インターネット・ゲートウェイ

このトピックでは、インターネットにVCNアクセスできるようにインターネット・ゲートウェイを設定して管理する方法について説明します。

ヒント

OracleではNATゲートウェイも提供しています。これは、インターネットからの外部接続を必要としないVCNのサブネットに推奨されます。

ハイライト

  • インターネット・ゲートウェイは、VCNに追加し、インターネットへの直接接続を有効にできるオプションのゲートウェイになります。
  • ゲートウェイは、VCN内からの接続(エグレス)およびインターネットからの接続(イングレス)をサポートします。
  • インターネット・アクセスのためにゲートウェイを使用する必要のあるリソースは、パブリック・サブネットに存在し、パブリックIPアドレスを持つ必要があります。プライベートIPアドレスを持つリソースは、かわりにNATゲートウェイを使用してインターネットへの接続を起動できます。
  • インターネット・ゲートウェイを使用する必要のある各パブリック・サブネットには、ターゲットとしてゲートウェイを指定するルート表のルールが必要です。
  • セキュリティ・ルールを使用して、そのサブネットのリソース内外で許可されるトラフィックのタイプを制御します。ルールで適切なタイプのインターネット・トラフィックのみが許可されるようにします。
  • インターネット・ゲートウェイは、ゲートウェイのVCN内のリソースのみが使用できます。接続されているオンプレミス・ネットワークまたはピアリングされたVCNのホストでは、そのインターネット・ゲートウェイは使用できません。
  • インターネット・ゲートウェイをセキュリティ・ゾーン内のVCNに追加または移動することはできません。セキュリティ・ゾーンは、パブリック・サブネットを使用しません。
  • VCNごとに必要なインターネット・ゲートウェイは1つのみです。セキュリティ・ルールおよびルート表ルールでそのアクセスが許可されている場合、VCN内のすべてのパブリック・サブネットはインターネット・ゲートウェイにアクセスできます。

インターネット・ゲートウェイの概要

続行する前に、インターネットへのアクセスを読み、サブネット内のリソースに対してセキュリティ・ルールを設定する方法についても理解します。

インターネット・ゲートウェイは、VCNのエッジをインターネットに接続するオプションの仮想ルーターです。ゲートウェイを使用するには、接続の両端のホストに、ルーティングのためのパブリックIPアドレスが必要です。VCNで生成され、パブリックIPアドレス(VCNの内部または外部)を宛先とする接続が、インターネット・ゲートウェイを経由されます。VCN外部で生成され、VCN内部のパブリックIPアドレスを宛先とする接続は、インターネット・ゲートウェイを経由します。

1つの特定のVCNは、1つのインターネット・ゲートウェイのみを持つことができます。サブネットに関連付けられたルート表を構成することで、ゲートウェイを使用できるVCN内のパブリック・サブネットを制御します。セキュリティ・ルールを使用して、それらのパブリック・サブネットのリソース内外で許可されるトラフィックのタイプを制御します。

次の図に、1つのパブリック・サブネットを持つVCN設定を示します。VCNにはインターネット・ゲートウェイがあり、パブリック・サブネットはVCNのデフォルト・ルート表を使用するように構成されています。この表には、サブネットからインターネット・ゲートウェイにすべてのエグレス・トラフィックを送信するルート・ルールが含まれます。ゲートウェイは、VCNのリソースのパブリックIPアドレスと等しい宛先IPアドレスを使用して、インターネットからのイングレス接続を許可します。ただし、パブリック・サブネットのセキュリティ・リスト・ルールによって、サブネット内のリソース内外で許可される特定のタイプのトラフィックが決定されます。これらの特定のセキュリティ・ルールは表示されません。

この図は、インターネット・ゲートウェイを使用するパブリック・サブネットを持つVCNのレイアウトを示します。
コールアウト1: VCNデフォルト・ルート表
宛先CIDR ルート・ターゲット
0.0.0.0/0 インターネット・ゲートウェイ
ヒント

VCNとOracle Cloud Infrastructure内のパブリックIPアドレス(オブジェクト・ストレージなど)の間のトラフィックは、インターネット・ゲートウェイではなくサービス・ゲートウェイを介してルーティングする必要があります。

インターネット・ゲートウェイの作業

インターネット・ゲートウェイは特定のVCNのコンテキスト内で作成し、インターネット・ゲートウェイは常にそのVCNにアタッチされます。ただし、インターネット・ゲートウェイをいつでも無効化して再度有効化できます。これとは対照的に、動的ルーティング・ゲートウェイ(DRG)は、スタンドアロン・オブジェクトとして作成してから特定のVCNにアタッチします。DRGs use a different model because they're intended to be modular building blocks for privately connecting VCNs to an on-premises network or other VCNs.

パブリック・サブネットからインターネットへのトラフィックが流れるようにするには、対応するルート・ルールをサブネットのルート表に作成する必要があります。たとえば、宛先CIDR = 0.0.0.0/0およびターゲット= インターネット・ゲートウェイの場合、ファイアウォールを介してトラフィックをルーティングするには、ターゲットをファイアウォールのプライベートIPアドレスにすることができます。次に、ファイアウォール・サブネットは、インターネット・ゲートウェイをターゲットとしてインターネットに接続するためのルート(0.0.0.0/0など)を必要とします。

インターネットからパブリック・サブネットの宛先に流れるトラフィックの場合、インターネット・ゲートウェイはデフォルトで宛先にトラフィックを直接ルーティングします。ルート表をインターネット・ゲートウェイに関連付け、イングレス・パブリック・トラフィックをVCN内の宛先にルーティングするルート・ルールを定義できます。たとえば、インターネット・ゲートウェイでトラフィックをVCN内のファイアウォールに最初にルーティングする場合は、ファイアウォール・プライベートIPアドレスをターゲットとして、宛先サブネットCIDRのルート・ルールを作成できます。インターネット・ゲートウェイのルート表のVCN外部にある宛先へのルート・ルールはサポートされません。

VCNごとに必要なインターネット・ゲートウェイは1つのみです。VCN内のすべてのパブリック・サブネットは、セキュリティ・ルールおよびルート表ルールによってそのアクセスが許可されている場合に、インターネット・ゲートウェイにアクセスできます。

アクセス制御の目的のために、インターネット・ゲートウェイを配置するコンパートメントを指定する必要があります。使用するコンパートメントがわからない場合、インターネット・ゲートウェイをクラウド・ネットワークと同じコンパートメントに配置します。詳細は、アクセス制御を参照してください。

インターネット・ゲートウェイにわかりやすい名前を割り当てることができます。一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子をインターネット・ゲートウェイに自動的に割り当てます。詳細は、リソース識別子を参照してください。

インターネット・ゲートウェイを削除するには、無効にする必要はありませんが、それをターゲットとしてリストするルート表が存在しないようにする必要があります。

制限関連の情報については、ゲートウェイの制限およびサービス制限の引上げのリクエストを参照してください。

インターネット・ゲートウェイ設定

前提条件:

  • VCNのどのサブネットがインターネットにアクセスする必要があるか決定し、それらのパブリック・サブネットを作成します。

    VCNごとに必要なインターネット・ゲートウェイは1つのみです。VCN内のすべてのパブリック・サブネットは、セキュリティ・ルールおよびルート表ルールによってそのアクセスが許可されている場合に、インターネット・ゲートウェイにアクセスできます。

  • 各パブリック・サブネットのリソースに対して有効にするイングレスおよびエグレス・インターネット・トラフィックのタイプ(イングレスHTTPS接続、イングレスICMP ping接続など)を決定します。
  • ネットワーキング・サービス・リソースを使用するために必要なIAMポリシーが準備されています。管理者用: ネットワーキングに対するIAMポリシーを参照してください。
重要

デフォルト・セキュリティ・リストを使用するようにパブリック・サブネットが構成されている場合は、基本的な必須アクセス(イングレスのSSH、すべての宛先へのエグレス・アクセスなど)を有効にする有用なデフォルト・ルールがリストにいくつか含まれていることに注意してください。これらのデフォルト・ルールが提供する基本アクセスについて理解しておくことをお薦めします。デフォルト・セキュリティ・リストを使用しない場合は、ネットワーク・セキュリティ・グループ(NSG)またはカスタム・セキュリティ・リストにこれらのセキュリティ・ルールを実装して、この基本的なアクセスを提供するようにしてください。

次の手順ではセキュリティ・リストを使用しますが、かわりにネットワーク・セキュリティ・グループにセキュリティ・ルールを実装し、サブネットのすべてのリソースをそのNSGに作成することもできます。

  1. インターネット・ゲートウェイを使用する必要のあるパブリック・サブネットごとに、インターネット・トラフィックを許可するサブネットのセキュリティ・リスト・ルールを設定します。次の設定例を参照してください。

    パブリック・サブネットにWebサーバーがあるとします。この例では、インターネットからWebサーバーへのHTTPS接続(TCPポート443)に対するイングレス・ルールの追加方法を示します。このルールがない場合、インバウンドHTTPS接続は許可されません。

    1. 「ステートレス」チェック・ボックスは選択を解除したままにします。
    2. ソース・タイプ: CIDR
    3. ソースCIDR: 0.0.0.0/0
    4. IPプロトコル: TCPのままにします。
    5. ソース・ポート範囲: 「すべて」のままにします。
    6. 宛先ポート範囲: 443と入力します。
    7. 説明: ルールのオプションの説明。
  2. VCNのインターネット・ゲートウェイを作成します

    インターネット・ゲートウェイが作成され、選択したVCNの「インターネット・ゲートウェイ」ページに表示されると、すでに有効になっていますが、トラフィックがゲートウェイに流れることを許可するルート・ルールを追加する必要があります。

  3. インターネット・ゲートウェイを使用する必要があるパブリック・サブネットごとに、次の設定例を使用してサブネットのルート表を更新します:

    • ターゲット・タイプ: インターネット・ゲートウェイ
    • 宛先CIDRブロック: 0.0.0.0/0 (ルート表内の他のルールでカバーされないVCN外部のすべてのトラフィックが、このルールで指定されたターゲットに送信されることを意味します)
    • コンパートメント:インターネット・ゲートウェイを含むコンパートメント。
    • ターゲット: 作成したインターネット・ゲートウェイ。
    • 説明: ルールのオプションの説明。

インターネット・ゲートウェイが有効になり、クラウド・ネットワークに対して機能します。