プライベート・アクセス

• プライベート・エンドポイント、プライベート・サービス・アクセス・エンドポイント、またはサービス・ゲートウェイを使用して、VCNまたはオンプレミス・ネットワークからOracle Cloud Infrastructure内の特定サービスへのプライベート・アクセスを有効にできます。後続の項を参照してください。

• 各プライベート・アクセス・オプションでは、次のサービスまたはリソース・タイプを使用できます:

  • プライベート・エンドポイントの場合: 使用可能なサービス
  • サービス・ゲートウェイの場合: 使用可能なサービス
  • プライベート・サービス・アクセス・エンドポイントの場合: 使用可能なサービス
• これらのプライベート・アクセス・オプションのいずれかを使用すると、トラフィックはOracle Cloud Infrastructureネットワーク内にとどまり、インターネットを横断しません。ただし、サービス・ゲートウェイを使用する場合、サービスへのリクエストでは、サービスのパブリック・エンドポイントを使用します。
• パブリック・エンドポイントを介して特定のOracle serviceにアクセスしない場合は、VCNでプライベート・エンドポイントまたはPSAエンドポイントを使用することをお薦めします(サービスがこれらのエンドポイントをサポートしている場合)。

プライベート・エンドポイントとは、VCN内のプライベートIPアドレスであり、Oracle Cloud Infrastructure内の特定のサービスにアクセスするために使用できます。サービスは、VCN内のサブネット内にプライベート・エンドポイントを設定します。プライベート・エンドポイントは、VCN内の別のVNICと考えることができます。セキュリティ・ルールを使用して、他のVNICと同様にアクセスを制御できます。ただし、サービスがこのVNICを設定し、その可用性を維持します。ユーザーは、サブネットとセキュリティ・ルールを維持するだけで済みます。

次の図は、この概念を示しています。

プライベート・エンドポイントは、VCN内のホストと、対象となるOracle service内の単一リソースへのオンプレミス・ネットワーク・アクセスを提供します(たとえば、Autonomous AI Database Serverlessの1つのデータベース)。プライベート・アクセス・モデルをサービス・ゲートウェイと比較します(次の項を参照): 特定のVCNに対して5つのAutonomous AIデータベースを作成した場合、そのサービスのパブリック・エンドポイントにリクエストを送信することで、5つともすべて1つのサービス・ゲートウェイを介してアクセスできます。ただし、プライベート・エンドポイント・モデルには、5つの別個のプライベート・エンドポイントがあります(各Autonomous AI Databaseに対して1つで、それぞれが独自のプライベートIPアドレスを持ちます)。

リソースのプライベート・エンドポイントがある場合、VCN内のホストは、プライベート・エンドポイントのFQDNまたはプライベートIPアドレスを使用してリソースにアクセスできます。セキュリティ・ルールを設定して、VCN内のホストとプライベート・エンドポイント間のアクセスを制御します。Autonomous AI Lakehouseを使用してこれを行う方法の例は、プライベート・エンドポイントを使用したネットワーク・アクセスの構成を参照してください。

オンプレミス・ネットワーク内のホストがプライベート・エンドポイントを使用できるように、VCN内に転送ルーティングを設定することもできます。オンプレミス・ホストがプライベートIPアドレスのかわりにプライベート・エンドポイントのFQDNを使用できるようにするには、2つのオプションがあります:

• VCNのインスタンスをカスタムDNSサーバーとして設定します。Oracle Terraformプロバイダを使用したこのシナリオの実装の例は、ハイブリッドDNS構成を参照してください。
• ホスト名の解決を手動で管理します。

対象となる特定のリソースにアクセスする必要があるホストを持つ複数のVCNsがある場合があります。You can peer the VCNs so that hosts in the other VCNs can also use the private endpoint (the preceding diagram doesn't show any peered VCNs).

サービス・ゲートウェイは、VCNおよびオンプレミス・ネットワーク内のリソースに対し、インターネット経由のトラフィックを使用せずに、Oracle Cloud Infrastructure内の複数のサービスへのプライベート・アクセスを提供します。

次の図は、この概念を示しています。この図は、Oracle Services Network (Oracleサービス用に予約されているOracle Cloud Infrastructure内の概念ネットワーク)を示しています。

VCN内の特定のサブネットからサービス・ゲートウェイを使用するには、サブネットのルート表にルート・ルールを設定し、ルールのターゲットとしてサービス・ゲートウェイを指定します。また、VCN内のホストとサービス・ゲートウェイを介して提供されるサービス間のアクセスを制御するセキュリティ・ルールも設定します。

テナンシに複数のVCNがある場合、独自のサービス・ゲートウェイを使用してそれぞれを構成できます。

制限関連の詳細は、ゲートウェイの制限およびサービス制限の引上げのリクエストを参照してください。

また、オンプレミス・ネットワーク内のホストがVCNのサービス・ゲートウェイを使用できるように、Oracle Services Networkに転送ルーティングを設定することもできます。

Oracle Cloud Infrastructureプライベート・サービス・アクセスを使用して、単一のOCIサービスへのプライベートIPアクセスを提供するプライベート・サービス・アクセス(PSA)エンドポイントを作成できます。PSAエンドポイントは、指定されたVCNおよびサブネット内の専用プライベートIPアドレスおよびFQDNを使用します。PSAエンドポイントは、IPv4のみまたはデュアル・スタックのIPv4-IPv6ネットワークで使用できます。

PSAエンドポイントは、VCN内のサブネットで設定します。PSAエンドポイントは、VCN内の別のVNICと考えることができます。セキュリティ・リスト、NSGでセキュリティ・ルールを使用するか、定義および実装するゼロトラスト・パケット・ルーティング(ZPR)セキュリティ属性およびポリシーを使用して、他のVNICに対するアクセスを制御できます。

次の図は、この概念を示しています。

PSAエンドポイントは、VCN内のホスト、または関心のあるOracle service (オブジェクト・ストレージなど)へのオンプレミス・ネットワーク・アクセスを提供します。PSAエンドポイントは、ワークロードのサブネットに関係なく、それぞれのサービスと通信するために、そのVCN内の任意のワークロードで使用できます。特定のサービスのVCNに含めることができるPSAエンドポイントは1つのみです。If you have many VCNs, create PSA endpoints in each VCN as needed.

オンプレミス・ネットワークからPSAエンドポイントにアクセスするには、2つの選択肢があります。

1. オンプレミスDNS構成で、PSAサービスのFQDNをPSAエンドポイントに割り当てられたプライベートIPに手動でマップします。
2. VCNリゾルバにDNSリスニング・エンドポイントを作成します。使用されているOCIサービスのオンプレミスフォワードFQDNからリスニング・エンドポイントまで、関連するPSAエンドポイントのプライベートIPを返します。

詳細は、PSAエンドポイントについてを参照してください。