インターネット・ゲートウェイ
このトピックでは、インターネットにVCNアクセスできるようにインターネット・ゲートウェイを設定して管理する方法を説明します。
ハイライト
- インターネット・ゲートウェイは、VCNに追加してインターネットへの直接接続を有効にできるオプションのゲートウェイです。
- ゲートウェイは、VCN (エグレス)内から開始された接続およびインターネット(イングレス)から開始された接続をサポートします。
- インターネット・アクセスのためにゲートウェイを使用する必要のあるリソースは、パブリック・サブネットに存在し、パブリックIPアドレスを持つ必要があります。プライベートIPアドレスを持つリソースは、かわりにNATゲートウェイを使用してインターネットへの接続を開始できます。
- インターネット・ゲートウェイを使用する必要のある各パブリック・サブネットには、ターゲットとしてゲートウェイを指定するルート表のルールが必要です。
- セキュリティ・ルールを使用して、そのサブネットのリソース内外で許可されるトラフィックのタイプを制御します。必要なタイプのインターネット・トラフィックのみを許可してください。
- インターネット・ゲートウェイは、ゲートウェイのVCN内のリソースのみが使用できます。接続されているオンプレミス・ネットワークまたはピアリングされたVCNのホストは、そのインターネット・ゲートウェイを使用できません。
- インターネット・ゲートウェイをセキュリティ・ゾーン内のVCNに追加または移動することはできません。セキュリティ・ゾーンでは、パブリック・サブネットは許可されません。
インターネット・ゲートウェイの概要
続行する前に、インターネットへのアクセスを読み、サブネット内のリソースに対してセキュリティ・ルールを設定する方法についても理解してください。
インターネット・ゲートウェイは、VCNのエッジをインターネットに接続するオプションの仮想ルーターです。ゲートウェイを使用するには、接続の両端のホストに、ルーティングのためのパブリックIPアドレスが必要です。VCNで生成され、パブリックIPアドレス(VCNの内部または外部)を宛先とする接続は、インターネット・ゲートウェイを経由します。VCN外部で生成され、VCN内部のパブリックIPアドレスを宛先とする接続は、インターネット・ゲートウェイを経由します。
特定のVCNは、1つのインターネット・ゲートウェイのみを持つことができます。サブネットに関連付けられたルート表を構成することで、ゲートウェイを使用できるVCN内のパブリック・サブネットを制御します。セキュリティ・ルールを使用して、それらのパブリック・サブネットのリソース内外で許可されるトラフィックのタイプを制御します。
次の図は、1つのパブリック・サブネットを持つ単純なVCN設定を示しています。VCNにはインターネット・ゲートウェイがあり、パブリック・サブネットはVCNのデフォルト・ルート表を使用するように構成されています。この表には、サブネットからインターネット・ゲートウェイにすべてのエグレス・トラフィックを送信するルート・ルールが含まれます。ゲートウェイは、VCNのリソースのパブリックIPアドレスと等しい宛先IPアドレスを使用して、インターネットからのイングレス接続を許可します。ただし、最終的には、パブリック・サブネットのセキュリティ・リスト・ルールがサブネットのリソース内外で許可される特定のタイプのトラフィックを決定します。これらの特定のセキュリティ・ルールは、表示されていません。
VCNとOracle Cloud Infrastructure (オブジェクト・ストレージなど)の一部であるパブリックIPアドレス間のインターネット・ゲートウェイを経由するトラフィックは、インターネットで送信されずにルーティングされます。
インターネット・ゲートウェイの作業
インターネット・ゲートウェイは、特定のVCNのコンテキストで作成します。つまり、インターネット・ゲートウェイは自動的にVCNにアタッチされます。ただし、インターネット・ゲートウェイはいつでも無効化して再有効化できます。これとは対照的に、動的ルーティング・ゲートウェイ(DRG)は、スタンドアロン・オブジェクトとして作成してから特定のVCNにアタッチします。DRGは、オンプレミス・ネットワークにVCNをプライベート接続するためのモジュール型ビルディング・ブロックとなるように意図されているため、別のモデルを使用しています。
パブリック・サブネットからインターネットへのトラフィックが流れるようにするには、対応するルート・ルールをサブネットのルート表に作成する必要があります。たとえば、宛先CIDR = 0.0.0.0/0およびターゲット = インターネット・ゲートウェイ。ファイアウォールを介してトラフィックをルーティングする場合、ターゲットはファイアウォールのプライベートIPアドレスにすることができます。ファイアウォール・サブネットには、インターネット・ゲートウェイをターゲットとしてインターネットに到達するためのルート(通常は0.0.0.0/0)が必要です。
インターネットからパブリック・サブネットの宛先に流れるトラフィックの場合、インターネット・ゲートウェイはデフォルトで宛先にトラフィックを直接ルーティングします。ルート表をインターネット・ゲートウェイに関連付け、イングレス・パブリック・トラフィックをVCN内の宛先にルーティングするルート・ルールを定義できます。たとえば、インターネット・ゲートウェイでトラフィックをVCN内のファイアウォールに最初にルーティングする場合は、ファイアウォール・プライベートIPアドレスをターゲットとして、宛先サブネットCIDRのルート・ルールを作成できます。インターネット・ゲートウェイのルート表のVCN外部にある宛先に対するルート・ルールは、サポートされていません。
アクセス制御の目的のために、インターネット・ゲートウェイを配置するコンパートメントを指定する必要があります。使用するコンパートメントがわからない場合、インターネット・ゲートウェイをクラウド・ネットワークと同じコンパートメントに配置します。詳細は、アクセス制御を参照してください。
オプションとして、インターネット・ゲートウェイにわかりやすい名前を割り当てることができます。一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子をインターネット・ゲートウェイに自動的に割り当てます。詳細は、リソース識別子を参照してください。
インターネット・ゲートウェイを削除するには、無効にする必要はありませんが、それをターゲットとしてリストするルート表が存在してはなりません。
制限関連の情報については、ゲートウェイの制限およびサービス制限の引上げのリクエストを参照してください。
コンソールの使用
前提条件:
- VCNのどのサブネットがインターネットにアクセスする必要があるかを決定し、それらのパブリック・サブネットを作成しました。
- 各パブリック・サブネットのリソースに対して有効にするイングレスおよびエグレス・インターネット・トラフィックのタイプ(イングレスHTTPS接続やイングレスICMP ping接続など)を決定しました。
- ネットワーキング・サービス・リソースを使用するために必要なIAMポリシーが準備されています。管理者用: ネットワーキングに対するIAMポリシーを参照してください。
デフォルト・セキュリティ・リストを使用するようにパブリック・サブネットを構成している場合は、基本的な必須アクセス(イングレスSSHやすべての宛先へのエグレス・アクセスなど)を有効にする有用なデフォルト・ルールがリストに含まれていることに注意してください。これらのデフォルト・ルールによって提供される基本的なアクセスについてよく理解することをお薦めします。デフォルト・セキュリティ・リストを使用しない場合は、これらのセキュリティ・ルールをネットワーク・セキュリティ・グループ(NSG)またはカスタム・セキュリティ・リストに実装して、この基本的なアクセスを提供してください。
次の手順ではセキュリティ・リストを使用しますが、かわりにネットワーク・セキュリティ・グループにセキュリティ・ルールを実装し、サブネットのリソースをすべてそのNSGに作成することもできます。
-
インターネット・ゲートウェイを使用する必要のあるパブリック・サブネットごとに、必要なインターネット・トラフィックを許可するようにサブネットのセキュリティ・リスト・ルールを設定します。
- コンソールで、目的のVCNを表示している状態で、「セキュリティ・リスト」をクリックします。
- 目的のセキュリティ・リスト(パブリック・サブネットに関連付けられているセキュリティ・リスト)をクリックします。
- 「リソース」で、使用するルールのタイプに応じて、「イングレス・ルール」または「エグレス・ルール」のいずれかをクリックします。
-
新しいルールを追加する場合は、「イングレス・ルールの追加」(または「エグレス・ルールの追加」)をクリックします。
例パブリック・サブネットにWebサーバーがあるとします。この例では、インターネットからWebサーバーへのHTTPS接続(TCPポート443)に対するイングレス・ルールの追加方法を示します。このルールがない場合、インバウンドHTTPS接続は許可されません。
- 「ステートレス」チェック・ボックスは選択を解除したままにします。
- ソース・タイプ: CIDR
- ソースCIDR: 0.0.0.0/0
- IPプロトコル: TCPのままにします。
- ソース・ポート範囲: 「すべて」のままにします。
- 宛先ポート範囲: 443と入力します。
- 説明: ルールのオプションの説明。
- 既存のルールを削除する場合は、「アクション」メニューをクリックして、「削除」をクリックします。
- 既存のルールを編集する場合は、「アクション」メニューをクリックして、「編集」をクリックします。
-
VCNのインターネット・ゲートウェイを作成します:
- コンソールで、目的のVCNを表示している状態で、「インターネット・ゲートウェイ」をクリックします。
- 「インターネット・ゲートウェイの作成」をクリックします。
-
次を入力します:
- 名前: インターネット・ゲートウェイのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
- コンパートメントで作成: インターネット・ゲートウェイを作成するコンパートメント(現在作業しているコンパートメントと異なる場合)。
- ルート表関連付け: (拡張オプション)特定のVCNルート表をこのゲートウェイに関連付けることができます。ルート表を関連付ける場合、ゲートウェイにはその後、常に関連付けられたルート表が必要です。現在のルート表のルールを変更することも、別のルート表に置き換えることもできます。
- タグ: (拡張オプション)リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
-
「インターネット・ゲートウェイの作成」をクリックします。
インターネット・ゲートウェイが作成され、選択したコンパートメントの「インターネット・ゲートウェイ」ページに表示されます。すでに有効になっていますが、トラフィックがゲートウェイに流れることを許可するルート・ルールを追加する必要があります。
-
インターネット・ゲートウェイを使用する必要があるパブリック・サブネットごとに、サブネットのルート表を更新します:
- VCNの詳細を表示したまま、「ルート表」をクリックします。
- 詳細を表示するパブリック・サブネットのルート表をクリックします。
- 「ルート・ルールの追加」をクリックします。
-
次を入力します:
- ターゲット・タイプ: インターネット・ゲートウェイ
- 宛先CIDRブロック: 0.0.0.0/0 (ルート表内の他のルールでカバーされないVCN外部のすべてのトラフィックが、このルールで指定されたターゲットに送信されることを意味します)
- コンパートメント: インターネット・ゲートウェイが配置されているコンパートメント。
- ターゲット: 作成したインターネット・ゲートウェイ。
- 説明: ルールのオプションの説明。
- 「保存」をクリックします。
インターネット・ゲートウェイが有効になり、クラウド・ネットワークに対して機能します。
これはAPIでのみ使用可能です。APIにアクセスできず、インターネット・ゲートウェイを無効化または有効化する必要がある場合、Oracleサポートに連絡してください。必要に応じて、インターネット・ゲートウェイを簡単に削除して再作成することもできます。インターネット・ゲートウェイを参照しているルート表を更新するだけです。
前提条件: インターネット・ゲートウェイを無効にする必要はありませんが、それをターゲットとしてリストするルート表が存在してはなりません。
-
- 関心のあるVCNをクリックします。
- 「リソース」で、「インターネット・ゲートウェイ」をクリックします。
- インターネット・ゲートウェイの「アクション」メニューをクリックし、「終了」をクリックします。
- プロンプトが表示されたら確認します。
-
- 関心のあるVCNをクリックします。
- 「リソース」で、「インターネット・ゲートウェイ」をクリックします。
- インターネット・ゲートウェイの「アクション」メニューをクリックし、「別のルート表の関連付け」をクリックします。ここから、このゲートウェイに関連付けられたルート表を変更したり、ルート表がまだ関連付けられていないゲートウェイにルート表を関連付けたりできます。ルート表がゲートウェイに関連付けられた後、ゲートウェイには常に関連付けられたルート表が必要です。
インターネット・ゲートウェイは、コンパートメント間で移動できます。インターネット・ゲートウェイを新しいコンパートメントに移動すると、固有のポリシーがただちに適用されます。
-
- 関心のあるVCNをクリックします。
- 「リソース」で、「インターネット・ゲートウェイ」をクリックします。
- インターネット・ゲートウェイの「アクション」メニューをクリックし、「リソースの移動」をクリックします。
- リストから宛先コンパートメントを選択します。
- 「リソースの移動」をクリックします。
コンパートメントとポリシーを使用したクラウド・ネットワークへのアクセスの制御の詳細は、アクセス制御を参照してください。コンパートメントに関する一般情報は、コンパートメントの管理を参照してください。
APIの使用
APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKの詳細は、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。
インターネット・ゲートウェイを管理するには、次の操作を使用します: