ファイル・ストレージに対するVCNセキュリティ・ルールの構成

このシナリオでは、ファイル・システムをエクスポートするマウント・ターゲットは、ファイル・システムをマウントするインスタンスとは異なるサブネットにあります。セキュリティ・ルールは、各サブネットのセキュリティ・リスト内のマウント・ターゲットとインスタンスの両方 、または各リソースのネットワーク・セキュリティ・グループ(NSG)で構成する必要があります。

マウント・ターゲットに対して次のセキュリティ・ルールを設定します。インスタンスIPアドレスまたはCIDRブロックを、イングレス・ルールのソースおよびエグレス・ルールの宛先として指定します:

• ソース・インスタンスCIDRブロックのすべてのポートから、TCPポート111、2048、2049および2050へのステートフル・イングレス。
• ソース・インスタンスCIDRブロックのすべてのポートからUDPポート111および2048へのステートフル・イングレス。
• TCPポート111、2048、2049および2050から宛先インスタンスCIDRブロックのすべてのポートへのステートフル・エグレス。
• UDPポート111から、宛先インスタンスCIDRブロックのすべてのポートへのステートフル・エグレス。

次に、インスタンスに次のセキュリティ・ルールを設定します。マウント・ターゲットのIPアドレスまたはCIDRブロックを、イングレス・ルールのソースおよびエグレス・ルールの宛先として指定します:

• ソース・マウント・ターゲットCIDRブロックのTCPポート111、2048、2049および2050からすべてのポートへのステートフル・イングレス。
• ソース・マウント・ターゲットCIDRブロックのUDPポート111からすべてのポートへのステートフル・イングレス。
• すべてのポートから宛先マウント・ターゲットCIDRブロックのTCPポート111、2048、2049および2050へのステートフル・エグレス。
• すべてのポートから宛先マウント・ターゲットCIDRブロックのUDPポート111および2048へのステートフル・エグレス。

次に、インスタンスおよびマウント・ターゲットのセキュリティ・リスト・ルールに設定されているシナリオBのルールの例を示します。この例では、特定のソースCIDRブロックと宛先CIDRブロックのルールを示します。

マウント・ターゲットのNSGまたはサブネット・セキュリティ・リストに対するイングレス・ルール。インスタンスCIDRブロック10.0.0.0/24がソースです:

マウント・ターゲットのNSGまたはサブネット・セキュリティ・リストのエグレス・ルール。インスタンスCIDRブロック10.0.0.0/24が宛先です:

インスタンスのNSGまたはサブネット・セキュリティ・リストに対するイングレス・ルール。マウント・ターゲットのCIDRブロック10.0.1.0/24がソースです:

インスタンスのNSGまたはサブネット・セキュリティ・リストのエグレス・ルール。マウント・ターゲットのCIDRブロック10.0.1.0/24は、宛先です:

このシナリオでは、ファイル・システムをエクスポートするマウント・ターゲットは、ファイル・システムをマウントするインスタンスと同じサブネットにあります。

• ソースCIDRブロックのすべてのポートからTCPポート111、2048、2049および2050へのステートフル・イングレス。
• ソースCIDRブロックのすべてのポートからUDPポート111および2048へのステートフル・イングレス。
• TCPのすべてのポートから宛先CIDRブロックのポート111、2048、2049および2050へのステートフル・エグレス。
• UDPのすべてのポートから宛先CIDRブロックのポート111へのステートフル・エグレス。

次に、マウント・ターゲットとインスタンスの両方を含む1つのサブネットに設定されるシナリオAのルールの例を示します。この例では、マウント・ターゲットとインスタンスの両方がCIDRブロック10.0.0.0/24にあります。

このシナリオでは、転送中暗号化により、TLS v.1.2 (Transport Layer Security)暗号化を使用して、インスタンスとマウントされたファイル・システム間のデータが保護されます。詳細は、転送中TLS暗号化の使用を参照してください。

ソースまたは宛先を、任意のIPアドレスまたはCIDRブロックに制限できます。または、すべてのソースまたは宛先からのトラフィックを許可できます。

マウント・ターゲットに対して次のセキュリティ・ルールを設定します:

• ソースCIDRブロックのすべてのポートからTCPポート2051へのステートフル・イングレス。
• TCPポート2051から宛先CIDRブロックのすべてのポートへのステートフル・エグレス。

このシナリオでは、マウント・ターゲットとLDAPサーバーのLDAPSポート間のトラフィックが許可されます。

ソースをマウント・ターゲットのIPアドレスに制限し、宛先IPアドレスをLDAPサーバーのサブネットに制限できます。

マウント・ターゲットに対して次のセキュリティ・ルールを設定します:

• TCP ALLポートから LDAP server IP (または対応するCIDR)ポート 636へのステートフルエグレス。
  ノート
  
  このルールは、LDAPSがデフォルト・ポート636を使用していることを前提としています。LDAPサーバーが別のポートを使用している場合は、この値を変更します。

顧客管理DNSサーバーを使用している場合、マウント・ターゲットには次のセキュリティ・ルールも必要です:

• TCP ALLポートから DNSサーバーIP (または対応するCIDR)ポート 53へのステートフルエグレス。
• UDPのすべてのポートから DNSサーバーIP (または対応するCIDR)ポート 53へのステートフルエグレス。

1. ナビゲーション・メニューを開き、「ネットワーキング」、「仮想クラウド・ネットワーク」の順にクリックします。

2. 「スコープ」セクションで、サブネットが存在するVCNが含まれるコンパートメントを選択します。

3. VCN名をクリックします。
4. クラウド・ネットワークの詳細ページの「リソース」で、「セキュリティ・リスト」をクリックします。
5. サブネットによって使用されるセキュリティ・リスト名をクリックします。
6. 「リソース」で、「イングレス・ルール」をクリックします。

7. 「イングレス・ルールの追加」をクリックします。

   • チェック・ボックスを選択解除したままにして、ステートフル・ルールであることを指定します。(ステートフル・ルールおよびステートレス・ルールの詳細は、ステートフル・ルールとステートレス・ルールを参照してください)。デフォルトでは、特に指定しないかぎりルールはステートフルです。
   • クラウド・ネットワークのサブネットからのトラフィックを許可するには、「ソース・タイプ」をクリックし、「CIDR」を選択してから、サブネットのCIDRブロックを入力します。たとえば、10.0.0.0/24です。
   • 「IPプロトコル」をクリックして、プロトコルを選択します。たとえば、TCPです。

   • 「ソース・ポート範囲」で、トラフィックを許可するポートの範囲を指定します。または、デフォルトの「すべて」を受け入れて、任意のソース・ポートからのトラフィックを許可します。

   • 「宛先ポート範囲」をクリックし、個々のポートまたはポート範囲を入力します。たとえば、2048-2050です。
8. 「+ 追加のイングレス・ルール」をクリックして、イングレス・ルールをさらに作成します。
9. 完了したら、「イングレス・ルールの追加」をクリックします。
10. 次に、エグレス・ルールを作成します。「リソース」で、「エグレス・ルール」をクリックします。

11. 「エグレス・ルールの追加」をクリックします。

    • チェック・ボックスを選択解除したままにして、ステートフル・ルールであることを指定します。
    • 「宛先タイプ」をクリックし、「CIDR」を選択してから、サブネットのCIDRブロックを入力します。たとえば、10.0.0.0/24です。
    • 「IPプロトコル」をクリックして、プロトコルを選択します。たとえば、TCPです。

    • 「ソース・ポート範囲」で、個別のポートまたはポート範囲を入力します。たとえば、2048-2050です。

    • 「宛先ポート範囲」で、デフォルトの「すべて」を受け入れると、任意の宛先ポートへのトラフィックが許可されます。
12. 「+ 追加のエグレス・ルール」をクリックして、エグレス・ルールをさらに作成します。
13. 完了したら、「エグレス・ルールの追加」をクリックします。

前提条件: セキュリティ・ルールの一部について理解します。

1. ナビゲーション・メニューを開き、「ネットワーキング」、「仮想クラウド・ネットワーク」の順にクリックします。
2. 関心のあるVCNをクリックします。
3. 「リソース」で、「ネットワーク・セキュリティ・グループ」をクリックします。
4. 「ネットワーク・セキュリティ・グループの作成」をクリックします。

5. 次を入力します:

   • 名前: ネットワーク・セキュリティ・グループのわかりやすい名前。名前は一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
   • コンパートメントで作成: 現在作業しているコンパートメントと異なっている場合、ネットワーク・セキュリティ・グループを作成するコンパートメント。
   • タグ付けオプションの表示: リソースの作成権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかが不明な場合は、このオプションをスキップするか、管理者に連絡してください。タグは後で適用できます。

6. 「次」をクリックします。

7. イングレス・ルールを入力します。

   • チェック・ボックスを選択解除したままにして、ステートフル・ルールであることを指定します。(ステートフル・ルールおよびステートレス・ルールの詳細は、ステートフル・ルールとステートレス・ルールを参照してください)。デフォルトでは、特に指定しないかぎりルールはステートフルです。
   • 「方向」で、「イングレス」を選択します。
   • クラウド・ネットワークのサブネットからのトラフィックを許可するには、「ソース・タイプ」をクリックし、「CIDR」を選択してから、サブネットのCIDRブロックを入力します。たとえば、10.0.0.0/24です。
   • 「IPプロトコル」をクリックして、プロトコルを選択します。たとえば、TCPです。

   • 「ソース・ポート範囲」で、トラフィックを許可するポートの範囲を指定します。または、デフォルトの「すべて」を受け入れて、任意のソース・ポートからのトラフィックを許可します。

   • 「宛先ポート範囲」をクリックし、個々のポートまたはポート範囲を入力します。たとえば、2048-2050です。
8. 「+ 別のルール」をクリックして、さらにイングレス・ルールを作成します。

9. エグレス・ルールを入力します。

   • チェック・ボックスを選択解除したままにして、ステートフル・ルールであることを指定します。
   • 「方向」で、「エグレス」を選択します。
   • 「宛先タイプ」をクリックし、「CIDR」を選択してから、サブネットのCIDRブロックを入力します。たとえば、10.0.0.0/24です。
   • 「IPプロトコル」をクリックして、プロトコルを選択します。たとえば、TCPです。

   • 「ソース・ポート範囲」で、個別のポートまたはポート範囲を入力します。たとえば、2048-2050です。

   • 「宛先ポート範囲」で、デフォルトの「すべて」を受け入れると、任意の宛先ポートへのトラフィックが許可されます。
10. 「+ 別のルール」をクリックして、さらにエグレス・ルールを作成します。
11. 終了したら、「作成」をクリックします。

• マウント・ターゲットをファイル・システムとともに作成する場合: ファイル・システムの作成を参照してください。
• マウント・ターゲットのみを作成する場合: マウント・ターゲットの作成を参照してください。

• 既存のマウント・ターゲットの場合:

  1. ナビゲーション・メニューを開き、「ストレージ」をクリックします。「ファイル・ストレージ」で、「マウント・ターゲット」をクリックします

  2. 「リスト・スコープ」セクションで、コンパートメントを選択します。

  3. 目的のマウント・ターゲットを検索し、「アクション」メニュー()をクリックして、「マウント・ターゲット詳細の表示」をクリックします。

  4. 「マウント・ターゲット情報」タブで、「ネットワーク・セキュリティ・グループ」の横の「編集」リンクをクリックします。

  5. リストから「コンパートメント」と「NSG」を選択します。
  6. 「保存」をクリックします。

NSGへのインスタンスの追加方法の手順については、NSGに対するリソースの追加または削除を参照してください。