Oracle Servicesへのアクセス: プライベート・サービス・アクセス・エンドポイント

PSAエンドポイントについて

Oracle Cloud Infrastructureプライベート・サービス・アクセスを使用して、単一のOCIサービスへのプライベートIPアクセスを提供するプライベート・サービス・アクセス(PSA)エンドポイントを作成できます。PSAエンドポイントは、指定されたVCNおよびサブネット内の専用プライベートIPアドレスおよびFQDNを使用します。PSAエンドポイントは、IPv4のみまたはデュアル・スタックのIPv4-IPv6ネットワークで使用できます。

PSAエンドポイントは、VCN内のサブネットで設定します。PSAエンドポイントは、VCN内の別のVNICと考えることができます。セキュリティ・リスト、NSGでセキュリティ・ルールを使用するか、定義および実装するゼロトラスト・パケット・ルーティング(ZPR)セキュリティ属性およびポリシーを使用して、他のVNICに対するアクセスを制御できます。

次の図は、この概念を示しています。

PSAエンドポイントは、VCN内のホスト、または関心のあるOracle serviceへのオンプレミス・ネットワーク・アクセス(Autonomous AI Database Serverlessなど)を提供します。プライベート・アクセス・モデルはサービス・ゲートウェイに似ています。特定のVCNに対して5つのAutonomous AI Databaseを作成した場合、サービスのPSAエンドポイントにリクエストを送信することで、1つのPSAエンドポイントを介して5つのすべてにアクセスできます。プライベート・エンドポイント・モデルには、5つの別個のプライベート・エンドポイントがあります(各Autonomous AI Databaseに対して1つで、それぞれが独自のプライベートIPアドレスを持つのです)。

オンプレミス・ホストがプライベートIPアドレスのかわりにプライベート・エンドポイントのFQDNを使用できるようにするには、2つのオプションがあります:

• DNSリスニング・エンドポイントを設定します。Oracle Terraformプロバイダを使用したこのシナリオの実装の例は、ハイブリッドDNS構成を参照してください。
• ホスト名の解決を手動で管理します。

対象となる特定のリソースにアクセスする必要があるホストを持つ複数のVCNsがある場合があります。You can peer the VCNs so that hosts in the other VCNs can also use the private endpoint (the preceding diagram doesn't show any peered VCNs).

サービス固有の考慮事項

オブジェクトストレージ

• オブジェクト・ストレージのPSAエンドポイントは、クロステナンシの事前認証済リクエスト、外部資格証明およびオブジェクト・ストレージへの匿名アクセスをブロックします。
• オブジェクト・ストレージのPSAエンドポイントでは、最大25Gbpsのスループットが提供されます。

プライベート・エンドポイントのかわりにオブジェクト・ストレージにPSAエンドポイントを使用する場合

PSAは、コードの変更やパブリック・エンドポイントへの依存なしにシームレスなリージョン全体のプライベート・アクセスを作成し、強化されたセキュリティ機能(たとえば、ブロック・クロステナンシ資格証明/事前認証済リクエスト、トラフィック・メトリックおよびゼロトラスト属性)を含むため、ほとんどのオブジェクト・ストレージのユースケースに推奨されます。プライベート・エンドポイントは、特定のクライアントの特定のネームスペース、コンパートメントまたはバケットへのアクセスを制限する必要がある場合に最適です。ファイングレイン制御や専用FQDNを必要とするシナリオに最適です。サービス・ゲートウェイは、高帯域幅が必要な場合や、すべてのOCIサービスに簡単かつ幅広くアクセスしたい場合には、粒度やセキュリティ制御が低いにもかかわらず、選択肢として残ります。

PSAエンドポイント管理

PSAエンドポイントでは、次の基本的な管理アクションを使用できます。

• PSAエンドポイントのリスト
• PSAエンドポイントの作成
• PSAエンドポイント詳細の取得
• PSAエンドポイントの編集
• 別のコンパートメントへのPSAエンドポイントの移動
• PSAエンドポイントの削除