クラウド・シェル
Oracle Cloud Infrastructure (OCI)クラウド・シェルは、Oracle CloudコンソールからアクセスできるWebブラウザベースのターミナルです。
Oracle Cloud Infrastructure (OCI)クラウド・シェルは、Oracle CloudコンソールからアクセスできるWebブラウザベースのターミナルです。月次テナンシ制限内であれば無償で使用でき、Linuxシェルへのアクセスを可能にするクラウド・シェルでは、Oracle Cloud Infrastructure CLIとAnsibleインストールが事前に認証されていて、Oracle Cloud Infrastructureサービスのチュートリアルとラボに従ったその他の便利なツールが用意されています。クラウド・シェルはすべてのOCIユーザーが使用できる機能で、コンソールからアクセス可能です。クラウド・シェルは、コンソールの永続フレームとしてOracle Cloudコンソールに表示され、コンソールの別のページに移動してもアクティブなままです。
クラウド・シェルの提供内容:
-
最新バージョンのOCIコマンドライン・インタフェース(CLI)と多数の便利なツールが事前に構成された、Linuxシェルのホストとして使用するエフェメラル・マシン
-
ホーム・ディレクトリ用に5GBのストレージ
-
コンソールの別のページに移動してもアクティブなままであるコンソールの永続フレーム
クラウド・シェルの仕組み
クラウド・シェル・マシンは、OCIコンソールからアクセスするBashシェルを実行する、小さな仮想マシンです。クラウド・シェルには、事前認証済のOCI CLIが付属しています。コンソール・テナンシのホーム・ページ領域に設定され、最新のツールおよびユーティリティも用意されています。
クラウド・シェルには、ホーム・ディレクトリ用に5GBの永続ストレージが付属しているため、ホーム・ディレクトリにローカルで変更を加えた後、クラウド・シェルに戻ったときにプロジェクトで作業を続行できます。
クラウド・シェルは(月次テナンシ制限内で)無償で使用でき、クラウド・シェルへのアクセス権を付与するIAMポリシー以外の設定または前提条件が必要ありません。クラウド・シェルには、独自のテナンシで実行されるVMがプロビジョニングされています(テナンシのリソースが使用されないため)。また、クラウド・シェルをアクティブに使用している間に、Oracle Linux OSでシェルをホストします)。
クラウド・シェルに含まれるもの
OCI CLIに加え、クラウド・シェルVMには、次に示すような数多くの便利なツールとユーティリティの最新のバージョンが事前にインストールされています:
- Git
- Java
- Python
- Oracle GraalVM JDK 17およびネイティブ・イメージ
- 次を含むほとんどのOCI SDK:
- Java
- Python
- Go
- TypeScriptおよびJavaScript
- SQLcl
- kubectl
- helm
- maven
- terraform
- ansible
- node.js
- iputils
- jqmake
- tmux
- vim
- NPM
- wget
- 圧縮/解凍
- nano
- emacs
- pip
- bash
- sh
- tar
- nvm
- mysql-community-client
- mysqlsh
- Dockerエンジン
- ipython
- oci-powershell-modules (x86_64 only)
- GoldenGate Admin client (x86_64 only)
必要なIAMポリシー
クラウド・シェルを開始するには、IAMポリシーを介して、クラウド・シェルへのアクセス権をユーザーに付与する必要があります。Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。
Oracle Cloud Infrastructureを使用するには、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどれを使用しているかにかかわらず、テナンシのルート・コンパートメントにおいて、管理者が記述するポリシーによって必要なアクセスのタイプを付与されている必要があります。アクションを実行しようとしたときに、権限がない、または認可されていないというメッセージが表示された場合は、アクセス権が付与されていることを確認してください。
クラウド・シェルは、コンパートメント・レベルでのポリシーをサポートしていません。テナンシ・レベルのみです。
allow group <GROUP-NAME> to use cloud-shell in tenancy
allow group <DOMAIN-NAME>/<GROUP-NAME> to use cloud-shell in tenancy
ポリシーを初めて使用する場合は、ポリシーの開始、共通ポリシーおよびポリシーと動的グループの作成を参照してください。
クラウド・シェルの制限
クラウド・シェルを使用する際は、次の制限事項に注意してください:
- クラウド・シェルには、VMのホーム・ディレクトリ用に5GBのストレージが付属しています。このストレージはセッション間で維持されますが、6か月を超えて使用していない場合、テナンシの管理者は60日以内にストレージが削除されることを示す通知を受け取ります。クラウド・シェル・セッションを開始すると、ストレージ削除タイマーがリセットされます。
- クラウド・シェルでは、追加ストレージのマウントはサポートされていません。
- クラウド・シェルでは、ユーザー・ファイルのマルウェアやウィルスはスキャンされません。
- クラウド・シェルのセッションでは着信接続が許可されないため、パブリックIPアドレスはありません。
- OCI CLIでは、クラウド・シェルの起動時に、コンソールの「リージョン」選択メニューで選択されているリージョンに対してコマンドが実行されます。コンソールでリージョンの選択を変更しても、既存のクラウド・シェル・インスタンスのリージョンは変更されません。新しいクラウド・シェル・インスタンスを開いてリージョンを変更する必要があります。
- クラウド・シェル・セッションの最大長は24時間で、60分間非アクティブ状態が続くと、タイムアウトします。
-
クラウド・シェルは、ブラウザとサービス間の通信にWebSocketを使用します。ブラウザでWebSocketが無効になっているか、WebSocketが無効になっている企業プロキシを使用している場合、コンソールからクラウド・シェルを起動しようとすると、エラー・メッセージ(「予期しないエラーが発生しました」)が表示されます。
- クラウド・シェルは、Oracle Cloud Infrastructureリソースとの対話型の使用を目的として設計されています。クラウド・シェルに追加のストレージが必要なユーザー、または実行に長い時間がかかる非対話型のタスクを実行する必要があるユーザーのテナンシには、コンピュート・リソースおよびストレージ・リソースの使用をお薦めします。
- 互換性を最大化するために、クラウド・シェルにはPythonバージョン2およびPythonバージョン3が含まれています。Python 2は、コマンドラインで「python」と入力したときに実行されるデフォルトです。Python 3を実行するには、コマンドラインで「python3」と入力します。
- 次の予約語はクラウド・シェル・ユーザーのユーザー名として使用できません:
oci
、root
、bin
、daemon
、adm
、lp
、sync
、shutdown
、halt
、mai
、operator
、games
、ftp
、nobody
、oci
、systemd-network
、dbus
、polkitd
、tss
およびapache
。これらの予約語の1つであるユーザー名(またはユーザー名が電子メール・アドレスの場合は@記号の前の名前の一部)でログインしたときに、クラウド・シェル・セッションを作成しようとすると、「予期しないエラー」メッセージが表示されます。 - すべて数字のユーザー名(たとえば、"1234")は、クラウド・シェルでサポートされていません。
- クラウド・シェルのセッションのタイム・ゾーンはUTCで、変更はできません。
- クラウド・シェルではルート・アクセスができず、sudoも使用できないため、インストールにルート・アクセスが必要なパッケージはインストールできません。インストールにルートを必要としないバージョンのパッケージが多数用意されています。解凍してホーム・ディレクトリにインストールできます。
- pingはルート・アクセスが必要なため、クラウド・シェルでは使用できません。
- クラウド・シェルはFIPSモードで起動しますが、これは一部のコマンドの動作に影響する可能性があります。
- クラウド・シェルはFIPSモードで起動するため、
openssl
コマンドの使用時にPKCS#1キーを生成できません。FIPSモードでは、クラウド・シェルがPKCS#8キーを生成する必要があります。 - クラウド・シェル制限の詳細は、サービス制限のクラウド・シェルの項を参照してください。
クラウド・シェルのアクセスとその他の制限
クラウド・シェルは、ブラウザとサービス間の通信にWebSocketを使用します。ブラウザでWebSocketが無効になっているか、WebSocketが無効になっている企業プロキシを使用している場合、コンソールからクラウド・シェルを起動しようとすると、エラー・メッセージ(「予期しないエラーが発生しました」)が表示されます。
クラウド・シェルではインターネットにアクセスできますが、外部からクラウド・シェルへのイングレス(例: クラウド・シェルへのsshでの接続)はないため、パブリックIPアドレスはありません。テナンシ管理者がOCIからのインターネットへのアクセスを有効化しない場合、IAMポリシーでクラウド・シェルへのアクセス権を付与しないでください。
クラウド・シェルのリソースの場所および所有権
クラウド・シェルを初めて起動するとき、サービスによってホーム・ディレクトリのために永続ブロック・ストレージ・ボリューム(5GB)が作成されます。ホーム・ディレクトリ・ボリュームはテナンシ・ホーム・リージョンにあります。クラウド・シェル・セッションを実行しているマシンも、テナンシ・ホーム・リージョンにあります。
クラウド・シェルは、ユーザーOCIDを使用してホーム・ディレクトリを作成します。テナンシに複数のアカウントがある場合(たとえば、フェデレーテッド・ユーザー・アカウントと非フェデレーテッド・ユーザー・アカウントがある場合)、アカウントごとにそれぞれ一意のクラウド・シェル・ホーム・ディレクトリが取得されます。
コンソールのリージョン選択を変更したり、別のリージョンのURLを介してコンソールにログインしたりしても、クラウド・シェルのマシンとホーム・ディレクトリ・ボリュームの場所には影響しません。テナンシ・ホーム・リージョンを確認するには、コンソールで「テナンシの詳細」ページを表示します。
クラウド・シェルのリソース(クラウド・シェルのセッションに使用されるVMを含む)はクラウド・シェル・サービスが所有しており、お客様のテナンシには存在していません。このため、使用しているクラウド・シェルのVMをテナンシの動的グループに追加することや、クラウド・シェルのセッションに使用するインスタンスのインスタンス・プリンシパルを使用することはできません。
クラウド・シェルおよびリージョン
クラウド・シェルを起動すると、サービスは、コンソールで選択されたリージョンを使用してクラウド・シェル・セッションを構成し、選択されているコンソールのリージョンとOCI CLIが相互作用するようになります。
クラウド・シェルのデフォルトのbashプロンプトでは、OCI CLIが相互作用しているリージョンがクラウド・シェルのコマンド・プロンプトにエコーされます:
クラウド・シェル・セッションの起動後に、コンソールで選択されているリージョンを変更しても、アクティブなクラウド・シェル・セッションには影響しません。OCI CLIが相互作用しているリージョンをクラウド・シェルで変更する場合は、次のいずれかを行います:
- 現在のクラウド・シェル・セッションを終了し、コンソールで選択されているリージョンを変更してから、新しいクラウド・シェル・セッションを起動します。
- OCI_CLI_PROFILE環境変数を使用して、現在選択されているOCI CLIプロファイルを変更します
詳細は、クラウド・シェルの使用のリージョンの管理の項を参照してください。
クラウド・シェルのアーキテクチャ
有料層ユーザーの場合、クラウド・シェル・セッションのデフォルト・アーキテクチャ(ARM (aarch64)、x86_64またはプリファレンスなし)を選択できます。
デフォルトでは、アーキテクチャ・プリファレンスは「プリファレンスなし」に設定されています。これを選択すると、クラウド・シェル・セッションは、リージョンで使用可能なハードウェアに応じて、x86_64またはARM (aarch64)アーキテクチャに基づきます。
アーキテクチャの選択
アーキテクチャを選択するには:
クラウド・シェルまたはコード・エディタ内からアクセスできる「アクション」メニューを開き、「アーキテクチャ」を選択します。
これにより、「Architecure」ダイアログが表示されます。
「アーキテクチャ」ダイアログには、現在選択されているアーキテクチャが表示されます。
リージョンが特定のアーキテクチャをサポートしていない場合、そのアーキテクチャは選択できません。
クラウド・シェルのアーキテクチャを切り替える前に、ツールおよびワークロードが、選択しようとしているアーキテクチャと互換性があることを確認してください。
アーキテクチャの移行が成功すると、次の通知が表示されます。
クラウド・シェルのプライベート・ネットワーキング
クラウド・シェルのプライベート・ネットワーキングを使用すると、プライベート・ネットワークにクラウド・シェル・セッションを接続できるため、パブリック・ネットワークを介したネットワーク・トラフィック・フローがなくても、プライベート・ネットワーク内のリソースにアクセスできます。プライベート・ネットワーキングが役立つ例として、プライベート・ネットワーク内のコンピュート・インスタンスにSSHで接続する場合や、プライベートOKEクラスタを管理する場合などがあります。
クラウド・シェル・インスタンスは、プライベート・インスタンスであり、ネットワーク設定の目的でプライベート・インスタンスと同様に機能します。インターネット・ゲートウェイのみを使用すると、プライベート・サブネットからインターネットへのエグレスが許可されません。サービス・ゲートウェイまたはNATゲートウェイを使用してください。詳細は、インターネット・ゲートウェイのドキュメントを参照してください。
要件およびIAMポリシー
プライベート・ネットワーキングを使用するには、ユーザー(または管理者)が次のポリシーを指定する必要があります:
-
allow group <group> to use subnets in compartment <compartment>
-
allow group <group> to use vnics in compartment <compartment>
-
allow group <group> to use network-security-groups in compartment <compartment>
-
allow group <group> to inspect vcns in compartment <compartment>
ポリシーを初めて使用する場合は、ポリシーの開始と共通ポリシーを参照してください。
また、適切なコンパートメントにプライベートVCNおよびサブネットを作成する必要があります。詳細は、ネットワーキングのドキュメントのVCNとサブネットを参照してください。
クラウド・シェルのプライベート・ネットワーキングの制限事項
- 適切なコンパートメントにプライベートVCNおよびサブネットを作成する必要があります。詳細は、ネットワーキングのドキュメントのVCNとサブネットの管理を参照してください。
- 最大5つのお気に入りのプライベート・ネットワークを割り当てることができます。
- 一時エフェメラル・ネットワークは、クラウド・シェル・セッションの長さに対してのみ有効であり、定義済のプライベート・ネットワークのリストには永続化されません。
- プライベート・ネットワークの作成に使用できるのは、ホーム・リージョン内のVCNおよびサブネットのみです。ホーム・リージョンではないリージョン内のサブネットにアクセスする必要がある場合は、プライベート・ネットワーキングによって使用されるサブネットからのピアリングを使用して、サブネットにアクセスできます。詳細は、VCNクロスリージョン・ピアリングを参照してください。
- クラウド・シェルのプライベート・ネットワーク用に選択されたサブネットには、使用可能なサブネットのCIDRブロックに対して少なくとも1つの予約されていないIPアドレスが必要です。予約されていないIPアドレスがすべて割り当てられている場合、クラウド・シェルはそのサブネットにアタッチできません。
- サブネットには、最大5つの関連するネットワーク・セキュリティ・グループのみを設定できます。
- カスタムDNSリゾルバを介したエンドポイントの解決はサポートされていません。
クラウド・シェルのプライベート・ネットワーキングの使用
この項では、Cloud Shellプライベート・ネットワーキングの使用方法について説明します。
ネットワークの選択
クラウド・シェル・セッションで使用しているネットワークを変更するには、クラウド・シェルのターミナル・ウィンドウの上部にある「ネットワーク」ドロップダウン・メニューを使用します:ネットワーク選択メニューが表示されます。
このメニューから、ネットワーク接続の選択、プライベートネットワーク定義のリストへのアクセス、または一時的な(一時的な)プライベートネットワークの作成を行うことができます。
プライベート・ネットワーク定義リストの使用
ネットワーク選択メニューの「プライベート・ネットワーク定義リスト」アイテムには、「プライベート・ネットワーク定義リスト」パネルが表示されます:
このパネルでは、プライベートネットワークを作成または変更したり、お気に入りのプライベートネットワークを指定したり、デフォルトのネットワークを選択したりできます。
お気に入りのネットワークの指定
最大5つのお気に入りネットワークを指定できます。ネットワーク・ネットワークをお気に入りとして指定するには、「お気に入り」列のスターをクリックします。
デフォルト・ネットワークの選択
「デフォルト・ネットワーク」パネルのドロップダウン・リストからデフォルト・ネットワークを選択できます。これは、新しいCloud Shellセッションの開始時に使用されるネットワークです。
新しいプライベート・ネットワーク定義の作成
一時エフェメラル・ネットワークを作成するには、ネットワーク選択ドロップダウンから「エフェメラル・プライベート・ネットワーク設定」を選択します。これは、クラウド・シェル・セッションの長さに対してのみ有効な一時ネットワークであり、定義済のプライベート・ネットワークのリストには永続化されません。
「名前」テキスト・ボックスにプライベート・ネットワーク定義の名前を入力します。
ホーム・リージョン内のVCNおよびサブネットのみを使用できます。ホーム・リージョンではないリージョン内のサブネットにアクセスする必要がある場合は、プライベート・ネットワーキングによって使用されるサブネットからのピアリングを使用して、サブネットにアクセスできます。詳細は、VCNクロスリージョン・ピアリングを参照してください。
クラウド・シェルのプライベート・ネットワーク用に選択されたサブネットには、使用可能なサブネットのCIDRブロックに対して少なくとも1つの予約されていないIPアドレスが必要です。予約されていないIPアドレスがすべて割り当てられている場合、クラウド・シェルはそのサブネットにアタッチできません。
例:
この定義をアクティブ・ネットワークに設定する場合は、「アクティブ・ネットワークとして使用」チェックボックスを選択します。
「作成」ボタンをクリックして、クラウド・シェルのプライベート・ネットワーク定義を作成します。
「アクティブなネットワークとして使用」チェック・ボックスを選択した場合、クラウド・シェル・セッションは、クラウド・シェルのターミナル・セッションの上部にある「ネットワーク」ドロップダウンに示すように、プライベート・ネットワークに接続されます:
「詳細」リンクをクリックすると、プライベート・ネットワーク接続の詳細を表示できます: