IPv6アドレス
このトピックでは、VCNでのIPv6アドレス指定のサポートについて説明します。
ハイライト
- IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。
- VCNの作成時に、VCNをIPv6に対して有効にするか、既存のIPv4専用VCNでIPv6を有効にするかを選択します。また、IPv6対応VCN内の各サブネットがIPv6に対して有効かどうかも選択します。
- IPv6対応のVCNsでは、Oracleによって割り当てられた/56 IPv6グローバル・ユニキャスト・アドレス(GUA)接頭辞を使用するか、/64以上の一意のローカル・アドレス(ULA)接頭辞を指定するか、/48以上のBYOIPv6接頭辞をインポートできます。
- Oracleが割り当てた/56接頭辞は、接頭辞の/64部分を使用するサブネットがパブリックかプライベートかによって、インターネット通信用にVCNにグローバルにルーティング可能にできます。ULA接頭辞は、インターネット通信に対してグローバルにルーティングできません。
- すべてのIPv6対応サブネットは、/64です。パブリック/プライベートのサブネット・レベル・フラグを指定することで、サブネットへのインターネット通信を許可または禁止できます。
- BYOIPを使用する場合は、/48以上のIPv6 GUA接頭辞をインポートして、VCNに/64以上の接頭辞を割り当てる必要があります。
- IPv6対応サブネット内の特定のVNICにIPv6アドレス(VNIC当たり最大32個)が含まれるかどうかを選択します。
- 次のネットワーキング・ゲートウェイのみがIPv6トラフィックをサポートします: Dynamic Routing Gateway (DRG) 、ローカル・ピアリング・ゲートウェイ(LPG) およびインターネット・ゲートウェイ。
- インバウンド開始とアウトバウンド開始のどちらのIPv6接続も、VCNとインターネット間、およびVCNとオンプレミス・ネットワーク間でサポートされています。VCN内またはVCN間のリソース間の通信もサポートされています。
- リージョン内のリソース間のIPv6トラフィック(VCN内およびVCN間)がサポートされています。IPv6トラフィックのルーティングおよびインターネット通信で、その他の重要な詳細を参照してください。
- FastConnectとサイト間VPNの両方で、VCNとオンプレミス・ネットワーク間のIPv6トラフィックがサポートされています。IPv6に対してFastConnectまたはサイト間VPNを構成する必要があります。
IPv6アドレスの概要
Oracle VCNsは、IPv4のみのアドレス指定と、デュアルスタックIPv4およびIPv6アドレス指定をサポートしています。すべてのVCNには常に少なくとも1つのプライベートIPv4 CIDRがあり、VCNの作成時にはIPv6を有効化できます。IPv6を有効にしながら、IPv4専用VCNにIPv6接頭辞を追加することもできます。VCNに対してIPv6が有効になっている場合、そのVCNのサブネットの作成時に、IPv4アドレスのみ、IPv4アドレスとIPv6アドレスの両方、またはIPv6アドレスのみ(シングルスタックIPv6とも呼ばれる)を持つことも有効にできます。したがって、VCNにはIPv4のみのサブネット、IPv6のみのサブネット、およびIPv4とIPv6の両方を持つサブネットを混在させることができます。
コンピュート・インスタンスを作成する場合、1つ以上のIPv6アドレスをVNICに追加できます。これらのIPアドレスは、サブネットに割り当てられている場合、複数のIPv6接頭辞から割り当てることができます。IPv6アドレスは、VNICからいつでも削除できます。
IPv6が有効なVCNに割り当てられたIPv6接頭辞
IPv6が有効なVCNはデュアルスタックです。つまり、IPv4 CIDRとIPv6接頭辞が割り当てられています。1つのVCNには、最大5つのIPv4 CIDRと最大5つのIPv6接頭辞を含めることができます。IPv6が有効なVCNでは、Oracle割当ての/56グローバル・ユニキャスト・アドレス(GUA)を使用できます。また、BYOIPv6接頭辞をインポートして割り当てたり、一意のローカル・アドレス(ULA)接頭辞を指定できます。Oracleは、GUA IPv6接頭辞(ここではグローバルにルーティング可能なIPv6接頭辞とも呼ばれる)を割り当てることができます。IPの持込み(BYOIP)を使用して、/48接頭辞を使用することもできます。VCNに割り当てられている場合、ULA接頭辞とBYOIPv6接頭辞のサイズは両方とも/64以上である必要があります。次の表に、オプションをまとめます。
IPv4またはIPv6 | 用途とサイズ | 誰がアドレス・ブロックを割り当てるか | 許可される値 |
---|---|---|---|
プライベートIPv4 CIDR |
プライベート通信 /16から/30 |
ユーザー | 通常はRFC 1918の範囲 |
グローバルにルーティング可能なIPv6接頭辞 |
インターネットまたはプライベート通信 /56 |
Oracle |
OracleがIPv6接頭辞を割り当てます。 |
BYOIP IPv6接頭辞 |
インターネットまたはプライベート通信 /64 (最小) |
ユーザー | IPv6 GUAは常に2000::/3の範囲内です。 |
IPv6 ULA |
プライベート通信 /64 (最小) |
ユーザー |
このアドレス・タイプは、fc00::/7 ULA範囲または2000:/3 GUA範囲にできます。 ULA接頭辞は、範囲の半分fd00から割り当てることをお薦めします。 |
VCNsに割り当てられたIPv6 ULAアドレスは、アドレスがGUA範囲内にある場合でも、内部通信にのみ使用されます。OCIは、プレフィックスをインターネットにアドバタイズしたり、これらの内部プリフィクスとインターネット間のトラフィックをルーティングしたりしません。
一意のローカル・アドレスは、グローバルに一意のアドレスであり、同じサイト内またはサイト間の異なるリンク上のノード間通信を許可します。これらは管理上セグメント化されており、インターネットでのルーティング用ではありません。ULAの詳細は、RFC 4193を参照してください。
インターネット通信
VCNでIPv6を有効にする場合、割り当てるIPv6アドレスのタイプ(Oracle割当て、BYOIPv6またはULA)を選択できます。次に、サブネットでIPv6を有効にし(タスク2: リージョナルIPv6対応パブリック・サブネットの作成を参照)、IPv6アドレスを個々のインスタンスのVNICまたはロード・バランサに割り当てることができます(IPv6対応サブネットでIPv6接頭辞を使用して起動された場合)。また、サブネットをパブリックまたはプライベートに指定することで、IPv6対応リソースとのインターネット通信を許可するか禁止するかを決定することもできます。IPv6対応リソースにGUAアドレスが割り当てられ、パブリック・サブネットでホストされている場合、インターネットとの通信は許可されます。IPv6対応リソースがプライベート・サブネットでホストされている場合、リソースにGUAアドレスが割り当てられていても、インターネットとの通信は禁止されます。
IPv6アドレスのVNICへの割当て
特定のVNICでIPv6を有効にするには、IPv6をVNICに割り当てるだけです。サブネットに割り当てられている場合、複数のIPv6接頭辞から複数のIPアドレスを割り当てることができます。IPv4と同様に、IPv6アドレスを割り当てるときに、使用する特定のアドレスを指定するか、Oracleに選択させることができます。
VNICには、コンピュート・インスタンスの作成時にIPv6アドレスを割り当てることも、インスタンスの作成後に追加することもできます。
VNICでは、コンピュート・インスタンスに選択したOSイメージがIPv6のみのアドレス指定をサポートし、サブネットがIPv6アドレス指定のみを使用するように構成されている場合、IPv6のみのアドレス指定を使用できます。
IPv6アドレスの書式
IPv6アドレスは128ビットです。
VCNのIPv6接頭辞ブロックのサイズは、/56である必要があります。左側56ビットは、アドレスのVCN部分を示します。例:
2001:0db8:0123:7800::/56 (またはULAアドレスの場合はfd00::/56)
サブネットのIPv6接頭辞ブロックのサイズは、/64である必要があります。サブネットの接頭辞の右側16ビットは、アドレスのサブネット部分を示します。次の例では、7811はサブネットの一意の部分です:
2001:0db8:0123:7811::/64
次のULAの例では、11はサブネットの一意の部分です:
fd00:0:0:11::/64
IPv6アドレスの右端の64ビットは、特定のIPv6アドレスに固有の一意の部分を示します。例:
2001:0db8:0123:7811:abcd:ef01:2345:6789
IPv6をVNICに割り当てる場合、使用する特定のIPv6アドレス(これらの64ビット)を指定できます。
この例では、Oracleによって接頭辞2001:0db8:0123: 7811::/56が割り当てられます。
次の図は、VCNを示しており、パブリック・サブネット1111およびプライベート・サブネット1112の2つのサブネットを含みます。
インターネットへのアクセスは、VNICレベルではなく、常にサブネット・レベルで決定されます。
サブネット1111のVNIC 1には、オプションのIPv6アドレスが割り当てられたプライマリ・プライベートIPv4アドレス(10.0.1.4)があります。VNIC 1にはセカンダリ・プライベートIPv4アドレス(10.0.1.5)があり、同様にオプションのパブリックIPアドレスが割り当てられています。
サブネット1111ではインターネット・アクセスが有効になっているため、インターネット・ルーティング可能なIPv6アドレス(2001:0db8:0123:7811:abcd:ef01:2345:0006)のみを持つことができます。
サブネット1112はプライベートです。つまり、VNICにはインターネットからのIPv4またはIPv6アクセス権がありません。VNIC 2を使用するインスタンスは、インターネット上の他のホストとの接続を開始してレスポンスを取得できますが、開始されていないリクエストは取得できません。
IPv6トラフィックのルーティング
インバウンド開始とアウトバウンド開始のどちらのIPv6接続も、VCNとインターネット間、およびVCNとオンプレミス・ネットワーク間でサポートされています。VCN内またはVCN間のリソース間の通信もサポートされています。
IPv6トラフィックのルーティングに関するその他の重要な詳細は、次のとおりです:
-
現在、IPv6トラフィックは次のゲートウェイを介してのみサポートされます:
- 動的ルーティング・ゲートウェイ(DRG): オンプレミス・ネットワークまたはリージョン外の他のネットワークへのアクセス用(リモート・ピアリングを使用)。Oracle Cloud Infrastructure FastConnectおよびサイト間VPNの両方で、IPv6トラフィックがサポートされます。IPv6構成の詳細は、後続の項を参照してください。
- インターネット・ゲートウェイ: インターネットへのアクセス用。
- ローカル・ピアリング・ゲートウェイ: 同じリージョン内の2つのVCNを接続し、それらのリソースがインターネット経由またはオンプレミス・ネットワーク経由でトラフィックをルーティングすることなく、プライベートIPアドレスを使用して通信できるようにします。
- リージョン内のリソース間(VCNs内およびVCNs間)のIPv6トラフィックがサポートされています。VCNsはデュアルスタックです。つまり、常にIPv4をサポートし、オプションでIPv6もサポートできます。VCNのルート表では、同じ表内でIPv4ルールとIPv6ルールの両方がサポートされます。IPv4およびIPv6ルールは個別に指定する必要があります。特定のIPv6接頭辞に一致するトラフィックを、VCNにアタッチされたDRG、インターネット・ゲートウェイ、ローカル・ピアリング・ゲートウェイまたはIPv6アドレス(ネクスト・ホップ)にルーティングするルールがサポートされています。
VCNルート表およびIPv6
VCNのルート表では、DRG、ローカル・ピアリング・ゲートウェイまたはインターネット・ゲートウェイをターゲットとして使用するIPv4ルールとIPv6ルールの両方がサポートされます。たとえば、特定のサブネットのルート表は、次のルールを持つことができます:
- 特定のIPv4 CIDRに一致するトラフィックをVCNにアタッチされたDRGにルーティングするルール
- 特定のIPv4 CIDRに一致するトラフィックをVCNのサービス・ゲートウェイにルーティングするルール
- 特定のIPv4 CIDRに一致するトラフィックをVCNのNATゲートウェイにルーティングするルール
- 特定のIPv6接頭辞に一致するトラフィックをVCNにアタッチされたDRGにルーティングするルール
- 特定のIPv6接頭辞に一致するトラフィックをVCNにアタッチされたインターネット・ゲートウェイにルーティングするルール
IPv6トラフィックのセキュリティ・ルール
ルート表と同様に、VCNのネットワーク・セキュリティ・グループおよびセキュリティ・リストでは、IPv4とIPv6の両方のセキュリティ・ルールがサポートされています。たとえば、ネットワーク・セキュリティ・グループまたはセキュリティ・リストには、次のセキュリティ・ルールを含めることができます:
- オンプレミス・ネットワークのIPv4 CIDRからのSSHトラフィックを許可するルール
- オンプレミス・ネットワークのIPv4 CIDRからのpingトラフィックを許可するルール
- オンプレミス・ネットワークのIPv6接頭辞からのSSHトラフィックを許可するルール
- オンプレミス・ネットワークのIPv6接頭辞からのpingトラフィックを許可するルール
IPv6対応VCNのデフォルト・セキュリティ・リストには、デフォルトのIPv4ルールと、次のデフォルトのIPv6ルールが含まれています:
-
ステートフル・イングレス:ソース::/0およびすべてのソース・ポートからの宛先ポート22 (SSH)に対するIPv6 TCPトラフィックを許可します。このルールにより、パブリック・サブネットおよびインターネット・ゲートウェイを含むVCNを簡単に作成し、Linuxインスタンスを作成し、インターネット・アクセス可能なIPv6を追加して、セキュリティ・ルールを自分で記述する必要なく、そのインスタンスにSSHですぐに接続できます。
重要
デフォルト・セキュリティ・リストには、Remote Desktop Protocol (RDP)アクセスを許可するルールは含まれていません。Windowsイメージを使用している場合は、ソース::/0および任意のソース・ポートからの宛先ポート3389に対するTCPトラフィック用のステートフル・イングレス・ルールを追加します。
詳細は、RDPアクセスを有効にするにはを参照してください。
- ステートフル・イングレス: ソース::/0および任意のソース・ポートからのICMPv6トラフィック・タイプ2コード0 (パケットが大きすぎる)を許可します。このルールを使用すると、インスタンスでPath MTU Discoveryのフラグメンテーション・メッセージを受信できます。
- ステートフル・エグレス:すべてのIPv6トラフィックを許可することを選択すると、インスタンスは任意の宛先に対して任意の種類のIPv6トラフィックを開始できます。インターネット・アクセス可能なIPv6を持つインスタンスは、VCNに構成済のインターネット・ゲートウェイがある場合、すべてのインターネットIPv6アドレスと通信できます。また、ステートフル・セキュリティ・ルールでは接続トラッキングが使用されるため、イングレス・ルールに関係なく、レスポンス・トラフィックは自動的に許可されます。詳細は、ステートフル・ルールとステートレス・ルールを参照してください。
FastConnectおよびIPv6
FastConnectを使用している場合は、IPv6アドレスを持つオンプレミス・ホストがIPv6対応VCNと通信できるように構成できます。一般的には、FastConnect仮想回線にIPv6 BGPアドレスがあることを確認し、IPv6トラフィックに対するVCNのルーティング・ルールおよびセキュリティ・ルールを更新する必要があります。
IPv6 BGPアドレスについて
FastConnect仮想回線には常にIPv4 BGPアドレスが必要ですが、IPv6 BGPアドレスはオプションであり、IPv6トラフィックにのみ必要です。FastConnectの使用方法によっては、仮想回線のBGPアドレス(IPv4とIPv6の両方)を自分で提供するように求められる場合があります。
アドレスはペアで構成され、1つはBGPセッションの終端用で、もう1つはBGPセッションのOracle終端用です。
BGPアドレス・ペアを指定する場合、両方のアドレスを含むサブネット・マスクを含める必要があります。特にIPv6で使用可能なサブネット・マスクは次のとおりです:
- /64
- /96
- /126
- /127
たとえば、BGPセッションの終端のアドレスには2001:db8::6/64を指定し、Oracle終端には2001:db8::7/64を指定できます。
IPv6を有効にするプロセス
一般的に、FastConnect仮想マシンでIPv6を有効にする方法は次のとおりです:
- 仮想回線BGP: FastConnect仮想マシンにIPv6 BGPアドレスがあることを確認します。新しい仮想回線を設定するか、既存の仮想回線を編集するときにBGP IPアドレスを提供する責任がある場合、2つのIPv4 BGPアドレス用の場所があります。「IPv6アドレス割当の有効化」の個別のチェック・ボックスと、2つのIPv6アドレスを指定する場所があります。IPv6のサポートを追加するために既存の仮想マシンを編集している場合、新しいBGP情報を使用するように再プロビジョニングされている間は停止します。
- VCNルート表: VCNのIPv6対応サブネットごとに、VCNからオンプレミス・ネットワーク内のIPv6サブネットにIPv6トラフィックをルーティングするルールが含まれるように、ルート表を更新します。たとえば、ルート・ルールの宛先CIDRブロックはオンプレミス・ネットワークのIPv6サブネットになり、ターゲットはIPv6対応VCNにアタッチされたDynamic Routing Gateway (DRG)になります。
- VCNセキュリティ・ルール: VCNのIPv6対応サブネットごとに、VCNとオンプレミス・ネットワーク間のIPv6トラフィックを許可するように、そのセキュリティ・リストまたは関連ネットワーク・セキュリティ・グループを更新します。IPv6トラフィックのセキュリティ・ルールを参照してください。
まだFastConnect接続が存在しない場合は、次のトピックを参照して開始してください:
Site-to-Site VPNおよびIPv6
サイト間VPNを使用している場合は、IPv6アドレスを持つオンプレミス・ホストがIPv6対応VCNと通信できるように構成できます。接続に対してIPv6を有効にする方法を次に示します:
- IPSec接続の静的ルート: オンプレミス・ネットワークのIPv6静的ルートを使用したIPSec接続を構成します。
- VCNルート表: VCNのIPv6対応サブネットごとに、VCNからオンプレミス・ネットワーク内のIPv6サブネットにIPv6トラフィックをルーティングするルールが含まれるように、ルート表を更新します。たとえば、ルート・ルールの宛先CIDRブロックはオンプレミス・ネットワークのIPv6静的ルートになり、ターゲットはIPv6対応VCNにアタッチされたDynamic Routing Gateway (DRG)です。
- VCNセキュリティ・ルール: VCNのIPv6対応サブネットごとに、VCNとオンプレミス・ネットワーク間のIPv6トラフィックを許可するように、そのセキュリティ・リストまたは関連ネットワーク・セキュリティ・グループを更新します。IPv6トラフィックのセキュリティ・ルールを参照してください。
静的ルーティングを使用する既存のサイト間VPN IPSec接続がある場合は、静的ルートのリストを更新して、IPv6用のものを含めることができます。静的ルートのリストを変更すると、サイト間VPNは再プロビジョニング中に停止します。静的ルートの変更を参照してください。
まだサイト間VPNが存在しない場合は、次のトピックを参照して開始してください:
DHCPv6
IPアドレスのDHCPv6自動構成がサポートされています。IPv6アドレスを静的に構成する必要はありません。
DNS
VCNのインターネット・リゾルバはIPv6をサポートしています。つまり、VCNのリソースはVCN外部ホストのIPv6アドレスを解決できます。IPv6アドレスへのホスト名の割当てはサポートされていません。
ロード・バランサ
ロード・バランサを作成する場合、IPv4のみ、またはIPv4およびIPv6デュアルスタック構成を選択できます。デュアル・スタック・オプションを選択すると、ロード・バランサ・サービスはIPv4とIPv6アドレスの両方をロード・バランサに割り当てます。ロード・バランサは、割り当てられたIPv6アドレスに送信されるクライアント・トラフィックを受信します。ロード・バランサは、IPv4アドレスのみを使用してバックエンド・サーバーと通信します。ロード・バランサとバックエンド・サーバー間のIPv6通信はサポートされていません。
IPv6アドレスの割当ては、ロード・バランサの作成時にのみ行われます。既存のロード・バランサにIPv6アドレスを割り当てることはできません。
VCNのIPv4とIPv6の比較
次の表に、VCNでのIPv4アドレスとIPv6アドレスの違いをまとめます。
特徴 | IPv4 | IPv6 |
---|---|---|
サポートされるアドレス・タイプ | IPv6が有効かどうかにかかわらず、IPv4アドレス指定は常に必要です。これは、必要に応じてプライベートIPv4 CIDRにできます。 | IPv6アドレス指定は、VCNごと、IPv6対応VCN内のサブネットごと、およびIPv6対応サブネット内のVNICごとのオプションです。IPv6のみのサブネットまたはVNICを使用できます。 |
サポートされるトラフィック・タイプ | IPv4トラフィックは、すべてのゲートウェイでサポートされています。VCN内のインスタンス間のIPv4トラフィックはサポートされています(東西トラフィック)。 | IPv6トラフィックは、インターネット・ゲートウェイ、ローカル・ピアリング・ゲートウェイおよびDRGというゲートウェイでのみサポートされます。インバウンド開始とアウトバウンド開始のどちらのIPv6接続も、VCNとインターネット間、およびVCNとオンプレミス・ネットワーク間でサポートされています。リージョン内のリソース間(VCN内またはVCNs間)のIPv6トラフィックは完全にサポートされています(east/westトラフィック)。IPv6トラフィックのルーティングも参照してください。 |
VCNサイズ | /16から/30 |
Oracle GUA: /56のみ BYOIPv6: /64以上 ULA: /64以上 |
サブネット・サイズ | /16から30。Oracleにより各サブネットで予約された3つのアドレス(最初の2つおよび最後の1つ)を使用します。 | /64のみ。Oracleによりサブネットで予約された8つのアドレス(最初の4つおよび最後の4つ)を使用します。 |
プライベートおよびパブリックIPアドレス空間 |
プライベート: VCNのプライベートIPv4 CIDRは、RFC 1918の範囲またはパブリックにルーティング可能な範囲(プライベートとして扱われる)から設定できます。コンソールのVCN作成ウィザード(常に10.0.0.0/16を使用)を使用しないかぎり、範囲を指定します。 パブリック: VCNには、専用のパブリックIPv4アドレス空間がありません。Oracleは、VCNのパブリック・アドレスを選択します。 |
IPv4とは異なり、VCNは、割り当てられた/56 GUA接頭辞をOracleから受信するか、BYOIP接頭辞をインポートして割り当てることができます。パブリック・サブネットのリソースに割り当てられている場合、これらはどちらもインターネット・ルーティング可能です。また、サブネットがパブリックかプライベートかに関係なく、インターネット・ルーティングできないULAアドレスを割り当てるオプションもあります。 |
IPアドレスの割当て |
プライベート: 各VNICはプライベートIPv4アドレスを取得します。アドレスを選択するか、Oracleに選択させることができます。 パブリック: プライベートIPv4アドレスにパブリックIPアドレスが関連付けられているかどうかを判断します(VNICがパブリック・サブネット内にある場合)。Oracleは、パブリックIPアドレスを選択します。 APIの観点から: |
サブネットに割り当てられている場合、個別の接頭辞からVNICにIPv6アドレスを割り当てることができます。IPv6アドレスを選択するか、Oracleに選択させることができます。 APIの観点から: IPアドレスは |
インターネット・アクセス | サブネットがパブリックとプライベートのどちらであるかを制御します。ユーザーは、VNICのプライベートIPv4アドレスからパブリックIPアドレスを追加または削除します(VNICがパブリック・サブネット内にある場合)。 | サブネットがパブリックとプライベートのどちらであるかを制御します。IPv4の場合と同じように、VNICに対してパブリックIPアドレスの追加または削除を行う必要はありません。かわりに、パブリック/プライベートのサブネット・フラグを使用して、サブネット内のすべてのIPv6対応リソースのインターネット・アクセスを有効または無効にします。 |
プライマリ・ラベルとセカンダリ・ラベル | 各VNICには、自動的にプライマリ・プライベートIPアドレスが用意され、VNICごとに最大32のセカンダリ・プライベートIPを割り当てることができます。 | IPv6アドレスをプライマリまたはセカンダリ・ラベルなしでVNICに追加することを選択します。VNIC当たり最大32個のIPv6アドレスを割り当てることができます。 |
ホスト名 | IPv4アドレスにホスト名を割り当てることができます。 | IPv6アドレスにホスト名を割り当てることはできません。 |
ルート・ルールの制限 | サービス制限を参照してください。 | IPv4およびIPv6のルート・ルールは、同じルート表に含めることができます。IPv6ルート・ルールは、インターネット・ゲートウェイ、ローカル・ピアリング・ゲートウェイまたはDRGのみをターゲット指定できます。ルート表内のIPv6ルート・ルール数の制限は、50です。 |
セキュリティ・ルールの制限 | サービス制限を参照してください。 | IPv4およびIPv6のセキュリティ・ルールは、同じネットワーク・セキュリティ・グループまたはセキュリティ・リストに含めることができます。IPv6セキュリティ・ルールでは、ソースまたは宛先にIPv6接頭辞範囲のみを使用でき、サービス・ゲートウェイに使用されるサービス接頭辞ラベルは使用できません。セキュリティ・リスト内のIPv6セキュリティ・ルール数の制限は、50イングレスおよび50エグレスです。ネットワーク・セキュリティ・グループ内のIPv6セキュリティ・ルール数の制限は、合計16です。 |
予約済パブリックIPアドレス | サポートされています。 | サポートされません。 |
リージョナルまたはAD固有 | プライマリ・プライベートIPv4アドレスは、AD固有です。セカンダリ・プライベートIPv4アドレスは、リージョナル・サブネットのVNICに割り当てられていないかぎり、AD固有です。パブリックIPアドレスは、タイプ(エフェメラルまたは予約済)に応じて、AD固有またはリージョナルにできます。パブリックIPアドレスを参照してください。 | IPv6アドレスはリージョナルです。 |
インターネット・アクセスでのIPv6対応VCNの設定
インターネット・アクセスでIPv6対応VCNを設定し、インスタンスを簡単に作成してグローバルにルーティング可能なIPv6アドレスで接続できるようにするには、次のプロセスを使用します。
- ナビゲーション・メニューを開き、「Networking」、「Virtual cloud networks」の順に選択します。
- 「リスト範囲」で、in.Theページの更新を操作する権限があるコンパートメントを選択し、そのコンパートメント内のリソースのみを表示します。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
- 「仮想クラウド・ネットワークの作成」をクリックします。
-
次を入力します:
- 名前: VCNのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
- コンパートメントで作成: そのままにします。
- CIDRブロック: VCNの単一の連続IPv4 CIDRブロック。例: 172.16.0.0/16。この値は後で変更できません。許容されるVCNのサイズとアドレス範囲を参照してください。参照用として、ここにCIDR計算機があります。
- IPv6アドレス割当ての有効化: Oracleは、IPv6接頭辞をユーザーのために割り当てることができます。ユーザーは、すでにインポートしたBYOIPv6接頭辞を選択できます。または、ULA接頭辞を指定できます。後でVCNのIPv6を無効にできませんが、少なくとも1つのIPv6接頭辞が常にあるかぎり、1つ以上のVCNのIPv6接頭辞を変更できます。Oracle割当てのIPv6接頭辞を受け入れる場合、/56を受け取ります。BYOIPv6またはULAの場合は、/64以上の任意の接頭辞サイズを指定します。すべてのIPv6対応サブネットのサイズは、/64です。
- このVCNでDNSホスト名を使用します(IPv4のみでサポートされます): このオプションは、VCNのホストにDNSホスト名を割り当てるために必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定の場合に必要です。このオプションを選択した場合、VCNのDNSラベルを指定するか、コンソールで自動的に生成できます。ダイアログ・ボックスには、VCNの対応するDNSドメイン名(
<VCN_DNS_label>.oraclevcn.com
)が自動的に表示されます。詳細は、仮想クラウド・ネットワークのDNSを参照してください。 - タグ: そのままにします。タグは後から追加できます。詳細は、リソース・タグを参照してください。
-
「仮想クラウド・ネットワークの作成」をクリックします。
これにより、VCNが作成され、選択したコンパートメントの「仮想クラウド・ネットワーク」ページに表示されます。
- VCNを表示したまま、「サブネットの作成」をクリックします。
-
次を入力します:
- 名前: サブネットのわかりやすい名前(リージョナル・パブリック・サブネットなど)。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
- リージョナルまたはアベイラビリティ・ドメイン固有のサブネット: Oracleでは、リージョナル・サブネットのみを作成することをお薦めします。つまり、サブネットにはリージョンの任意の可用性ドメインにリソースを含めることができます。かわりに、「可用性ドメイン固有」を選択した場合は、可用性ドメインも指定する必要があります。これを選択した場合、これは、このサブネットに後で作成されるインスタンスや他のリソースも、その可用性ドメインに存在する必要があることを意味します。
- CIDRブロック: サブネットの単一の連続IPv4 CIDRブロック(172.16.0.0/24など)。アドレス・ブロックはVCNのIPv4 CIDRブロック内に存在し、他のサブネットと重複していない必要があります。この値は後で変更できません。許容されるVCNのサイズとアドレス範囲を参照してください。参照用として、ここにCIDR計算機があります。
- IPv6アドレス割当ての有効化: IPv6が有効なサブネットに接頭辞を追加および削除できます。ただし、IPv6を有効にした後は、少なくとも1つのIPv6接頭辞を常に残しておく必要があります。IPv6対応サブネットは、IPv4専用サブネットにできません。サブネットに含めることができるIPv6接頭辞は1つのみです。すべてのIPv6対応サブネットのサイズは、常に/64です。このサブネットを含むVCNに以前に複数のIPv6接頭辞を割り当てた場合は、サブネットに割り当てる接頭辞を選択できます。
- VCNにOracle割当ての接頭辞が割り当てられている場合は、チェック・ボックスを選択し、2つの16進文字(00-FF)を入力します。
- VCNでBYOIPv6またはULA接頭辞を割り当てた場合は、それを選択し、16進文字を指定してサブネットに/64を割り当てます。
- ルート表: デフォルト・ルート表を選択します。
- Privateまたはpublic subnet: 「Public Subnet」を選択します。これは、サブネット内のインスタンスに、オプションでパブリックIPv4アドレスを含めることができることを意味します。GUA IPv6アドレスがパブリック・サブネットでホストされているリソースに割り当てられている場合、IPv6を使用したインターネット通信が許可されます。詳細は、インターネットへのアクセスを参照してください。
- このサブネットでDNSホスト名を使用します(IPv4のみサポートされています): このオプションは、VCNの作成時にDNSラベルが指定されていた場合にのみ使用できます。このオプションは、サブネットのホストにDNSホスト名を割り当てるために必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定です。チェック・ボックスを選択した場合、サブネットのDNSラベルを指定するか、コンソールで自動的に生成できます。ダイアログ・ボックスには、サブネットの対応するDNSドメイン名がFQDNとして自動的に表示されます。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
- DHCPオプション: DHCPオプションのデフォルト・セットを選択します。
- セキュリティ・リスト: デフォルト・セキュリティ・リストを選択します。
- タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。
-
「サブネットの作成」をクリックします。
サブネットが作成され、「サブネット」ページに表示されます。
- 「リソース」で、「インターネット・ゲートウェイ」をクリックします。
- 「インターネット・ゲートウェイの作成」をクリックします。
-
次を入力します:
- 名前: インターネット・ゲートウェイのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
- コンパートメントで作成: そのままにします。
- タグ: そのままにします。タグは後から追加できます。詳細は、リソース・タグを参照してください。
-
「インターネット・ゲートウェイの作成」をクリックします。
インターネット・ゲートウェイが作成され、「インターネット・ゲートウェイ」ページに表示されます。インターネット・ゲートウェイはすでに有効になっていますが、IPv4およびIPv6トラフィックを許可するルート・ルールを追加する必要があります。
デフォルト・ルート表は、ルールなしで開始されます。ここで、VCN外部のアドレスに対して送信されるすべてのIPv4トラフィックおよびIPv6トラフィックをインターネット・ゲートウェイにルーティングするルールを追加します。これらのルールが存在することで、インバウンド接続がインターネットからインターネット・ゲートウェイを介してサブネットに到達できるようになります。セキュリティ・ルールを使用して、サブネットのインスタンスの内外で許可されるトラフィックのタイプを制御します(次のタスクを参照)。
VCN内でトラフィックをルーティングするために必要なルート・ルールはありません。
- 「リソース」で、「ルート表」をクリックします。
- 詳細を表示するデフォルト・ルート表をクリックします。
- 「ルート・ルールの追加」をクリックします。
-
次を入力します:
- ターゲット・タイプ: インターネット・ゲートウェイ
- 宛先CIDRブロック: 0.0.0.0/0 (ルート表内の他のルールでカバーされないVCN外部のすべてのIPv4トラフィックが、このルールで指定されたターゲットに送信されることを意味します)。
- コンパートメント: インターネット・ゲートウェイが配置されているコンパートメント。
- ターゲット: 作成したインターネット・ゲートウェイ。
- 説明: ルールのオプションの説明。
- 「+追加ルート・ルール」をクリックします。
-
次を入力します:
- ターゲット・タイプ: インターネット・ゲートウェイ
- 宛先CIDRブロック: ::/0 (IPv6トラフィックの場合)。
- コンパートメント: インターネット・ゲートウェイが配置されているコンパートメント。
- ターゲット: 作成したインターネット・ゲートウェイ。
- 説明: ルールのオプションの説明。
- 「ルート・ルールの追加」をクリックします。
デフォルト・ルート表には、インターネット・ゲートウェイの2つのルールがあります。1つはIPv4トラフィック用、もう1つはIPv6トラフィック用です。サブネットはデフォルト・ルート表を使用するように設定されているため、サブネット内のリソースはインターネット・ゲートウェイを使用できるようになりました。次のステップでは、サブネットで後で作成するインスタンスの内外で許可するトラフィックのタイプを指定します。
このタスクでは、インスタンスとの間のトラフィックを許可するセキュリティ・ルールを構成します。このタスクでは、セキュリティ・リストを使用してそれらのルールを実装しますが、ネットワーク・セキュリティ・グループを使用してセキュリティ・ルールを実装することもできます。
以前に、VCNのデフォルト・セキュリティ・リストを使用するようにサブネットを設定しています。このリストには、IPv4およびIPv6の必要なトラフィックを許可する基本ルールがすでに含まれています。このタスクでは、VCN内のインスタンスが必要とする接続タイプを許可する追加のセキュリティ・ルールを追加します。
例: インターネット・ゲートウェイを使用するパブリック・サブネットで、作成するインスタンスはインターネットからインバウンドHTTPS接続を受信する必要があります(Webサーバーの場合)。次に、デフォルト・セキュリティ・リストに別のルールを追加して、そのトラフィックを有効化する方法を示します:
- 「リソース」で、「セキュリティ・リスト」.をクリックします
- デフォルト・セキュリティ・リストをクリックして詳細を表示します。デフォルトでは、「イングレス・ルール」ページが表示されます。
- 「イングレス・ルールの追加」をクリックします。
-
HTTPS (TCPポート443)に対してインバウンド接続を有効にするには、次を入力します:
- ステートレス: 選択解除(これはステートフル・ルールです)
- ソース・タイプ: CIDR
- ソースCIDR: 0.0.0.0/0 (または、このルールでIPv6トラフィックを有効にする場合は::/0)
- IPプロトコル: TCP
- ソース・ポート範囲: すべて
- 宛先ポート範囲: 443
- 説明: ルールのオプションの説明。
- 「イングレス・ルールの追加」をクリックします。
Windowsインスタンスのセキュリティ・リスト・ルール
Windowsインスタンスを作成する場合は、Remote Desktop Protocol (RDP)アクセスを有効化するセキュリティ・ルールを追加する必要があります。具体的には、ソース0.0.0.0/0 (およびIPv 6トラフィックでは::/0の個別ルール)および任意のソース・ポートからの宛先ポート3389に対するTCPトラフィック用のステートフル・イングレス・ルールが必要です。詳細は、セキュリティ・ルールを参照してください。
本番VCNでは、通常、各サブネットに1つ以上のカスタム・セキュリティ・リストを設定します。必要に応じて、別のセキュリティ・リストを使用するようにサブネットを編集できます。デフォルト・セキュリティ・リストを使用しない場合は、カスタム・セキュリティ・リストに複製するデフォルト・ルールを慎重に評価した後にのみ行います。例: デフォルト・セキュリティ・リストにあるデフォルトのICMPルールは、IPv4の接続メッセージを受信するために重要です。
次のステップでは、サブネットにインスタンスを作成します。インスタンスを作成する際は、可用性ドメイン、使用するVCNとサブネット、およびその他の特性を選択します。
各インスタンスは、自動的にプライベートIPv4アドレスを取得します。パブリック・サブネットにインスタンスを作成する場合、インスタンスがパブリックIPv4アドレスを取得するかどうかを選択します。グローバルにルーティング可能なIPv6トラフィックにパブリックIPv4アドレスは必要ありません。ただし、IPv4ホストからインスタンスに接続する場合は、インスタンスにパブリックIPアドレスを指定する必要があります。そうしないと、インターネット・ゲートウェイを介してアクセスできません。デフォルト(パブリック・サブネット用)では、インスタンスがパブリックIPアドレスを取得します。
インスタンスのVNICが、IPv6アドレス指定をサポートするVCNおよびサブネットに関連付けられている場合、インスタンスの起動時にIPv6アドレスが割り当てられたコンピュート・インスタンスを作成するか、後日IPv6アドレスを割り当てるかを選択できます。
詳細および手順は、インスタンスの起動を参照してください。
- 前のステップで作成したインスタンスを表示しているときに、「アタッチされたVNIC」をクリックします。
- アタッチされたVNICのリストからプライマリVNICの名前をクリックします。
- 「リソース」で、「IPv6アドレス」をクリックします。
- 「IPv6住所の割当て」をクリックします。
-
次を入力します:
- 接頭辞: IPv6アドレスが自動的に割り当てられるIPv6接頭辞を選択します(IPv6を使用し、1つ以上のIPv6接頭辞を割り当てるには、VNICのサブネットがすでに有効になっている必要があります)。使用可能な選択肢は、IPv6アドレス割当てで選択したものによって異なります:
- 接頭辞からIPv6アドレスを自動的に割り当てる:このオプションを選択して、コンソールにこのサブネットに割り当てられたIPv6接頭辞から使用可能なIPv6アドレスを選択させます。サブネットには複数のIPv6接頭辞を指定でき、接頭辞にはULA、BYOIPまたはOracle割当ての3つのタイプのいずれかを指定できます。
- 接頭辞からIPv6アドレスを手動で割り当てる:このオプションは、このサブネットに割り当てられたIPv6接頭辞から特定のアドレスを選択する場合に選択します。例: 0000:0000:1a1a:1a2b。このオプションは、IPv6が有効なサブネットでのみ使用できます。
- すでに別のVNICに割り当てられている場合に割当て解除: (「接頭辞からIPv6アドレスを手動で割り当てる: 」を選択した場合にのみ使用可能)このチェック・ボックスはそのままにします(選択解除)。このオプションは、サブネット内の別のVNICにすでに割り当てられているIPv6アドレスの再割当てを強制する場合にのみ使用します。
「+別のサブネット接頭辞」をクリックすると、インスタンスVNICに追加のIPv6アドレスを割り当てることができます。VNICには、各IPv6接頭辞から1つのIPv6アドレスのみを割り当てることができます(サブネットには複数のIPv6接頭辞を割り当てることができます)。このVNICが起動後に既存のインスタンスにアタッチされている場合は、IPv6アドレス指定を使用するためにインスタンスOSに固有の構成が必要であることに注意してください。
- タグ: そのままにします。タグは後から追加できます。詳細は、リソース・タグを参照してください。
- 接頭辞: IPv6アドレスが自動的に割り当てられるIPv6接頭辞を選択します(IPv6を使用し、1つ以上のIPv6接頭辞を割り当てるには、VNICのサブネットがすでに有効になっている必要があります)。使用可能な選択肢は、IPv6アドレス割当てで選択したものによって異なります:
-
「割当て」をクリックします。
IPv6が作成され、VNICの「IPv6アドレス」ページに表示されます。
IPv6を使用するには、インスタンスのOSを構成する必要があります。詳細は、IPv6を使用するためのインスタンスOSの構成を参照してください。
Oracle Linux 8を使用する場合は、IPv6アドレスを動的に割り当てます。コンピュート作成中のIPv6の有効化はサポートされていないため、インスタンスの起動直後はIPv6アドレスが表示されない場合があります。コンピュート・インスタンスの起動後、次のDHCPv6サイクルがIPv6アドレスを取得するまで待機することも、DHCPv6クライアント・サービスを使用してDHCPを手動でサイクルし、新しく追加されたIPv6アドレスで更新することもできます。DHCPv6クライアントを使用するには、次を入力します:
sudo dhclient -6 ens3
次のコマンドを使用して、仮想マシン上のfirewall-cmdデーモンからDHCPv6クライアント・サービスを許可できます:
sudo firewall-cmd --add-service=dhcpv6-client
コンソールでのIPv6の管理
この項では、IPv6に関連するリソースの作業のための基本タスクを示します。
VCNのIPv6を有効にした後は、無効にできません。
タスク1: IPv6対応VCNの作成の手順を参照してください。
サブネットのIPv6を有効にした後は、無効にできません。
サマリー: IPv6対応サブネットの作成は、IPv4サブネットの作成と似ています。その違いは、/64の割当て元となるVCN IPv6接頭辞を選択し、それに応じて文字を指定する必要があることです。Oracle割当ての接頭辞を選択する場合、IPv6接頭辞のサブネットの部分に8ビットを指定できます。IPv6アドレスの概要を参照してください。
一般的な手順は、タスク2: リージョナルIPv6対応パブリック・サブネットの作成を参照してください。プライベート・サブネットが必要な場合は、サブネットの作成時に「プライベート・サブネット」のラジオ・ボタンを選択します。
IPv6アドレスをVNICに追加するプロセスは、セカンダリ・プライベートIPv4アドレスの追加に似ています。使用する特定のIPv6アドレスを指定するか、またはOracleにサブネットから選択させることができます。詳細は、IPv6アドレスの概要を参照してください。IPv6をVNICに割り当てた後、そのIPv6を使用するようにOSを構成する必要があります。
- IPv6を割り当てます。一般的な手順は、タスク7: IPv6アドレスのインスタンスへの追加を参照してください。
- IPv6アドレスを使用するようにOSを構成します。詳細は、IPv6を使用するためのインスタンスOSの構成を参照してください。
このプロセスは、あるVNICから別のVNICへのセカンダリ・プライベートIPv4アドレスの移動に似ています(元のVNICおよび新しいVNICをコールします)。新しいVNICにIPv6を割り当て、IPv6アドレスを指定し、「すでに別のVNICに割り当てられている場合に割当て解除」を選択します。Oracleにより、元のVNICから自動的に割当て解除され、新しいVNICに割り当てられます。
- 関心のあるインスタンスを含むコンパートメントが表示されていることを確認します。
- ナビゲーション・メニューを開き、「コンピュート」をクリックします。「コンピュート」で、「インスタンス」をクリックします。
- 詳細を表示するインスタンスをクリックします。
-
「リソース」で、「アタッチされたVnic」をクリックします。
インスタンスにアタッチされているプライマリVNICおよびすべてのセカンダリVNICが表示されます。
- 関心のあるVNICをクリックします。
- 「リソース」で、「IPv6アドレス」をクリックします。
- 「プライベートIPアドレスの割当て」をクリックします。
-
次を入力します:
- IPv6アドレス:移動するIPv6アドレス。
- すでに別のVNICに割り当てられている場合に割当て解除:現在割り当てられているVNICからIPv6アドレスを移動する場合に、このチェック・ボックスを選択します。
- タグ: リソースの作成権限がある場合は、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後で適用できます。
- 「割当て」をクリックします。
IPアドレスは、元のVNICから新しいVNICに移動します。
- 関心のあるインスタンスを含むコンパートメントが表示されていることを確認します。
- ナビゲーション・メニューを開き、「コンピュート」をクリックします。「コンピュート」で、「インスタンス」をクリックします。
- 詳細を表示するインスタンスをクリックします。
-
「リソース」で、「アタッチされたVnic」をクリックします。
インスタンスにアタッチされているプライマリVNICおよびすべてのセカンダリVNICが表示されます。
- 関心のあるVNICをクリックします。
- 「リソース」で、「IPv6アドレス」をクリックします。
- 削除するIPv6について、 をクリックし、「IPv6の削除」をクリックします。
- プロンプトが表示されたら確認します。
IPv6アドレスは、サブネット内で使用可能なアドレスのプールに返されます。
APIの使用
APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。
IPv6アドレス指定の場合、次の操作を含むIpv6オブジェクトがあります:
IPv6を使用するためのインスタンスOSの構成
コンソールを使用してVNICにIPv6アドレスを割り当てた後、関連付けられたインスタンスOSは割り当てられたアドレスを学習する必要があります。DHCPv6は自動的にこの処理を行いますが、次のリフレッシュ・サイクルを待つ必要があります。インスタンスのオペレーティング・システムに、IPv6アドレスをすぐにリフレッシュするように要求できます。
Oracle Linuxの構成
Oracle Linux 8では、次のコマンドを使用して、インスタンスのIPv6アドレスをリフレッシュします:
sudo dhclient -6 <interface>
Oracle Linux 8のNetworkManagerサービスはデフォルトで有効になっています。カスタム・イメージを使用する場合は、最初に次のコマンドを実行する必要があります:
sudo firewall-cmd --add-service=dhcpv6-client --permanent
sudo firewall-cmd --reload
詳細は、Oracle Linux 8のネットワーキングの設定ドキュメントを参照してください。
まだ行っていない場合は、必要なIPv6トラフィックに対してVCNのルート表およびセキュリティ・ルールが構成されていることを確認します。IPv6トラフィックのルーティングおよびIPv6トラフィックのセキュリティ・ルールを参照してください。
Windowsの構成
Windowsコマンド・ラインまたはネットワーク接続UIで次を使用して、インスタンスにIPv6アドレスをリフレッシュするように要求できます:
ipconfig /renew6
PowerShellを使用する場合は、管理者として実行する必要があります。構成は、インスタンスの再起動後も維持されます。インスタンスの作成後、できるだけ早く適用します。
まだ行っていない場合は、必要なIPv6トラフィックに対してVCNのルート表およびセキュリティ・ルールが構成されていることを確認します。IPv6トラフィックのルーティングおよびIPv6トラフィックのセキュリティ・ルールを参照してください。