Oracle Cloud Infrastructureドキュメント

VCNとサブネットの概要

このトピックでは、仮想クラウド・ネットワーク(VCN)とそこに含まれるサブネットを管理する方法について説明します。このトピックでは、仮想クラウド・ネットワークVCNおよびクラウド・ネットワークという用語は、同じ意味で使用します。コンソールでは仮想クラウド・ネットワークという用語を使用しますが、APIでは簡潔にVCNを使用します。

VCNは、特定のリージョンOracle Cloud Infrastructureデータ・センターで設定するソフトウェア定義のネットワークです。サブネットは、VCNの下位区分です。VCNの概要、許容されるサイズ、デフォルトのVCNコンポーネント、およびVCNの使用シナリオは、ネットワーキングの概要を参照してください。

VCNには、VCNの作成後に変更できる、重複しない複数のIPv4 CIDRブロックを含めることができます。CIDRブロックの数に関係なく、VCN内で作成できるプライベートIPの最大数は64,000です。VCNはオプションでIPv6に対して有効にでき、Oracleは/56 CIDRブロックを割り当てます。

トラフィックがインターネットを横断しないように、VCNを別のVCNにプライベート接続できます。2つのVCNのCIDRが重複しないようにする必要があります。詳細は、他のVCNへのアクセス: ピアリングを参照してください。複数のVCNのピアリングを使用する拡張ルーティング・シナリオの例は、ハブVCN内の転送ルーティングを参照してください。

VCNの各サブネットは、連続したIPv4アドレスの範囲と、オプションでVCNの他のサブネットと重複しないIPv6アドレスで構成されます。例: 172.16.1.0/24。IPv4アドレスとIPv6アドレスでは、サブネットのCIDRの最初の2つのアドレスと最後のアドレスは、ネットワーキング・サービスで予約されています。サブネットのサイズは、作成後に変更できます。

サブネットは構成単位として機能します。特定のサブネット内のすべてのインスタンスは、同じルート表、セキュリティ・リストおよびDHCPオプションを使用します。詳細は、VCNに付属するデフォルト・コンポーネントを参照してください。

サブネットは、パブリックまたはプライベートのいずれかにできます(パブリック・サブネットとプライベート・サブネットを参照)。パブリックまたはプライベートの選択はサブネットの作成中に行われ、後で変更することはできません。

各コンピュート・インスタンスは、サブネット内に存在していると考えることができます。ただし、正確に言えば、各インスタンスは仮想ネットワーク・インタフェース・カード(VNIC)にアタッチされており、このカードがサブネット内に存在し、そのインスタンスのネットワーク接続を可能にしています。

IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。

リージョナル・サブネットについて

当初、サブネットは、1つのリージョンで1つの可用性ドメイン(AD)のみをカバーするように設計されました。それらはすべてAD固有であったため、サブネットのリソースは特定の可用性ドメインに存在する必要がありました。現在、サブネットはAD固有またはリージョナルです。サブネットの作成時にタイプを選択します。両方のタイプのサブネットが同じVCNに共存できます。次の図で、サブネット1-3はAD固有で、サブネット4はリージョナルです。

この図は、1つのリージョナル・サブネットおよび3つのAD固有のサブネットを持つVCNを示しています。

AD制約の削除とは別に、リージョナル・サブネットはAD固有のサブネットと同じように動作します。より柔軟なリージョナル・サブネットの使用をお薦めします。それにより、可用性ドメインの障害を考慮した設計をしながら、VCNを複数のサブネットに効率的に分割できます。

コンピュート・インスタンスなどのリソースを作成する際は、リソースが属する可用性ドメインを選択します。仮想ネットワーキングの観点から、インスタンスが属するVCNおよびサブネットを選択する必要もあります。リージョナル・サブネットを選択するか、そのインスタンスに対して選択したADに一致するAD固有のサブネットを選択できます。

注意組織内のユーザー

がリージョナル・サブネットを実装している場合、 ネットワーキング・サービスのサブネットおよびプライベートIPと連携しているクライアント・コードの更新が必要になる可能性があることに注意してください。重大なAPIの変更が発生する可能性があります。詳細は、リージョナル・サブネットのリリース・ノートを参照してください。

VCNとサブネットの作業

Oracle Cloud Infrastructureリソースでの作業で最初に行うことの1つは、1つ以上のサブネットを持つVCNの作成です。単純なVCNと、インスタンスを起動して接続できるようにする関連リソースを使用して、コンソールで簡単に開始できます。チュートリアル - 最初のLinuxインスタンスの起動またはチュートリアル - 最初のWindowsインスタンスの起動を参照してください。

アクセス制御の目的のために、VCNまたはサブネットを作成するときに、リソースを配置するコンパートメントを指定する必要があります。使用するコンパートメントが不明な場合は、組織の管理者に問い合せてください。

オプションとして、VCNとそのサブネットにわかりやすい名前を割り当てることができます。名前は一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子を各リソースに自動的に割り当てます。詳細は、リソース識別子を参照してください。

また、VCNおよび各サブネットのDNSラベルを追加できます。これらは、インスタンスがVCNのDNSに対してInternet and VCN Resolver機能を使用する場合に必要です。詳細は、仮想クラウド・ネットワークのDNSを参照してください。

サブネットの作成時に、オプションで、サブネットが使用するルート表を指定できます。そうしない場合、サブネットはクラウド・ネットワークのデフォルト・ルート表を使用します。いつでもサブネットが使用するルート表を変更できます。

オプションで、サブネットが使用する1つ以上のセキュリティ・リストも指定できます(最大5つ)。そうしない場合、サブネットはクラウド・ネットワークのデフォルト・セキュリティ・リストを使用します。いつでもサブネットが使用するセキュリティ・リストを変更できます。リストがサブネット・レベルで関連付けられていても、セキュリティ・ルールはインスタンス・レベルで適用されることに注意してください。ネットワーク・セキュリティ・グループは、セキュリティ・リストの代替機能であり、特定のサブネット内のすべてのリソースではなく、すべて同じセキュリティ体制を持つ一連のリソースに対してセキュリティ・ルールのセットを適用できます。

オプションで、サブネットが使用するDHCPオプションのセットを指定できます。サブネット内のすべてのインスタンスが、DHCPオプションのセットで指定されている構成を取得します。セットを指定しない場合、サブネットでは、クラウド・ネットワークのDHCPオプションのデフォルト・セットが使用されます。いつでもサブネットが使用するDHCPオプションのセットを変更できます。

サブネットを削除するには、リソースが含まれていない必要があります(インスタンス、ロード・バランサDBシステムおよび孤立したマウント・ターゲットが含まれていない)。詳細は、サブネットまたはVCNの削除を参照してください。

VCNを削除するには、そのサブネットにリソースが含まれていない必要があります。また、VCNにはアタッチされたゲートウェイが含まれていない必要があります。コンソールを使用している場合は、最初にサブネットが空であることを確認した後で使用できる「すべて削除」プロセスがあります。VCNを削除するにはを参照してください。

保持できるVCNおよびサブネットの数の詳細は、サービス制限を参照してください。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。

管理者用: ネットワーキングに対するIAMポリシーを参照してください。

セキュリティ・ゾーン

セキュリティ・ゾーンは、クラウド・リソースが確実にOracleのセキュリティ原則に準拠するようにします。セキュリティ・ゾーン・コンパートメント内のリソースに対する操作がそのセキュリティ・ゾーンのポリシーに違反している場合、その操作は拒否されます。

次のセキュリティ・ゾーン・ポリシーは、VCNおよびサブネットを管理する機能に影響します:

  • セキュリティ・ゾーン内のサブネットはパブリックにできません。すべてのサブネットをプライベートにする必要があります。
  • セキュリティ・ゾーン内のサブネットを標準コンパートメントに移動することはできません。

コンソールの使用

VCNを作成するには
ノート

次の手順では、アクセス用のサブネットまたはゲートウェイがないVCNを作成します。VCNを使用する前に、サブネットおよび他のリソースを手動で作成する必要があります。すぐに試行できる(サブネットおよびインターネット・ゲートウェイ付きの) VCNを作成する簡単な手順については、仮想ネットワーキングのクイックスタートのインターネット接続性を持つVCNウィザードに関する情報を参照してください。または、シナリオA: パブリック・サブネットを参照してください。

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 作業権限を持つコンパートメントを(ページの左側で)選択します。ページが更新されて、そのコンパートメントのリソースのみが表示されます。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
    ノート

    新しいリソースを作成するには、そのリソースのサービス制限に達していない必要があります。リソース・タイプのサービス制限に達すると、そのタイプの未使用リソースを削除するか、サービス制限の引上げをリクエストできます。
  3. 「仮想クラウド・ネットワークの作成」をクリックします。
  4. 次を入力します:
    • 名前: VCNのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • コンパートメントに作成: そのままにします。
    • CIDRブロック: VCNの重複しないCIDRブロック。例: 172.16.0.0/16。CIDRブロックは後で追加または削除できます。許容されるVCNのサイズとアドレス範囲を参照してください。参照用として、ここにCIDR計算機があります。
    • Enable IPv6 Address Assignment:このオプションは、すべての商用リージョンおよび政府リージョンで使用できます。詳細は、IPv6アドレスを参照してください。
    • このVCNでDNSホスト名を使用します: VCNのホストにDNSホスト名を割り当てるために必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定の場合に必要です。チェック・ボックスが選択されている場合、VCNのDNSラベルを指定するか、コンソールで自動的に生成されます。ダイアログ・ボックスには、VCNの対応するDNSドメイン名(<VCN DNS label>.oraclevcn.com)が自動的に表示されます。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
    • タグ: リソースの作成権限がある場合は、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかわからない場合は、このオプションをスキップするか(後からでもタグを適用できます)、管理者に問い合せてください。

  5. 「仮想クラウド・ネットワークの作成」をクリックします。

    これにより、VCNが作成され、選択したコンパートメントの「仮想クラウド・ネットワーク」ページに表示されます。

次は、通常、クラウド・ネットワークに1つ以上のサブネットを作成します。

サブネットを作成するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「サブネットの作成」をクリックします。

  4. 「サブネットの作成」ダイアログ・ボックスで、サブネットに関連付けるリソース(ルート表など)を指定します。デフォルトでは、サブネットは現在のコンパートメントに作成されるため、同じコンパートメントからリソースを選択します。サブネットおよび各リソースに対してコンパートメントの選択を有効にする場合は、ダイアログ・ボックスの「ここをクリック」リンクをクリックします。

    次を入力します:

    • コンパートメントで作成: コンパートメントの選択を有効にした場合、サブネットを配置するコンパートメントを指定します。
    • 名前: サブネットのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • リージョナルまたはAD固有のサブネット: リージョナル・サブネットのみを作成することをお薦めします。つまり、サブネットでは、リージョンのどの可用性ドメインにもリソースを含めることができます。かわりに、「可用性ドメイン固有」(Oracleが最初に提供した唯一のタイプのサブネット)を選択した場合は、可用性ドメインも指定する必要があります。これを選択した場合、このサブネットに後で作成されるインスタンスや他のリソースも、その可用性ドメインに存在する必要があります。
    • CIDRブロック: サブネットの単一の連続CIDRブロック(172.16.0.0/24など)。クラウド・ネットワークのCIDRブロック内にあり、他のサブネットと重複しないことを確認してください。このCIDRブロックのサイズは後で変更できます。許容されるVCNのサイズとアドレス範囲を参照してください。参照用として、ここにCIDR計算機があります。
    • Enable IPv6 Address Assignment: VCNがIPv6に対してすでに有効になっている場合、このオプションはすべての商用リージョンおよび政府リージョンのVCNで使用できます。詳細は、IPv6アドレスを参照してください。
    • ルート表: サブネットに関連付けるルート表。コンパートメントの選択を有効にした場合、「ルート表コンパートメント」で、ルート表を含むコンパートメントを指定する必要があります。
    • プライベートまたはパブリック・サブネット: これは、サブネット内のVNICがパブリックIPアドレスを持つことができるかどうかを制御します。詳細は、インターネットへのアクセスを参照してください。
    • このサブネットでDNSホスト名を使用: このオプションは、作成中にVCNにDNSラベルを指定した場合にのみ使用できます。このオプションは、サブネットのホストにDNSホスト名を割り当てるために必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定の場合にも必要です。チェック・ボックスが選択されている場合、サブネットのDNSラベルを指定するか、コンソールで自動的に生成されます。ダイアログ・ボックスには、サブネットの対応するDNSドメイン名(<subnet_DNS_label>.<VCN_DNS_label>.oraclevcn.com)が自動的に表示されます。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
    • DHCPオプション: サブネットに関連付けるDHCPオプションのセット。コンパートメントの選択を有効にした場合、「DHCPオプション・コンパートメント」で、DHCPオプションのセットを含むコンパートメントを指定する必要があります。
    • セキュリティ・リスト: サブネットに関連付ける1つ以上のセキュリティ・リスト。コンパートメントの選択を有効にした場合、セキュリティ・リストを含むコンパートメントを指定する必要があります。
    • タグ: リソースの作成権限がある場合は、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかわからない場合は、このオプションをスキップするか(後からでもタグを適用できます)、管理者に問い合せてください。
  5. 「作成」をクリックします。サブネットが作成され、選択したコンパートメントの「サブネット」ページに表示されます。
サブネットを編集するには

サブネットの次の特性を変更できます:

  • 名前
  • CIDRブロックのサイズ
    ノート

    • 指定するCIDRブロックIP範囲は、VCNのCIDRブロック範囲内である必要があります。
    • 新しい範囲では、前の範囲と同じネットワーク・アドレスを使用する必要があります。たとえば、前の範囲と新しい範囲は10.0.0.0/25と10.0.0.0/24になります。
    • CIDR範囲を減らす場合は、削減された範囲外のIPアドレスが使用されていないことを確認してください。
    • 新しいCIDR範囲のブロードキャスト・アドレス(CIDR範囲の最後のIPアドレス)は、前のCIDR範囲で使用中のIPアドレスにできません。
    • CIDRブロック更新の進行中は、このサブネットのVNICまたはプライベートIPを作成できません。
    • CIDRブロックの更新が完了したら、サブネット内の各ホストのDHCPリースを更新する必要があります。更新は24時間以内に自動的に行われます。リースをすぐに更新するには、該当するオペレーティング・システムのドキュメントを参照して、リースを手動で更新する方法を確認してください。
    • 更新したVCN構成に一致するように、セカンダリVNICおよびセカンダリIPを必要に応じて調整してください。
  • サブネットが使用するDHCPオプションのセット
  • サブネットが使用するルート表
  • サブネットが使用するセキュリティ・リスト
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「サブネット」をクリックします。
  4. 目的のサブネットをクリックします。
  5. 「編集」をクリックします。
  6. 変更を行います。機密情報の入力は避けてください。

  7. 「変更の保存」をクリックします。

    変更は数秒以内に有効になります。

サブネットを削除するには

前提条件: サブネットには、インスタンス、ロード・バランサDBシステムおよび孤立したマウント・ターゲットが含まれていない必要があります。詳細は、サブネットまたはVCNの削除を参照してください。

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「サブネット」をクリックします。
  4. 目的のサブネットをクリックします。
  5. 「終了」をクリックします。
  6. プロンプトが表示されたら確認します。

サブネットが空の場合、その状態は短い間「終了中」になった後、「終了済」になります。サブネットが空でない場合は、まず削除する必要があるインスタンスまたは他のリソースが残っていることを示すエラーが表示されます。

CIDRブロックをVCNに追加するには
  • 追加するCIDRブロックは、VCNまたはピアリングされたVCNの他のCIDRブロックと重複できません。
  • 新しいCIDRブロックには、既存のルート・ルールで使用されているIPアドレスを含めないでください。
  • このVCN更新の進行中は、VCNのサブネット、VLAN、LPGまたはルート表を作成または更新できません。
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. CIDRブロックをクリックします。
  4. CIDRブロックの追加をクリックします。
  5. VCNに追加するCIDRブロックの値を入力します。

  6. CIDRブロックの追加をクリックします。

    VCNの状態がUPDATINGに変わります。完了までには、数分かかることがあります。作業要求を表示して、更新のステータスをモニターできます。

VCN CIDRブロックを変更するには
  • 指定するCIDRブロック範囲は、このVCNまたはピアリングされたVCNの他のCIDRブロックと重複することはできません。
  • CIDRブロックを、現在のCIDRブロック範囲で使用中のIPアドレスを除外する範囲に変更することはできません。
  • このVCN更新の進行中は、VCNのサブネット、VLAN、LPGまたはルート表を作成または更新できません。
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. CIDRブロックをクリックします。
  4. リストでCIDRブロックを検索し、「アクション」メニューをクリックして、「CIDRブロックの編集」をクリックします。
  5. 該当する変更を行います。

  6. 「変更の保存」をクリックします。

    VCNの状態がUPDATINGに変わります。完了までの時間は、ネットワークのサイズによって異なります。小規模ネットワークの更新には約1分かかり、大規模ネットワークの更新には最大1時間かかることがあります。作業要求を表示して、更新のステータスをモニターできます。

VCNからCIDRブロックを削除するには
  • CIDRブロック内のIPアドレスが使用中の場合、そのCIDRブロックは削除できません。
  • このVCN更新の進行中は、VCNのサブネット、VLAN、LPGまたはルート表を作成または更新できません。
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. CIDRブロックをクリックします。
  4. リストでCIDRブロックを検索し、「アクション」メニューをクリックして、「CIDRブロックの削除」をクリックします。

  5. CIDRブロックの削除をクリックします。

    VCNの状態がUPDATINGに変わります。完了までの時間は、ネットワークのサイズによって異なります。小規模ネットワークの更新には約1分かかり、大規模ネットワークの更新には最大1時間かかることがあります。作業要求を表示して、更新のステータスをモニターできます。

VCNを削除するには
重要

コンソールには、VCNおよび関連するネットワーキング・リソース(サブネット、ルート表、セキュリティ・リスト、DHCPオプションのセット、インターネット・ゲートウェイなど)を削除する簡単な「すべて削除」プロセスがあります。VCNが動的ルーティング・ゲートウェイ(DRG)にアタッチされている場合、アタッチメントは削除されますが、DRGはそのまま残ります。

「すべて削除」プロセスでは、一度に1つのリソースが削除され、1、2分かかります。現在までに削除された内容を示す進行状況レポートが表示されます。

「すべて削除」プロセスを使用する前に、どのサブネットにもインスタンス、ロード・バランサDBシステムまたは孤立したマウント・ターゲットが含まれていないことを確認してください。詳細は、サブネットまたはVCNの削除を参照してください。

サブネットにリソースがまだある場合、または特定のネットワーキング・リソースを削除する権限がない場合、「すべて削除」プロセスは停止し、エラー・メッセージが表示されます。その時点までに削除されたリソースはリストアできません。残りのリソースを削除するために、テナンシ管理者に問い合せる必要がある場合もあります。

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。

  3. 「終了」をクリックします。

    結果のダイアログ・ボックスに、削除されるリソースのリストが表示されます。リストには、VCNに付属するデフォルト・コンポーネントは含まれていませんが、VCNとともに削除されます。

  4. すべて削除」をクリックします。

    プロセスが開始されます。各リソースが削除され、その進行状況が表示されます。

  5. プロセスが完了したら、「閉じる」をクリックします。
VCNのタグを管理するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 既存のタグを表示または編集するには、「タグ」タブをクリックします。または、「タグの適用」をクリックして新しいタグを追加します。

詳細は、リソース・タグを参照してください。

サブネットのタグを管理するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 目的のサブネットをクリックします。
  4. 既存のタグを表示または編集するには、「タグ」タブをクリックします。または、「タグの適用」をクリックして新しいタグを追加します。

詳細は、リソース・タグを参照してください。

VCNを別のコンパートメントに移動するには

VCNは、コンパートメント間で移動できます。VCNを移動すると、関連付けられているVNIC、プライベートIPおよびエフェメラルIPも新規コンパートメントに移動します。詳細は、リソースを別のコンパートメントに移動するにはを参照してください。

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. リストでVCNを検索し、「アクション」メニューをクリックして、「リソースの移動」をクリックします。
  3. リストから宛先コンパートメントを選択します。
  4. 「リソースの移動」をクリックします。
  5. VCNをモニターするアラームがある場合、新しいコンパートメントを参照するようにアラームを更新します。詳細は、リソースの移動後にアラームを更新するにはを参照してください。
サブネットを別のコンパートメントに移動するには

サブネットは、コンパートメント間で移動できます。詳細は、コンパートメントの作業を参照してください。

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. リストでサブネットを検索し、「アクション」メニュー「リソースの移動」の順にクリックします。
  4. リストから宛先コンパートメントを選択します。
  5. 「リソースの移動」をクリックします。

APIの使用

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKの詳細は、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

VCNを管理するには、次の操作を使用します:

VCNのサブネットを管理するには、次の操作を使用します: