機械翻訳について
  1. 概要ガイド
  2. 仮想ネットワークの概要
  3. ネットワーク・ゲートウェイ

ネットワーク・ゲートウェイ

VCNとの間のトラフィックを管理するために、追加機能を提供するオプションの仮想ルーターを追加できます。 ルート表にルールを設定して、サブネットからゲートウェイを介してVCN外の宛先にトラフィックをルーティングします。 この項では、各ゲートウェイ・タイプのロールと使用方法について説明します。

動的ルーティング・ゲートウェイ

動的ルーティング・ゲートウェイ(DRG)は、VCNとオンプレミス・ネットワーク間のプライベート・ネットワーク・トラフィックのパスを提供します。 Private Cloud Applianceのコンテキストでは、このトラフィックはデータセンター・ネットワークおよびその宛先にルーティングされます。 データ・センター・ネットワークは、アプライアンス環境の外部にあるため、パブリック・ネットワークとみなされます。 しかし、トラフィックがインターネットを経由しないため、トンネルの形式は必要ありません。 これは、パブリック・クラウド環境との大きな違いです。

アクセス制御の目的で、DRGを作成するときは、DRGを配置するコンパートメントを指定する必要があります。 使用するコンパートメントがわからない場合は、DRGをVCNと同じコンパートメントに配置します。

DRGはスタンドアロン・オブジェクトです。 これを使用するには、VCNにアタッチする必要があります。 APIでは、アタッチのプロセスによって、独自のOCIDを持つDRGアタッチメント・オブジェクトが作成されます。 DRGをデタッチするには、アタッチメント・オブジェクトを削除します。

VCNは一度に1つのDRGにのみアタッチできますが、DRGは複数のVCNにアタッチできます。 DRGをデタッチして、いつでも再アタッチできます。 DRGをアタッチした後、DRGを使用するようにVCNのルーティングを更新する必要があります。 そうしないと、VCNからのトラフィックはDRGに流れません。

基本的なルーティング・シナリオでは、VCNのサブネットからDRGにトラフィックを送信します。 サブネットからオンプレミス・ネットワークにトラフィックを送信する場合、サブネット・ルート表にルールを設定します。 ルール宛先CIDRはオンプレミス・ネットワークまたは内部のサブネットのCIDRで、ルール・ターゲットはDRGです。

ノート:

PCAラックに存在する異なるDRG上のVCN間の通信は、2つのVCNを接続する顧客データ・センター・ネットワーク上のルート・エントリおよびファイアウォール・アクセスが顧客から提供される場合に可能です。

NATゲートウェイ

NATゲートウェイにより、パブリックIPを持たないクラウド・リソースがオンプレミス・ネットワークにアクセスでき、これはVCNの視点から外部パブリック・ネットワークであり、それらのリソースを公開しません。 特定のVCNのコンテキストでNATゲートウェイを作成すると、作成時にゲートウェイがそのVCNに自動的にアタッチされます。 ゲートウェイを使用すると、ホストはオンプレミス・ネットワークへの接続を開始してレスポンスを受信できますが、オンプレミス・ネットワークから開始されたインバウンド接続の受信を阻止できます。 NATゲートウェイは高可用性で、TCP、UDPおよびICMPのpingトラフィックをサポートします。 Networkingサービスは、パブリックIPアドレスをNATゲートウェイに自動的に割り当てます。 パブリックIPアドレスを選択できません。

プライベート・ネットワークのホストがオンプレミス・ネットワークへの接続を開始すると、NATデバイスのパブリックIPアドレスがアウトバウンド・トラフィックのソースIPアドレスになります。 したがって、オンプレミス・ネットワークからのレスポンス・トラフィックは、そのパブリックIPアドレスを宛先IPアドレスとして使用します。 次に、NATデバイスは、レスポンスをプライベート・ネットワークに、接続を開始したホストに転送します。

VCNルーティングはサブネット・レベルで制御されるため、NATゲートウェイを使用するサブネットを指定できます。 Private Cloud Applianceでは、VCNごとに1つのNATゲートウェイのみがサポートされます。

アクセス制御の目的で、NATゲートウェイを作成するときは、ゲートウェイを配置するコンパートメントを指定する必要があります。 使用するコンパートメントがわからない場合は、ゲートウェイをVCNと同じコンパートメントに配置します。

デフォルトでは、NATゲートウェイは、作成時にトラフィックを許可します。 ただし、ゲートウェイを介したトラフィックをいつでもブロックまたは許可できます。 NATゲートウェイをブロックすると、VCN内の既存のルート・ルールまたはセキュリティ・ルールに関係なく、すべてのトラフィックが防止されます。

インターネット・ゲートウェイ

インターネット・ゲートウェイは、VCNのエッジをオンプレミス・ネットワークに接続します。 インターネット・ゲートウェイを介してルーティングされるトラフィックの最終的なターゲットは、インターネットである可能性があります。 ただし、プライベート・クラウド・モデルでは、インターネット・ゲートウェイはトラフィックをオンプレミス・ネットワークにルーティングします。 インターネットとの間のトラフィックは、オンプレミス・ネットワークのルーティング構成によって管理されます。

特定のVCNのコンテキストでインターネット・ゲートウェイを作成すると、作成時にゲートウェイがそのVCNに自動的にアタッチされます。 ゲートウェイを使用するには、接続の両端にあるホストにルーティング用のパブリックIPアドレスが必要です。 VCNで発生し、VCNの内部または外部のパブリックIPアドレスを宛先とする接続は、インターネット・ゲートウェイを経由します。 VCNの外部で発生し、VCN内のパブリックIPアドレスを宛先とする接続もインターネット・ゲートウェイを通過します。

特定のVCNは、インターネット・ゲートウェイを1つのみ持つことができます。 サブネット関連ルート表を構成することで、VCN内のどのパブリック・サブネットがゲートウェイを使用できるかを制御します。 パブリック・サブネットのセキュリティ・リスト・ルールは、最終的に、サブネット内のリソースとの間で許可される特定のタイプのトラフィックを決定します。 インターネット・ゲートウェイは無効にできます。つまり、そのようなトラフィックを有効にする既存のルート・ルールに関係なく、インターネットとのトラフィック・フローやインターネットからのトラフィック・フローはありません。

アクセス制御の目的で、インターネット・ゲートウェイを作成する場合、ゲートウェイを配置するコンパートメントを指定する必要があります。 使用するコンパートメントがわからない場合は、ゲートウェイをVCNと同じコンパートメントに配置します。

ローカル・ピアリング・ゲートウェイ

VCNピアリングは、リソースがプライベートIPアドレスを使用して通信できるように、複数の仮想クラウド・ネットワーク(VCN)を接続するプロセスです。 VCNピアリングを使用して、たとえば、部門や事業分野に基づいてネットワークを複数のVCNに分割でき、各VCNは他のVCNに直接プライベート・アクセスします。 共有リソースは、他のすべてのVCNがプライベートにアクセスできる単一のVCNに配置することもできます。 ピアリングされた2つのVCNは、同じテナンシ内にすることも、異なるものにすることもできます。

ピアリング接続を設定するには、次のコンポーネントが必要です:

  • 重複しないCIDRを持つ2つのVCN

  • ピアリング関係の各VCN上のローカル・ピアリング・ゲートウェイ(LPG)

  • 2つのLPG間の接続

  • 各VCNの目的のサブネットとの間のピアリング接続を介したトラフィックを有効化するルート・ルール

  • 問題のサブネットのインスタンスとの間で許可されるトラフィックのタイプを制御するセキュリティ・ルール

ポリシー

2つのVCN間のピアリングでは、各パーティが独自のVCNコンパートメントまたはテナンシ用に実装するIAMポリシーの形式で、両方のパーティからの明示的な合意が必要です。 VCNが異なるテナンシにある場合は、各管理者がテナンシOCIDを指定し、ピアリングを有効にするために特別な調整されたポリシー・ステートメントを配置する必要があります。

ピアリングに必要なIAMポリシーを実装するには、2人のVCN管理者が1人の管理者をリクエスタとして、もう1人をアクセプタとして指定する必要があります。 リクエスタは、2つのLPGを接続するリクエストを開始する必要があります。 次に、アクセプタは、アクセプタ・コンパートメント内のLPGに接続するリクエスタ権限を付与する特定のIAMポリシーを作成する必要があります。 そのポリシーがないと、リクエスタは接続リクエストが失敗します。 いずれのVCN管理者がLPGを削除することでピアリング接続を終了できます。

ルーティングとトラフィックの制御

VCNの構成の一部として、各管理者はVCNルーティングを更新して、トラフィックがCN間で流れるようにする必要があります。 実際には、これは、インターネット・ゲートウェイや動的ルーティング・ゲートウェイなど、任意のゲートウェイに対して設定したルーティングのように見えます。 他のVCNと通信する必要があるサブネットごとに、サブネット・ルート表を更新します。 ルート・ルールでは、宛先トラフィックCIDRおよびターゲットとしてLPGを指定します。 LPGは、そのルールに一致するトラフィックを他のLPGにルーティングし、これにより、トラフィックは他のVCNの次のホップにルーティングされます。

VCNのルート表を使用してピアリング接続上のパケット・フローを制御できます。 たとえば、トラフィックを他のVCN内の特定のサブネットのみに制限できます。 ピアリングを終了せずに、VCNから別のVCNにトラフィックを転送するルート・ルールを削除するだけで、他のVCNへのトラフィック・フローを停止できます。 また、他のVCNとのイングレス・トラフィックまたはエグレス・トラフィックを有効にするセキュリティ・リスト・ルールを削除することで、トラフィックを効果的に停止することもできます。 これにより、ピアリング接続を介するトラフィックは停止せず、VNICレベルで停止します。

セキュリティ・ルール

各VCN管理者は、他のVCNとのすべてのアウトバウンドおよびインバウンド・トラフィックが、想定され、適切に定義されていることを確認する必要があります。 実際には、これは、VCNが他方に送信して他方から受け入れるトラフィックのタイプを明示的に示すセキュリティ・リスト・ルールを実装することを意味します。 サブネットでデフォルト・セキュリティ・リストを使用する場合、任意の場所からのSSHおよびICMPイングレス・トラフィックを許可する2つのルールがあるため、他のVCNも可能です。 これらのルール、および保持するか更新するかを評価します。

セキュリティ・リストおよびファイアウォールに加えて、VCN内のインスタンス上のその他のOSベースの構成を評価する必要があります。 独自のVCN CIDRに適用されないが、他のVCN CIDRに不注意で適用されるデフォルト構成がある可能性があります。

サービス・ゲートウェイ

オブジェクト・ストレージ・サービスなどの特定のサービスは、概念的な「サービス・ネットワーク」で内部的に公開されます。 通常、これらのサービスは、パブリック・ネットワークを介して到達できるパブリックIPアドレスを使用 - またはインターネット経由でパブリック・クラウド・モデル内。 かわりに、サービス・ゲートウェイの目的は、VCNがサービス・ネットワーク内のサービスにプライベート・アクセスできるようにすることです。つまり、プライベート・サブネット内のリソースは、外部アクセスのない狭いVCN内でそれらのサービスに接続できます。

VCNに指定できるサービス・ゲートウェイは1つのみです。 特定のVCNのコンテキストでサービス・ゲートウェイを作成すると、作成時にゲートウェイがそのVCNに自動的にアタッチされます。 サービス・ゲートウェイでは、作成時にすべてのサブネットとの間のトラフィックが許可されます。このトラフィックをブロックまたは無効にするメカニズムはありません。

Private Cloud Applianceでは、これらのサービスは管理ノード・クラスタを介してインフラストラクチャ・レベルで実装されます。 技術的には、完全修飾ドメイン名であるサービス・エンドポイントは、デフォルトでオンプレミス・ネットワーク全体からアクセス可能です。つまり、サービス・ゲートウェイに実際の機能はありません。 特にプライベート・クラウドを使用する場合、サービス・エンドポイントへのプライベート・アクセスを有効にするために、サービス・ゲートウェイおよび関連するルート・ルールを構成する必要はありません。 ただし、Oracle Cloud Infrastructureとの互換性を維持するために、サービス・ゲートウェイの概念が存在します。

サービス・ゲートウェイは、対象となるサービスまたはサービスのグループのエンドポイントを表す文字列であるサービスCIDRラベルを使用します。 つまり、特定のエンドポイントを知る必要はありません。 サービス・エンドポイントが将来変更された場合、調整する必要はありません。 サービスCIDRラベルは、サービス・ゲートウェイを構成する場合に使用します。 Private Cloud Applianceでは、サービス・ゲートウェイを作成し、"サービスCIDRブロック"に関連するルート・ルールを構成できます。 ただし、互換性以外の目的は果たさないことに注意してください。

Private Cloud Applianceはデータ・センター・ネットワークの安全な境界内に設定されるため、Oracle Cloud Infrastructureなどのパブリック・クラウド環境と比較して、サービスへのプライベート・アクセスを保護することはあまり問題になりません。 したがって、サービス・ゲートウェイに対してセキュリティ・ルールは実装されません。 詳細は、「セキュリティ・ルール」を参照してください。