Oracle Cloud Infrastructureドキュメント

IPの持込み

Oracle Cloud Infrastructureでは、Oracleが所有するアドレスを使用することに加えて、IPの持ち込み(BYOIP)によるアドレス空間をOracle Cloud Infrastructureのリソースで使用できます。

BYOIPでは、既存のセキュリティ、管理およびデプロイメント・ポリシーに一致するようにIPv4 CIDRブロックおよびIPv6接頭辞を管理し、次を実現できます:

  • ソリューションの継続性とハードコードされた依存関係: VCNは、ポリシーおよび管理プロセスを再定義することなく、パブリック・インターネット・プレゼンスを拡張します。IPアドレスをデバイスでハードコードしている場合、または特定のIPアドレスに建築の依存関係を構築している場合、BYOIPを使用すると、Oracle Cloud Infrastructureにスムーズに移行することができます。
  • IPプール管理: 一部のネットワーク管理者には、IPv4アドレスのグループをプールにまとめ、ロード・バランサ、ファイアウォール、Webサーバーなどのデプロイメント用のリソースを作成する機能が必要です。IPプール管理には、予約済パブリックIPv4アドレスを管理するためのツールが用意されています。IPv6は、IPプール管理を使用しません。
  • IPレピュレーション: 一部のインターネット・サービスは、連続したIPアドレス空間(1から255までのIPアドレスの全範囲など)に依存し、主要な電子メール・サービス・プロバイダやメール配信システムなどのサービス間の信頼できる連絡先として機能します。

Oracleは、インポートされたIPv4 CIDRブロックまたはIPv6接頭辞に対して検証プロセスを実行し、検証後にそれらが通知に使用できることがユーザーに通知されます。このアドレス空間から1つ以上のパブリックIPv4プールを作成するには、BYOIP CIDRブロックの部分範囲を指定し、IPプールを使用して特定のリソースを割り当てます。必要に応じて、BYOIPルートの通知を開始または停止できます。IPv6はIPプールを使用しませんが、ユーザーは同様に接頭辞をVCNおよびサブネットに割り当てることができます。

要件および準備

ノート

Bring Your Own ASN (BYOASN)を介してインポートされた独自のASNを使用してIPプリフィクスをアドバタイズする場合は、Oracle ASN (31898)および独自のASNを使用して、RIRを使用してルート・オリジン認可(ROA)を作成する必要があります。

  • Oracle Cloud InfrastructureにインポートするパブリックIPv4 CIDRブロックまたはIPv6接頭辞の所有権が必要であり、その所有権はサポートされている地域インターネット・レジストリ(RIR)に登録されている必要があります。Oracleは、アドレスの所有権を検証します。次のレジストリのみがサポートされており、アドレスには指定されたタイプまたはステータスが必要です:

  • IPアドレス範囲内のアドレスには、クリーンな履歴が必要です。IPアドレス範囲の評判が調査され、悪意のある動作に関連するIPアドレスを含むIPアドレス範囲を拒否する権利が留保されます。

制限および割当て制限

  • アドレスは、特定のOracleリージョンにのみインポートできます。
  • 最小が/24で最大が/8のIPv4 CIDRブロックでBYOIPを使用できます。
  • インポートされたIPv6接頭辞は、/48以上である必要があります。
  • 一度に複数のコンパートメントに同じアドレス範囲を持ち込むことはできません。
  • Oracle Cloud Infrastructureアカウントには、最大20個のIPv4 CIDRブロックまたはIPv6接頭辞(またはその組合せ)を使用できます。
  • VCNごとに合計で最大5個、サブネットごとに最大3個のIPv6接頭辞を割り当てることができます。サブネットに複数のIPv6接頭辞が割り当てられている場合、複数の接頭辞のIPv6アドレスをVNICに割り当てることができます。
  • BYOIPは、Oracle Cloud Infrastructure Free Tierでは使用できません。また、Pay As You Goサービスに対してリクエストする必要があります。

その他の制限関連の情報については、IP管理の制限およびサービス制限の引上げのリクエストを参照してください。

BYOIPプロセスの概要

Oracle Cloud InfrastructureのBYOIPに必要なステップにはかなりの時間かかるため、それに応じた計画を立てます。プロセスを次の図に示します:

BYOIPのインポート・プロセスを示すスイムレーン図。
  1. テナンシのコンパートメント内で、所有しているパブリックIPv4 CIDRブロックまたはIPv6接頭辞のインポートをリクエストします。
  2. Oracleは検証トークンを発行します。(APIユーザーはトークンを変更する必要があります。コンソール・ユーザーは完了したトークンを取得します。)
  3. 検証トークンを、RIRサービスによって保持されているそのパブリックIPv4 CIDRブロックまたはIPv6接頭辞に関する情報に追加します。詳細はRIRによって異なります。更新が有効になるまで最大1日かかる場合があります。更新が有効になる前に次のステップに移動すると、プロセスを完了するための合計時間に1日が追加されます。詳細は、BYOIP IPv4 CIDRブロックまたはIPv6接頭辞をインポートするにはを参照してください。
  4. RIRを使用してRoute Origin Authorization (ROA)を作成します。ROAの一部として、Oracle BGP ASNを提供します。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。ROAによって、OracleはBYOIP CIDRブロックを通知できます。
  5. Oracleがインポート・リクエストを終了するようにリクエストします。このワークフローの完了には最大10営業日かかりますが、その間にOracleはRIRとやり取りし、ユーザーがIPアドレスを所有していることを検証します。
  6. Oracleは、テナンシ内のコンパートメントにBYOIPアドレスをプロビジョニングします。
  7. この時点で、BYOIP IPv4 CIDRブロックまたはIPv6接頭辞は、ユーザーが自分のコンパートメントで管理するものです。IPv4アドレスをIPプールに追加し、予約済IPアドレスとして使用できます。IPv6接頭辞はプールを使用せず、ユーザーは下位区分をVCNに直接割り当てたり、IPv6接頭辞全体をVCNに割り当てたりできます。インターネットにBYOIP CIDRブロックまたはBYOIPv6接頭辞を通知することもできます。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者が、テナンシ管理者がポリシーでセキュリティ・アクセス権を付与したグループのメンバーである必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、テナンシ管理者に、どのタイプのアクセス権があり、どのコンパートメントでアクセスが作業する必要があるかを管理者に確認してください。

管理者用: ネットワーキングに対するIAMポリシーを参照してください。

IAMリソースの制限

該当する制限のリストおよび制限の引上げをリクエストする手順については、サービス制限を参照してください。リソースまたはリソース・ファミリにコンパートメント固有の制限を設定するために、管理者は、コンパートメント割当て制限を使用できます。

BYOIPの管理

コンソールの使用

BYOIP IPv4 CIDRブロックまたはIPv6接頭辞をインポートするには
  1. 目的のリージョンを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「IP管理」で、「BYOIP」を選択します。
  3. 「BYOIP CIDRのブロック/接頭辞のインポート」を選択します。
  4. 「BYOIP CIDRブロック/接頭辞のインポート」ページで、次の情報を入力します:
    • BYOIP CIDRブロック/接頭辞の名前。
    • BYOIP CIDRブロック/接頭辞の作成先となるコンパートメント(現在作業しているコンパートメントと異なる可能性があります)。
    • テナンシに持ち込む予定のIPv4 CIDRブロックまたはIPv6接頭辞。
  5. (オプション)「タグ」セクションで、BYOIP CIDTブロック/接頭辞に1つ以上のタグを追加します。

    リソースを作成する権限を持つ場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグネームスペースを使用する権限を持つ必要があります。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかわからない場合は、このオプションをスキップするか、管理者に問い合せてください。後でタグを適用できます。

  6. 「BYOIP CIDRのブロック/接頭辞のインポート」を選択します。

    BYOIPインポート・リクエストの詳細ページが表示されます。

  7. 「次のステップ」セクションで、次の手順を実行します。
    1. 検証トークンのコピーを作成します。トークン・フォーマットはIPバージョンによって異なります。

      IPv4 CIDRブロックのフォーマット:

      OCITOKEN::<cidrBlock>:<validationToken>

      IPv6接頭辞のフォーマット: 

      OCITOKEN::<ipv6CidrBlock>:<validationToken>
      ノート

      コンソールには送信準備が完了したトークンが表示されますが、APIでは表示されません。APIユーザーは、表示されているようにトークンを手動で変更する必要があります。
    2. アドレス範囲に関連付けられたRIRアカウント情報に検証トークンを追加してください。RIRごとに多少異なる方法を使用します:
      • ARIN: アドレス範囲に関連付けられた"Public Comments"セクションにトークン文字列を追加します。
      • RIPE NCC: アドレス範囲に関連付けられた新しいdescrフィールドとしてトークン文字列を追加します。
      • APNIC: helpdesk@apnic.netに電子メールで送信されたアドレス範囲のremarksフィールドにトークン文字列を追加します。電子メールは、IPアドレス範囲のAPNIC認可済連絡先アカウントから送信する必要があります。
      ノート

      検証トークンは、アドレス範囲情報に関連付ける必要があります。アドレス範囲を所有する組織の情報には追加しないでください。
  8. OracleにBYOIP CIDRブロックの通知を許可するRoute Origin Authorization (ROA)オブジェクトを作成します。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。US Government Cloudについては、OracleのBGP ASNを参照してください。少なくとも6か月先の有効期限を設定してください。RIRにとって適切な手順に従います:
    ノート

    ROAを作成しないと、OracleはBYOIP IPv4 CIDRブロックまたはIPv6接頭辞を通知できません。ルートを通知できなければ、それらをインポートする意味はほとんどありません。
  9. ROAとトークン登録の両方が完了するまで待機してから(最大1日)、「インポートの終了」ボタン(次のステップ)を選択します。そうしないと、プロセスは最大1日遅延する可能性があります。
  10. BYOIPリクエストの詳細ページに戻り、「詳細の表示」を選択します。確認画面が表示されます。
  11. 「検証の詳細」ページで、「インポートの終了」を選択し、BYOIPリクエストを検証することを確認します。OracleがRIRに連絡し、インポートを検証してCIDRブロックをプロビジョニングするまでに最大10営業日かかります。作業リクエストを表示してステータスを確認します。
    ノート

    BYOIP CIDR (IPv4/IPv6)をOCI ASNではなく独自のASNに関連付けるには、オリジンASNの更新を参照してください。
To view your BYOIP CIDR blocks and IPv6 prefixes
  1. 目的のリージョンおよびコンパートメントを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「IP管理」で、「BYOIP」を選択します。

    インポートしたすべてのIPv4 CIDRブロックまたはIPv6接頭辞がリストされます。

パブリックIPプールにCIDRブロックを追加するには
  1. 目的のリージョンを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「IP管理」で、「BYOIP」を選択します。
  3. 「IPv4 CIDRブロック」タブを選択します。
  4. 「BYOIP CIDRブロックの管理」を選択します。
  5. 「BYOIP CIDRブロックの管理」パネルで、BYOIP CIDRブロックを選択します。
  6. 「Add to public IP pool」を選択します。
  7. 「パブリックIPプールに追加」パネルで、「既存のパブリックIPプールの選択」オプションを選択します。
  8. 「パブリックIPプール・コンパートメント」および「パブリックIPプール」を選択します。
  9. BYOIP CIDRブロックをパブリックIPプールに追加した後、「閉じる」を選択します。
パブリックIPプールからCIDRブロックを削除するには
ノート

BYOIP CIDRブロックをパブリックIPプールから正常に削除するには、そのアドレスの範囲から予約済パブリックIPアドレスが存在しない必要があります。1つ以上の予約済パブリックIPアドレスを削除する必要がある場合があります。
  1. 目的のリージョンを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「IP管理」で、「BYOIP」を選択します。
  3. BYOIP CIDRブロックを選択します。
  4. パブリックIPプールから削除するサブレンジに対応する「アクション」メニュー(3つのドット)を選択し、「パブリックIPプールから削除」を選択します。
  5. 削除を確認します。
To rename a BYOIP CIDR block or IPv6 prefix
  1. 目的のリージョンおよびコンパートメントを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「IP管理」で、「BYOIP」を選択します。
  3. 目的のBYOIP CIDRブロックまたは接頭辞の名前を選択します。
  4. 詳細ページで、「アクション」メニュー(3つのドット)を選択し、「名前変更」を選択します。
  5. 新しい名前を入力します。機密情報の入力は避けてください。
  6. 「Save Changes」を選択します。
プールからBYOIP IPV4 CIDRブロックを削除するには
ノート

BYOIP CIDRブロックをプールから正常に削除するには、そのアドレスの範囲に予約済パブリックIPアドレスが存在しない必要があります。1つ以上の予約済パブリックIPアドレスを終了する必要がある場合があります。IPv6接頭辞はIPプールを使用しません。
  1. 目的のリージョンおよびコンパートメントを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「IP管理」で、「BYOIP」を選択します。
  3. 目的のBYOIP IPv4 CIDRブロックの名前を選択します。
  4. 「IPv4 CIDRブロック」タブで、パブリックIPプールから削除するサブレンジに対応する「アクション」メニュー(3つのドット)を選択し、「パブリックIPプールから削除」を選択します。確認ウィンドウが表示されます。
  5. 削除を確認します。
BYOIP IPv4 CIDRブロックまたはIPv6接頭辞を削除するには

BYOIP CIDRブロックを正常に削除するには、CREATING、PROVISIONED、ACTIVEまたはFAILED状態である必要があります。また、パブリックIPプールに追加された部分範囲を持つことはできません。BYOIPv6接頭辞は、VCNに割り当てられた接頭辞または部分範囲を持つことはできません。

ノート

BYOIP CIDRブロックを削除する場合は、インポート・プロセスを繰り返してアクションを元に戻す必要があります。
  1. 目的のリージョンおよびコンパートメントを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「IP管理」で、「BYOIP」を選択します。
  3. 目的のBYOIP CIDRブロックの名前を選択します。
  4. 詳細ページで、「アクション」メニュー(3つのドット)を選択し、「BYOIP CIDRブロックの削除」を選択します。
  5. 削除を確認します。
BYOIP CIDRブロックを取り下げるには
  1. 目的のリージョンおよびコンパートメントを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「IP管理」で、「BYOIP」を選択します。
  3. 目的のBYOIP IPv4 CIDRブロックまたはIPv6接頭辞の名前を選択します。
  4. 詳細ページで、「取下げ」を選択します。確認ウィンドウが表示されます。
  5. 確認のウィンドウで、「取下げ」を選択します。
    ノート

    Oracleによるアドバタイズメントからのプリフィクスの取下げでは、ジオロケーション、RADBなどのOracleシステム・サービス内のオブジェクトは削除されません。OCIテナンシでのBYOIP接頭辞の使用を停止するには、BYOIP接頭辞と接頭辞通知の取下げを削除することが重要です。接頭辞を削除しない場合、接頭辞に関連付けられたジオロケーションの変更は、引き続きOracleシステムおよびサービスに存在します。
BYOIP IPv4 CIDRブロックを分割してパブリックIPプールに部分範囲を割り当てるには
  1. 目的のリージョンおよびコンパートメントを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「IP管理」で、「BYOIP」を選択します。
  3. 目的のBYOIP CIDRブロックの名前を選択します。
  4. 「IPv4 CIDRブロック」タブで、「BYOIP CIDRブロックの管理」を選択します。「BYOIP CIDRブロックの管理」画面が表示されます。
  5. CIDR接尾辞の数値を入力するか、接尾辞の横にある上下の矢印を使用して、接尾語の数値を(通常は/24)変更します。

    表内の新しい行が表示され、CIDRブロック全体で使用可能な部分範囲が示されます。

  6. BYOIP CIDRブロックの新しく作成された各部分範囲について、表の最初の列のチェック・ボックスを選択し、「パブリックIPプールに追加」を選択します。
    1. 「パブリックIPプールに追加」ページで、次のいずれかのオプションを選択します:
      • 既存のパブリックIPプールの選択: 選択リストを使用して既存のIPプールを選択してください。必要に応じてコンパートメントを変更します。
      • 新規 パブリックIPプールの作成: 新しいプールに名前を割り当てて、コンパートメントを選択してください。パブリックIPプールは後で別のコンパートメントに移動できます。機密情報の入力は避けてください。
    2. 「Add to public IP pool」を選択します。
  7. BYOIP CIDRブロックのすべての部分範囲はパブリックIPプールに割り当てられるまで前のステップを繰り返し、「変更の保存」を選択します。
ノート

BYOIP CIDRブロックの部分範囲がプールに割り当てられていないままの場合、「変更の保存」を選択した後、表の表示が異なることがあります。
BYOIPv6接頭辞を管理するには

  1. 目的のリージョンおよびコンパートメントを表示していることを確認します。
  2. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「IP管理」で、「BYOIP」を選択します。
  3. 管理するBYOIPv6接頭辞の名前を選択します。
  4. 「IPv6接頭辞」タブで、「BYOIPv6接頭辞の管理」を選択します。
  5. IPv6接頭辞の一部またはすべてをVCNに割り当てることができます。BYOIPv6接頭辞全体を既存のVCNに割り当てる場合は、「仮想クラウド・ネットワーク」列でVCNを選択します。
  6. BYOIPv6接頭辞の一部をあるVCNに割り当て、一部を別のVCNに割り当てる場合は、表示されている接頭辞をデフォルトの/48から変更します。アドレス範囲のグループが画面に表示され、それらを既存のVCNに割り当てることができます。
  7. 終了したら、「変更の保存」を選択します。選択を行っていない場合は、「取消」を選択します。
    ノート

    保存するには、BYOIPv6接頭辞の少なくとも1つの部分をVCNに割り当てる必要があります。

APIの使用

APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。

ByoipRange オブジェクトを管理するには、次の操作を使用します:

次の操作は、BYOIPv6に固有です:

ByoipRangeオブジェクトの作成後

ByoipRangeオブジェクトを作成した後、そのvalidationTokenと、ipv6CidrBlockまたはByoipRangeipv6CidrBlockのいずれかのコピーを作成します。任意のテキスト・エディタを使用して、次のいずれかのフォーマットでトークン文字列を作成します。

IPv4 CIDRブロックをインポートするには:

OCITOKEN::<cidrBlock>:<validationToken>

IPv6接頭辞をインポートするには: 

OCITOKEN::<ipv6CidrBlock>:<validationToken>

検証をリクエストする前に、この変更した検証トークンを地域インターネット・レジストリ(RIR)に提供してください。