VCNルールおよびオプションの構成
VCNとそのサブネットには、様々なルールおよびオプションが関連付けられています。 主なカテゴリは、DHCP、ルート表およびセキュリティの使用です。 これらのルールとオプションを明示的に構成しない場合は、デフォルト値が使用されます。
この項では、DHCPオプション、ルート表およびセキュリティ・リストで使用可能なパラメータについて説明します。
DHCPオプションの操作
サブネットを作成するときに、サブネットのDHCPオプションのセットを指定できます。 DHCPオプションのセットは、OCIDを持つリソースです。 DHCPオプションのセットを指定しない場合は、VCNのデフォルト・セットが使用されます。
サブネットに割り当てることができるDHCPオプションのセットは1つのみです。 DHCPオプションのセットの編集、新しいセットの作成、およびサブネットに割り当てられているセットの変更を行うことができます。 割り当てられたDHCPオプション・セットは、そのサブネット内のすべてのインスタンスに適用されます。
詳細は、「Oracle Private Cloud Applianceコンセプト・ガイド」の「仮想ネットワークの概要」の"DHCP Options"を参照してください。
VCN DHCPオプション・セットの表示
すべてのVCNには、VCN_nameのデフォルトのDHCPオプションと呼ばれるDHCPオプションのデフォルト・セットがあります。 追加のセットを作成する場合は、サブネットに割り当てるセットを選択できます。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 ネットワーキングで、仮想クラウド・ネットワークをクリックします。
-
DHCPオプション・セットをリストするVCNの名前をクリックします。 VCNの詳細ページが表示されます。
-
Resourcesの下のDHCP Optionsをクリックします。 DHCPオプション・セットのリストが表示されます。
-
リスト内のDHCP Optionsセットはクリックできません。 セットに定義されているオプションを表示するには、そのセットの処理メニューをクリックし、編集をクリックします。
OCI CLIの使用
-
コマンドを実行するために必要な情報を収集します:
-
コンパートメントOCID (
oci iam compartment list
) -
VCN OCID (
oci network vcn list --compartment-id compartment_OCID
)
-
-
listコマンドを実行します。
VCN OCIDとコンパートメントOCIDの両方を使用して、指定されたVCNに属し、指定されたコンパートメントにあるすべてのDHCPオプション・セットをリストします。
oci network dhcp-options list --compartment-id ocid1.compartment.unique_ID \ --vcn-id ocid1.vcn.unique_ID
コンパートメントOCIDのみを使用して、そのコンパートメント内のすべてのDHCPオプション・セットをリストします。 コンパートメント内のDHCPオプション・セットは、任意のVCNに属することができます。 DHCPオプション・セットは、VCNと同じコンパートメントに存在する必要はありません。
oci network dhcp-options list --compartment-id ocid1.compartment.unique_ID
-
次のいずれかのメソッドを使用して、DHCPオプション・セットを1つのみ表示します。
-
DHCPオプション・セットの名前を指定して
list
コマンドを使用します。oci network dhcp-options list --compartment-id ocid1.compartment.unique_ID \ --display-name CustomDNSservers
-
DHCPオプション・セットのOCIDを指定して
get
コマンドを使用します。 DHCPオプション・セットOCIDは、DHCPオプション・セットlist
コマンド出力のid
プロパティの値です。oci network dhcp-options get --dhcp-id ocid1.dhcpoptions.unique_ID
-
一連のDHCPオプションの作成
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 ネットワーキングで、仮想クラウド・ネットワークをクリックします。
-
DHCPオプションのセットを作成するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
-
Resourcesの下のDHCP Optionsをクリックします。
-
Create DHCP Optionsボタンをクリックします。
-
「DHCPオプションの作成」ダイアログで、次の情報を入力します:
-
名前: オプション・セットのわかりやすい名前。 名前は一意である必要はなく、後で変更できます。
-
コンパートメントに作成: DHCPオプションのセットを作成するコンパートメント。
-
DNSタイプ: サブネット内のインスタンスがインターネット・ホスト名およびVCN内のインスタンスのホスト名を解決する場合は、Internet and VCN Resolverを選択します。 選択したDNSサーバーを使用するには、Custom Resolverを選択し、DNSサーバーのIPアドレスを入力します。 最大3つのDNSサーバーのIPアドレスを入力できます。 詳細は、「Oracle Private Cloud Applianceコンセプト・ガイド」の「仮想ネットワークの概要」の"Name Resolution"を参照してください。
-
ドメインの検索: DNS問合せの解決時にサブネット内のインスタンスが特定の検索ドメインを追加できるようにする場合は、ここにそのドメインを入力します。 特定の状況では、ネットワーキング・サービスによって検索ドメイン・オプションが自動的に設定されることに注意してください。 詳細は、「Oracle Private Cloud Applianceコンセプト・ガイド」の「仮想ネットワークの概要」の"DHCP Options"を参照してください。
-
タグ付け: タグ付けの詳細は、リソース・タグの操作を参照してください。 タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
-
-
ダイアログのCreate DHCP Optionsボタンをクリックします。
このオプションのセットは、サブネットの作成または更新時に指定できます。
OCI CLIの使用
-
コマンドを実行するために必要な情報を収集します:
-
このDHCPオプションのセットを作成するコンパートメントのOCID (
oci iam compartment list
) -
このDHCPオプション・セットのVCNのOCID (
oci network vcn list --compartment-id compartment_OCID
)
-
-
--options
オプションの引数を作成します。DHCPオプションはJSON形式です。 オプションの書式設定方法を確認するには、次のコマンドを使用します:
oci network dhcp-options create --generate-param-json-input options > options_format.json
または、既存のDHCP Optionsオブジェクトの
list
またはget
を実行し、options
プロパティの値をコピーします。これらのオプションの情報を適切な場所に適切な形式で配置するか、コピーしたオプションの情報を置き換えます。
--options
オプションの値は、一重引用符またはfile://path_to_file.json
として指定されたファイルの間の文字列です。 -
DHCP options createコマンドを実行します。
構文:
oci network dhcp-options create --compartment-id <compartment_OCID> \ --vcn-id <vcn_OCID> --options JSON_formatted_values
例:
$ oci network dhcp-options create \ --compartment-id ocid1.compartment.unique_ID --vcn-id ocid1.vcn.unique_ID \ --display-name CustomDNSservers --options \ '[{"customDnsServers": ["IP_address"], "serverType": "CustomDnsServer","type":"DomainNameServer"},{"searchDomainNames": ["name.example.com"],"type":"SearchDomain"}]' { "data": { "compartment-id": "ocid1.compartment.unique_ID", "defined-tags": {}, "display-name": "CustomDNSservers", "domain-name-type": null, "freeform-tags": {}, "id": "ocid1.dhcpoptions.unique_ID", "lifecycle-state": "PROVISIONING", "options": null, "time-created": "2022-05-04T19:29:16.763027+00:00", "vcn-id": "ocid1.vcn.unique_ID" }, "etag": "cf50eb7e-88ff-4e1f-b129-08e2c25b3aa2" }
新しいDHCP Optionsオブジェクトはまだプロビジョニング中ですが、指定されたオプションが表示されない可能性があります。 オプションを確認するには、
create
出力のid
プロパティのOCIDを使用して、get
コマンドを実行します:$ oci network dhcp-options get --dhcp-id ocid1.dhcpoptions.unique_ID { "data": { "compartment-id": "ocid1.compartment.unique_ID", "defined-tags": {}, "display-name": "CustomDNSservers", "domain-name-type": null, "freeform-tags": {}, "id": "ocid1.dhcpoptions.unique_ID", "lifecycle-state": "AVAILABLE", "options": [ { "custom-dns-servers": [ "IP_address" ], "server-type": "CustomDnsServer", "type": "DomainNameServer" }, { "search-domain-names": [ "name.example.com" ], "type": "SearchDomain" } ], "time-created": "2022-05-04T19:29:16.763027+00:00", "vcn-id": "ocid1.vcn.unique_ID" }, "etag": "cf50eb7e-88ff-4e1f-b129-08e2c25b3aa2" }
一連のDHCPオプションの更新
サブネット内のインスタンスのDHCPオプションを更新するには、次のいずれかを実行します:
-
このセクションの説明に従って、そのサブネットに現在割り当てられているDHCP Optionsオブジェクトを更新します。
-
「サブネットの編集」の説明に従って、サブネットを更新し、別のDHCPオプション・オブジェクトを割り当てます。
インスタンスで変更を有効にする方法の詳細は、「Oracle Private Cloud Applianceコンセプト・ガイド」の「仮想ネットワークの概要」の"DHCP Options"を参照してください。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 ネットワーキングで、仮想クラウド・ネットワークをクリックします。
-
編集するDHCPオプションのVCNの名前をクリックします。 VCNの詳細ページが表示されます。
-
Resourcesの下のDHCP Optionsをクリックします。
DHCPオプション・セットのリストが表示されます。
-
変更するオプションのセットに対して、Actions(処理)メニューをクリックし、Edit(編集)をクリックします。 「一連のDHCPオプションの作成」のName、DNS TypeおよびSearch Domainの説明を参照してください。
-
編集ダイアログで変更の保存ボタンをクリックします。
OCI CLIの使用
-
更新するDHCPオプション・オブジェクトのOCIDを取得します(
oci network dhcp-options list --compartment-id compartment_OCID
) -
DHCP options updateコマンドを実行します。
構文:
oci network dhcp-options update --dhcp-id dhcp_OCID values_to_update
表示名、ドメイン名タイプおよびオプションを更新できます。 指定したオプションJSONオブジェクトは、オプションのセット全体を置き換えます。 既存のオプションのいずれかを保持する場合は、この
--dhcp-id
を指定してget
コマンドを実行し、必要なものを出力option
プロパティからオプションJSONオブジェクトにコピーします。例:
$ oci network dhcp-options update --dhcp-id ocid1.dhcpoptions.unique_ID \ --options file:///home/flast/dhcp_options.json
このコマンドの出力は、
create
、list
およびget
コマンドの出力に似ています。 オプションを変更しても、それらの変更が最初に表示されない場合は、数秒待ってからget
コマンドを実行します。
一連のDHCPオプションの削除
サブネットに割り当てられているDHCPオプションのセットは削除できません。 サブネットからDHCPオプション・セットの割当てを解除するには、サブネットを更新して別のDHCPオプション・セットを割り当てます。 「サブネットの編集」を参照してください。 VCNのDHCPオプションのデフォルト・セットは削除できません。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 ネットワーキングで、仮想クラウド・ネットワークをクリックします。
-
DHCPオプション・セットを削除するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
-
Resourcesの下のDHCP Optionsをクリックします。
-
削除するセットに対して、Actions(処理)メニューをクリックし、Delete(削除)をクリックします。
-
要求されたら、確認します。
OCI CLIの使用
-
削除するDHCPオプション・オブジェクトのOCIDを取得します(
oci network dhcp-options list --compartment-id compartment_OCID
) -
DHCP options deleteコマンドを実行します。
$ oci network dhcp-options delete --dhcp-id ocid1.dhcpoptions.unique_ID Are you sure you want to delete this resource? [y/N]: y
このプロンプトを抑制するには、--forceオプションを使用します。
ルート表の使用
サブネットを作成する際は、サブネットに関連付けるルート表を指定します。 そうしないと、VCNデフォルト・ルート表が使用されます。 サブネットのルート表エントリは、いつでも変更できますが、サブネットには一度に1つのルート表のみを割り当てることができます。 割り当てられたルート表は、そのサブネット内のすべてのインスタンスに適用されます。
ルート表を削除するには、サブネットにまだ関連付けられていない必要があります。 VCNデフォルト・ルート表は削除できません。
詳細は、「Oracle Private Cloud Applianceコンセプト・ガイド」の「仮想ネットワークの概要」の"Route Tables"を参照してください。
VCNルート表の表示
特定のサブネットに割り当てられている表を確認するには、サブネットを表示します。 サブネット詳細ページのルート表を参照するか、サブネット・リストのroute-table-id
プロパティを参照するか、コマンド出力を取得します。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 ネットワーキングで、仮想クラウド・ネットワークをクリックします。
-
ルート表を表示するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
-
Resourcesの下のRoute Tablesをクリックします。 ルート表のリストが表示されます。
-
ルート・ルールを表示するには、ルート表の名前をクリックします。
OCI CLIの使用
-
コマンドを実行するために必要な情報を収集します:
-
コンパートメントOCID (
oci iam compartment list
) -
VCN OCID (
oci network vcn list --compartment-id compartment_OCID
)
-
-
route table listコマンドを実行します。
VCN OCIDとコンパートメントOCIDの両方を使用して、指定されたVCNに属し、指定されたコンパートメントにあるすべてのルート表をリストします。
oci network route-table list --compartment-id ocid1.compartment.unique_ID \ --vcn-id ocid1.vcn.unique_ID
コンパートメントOCIDのみを使用して、そのコンパートメント内のすべてのルート表をリストします。 コンパートメント内のルート表は、任意のVCNに属することができます。 ルート表は、VCNと同じコンパートメントに存在する必要はありません。
oci network route-table list --compartment-id ocid1.compartment.unique_ID
-
次のいずれかのメソッドを使用して、1つのルート表のみを表示します。
-
ルート表の名前を指定して
list
コマンドを使用します。oci network security-list list --compartment-id ocid1.compartment.unique_ID \ --display-name ExtRoute
-
ルート表のOCIDを指定して
get
コマンドを使用します。 ルート表のOCIDは、ルート表のlist
コマンド出力のid
プロパティの値です。oci network route-table get --rt-id ocid1.routetable.unique_ID
-
ルート表の作成
VCN外部のトラフィックを送信するには、ルート・ルールが必要です。 VCN外部でトラフィックを送信する必要がない場合は、VCNの作成時に作成されたデフォルトのルート表を使用できます。 デフォルトのルート表にはルールがありません。
各ルート・ルールでは、宛先CIDRブロックと、そのCIDRに一致するトラフィックのターゲット(ネクスト・ホップ)を指定します。 ルールを作成する前に、ターゲットを作成する必要があります。 ターゲット・タイプの詳細は、「Oracle Private Cloud Applianceコンセプト・ガイド」の「仮想ネットワークの概要」の"Network Gateways"を参照してください。「VCNのルーティングの概要」を参照してください。 ターゲットを作成するには、「VCNゲートウェイの構成」のいずれかの手順を使用します。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 ネットワーキングで、仮想クラウド・ネットワークをクリックします。
-
ルート表を作成するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
-
Resourcesの下のRoute Tablesをクリックします。
-
Create Route Tableボタンをクリックします。
-
名前とコンパートメントを入力します。
-
名前: ルート表のわかりやすい名前。 名前は一意である必要はなく、後で変更できます。
-
コンパートメントに作成: ルート表を作成するコンパートメント。 VCNと同じコンパートメントにルート表を作成する必要はありません。
-
-
ルート表ルールを追加するには、「ルート・ルールの追加」をクリックし、次の情報を入力します:
-
ターゲット・タイプ: リストから選択します。 使用可能なターゲットは次のとおりです:
- 動的ルーティング・ゲートウェイ
- インターネット・ゲートウェイ
- ローカル・ピアリング・ゲートウェイ
- NATゲートウェイ
- プライベートIP
- サービス・ゲートウェイ
- 宛先タイプ: 宛先タイプの選択: CIDRブロックまたはService
-
CIDRブロック: 宛先タイプがCIDRブロックの場合は、トラフィックの宛先CIDRブロックを入力します。 値0.0.0.0/0は、ルート表内の他のルールでカバーされていないVCN以外のトラフィックがすべて、このルールで指定されたターゲットに送信されることを意味します。
- サービス: 宛先タイプがサービスの場合は、リストからサービスを選択します。これは広範囲にすることができます。
-
ターゲットの選択: この値は、ターゲット・タイプのOCIDです。 矢印をクリックしてターゲットを選択するか、ターゲットがプライベートIPアドレスの場合はプライベートIP OCIDを入力します。
-
説明: ルールのオプションの説明。
-
-
ダイアログのCreate Route Tableボタンをクリックします。
新しいルート表の詳細ページが表示されます。 このルート表は、サブネットの作成または更新時に指定できます。
OCI CLIの使用
-
コマンドを実行するために必要な情報を収集します:
-
このルート表を作成するコンパートメントのOCID (
oci iam compartment list
) -
このルート表のVCNのOCID (
oci network vcn list --compartment-id compartment_OCID
)
-
-
--route-rules
オプションの引数を作成します。ルート・ルールはJSON形式です。 ルールの書式設定方法を確認するには、次のコマンドを使用します:
oci network route-table create --generate-param-json-input route-rules > route_rule_format.json
または、ルート・ルールを含むルート表がすでに存在する場合は、そのルート表を
list
またはget
し、route-rules
プロパティの値をコピーできます。この新しいルールの情報を適切な書式の場所に配置するか、コピーしたルールの情報を置換します。
--route-rules
オプションの値は、一重引用符またはfile://path_to_file.json
として指定されたファイルの間の文字列です。 -
ルート表作成コマンドを実行します。
表示名を指定しない場合は、名前が表示されます。
構文:
oci network route-table create --compartment-id compartment_OCID \ --vcn-id vcn_OCID --route-rules route_rules_json
例:
$ oci network route-table create --compartment-id ocid1.compartment.unique_ID \ --vcn-id ocid1.vcn.unique_ID --display-name InternetRoute --route-rules \ '[{"cidrBlock":"0.0.0.0/0","networkEntityId":"ocid1.internetgateway.unique_ID"}]' { "data": { "compartment-id": "ocid1.compartment.unique_ID", "defined-tags": {}, "display-name": "InternetRoute", "freeform-tags": {}, "id": "ocid1.routetable.unique_ID", "lifecycle-state": "PROVISIONING", "route-rules": [ { "cidr-block": "0.0.0.0/0", "description": null, "destination": null, "destination-type": "CIDR_BLOCK", "network-entity-id": "ocid1.internetgateway.unique_ID" } ], "time-created": "2022-04-11T06:00:29.527637+00:00", "vcn-id": "ocid1.vcn.unique_ID" }, "etag": "15dcf54f-fa85-40f6-9557-75774e73f1ce" }
新しいルート表がまだプロビジョニングされている間、
route-rules
プロパティが空である場合があります。 オプションを確認するには、create
出力のid
プロパティのOCIDを使用して、get
コマンドを実行します:oci network route-table get --rt-id ocid1.routetable.unique_ID
ルート表のルールの更新
ルート表の名前を変更し、ルート表内のルールを追加、編集または削除できます。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 ネットワーキングで、仮想クラウド・ネットワークをクリックします。
-
ルート表を更新するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
-
Resourcesの下のRoute Tablesをクリックします。
-
更新するルート表の名前をクリックします。
-
ルート表の名前を変更するには、編集ボタンをクリックして、ダイアログで名前を変更し、変更の保存ボタンをクリックします。
-
ルート・ルールを作成するには、ルート・ルールの追加をクリックし、「ルート表の作成」で説明されている情報を入力します。
-
既存のルールを編集するには、そのルールのアクション・メニューをクリックし、「編集」をクリックします。
-
ルールを削除するには、そのルールのアクション・メニューをクリックし、「削除」をクリックします。
OCI CLIの使用
-
更新するルート表のOCIDを取得します(
oci network route-table list --compartment-id compartment_OCID
) -
ルート・ルールを変更する場合は、
--route-rules
オプションの引数を作成します。 「ルート表の作成」を参照してください。 この引数は既存のルート・ルールを置き換えるため、保持するルールを含めてください。 次のコマンドを使用して、このルート表の既存のルールを表示します:oci network route-table get --rt-id ocid1.routetable.unique_ID
-
次のコマンドを実行します
構文:
oci network route-table update --rt-id route_table_OCID --route-rules options_to_change
ネットワーク・エンティティIDを含め、名前(
--display-name
)またはルール(--route-rules
)を変更できます。ノート:
プライベートIPアドレスのネットワーク・エンティティIDは、プライベートIPアドレスのOCIDです。 次の例を参照してください。例:
oci network route-table update --rt-id ocid1.routetable.unique_ID \ --route-rules [\{"destination":"10.231.0.0/16","destination-type":"CIDR_BLOCK", \ "network-entity-id":"ocid1.privateip.unique_ID"}]' { "data": { "compartment-id": "ocid1.compartment.unique_ID", "defined-tags": {}, "display-name": "InternetRoute", "freeform-tags": {}, "id": "ocid1.routetable.unique_ID", "lifecycle-state": "AVAILABLE", "route-rules": [ { "cidr-block": "10.231.0.0/16", "description": "Uses the ExtG8Way", "destination": null, "destination-type": "CIDR_BLOCK", "network-entity-id": "ocid1.privateip.unique_ID" } ], "time-created": "2022-04-11T06:00:29.527637+00:00", "vcn-id": "ocid1.vcn.unique_ID" }, "etag": "15dcf54f-fa85-40f6-9557-75774e73f1ce" }
ルート表の削除
サブネットに関連付けられているルート表は削除できません。 VCNデフォルト・ルート表は削除できません。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 ネットワーキングで、仮想クラウド・ネットワークをクリックします。
-
ルート表を削除するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
-
Resourcesの下のRoute Tablesをクリックします。
-
削除するルート表のアクション・メニューをクリックし、削除をクリックします。
-
要求されたら、確認します。
OCI CLIの使用
-
削除するルート表のOCIDを取得します(
oci network route-table list --compartment-id compartment_OCID
) -
ルート表削除コマンドを実行します。
$ oci network route-table delete --rt-id ocid1.routetable.unique_ID Are you sure you want to delete this resource? [y/N]: y
このプロンプトを抑制するには、--forceオプションを使用します。
セキュリティ・リストを使用したトラフィックの制御
セキュリティ・リストとネットワーク・セキュリティ・グループ(NSG)はどちらも、コンピュート・インスタンスの仮想ファイアウォール・タイプです。 セキュリティ・リストとNSGの両方が、インスタンス(VNIC)の内外で許可されるトラフィックのタイプを決定するネットワーク・セキュリティ・ルールを定義します。
セキュリティ・リストは、サブネット内のすべてのVNICに仮想ファイアウォール・ルールを提供します。 VCNで選択したVNICのセットに対してファイアウォール・ルールのセットを指定するには、NSGを作成できます。 「ネットワーク・セキュリティ・グループを使用したトラフィックの制御」を参照してください。
セキュリティ・リストを使用すると、サブネット内のすべてのVNICに適用されるネットワーク・セキュリティ・ルールを定義できます。 デフォルトのセキュリティ・リストは、VCNごとに自動的に作成されます。 異なるセキュリティ・リストを割り当てない場合、そのデフォルト・セキュリティ・リストはVCN内の各サブネットに割り当てられます。 最大5つのセキュリティ・リストを1つのサブネットに関連付けることができます。
セキュリティ・リストとNSGの両方を使用する場合、適用可能なセキュリティ・リストまたはNSGのいずれかのルールでトラフィックが許可されている場合、特定のVNICとの間のトラフィックは許可されます:
-
VNICサブネットに関連付けられているセキュリティ・リスト内の任意のルール
-
VNICが存在するNSG内の任意のルール
一般情報およびセキュリティ・リストとNSGの比較については、「Oracle Private Cloud Applianceコンセプト・ガイド」の「仮想ネットワークの概要」の"Virtual Firewall"を参照してください。
VCNセキュリティ・リストの表示
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 ネットワーキングで、仮想クラウド・ネットワークをクリックします。
-
セキュリティ・リストを表示するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
-
Resourcesの下のSecurity Listsをクリックします。 セキュリティ・リストのリストが表示されます。
-
セキュリティ・リストの名前をクリックして、そのイングレス・ルールおよびエグレス・ルールを表示します。
OCI CLIの使用
-
コマンドを実行するために必要な情報を収集します:
-
コンパートメントOCID (
oci iam compartment list
) -
VCN OCID (
oci network vcn list --compartment-id compartment_OCID
)
-
-
listコマンドを実行します。
VCN OCIDとコンパートメントOCIDの両方を使用して、指定されたVCNに属し、指定されたコンパートメントにあるすべてのセキュリティ・リストをリストします。
oci network security-list list --compartment-id ocid1.compartment.unique_ID \ --vcn-id ocid1.vcn.unique_ID
コンパートメントOCIDのみを使用して、そのコンパートメント内のすべてのセキュリティ・リストをリストします。 コンパートメントのセキュリティ・リストは任意のVCNに属することができます。 セキュリティ・リストは、VCNと同じコンパートメントに存在する必要はありません。
oci network security-list list --compartment-id ocid1.compartment.unique_ID
-
次のいずれかのメソッドを使用して、セキュリティ・リストを1つのみ表示します。
-
セキュリティ・リストの名前を指定して
list
コマンドを使用します。oci network security-list list --compartment-id ocid1.compartment.unique_ID \ --display-name "Custom Security List"
-
セキュリティ・リストのOCIDを指定して
get
コマンドを使用します。 セキュリティ・リストOCIDは、セキュリティ・リストlist
コマンド出力のid
プロパティの値です。oci network security-list get --security-list-id ocid1.securitylist.unique_ID
-
セキュリティ・リストの作成
セキュリティ・リストを作成する前に、次のコマンドを使用して、デフォルト・セキュリティ・リストにすでに定義されているセキュリティ・ルールと、このVCNの他のセキュリティ・リストを確認します:
$ oci network security-list get --security-list-id ocid1.securitylist.unique_ID
セキュリティ・リストには少なくとも1つのルールが必要です。 セキュリティ・リストにイングレス・ルールとエグレス・ルールの両方を含める必要はありません。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 ネットワーキングで、仮想クラウド・ネットワークをクリックします。
-
セキュリティ・リストを作成するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
-
Resourcesの下のSecurity Listsをクリックします。
-
Create Security Listボタンをクリックします。
-
「セキュリティ・リストの作成」ダイアログで、次の情報を入力します:
-
名前: セキュリティ・リストのわかりやすい名前。 名前は一意である必要はありません。 名前は後でコンソールで変更することはできませんが、CLIで変更できます)。
-
コンパートメントに作成: セキュリティ・リストを作成するコンパートメント。
-
-
少なくとも1つのルールを追加します。
1つ以上のイングレス・ルールを追加するには、「イングレスのルールの許可」ボックスの「+新規ルール」をクリックします。 1つ以上のエグレス・ルールを追加するには、「エグレスのルールの許可」ボックスの「+新規ルール」をクリックします。 次の情報を入力します。
-
ステートレス: 新しいルールをステートレスにする場合は、このボックスを選択します。 デフォルトでは、セキュリティ・リスト・ルールはステートフルであり、リクエストと調整されたレスポンスの両方に適用されます。 ステートレス・ルールおよびステートフル・ルールの詳細は、「Oracle Private Cloud Applianceコンセプト・ガイド」の「仮想ネットワークの概要」の"Security Lists"を参照してください。
-
CIDR: イングレスまたはエグレス・トラフィックのCIDRブロック。
-
IPプロトコル: ルールは、すべてのIPプロトコル、またはICMP、TCP、UDPなどの選択肢に適用できます。 ドロップダウン・リストからプロトコルを選択します。
-
ポート範囲: TCPやUDPなどの一部のプロトコルでは、ソース・ポート範囲および宛先ポート範囲を指定できます。
-
パラメータ・タイプおよびコード: ICMPの場合、パラメータ・タイプおよび対応するパラメータ・コードを選択できます。
-
-
説明: ルールのオプションの説明。
-
-
タグ付け: タグ付けの詳細は、リソース・タグの操作を参照してください。 タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
-
ダイアログのCreate Security Listボタンをクリックします。
新しいセキュリティ・リストの詳細ページが表示されます。 このセキュリティ・リストは、サブネットの作成または更新時に指定できます。
OCI CLIの使用
-
コマンドを実行するために必要な情報を収集します:
-
このセキュリティ・リストを作成するコンパートメントのOCID (
oci iam compartment list
) -
このセキュリティ・リストのVCNのOCID (
oci network vcn list --compartment-id compartment_OCID
)
-
-
--ingress-security-rules
および--egress-security-rules
オプションの引数を構築します。セキュリティ・ルールはJSON形式です。 ルールの書式設定方法を確認するには、次のコマンドを使用します:
oci network security-list create --generate-param-json-input ingress-security-rules > ingress.json
egress-security-rules
と同じコマンドを使用します。イングレスおよびエグレス・セキュリティ・ルールは同じですが、イングレス・ルールには
source
およびsourceType
プロパティがありますが、エグレス・ルールにはdestination
およびdestinationType
プロパティがあります。protocol
プロパティの値は、all
または次の番号のいずれかです: ICMPの場合は1、TCPの場合は6、UDPの場合は17。または、デフォルトのセキュリティ・リストまたは別のセキュリティ・リストを
list
またはget
して、egress-security-rules
およびingress-security-rules
プロパティの値をコピーすることもできます。この新しいセキュリティ・リストのルール情報を適切な形式で適切な場所に配置するか、コピーしたルールの情報を置換します。
両方のルール・オプションの値は、一重引用符の間の文字列、または
file://path_to_file.json
として指定されたファイルのいずれかです。エグレスおよびイングレス・ルールはリストに含まれている必要があります。 エグレス・ルールのリストまたはイングレス・ルールのリストにアイテムが1つのみ含まれる場合、その1つのルールは、複数のルールと同じように大カッコで囲む必要があります。 1つのイングレス・ルールのみを表示する例については、次のステップのコマンドを参照してください。
エグレス・ルールとイングレス・ルールの両方を指定する必要があります。 エグレス・ルールがない例については、次のステップのコマンドを参照してください。
-
セキュリティ・リストcreateコマンドを実行します。
構文:
oci network security-list create --compartment-id compartment_OCID \ --vcn-id vcn_OCID --ingress-security-rules ingress_rules \ --egress-security-rules egress_rules
例:
$ oci network security-list create --compartment-id ocid1.compartment.unique_ID \ --vcn-id ocid1.vcn.unique_ID --display-name "Limited Port Range" \ --egress-security-rules [] \ --ingress-security-rules '[{"source": "10.0.2.0/24", "protocol": "6", "isStateless": true, \ "tcpOptions": {"destinationPortRange": {"max": 1521, "min": 1521}, \ "sourcePortRange": {"max": 1521, "min": 1521}}}]' { "data": { "compartment-id": "ocid1.compartment.unique_ID", "defined-tags": {}, "display-name": "Limited Port Range", "egress-security-rules": [], "freeform-tags": {}, "id": "ocid1.securitylist.unique_ID", "ingress-security-rules": [ { "description": null, "icmp-options": null, "is-stateless": true, "protocol": "6", "source": "10.0.2.0/24", "source-type": "CIDR_BLOCK", "tcp-options": { "destination-port-range": { "max": 1521, "min": 1521 }, "source-port-range": { "max": 1521, "min": 1521 } }, "udp-options": null } ], "lifecycle-state": "PROVISIONING", "time-created": "2022-05-06T02:17:10.965748+00:00", "vcn-id": "ocid1.vcn.unique_ID" }, "etag": "30d67d2d-5e11-4b13-9607-1948c52a78f5" }
セキュリティ・リストの更新
セキュリティ・リストの名前を編集したり、デフォルトのセキュリティ・リストを含む任意のセキュリティ・リストのルールまたはタグを追加、編集または削除できます。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 ネットワーキングで、仮想クラウド・ネットワークをクリックします。
-
セキュリティ・リストを更新するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
-
Resourcesの下のSecurity Listsをクリックします。
-
更新するセキュリティ・リストに対して、次のいずれかを実行します:
-
アクション・メニューをクリックし、編集をクリックして「セキュリティ・リストの編集」ダイアログを開きます。 イングレス・ルールの許可およびエグレス・ルールの許可セクションのルールを更新します。 ルールを削除するには、ごみ箱アイコンをクリックします。 ルールを追加するには、「+新規ルール」ボタンをクリックします。 セキュリティ・リストの名前およびタグを更新することもできます。 ダイアログの保存ボタンをクリックします。
-
Actions(処理)メニューをクリックし、View Details(詳細の表示)をクリックして、セキュリティ・リストの詳細ページを開きます。
-
編集ボタンをクリックして、「セキュリティ・リストの編集」ダイアログを開きます。
-
ルールのみを編集するには、リソース・セクションにスクロールして、イングレス・ルールまたはエグレス・ルールをクリックします。 新しいルールを作成するには、セキュリティ・ルールの作成ボタンをクリックします。 ルールを更新するには、そのルールのアクション・メニューをクリックし、編集をクリックします。 ルールを削除するには、アクション・メニューをクリックし、削除をクリックします。
-
-
OCI CLIの使用
-
更新するセキュリティ・リストのOCIDを取得します(
oci network vcn list --compartment-id compartment_OCID
) -
ルールを更新する場合は、「セキュリティ・リストの作成」の説明に従って、
--ingress-security-rules
および--egress-security-rules
オプションの引数を作成します。 これらのルール・オプションに指定する引数によって、既存のルールが上書きされます。 既存のルールを保持する場合は、次のコマンドを使用して現在のルールを表示し、新しいオプション引数に保持するルールをコピーします。$ oci network security-list get --security-list-id ocid1.securitylist.unique_ID
-
セキュリティ・リスト更新コマンドを実行します。
例:
oci network security-list update \ --security-list-id ocid1.securitylist.unique_ID \ --ingress-security-rules file:///home/flast/ingress_rules.json WARNING: Updates to defined-tags and egress-security-rules and freeform-tags and ingress-security-rules will replace any existing values. Are you sure you want to continue? [y/N]: y
セキュリティ・リストの削除
サブネットに関連付けられているセキュリティ・リストは削除できません。 VCNのデフォルト・セキュリティ・リストは削除できません。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 ネットワーキングで、仮想クラウド・ネットワークをクリックします。
-
セキュリティ・リストを削除するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
-
Resourcesの下のSecurity Listsをクリックします。
-
削除するセキュリティ・リストについて、アクション・メニューをクリックし、削除をクリックします。
-
要求されたら、削除を確認します。
OCI CLIの使用
-
削除するセキュリティ・リストのOCIDを取得します(
oci network vcn list --compartment-id compartment_OCID
) -
セキュリティ・リスト削除コマンドを実行します。
$ oci network security-list delete --security-list-id ocid1.securitylist.unique_ID Are you sure you want to delete this resource? [y/N]: y
このプロンプトを抑制するには、--forceオプションを使用します。
ネットワーク・セキュリティ・グループを使用したトラフィックの制御
ネットワーク・セキュリティ・グループ(NSG)とセキュリティ・リストはどちらも、コンピュート・インスタンスの仮想ファイアウォールのタイプです。 NSGとセキュリティ・リストの両方が、インスタンス(VNIC)の内外で許可されるトラフィックのタイプを決定するネットワーク・セキュリティ・ルールを定義します。
NSGは、VCNで選択したVNICのセットに対して仮想ファイアウォール・ルールを提供します。 サブネット内のすべてのVNICに対してファイアウォール・ルールのセットを指定するには、セキュリティ・リストを作成できます。 「セキュリティ・リストを使用したトラフィックの制御」を参照してください。
NSGを使用すると、インスタンスのグループにネットワーク・セキュリティ・ルールを定義できます。これは異なるサブネットにあってもかまいません。 たとえば、NSGは、すべてのデータベース・サーバー、または特定のアプリケーションを実行しているすべてのアプリケーション・サーバーに適用できます。 特定のサブネットにセキュリティを適用するかわりに、NSGを作成し、適切なインスタンス(VNIC)をNSGに追加します。
VCNを作成すると、デフォルトのセキュリティ・リストが作成されます。 グループに含めるVNICを選択する必要があるため、デフォルトNSGは作成されません。
セキュリティ・リストとNSGの両方を使用する場合、適用可能なセキュリティ・リストまたはNSGのいずれかのルールでトラフィックが許可されている場合、特定のVNICとの間のトラフィックは許可されます:
-
VNICサブネットに関連付けられているセキュリティ・リスト内の任意のルール
-
VNICが存在するNSG内の任意のルール
一般情報およびセキュリティ・リストとNSGの比較については、「Oracle Private Cloud Applianceコンセプト・ガイド」の「仮想ネットワークの概要」の"Virtual Firewall"を参照してください。
ネットワーク・セキュリティ・グループの作成
これらのプロシージャは、ルールがなくVNICのないNSGを作成します。
-
NSGにセキュリティ・ルールを追加するには、「ネットワーク・セキュリティ・グループのルールの管理」を参照してください。
-
NSGにVNICを追加するには、「ネットワーク・セキュリティ・グループへのVNICのアタッチ」を参照してください。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 ネットワーキングで、仮想クラウド・ネットワークをクリックします。
-
NSGを作成するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
-
Resourcesの下のNetwork Security Groupsをクリックします。
-
Create Network Security Groupボタンをクリックします。
-
「ネットワーク・セキュリティ・グループの作成」ダイアログで、次の情報を入力します:
-
名前: NSGの説明的な名前。 名前は一意である必要はなく、後で変更できます。
-
コンパートメントに作成: NSGを作成するコンパートメント。
-
-
タグ付け: タグ付けの詳細は、リソース・タグの操作を参照してください。 タグを適用するかどうかが不明な場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
-
ダイアログのCreate Network Security Groupボタンをクリックします。
新しいNSGの詳細ページが表示されます。 セキュリティ・ルールを作成してVNICを選択してグループに追加することも、後でこれらのタスクを実行することもできます。 このセクションの最初に説明されている手順を参照してください。
OCI CLIの使用
表示名と定義済タグおよびフリー・フォーム・タグを追加できます。 同様に、NSG (oci network nsg update
)を更新する場合、名前およびタグのみを更新できます。 ルールおよびVNICを追加するには、この項の最初に参照されている手順を参照してください。
-
コマンドを実行するために必要な情報を収集します:
-
このNSGを作成するコンパートメントのOCID (
oci iam compartment list
) -
このNSGのVCNのOCID (
oci network vcn list --compartment-id compartment_OCID
)
-
-
NSG createコマンドを実行します。
例:
$ oci network nsg create --compartment-id ocid1.compartment.unique_ID \ --vcn-id ocid1.vcn.unique_ID --display-name "Application A" { "data": { "compartment-id": "ocid1.compartment.unique_ID", "defined-tags": {}, "display-name": "Application A", "freeform-tags": {}, "id": "ocid1.networksecuritygroup.unique_ID", "lifecycle-state": "PROVISIONING", "time-created": "2022-05-09T15:48:30.069904+00:00", "vcn-id": "ocid1.vcn.unique_ID" }, "etag": "49073741-0cc7-4371-82ee-2abf4667b14d" }
VCNネットワーク・セキュリティ・グループの表示
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 ネットワーキングで、仮想クラウド・ネットワークをクリックします。
-
ネットワーク・セキュリティ・グループを表示するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
-
Resourcesの下のNetwork Security Groupsをクリックします。 NSGのリストが表示されます。
-
NSGの名前をクリックして、セキュリティ・ルールやアタッチされたVNICなどの詳細を表示します。
OCI CLIの使用
-
コマンドを実行するために必要な情報を収集します:
-
コンパートメントOCID (
oci iam compartment list
) -
VLAN OCID (
oci network vlan list --compartment-id compartment_OCID
)
-
-
NSG listコマンドを実行します。
コンパートメントOCIDを指定して、そのコンパートメント内のすべてのNSGをリストします。
oci network nsg list --compartment-id ocid1.compartment.unique_ID
VLAN OCIDを指定して、そのVLAN内のすべてのNSGをリストします。
oci network nsg list \ --vlan-id ocid1.networksecuritygroup.unique_ID
-
次のいずれかのメソッドを使用して、1つのNSGのみを表示します。
-
list
コマンドをNSGの名前とともに使用します。oci network nsg list --compartment-id ocid1.compartment.unique_ID \ --display-name "Custom NSG"
-
get
コマンドをNSGのOCIDとともに使用します。 NSG OCIDは、NSGlist
コマンド出力のid
プロパティの値です。oci network nsg get --nsg-id ocid1.networksecuritygroup.unique_ID
-
-
NSGセキュリティ・ルールは、リストまたはgetコマンド出力には表示されません。 次のコマンドを使用して、NSGセキュリティ・ルールを表示します。
oci network nsg rules list --nsg-id ocid1.networksecuritygroup.unique_ID
ネットワーク・セキュリティ・グループのルールの管理
これらの手順では、NSGによって適用されるルールを追加、更新および削除する方法について説明します。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 ネットワーキングで、仮想クラウド・ネットワークをクリックします。
-
NSGのルールを管理するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
-
Resourcesの下のNetwork Security Groupsをクリックします。
-
NSGのリストで、ルールを管理するNSGの名前をクリックします。 NSG詳細ページが表示されます。
-
Resourcesの下のSecurity Rulesをクリックします。
-
新しいルールを追加したり、既存のルールを編集および削除できます。
ルールを追加するには、セキュリティ・ルールの作成ボタンをクリックします。 1つ以上のイングレス・ルールを追加するには、「イングレスのルールの許可」ボックスの「+新規ルール」をクリックします。 1つ以上のエグレス・ルールを追加するには、「エグレスのルールの許可」ボックスの「+新規ルール」をクリックします。 次の情報を入力します。
-
ステートレス: 新しいルールをステートレスにする場合は、このボックスを選択します。 デフォルトでは、セキュリティ・リスト・ルールはステートフルであり、リクエストと調整されたレスポンスの両方に適用されます。 ステートレス・ルールおよびステートフル・ルールの詳細は、「Oracle Private Cloud Applianceコンセプト・ガイド」の「仮想ネットワークの概要」の"Security Lists"を参照してください。
-
CIDR: イングレスまたはエグレス・トラフィックのCIDRブロック。
-
IPプロトコル: ルールは、すべてのIPプロトコル、またはICMP、TCP、UDPなどの選択肢に適用できます。 ドロップダウン・リストからプロトコルを選択します。
-
ポート範囲: TCPやUDPなどの一部のプロトコルでは、ソース・ポート範囲および宛先ポート範囲を指定できます。
-
パラメータ・タイプおよびコード: ICMPの場合、パラメータ・タイプおよび対応するパラメータ・コードを選択できます。
-
-
説明: ルールのオプションの説明。
ルールを編集するには、エグレスまたはイングレス・ルールのアクション・メニューをクリックし、編集をクリックして必要な変更を行い、更新をクリックします。
ルールを削除するには、エグレスまたはイングレス・ルールのアクション・メニューをクリックし、削除をクリックしてから、確認をクリックします。 ルールの編集中に、ごみ箱アイコンをクリックしてルールを削除します。
-
OCI CLIの使用
-
ルールを管理するNSGのOCID (
oci network nsg list --compartment-id <compartment_OCID>
)を取得します。 -
--security-rules
オプションの引数を作成します。 セキュリティ・ルールはJSON形式です。 ルールの書式設定方法を確認するには、次のコマンドを使用します:oci network nsg rules add --generate-param-json-input security-rules > nsg_rules.json
--security-rules
オプション引数は、oci network nsg rules update
コマンドの場合とまったく同じです。または、既存のNSGのルールをリストおよびコピーできます。
oci network nsg rules list --nsg-id ocid1.networksecuritygroup.unique_ID
この新規または更新されたNSGのルール情報を、
--generate-param-json-input
による形式出力の適切な場所に配置するか、コピーしたルールの情報を変更します。ルール・オプションの値は、一重引用符の間の文字列、または
file://path_to_file.json
として指定されたファイルのいずれかです。 -
NSGルールの追加または更新コマンドを実行します。
Add:
指定した
security_rules
は、既存のルールに追加されます。oci network nsg rules add --nsg-id nsg_OCID \ --security-rules security_rules
更新:
指定した
security_rules
は、既存のルールを置換します。oci network nsg rules update --nsg-id nsg_OCID \ --security-rules security_rules
-
1つ以上のルールを削除するには、ルールOCIDsのリストを作成します。
次のコマンドを使用して、削除するルールのOCIDsを検索します:
oci network nsg rules list --nsg-id ocid1.networksecuritygroup.unique_ID
NSGルール削除コマンドを実行します。
oci network nsg rules add --nsg-id ocid1.networksecuritygroup.unique_ID \ --security-rule-ids '{[ocid1.security_rule.unique_ID1,ocid1.security_rule.unique_ID2]}'
ネットワーク・セキュリティ・グループへのVNICのアタッチ
NSGには1つ以上のVNICがあります。 インスタンスを作成するとき、またはVNICを作成または更新するときに、VNICをNSGにアタッチできます。 次の手順を参照してください。
次のいずれかを実行して、VNICがアタッチされているNSGのリストを表示します:
-
VNICの詳細を表示します。
-
インスタンスの詳細ページで、リソース・セクションまでスクロールし、アタッチされたVNICをクリックします。
-
リストで、VNICの名前をクリックします。
-
VNICの詳細ページで、リソース・セクションまでスクロールし、ネットワーク・セキュリティ・グループをクリックします。
-
-
次のコマンドを実行します。
$ oci network vnic get --vnic-id ocid1.vnic.unique_ID
次のいずれかを実行して、NSGにアタッチされているVNICのリストを表示します:
-
NSGの詳細を表示します。
-
VCN詳細ページで、リソース・セクションまでスクロールし、Network Security Groupsをクリックします。
-
リストで、NSGの名前をクリックします。
-
NSGの詳細ページで、リソース・セクションまでスクロールし、VNICをクリックします。
-
-
次のコマンドを実行します。
$ oci network nsg vnics list --nsg-id ocid1.networksecuritygroup.unique_ID
VNICがアタッチされているNSGのリストを変更するには、VNICを更新します。
ネットワーク・セキュリティ・グループの削除
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開きます。 ネットワーキングで、仮想クラウド・ネットワークをクリックします。
-
NSGを削除するVCNの名前をクリックします。 VCNの詳細ページが表示されます。
-
Resourcesの下のNetwork Security Groupsをクリックします。
-
削除するNSGに対して、アクション・メニューをクリックし、削除をクリックします。
-
要求されたら、削除を確認します。
OCI CLIの使用
- 削除するNSGのOCIDを取得します(
oci network nsg list --compartment-id compartment_OCID
) -
NSG削除コマンドを実行します。
$ oci network nsg delete --nsg-id ocid1.networksecuritygroup.unique_ID Are you sure you want to delete this resource? [y/N]: y
このプロンプトを抑制するには、--forceオプションを使用します。