機械翻訳について

プライベート・エンドポイントを使用したネットワーク・アクセスの構成

Autonomous Databaseがテナンシの仮想クラウド・ネットワーク(VCN)内のプライベート・エンドポイントを使用するように指定できます。 Autonomous Databaseのプロビジョニングまたはクローニング中にプライベート・エンドポイントを構成するか、パブリック・エンドポイントを使用する既存のデータベースでプライベート・エンドポイントを使用するように切り替えることができます。 これにより、データベースとの間のすべてのトラフィックをパブリック・インターネットとの間で保持できます。

仮想クラウド・ネットワーク構成を指定すると、指定した仮想クラウド・ネットワークからのトラフィックのみが許可され、すべてのパブリックIPまたはVCNからのデータベースへのアクセスがブロックされます。 これにより、セキュリティ・リストまたはネットワーク・セキュリティ・グループ(NSG)レベルでセキュリティ・ルールを定義して、Autonomous Databaseインスタンスのイングレス/エグレスを指定できます。 プライベート・エンドポイントを使用し、セキュリティ・リストまたはNSGを定義すると、Autonomous Databaseインスタンスとの間のトラフィックを制御できます。

ノート:

プライベート・エンドポイントを使用するようにAutonomous Databaseインスタンスを構成し、特定のパブリックIPアドレスからの接続も許可する場合、またはサービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するようにそれらのVCNが構成されている場合は、「パブリック・アクセスの許可」オプションを選択します。 これにより、プライベート・エンドポイントで構成されたデータベースのパブリック・エンドポイントが追加されます。 詳細については、「パブリック・アクセスが許可されたプライベート・エンドポイントの使用」を参照してください。

「パブリック・アクセスの許可オプション」は、データベースでECPUコンピュート・モデルが使用されている場合にのみ使用できます。

トピック

• プライベート・エンドポイントの構成
  Autonomous Databaseがプライベート・エンドポイントを使用するように指定し、テナンシ内のVirtual Cloud Network (VCN)をプライベート・エンドポイントで使用するように構成できます。
• プライベート・エンドポイントを使用したアウトバウンド接続のセキュリティの強化
  Autonomous Databaseインスタンスでプライベート・エンドポイントを使用する場合、ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティを値PRIVATE_ENDPOINTに設定することで、セキュリティを強化できます。
• プライベート・エンドポイント・ノート
  Autonomous Databaseのプライベート・エンドポイントの制限およびノートについて説明します。
• Autonomous Databaseのプライベート・エンドポイント構成の例
  Autonomous Databaseのいくつかのプライベート・エンドポイント(VCN)構成サンプルを示しています。

プライベート・エンドポイントの構成

Autonomous Databaseがプライベート・エンドポイントを使用して、プライベート・エンドポイントで使用するテナンシ内にVirtual Cloudネットワーク(VCN)を構成することを指定できます。

• プライベート・エンドポイントを構成するための前提条件ステップ
  Autonomous Databaseインスタンスのプライベート・エンドポイントを構成する前に実行する必要がある前提条件ステップについて説明します。
• プライベート・エンドポイントの管理に必要なIAMポリシー
  Autonomous Databaseのプロビジョニングおよび管理に必要なポリシーに加えて、プライベート・エンドポイントを使用するには、一部のネットワーク・ポリシーが必要です。
• インスタンスのプロビジョニングまたはクローニング時のプライベート・エンドポイントの構成
  Autonomous Databaseインスタンスをプロビジョニングまたはクローニングするときに、プライベート・エンドポイントを構成できます。
• Autonomous Databaseによるパブリック・エンドポイントからプライベート・エンドポイントへの変更
  Autonomous Databaseインスタンスがパブリック・エンドポイントを使用するように構成されている場合は、構成をプライベート・エンドポイントに変更できます。
• プライベート・エンドポイントの構成の更新
  既存のAutonomous Databaseインスタンス上のプライベート・エンドポイントの構成で、いくつかのオプションを変更できます。
• プライベート・エンドポイント拡張オプションの構成
  プライベート・エンドポイント・アクセス拡張オプションを使用すると、ユーザー指定のプライベートIPアドレスおよびホスト名を入力したり、1つ以上のネットワーク・セキュリティ・グループを選択したり、プライベート・エンドポイント・データベースへのパブリック・アクセスを許可する詳細を指定できます。
• パブリック・アクセスが許可されたプライベート・エンドポイントの使用
  プライベート・エンドポイントを使用するようにAutonomous Databaseを構成し、特定のパブリックIPアドレスまたは特定のVCNからの接続も許可する場合(サービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するようにVCNが構成されている場合)、「パブリック・アクセスの許可」オプションを選択します。

プライベート・エンドポイントを構成するための前提条件ステップ

Autonomous Databaseインスタンスのプライベート・エンドポイントを構成する前に実行する必要がある前提条件ステップについて説明します。

プライベート・エンドポイントを構成する前に、次の前提条件ステップを実行します:

• 作業中のリソースに必要なポリシーを設定します。 詳細については、「プライベート・エンドポイントの管理に必要なIAMポリシー」を参照してください。

• Autonomous Databaseが含まれるリージョン内にVCNを作成します。 詳細については、「VCNとサブネット」を参照してください。

• デフォルトのDHCPオプションで構成される、VCN内にサブネットを構成します。 詳細については、「Virtual CloudネットワークのDNS」を参照してください。

• (オプション)プライベート・エンドポイントを構成する前に、次のオプション・ステップを実行します:

  VCN内にネットワーク・セキュリティ・グループ(NSG)を指定します。 NSGは、Autonomous Databaseへの接続のルールを指定します。 詳細については、「ネットワーク・セキュリティ・グループ」を参照してください。

プライベート・エンドポイントの管理に必要なIAMポリシー

Autonomous Databaseのプロビジョニングと管理に必要なポリシーに加えて、プライベート・エンドポイントを使用するには一部のネットワーク・ポリシーが必要です。

次の表に、クラウド・ユーザーがプライベート・エンドポイントを追加するために必要なIAMポリシーを示します。 リストされているポリシーは、プライベート・エンドポイントを追加する最小要件です。 より広いポリシー・ルールを使用することもできます。 たとえば、ポリシー・ルールを設定する場合:

Allow group MyGroupName to manage virtual-network-family in tenancy

このルールは、すべての必要なポリシーを含むスーパーセットであるため、機能します。

操作	必要なIAMポリシー
プライベート・エンドポイントの構成	VCNが存在するコンパートメントの場合はuse vcns VCNが存在するコンパートメントの場合はuse subnets ネットワーク・セキュリティ・グループが存在するコンパートメントの場合はuse network-security-groups VCNが存在するコンパートメントの場合はmanage private-ips VCNが存在するコンパートメントの場合はmanage vnics データベースがプロビジョニングされている、またはプロビジョニングされるコンパートメントのmanage vnics

Autonomous Databaseは、IAM (Identity and Access Management)サービスを使用して、Oracle Cloud Infrastructureインタフェース(コンソール、REST API、CLI、SDKなど)のいずれかを使用する操作を実行するクラウド・ユーザーを認証および認可します。

IAMサービスでは、groups、「コンパートメント」およびpoliciesを使用して、どのクラウド・ユーザーがどのリソースにアクセスできるかを制御します。 特に、ポリシーは、特定のコンパートメント内の特定の種類のリソースに対してユーザーのグループが持つアクセスの種類を定義します。 詳細は、「ポリシーのスタート・ガイド」を参照してください。

インスタンスのプロビジョニングまたはクローニング時のプライベート・エンドポイントの構成

Autonomous Databaseインスタンスをプロビジョニングまたはクローニングするときに、プライベート・エンドポイントを構成できます。

次のステップは、インスタンスをプロビジョニングまたはクローニングしており、前提条件のステップが完了しており、プロビジョニングまたはクローニングのステップの「ネットワーク・アクセスの選択」ステップであることを前提としています:

1. 「プライベート・エンドポイント・アクセスのみ」を選択します。

   仮想クラウド・ネットワークのプライベート・アクセスの構成領域が拡張されます。

   「プライベート・エンドポイント・アクセスのみ」を選択した場合、これにより、指定されたプライベート・ネットワーク(VCN)、ピアリング済VCN、およびVCNに接続されているオンプレミス・ネットワークからの接続のみが許可されます。 プライベート・エンドポイントでAutonomous Databaseインスタンスを構成して、オンプレミス・ネットワークからの接続を許可できます。 例は、「例: データ・センターからAutonomous Databaseへの接続」を参照してください。

   パブリックIPアドレスからの接続、または許可されたIPおよびVCNからの接続を許可する場合は、次のオプションがあります:

   • 「あらゆる場所からの安全なアクセス」を選択します。

   • 「許可されたIPおよびVCNのみからのセキュア・アクセス」を選択します。

   • 「プライベート・エンドポイント・アクセスのみ」を選択した場合は、「詳細オプションの表示」を展開し、「パブリック・アクセスの許可」を選択します。 詳細については、「プライベート・エンドポイント拡張オプションの構成」を参照してください。

2. コンパートメント内の「仮想クラウド・ネットワーク」を選択してください。または、VCNが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックし、VCNが含まれるコンパートメントを選択してから、仮想クラウド・ネットワークを選択します。

   詳細については、「VCNとサブネット」を参照してください。

3. コンパートメントで「サブネット」を選択してAutonomous Databaseをアタッチするか、サブネットが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックし、サブネットを含むコンパートメントを選択してからサブネットを選択します。

   詳細については、「VCNとサブネット」を参照してください。

4. (オプション)「詳細オプションの表示」をクリックして、追加のプライベート・エンドポイント・オプションを表示します。

   拡張オプションの詳細は、「プライベート・エンドポイント拡張オプションの構成」を参照してください。

5. 相互TLS (mTLS)認証が必要

   「相互TLS (mTLS)認証が必要」オプションは次のとおりです:

   • 「相互TLS (mTLS)認証が必要」の選択を解除すると、TLSおよびmTLS接続が許可されます。 これはデフォルトの構成です。

   • 「相互TLS (mTLS)認証が必要」を選択すると、mTLS接続のみが許可されます(TLS認証は許可されません)。

   詳細については、「Autonomous DatabaseでTLSまたは相互TLS (mTLS)認証のみを許可するためのネットワーク・オプションの更新」を参照してください。

6. Autonomous Databaseインスタンスのプロビジョニング、Autonomous DatabaseインスタンスのクローニングまたはバックアップからのAutonomous Databaseのクローニングで指定されているように、残りのプロビジョニングまたはクローニング・ステップを完了します。

詳細については、「プライベート・エンドポイント・ノート」を参照してください。

Autonomous Databaseでのパブリック・エンドポイントからプライベート・エンドポイントへの変更

パブリック・エンドポイントを使用するようにAutonomous Databaseインスタンスが構成されている場合は、構成をプライベート・エンドポイントに変更できます。

1. 「詳細」ページで、「その他のアクション」ドロップダウン・リストから「ネットワーク・アクセスの更新」を選択します。

   インスタンスをパブリック・エンドポイントからプライベート・エンドポイントに変更するには、Autonomous Databaseインスタンスが使用可能状態(ライフサイクル状態)である必要があります: 使用可能).

2. 「ネットワーク・アクセスの更新」ダイアログで、「プライベート・エンドポイント・アクセスのみ」を選択します。

   仮想クラウド・ネットワークのプライベート・アクセスの構成領域が拡張されます。

   
   「図adb_network_private_update.pngの説明」

   「プライベート・エンドポイント・アクセスのみ」を選択した場合、これにより、指定されたプライベート・ネットワーク(VCN)、ピアリング済VCN、およびVCNに接続されているオンプレミス・ネットワークからの接続のみが許可されます。 プライベート・エンドポイントでAutonomous Databaseインスタンスを構成して、オンプレミス・ネットワークからの接続を許可できます。 例は、「例: データ・センターからAutonomous Databaseへの接続」を参照してください。

   パブリックIPアドレスからの接続、または許可されたIPおよびVCNからの接続を許可する場合は、次のオプションがあります:

   • 「あらゆる場所からの安全なアクセス」を選択します。

   • 「許可されたIPおよびVCNのみからのセキュア・アクセス」を選択します。

   • 「プライベート・エンドポイント・アクセスのみ」を選択した場合は、「詳細オプションの表示」を展開し、「パブリック・アクセスの許可」を選択します。 詳細については、「プライベート・エンドポイント拡張オプションの構成」を参照してください。

3. コンパートメント内の「仮想クラウド・ネットワーク」を選択してください。または、VCNが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックし、VCNが含まれるコンパートメントを選択してから、仮想クラウド・ネットワークを選択します。

   詳細については、「VCNとサブネット」を参照してください。

4. コンパートメントで「サブネット」を選択してAutonomous Databaseをアタッチするか、サブネットが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックし、サブネットを含むコンパートメントを選択してからサブネットを選択します。

   詳細については、「VCNとサブネット」を参照してください。

5. (オプション) 「詳細オプションの表示」をクリックして、追加のオプションを表示します。

   拡張オプションの詳細は、「プライベート・エンドポイント拡張オプションの構成」を参照してください。

6. 「更新」をクリックします。
7. 「確認」ダイアログで、Autonomous Database名を入力して変更を確認します。
8. 「確認」ダイアログで、「更新」をクリックします。

操作が完了するまで、ライフサイクルの状態は「更新中」に変わります。

パブリック・ネットワーク・アクセスからプライベート・ネットワーク・アクセスへの変更に関するノート:

• ネットワーク・アクセス・タイプを更新した後、すべてのデータベース・ユーザーは新しいウォレットを取得し、新しいウォレットを使用してデータベースにアクセスする必要があります。 詳細については、「クライアント資格証明(ウォレット)のダウンロード」を参照してください。

• パブリック・エンドポイントにACLが定義されている場合、ACLはプライベート・エンドポイントには適用されません。

• プライベート・エンドポイントを使用するようにネットワーク・アクセスを更新した後、データベース・ツールのURLはパブリック・エンドポイントを使用する場合と異なります。 パブリック・エンドポイントからプライベート・エンドポイントに変更した後、コンソールで更新されたURLを検索できます。

プライベート・エンドポイントの構成の更新

既存のAutonomous Databaseインスタンス上のプライベート・エンドポイントの構成で、いくつかのオプションを変更できます。

1. 「詳細」ページで、「その他のアクション」ドロップダウン・リストから「ネットワーク・アクセスの更新」を選択します。

   これは、「ネットワーク・アクセスの更新」パネルを示しています。

2. 「プライベート・エンドポイント・アクセスのみ」を選択します。

   パブリックIPアドレスからの接続、または許可されたIPおよびVCNからの接続を許可する場合は、次のオプションがあります:

   • 「あらゆる場所からの安全なアクセス」を選択します。

   • 「許可されたIPおよびVCNのみからのセキュア・アクセス」を選択します。

   • 「プライベート・エンドポイント・アクセスのみ」を選択すると、拡張オプションが表示され、「パブリック・アクセスの許可」を選択します。 プライベート・エンドポイントとパブリック・エンドポイントの両方を含むプライベート・エンドポイント・データベースを定義します。

   1. オプションで、「ネットワーク・セキュリティ・グループ(NSG)」を追加します。

      オプションで、Autonomous Databaseインスタンスへの接続にNSGでのセキュリティ・ルールの定義を許可するために、Autonomous Databaseの仮想ファイアウォールを作成します。

      • Autonomous Databaseをアタッチするコンパートメント内のネットワーク・セキュリティ・グループを選択するか、ネットワーク・セキュリティ・グループが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして別のコンパートメントを選択し、そのコンパートメント内のネットワーク・セキュリティ・グループを選択します。
      • 「+別のネットワーク・セキュリティ・グループ」をクリックして、別のネットワーク・セキュリティ・グループを追加します。
      • ネットワーク・セキュリティ・グループ・エントリを削除するには、xをクリックします。

      プライベート・エンドポイントに選択したNSGに対して、次のようにセキュリティ・ルールを定義します:

      • 相互TLS (mTLS)認証の場合は、データベースへの接続を許可するアドレス範囲にソース・セット、TCPに設定されたIPプロトコル、および1522に設定された宛先ポート範囲が設定されたステートフル・イングレス・ルールを追加します。

      • TLS認証の場合は、ソース・セットを持つステートフル・イングレス・ルールを、データベースへの接続を許可するアドレス範囲、TCPに設定されたIPプロトコルおよび1521に設定されている宛先ポート範囲に追加します。

      • Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。

      ノート:

      受信および送信の接続は、NSGで定義されたイングレスおよびエグレス・ルールとVCNで定義されているセキュリティ・リストの組合せによって制限されます。 NSGがない場合、VCNのセキュリティ・リストに定義されているイングレス・ルールとエグレス・ルールは引き続き適用されます。 セキュリティ・リストの操作の詳細は、「セキュリティ・リスト」を参照してください。

      詳細については、「mTLSまたはTLSを使用したAutonomous Databaseへのセキュアな接続」を参照してください。

      例については、「Autonomous Databaseでのプライベート・エンドポイントの構成例」を参照してください。

      詳細については、「ネットワーク・セキュリティ・グループ」を参照してください。

   2. オプションで、「パブリック・アクセスの許可」を選択するか、すでに選択されている場合は、プライベート・エンドポイント・データベースで構成されているパブリック・エンドポイントに対するアクセス制御ルールを構成できます。

      「パブリック・アクセスの許可オプション」は、データベースでECPUコンピュート・モデルが使用されている場合にのみ使用できます。

      「パブリック・アクセスの許可」を選択すると、「アクセス制御の構成」オプションが表示され、データベースに接続できる許可されたIPアドレス、CIDRブロックまたは仮想クラウド・ネットワークを入力できます。

      次のいずれかを選択します。

      • IPアドレス:

        「値」フィールドに、「IPアドレス」の値を入力します。 ネットワークACLエントリで指定されたIPアドレスは、アクセス権を付与するパブリック・インターネットで表示可能なクライアントのパブリックIPアドレスです。 たとえば、Oracle Cloud Infrastructure VMの場合、これは、そのVMのOracle Cloud Infrastructureコンソールの「パブリックIP」フィールドに表示されているIPアドレスです。

        オプションで、「IPアドレスを追加」を選択して、現在のIPアドレスをACLエントリに追加します。

      • CIDRブロック:

        「値」フィールドに、「CIDRブロック」の値を入力します。 指定されたCIDRブロックは、アクセス権を付与するパブリック・インターネットで表示可能なクライアントのパブリックCIDRブロックです。

      • 仮想クラウド・ネットワーク:

        このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructureサービス・ゲートウェイを経由する場合に使用します。 詳細については、「Oracle Servicesへのアクセス: サービス・ゲートウェイ」を参照してください。

        このオプションを使用して、Oracle Cloud Infrastructureサービス・ゲートウェイで使用するVCNを指定します:

        • 「仮想クラウド・ネットワーク」フィールドで、アクセス権を付与するVCNを選択します。 テナンシ内のVCNを参照する権限がない場合、このリストは空です。 この場合、選択「仮想クラウド・ネットワーク(OCID)」を使用してVCNのOCIDを指定します。
        • 必要に応じて、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。
      • 仮想クラウド・ネットワーク(OCID):

        このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructureサービス・ゲートウェイを経由する場合に使用します。 詳細については、「Oracle Servicesへのアクセス: サービス・ゲートウェイ」を参照してください。

        • 「値」フィールドに、アクセス権を付与するVCNのOCIDを入力します。
        • 必要に応じて、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。

      同じVCN内で複数のIPアドレスまたはCIDR範囲を指定する場合は、複数のACLエントリを作成しないでください。 複数のIPアドレスまたはCIDR範囲の値をカンマで区切って、単一のACLエントリを使用します。

3. 「更新」をクリックします。

「更新」をクリックすると、ライフサイクル状態が「使用可能」の場合、変更が適用されるまでライフサイクルの状態は「更新中」に変わります。 データベースは稼働中でアクセス可能なため、停止時間はありません。 更新が完了すると、ライフサイクル状態は「使用可能」に戻ります。

詳細については、「プライベート・エンドポイント・ノート」を参照してください。

プライベート・エンドポイント拡張オプションの構成

プライベート・エンドポイント・アクセス拡張オプションを使用すると、ユーザー指定のプライベートIPアドレスおよびホスト名を入力したり、1つ以上のネットワーク・セキュリティ・グループを選択したり、プライベート・エンドポイント・データベースへのパブリック・アクセスを許可する詳細を指定できます。

これらのステップでは、Autonomous Databaseインスタンスをプロビジョニングまたはクローニングする場合、または既存のAutonomous Databaseインスタンスのパブリック・アクセスからプライベート・アクセスに変更する場合、「ネットワーク・アクセスの選択」ステップにいることを前提としています。

1. 「プライベート・エンドポイント・アクセスのみ」を選択します。

   これは、仮想クラウド・ネットワークのプライベート・アクセス構成領域を示しています。

2. (オプション)「詳細オプションの表示」をクリックして、追加のプライベート・エンドポイント・オプションを表示します。

   拡張オプションが表示されます。

   1. オプションで、「プライベートIPアドレス」と入力します。

      このフィールドを使用して、カスタム・プライベートIPアドレスを入力します。 入力するプライベートIPアドレスは、選択したサブネットCIDR範囲内である必要があります。

      カスタム・プライベートIPアドレスを指定しない場合、IPアドレスが自動的に割り当てられます。

   2. オプションで、「ホスト名プレフィクス」と入力します。

      これは、Autonomous Databaseのホスト名プレフィクスを指定し、DNS名をデータベース・インスタンスに次の形式で関連付けます:

      hostname_prefix.adb.region.oraclecloud.com

      ホスト名のプレフィクスを指定しない場合、システムで生成されたホスト名のプレフィクスが使用されます。

   3. オプションで、「ネットワーク・セキュリティ・グループ(NSG)」を追加します。

      オプションで、Autonomous Databaseインスタンスへの接続にNSGでのセキュリティ・ルールの定義を許可するために、Autonomous Databaseの仮想ファイアウォールを作成します。

      • Autonomous Databaseをアタッチするコンパートメント内のネットワーク・セキュリティ・グループを選択するか、ネットワーク・セキュリティ・グループが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして別のコンパートメントを選択し、そのコンパートメント内のネットワーク・セキュリティ・グループを選択します。
      • 「+別のネットワーク・セキュリティ・グループ」をクリックして、別のネットワーク・セキュリティ・グループを追加します。
      • ネットワーク・セキュリティ・グループ・エントリを削除するには、xをクリックします。

      プライベート・エンドポイントに選択したNSGに対して、次のようにセキュリティ・ルールを定義します:

      • 相互TLS (mTLS)認証の場合は、データベースへの接続を許可するアドレス範囲にソース・セット、TCPに設定されたIPプロトコル、および1522に設定された宛先ポート範囲が設定されたステートフル・イングレス・ルールを追加します。

      • TLS認証の場合は、ソース・セットを持つステートフル・イングレス・ルールを、データベースへの接続を許可するアドレス範囲、TCPに設定されたIPプロトコルおよび1521に設定されている宛先ポート範囲に追加します。

      • Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。

      ノート:

      受信および送信の接続は、NSGで定義されたイングレスおよびエグレス・ルールとVCNで定義されているセキュリティ・リストの組合せによって制限されます。 NSGがない場合、VCNのセキュリティ・リストに定義されているイングレス・ルールとエグレス・ルールは引き続き適用されます。 セキュリティ・リストの操作の詳細は、「セキュリティ・リスト」を参照してください。

      詳細については、「mTLSまたはTLSを使用したAutonomous Databaseへのセキュアな接続」を参照してください。

      例については、「Autonomous Databaseでのプライベート・エンドポイントの構成例」を参照してください。

      詳細については、「ネットワーク・セキュリティ・グループ」を参照してください。

   4. オプションで、「パブリック・アクセスの許可」を選択し、アクセス制御ルールを構成して、プライベート・エンドポイント・データベースのパブリック・エンドポイントを追加します。

      「パブリック・アクセスの許可オプション」は、データベースでECPUコンピュート・モデルが使用されている場合にのみ使用できます。

      「パブリック・アクセスの許可」を選択すると、「アクセス制御の構成」オプションが表示され、データベースに接続できる許可されたIPアドレス、CIDRブロックまたは仮想クラウド・ネットワークを入力できます。

      次のいずれかを選択します。

      • IPアドレス:

        「値」フィールドに、「IPアドレス」の値を入力します。 ネットワークACLエントリで指定されたIPアドレスは、アクセス権を付与するパブリック・インターネットで表示可能なクライアントのパブリックIPアドレスです。 たとえば、Oracle Cloud Infrastructure VMの場合、これは、そのVMのOracle Cloud Infrastructureコンソールの「パブリックIP」フィールドに表示されているIPアドレスです。

        オプションで、「IPアドレスを追加」を選択して、現在のIPアドレスをACLエントリに追加します。

        オプションで、「IPアドレスを追加」を選択して、現在のIPアドレスをACLエントリに追加します。

      • CIDRブロック:

        「値」フィールドに、「CIDRブロック」の値を入力します。 指定されたCIDRブロックは、アクセス権を付与するパブリック・インターネットで表示可能なクライアントのパブリックCIDRブロックです。

      • 仮想クラウド・ネットワーク:

        このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructureサービス・ゲートウェイを経由する場合に使用します。 詳細については、「Oracle Servicesへのアクセス: サービス・ゲートウェイ」を参照してください。

        このオプションを使用して、Oracle Cloud Infrastructureサービス・ゲートウェイで使用するVCNを指定します:

        • 「仮想クラウド・ネットワーク」フィールドで、アクセス権を付与するVCNを選択します。 テナンシ内のVCNを参照する権限がない場合、このリストは空です。 この場合、選択「仮想クラウド・ネットワーク(OCID)」を使用してVCNのOCIDを指定します。
        • 必要に応じて、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。
      • 仮想クラウド・ネットワーク(OCID):

        このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructureサービス・ゲートウェイを経由する場合に使用します。 詳細については、「Oracle Servicesへのアクセス: サービス・ゲートウェイ」を参照してください。

        • 「値」フィールドに、アクセス権を付与するVCNのOCIDを入力します。
        • 必要に応じて、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。

      同じVCN内で複数のIPアドレスまたはCIDR範囲を指定する場合は、複数のACLエントリを作成しないでください。 複数のIPアドレスまたはCIDR範囲の値をカンマで区切って、単一のACLエントリを使用します。

3. 残りのプライベート・エンドポイント構成ステップを完了します。

パブリック・アクセスが許可されたプライベート・エンドポイントの使用

プライベート・エンドポイントを使用するようにAutonomous Databaseを構成し、特定のパブリックIPアドレスまたは特定のVCNからの接続も許可する場合(サービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するようにVCNが構成されている場合)、「パブリック・アクセスの許可」オプションを選択します。

このオプションは、プライベート・エンドポイントに構成されているデータベースのパブリック・エンドポイントを追加します。 Autonomous Databaseインスタンスのプライベート・エンドポイントは、インスタンスをプロビジョニングまたはクローニングするとき、または既存のAutonomous Databaseのネットワーク構成を更新するときに構成します。 プライベート・エンドポイントを使用してAutonomous Databaseインスタンスを構成するステップの詳細は、次を参照してください:

• インスタンスのプロビジョニングまたはクローニング時のプライベート・エンドポイントの構成

• Autonomous Databaseでのパブリック・エンドポイントからプライベート・エンドポイントへの変更

プライベート・エンドポイント・データベースで「パブリック・アクセスの許可」を使用してパブリック・アクセスが有効になっている場合、インスタンスにはプライベート・エンドポイントとパブリック・エンドポイントの両方があります:

• プライベート・ホスト名、エンドポイントURLおよびプライベートIPアドレスを使用すると、データベースが存在するVCNからデータベースに接続できます。

• パブリック・ホスト名を使用すると、特定のパブリックIPアドレスから、または特定のVCN(サービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するように構成されている場合)からデータベースに接続できます。

Autonomous Database「パブリック・アクセスの許可」が有効なプライベート・エンドポイント・データベースの接続文字列の追加

プライベート・エンドポイント・データベースで「パブリック・アクセスの許可」が有効になっている場合、パブリック・エンドポイントからデータベースに接続できる追加の接続文字列があります:

• Autonomous Databaseウォレットzipのtnsnames.oraの接続文字列には、パブリック・インターネットからの接続に使用するパブリック接続文字列が含まれます。 パブリック・エンドポイントの接続文字列では、次のネーミング規則を使用します:

  dbname_public_consumerGroup

  たとえば:

  adbfinance_public_low

  詳細については、「クライアント資格証明(ウォレット)のダウンロード」を参照してください。

• Oracle Cloud Infrastructureコンソール(またはAPIを使用)から、パブリック・エンドポイントとプライベート・エンドポイントの両方の接続文字列を表示できます。

  詳細については、「Autonomous DatabaseインスタンスのTNS名および接続文字列の表示」を参照してください。

Autonomous Database「パブリック・アクセスの許可」が有効なプライベート・エンドポイント・データベースのツール追加

プライベート・エンドポイント・データベースで「パブリック・アクセスの許可」が有効になっている場合、データベース・ツールを使用すると、特定のパブリックIPアドレスまたは特定のVCN(サービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するようにそれらのVCNが構成されている場合)から接続できます:

• 各ツールには、プライベート・アクセスURLと、ツール構成表に表示されるパブリック・アクセスURLがあります。 パブリック・アクセスURLを使用して、特定のパブリックIPアドレスからツールにアクセスするか、特定のVCN(サービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するように構成されている場合)からツールにアクセスします。

  たとえば:

  
  図adb_tools_status_private_public.pngの説明

  詳細については、「Autonomous Database組込みツール・ステータスの表示」を参照してください。

• ウォレットzipファイルのREADMEファイルは、各データベース・ツールのプライベート・エンドポイントのアクセス・リンクとパブリック・アクセス・リンクの両方を提供します。

  詳細については、「ウォレットのREADMEファイル」を参照してください。

プライベート・エンドポイントを使用したアウトバウンド接続のセキュリティの強化

Autonomous Databaseインスタンスでプライベート・エンドポイントを使用する場合、ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティを値PRIVATE_ENDPOINTに設定することで、セキュリティを強化できます。

ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティを値PRIVATE_ENDPOINTに設定すると、ターゲット・ホストへのすべての送信接続がプライベート・エンドポイントのエグレス・ルールの対象および制限されます。 エグレス・ルールは、Virtual Cloud Network (VCN)セキュリティ・リストまたはAutonomous Databaseインスタンスのプライベート・エンドポイントに関連付けられたネットワーク・セキュリティ・グループ(NSG)で定義します。

ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティを設定する前に、プライベート・エンドポイントを使用するようにAutonomous Databaseインスタンスを構成します。 詳細については、「プライベート・エンドポイントの構成」を参照してください。

ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティをPRIVATE_ENDPOINTに設定して、すべての送信接続がAutonomous Databaseインスタンスのプライベート・エンドポイントVCNエグレス・ルールの対象となることを指定します。 値PRIVATE_ENDPOINTを指定すると、データベースは送信接続をプライベート・エンドポイントのエグレス・ルールで指定されたロケーションに制限し、DNS解決も変更して、ホスト名がVCNのDNSリゾルバを使用して解決されるようにします(パブリックDNSリゾルバを使用しません)。

ノート:

ROUTE_OUTBOUND_CONNECTIONSがPRIVATE_ENDPOINTに設定されていない場合、パブリック・インターネットへのすべての送信接続は、サービスVCNのネットワーク・アドレス変換(NAT)ゲートウェイを通過します。 この場合、ターゲット・ホストがパブリック・エンドポイントにある場合、送信接続はAutonomous Databaseインスタンスのプライベート・エンドポイントVCNまたはNSGエグレス・ルールの対象になりません。

Autonomous Databaseインスタンスのプライベート・エンドポイントを構成し、ROUTE_OUTBOUND_CONNECTIONSをPRIVATE_ENDPOINTに設定すると、この設定によって、次のアウトバウンド接続およびDNS解決の処理が変更されます:

• データベース・リンク

• APEX_LDAP、APEX_MAILおよびAPEX_WEB_SERVICE

• UTL_HTTP、UTL_SMTPおよびUTL_TCP

• DBMS_LDAP

• Microsoft Active Directoryを使用したCMU

  詳細については、「Microsoft Active DirectoryとAutonomous Databaseの使用」を参照してください。

Autonomous Databaseインスタンスのプライベート・エンドポイントを構成し、ROUTE_OUTBOUND_CONNECTIONSをPRIVATE_ENDPOINTに設定した場合、この設定では、次のアウトバウンド接続およびDNS解決の処理は変更されません:

• Oracle REST Data Services (ORDS)

• データベース・アクション

ROUTE_OUTBOUND_CONNECTIONSを設定するには:

1. データベースに接続します。
2. データベース・プロパティROUTE_OUTBOUND_CONNECTIONSを設定します。

   たとえば:

   ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = 'PRIVATE_ENDPOINT';

ROUTE_OUTBOUND_CONNECTIONSを設定するためのノート:

• デフォルトのパラメータ値をリストアするには、次のコマンドを使用します:

  ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = '';

• 次のコマンドを使用して、現在のパラメータ値を問い合せます:

  SELECT * FROM DATABASE_PROPERTIES
          WHERE PROPERTY_NAME = 'ROUTE_OUTBOUND_CONNECTIONS';

  プロパティが設定されていない場合、問合せは結果を返しません。

• このプロパティは、プロパティを値PRIVATE_ENDPOINTに設定した後に作成したデータベース・リンクにのみ適用されます。 したがって、プロパティを設定する前に作成したデータベース・リンクは、サービスVCNのNAT Gatewayを引き続き使用し、Autonomous Databaseインスタンスのプライベート・エンドポイントのエグレス・ルールの対象にはなりません。

• プライベート・エンドポイントでAutonomous Databaseを使用している場合、値PRIVATE_ENDPOINTにのみROUTE_OUTBOUND_CONNECTIONSを設定します。

• データベースがプライベート・エンドポイントにあり、VCNによってアウトバウンド接続を解決する場合は、ROUTE_OUTBOUND_CONNECTIONSパラメータをPRIVATE_ENDPOINTに設定する必要があります。

ネットワーク・アドレス変換(NAT)ゲートウェイの詳細は、NAT Gatewayを参照してください。

プライベート・エンドポイント・ノート

Autonomous Databaseでのプライベート・エンドポイントの制限およびノートについて説明します。

• プライベート・エンドポイントを使用するようにネットワーク・アクセスを更新した後、またはプライベート・エンドポイントを構成するプロビジョニングまたはクローニングが完了した後、「Autonomous Databaseの詳細」ページの「ネットワーク」セクションの下にネットワーク構成を表示できます。

  「ネットワーク」セクションには、プライベート・エンドポイントに関する次の情報が表示されます:

  • アクセス・タイプ: Autonomous Database構成のアクセス・タイプを指定します。 プライベート・エンドポイント構成にはアクセス・タイプが表示されます: 仮想クラウド・ネットワーク。
  • 可用性ドメイン: Autonomous Databaseインスタンスの可用性ドメインを指定します。
  • 仮想クラウド・ネットワーク: これには、プライベート・エンドポイントに関連付けられたVCNのリンクが含まれます。
  • サブネット: これには、プライベート・エンドポイントに関連付けられたサブネットのリンクが含まれます。
  • プライベート・エンドポイントIP: プライベート・エンドポイント構成のプライベート・エンドポイントIPを表示します。
  • プライベート・エンドポイントURL: プライベート・エンドポイント構成のプライベート・エンドポイントURLを表示します。
  • ネットワーク・セキュリティ・グループ: このフィールドには、プライベート・エンドポイントで構成されたNSGへのリンクが含まれます。
  • パブリック・アクセス: このフィールドは、プライベート・エンドポイントに対してパブリック・アクセスが有効かどうかを示します。 Editリンクをクリックして、許可されるACLまたはVCNを表示または変更します。
  • パブリック・エンドポイントURL: これは、プライベート・エンドポイントでパブリック・アクセスの許可が有効になっている場合に表示されます。 これは、パブリック・インターネットで許可されたIPまたはVCNから接続するために使用できるパブリック・エンドポイントURLです。

  Oracle Cloud Infrastructureコンソールのネットワーク情報の詳細は、「OCIコンソールでのネットワーク情報の表示」を参照してください。

• プロビジョニングまたはクローニングが完了したら、パブリック・エンドポイントを使用するようにAutonomous Database構成を変更できます。

  パブリック・エンドポイントへの変更の詳細は、「Autonomous Databaseでのプライベート・エンドポイントからパブリック・エンドポイントへの変更」を参照してください。

• Autonomous Databaseへのアクセスを制御するために、最大5つのNSGを指定できます。

• Autonomous Databaseのプライベート・エンドポイント・ネットワーク・セキュリティ・グループ(NSG)を変更できます。

  プライベート・エンドポイントのNSGを変更する手順は、次のとおりです:

  1. Autonomous Databasesページで、「表示名」列の下のリンクからAutonomous Databaseを選択します。

  2. 「Autonomous Databaseの詳細」ページで、「ネットワーク・セキュリティ・グループ」フィールドの「ネットワーク」の下にある「編集」をクリックします。

• オンプレミスのデータベースの場合と同様に、データ・ゲートウェイを使用してプライベート・エンドポイントを持つAutonomous DatabaseにOracle Analytics Cloudインスタンスを接続できます。 詳細については、「Data Visualizationのためのデータ・ゲートウェイの構成と登録」を参照してください。

• プライベート・エンドポイントで構成されたデータベースでは、次のAutonomous Databaseツールがサポートされています:

  • データベース・アクション
  • Oracle APEX
  • Oracle Graph Studio
  • Oracle Machine Learning Notebooks
  • Oracle REST Data Services
  • MongoDBのためのOracle Database API

  オンプレミス環境からこれらのAutonomous Databaseツールにアクセスするには、追加の構成が必要です。 詳細は、「例: データ・センターからAutonomous Databaseへの接続」を参照してください。

  追加のプライベート・エンドポイント構成を完了せずに、オンプレミス環境のプライベート・エンドポイントを使用してOracle APEX、データベース・アクション、Oracle Graph StudioまたはOracle REST Data Servicesにアクセスすると、エラーが表示されます:

  404 Not Found

• プライベート・エンドポイントを使用するようにネットワーク・アクセスを更新した後、データベース・ツールのURLはパブリック・エンドポイントを使用する場合と異なります。 パブリック・エンドポイントからプライベート・エンドポイントに変更した後、コンソールで更新されたURLを検索できます。

• Autonomous Databaseで事前構成されたデフォルトのOracle REST Data Services (ORDS)に加えて、より多くの構成オプションを提供し、プライベート・エンドポイントで使用できる代替ORDSデプロイメントを構成できます。 プライベート・エンドポイントで使用できる代替ORDSデプロイメントの詳細は、「Autonomous Databaseでの顧客管理Oracle REST Data Servicesについて」を参照してください。

• インスタンスをプロビジョニングまたはクローニングした後、「プライベートIPアドレス」フィールドに値を入力したときにIPアドレスが自動的に割り当てられるかどうかにかかわらず、プライベートIPアドレスの変更は許可されません。

Autonomous Databaseでのプライベート・エンドポイントの構成例

Autonomous Databaseの複数のプライベート・エンドポイント(VCN)の構成サンプルを示します。

• 例: Oracle Cloud Infrastructure VCN内からの接続
  Autonomous Databaseで構成されているのと同じVCNの仮想マシン(VM)で、Oracle Cloud Infrastructure内で実行されているアプリケーションを示します。
• 例: データ・センターからAutonomous Databaseへの接続
  オンプレミス・データ・センターからAutonomous Databaseにプライベートに接続する方法を説明します。 このシナリオでは、トラフィックがパブリック・インターネットを経由することはありません。

例: Oracle Cloud Infrastructure VCN内部からの接続

Autonomous Databaseで構成された同じVCN内の仮想マシン(VM)で、Oracle Cloud Infrastructure内で実行されているアプリケーションをデモンストレーションします。

「図adb_private_endpoint1.pngの説明」

VCNには、VCNと呼ばれるプライベート・エンドポイントが含まれるAutonomous Databaseインスタンスがあります。 VCNには、2つのサブネットが含まれています: "SUBNET B" (CIDR 10.0.1.0/24)および"SUBNET A" (CIDR 10.0.2.0/24)。

Autonomous Databaseインスタンスに関連付けられたネットワーク・セキュリティ・グループ(NSG)は、NSG 1と表示されています。 - セキュリティ・ルール。 このネットワーク・セキュリティ・グループは、Autonomous Databaseインスタンスとの間で送受信トラフィックを可能にするセキュリティ・ルールを定義します。 Autonomous Databaseインスタンスのルールを次のように定義します:

• 相互TLS認証の場合は、ソースからAutonomous Databaseインスタンスへの接続を許可するステートフル・イングレス・ルールを追加します。ソースはデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルはTCPに設定され、宛先ポート範囲は1522に設定されます。

• TLS認証の場合は、ソースからAutonomous Databaseインスタンスへの接続を許可するステートフル・イングレス・ルールを追加します。ソースは、データベースへの接続を許可するアドレス範囲に設定され、IPプロトコルはTCPに設定され、宛先ポート範囲は1521または1522に設定されます。

• Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。

次の図は、Autonomous Databaseインスタンスのトラフィックを制御するステートフル・セキュリティ・ルールのサンプルを示しています:

「図adb_private_vcn_nsg_stateful1.pngの説明」

Autonomous Databaseに接続するアプリケーションは、SUBNET BのVMで実行されています。 VMとの間のトラフィックを許可する(ラベルNSG 2セキュリティ・ルールを含む)セキュリティ・ルールも追加します。 VMにステートフル・セキュリティ・ルールを使用できるため、NSG 2セキュリティ・ルールにエグレスのルールを追加するだけです(これにより、宛先サブネットAにアクセスできます)。

次の図は、VMのトラフィックを制御するサンプルのセキュリティ・ルールを示しています:

「図adb_private_vcn_rules2.pngの説明」

セキュリティ・ルールを構成すると、アプリケーションはクライアント資格証明ウォレットを使用してAutonomous Databaseインスタンスに接続できます。 詳細については、「クライアント資格証明(ウォレット)のダウンロード」を参照してください。

ネットワーク・セキュリティ・グループの構成の詳細は、「ネットワーク・セキュリティ・グループ」を参照してください。

例: データ・センターからAutonomous Databaseへの接続

オンプレミス・データ・センターからAutonomous Databaseにプライベートに接続する方法をデモンストレーションします。 このシナリオでは、トラフィックがパブリック・インターネットを経由することはありません。

「図adb_private_endpoint2.pngの説明」

データ・センターから接続するには、オンプレミス・ネットワークをFastConnectを使用してVCNに接続してから、Dynamic Routing Gateway (DRG)を設定します。 Autonomous Databaseプライベート・エンドポイントを解決するには、完全修飾ドメイン名(FQDN)でオンプレミス・クライアント・ホスト・ファイルにエントリを追加する必要があります。 たとえば、Linuxマシン用の/etc/hostsファイルです。 たとえば:

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloud.com

Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、同じIPを持つ別のエントリを追加します。 たとえば:

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloudapps.com

次のようにして、プライベート・エンドポイントIPとFQDNが見つかります:

• プライベートIPは、インスタンスのOracle Cloud InfrastructureコンソールAutonomous Databaseの詳細ページに表示されます。

• FQDNは、Autonomous Databaseクライアント資格証明ウォレット内のtnsnames.oraファイルに表示されます。

または、Oracle Cloud InfrastructureプライベートDNSを使用して、DNS名解決を提供することもできます。 詳細については、「プライベートDNS」を参照してください。

この例では、オンプレミス・データ・センターと"あなたのVCN"との間にDynamic Routing Gateway (DRG)があります。 VCNには、Autonomous Databaseが含まれています。 さらに、CIDR 172.16.0.0/16からDRGまでの送信トラフィックのための、Autonomous Databaseに関連付けられているVCNのルート表も表示されます。

DRGの設定に加えて、データ・センターCIDR範囲(172.16.0.0/16))のルールを追加して、Autonomous Databaseとの間のトラフィックを許可するネットワーク・セキュリティ・グループ(NSG)ルールを定義します。 この例では、NSG 1で次のようにセキュリティ・ルールを定義します:

• 相互TLS認証の場合は、データ・センターからのイングレス・トラフィックを許可するステートフル・ルールを作成します。 これはステートフルなイングレス・ルールで、ソースはデータベースへの接続を許可するアドレス範囲に設定され、プロトコルはTCPに設定され、ソース・ポート範囲はCIDR範囲に設定されます(172.16.0.0/16)、宛先ポートは1522に設定されます)。

• TLS認証の場合は、データ・センターからのイングレス・トラフィックを許可するステートフル・ルールを作成します。 これは、ソースがデータベースへの接続を許可するアドレス範囲に設定され、プロトコルがTCPに設定され、ソース・ポート範囲がCIDR範囲(172.16.0.0/16)に設定され、宛先ポートが1521または1522に設定されたステートフル・イングレス・ルールです。

• Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。

次の図は、Autonomous Databaseインスタンスのトラフィックを制御するセキュリティ・ルールを示しています:

「図adb_private_vcn_nsg_stateful2.pngの説明」

セキュリティ・ルールを構成した後、オンプレミス・データベース・アプリケーションはクライアント資格証明ウォレットを使用してAutonomous Databaseインスタンスに接続できます。 詳細については、「クライアント資格証明(ウォレット)のダウンロード」を参照してください。