Oracle Cloud Infrastructureドキュメント

要塞の作成

要塞を作成して、パブリック・エンドポイントがないターゲット・リソースへのアクセスを制限します。

始める前に、この要塞でセッションをホストするターゲット・リソース(インスタンス、データベースなど)に関して、次の情報があることを確認してください:

  • ターゲットが作成されたVCN (仮想クラウド・ネットワーク)
    ヒント

    VCNを作成していない場合は、仮想ネットワーキングのクイックスタート・ウィザードの使用を検討してください。
  • VCNのプライベート・サブネット
    • ターゲット・リソースが作成されたサブネットの名前
    • ターゲットのサブネットで、選択したサブネットからのイングレス・ネットワーク・トラフィックが許可されている場合、ターゲット・リソースのサブネットへのアクセス権がある別のサブネット
  • 要塞がホストするセッションへの接続元のIPv4アドレス

VCNには、サービス・ゲートウェイおよびそのサービス・ゲートウェイのルート・ルールが含まれている必要があります。「Oracleサービスへのアクセス: サービス・ゲートウェイ」を参照してください。

ノート

要塞は単一のVCNに関連付けられます。あるVCNで要塞を作成し、それを使用して別のVCNのターゲット・リソースにアクセスすることはできません。

    1. 「要塞」リスト・ページで、「要塞の作成」を選択します。リスト・ページの検索に関するヘルプが必要な場合は、要塞のリストを参照してください。
    2. 要塞の名前を入力します。このフィールドには、機密情報を入力しないでください。サポートされているのは、英数字のみです。
    3. 「ネットワーキングの構成」で、次のオプションを選択します:
      • この要塞にホストされているセッションを使用して接続するターゲット・リソースのターゲットVCNを選択します。必要な場合は、コンパートメントを変更してVCNを探します。
      • ターゲット・ネットを選択します。サブネットは、ターゲット・リソースのサブネットと同じであるか、ターゲット・リソースのサブネットがネットワーク・トラフィックを受け入れるサブネットであることが必要です。必要な場合は、コンパートメントを変更してサブネットを探します。
    4. (オプション)「FQDNサポートおよびSOCKS5の有効化」を選択してローカル・ポート転送セッション・タイプを拡張し、ドメイン名をターゲット・リソース識別子として受け入れるか、要塞が動的ポート転送(SOCKS5)セッション・タイプを使用できるようにします。
    5. 「CIDRブロック許可リスト」で、この要塞がホストするセッションへの接続を許可する1つ以上のアドレス範囲のCIDR表記を追加します。たとえば、203.0.113.0/24です。

      入力フィールドにCIDRブロックを入力し、値を選択するか、[Enter]を押して値をリストに追加します。CIDRブロックの最大許容数は20です。

      アドレス範囲が制限されるほど、セキュリティが向上します。

    6. 「拡張オプション」を展開し、必要に応じて次の情報を入力します。
      • 管理: (オプション)「最大セッション存続時間」の値を入力することで、この要塞のどのセッションもアクティブのままにできる最大時間を変更します。最小値は30分で、180分(3時間)を超えない値です。セッションは期限切れになる前に削除できます。
      • タグ: (オプション)要塞に1つ以上のタグを追加します。リソースを作成する権限を持つ場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限を持つ必要があります。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に問い合せてください。後でタグを適用できます。
    7. 完了後、次のいずれかのオプションを選択します。
      • 要塞を作成するには、「要塞の作成」を選択します。
      • リソース定義をTerraform構成として保存するには、「スタックとして保存」を選択します。

      リソース定義からのスタックの保存の詳細は、「リソース作成ページからのスタックの作成」を参照してください。

    要塞の作成後、セッションを作成できます。オプションについては、セッションの管理を参照してください。

  • oci bastion bastion createコマンドおよび必須パラメータを使用して、要塞を作成します:

    oci bastion bastion create --bastion-type Standard --compartment-id <compartment_ocid> --target-subnet-id <target_subnet_ocid> [OPTIONS]

    CLIコマンドのフラグおよび変数オプションの完全なリストは、コマンドライン・リファレンスを参照してください。

  • CreateBastion操作を実行して要塞を作成します。