ファイル・ストレージに対するVCNセキュリティ・ルールの構成

ファイル・システムをマウントする前に、特定のプロトコルとポートを使用してマウント・ターゲットのVNICへのトラフィックを許可するように、セキュリティ・ルールを構成する必要があります。セキュリティ・ルールによって次のトラフィックが有効になります:

  • Open Network Computing Remote Procedure Call (ONC RPC) rpcbindユーティリティ・プロトコル
  • ネットワーク・ファイル・システム(NFS)プロトコル
  • ネットワーク・ファイル・システム(MOUNT)プロトコル
  • Network Lock Manager (NLM)プロトコル

ファイル・ストレージのセキュリティ・ルールのシナリオ

ファイル・ストレージの異なるセキュリティ・ルールを必要とする基本的なシナリオは3つあります:

シナリオA: 同じサブネット内のマウント・ターゲットとインスタンス

このシナリオでは、ファイル・システムをエクスポートするマウント・ターゲットは、ファイル・システムをマウントするインスタンスと同じサブネットにあります。

  • ソースCIDRブロックのすべてのポートからTCPポート111、2048、2049および2050へのステートフル・イングレス
  • ソースCIDRブロックのすべてのポートからUDPポート111および2048へのステートフル・イングレス
  • TCPのすべてのポートから宛先CIDRブロックのポート111、2048、2049および2050へのステートフル・エグレス
  • UDPのすべてのポートから宛先CIDRブロックのポート111へのステートフル・エグレス
重要

NFSクライアントを予約ポートに制限することをお薦めします。これを行うには、「ソース・ポート」範囲を1-1023に設定します。ファイル・システムのエクスポート・オプションを設定して、クライアントが特権ソース・ポートから接続することを要求することもできます。詳細は、NFSエクスポート・オプションの作業を参照してください。

次に、マウント・ターゲットとインスタンスの両方を含む1つのサブネットに設定されるシナリオAのルールの例を示します。この例では、マウント・ターゲットとインスタンスの両方がCIDRブロック10.0.0.0/24にあります。

この図は、シナリオAのイングレス・ルールを示しています。

この図は、シナリオAのエグレス・ルールを示しています。

セキュリティ・リストの使用

セキュリティ・リストはサブネットに関連付けられています。マウント・ターゲットのサブネットのデフォルトのセキュリティ・リストで必要なセキュリティ・ルールを設定したり、新しいセキュリティ・リストを作成できます。セキュリティ・リスト・ルールは、サブネット内のすべてのリソースに適用されます。

ネットワーク・セキュリティ・グループ(NSG)の使用

セキュリティ・ルールを適用する別の方法として、それらをネットワーク・セキュリティ・グループ(NSG)に設定してから、マウント・ターゲットをNSGに追加する方法もあります。サブネット内のすべてのVNICに適用されるセキュリティ・リスト・ルールと異なり、NSGは、NSGに追加するリソースVNICにのみ適用されます。

これらの方法および手順の概要やそれらを使用してセキュリティ・ルールを設定する方法については、ファイル・ストレージに対するセキュリティ・ルールを有効にする方法を参照してください。

シナリオB: 異なるサブネットのマウント・ターゲットおよびインスタンス

このシナリオでは、ファイル・システムをエクスポートするマウント・ターゲットは、ファイル・システムをマウントするインスタンスとは異なるサブネットにあります。セキュリティ・ルールは、各サブネットのセキュリティ・リスト内のマウント・ターゲットとインスタンスの両方 、または各リソースのネットワーク・セキュリティ・グループ(NSG)で構成する必要があります。

マウント・ターゲットに対して次のセキュリティ・ルールを設定します。インスタンスIPアドレスまたはCIDRブロックを、イングレス・ルールのソースおよびエグレス・ルールの宛先として指定します:

  • ソース・インスタンスCIDRブロックのすべてのポートから、TCPポート111、2048、2049および2050へのステートフル・イングレス
  • ソース・インスタンスCIDRブロックのすべてのポートからUDPポート111および2048へのステートフル・イングレス
  • TCPポート111、2048、2049および2050から宛先インスタンスCIDRブロックのすべてのポートへのステートフル・エグレス
  • UDPポート111から、宛先インスタンスCIDRブロックのすべてのポートへのステートフル・エグレス
重要

NFSクライアントを予約ポートに制限することをお薦めします。これを行うには、「ソース・ポート」範囲を1-1023に設定します。ファイル・システムのエクスポート・オプションを設定して、クライアントが特権ソース・ポートから接続することを要求することもできます。詳細は、NFSエクスポート・オプションの作業を参照してください。

次に、インスタンスに次のセキュリティ・ルールを設定します。マウント・ターゲットのIPアドレスまたはCIDRブロックを、イングレス・ルールのソースおよびエグレス・ルールの宛先として指定します:

  • ソース・マウント・ターゲットCIDRブロックTCPポート111、2048、2049および2050からすべてのポートへのステートフル・イングレス
  • ソース・マウント・ターゲットCIDRブロックUDPポート111からすべてのポートへのステートフル・イングレス
  • すべてのポートから宛先マウント・ターゲットCIDRブロックTCPポート111、2048、2049および2050へのステートフル・エグレス
  • すべてのポートから宛先マウント・ターゲットCIDRブロックUDPポート111および2048へのステートフル・エグレス

次に、インスタンスおよびマウント・ターゲットのセキュリティ・リスト・ルールに設定されているシナリオBのルールの例を示します。この例では、特定のソースCIDRブロックと宛先CIDRブロックのルールを示します。

マウント・ターゲットのNSGまたはサブネット・セキュリティ・リストに対するイングレス・ルール。インスタンスCIDRブロック10.0.0.0/24がソースです:

この図は、シナリオBにおけるマウント・ターゲット・サブネットまたはNSGのイングレス・ルールを示しています。

マウント・ターゲットのNSGまたはサブネット・セキュリティ・リストのエグレス・ルール。インスタンスCIDRブロック10.0.0.0/24が宛先です:

この図は、シナリオBにおけるマウント・ターゲット・サブネットまたはNSGのエグレス・ルールを示しています。

インスタンスのNSGまたはサブネット・セキュリティ・リストに対するイングレス・ルール。マウント・ターゲットのCIDRブロック10.0.1.0/24がソースです:

この図は、シナリオBのインスタンス・サブネットまたはNSGのイングレス・ルールを示しています。

インスタンスのNSGまたはサブネット・セキュリティ・リストのエグレス・ルール。マウント・ターゲットのCIDRブロック10.0.1.0/24は、宛先です:

この図は、シナリオBのインスタンス・サブネットまたはNSGのエグレス・ルールを示しています。

セキュリティ・リストの使用

セキュリティ・リストはサブネットに関連付けられています。セキュリティ・リストを使用してセキュリティ・ルールを設定する場合、マウント・ターゲット・サブネットにマウント・ターゲット・ルールを設定し、インスタンス・サブネットにインスタンス・ルールを設定する必要があります。各サブネットのデフォルトのセキュリティ・リストにルールを追加するか、新しいセキュリティ・リストを作成できます。

ネットワーク・セキュリティ・グループ(NSG)の使用

セキュリティ・ルールを適用する別の方法として、ネットワーク・セキュリティ・グループ(NSG)に設定してから、マウント・ターゲットとインスタンスをNSGに追加します。サブネット内のすべてのVNICに適用されるセキュリティ・リスト・ルールと異なり、NSGは、NSGに追加するリソースVNICにのみ適用されます。

これらの方法および手順の概要やそれらを使用してセキュリティ・ルールを設定する方法については、ファイル・ストレージに対するセキュリティ・ルールを有効にする方法を参照してください。

シナリオC: マウント・ターゲットおよびインスタンスで転送中暗号化を使用

このシナリオでは、転送中暗号化により、TLS v.1.2 (Transport Layer Security)暗号化を使用して、インスタンスとマウントされたファイル・システム間のデータが保護されます。詳細は、転送中暗号化の使用を参照してください。

ソースまたは宛先を、任意のIPアドレスまたはCIDRブロックに制限できます。または、すべてのソースまたは宛先からのトラフィックを許可できます。

マウント・ターゲットに対して次のセキュリティ・ルールを設定します:

  • ソースCIDRブロックのすべてのポートからTCPポート2051へのステートフル・イングレス
  • TCPポート2051から宛先CIDRブロックのすべてのポートへのステートフル・エグレス

この図は、シナリオCのマウント・ターゲット・サブネットまたはNSGに対するイングレス・ルールを示しています。

この図は、シナリオCのマウント・ターゲット・サブネットまたはNSGに対するエグレス・ルールを示しています。

セキュリティ・リストの使用

セキュリティ・リストはサブネットに関連付けられています。マウント・ターゲットのサブネットのデフォルトのセキュリティ・リストで必要なセキュリティ・ルールを設定したり、新しいセキュリティ・リストを作成できます。セキュリティ・リスト・ルールは、サブネット内のすべてのリソースに適用されます。

ネットワーク・セキュリティ・グループ(NSG)の使用

セキュリティ・ルールを適用する別の方法として、それらをネットワーク・セキュリティ・グループ(NSG)に設定してから、マウント・ターゲットをNSGに追加する方法もあります。サブネット内のすべてのVNICに適用されるセキュリティ・リスト・ルールと異なり、NSGは、NSGに追加するリソースVNICにのみ適用されます。

これらの方法および手順の概要やそれらを使用してセキュリティ・ルールを設定する方法については、ファイル・ストレージに対するセキュリティ・ルールを有効にする方法を参照してください。

ファイル・ストレージに対するセキュリティ・ルールを有効にする方法

ネットワーキング・サービスには2つの仮想ファイアウォール機能があり、どちらもセキュリティ・ルールを使用してパケット・レベルでトラフィックを制御します。2つの機能は:

重要

セキュリティ・リストのみ、ネットワーク・セキュリティ・グループのみ、またはその両方を使用できます。これは、セキュリティのニーズによって異なります。

セキュリティ・リストとネットワーク・セキュリティ・グループの両方を使用する場合、特定のマウント・ターゲットのVNICに適用されるルールのセットは、次の項目の組合せです:

  • VNICのサブネットに関連付けられているセキュリティ・リスト内のセキュリティ・ルール
  • VNICが存在するすべてのNSGのセキュリティ・ルール

ファイル・ストレージに必要なプロトコルのポートが、適用されているルールで正しく構成されていれば、マウント・ターゲットのVNICにセキュリティ・ルールを適用するために使用する方法は問題ではありません。

これらの機能がネットワークでどのように相互作用するかの詳細、例およびシナリオは、セキュリティ・ルールセキュリティ・リストおよびネットワーク・セキュリティ・グループを参照してください。「ネットワーキングの概要」は、ネットワークに関する一般的な情報を提供します。ファイル・ストレージ内でセキュリティ・ルールが他のタイプのセキュリティとともにどのように機能するかについては、セキュリティについてを参照してください。

必要なIAMサービス・ポリシー

Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。

管理者の場合: ネットワーク管理者によるクラウド・ネットワークの管理のポリシーでは、セキュリティ・リストおよびNSGを含むすべてのネットワーキング・コンポーネントの管理を対象としています。詳細は、ポリシー・リファレンスを参照してください。

ポリシーを初めて使用する場合は、ポリシーの開始共通ポリシーを参照してください。

コンソールの使用

セキュリティ・リストでの必須ルールの設定

必須ルールは、サブネットに関連付けられている既存のセキュリティ・リスト(VCNとともに作成されるデフォルトのセキュリティ・リストなど)に追加できます。詳細は、セキュリティ・リストを作成するにはを参照してください。

必須ルールをセキュリティ・リストに追加するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」をクリックして、「仮想クラウド・ネットワーク」をクリックします。
  2. 「スコープ」セクションで、サブネットが存在するVCNが含まれるコンパートメントを選択します。

  3. VCN名をクリックします。
  4. クラウド・ネットワークの詳細ページの「リソース」で、「セキュリティ・リスト」をクリックします。
  5. サブネットによって使用されるセキュリティ・リスト名をクリックします。
  6. 「リソース」で、「イングレス・ルール」をクリックします。
  7. 「イングレス・ルールの追加」をクリックします。

    • チェック・ボックスを選択解除したままにして、ステートフル・ルールであることを指定します。(ステートフル・ルールおよびステートレス・ルールの詳細は、ステートフル・ルールとステートレス・ルールを参照してください)。デフォルトでは、特に指定しないかぎりルールはステートフルです。
    • クラウド・ネットワークのサブネットからのトラフィックを許可するには、「ソース・タイプ」をクリックし、「CIDR」を選択してから、サブネットのCIDRブロックを入力します。たとえば、10.0.0.0/24です。
    • 「IPプロトコル」をクリックして、プロトコルを選択します。たとえば、TCPです。
    • 「ソース・ポート範囲」で、トラフィックを許可するポートの範囲を指定します。または、デフォルトの「すべて」を受け入れて、任意のソース・ポートからのトラフィックを許可します。

    • 「宛先ポート範囲」をクリックし、個々のポートまたはポート範囲を入力します。たとえば、2048-2050です。
  8. 「+ 追加のイングレス・ルール」をクリックして、イングレス・ルールをさらに作成します。
  9. 完了したら、「イングレス・ルールの追加」をクリックします。
  10. 次に、エグレス・ルールを作成します。「リソース」で、「エグレス・ルール」をクリックします。
  11. 「エグレス・ルールの追加」をクリックします。

    • チェック・ボックスを選択解除したままにして、ステートフル・ルールであることを指定します。
    • 「宛先タイプ」をクリックし、「CIDR」を選択してから、サブネットのCIDRブロックを入力します。たとえば、10.0.0.0/24です。
    • 「IPプロトコル」をクリックして、プロトコルを選択します。たとえば、TCPです。
    • 「ソース・ポート範囲」で、個別のポートまたはポート範囲を入力します。たとえば、2048-2050です。

    • 「宛先ポート範囲」で、デフォルトの「すべて」を受け入れると、任意の宛先ポートへのトラフィックが許可されます。
  12. 「+ 追加のエグレス・ルール」をクリックして、エグレス・ルールをさらに作成します。
  13. 完了したら、「エグレス・ルールの追加」をクリックします。

ネットワーク・セキュリティ・グループ(NSG)での必須ルールの設定

ファイル・ストレージで機能するNSGを設定するための一般的なプロセスは次のとおりです:

  1. 必須セキュリティ・ルールでNSGを作成します。(または、これらを既存のNSGに追加できます。)
  2. マウント・ターゲット(具体的にマウント・ターゲットのVNIC)をNSGに追加します。マウント・ターゲットを作成するときにこれを行うことも、マウント・ターゲットを更新して必須セキュリティ・ルールが含まれる1つ以上のNSGに追加することもできます。
  3. シナリオB: 異なるサブネットのマウント・ターゲットおよびインスタンスを設定する場合、マウント・ターゲットおよびインスタンスの両方を、必要なセキュリティ・ルールを含むNSGに追加する必要があります。
必須セキュリティ・ルールを使用してNSGを作成するには

前提条件: セキュリティ・ルールの一部について理解します。

  1. ナビゲーション・メニューを開き、「ネットワーキング」をクリックして、「仮想クラウド・ネットワーク」をクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「リソース」で、「ネットワーク・セキュリティ・グループ」をクリックします。
  4. 「ネットワーク・セキュリティ・グループの作成」をクリックします。
  5. 次を入力します:

    • 名前: ネットワーク・セキュリティ・グループのわかりやすい名前。名前は一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
    • コンパートメントで作成: 現在作業しているコンパートメントと異なっている場合、ネットワーク・セキュリティ・グループを作成するコンパートメント。
    • タグ付けオプションの表示: リソースの作成権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかわからない場合は、このオプションをスキップするか(後からでもタグを適用できます)、管理者に問い合せてください。
  6. 「次」をクリックします。

  7. イングレス・ルールを入力します。

    • チェック・ボックスを選択解除したままにして、ステートフル・ルールであることを指定します。(ステートフル・ルールおよびステートレス・ルールの詳細は、ステートフル・ルールとステートレス・ルールを参照してください)。デフォルトでは、特に指定しないかぎりルールはステートフルです。
    • 「方向」で、「イングレス」を選択します。
    • クラウド・ネットワークのサブネットからのトラフィックを許可するには、「ソース・タイプ」をクリックし、「CIDR」を選択してから、サブネットのCIDRブロックを入力します。たとえば、10.0.0.0/24です。
    • 「IPプロトコル」をクリックして、プロトコルを選択します。たとえば、TCPです。
    • 「ソース・ポート範囲」で、トラフィックを許可するポートの範囲を指定します。または、デフォルトの「すべて」を受け入れて、任意のソース・ポートからのトラフィックを許可します。

    • 「宛先ポート範囲」をクリックし、個々のポートまたはポート範囲を入力します。たとえば、2048-2050です。
  8. 「+ 別のルール」をクリックして、さらにイングレス・ルールを作成します。
  9. エグレス・ルールを入力します。

    • チェック・ボックスを選択解除したままにして、ステートフル・ルールであることを指定します。
    • 「方向」で、「エグレス」を選択します。
    • 「宛先タイプ」をクリックし、「CIDR」を選択してから、サブネットのCIDRブロックを入力します。たとえば、10.0.0.0/24です。
    • 「IPプロトコル」をクリックして、プロトコルを選択します。たとえば、TCPです。
    • 「ソース・ポート範囲」で、個別のポートまたはポート範囲を入力します。たとえば、2048-2050です。

    • 「宛先ポート範囲」で、デフォルトの「すべて」を受け入れると、任意の宛先ポートへのトラフィックが許可されます。
  10. 「+ 別のルール」をクリックして、さらにエグレス・ルールを作成します。
  11. 終了したら、「作成」をクリックします。
マウント・ターゲットをNSGに追加するには
  • マウント・ターゲットをファイル・システムとともに作成する場合: ファイル・システムを作成するにはを参照してください。
  • マウント・ターゲットのみを作成する場合: マウント・ターゲットを作成するにはを参照してください。
  • 既存のマウント・ターゲットの場合:

    1. ナビゲーション・メニューを開き、「ストレージ」をクリックします。「ファイル・ストレージ」で、「マウント・ターゲット」をクリックします。

    2. 「リスト・スコープ」セクションで、コンパートメントを選択します。

    3. 目的のマウント・ターゲットを検索し、「アクション」メニューをクリックして、「マウント・ターゲット詳細の表示」をクリックします。

    4. 「マウント・ターゲット情報」タブで、「ネットワーク・セキュリティ・グループ」の横の「編集」リンクをクリックします。

    5. リストから「コンパートメント」「NSG」を選択します。
    6. 「保存」をクリックします。
インスタンスをNSGに追加するには

NSGへのインスタンスの追加方法の手順については、NSGに対してリソースを追加または削除するにはを参照してください。