ファイル・ストレージへのアクセスの制御
ファイル・システムをマウントする前に、特定のプロトコルおよびポートを使用してマウント・ターゲットのVNICへのトラフィックを許可するようにセキュリティ・ルールを構成する必要があります。 セキュリティ・ルールは、次のプロトコルのトラフィックを有効にします:
-
Open Network Computing Remote Procedure Call (ONC RPC) rpcbindユーティリティ・プロトコル
-
ネットワーク・ファイル・システム(NFS)プロトコル
-
ネットワーク・ファイル・システム(MOUNT)プロトコル
概念の詳細は、「Oracle Private Cloud Applianceコンセプト・ガイド」の「ファイル・ストレージの概要」の章を参照してください。
ファイル・ストレージに対するVCNセキュリティ・ルールの構成
サブネットに関連付けられている既存のセキュリティ・リスト(VCNとともに作成されるデフォルト・セキュリティ・リストなど)に必要なルールを追加できます。
ファイル・ストレージ・サービスに必要なセキュリティ・ルールの詳細は、「Oracle Private Cloud Applianceコンセプト・ガイド」の「ファイル・ストレージの概要」章の「ファイル・ストレージ・ネットワーク・ポート」を参照してください。
VCNおよびサブネットの管理の詳細は、「VCNおよびサブネットの管理」を参照してください。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューのネットワーキングで、仮想クラウド・ネットワークをクリックします。
-
VCNが配置されているコンパートメントを選択します。
-
VCNの名前をクリックします。
-
Resourcesの下のSecurity Listsをクリックします。
-
セキュリティの名前をクリックします。
-
リソースで、イングレス・ルールをクリックします。
-
Create Ingress Security Ruleをクリックし、必要な情報を入力します:
-
ステートレス・チェック・ボックス: チェック・ボックスの選択を解除したままにして、ステートフル・ルールを指定します。
-
イングレスCIDR: サブネットのCIDRブロックを入力します。 たとえば、10.0.0.0/24です。
-
IPプロトコル: プロトコルを選択します。 (TCPなど)。
-
説明: ルールのわかりやすい説明を入力します。
-
-
Create Security List Ruleをクリックします。
-
リソースで、エグレス・ルールをクリックします。
-
エグレス・セキュリティ・ルールの作成をクリックし、必要な情報を入力します:
-
ステートレス・チェック・ボックス: チェック・ボックスの選択を解除したままにして、ステートフル・ルールを指定します。
-
エグレス・タイプ: サブネットからのトラフィックを許可するには、CIDRを選択します。
-
エグレスCIDR: サブネットのCIDRブロックを入力します。 たとえば、10.0.0.0/24です。
-
IPプロトコル: プロトコルを選択します。 (TCPなど)。
-
説明: ルールのわかりやすい説明を入力します。
-
-
Create Security List Ruleをクリックします。
ネットワーク・セキュリティ・グループへのファイル・ストレージの追加
タスク・フロー
番号 | 説明 | プロシージャへのリンク |
---|---|---|
1. |
必要なセキュリティ・ルールを使用してNSGを作成します。 (または、既存のNSGに追加することもできます。) |
|
2. |
マウント・ターゲット(具体的にはマウント・ターゲットのVNIC)をNSGに追加します。 このタスクは、マウント・ターゲットの作成時に実行することも、マウント・ターゲットを更新して、必要なセキュリティ・ルールを含む1つ以上のNSGに追加することもできます。 |
|
3. |
異なるサブネットにマウント・ターゲットおよびインスタンスを設定する場合は、必要なセキュリティ・ルールを含むNSGにインスタンス(またはインスタンス・プライマリVNIC)を追加します。 このタスクは、インスタンスの作成時に実行することも、インスタンスのプライマリVNICを直接更新することもできます。 |
ネットワーク・セキュリティ・グループへのマウント・ターゲットの追加
マウント・ターゲットを1つ以上のネットワーク・セキュリティ・グループ(NSG)に追加できます。 ファイル・ストレージでは、マウント・ターゲットに関連付けられたNSGに対して特定のルールを構成する必要があります。
「コンピュートWeb UI」の使用
-
イングレスおよびエグレス・ルールを含むNSGが構成されていることを確認します。
「VCNルールおよびオプションの構成」を参照してください。
-
マウント・ターゲットが作成されていることを確認します。
「VCNおよびサブネットの管理」を参照してください。
-
ナビゲーション・メニューのファイル・ストレージで、マウント・ターゲットをクリックします。
-
マウント・ターゲット名をクリックして詳細ページを表示します。
-
「編集」をクリックします。
-
ネットワーク・セキュリティ・グループの有効化
-
リストからNSGを選択します。
-
「変更の保存」をクリックします。
OCI CLIの使用
-
イングレスおよびエグレス・ルールを含むNSGが構成されていることを確認します。
「VCNルールおよびオプションの構成」を参照してください。
-
マウント・ターゲットが作成されていることを確認します。
「VCNおよびサブネットの管理」を参照してください。
-
コマンドを実行するために必要な情報を収集します:
-
マウント・ターゲットOCID (
oci fs mount-target list
) -
NSG OCIDs (
oci network nsg list
)
-
-
次のコマンドを実行します
構文(1行に入力):
oci fs mount-target update --mount-target-id <mount_target_OCID> --nsg-ids '["<nsg1_OCID>","i"]'
例:
oci fs export update \ --mount-target-id ocid1.mounttarget.â¦.â¦.â¦.uniqueID \ --nsg-ids '["ocid1.networksecuritygroup.â¦.â¦.â¦.uniqueID-01","ocid1.networksecuritygroup.â¦.â¦.â¦.uniqueID-02"]'
NFSエクスポート・オプションの設定
ファイル・システムを作成してエクスポートすると、そのファイル・システムのNFSエクスポート・オプションは、この表にリストされているデフォルトに設定されます。 デフォルト値では、すべてのNFSクライアント・ソース接続に対するフル・アクセスが許可されます。 アクセスを制限する場合は、次のデフォルトを変更する必要があります:
注意:
ファイル・システムがクライアントによってマウントされている場合、ソース値の作成、削除または編集によって、ファイル・システムのI/O操作が中断されることがあります。
UIのエクスポート・オプション | CLIでのエクスポート・オプション | デフォルト値 | 説明 |
---|---|---|---|
Source: |
|
0.0.0.0/0 |
接続しているNFSクライアントのIPアドレスまたはCIDRブロック。 |
ポート: |
|
任意 |
常に次の値に設定します:
|
「アクセス」: |
|
読取り/書込み |
ソースNFSクライアント・アクセスを指定します。 次のいずれかの値に設定できます:
|
Squash: |
|
なし |
ルートとしてファイル・システムにアクセスするクライアントがユーザーID (UID)とグループID (GID)をスカッシュUID/GIDに再マップするかどうかを決定します。 可能な値は次のとおり。
|
スクワッシュUID/GID: |
|
65534 |
この設定は、Squashオプションとともに使用します。 ルート・ユーザーを再マップする場合、この設定を使用して、デフォルトのanonymousUidおよびanonymousGidを任意のユーザーIDに変更できます。 |
「ノート」- SMB共有のエクスポート・オプションのRW/RO権限を変更すると、その共有の新しいネットワーク・マップ済みドライブにのみ変更が適用されます。 以前にマップされた同じシェアのドライブはすべて、元のアクセス権を保持します。 変更されたアクセス権をSMBクライアント上の以前にマップされたドライブに適用するには、共有を切断して再度マップします。
様々なアクセス・シナリオに合わせてオプションを構成する方法の詳細は、「Oracle Private Cloud Applianceコンセプト・ガイド」の「ファイル・ストレージの概要」章の「NFSアクセス制御およびエクスポート・オプション」という項を参照してください。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューのFile Storageで、File Systemsをクリックします。
-
適切なコンパートメントを選択します。
-
ファイル・システム名をクリックします。
-
リソースで、エクスポートを選択します。
-
エクスポート・パスをクリックします。
NFSエクスポート・オプションが表示されます。
-
オプションの編集をクリックします。
-
「NFSエクスポート・オプション」ダイアログで、NFSオプションを構成します。
-
Update Optionsをクリックします。
OCI CLIの使用
-
コマンドを実行するために必要な情報を収集します:
-
エクスポートID (
oci fs export list --all --compartment-id <compartment_OCID>
) -
エクスポート・オプションは、json形式、jsonファイルまたはコマンドライン上の文字列としてリストされます。
-
-
次のコマンドを実行します
ノート:
この手順では、このコマンドに必要な最小パラメータを示します。 オプションのパラメータについては、
--help
オプションを指定してコマンドを実行します。構文(1行に入力):
oci fs export update --export-id <export_id> --export-options <file://json_file or json_string>
「ノート」 -
require-privileged-source-port
オプションは、false
にのみ設定できます。この例では、CIDRブロック10.0.0.0/24に割り当てられているクライアントAへの読取り/書込みアクセスのみを許可するように、ファイル・システムAのエクスポート・オプションを設定します。 クライアントBとクライアントCはこのCIDRブロックに含まれず、ファイル・システムにアクセスできません:
oci fs export update \ --export-id File_system_A_export_ID \ --export-options \ '[{"source":"10.0.0.0/24","require-privileged-source-port":"false","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]' WARNING: Updates to export-options will replace any existing values. Are you sure you want to continue? [y/N]: y { "data": { "export-options": [ { "access": "READ_WRITE", "anonymous-gid": 65534, "anonymous-uid": 65534, "identity-squash": "NONE", "require-privileged-source-port": false, "source": "10.0.0.0/24" } ], "export-set-id": "ocid1.exportset.â¦.â¦.â¦.uniqueID", "file-system-id": "ocid1.filesystem.â¦.â¦.â¦.uniqueID", "id": "ocid1.export.oc1.pca.â¦.â¦.â¦.uniqueID", "lifecycle-state": "ACTIVE", "path": "/export/85aiiadc1w81s8id63knxdq22nt95pe63sgs9c45yp3qovhut14cq9r6eqhn", "time-created": "2021-09-27T20:20:34.231009+00:00" }, "etag": "bc660e11-644a-4043-9ad7-622d9581da9b" }