/#/en/dns/20180115/datatypes/RecordDetailsを参照してください。これは、値が有効なJSONである必要がある複合タイプです。この値は、コマンドラインで文字列として指定するか、file://path/to/file構文を使用してファイルとして渡すことができます。

--generate-param-json-inputオプションを使用すると、指定する必要があるJSONの例を生成できます。この例をファイルに格納し、必要に応じて変更してから、file://構文を使用して再度渡すことをお薦めします。

例:
```
oci dns record zone update
 --zone-name-or-id <zone_name> or <compartment_OCID> 
 --items 
{
    "domain": "test-dns-zone.test-pca-comparment.example.com",
    "isProtected": true,
    "rdata": "10.225.15.10",
    "recordHash": "fkT4md",
    "rrsetVersion": "1",
    "rtype": "1",
    "ttl": 3600
}
```

ゾーン・レコードの編集

"edit record"コマンドはありません。レコードのグループを更新でき、rdataを除いてリスト内のレコードの1つが同じ場合(実際にはレコードを更新した場合など)。

ゾーン・レコードの削除

多数のDNSゾーン・レコードを削除できますが、すべてを削除することはできません。ゾーンの作成時にデフォルトで作成される初期SOAおよびNSレコードは削除できません。ゾーン・レコードを削除するには:

「コンピュートWeb UI」の使用

ナビゲーション・メニューのDNSで、Zonesをクリックします。コンパートメントで以前に構成されたゾーンのリストが表示されます。ゾーン・レコードを追加するコンパートメントがタイトル・バーにない場合は、ドロップダウン・タブを使用して正しいコンパートメントを選択します。
ゾーンの名前をクリックします。情報画面には、タイプおよびコンパートメント、OCID (全表示またはクリップボードにコピー可能)、ゾーンが作成された日時などの一般的なゾーン情報が含まれます。存在するゾーン・レコードも表示されます。
削除するゾーン・レコードの右側に3つのドットがあるアクション四角形をクリックします。
「削除」をクリックします。

ゾーン・レコードは削除され、そのDNSゾーンのリストから削除されます。

OCI CLIの使用

CLIを使用してゾーンのリソース・レコードを削除するには、oci dns record rrset deleteコマンドを使用して、リソース・レコード・セット全体を削除します(たとえば、特定のホスト名のすべてのAタイプのIPv4アドレス・レコード)。リソース・レコードは、DNSレコード・タイプ(A、MXなど)によって識別されます。このセクションのコマンドは、「test-device-1」という名前のデバイスの「dns-test-zone」という名前のDNSゾーン内のAリソース・レコード(IPv4アドレスとドメイン名)を削除します。

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --compartment-id-in-subtree true)
- DNSゾーン名(oci dns zone list --compartment_OCID <compartment_OCID>)

oci dns record rrset deleteコマンドを実行します。

構文 : (1行に入力):

oci dns record rrset delete \
 --domain <domain-name> \
 –-rtype <resource-record-type> \
 --zone-name-or-id <zone_name> or <compartment_OCID>

例:

oci dns record rrset delete \
 --domain "test-device-1.dns-test-zone.example.com" \
 –-rtype "A" \
 --zone-name-or-id "dns-test-zone"

レコードがゾーンから削除されます。

パブリックDNSゾーンの編集

既存のゾーンにリソース・タグを追加できます。 SECONDARYゾーンのexternalMastersフィールドを編集することもできます。

トランザクション・シグネチャ・キーの操作

DNSトランザクション・シグネチャ(TSIG)は、RFC 2845で定義されたネットワーク・プロトコルです。 TSIGの主な目的は、DNSがDNSデータベースへの更新を認証できるようにすることです。これにより、悪意のあるユーザーは、銀行のIPアドレスのかわりに不正なIPアドレスを指すように名前解決レコードを変更できません。 TSIGでは、一方向ハッシュおよび共有秘密キーを使用して、接続のエンドポイントを認証してDNS更新リクエストを処理(またはレスポンス)するためのセキュアな手段を提供します。

TSIGプロトコルはタイムスタンプを使用して、記録されたレスポンスをリプレイしません。したがって、DNSサーバーとTSIGクライアントは、タイムスタンプを提供するために正確なクロックを必要とします。 TSIGでサポートされる暗号化方式とハッシュ方式のタイプを拡張するために、基本的なTSIGプロトコルに対する数多くの拡張機能が行われました。

DNSゾーンにTSIGを使用するには、DNSゾーンにTSIGキーを追加します。 TSIGキーは、base64でエンコードする必要があります。

「コンピュートWeb UI」の使用

ナビゲーション・メニューのDNSゾーンで、TSIGキーをクリックします。
「キーの作成」をクリックします。
必要なTSIGキー情報を入力します:
- 名前: TSIGキーの名前または説明を指定します。組織の機密情報は使用しないでください。
- コンパートメント: TSIGキーを作成するコンパートメントを選択します。
- アルゴリズム: 作成するTSIGキーのセキュリティ・アルゴリズム(hmac-sha256など)を選択します。
- 秘密キー: キーに対応するバイナリ共有シークレットをエンコードするbase64文字列を指定します。最大は255文字です。 base64エンコーディングのサンプル・キーをRFC3874に示します。次の2つの方法のいずれかでキーを指定できます:
  - キー・ファイルを選択: この方法でTSIG共有秘密キーを指定すると、キー・ファイルを指定されたスペースにドラッグ・アンド・ドロップできます。
  - キーを貼り付けます: この方法でTSIG共有秘密キーを指定すると、キー・ファイルのコンテンツをコピーして、指定された領域に貼り付けることができます。
- タグ付け: オプションで、このリソースに1つ以上のタグを追加します。タグ付けの詳細は、「リソース・タグの操作」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
TSIGキーの作成をクリックします。

TSIGキーは、DNSゾーンでTSIGクライアントとDNSサーバーの間で使用できるようになりました。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- コンパートメントOCID ( oci iam compartment list --all)

oci dns tsig-key createコマンドを実行します。

ノート:

構文(1行に入力):

oci dns tsig-key create \
--algorithm <hmac-algorithm> \
--name <tsig-key-name> \
--compartment-id <compartment_OCID> \
--secret <secret-string>

例:

oci dns tsig-key create --algorithm hmac-sha256 --name new-tsig-key \
--compartment-id ocid1.compartment.….….….uniqueID \
--secret 2o8goaon2168n(secret key string)e6um8lvd2lwdoouq46lsygak0009014
{
  "data": {
    "-self": "https://20180115/tsigKeys/new-tsig-key",
    "algorithm": "hmac-sha256",
    "compartment-id": "ocid1.compartment.….….….uniqueID",
    "defined-tags": {},
    "freeform-tags": {},
    "id": "ocid1.dns-tsig-key..….….….uniqueID",
    "lifecycle-state": "ACTIVE",
    "name": "new-tsig-key",
    "secret": "2o8goaon2168n(secret key string)e6um8lvd2lwdoouq46lsygak0009014",
    "time-created": "2021-10-29T17:50:31.219934+00:00",
    "time-updated": null
  },
  "etag": "81eb0e02-e09c-4b25-9d21-eefa9ab2aacc"
}

このコンパートメントのDNSのTSIGキーのリストに新しいキーが表示されます。

TSIGキーの追加

TSIGキーを既存のTSIGキーのリストに追加するには、一意のTSIGキー名および新しいアルゴリズムまたは新しいキー値を持つ別のキーを作成するだけです。既存のTSIGキーのフィールドを変更するには、updateコマンドを使用します。

TSIGキーは、DNSゾーンとは別のオブジェクトです。 ExternalMaster定義の一部として、SECONDARY DNSゾーンでTSIGキーを参照できます。ただし、新しいキーを作成しても、PRIMARYゾーンでは何も行われません。

TSIGキーの削除

「コンピュートWeb UI」の使用

ナビゲーション・メニューのDNSゾーンで、TSIGキーをクリックします。
TSIGキーのドロップダウン・リストから削除するTSIGキーをクリックします。
アクション・メニュー・アイコン(3つのバー)の下にあるアクションのリストから削除をクリックするか、表示ウィンドウの上部にある削除ボタンをクリックします。

TSIGキーがリストから削除されます。

OCI CLIの使用

次のリソースの情報を収集します:
- コンパートメントOCID ( oci iam compartment list --compartment-id-in-subtree true)
- TSIG OCID (oci dns tsig-key list --compartment-id <compartment_OCID>)

構文(1行に入力):

oci dns tsig-key delete --tsig-key-id <tsig-key_OCID>

例:

oci dns tsig-key delete --tsig-key-id ocid1.dns.tsig.key.….….….uniqueID \
Are you sure you want to delete this resource? [y/N]: y

TSIGキーは、このコンパートメントのDNSのTSIGキーのリストから削除されます。 --forceオプションを使用して、「Are you sure...?」メッセージを抑制します。

パブリックDNSゾーンの削除

「コンピュートWeb UI」の使用

ナビゲーション・メニューのDNSゾーンで、ゾーンをクリックします。
ゾーンのドロップダウン・リストから削除するゾーン名をクリックします。
表示ウィンドウの上部にあるDeleteボタンをクリックします。

DNSゾーンがリストから削除されます。
DNSゾーンがコンパートメントから削除されます。 --forceオプションを使用して、「Are you sure...?」メッセージを抑制します。

OCI CLIの使用

次のリソースの情報を収集します:
- コンパートメントOCID ( oci iam compartment list --compartment-id-in-subtree true)
- ゾーンOCID (oci dns zone list --compartment-id <compartment_OCID>)

構文(1行に入力):

oci dns zone delete --zone-name-or-id zone_OCID-or-zone-name>

例:

oci dns zone delete --zone-id ocid1.dns.zone.….….….uniqueID \
Are you sure you want to delete this resource? [y/N]: y

リング・ポリシーを使用したトラフィックの管理

DNSは、そのゾーンのDNSネームスペースに文字列を指定した場合、IPアドレス(既知の場合)を返す以上を実行できます。 DNSは、トラフィック管理のシステムの一部でもあり、ロケーションなどの条件に応じて複数のサーバーにトラフィックが分散されます。リング・ポリシーは、単一の完全修飾名へのアクセスを複数のサーバーに分散する方法です。

たとえば、ストリーミング・ビデオか製品データベースからのレコードかに関係なく、複数のソース・サーバーから同じコンテンツを使用できます。 1台のサーバーが米国に、もう1台のサーバーがヨーロッパに設置されている可能性があります。トラフィック・リング・ポリシーは、IPアドレスまたはCIDRに基づいてトラフィックを分散できます。ロード・バランシングなどのこのトラフィック分散には、複数のサーバーの負荷をほぼ等しい状態に保つために、他の基準を使用できます。

Oracle Private Cloud Applianceは、ロード・バランシングおよびIPアドレス・プレフィクスの一部の値(IPアドレスのネットワーク部分(192.168.100.0/24など)に基づく2つの主要なタイプのトラフィック・リング・ポリシーを提供します。

ロード・バランサ・リング・ポリシーの作成

複数のDNSサーバーがある場合は、各サーバーに割り当てた重みに基づいて、ロード・バランシング方式でトラフィックを分散できます。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。 DNSゾーンで、リング・ポリシーをクリックします。
リング・ポリシーの作成をクリックします。
ロード・バランサ・ボタンをクリックして、ロード・バランサ・リング・ポリシーを作成します。
必須情報を入力します:
- 名前: ロード・バランサ・リング・ポリシーに表示する名前を入力します。機密情報は使用しないでください。
- ポリシーTTL: リング・ポリシー・リクエストに対するレスポンスのTTLを秒単位で入力します。最大は604800秒(168時間または7日間)です。
- 解答: FILTER、WEIGHEDおよびLIMITルールのDNSリクエストに対する回答を指定します。回答を使用する条件を指定する必要はありません: ロード・バランサ・テンプレートによって実行されます。
  - 名前: 返されるRDataの名前(Server1など)を入力します。
  - タイプ: リクエストに対して返すリソース・レコードのタイプをドロップダウン・リストから選択します。選択肢は、A (IPv4アドレス)やCNAME (正規名)などのアイテムです。
  - RData: 選択したタイプに対応するリソース・レコードRDataを入力します。たとえば、Type = Aの場合、RDataはIPv4アドレスになります。
  - 重量: ロード・バランシングに使用するこのポリシーの重みを入力します。最大256の値がサポートされています。デフォルトは10です。重みが高いほど、ポリシーの回答がより頻繁に使用されることを意味します。たとえば、dns-server1とdns-server2の重みが等しい場合、DNSリクエストはそれらの間で均等に分割されます。 dns-server1の重みがdns-server2の2倍である場合、dns-server1はdns-server2と同じ頻度で2回使用されます。
無効: リング・ポリシーの回答は、デフォルトで作成時に有効になります。このリング・ポリシーの回答を無効にするには、このトグルをクリックして無効値をTRUEに変更します。
オプションで、このサブネット・リソースのタグを追加または削除します。

タグ付けの詳細は、「リソース・タグの操作」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
「変更の保存」をクリックします。ロード・バランシング・リング・ポリシーが作成されます。

OCI CLIの使用

必要な情報を収集します。
- コンパートメントOCID ( oci iam compartment list --compartment-id-in-subtree true)

LOAD_BALANCEパラメータを指定してoci dns steering-policy createコマンドを実行します。

ノート:

この手順では、このコマンドに必要な最小パラメータを示します。オプションのパラメータについては、--helpオプションを指定してコマンドを実行します。複合型は、長いjson文字列です。

構文(単一行に入力):<dns_steering_policy_name>

oci dns steering-policy create
--compartment-id <compartment_OCID>
--display-name <dns_steering_policy_name>
--template <LOAD_BALANCE>
--answers <complex type> 
--rules <complex type>

例:

oci dns steering-policy create 
--compartment-id ocid1.compartment.….….….uniqueID 
--display-name test-lb-policy-1 
--template LOAD_BALANCE 
--answers '[{"name": "server","pool": "server","rdata": "10.25.11.10","rtype": "A"},
{"name": "trial","pool": "trial","rdata": "10.25.11.10","rtype": "A"}]' 
--rules '[{"ruleType": "FILTER","defaultAnswerData": [{"answerCondition": 
"answer.isDisabled != true","shouldKeep": true}]},{"ruleType": "WEIGHTED","defaultAnswerData": 
[{"answerCondition": "answer.name == 'server'","value": 90},{"answerCondition": 
"answer.name == 'trial'","value": 10}]},{"defaultCount": 1,"ruleType": "LIMIT"}]'

{
  "data": {
    "-self": "https://20180115/steeringPolicies/ocid1.dnspolicy..….….….uniqueID",
    "answers": [
      {
        "is-disabled": true,
        "name": "server",
        "pool": "server",
        "rdata": "10.25.11.10",
        "rtype": "A"
      },
      {
        "is-disabled": true,
        "name": "trial",
        "pool": "trial",
        "rdata": "10.25.11.10",
        "rtype": "A"
      }
    ],
    "compartment-id": "ocid1.compartment.….….….uniqueID",
    "defined-tags": {},
    "display-name": "lr-policy",
    "freeform-tags": {},
    "health-check-monitor-id": null,
    "id": "ocid1.dnspolicy..….….….uniqueID",
    "lifecycle-state": "ACTIVE",
    "rules": [
      {
        "cases": null,
        "default-answer-data": [
          {
            "answer-condition": "answer.isDisabled != true",
            "should-keep": true
          }
        ],
        "description": null,
        "rule-type": "FILTER"
      },
      {
        "cases": null,
        "default-answer-data": [
          {
            "answer-condition": "answer.name == 'server'",
            "value": 90
          },
          {
            "answer-condition": "answer.name == 'trial'",
            "value": 10
          }
        ],
        "description": null,
        "rule-type": "WEIGHTED"
      },
      {
        "cases": null,
        "default-count": 1,
        "description": null,
        "rule-type": "LIMIT"
      }
    ],
    "template": "LOAD_BALANCE",
    "time-created": "2021-11-03T23:36:25.392833+00:00",
    "ttl": 30
  },
  "etag": "2c63fca5-f747-487e-b2f3-0ae5d6fe939c"
}

ロード・バランサ・リング・ポリシーが作成され、DNSドメインにアタッチできます。

IPプレフィクス・ステアリング・ポリシーの作成

IPプレフィクス・ステアリング・ポリシーは、発信元のIPプレフィクス(172.16.1.0/24など)に基づいて、DNSリクエスト・トラフィックを異なるサーバーに動的にルーティングします。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。 DNS Zonesで、Manage DNSをクリックします。
DNSリソースのリストから、リング・ポリシーをクリックします。そのコンパートメントのリング・ポリシーが表示されます。
リング・ポリシーの作成をクリックします。
IPプレフィクス・ステアリングを選択し、次のプロパティを指定します:
- 名前: 新しいリング・ポリシーの名前。
- ポリシーTTL: リング・ポリシーからのレスポンスのTime To Live (TTL) (秒単位)。最大許容値は604800 (168時間または7日)です。
回答ボックスで、次のプロパティを指定します:
- 名前: 新しいリング・ポリシーに送信されたリクエストへのレスポンスの名前。
- タイプ: リクエストおよびレスポンスのタイプ。選択肢はA、AAAまたはCNAMEです。
- RData: 問合せに対して返されるゾーン・レコード・データ。選択したタイプによって予期されるタイプと一致する必要があります。
- プール: ドロップダウン・リストからポリシーを使用するIPアドレス・プールを選択します。
- +Add解答: このボックスをクリックして、リング・ポリシーで受信したリクエストにさらに回答を追加します。
- 無効: このトグルは、作成時にIPプレフィクスの回答を有効にするかどうかを決定します。デフォルトは有効です。
IPプレフィクス・ステアリング・ルール・ボックスで、次のプロパティを指定します:
- +Addルール: このボックスをクリックして、IPプレフィクス・ステアリング・ポリシーにルールを追加します。
- オーダー: 方向矢印を使用して、構成されたルールの順序でルールを並べ替えます。
- サブネット・アドレス: このリング・ポリシーに適用するIPサブネット・プレフィクスを入力します。
- 「+ルールの追加」をクリックすると、このリング・ポリシーにさらにルールを追加できます。
タグ付け: オプションで、リング・ポリシーにタグを追加できます。

タグ付けの詳細は、「リソース・タグの操作」を参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
「変更の保存」をクリックします。 IPプレフィクス・ステアリング・ポリシーが作成されます。

OCI CLIの使用

必要な情報を収集します。
- コンパートメントOCID ( oci iam compartment list --compartment-id-in-subtree true)

ROUTE_BY_IPパラメータを指定してoci dns steering-policy createコマンドを実行します。

ノート:

構文(1行に入力):

oci dns steering-policy create--compartment-id <compartment_OCID>
--display-name <dns_steering_policy_name>
--template <LOAD_BALANCE>
--answers <complex type> 
--rules <complex type>

例:

oci dns steering-policy create --compartment-id ocid1.compartment..….….….uniqueID
--display-name test-ip-steering-1 
--template ROUTE_BY_IP  
--answers file:///root/users-stuff/ip-steering-answers.json 
--rules file:///root/users-stuff/ip-steering-rules-2.json
{
  "data": {
    "-self": "https://20180115/steeringPolicies/ocid1.dnspolicy..….….….uniqueID",
    "answers": [
      {
        "is-disabled": null,
        "name": "server",
        "pool": "server",
        "rdata": "10.20.10.10",
        "rtype": "A"
      },
      {
        "is-disabled": null,
        "name": "trial",
        "pool": "trial",
        "rdata": "10.20.10.10",
        "rtype": "A"
      }
    ],
    "compartment-id": "ocid1.compartment..….….….uniqueID",
    "defined-tags": {},
    "display-name": "test-ip-steering-1",
    "freeform-tags": {},
    "health-check-monitor-id": null,
    "id": "ocid1.dnspolicy..….….….uniqueID",
    "lifecycle-state": "ACTIVE",
    "rules": [
      {
        "cases": null,
        "default-answer-data": [
          {
            "answer-condition": "answer.isDisabled != true",
            "should-keep": true
          }
        ],
        "description": null,
        "rule-type": "FILTER"
      },
      {
        "cases": [
          {
            "answer-data": [
              {
                "answer-condition": "answer.pool == 'internal'",
                "value": 1
              }
            ],
            "case-condition": "query.client.address in (subnet '10.0.3.0/24')"
          },
          {
            "answer-data": [
              {
                "answer-condition": "answer.pool == 'external'",
                "value": 1
              }
            ],
            "case-condition": null
          }
        ],
        "default-answer-data": null,
        "description": null,
        "rule-type": "PRIORITY"
      },
      {
        "cases": null,
        "default-count": 1,
        "description": null,
        "rule-type": "LIMIT"
      }
    ],
    "template": "ROUTE_BY_IP",
    "time-created": "2021-11-09T16:53:34.963177+00:00",
    "ttl": 30
  },
  "etag": "aad5bbcc-9d89-40cd-ab10-03dcc2e4ee0a"
}

IPリング・ポリシーが作成され、DNSドメインにアタッチできるようになります。

リング・ポリシーの編集

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。 DNSをクリックし、リング・ポリシーをクリックします。
更新するポリシーについて、アクション・メニューをクリックし、編集オプションをクリックします。
「リング・ポリシーの編集」ダイアログで必要な変更を行います。
変更が終了したら、ダイアログのSave Changesボタンをクリックします。

このリング・ポリシーの詳細ページが更新された情報とともに表示されます。

OCI CLIの使用

リング・ポリシーOCIDを取得します。

次のコマンドを使用して、指定したコンパートメント内のすべてのリング・ポリシーをリストし、更新するリング・ポリシーのOCIDを取得します:
```
# oci dns steering-policy list --compartment-id <compartment_OCID>
```
リング・ポリシー更新コマンドを実行します。

構文:
```
oci dns steering-policy update --steering-policy-id <steering_policy_OCID> \
<options_with_values_to_update>
```
例:

この例は、リング・ポリシーのanswersブロックの置換を示しています。表示名、ヘルス・チェック・モニター、ルールまたはルール・テンプレート、TTLおよびスコープを変更することもできます。
```
# oci dns steering-policy update --steering-policy-id ocid1.dnspolicy.unique_ID \
--answers file://answers.json
```
このコマンドは、steering-policy getコマンドと同じ出力を返します。

別のコンパートメントへのリング・ポリシーの移動

OCI CLIの使用

次の情報を取得します:
- リング・ポリシーが現在配置されているコンパートメントのOCIDと、リング・ポリシーを移動するコンパートメントのOCID。
```
# oci iam compartment list --compartment-id-in-subtree true
```
- リング・ポリシーOCID。
```
# oci dns steering-policy list --compartment-id <current_compartment_OCID>
```
リング・ポリシー更新コマンドを実行します。

構文:
```
oci dns steering-policy change-compartment -c <destination_compartment_OCID> \
--steering-policy-id <steering_policy_OCID>
```
このコマンドは、steering-policy getコマンドと同じ出力を返します。新しいcompartment-idを確認します。

リング・ポリシーへのドメインのアタッチ

そのドメインのDNS問合せに応答するには、ポリシーにリング・ポリシーをアタッチする必要があります。アタッチメントは、ドメイン・ゾーンと同じコンパートメントに自動的に配置されます。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。 DNSをクリックし、リング・ポリシーをクリックします。
ドメインをアタッチするポリシーの名前をクリックします。
リソース・セクションまでスクロールし、アタッチ済ドメインをクリックします。
アタッチされたドメインのリストで、Add Attached Domainボタンをクリックします。
「アタッチ済ドメインの追加」ダイアログで、ドメイン名を入力し、ゾーンを選択します。
「送信」ボタンをクリックします。

このリング・ポリシーのアタッチ済ドメイン・リストに新しいドメインが追加されます。

OCI CLIの使用

次の情報を取得します:
- リング・ポリシーOCID。次のコマンドを使用して、指定したコンパートメント内のすべてのリング・ポリシーをリストし、ドメインのアタッチ先のリング・ポリシーのOCIDを取得します:
```
# oci dns steering-policy list --compartment-id <current_compartment_OCID>
```
- リング・ポリシーにアタッチするドメインの名前。
- アタッチされたゾーンのOCID。次のコマンドを使用して、指定したコンパートメント内のすべてのゾーンをリストし、アタッチするドメインがあるゾーンのOCIDを取得します:
```
# oci dns zone list <compartment_OCID>
```
リング・ポリシー・アタッチメントのcreateコマンドを実行します。

構文:
```
oci dns steering-policy-attachment create --steering-policy-id <steering_policy_OCID> \
--domain-name <domain-name> --zone-id <zone_OCID>
```
--domain-name引数の値は、--zone-id引数で指定されたアタッチされたゾーン内のアタッチされたドメインです。

このコマンドは、steering-policy-attachment getコマンドと同じ出力を返します。

アタッチされたドメインの編集

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。 DNSをクリックし、リング・ポリシーをクリックします。
アタッチされたドメインを編集するポリシーの名前をクリックします。
リソース・セクションまでスクロールし、アタッチ済ドメインをクリックします。
編集するアタッチされたドメインの名前をクリックします。
アタッチされたドメインの詳細ページの上部にある編集ボタンをクリックします。
「リング・ポリシー・アタッチメントの編集」ダイアログで必要な変更を行います。
変更が終了したら、ダイアログのSave Changesボタンをクリックします。

このリング・ポリシー・アタッチメントの詳細ページが更新された情報とともに表示されます。

OCI CLIの使用

リング・ポリシー・アタッチメントOCIDを取得します。

次のコマンドを使用して、指定したコンパートメント内のすべてのリング・ポリシー・アタッチメントをリストし、更新するリング・ポリシー・アタッチメントのOCIDを取得します:
```
# oci dns steering-policy-attachment list --compartment-id <compartment_OCID>
```
リング・ポリシー・アタッチメントの更新コマンドを実行します。

構文:
```
oci dns steering-policy-attachment update \
--steering-policy-attachment-id <steering_policy_attachment_OCID>
```
このコマンドは、steering-policy-attachment getコマンドと同じ出力を返します。

リング・ポリシー・アタッチメントの削除

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。 DNSをクリックし、リング・ポリシーをクリックします。
アタッチメントを削除するポリシーの名前をクリックします。
リソース・セクションまでスクロールし、アタッチ済ドメインをクリックします。
削除するアタッチされたドメインについて、アクション・メニューをクリックし、削除オプションをクリックして削除を確認します。

リング・ポリシー・アタッチメントがアタッチ済ドメイン・リストから削除されます。

OCI CLIの使用

リング・ポリシー・アタッチメントOCIDを取得します。

次のコマンドを使用して、指定したコンパートメント内のすべてのリング・ポリシー・アタッチメントをリストし、削除するリング・ポリシー・アタッチメントのOCIDを取得します:
```
# oci dns steering-policy-attachment list --compartment-id <compartment_OCID>
```

リング・ポリシー・アタッチメント削除コマンドを実行します。

構文:

oci dns steering-policy-attachment delete \
--steering-policy-attachment-id <steering_policy_attachment_OCID>

リング・ポリシーの削除

どのゾーンにもアタッチされているポリシーは削除できません。ゾーンからポリシーをデタッチするには、「リング・ポリシー・アタッチメントの削除」を参照してください。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。 DNSをクリックし、リング・ポリシーをクリックします。
削除するポリシーの名前をクリックします。
リソース・セクションまでスクロールし、アタッチ済ドメインをクリックして、このポリシーに添付されたドメインがないことを確認します。
リング・ポリシーの詳細ページの上部にある削除ボタンをクリックし、このリング・ポリシーを削除することを確認します。

リング・ポリシー・リスト・ページが表示されます。

OCI CLIの使用

リング・ポリシーOCIDを取得します。

次のコマンドを使用して、指定したコンパートメント内のすべてのリング・ポリシーをリストし、削除するリング・ポリシーのOCIDを取得します:
```
# oci dns steering-policy list --compartment-id compartment_OCID
```

リング・ポリシー削除コマンドを実行します。

構文:

oci dns steering-policy delete --steering-policy-id steering_policy_OCID

ネットワーキング・シナリオ

仮想化クラウド環境のすべてのネットワーク・シナリオは、物理スイッチ、ルーターおよびゲートウェイによって接続された個々のIPサブネットのシナリオに類似しています。つまり、仮想デバイスでは、フレームおよびIPアドレスのソースおよび宛先アドレスとしてのMAC (ハードウェア)アドレスが、パケット内の宛先アドレスととしてのままになります。

コンテンツ配信は本質的に同様に機能します。ソースIPアドレスと宛先IPアドレスのネットワーク部分が同じ定義済VCNサブネット内にある場合、配信は、ソースと宛先のMACフレーム・アドレスに基づく論理スイッチ(ブリッジ)を介して行われます。ソースIPアドレスと宛先IPアドレスのネットワーク部分が異なるVCNサブネットにある場合、配信はソースと宛先IPパケット・アドレスに基づきます。

Oracle Private Cloud Applianceの論理スイッチを構成する必要はありません。 MACアドレスは、論理スイッチに接続されているすべてのほかのエンティティで認識されます。複数のVMを同じVCNサブネットに配置すると、通信しても問題ありません。インスタンス分離が目標である場合は、それぞれに個別のサブネットまたはVCNを確立します。

論理ルーター

異なるVCNサブネット間のトラフィックは、定義によって少なくとも1つの論理ルーターによって処理されます。 IPパケット・アドレスを使用して転送ステップを決定するデバイス、およびリンクする異なるサブネット上で異なるMACフレーム・アドレスを使用するデバイスは、ルーターと呼ばれます。ルーターがインターネットにアタッチする場合、これらの仮想デバイスはインターネット・ゲートウェイ(IGW)です。

送信元または宛先のIPアドレス規則にIPネットワーク・アドレス変換(NAT)が含まれている場合、パケットは一部のタイプのNATゲートウェイによって処理されます(いくつかのタイプのNATゲートウェイがあります)。 NATの形式が使用されている場合は、NATゲートウェイ(NATGWまたはNGW)です。

仮想化されたクラウド・ネットワーキングの多くのケースでは、ルーティングは非常にシンプルで、宛先が豊富である小規模の静的ルーティング表によって処理できます。より複雑な仮想環境では、定期的に更新される動的情報を含む、より複雑な論理ルーターが必要です。

論理ルーターはパケットのIPアドレスを検査します。 IPアドレス(発信元と宛先)は、Oracle Private Cloud Applianceの「ルート・ルール表」というルート表で検索され、IPアドレス・ルールで許可されている場合、パケットを次のホップ(別のルーター)または宛先(ローカル配信用)に転送します。ルート・ルールがIPアドレスに適用されない場合、パケットはサイレント・ドロップされ、エラー・メッセージは生成されません(これは、ブロックされたプローブが情報を収集しないようにするためのセキュリティ機能です)。ただし、このエラー・メッセージの欠落は、ルート・ルールを慎重に構成する必要があることを意味します。

ルーティング・ルールに関して特別なIPアドレスは1つです。これはIPv4アドレス0.0.0.0/0で、基本的にすべてのIPアドレスに一致します。一部のドキュメントでは、0.0.0.0/0表記法をIPアドレスCIDRブロックと呼びますが、同じユニバーサル一致がコールされてもtrueです。

たとえば、次のルート・ルールでは、VCN内から任意のIPアドレスにパケットが送信され、インターネットへのゲートウェイに到達できます:

Destination                                                          Target
0.0.0.0/0                                          Internet Gateway  vcn-20210714-0910

ルート・ルールは、パケットの宛先を判別するよりも多くなります。ルート・ルールは、ネットワーク・ファイアウォールの基礎も形成します。

ファイアウォールの使用

インターネットへのアクセスは便利ですが、脆弱性とセキュリティに懸念があります。ファイアウォールは、ネットワーク要素間のトラフィックの空きパスを制限し、ネットワークを保護するために存在します。ファイアウォール(論理または物理)は、特定のソースから特定の宛先へのトラフィック・フローを調べ、ルート・ルール表の構成済セキュリティ・ルールに基づいてパケットを許可またはブロックします。

ファイアウォールは、外部ソースから外部ソースへのトラフィックを許可またはブロックするだけでなく、同じVCN内のサブネットに渡されるトラフィックを検証するように構成する必要があります。脅威は外部ソースから発生する可能性がありますが、ネットワーク内で危険にさらされたインスタンスから発生することもあります。

ネットワーク・セグメンテーションの使用

仮想ネットワークを1つのビッグ・エンティティとして構成し、他のすべてから簡単に到達できるようにします。ただし、これにより、攻撃者がネットワークを危険にさらすことが比較的容易になります: かつては、どこにでもいる。ネットワークにセグメンテーションを使用し、リソースおよびデータを様々なセグメントにグループ化することをお薦めします。

Oracle Private Cloud Applianceでは、セグメントは基本的にネットワーク・セキュリティ・グループです。

通常は、類似性またはデータの機密性に基づいてデータとリソースをグループ化します。たとえば、データセンターから受信したすべてのトラフィックを検査するグループを設定できます。セキュリティ・ルールに基づいて、このトラフィックをアプリケーション・サーバーのグループに渡してから、データベース・サーバーに渡すことができます。

このアプローチでは、グループ間のファイアウォールによって、データ・センターの危険にさらされたコンポーネントからアプリケーションとデータベース・サーバーが保護されます。

トンネリングの使用

仮想化されたクラウド・ネットワーキングの複雑さの1つは、IPアドレスをVCNサブネットに割り当てる中心的な権限がないことです。 VCN-1のSubnet-1にあるIPアドレス192.168.1.6をVM-1に、別のハイパーバイザがVCN-1のSubnet-1で同じIPアドレス192.168.1.6をVM-7に割り当てるなど、1つのハイパーバイザが割り当てられない。ただし、様々な表が正しく構成されている場合は、引き続き通信できます。

これらのネットワーク・アドレスの複雑さを効果的に非表示にするために、Oracle Private Cloud Applianceは、IPトンネルを介して論理ルーターなどのネットワーク・コンポーネント間でトラフィックを移動します。ただし、このトンネルの使用(一般的なIPネットワーク手法)では、ネットワーク・シナリオは変更されません。インスタンスにはまだIPアドレスがあり、これらのアドレスは引き続き特定のサブネットに割り当てられ、サブネットは仮想ネットワーク・インタフェース・カード(VNIC)に割り当てられます。同じハイパーバイザで実行されている様々なインスタンスからのすべてのトラフィックは、ソースと宛先の間の次のデバイスへの転送のためにIPトンネルに結合されます。

仮想クラウド・ネットワークの使用

テナンシで実行されるプライベート・クラウド・ネットワークである1つ以上のVCNにリソースが収集されると簡単に言えます。ただし、リソースのグループを宣言してVCNの境界を作成するよりも、VCNはかなり多く存在します。

VCNを計画することは、デプロイメントの重要な部分です。 VCNは、アプリケーション・サーバー、データベース、提供されるその他のサービスを構築するための基盤として機能します。 VCNは、冗長性、高可用性、スケーラビリティ、セキュリティなどのあらゆるニーズを考慮する必要があります。

この項では、VCNの重要な部分について説明します。

IPアドレス範囲

VCNを計画する場合、最初に行うディシジョンは、使用するIPアドレスCIDRブロックです。

ノート:

CIDRブロックの計算に役立つリソースは、: CIDRのIPアドレス・ガイド

VCNネットワーク・アドレス範囲は、 /16から /30までの任意のVLSMにする必要があります。これは、4つの使用可能なIPアドレス(/30)から65,536の使用可能なIPアドレス(/16)間の仮想ネットワークをカバーしますが、最も高いIPアドレスと最も低いIPアドレスはエンドポイント・デバイスには役立ちません。

VCNに選択されたCIDRブロックのサイズは重要です。サイズが大きすぎると、ネットワーク内の他の場所で使用できるIPアドレスが無駄になります。サイズが小さすぎると、VCNに十分なIPアドレスがないため、ソリューションはスケーリングされません。常に別のVCNを作成して相互にピアリングできますが、これは慎重な計画によって回避できる問題です。

VCN CIDRブロックに関するいくつかの重要なポイントがあります:

VCNは、RFC1918プライベート・アドレス範囲のいずれかを使用する必要があります: 10.0.0.0/8、172.16.0.0/12および192.168.0.0/16。
VCNは連続したIPv4 CIDRブロックを使用します。 IPv6はサポートされていません。
作成後にVCNおよびサブネット・サイズ(10.100.0.0/21など)を変更することはできません。 IPアドレス範囲は、ピアリングするVCNと重複できません。
VCN内のサブネットは相互に重複することはできません。
範囲内の最大および最小のIPアドレスは、ネットワーク機能用に予約されています。

IPサブネット

サブネットは、CIDRで確立された継続的なIPアドレス範囲を使用するVCNの下位区分です。サブネットは、IPアドレス別にリソースをグループ化します。

VCNのパースペクティブから、サブネットはパブリックまたはプライベートにできます。 Oracle Private Cloud Applianceのコンテキストでは、プライベートVCNアドレスは、同じプライベート・アドレス領域を使用している他のVCNと対話する前に、NATを使用して変更する必要があります。パブリックVCNアドレスにより、データ・センター・ネットワークへの接続が可能であり、ラック外からアクセスできます。

ただし、RFC1918アドレス空間は、パブリックIPアドレス空間(外部データ・センター接続が可能)とプライベートIPアドレス空間(Oracle Private Cloud Applianceラック内で接続可能)の両方にサブネット化できます。

たとえば、VCNではIP CIDRブロックを使用してこれを実行できます:

Subnet Name                           Subnet Access                               IP CIDR Block

Public_Subnet_01                      Public                                      10.100.0.0/24
Private_Subnet_01                     Private                                     10.100.1.0/24

Public_Subnet_01には、10.100.0.0から10.100.0.255までの256個のIPアドレスがあります(これらの2つのアドレスはデバイスには使用されず、ほとんどのIPネットワークで特別な用途があります)。ネットマスクは255.255.255.0です

Private_Subnet_01には、10.100.1.0から10.100.1.255までの256個のIPアドレスもあります(また、下位アドレスと上位アドレスはデバイスにはあまり役立ちません)。ネットマスクは255.255.255.0です。

2つのアドレス範囲が重複していないことに注意してください。 (パブリック・レンジが10.100.0.0/23の場合、256個のデバイスが10.100.1.0/24と重複します。)

ルート表

VCNは、ルート表を使用して、インスタンスによるトラフィックの送受信を管理するルールを保持します。 VCNは、次のような宛先へのフォーム到達を許可または禁止できます:

グローバル・パブリック・インターネット
日付センター・ネットワークなどのオンプレミス・ネットワーク
ピアVCN

VCNが作成されるたびに、デフォルト・ルート表を持つ仮想ルーターも作成されます。

セキュリティを向上させるには、デフォルト・ルールを使用するのではなく、サブネットごとに専用のルート表を作成することをお薦めします。これは、必要なセキュリティ・レベルに適していない可能性があります。専用ルート表は、各サブネットが必要とするルート・ルールをより効果的に管理できます。たとえば、サブネットでグローバル・パブリック・インターネットへのトラフィックの送信が許可されている場合、そのサブネットのルート表には、「ユニバーサル宛先」0.0.0.0/0を使用してインターネット・ゲートウェイにトラフィックをルーティングするルールが必要です。

ノート:

CIDRブロック0.0.0.0/0は、IPv4アドレス空間のすべてのアドレスに一致します。これは、「任意のサブネット・マスクを持つ任意のIPv4アドレス」を意味します。

グローバル・パブリック・ネットワーク・アクセスを必要としないサブネットには、ルート表にそのルールを含めないでください。さらに、次もあります。

VCN内のソースと宛先とのトラフィックは、ルート表ルールによって制御されません。
ルールが重複する場合(通常は異なるCIDRブロックまたはサブネットに関して)、より具体的なルールが適用されます(最も長い一致と見られることが多い)。
トラフィック・フローに適用されるルールがない場合、トラフィックは暗黙的に削除されます(エラー・メッセージは送信されません)。

ルート表のすべてのルールにターゲットがあります。ターゲットは、任意のネットワークの共通コンポーネントの機能ネットワーク・ノードです:

動的ルーティング・ゲートウェイ(DRG): ルート表ルールは静的に構成されていませんが、BGPなどのルーティング・プロトコルを使用して変更します。
グローバル・パブリック・インターネットに接続するためのインターネット・ゲートウェイ(IG)。
IPアドレス変換用のNATゲートウェイ(NATG)。
サービス・ゲートウェイ(SG)は、他のサブネットの多様なサービスに到達できます。
ピアVCNに接続するためのローカル・ピアリング・ゲートウェイ(LPG)。
プライベートIPアドレス。VCN内の特定のインスタンスにトラフィックをルーティングします。

たとえば、VCNには、次のルールを持つルート表を含めることができます:

Subnet Name                           Route Table                                Target

Public_Subnet_01                      Public_Subnet_01_Route_Table               IG
Private_Subnet_01                     Private_Subnet_01_Route_Table              NAT Gateway

ルート表は、VCNセキュリティの基盤です。

セキュリティ・リストとネットワーク・セキュリティ・グループ

オンプレミス・ネットワークにはファイアウォールのようなセキュリティが必要な場合があります。しかし、セキュリティは常にすべてのコンテキストで重要であり、すべての脅威が組織の外部から来るわけではありません。

Oracle Private Cloud Applianceには、パケット・レベルでトラフィックを制御するためにファイアウォールのように動作する2つのセキュリティ・ネットワーキング・メカニズムが用意されています:

セキュリティ・リスト。サブネットの物理ファイアウォールなどに使用されます。
ネットワーク・セキュリティ・グループ(NSG)。サブネットをまたがるインスタンスのグループのファイアウォールとして機能します。

セキュリティ・リストを使用して、サブネットのすべてのインバウンド(イングレス)トラフィックとアウトバウンド(エグレス)トラフィックに適用されるルールを定義します。サブネット当たり最大5つのセキュリティ・リストを関連付けることができます。ルート表と同様に、デフォルトのセキュリティ・リストと専用のセキュリティ・リストがあります。より適切に管理および管理するには、サブネットごとに専用のセキュリティ・リストを必ず使用してください。

セキュリティ・リストとは対照的に、NSGでは、インスタンスが異なるサブネットにあっても、インスタンスのグループのルールを作成できます。たとえば、すべてのデータベース・サーバーまたは特定のアプリケーションを実行しているすべてのアプリケーション・サーバーに同じNSGを適用できます。セキュリティを特定のサブネットに適用するかわりに、NSGを作成し、適切なインスタンスをNSGに追加します。

セキュリティ・リストまたはNSGを使用する必要はありません。セキュリティ・リストは、NSGを確立せずに使用することも、セキュリティ・リストを作成せずにNSGを作成することもできます。ただし、セキュリティ・リストとNSGの両方を使用する場合、VNICに適用されるルールは、VNICのセキュリティ・リストに含まれるルールとNSGからのそのVNICに固有のルールの和集合(両方のセット)になります。

VCNを作成する際、3つのイングレス・ルールと1つのエグレス・ルールを含むデフォルト・セキュリティ・リストが作成されます。デフォルトのルールはステートフルです。つまり、どの接続であるか、およびリクエストにレスポンスが続いていること、およびルールでこれを考慮に入れる必要があることを意味します。対照的に、状態に関係なく、すべてのパケットにステートレス・ルールが適用されます。

デフォルトのイングレスおよびエグレス・セキュリティ・ルールは、表示すると次のようになります。まず、イングレス・ルール(10.0.0.0/16 CIDRブロックの場合):

Stateless Source       Source Type  IP Protocol Source Port Range Destination Port Range  Type and
                                                                                          Code

No        10.0.0.0/16  CIDR Block   ICMP                                                  3
No        0.0.0.0/0    CIDR Block   ICMP                                                  3, 4
No        0.0.0.0/0    CIDR Block   TCP         22 - 22            22 - 22

これらのルールは、行ごとに次のように読み取ることができます:

ICMPプロトコル・タイプ= 3メッセージ形式(宛先に到達できません)およびすべてのコードを使用して、VCN 10.0.0.0/16 CIDRブロックから発生したトラフィックに適用されるステートフル・ルールがあります。つまり、このルールにより、10.0.0.0/16 CIDRブロック内のデバイスは、任意のコード(NetやHost Unreachableなど)を持つ宛先に到達できないメッセージを、送信者(VCNサブネット内の別のインスタンス)に戻すことができます。
ICMPプロトコル・タイプ= 3メッセージ形式(Destination Unreachable)およびコード= 4 (メッセージは断片化されている必要があるが、Do Not Fragment (DF)ビットがパケットに設定されているIPアドレス(0.0.0.0/0 CIDRブロック)から発生するトラフィックに適用されるステートフル・ルールがあります: これらはパスMTU検出メッセージです)。つまり、このルールでは、コンテンツがこのVCNサブネットに設定されたMTUサイズを超えているため、断片化する必要があるパケットにDFビットが設定されていることをデバイスに通知できます。
接続指向TCPプロトコルおよびソース・ポートまたは宛先ポート= 22 (SSH)を使用して、任意のIPアドレス(0.0.0.0/0 CIDRブロック)から発生するトラフィックに付加されるステートフル・ルールがあります。つまり、このルールでは、このVCNサブネットのSSHが許可されます。

この最後のルールによって、新しいVCNおよびサブネットを作成し、Linuxインスタンスを起動し、SSHを使用して新しいセキュリティ・リスト・ルールを記述せずにそのインスタンスに接続できます。

重要:

デフォルトのイングレス・セキュリティ・リストには、リモート・デスクトップ・プロトコル(RDP)アクセスを許可するルールは含まれていません。「Windowsイメージ」を使用している場合は、認可されたソースIPアドレスおよびすべてのソース・ポートから、宛先ポート3389上のTCPトラフィックに対してステートフル・イングレス・ルールを追加してください。詳細は、「RDPアクセスを有効にするには」を参照してください。

単一のエグレス・ルールは非常にシンプルです:

Stateless Source       Source Type  IP Protocol Source Port Range Destination Port Range  Type and
                                                                                          Code

No        0.0.0.0/0    CIDR Block   All

これは、次のように読み取ることができます: 「送信元アドレスを持つパケット、およびVCNを離れる任意のIPプロトコルを持つパケットを許可するステートフル・ルールがあります。」。これは基本的に、何も問題なくVCNサブネットから離れる可能性があることを示しています。

デフォルトのセキュリティ・リストには、ステートレス・ルールはありません。ただし、デフォルトのセキュリティ・リストに対していつでもルールを追加または削除できます。

これらのデフォルト・ルールをNSGで使用するには、デフォルトのイングレスおよびエグレス・ルールにIngress_Security_List_Subnet01やEgress_Security_List_Subnet01などの個別名を付けます。これらのルールをNSGに追加する前に、まずNSGを作成する必要があります。 NSGを作成するには、名前を付け、既存のコンパートメントに割り当てる必要があります。タグを追加することもできますが、後で追加できます。

ネットワーク・ゲートウェイの例: インターネット・ゲートウェイ

VCNは、Oracle Private Cloud Applianceの基本的なネットワーク・ユニットであり、特定の目的で使用される様々なタイプのゲートウェイを介して他のプロセスと通信できます。

この例では、ラックの外部からVCNへのアクセスは、インターネット・ゲートウェイ(IGW)を介して確立されます。作業中のIGWを生成するためのすべてのステップについて詳しく説明します。

この例では、インスタンス内で実行されているパブリックIPサブネット上のwebサーバーへのアクセスを許可するようにIGWを設定します。また、デフォルトのセキュリティ・リストにイングレス・ルールを追加して、パブリック・サブネット上のwebサーバーへの外部アクセスを許可します。次に、この例では、HTTP暗号化トラフィックの標準ポートであるTCPポート443でHTTPS接続のイングレス接続を許可します。

このイングレス・ルールがない場合、インバウンドHTTPS接続は許可されません。新しいルールstatefulを作成する必要があります。これはデフォルトであり、レスポンスの明示的なルールを作成せずにHTTPSリクエストへの返信を許可します。

次に、この例では、既存のIGWターゲットをルート・ルールに追加します。ルート・ルールは、VCNのデフォルト・ルート表、またはIGWに到達するために作成された新しいルート表に追加されます。ルート・ルールでは、CIDRブロック0.0.0.0/0が使用されます。これは、ルート表の他のルールでカバーされていないすべてのトラフィックが、この新しいルールで指定されたIGWターゲットに送信されることを意味します。

この例には、IGWを有効または無効にするステップと、その削除方法が含まれます。

概要

IGWの確立および使用には3つの主要な操作があります。各ステップには独自の前提条件セットがあり、通常は「コンピュートWeb UI」またはOCI CLIを使用して構成できます。両方のメソッドが使用可能な場合は、両方のメソッドが表示されます。

IGWを構成および操作するために使用する3つのアクティビティは次のとおりです:

IGWの設定
IGWのルールを含めるようにルート表を作成または更新
セキュリティ・リストまたはNSGの更新

インターネット・ゲートウェイの設定

最初に実行する必要があるのは、IGWを構成することです。

基本的なインターネット・ゲートウェイ構成

IGWを設定および使用する前に評価する必要がある特定の考慮事項があります:

VCNにはインターネット・アクセスが必要なパブリック・サブネットがあります。 (パブリック・サブネットのみがIGWを正常に使用できます。)
デフォルトの条件はアクセスを拒否するため、許可されるイングレスおよびエグレス・インターネット・トラフィックのタイプが決定されている必要があります。これには、イングレスHTTPS接続、イングレスICMP pingまたはその他のタイプのトラフィックが含まれます。 IGWは、主にイングレス・ネットワーク・プロトコル・リクエストに応答します。

IGWの基本構成については、「インターネット・ゲートウェイを介したパブリック・アクセスの提供」を参照してください。続行する前に、この初期構成を実行する必要があります。

IGWが作成されたら、VCNまたはインスタンス・ポートのネットワーク・セキュリティ・グループ(NSG)のルート表およびセキュリティ・リストでIGWを正しく動作させるために、2つの追加のステップが必要です。まず、認可されたトラフィックを適切なゲートウェイ宛先に送信するように、サブネットのルート表エントリを構成する必要があります。次に、IGWに含むVCNには、不正アクセスを防止し、ユーザーが必要なリソースにアクセスできるようにするための正しいセキュリティ・ルールが必要です。

ルート表エントリの設定

インターネット・ゲートウェイを使用する必要がある各パブリック・サブネットは、IGWへのルートが含まれるようにサブネット・ルート表エントリを更新する必要があります。

各ルート・ルールでは、宛先CIDRブロックと、そのCIDRに一致するトラフィックのターゲット(ネクスト・ホップ)を指定します。ルールを作成する前に、ルールのターゲット(この場合はIGW)を作成する必要があります。

この例では、既存のIGWターゲットをVCNのデフォルト・ルート表のルート・ルールに追加します。特にIGWに到達するための新しいルート表を作成することもできますが、ここでは作成しません。ルート・ルールはCIDRブロック0.0.0.0/0を使用して、ルート表内の他のルールでカバーされないすべてのトラフィックがこの新しいルールで指定されたIGWターゲットに送信されるようにします。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
ルート表を作成するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のRoute Tablesをクリックします。
デフォルト・ルート表の詳細ページに移動し、ルート・ルールの追加ボタンをクリックします。
「+新規ルール」をクリックし、この例の次の情報を入力します:
- ターゲット・タイプ: リストからInternet Gatewayを選択します。
- CIDRブロック: トラフィックの宛先CIDRブロックとして0.0.0.0/0と入力します。
- ターゲット: ターゲットはIGWです。矢印をクリックしてターゲットIGWを選択します。矢印のすぐ上にあるコンパートメントの変更が必要になる場合があります。
- 説明: 「IGWの新規ルール」など、ルールの説明(オプション)。
ダイアログのルート表ルールの作成ボタンをクリックします。

編集したデフォルト・ルート表の詳細ページが表示されます。サブネットはデフォルト・ルート表を使用するように設定されているため、サブネット内のリソースでインターネット・ゲートウェイを使用できるようになりました。

OCI CLIの使用

コマンドを実行するために必要な情報を収集します:
- このルート表を作成するコンパートメントのOCID ( oci iam compartment list)
- このルート表のVCNのOCID (oci network vcn list --compartment-id compartment_OCID)

--route-rulesオプションの引数を作成します。

ルート・ルールはJSON形式です。ルールの書式設定方法を確認するには、次のコマンドを使用します:

oci network route-table update --generate-param-json-input route-rules > route_rule_format.json

例(次のコンテンツをIGW_route_rule.jsonファイルに入力します):

[
  {
    "cidr-block": "0.0.0.0/0",
    "description": null,
    "destination": null,
    "destination-type": "CIDR_BLOCK",
    "network-entity-id": "ocid1.internetgateway.unique_ID"
 }
]

ルート表更新コマンドを実行します。

構文:

oci network route-table update --compartment-id compartment_OCID \
--vcn-id vcn_OCID --route-rules file:///home/flast/IGW_route_rule.json

oci network route-table get --rt-id ocid1.routetable.unique_ID

ルート表ルールが追加されると、IGWはサブネットおよびVCNからアクセスできるようになります。

インターネット・ゲートウェイのセキュリティ・ルールの確立

IGWが作成されたら、ゲートウェイへの不正アクセスを防ぐために、正しいセキュリティ設定を確立する必要があります。たとえば、外部のすべてのHTTPSアクセスは、セキュアなwebページ・アクセスのデフォルト・ポートであるポート443にのみアクセスできるようにする必要があります。この明示的な規則がない場合、標準ポートに到達できません。

この項では、セキュリティ・リストを使用してこの目標を達成しますが、Oracleが推奨するネットワーク・セキュリティ・グループ(NSG)のセキュリティ・ルールを使用して同様の結果を実現できます。

セキュリティ・リストおよびNSGの詳細は、「仮想ネットワークの概要」を参照してください。

重要:

デフォルト・セキュリティ・リストを使用するようにパブリック・サブネットを構成している場合は、イングレスSSHやすべての宛先へのエグレス・アクセスなどの基本的なアクセスを有効にするルールがデフォルトに含まれていることに注意してください。 Oracleでは、この基本的なアクセス・セットのルールについて理解することをお薦めします。デフォルトのセキュリティ・リストを使用しない場合は、カスタマイズしたセキュリティ・ルールまたはそれらの変更済ルールを含むNSGで、基本アクセスがまだ提供されることを確認してください。

この例では、デフォルトのセキュリティ・リストにイングレス・ルールを追加して、HTTP暗号化トラフィックの標準ポートであるTCPポート443でのHTTPS接続のイングレス接続を許可します。

このイングレス・ルールがない場合、インバウンドHTTPS接続は許可されません。レスポンスの明示的なルールを作成せずにHTTPSリクエストへの返信を許可する新しいルールstatefulを作成する必要があります。

デフォルトの変更や既存のセキュリティ・リストへのルールの追加ではなく、新しいセキュリティ・リストの作成の詳細は、「セキュリティ・リストの作成」を参照してください。

「コンピュートWeb UI」の使用

ナビゲーション・メニューを開きます。ネットワーキングで、仮想クラウド・ネットワークをクリックします。
セキュリティ・リストにルールを追加するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
Resourcesの下のSecurity Listsをクリックします。
ルールを追加するセキュリティ・リストで、アクション・メニューをクリックし、編集をクリックして「セキュリティ・リストの編集」ダイアログを開きます。イングレス・ルールの許可およびエグレス・ルールの許可セクションのルールを更新します。
新しいルールを追加するには、「ルールの許可」セクションで「+新規ルール」ボタンをクリックします。セキュリティ・リストの名前およびタグを更新することもできます。
終了後、ダイアログの変更の保存ボタンをクリックします。

TCPポート443イングレス・ルールを使用するHTTPSの例では、次の情報を入力します:

ステートレス: 受信HTTPSリクエストへのレスポンスを許可するには、新しいルールがステートフルである必要があります。ステートレス・ボックスが選択されていないことを確認します。ステートレス・ルールおよびステートフル・ルールの詳細は、「Oracle Private Cloud Appliance概要ガイド」の「仮想ネットワークの概要」の"Security Lists"を参照してください。
CIDR: すべてのIPソース・アドレスにルールを適用する、例0.0.0.0/0,のCIDRブロック。
IPプロトコル: ドロップダウン・リストからTCPプロトコルを選択します。
ポート範囲:
- ソース・ポート範囲: 空白のままにします。
- 宛先ポート範囲: 443と入力します。
説明: ルールのオプションの説明(「TCPポート443でのHTTPSのステートフル・トラフィックの許可」など)。

Save Changesをクリックして新しいルールを保存します。新しいルールはいつでも編集できます。

OCI CLIの使用

更新するVCNのデフォルト・セキュリティ・リストのOCIDを取得します( oci network vcn list --compartment-id compartment_OCID)

ルールを更新するには、「セキュリティ・リストの作成」の説明に従って、--ingress-security-rulesおよび--egress-security-rulesオプションの引数を構成します。これらのルール・オプションに指定する引数によって、既存のルールが上書きされます。既存のルールを保持する場合は、次のコマンドを使用して現在のルールを表示し、新しいオプション引数に保持するルールをコピーします。

$ oci network security-list get --security-list-id ocid1.securitylist.unique_ID

例(ファイルIGW_ingress_rule.jsonに次の内容を入力します):

[
  {
    "description": null,
    "icmp-options": null,
    "is-stateless": false,
    "protocol": "6",
    "source": "0.0.0.0/0",
    "source-type": "CIDR_BLOCK",
    "tcp-options": {
      "destination-port-range": {
        "max": 22,
        "min": 22
      },
      "source-port-range": null
    },
    "udp-options": null
  },
  {
    "description": null,
    "icmp-options": null,
    "is-stateless": false,
    "protocol": "6",
    "source": "0.0.0.0/0",
    "source-type": "CIDR_BLOCK",
    "tcp-options": {
      "destination-port-range": {
        "max": 443,
        "min": 443
      },
      "source-port-range": null
    },
    "udp-options": null
  }
]

security list updateコマンドを実行して、HTTPSおよびTCPポート443トラフィックのルールを追加します。

例:

oci network security-list update  \
--security-list-id ocid1.securitylist.unique_ID \
--ingress-security-rules file:///home/flast/IGW_ingress_rule.json

WARNING: Updates to defined-tags and egress-security-rules and freeform-tags and 
 ingress-security-rules will replace any existing values. 
 Are you sure you want to continue? [y/N]: y