クラウド・シェル・ネットワーキング

この項では、クラウド・シェルによって提供される3つのネットワーキング・モードについて説明します。

クラウド・シェル・セッションのネットワーキング・モードは、管理者がアイデンティティ・ポリシーを構成した方法によって異なります。

クラウド・シェルOCIサービス・ネットワーク

Cloud Shell OCI Service Networkでは、パブリック・インターネットにアクセスすることなく、OCIワイド・サービスにアクセスできます。管理者がアイデンティティ・ポリシーを構成していない場合、これはデフォルトのクラウド・シェルのネットワーク・アクセスです。

管理者がアイデンティティ・ポリシーを設定していない場合、クラウド・シェルの起動時に次のダイアログが表示されます:
図1. Cloud Shell制限付きネットワーク・ダイアログ
Cloud Shell制限付きネットワーク・ダイアログ

「プライベート・ネットワーク」を選択して接続するか、新しいプライベート・ネットワークを作成および構成するか、「OCIサービス・ネットワーク」を選択してデフォルト設定を維持します。

クラウド・シェルのパブリック・ネットワーク

Cloud Shellパブリック・ネットワークでは、Cloud Shellセッションからパブリック・インターネットにアクセスできます。

ノート

管理者は、アイデンティティ・ポリシーを使用してクラウド・シェルのパブリック・ネットワークへのアクセスを構成する必要があります。

要件およびIAMポリシー

ユーザーがCloud Shell管理パブリック・ネットワークにアクセスできるようにするには、アイデンティティ・ポリシーを介してユーザー・アクセス権を付与する必要があります。

クラウド・シェル管理パブリック・ネットワークのリソース名は、`cloud-shell-public-network`です。次の例は、クラウド・シェル・パブリック・ネットワークへのアクセス権を付与するポリシーです:
allow group <GROUP-NAME> to use cloud-shell-public-network in tenancy
ノート

パブリック・ネットワークIAMポリシーおよびセキュリティ・ゾーン・ポリシーは、既存のクラウド・シェル・セッションに対して有効になるまでに最大24時間かかる場合があります。「アクション」メニューからクラウド・シェルを再起動することで、ポリシー更新をただちに実行できます。
ポリシーを初めて使用する場合は、ポリシーの開始共通ポリシーを参照してください。

クラウド・シェル管理者は、クラウド・シェル・セキュリティ・ゾーン・ポリシーを使用して、IAMポリシーに関係なく、テナンシ内のすべてのユーザー(テナンシ管理者を含む)のパブリック・ネットワーク使用を制限できます。セキュリティ・ゾーン・ポリシーは、テナンシ管理者を含むテナンシ内のすべてのユーザーのクラウド・シェル管理のパブリック・ネットワーク使用を制限します。詳細は、セキュリティ・ゾーンを参照してください。

クラウド・シェルのプライベート・ネットワーキング

クラウド・シェルのプライベート・ネットワーキングを使用すると、プライベート・ネットワークにクラウド・シェル・セッションを接続できるため、パブリック・ネットワークを介したネットワーク・トラフィック・フローがなくても、プライベート・ネットワーク内のリソースにアクセスできます。プライベート・ネットワーキングが役立つ例として、プライベート・ネットワーク内のコンピュート・インスタンスにSSHで接続する場合や、プライベートOKEクラスタを管理する場合などがあります。

ノート

クラウド・シェル・インスタンスは、プライベート・インスタンスであり、ネットワーク設定の目的でプライベート・インスタンスと同様に機能します。インターネット・ゲートウェイのみを使用すると、プライベート・サブネットからインターネットへのエグレスが許可されません。サービス・ゲートウェイまたはNATゲートウェイを使用する必要があります。詳細は、インターネット・ゲートウェイのドキュメントを参照してください。

要件およびIAMポリシー

プライベート・ネットワーキングを使用するには、ユーザー(または管理者)が次のポリシーを指定する必要があります:

  • allow group <group> to use subnets in compartment <compartment>
  • allow group <group> to use vnics in compartment <compartment>
  • allow group <group> to use network-security-groups in compartment <compartment>
  • allow group <group> to inspect vcns in compartment <compartment>

ポリシーを初めて使用する場合は、ポリシーの開始共通ポリシーを参照してください。

また、適切なコンパートメントにプライベートVCNおよびサブネットを作成する必要があります。詳細は、ネットワーキングのドキュメントのVCNとサブネットを参照してください。

クラウド・シェルのプライベート・ネットワーキングの制限事項

プライベート・ネットワーキングを使用する場合は、次の制限事項に留意してください:
  • 適切なコンパートメントにプライベートVCNおよびサブネットを作成する必要があります。詳細は、ネットワーキングのドキュメントのVCNとサブネットの管理を参照してください。
  • 最大5つのお気に入りのプライベート・ネットワークを割り当てることができます。
  • 一時エフェメラル・ネットワークは、クラウド・シェル・セッションの長さに対してのみ有効であり、定義済のプライベート・ネットワークのリストには永続しません。
  • プライベート・ネットワークの作成に使用できるのは、ホーム・リージョン内のVCNおよびサブネットのみです。ホーム・リージョンではないリージョン内のサブネットにアクセスする必要がある場合は、プライベート・ネットワーキングによって使用されるサブネットからのピアリングを使用して、サブネットにアクセスできます。詳細は、VCNクロスリージョン・ピアリングを参照してください。
  • クラウド・シェルのプライベート・ネットワーク用に選択されたサブネットには、使用可能なサブネットのCIDRブロックに対して少なくとも1つの予約されていないIPアドレスが必要です。予約されていないIPアドレスがすべて割り当てられている場合、クラウド・シェルはそのサブネットにアタッチできません。
  • サブネットには、最大5つの関連するネットワーク・セキュリティ・グループのみを設定できます。
  • カスタムDNSリゾルバを使用したエンドポイントの解決はサポートされていません。

Cloud Shellプライベート・ネットワーキングの使用

この項では、クラウド・シェルのプライベート・ネットワーキングの使用方法について説明します。

ネットワークの選択

クラウド・シェル・セッションで使用しているネットワークを変更するには、クラウド・シェルのターミナル・ウィンドウの上部にある「ネットワーク」ドロップダウン・メニューを使用します:クラウド・シェルの「ネットワーク」メニューの場所

ネットワーク選択メニューが表示されます。

プライベート・ネットワーク設定のメニュー項目。

このメニューから、ネットワーク接続の選択、プライベートネットワーク定義のリストへのアクセス、または一時的なプライベートネットワークの作成を行うことができます。

プライベート・ネットワーク定義リストの使用

ネットワーク選択メニューの「Private Network Definition List」項目には、「Private Network Definition List」パネルが表示されます。 クラウド・シェルのプライベート・ネットワーク定義リスト

このパネルを使用すると、プライベートネットワークを作成または変更したり、お気に入りのプライベートネットワークを指定したり、デフォルトのネットワークを選択したりできます。

お気に入りのネットワークの指定

最大5つのお気に入りのネットワークを指定できます。ネットワーク・ネットワークをお気に入りとして指定するには、「お気に入り」列の星をクリックします。

デフォルト・ネットワークの選択

デフォルトのネットワークは、「デフォルト・ネットワーク」パネルのドロップダウン・リストから選択できます。これは、新しいCloud Shellセッションの開始時に使用されるネットワークです。

新しいプライベート・ネットワーク定義の作成

「プライベート・ネットワーク定義の作成」ボタンをクリックして、新しいプライベート・ネットワーク定義を作成できます。これにより、「プライベート・ネットワーク定義の作成」パネルが表示されます。
ノート

一時エフェメラル・ネットワークを作成するには、ネットワーク選択ドロップダウンから「エフェメラル・プライベート・ネットワーク設定」を選択します。これは、クラウド・シェル・セッションの長さに対してのみ有効な一時ネットワークであり、定義済のプライベート・ネットワークのリストには永続化されません。

「名前」テキスト・ボックスにプライベート・ネットワーク定義の名前を入力します。

ドロップダウン・リスト・ボックスから、使用するVCNおよびサブネットを選択します。オプションで、使用する1つ以上のネットワーク・セキュリティ・グループを選択することもできます。
ノート

ホーム・リージョン内のVCNおよびサブネットのみを使用できます。ホーム・リージョンではないリージョン内のサブネットにアクセスする必要がある場合は、プライベート・ネットワーキングによって使用されるサブネットからのピアリングを使用して、サブネットにアクセスできます。詳細は、VCNクロスリージョン・ピアリングを参照してください。
ノート

クラウド・シェルのプライベート・ネットワーク用に選択されたサブネットには、使用可能なサブネットのCIDRブロックに対して少なくとも1つの予約されていないIPアドレスが必要です。予約されていないIPアドレスがすべて割り当てられている場合、クラウド・シェルはそのサブネットにアタッチできません。

例:

クラウド・シェルのプライベート・ネットワーク設定ダイアログが完了した例

この定義をアクティブ・ネットワークとして設定する場合は、「アクティブ・ネットワークとして使用」チェック・ボックスを選択します。

「作成」ボタンをクリックして、クラウド・シェルのプライベート・ネットワーク定義を作成します。

「アクティブなネットワークとして使用」チェック・ボックスを選択した場合、クラウド・シェル・セッションは、クラウド・シェルのターミナル・セッションの上部にある「ネットワーク」ドロップダウンに示されているように、プライベート・ネットワークに接続されます:

クラウド・シェルの「ネットワーキング」ドロップダウン

「詳細」リンクをクリックすると、プライベート・ネットワーク接続の詳細を表示できます:

クラウド・シェルのプライベート・ネットワークの詳細ビュー