パブリック・エンドポイントおよびアクセス制御ルールについて
Oracle Analytics Cloudインスタンスを設定する場合、「パブリック・インターネットでアクセス可能なエンドポイント」を使用してOracle Analytics Cloudをデプロイするオプションがあります。
セキュリティ上の理由から、1つ以上のアクセス制御ルールを介して受信トラフィック(イングレス)を制限できます。 同様に、プライベート・アクセス・チャネルを使用してプライベート・データ・ソースに接続する場合、1つ以上のネットワーク・セキュリティ・グループ・ルールを介して送信トラフィック(エグレス)を制限できます。
イングレス・アクセス制御ルール
- 特定のIPアドレスのセット
- CIDRブロック範囲(クラスレス・ドメイン間ルーティング)
- 1つ以上のOracle Cloud Infrastructure VCN (Virtual Cloud Network)
- サービス・ゲートウェイを介した同じリージョン内のOracleサービス
- 前述のIPアドレス、CIDR範囲、VCN、Oracleサービスの任意の組合せ。
たとえば:
- 「シナリオ1」 - パブリック・インターネットを介したOracle Analytics Cloudへのアクセスを許可します。 固定IPアドレス・セットへのアクセスを制限します。
-
「シナリオ2」 - パブリック・インターネットを介したOracle Analytics Cloudへのアクセスを許可します。 固定CIDRブロック範囲内のホストへのアクセスを制限します。
-
「シナリオ3」 - パブリック・インターネットを経由せずに、Oracle Analytics Cloudと同じリージョンにデプロイされているOracle Cloud Infrastructure VCNからOracle Analytics Cloudへのアクセスを許可します。 同時に、他のサード・パーティのクラウド・サービスまたはユーザーがパブリック・インターネットを介してOracle Analytics Cloudにアクセスできるようにします。
- 「シナリオ4」- パブリック・インターネットを経由せずに、オンプレミス・ネットワークからOracle Analytics Cloudへのアクセスを許可します。 同時に、他のサード・パーティのクラウド・サービスまたはユーザーがパブリック・インターネットを介してOracle Analytics Cloudにアクセスできるようにします。
-
「シナリオ6」 - パブリック・インターネットを介さずにオンプレミス・ネットワークからOracle Analytics Cloudへのアクセスを許可します。 同時に、同じリージョンのOracle ServicesがOracle Analytics Cloudにアクセスできるようにします。
「図oac_public_ep.jpgの説明」
サンプル・ダイアグラムは、パブリック・エンドポイントと2つのアクセス制御ルールを使用してデプロイされたOracle Analytics Cloudを示しています。 最初のルールはIPアドレス204.204.100.100からのアクセスを許可し、2番目のルールはOracle Cloud Infrastructure VCN customer-oci-vcnからのアクセスを許可します。 VCNはオンプレミス・ネットワークにピアリングされ、Oracle Analytics CloudへのアクセスはVCNサービス・ゲートウェイを介してルーティングされます。
Oracle Analytics Cloudはパブリック・インターネットからアクセスできますが、独自のアクセス制御ルールを実装して、必要な追加のセキュリティを提供できます。 この例では、エグレス・ゲートウェイIPアドレス204.204.100.100を持つサードパーティ・サービスのみが、パブリック・インターネットを介してOracle Analytics Cloudにアクセスします。 オンプレミス・ネットワークからのトラフィックはパブリック・インターネットを使用せず、VCN内で構成されたサービス・ゲートウェイを使用します。
エグレス・ネットワーク・セキュリティ・グループ・ルール
Oracle Analytics Cloudインスタンスがプライベート・アクセス・チャネルを使用してプライベート・データ・ソースに接続している場合、1つ以上のネットワーク・セキュリティ・グループ・ルールを介して送信トラフィック(エグレス)を制限できます。 プライベート・チャネルには最大5つのネットワーク・セキュリティ・グループ・ルールを指定し、必要に応じて編集できます。