Oracle Cloud Infrastructureドキュメント

プライベート・アクセス

このトピックでは、Oracle Cloud Infrastructure内のサービスへのプライベート・アクセスを有効にするオプションの概要について説明します。プライベート・アクセスとは、トラフィックがインターネットを経由しないことを意味します。アクセスは、仮想クラウド・ネットワーク(VCN)またはオンプレミス・ネットワーク内のホストから可能です。

ヒント

このトピックでは、インターネット・ゲートウェイを介したサービスへのアクセスについては説明しません。ただし、VCNとOracle Cloud Infrastructureの一部であるパブリックIPアドレス間のインターネット・ゲートウェイを経由するトラフィックは、インターネットで送信されずにルーティングされることに注意してください。

ハイライト

  • プライベート・エンドポイントまたはサービス・ゲートウェイを使用して、VCNまたはオンプレミス・ネットワークからOracle Cloud Infrastructure内の特定サービスへのプライベート・アクセスを有効にできます。後続の項を参照してください。

  • 各プライベート・アクセス・オプションでは、次のサービスまたはリソース・タイプを使用できます:

  • どちらのプライベート・アクセス・オプションでも、トラフィックはOracle Cloud Infrastructureネットワーク内にとどまり、インターネットを横断しません。ただし、サービス・ゲートウェイを使用する場合、サービスへのリクエストでは、サービスのパブリック・エンドポイントを使用します。
  • パブリック・エンドポイントを介して特定のOracleサービスにアクセスしない場合、VCNのプライベート・エンドポイントを使用することをお薦めします(サービスがプライベート・エンドポイントをサポートしていると想定しています)。プライベート・エンドポイントは、VCNのサブネット内のプライベートIPアドレスとして表されます。

プライベート・エンドポイントについて

プライベート・エンドポイントとは、VCN内のプライベートIPアドレスで、Oracle Cloud Infrastructure内の特定のサービスへのアクセスに使用できます。サービスは、VCN内で選択されたサブネットにプライベート・エンドポイントを設定します。プライベート・エンドポイントは、VCN内の別のVNICと考えることができます。セキュリティ・ルールを使用して、他のVNICと同様にアクセスを制御できます。ただし、サービスがユーザーにかわってこのVNICを設定し、その可用性を維持します。ユーザーは、サブネットとセキュリティ・ルールを維持するだけで済みます。

次の図は、この概念を示しています。

この図は、リソースのプライベート・エンドポイントを含むVCNを示しています。

The private endpoint gives hosts within your VCN and your on-premises network access to a single resource within the Oracle service of interest (for example, one database in Autonomous Database Serverless).プライベート・アクセス・モデルをサービス・ゲートウェイ(次の項を参照)と比較します: 特定のVCN用に5つのAutonomous Databaseを作成した場合、サービスのパブリック・エンドポイントにリクエストを送信することで、5つともすべて1つのサービス・ゲートウェイを介してアクセスできます。ただし、プライベート・エンドポイント・モデルでは、5つの別個のプライベート・エンドポイントになります(各Autonomous Databaseに対して1つで、それぞれが独自のプライベートIPアドレスを持ちます)。

ノート

VCNでプライベート・エンドポイントを設定するサービスは、プライベートIPアドレス自体ではなく、プライベート・エンドポイントのDNS名(完全修飾ドメイン名(FQDN))を提供する場合があります。DNSのネットワーク設定を構成している場合、ホストはFQDNを使用してプライベート・エンドポイントにアクセスできます。サービスがネットワーク・セキュリティ・グループ(NSG)とそのリソースの使用をサポートしている場合、VCN内で選択したNSGにサービスがプライベート・エンドポイントを設定するようにリクエストできます。NSGによって、プライベート・エンドポイントに割り当てられたプライベートIPアドレスを知らなくても、プライベート・エンドポイントへのアクセスを制御するセキュリティ・ルールを記述できます。

リソースのプライベート・エンドポイントがある場合、VCN内のホストは、プライベート・エンドポイントのFQDNまたはプライベートIPアドレスを使用してリソースにアクセスできます。セキュリティ・ルールを設定して、VCN内のホストとプライベート・エンドポイント間のアクセスを制御します。Autonomous Database for Analytics and Data Warehousingを使用してこれを行う方法の例は、プライベート・エンドポイントを使用したネットワーク・アクセスの構成を参照してください。

オンプレミス・ネットワーク内のホストがプライベート・エンドポイントを使用できるように、VCN内に転送ルーティングを設定することもできます。オンプレミス・ホストがプライベートIPアドレスのかわりにプライベート・エンドポイントのFQDNを使用できるようにするには、2つのオプションがあります:

  • VCNのインスタンスをカスタムDNSサーバーとして設定します。Oracle Terraformプロバイダを使用したこのシナリオの実装の例は、ハイブリッドDNS構成を参照してください。
  • ホスト名の解決を手動で管理します。

特定のリソースへのアクセスを必要とするホストを持つ複数のVCNが存在する場合があります。他のVCN内のホストもプライベート・エンドポイントを使用できるように、VCNをピアリングできます(前の図にはピアリングされたVCNは表示されていません)。

サービス・ゲートウェイについて

サービス・ゲートウェイは、VCNおよびオンプレミス・ネットワーク内のリソースに対し、インターネット経由のトラフィックを使用せずに、Oracle Cloud Infrastructure内の複数のサービスへのプライベート・アクセスを提供します。

次の図は、この概念を示しています。この図は、Oracle Services Network (Oracleサービス用に予約されているOracle Cloud Infrastructure内の概念ネットワーク)を示しています。

この図は、Oracle Services Networkにアクセスするためのサービス・ゲートウェイがあるVCNを示しています。

VCN内の特定のサブネットからサービス・ゲートウェイを使用するには、サブネットのルート表にルート・ルールを設定し、ルールのターゲットとしてサービス・ゲートウェイを指定します。また、VCN内のホストとサービス・ゲートウェイを介して提供されるサービス間のアクセスを制御するセキュリティ・ルールも設定します。

テナンシに複数のVCNがある場合、独自のサービス・ゲートウェイを使用してそれぞれを構成できます。

制限関連の詳細は、ゲートウェイの制限およびサービス制限の引上げのリクエストを参照してください。

また、オンプレミス・ネットワーク内のホストがVCNのサービス・ゲートウェイを使用できるように、Oracle Services Networkに転送ルーティングを設定することもできます。