インターネット・ゲートウェイ

このトピックでは、インターネットにVCNアクセスできるようにインターネット・ゲートウェイを設定して管理する方法を説明します。

ヒント

OracleではNATゲートウェイも提供しています。これは、インターネットからのイングレス接続を必要としないVCNのサブネットに推奨されます。

ハイライト

  • インターネット・ゲートウェイは、VCNに追加してインターネットへの直接接続を有効にできるオプションの仮想ルーターです。
  • ゲートウェイは、VCN (エグレス)内から開始された接続およびインターネット(イングレス)から開始された接続をサポートします。
  • インターネット・アクセスのためにゲートウェイを使用する必要のあるリソースは、パブリック・サブネットに存在し、パブリックIPアドレスを持つ必要があります。プライベートIPアドレスを持つリソースは、かわりにNATゲートウェイを使用してインターネットへの接続を開始できます。
  • インターネット・ゲートウェイを使用する必要のある各パブリック・サブネットには、ターゲットとしてゲートウェイを指定するルート表のルールが必要です。
  • セキュリティ・ルールを使用して、そのサブネットのリソース内外で許可されるトラフィックのタイプを制御します。必要なタイプのインターネット・トラフィックのみを許可してください。
  • インターネット・ゲートウェイは、ゲートウェイのVCN内のリソースのみが使用できます。接続されているオンプレミス・ネットワークまたはピアリングされたVCNのホストは、そのインターネット・ゲートウェイを使用できません。
  • インターネット・ゲートウェイをセキュリティ・ゾーン内のVCNに追加または移動することはできません。セキュリティ・ゾーンでは、パブリック・サブネットは許可されません。

インターネット・ゲートウェイの概要

続行する前に、インターネットへのアクセスを読み、サブネット内のリソースに対してセキュリティ・ルールを設定する方法についても理解してください。

インターネット・ゲートウェイは、VCNのエッジをインターネットに接続するオプションの仮想ルーターです。ゲートウェイを使用するには、接続の両端のホストに、ルーティングのためのパブリックIPアドレスが必要です。VCNで生成され、パブリックIPアドレス(VCNの内部または外部)を宛先とする接続は、インターネット・ゲートウェイを経由します。VCN外部で生成され、VCN内部のパブリックIPアドレスを宛先とする接続は、インターネット・ゲートウェイを経由します。

特定のVCNは、1つのインターネット・ゲートウェイのみを持つことができます。サブネットに関連付けられたルート表を構成することで、ゲートウェイを使用できるVCN内のパブリック・サブネットを制御します。セキュリティ・ルールを使用して、それらのパブリック・サブネットのリソース内外で許可されるトラフィックのタイプを制御します。

次の図は、2つのパブリック・サブネットを持つ単純なVCN設定を示しています。VCNにはインターネット・ゲートウェイがあり、2つのパブリック・サブネットは両方ともVCNのデフォルト・ルート表を使用するように構成されています。この表には、サブネットからインターネット・ゲートウェイにすべてのエグレス・トラフィックを送信するルート・ルールが含まれます。ゲートウェイは、VCNのリソースのパブリックIPアドレスと等しい宛先IPアドレスを使用して、インターネットからのイングレス接続を許可します。ただし、最終的には、パブリック・サブネットのセキュリティ・リスト・ルールがサブネットのリソース内外で許可される特定のタイプのトラフィックを決定します。これらの特定のセキュリティ・ルールは、図に表示されていません。

この図は、インターネット・ゲートウェイを使用する2つのパブリック・サブネットを持つVCNの単純なレイアウトを示しています。

ヒント

VCNとOracle Cloud Infrastructure (オブジェクト・ストレージなど)の一部であるパブリックIPアドレス間のインターネット・ゲートウェイを経由するトラフィックは、インターネットで送信されずにルーティングされます。

インターネット・ゲートウェイの作業

インターネット・ゲートウェイは、特定のVCNのコンテキストで作成します。つまり、インターネット・ゲートウェイは自動的にVCNにアタッチされます。ただし、インターネット・ゲートウェイはいつでも無効化して再有効化できます。これとは対照的に、動的ルーティング・ゲートウェイ(DRG)は、スタンドアロン・オブジェクトとして作成してから特定のVCNにアタッチします。DRGは、オンプレミス・ネットワークにVCNをプライベート接続するためのモジュール型ビルディング・ブロックとなるように意図されているため、別のモデルを使用しています。

サブネットとインターネット・ゲートウェイ間にトラフィックが流れるように、サブネットのルート表に適切なルート・ルールを作成する必要があります(たとえば、宛先CIDR = 0.0.0.0/0およびターゲット = インターネット・ゲートウェイ)。インターネット・ゲートウェイが無効化されている場合、トラフィックを有効化するルート・ルールがあっても、インターネットとの間にトラフィック・フローは発生しません。詳細は、VCNルート表を参照してください。

アクセス制御の目的のために、インターネット・ゲートウェイを配置するコンパートメントを指定する必要があります。使用するコンパートメントがわからない場合、インターネット・ゲートウェイをクラウド・ネットワークと同じコンパートメントに配置します。詳細は、アクセス制御を参照してください。

オプションとして、インターネット・ゲートウェイにわかりやすい名前を割り当てることができます。一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子をインターネット・ゲートウェイに自動的に割り当てます。詳細は、リソース識別子を参照してください。

インターネット・ゲートウェイを削除するには、無効にする必要はありませんが、それをターゲットとしてリストするルート表が存在してはなりません。

コンソールの使用

インターネット・ゲートウェイを設定するには

前提条件:

  • VCNのどのサブネットがインターネットにアクセスする必要があるかを決定し、それらのパブリック・サブネットを作成しました。
  • 各パブリック・サブネットのリソースに対して有効にするイングレスおよびエグレス・インターネット・トラフィックのタイプ(イングレスHTTPS接続やイングレスICMP ping接続など)を決定しました。
  • ネットワーキング・サービス・リソースを使用するために必要なIAMポリシーが準備されています。管理者用: ネットワーキングに対するIAMポリシーを参照してください。
重要

デフォルト・セキュリティ・リストを使用するようにパブリック・サブネットを構成している場合は、基本的な必須アクセス(イングレスSSHやすべての宛先へのエグレス・アクセスなど)を有効にする有用なデフォルト・ルールがリストに含まれていることに注意してください。これらのデフォルト・ルールによって提供される基本的なアクセスについてよく理解することをお薦めします。デフォルト・セキュリティ・リストを使用しない場合は、これらのセキュリティ・ルールをネットワーク・セキュリティ・グループ(NSG)またはカスタム・セキュリティ・リストに実装して、この基本的なアクセスを提供してください。

次の手順ではセキュリティ・リストを使用しますが、かわりにネットワーク・セキュリティ・グループにセキュリティ・ルールを実装し、サブネットのリソースをすべてそのNSGに作成することもできます。

  1. インターネット・ゲートウェイを使用する必要のあるパブリック・サブネットごとに、必要なインターネット・トラフィックを許可するようにサブネットのセキュリティ・リスト・ルールを設定します。

    1. コンソールで、目的のVCNを表示している状態で、「セキュリティ・リスト」をクリックします。
    2. 目的のセキュリティ・リスト(パブリック・サブネットに関連付けられているセキュリティ・リスト)をクリックします。
    3. 「リソース」で、使用するルールのタイプに応じて、「イングレス・ルール」または「エグレス・ルール」のいずれかをクリックします。
    4. 新しいルールを追加する場合は、「イングレス・ルールの追加」(または「エグレス・ルールの追加」)をクリックします。

      パブリック・サブネットにWebサーバーがあるとします。この例では、インターネットからWebサーバーへのHTTPS接続(TCPポート443)に対するイングレス・ルールの追加方法を示します。このルールがない場合、インバウンドHTTPS接続は許可されません。

      1. 「ステートレス」チェック・ボックスは選択を解除したままにします。
      2. ソース・タイプ: CIDR
      3. ソースCIDR: 0.0.0.0/0
      4. IPプロトコル: TCPのままにします。
      5. ソース・ポート範囲: 「すべて」のままにします。
      6. 宛先ポート範囲: 443と入力します。
      7. 説明: ルールのオプションの説明。
    5. 既存のルールを削除する場合は、「アクション」アイコン(3つのドット)をクリックして、「削除」をクリックします。
    6. 既存のルールを編集する場合は、「アクション」アイコン(3つのドット)をクリックして、「編集」をクリックします。
  2. VCNのインターネット・ゲートウェイを作成します:

    1. コンソールで、目的のVCNを表示している状態で、「インターネット・ゲートウェイ」をクリックします。
    2. 「インターネット・ゲートウェイの作成」をクリックします。
    3. 次を入力します:

      • 名前: インターネット・ゲートウェイのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • コンパートメントで作成: インターネット・ゲートウェイを作成するコンパートメント(現在作業しているコンパートメントと異なる場合)。
      • タグ: リソースの作成権限がある場合は、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかわからない場合は、このオプションをスキップするか(後からでもタグを適用できます)、管理者に問い合せてください。
    4. 「インターネット・ゲートウェイの作成」をクリックします。

      インターネット・ゲートウェイが作成され、選択したコンパートメントの「インターネット・ゲートウェイ」ページに表示されます。すでに有効になっていますが、トラフィックがゲートウェイに流れることを許可するルート・ルールを追加する必要があります。

  3. インターネット・ゲートウェイを使用する必要があるパブリック・サブネットごとに、サブネットのルート表を更新します:

    1. VCNの詳細を表示したまま、「ルート表」をクリックします。
    2. 詳細を表示するパブリック・サブネットのルート表をクリックします。
    3. 「ルート・ルールの追加」をクリックします。
    4. 次を入力します:

      • ターゲット・タイプ: インターネット・ゲートウェイ
      • 宛先CIDRブロック: 0.0.0.0/0 (ルート表内の他のルールでカバーされないVCN外部のすべてのトラフィックが、このルールで指定されたターゲットに送信されることを意味します)
      • コンパートメント: インターネット・ゲートウェイが配置されているコンパートメント。
      • ターゲット: 作成したインターネット・ゲートウェイ。
      • 説明: ルールのオプションの説明。
    5. 「保存」をクリックします。

インターネット・ゲートウェイが有効になり、クラウド・ネットワークに対して機能します。

インターネット・ゲートウェイを無効化/有効化するには

これはAPIでのみ使用可能です。APIにアクセスできず、インターネット・ゲートウェイを無効化または有効化する必要がある場合は、Oracle Supportに連絡してください。必要に応じて、インターネット・ゲートウェイを簡単に削除して再作成することもできます。インターネット・ゲートウェイを参照しているルート表を更新するだけです。

インターネット・ゲートウェイを削除するには

前提条件: インターネット・ゲートウェイを無効にする必要はありませんが、それをターゲットとしてリストするルート表が存在してはなりません。

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「リソース」で、「インターネット・ゲートウェイ」をクリックします。
  4. インターネット・ゲートウェイのアクション・アイコン(3つのドット)をクリックし、「終了」をクリックします。
  5. プロンプトが表示されたら確認します。
インターネット・ゲートウェイのタグを管理するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「リソース」で、「インターネット・ゲートウェイ」をクリックします。
  4. インターネット・ゲートウェイの「アクション」アイコン(3つのドット)をクリックし、「タグの表示」をクリックします。その場所で、既存のタグの表示、それらの編集、および新しいタグの適用を行うことができます。

詳細は、リソース・タグを参照してください。

インターネット・ゲートウェイを別のコンパートメントに移動するには

インターネット・ゲートウェイは、コンパートメント間で移動できます。インターネット・ゲートウェイを新しいコンパートメントに移動すると、固有のポリシーがただちに適用されます。

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「リソース」で、「インターネット・ゲートウェイ」をクリックします。
  4. インターネット・ゲートウェイの「アクション」アイコン(3つのドット)をクリックし、「リソースの移動」をクリックします。
  5. リストから宛先コンパートメントを選択します。
  6. 「リソースの移動」をクリックします。

コンパートメントとポリシーを使用したクラウド・ネットワークへのアクセスの制御の詳細は、アクセス制御を参照してください。コンパートメントに関する一般情報は、コンパートメントの管理を参照してください。

APIの使用

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKの詳細は、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

インターネット・ゲートウェイを管理するには、次の操作を使用します: