シナリオA: パブリック・サブネット

このトピックでは、仮想クラウド・ネットワーク(VCN)とリージョナル・パブリック・サブネットで構成されるシナリオAの設定方法について説明します。冗長性のために、パブリック・サーバーはそれぞれの可用性ドメインに存在します。VCNは、インターネット・ゲートウェイ経由でインターネットに直接接続されています。また、オンプレミス・ネットワークへの接続にもゲートウェイが使用されます。VCN内のリソースと通信する必要があるオンプレミス・ネットワーク内のリソースは、パブリックIPアドレスおよびインターネットへのアクセス権を持つ必要があります。

サブネットはデフォルト・セキュリティ・リストを使用します。このリストには、Oracle Cloud Infrastructureを簡単に使い始められるように設計されたデフォルト・ルールが含まれています。これらのルールを使用すると、一般的な必須アクセス(インバウンドSSH接続や、任意のタイプのアウトバウンド接続など)が可能になります。セキュリティ・リスト・ルールはトラフィックを許可するのみです。セキュリティ・リスト・ルールで明示的にカバーされていないトラフィックはすべて、暗黙的に拒否されます。

このシナリオでは、DRGは使用しません。

このシナリオでは、デフォルト・セキュリティ・リストに新しいルールを追加します。かわりに、それらのルールにカスタム・セキュリティ・リストを作成することもできます。その場合は、デフォルト・セキュリティ・リストとカスタム・セキュリティ・リストの両方を使用するようにサブネットを設定します。

ヒント

セキュリティ・リストは、VCNのリソース内外のトラフィックを制御する1つの方法です。また、ネットワーク・セキュリティ・グループを使用すると、すべて同じセキュリティ体制を持つ一連のリソースにセキュリティ・ルールのセットを適用できます。

サブネットはデフォルト・ルート表を使用します。VCNが作成された当初は、この表にはルールがありません。このシナリオでは、この表にはインターネット・ゲートウェイに関するルールが1つのみ含まれています。

次の図を参照してください。

この図は、シナリオA: リージョナル・パブリック・サブネットおよびインターネット・ゲートウェイを使用したVCNを示しています。

必須IAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。

管理者グループのメンバーであれば、シナリオAを実装するために必要なアクセス権はすでに持っています。そうでない場合は、ネットワーキングへのアクセス権が必要であり、インスタンスを起動できる必要もあります。ネットワーキングに対するIAMポリシーを参照してください。

コンソールでのシナリオAの設定

コンソールでの設定は簡単です。

タスク1: VCNの作成
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 作業権限を持つコンパートメントを(ページの左側で)選択します。ページが更新されて、そのコンパートメントのリソースのみが表示されます。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
    ノート

    新しいリソースを作成するには、そのリソースのサービス制限に達していない必要があります。リソース・タイプのサービス制限に達すると、そのタイプの未使用リソースを削除するか、サービス制限の引上げをリクエストできます。
  3. 「仮想クラウド・ネットワークの作成」をクリックします。
  4. 次を入力します:
    • 名前: VCNのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • コンパートメントで作成: そのままにします。
    • CIDRブロック: VCNの重複しないCIDRブロック。例: 172.16.0.0/16。CIDRブロックは後で追加または削除できます。許容されるVCNのサイズとアドレス範囲を参照してください。参照用として、ここにCIDR計算機があります。
    • Enable IPv6 Address Assignment:このオプションは、すべての商用リージョンおよび政府リージョンで使用できます。詳細は、IPv6アドレスを参照してください。
    • このVCNでDNSホスト名を使用します: VCNのホストにDNSホスト名を割り当てるために必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定の場合に必要です。チェック・ボックスが選択されている場合、VCNのDNSラベルを指定するか、コンソールで自動的に生成されます。ダイアログ・ボックスには、VCNの対応するDNSドメイン名(<VCN DNS label>.oraclevcn.com)が自動的に表示されます。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
    • タグ: リソースの作成権限がある場合は、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかわからない場合は、このオプションをスキップするか(後からでもタグを適用できます)、管理者に問い合せてください。
  5. 「仮想クラウド・ネットワークの作成」をクリックします。

    これにより、VCNが作成され、選択したコンパートメントの「仮想クラウド・ネットワーク」ページに表示されます。

タスク2: リージョナル・パブリック・サブネットの作成
  1. VCNを表示したまま、「サブネットの作成」をクリックします。
  2. 次を入力します:

    • 名前: サブネットのわかりやすい名前(リージョナル・パブリック・サブネットなど)。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • 「リージョナル」または「可用性ドメイン固有」: サブネットがリージョン内のすべての可用性ドメインにわたることを意味する、「リージョナル」(推奨)を選択します。後でインスタンスを起動するときに、リージョン内の任意の可用性ドメインにそれを作成できます。詳細は、VCNとサブネットの概要を参照してください。
    • CIDRブロック: VCNのCIDRブロック内の単一の連続CIDRブロック。例: 172.16.0.0/24。この値は後で変更できません。参照用として、ここにCIDR計算機があります。
    • IPv6アドレス割当ての有効化:このオプションは、VCNでIPv6が有効になっている場合にのみ使用できます。IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。
    • ルート表: デフォルト・ルート表を選択します。
    • プライベートまたはパブリック・サブネット: 「パブリック・サブネット」を選択します。これは、サブネット内のインスタンスに、オプションでパブリックIPアドレスを含めることができることを意味します。詳細は、インターネットへのアクセスを参照してください。
    • このサブネットでDNSホスト名を使用: このオプションは、作成中にVCNにDNSラベルを指定した場合にのみ使用できます。このオプションは、サブネットのホストにDNSホスト名を割り当てるために必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定の場合にも必要です。チェック・ボックスが選択されている場合、サブネットのDNSラベルを指定するか、コンソールで自動的に生成されます。ダイアログ・ボックスには、サブネットの対応するDNSドメイン名(<subnet_DNS_label>.<VCN_DNS_label>.oraclevcn.com)が自動的に表示されます。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
    • DHCPオプション: DHCPオプションのデフォルト・セットを選択します。
    • セキュリティ・リスト:デフォルト・セキュリティ・リストが選択されていることを確認します。
    • タグ: そのままにします。後でタグを追加できます。詳細は、リソース・タグを参照してください。
  3. 「サブネットの作成」をクリックします。

    サブネットが作成され、「サブネット」ページに表示されます。

タスク3: インターネット・ゲートウェイの作成
  1. 「リソース」で、「インターネット・ゲートウェイ」をクリックします。
  2. 「インターネット・ゲートウェイの作成」をクリックします。
  3. 次を入力します:

    • 名前: インターネット・ゲートウェイのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • コンパートメントで作成: そのままにします。
    • タグ: そのままにします。後でタグを追加できます。詳細は、リソース・タグを参照してください。
  4. 「インターネット・ゲートウェイの作成」をクリックします。

    インターネット・ゲートウェイが作成され、「インターネット・ゲートウェイ」ページに表示されます。ゲートウェイはすでに有効になっていますが、トラフィックがゲートウェイに流れることを許可するルート・ルールを追加する必要があります。

タスク4: インターネット・ゲートウェイを使用するためのデフォルト・ルート表の更新

デフォルト・ルート表は、ルールなしで開始されます。ここで、VCN外部のアドレスに対して送信されるすべてのトラフィックをインターネット・ゲートウェイにルーティングするルールを追加します。このルールが存在することで、インバウンド接続がインターネットからインターネット・ゲートウェイを介してサブネットに到達できるようになります。セキュリティ・リスト・ルールを使用して、サブネット内のインスタンスの出入りが許可されるトラフィックのタイプを制御します(次のタスクを参照)。

VCN内でトラフィックをルーティングするために必要なルート・ルールはありません。

  1. 「リソース」で、「ルート表」をクリックします。
  2. 詳細を表示するデフォルト・ルート表をクリックします。
  3. 「ルート・ルールの追加」をクリックします。
  4. 次を入力します:

    • ターゲット・タイプ: インターネット・ゲートウェイ
    • 宛先CIDRブロック: 0.0.0.0/0 (ルート表内の他のルールでカバーされないVCN外部のすべてのトラフィックが、このルールで指定されたターゲットに送信されることを意味します)
    • コンパートメント: インターネット・ゲートウェイが配置されているコンパートメント。
    • ターゲット: 作成したインターネット・ゲートウェイ。
    • 説明: ルールのオプションの説明。
  5. 「ルート・ルールの追加」をクリックします。

これで、デフォルト・ルート表にインターネット・ゲートウェイに対するルールが追加されます。サブネットはデフォルト・ルート表を使用するように設定されているため、サブネット内のリソースはインターネット・ゲートウェイを使用できるようになりました。次のステップでは、サブネットで後で作成するインスタンスの内外で許可するトラフィックのタイプを指定します。

タスク5: デフォルト・セキュリティ・リストの更新

以前に、VCNのデフォルト・セキュリティ・リストを使用するようにサブネットを設定しています。今度は、VCN内のインスタンスに必要となる接続タイプを許可するセキュリティ・リスト・ルールを追加します。

例:インターネット・ゲートウェイを使用するパブリック・サブネットの場合、起動する(Webサーバー)インスタンスはインターネットからインバウンドHTTPS接続を受信する必要がある場合があります。次に、デフォルト・セキュリティ・リストに別のルールを追加して、そのトラフィックを有効化する方法を示します:

  1. 「リソース」で、「セキュリティ・リスト」.をクリックします
  2. デフォルト・セキュリティ・リストをクリックして詳細を表示します。デフォルトで、「イングレス・ルール」ページが表示されます。
  3. 「イングレス・ルールの追加」をクリックします。
  4. HTTPS (TCPポート443)に対してインバウンド接続を有効にするには、次を入力します:

    • ステートレス: 選択解除(これはステートフル・ルールです)
    • ソース・タイプ: CIDR
    • ソースCIDR: 0.0.0.0/0
    • IPプロトコル: TCP
    • ソース・ポート範囲: すべて
    • 宛先ポート範囲: 443
    • 説明: ルールのオプションの説明。
  5. 「イングレス・ルールの追加」をクリックします。
重要

Windowsインスタンスのセキュリティ・リスト・ルール

Windowsインスタンスを起動する場合は、Remote Desktop Protocol (RDP)アクセスを有効化するセキュリティ・ルールを追加する必要があります。具体的には、ソース0.0.0.0/0および任意のソース・ポートからの宛先ポート3389でのTCPトラフィックに対するステートフル・イングレス・ルールが必要です。詳細は、セキュリティ・リストを参照してください。

本番VCNでは、通常、各サブネットに1つ以上のカスタム・セキュリティ・リストを設定します。必要に応じて、別のセキュリティ・リストを使用するようにサブネットを編集できます。デフォルト・セキュリティ・リストを使用しない場合は、カスタム・セキュリティ・リストに複製するデフォルト・ルールを慎重に評価した後にのみ行います。例: デフォルト・セキュリティ・リストにあるデフォルトのICMPルールは、接続メッセージを受信するために重要です。

タスク6: 別々の可用性ドメインへのインスタンスの作成

次のステップでは、サブネット内に1つ以上のインスタンスを作成します。このシナリオの図は、2つの異なる可用性ドメイン内のインスタンスを示しています。インスタンスを作成するときに、AD、使用するVCNとサブネット、およびその他の特性を選択します。

各インスタンスは、自動的にプライベートIPアドレスを取得します。パブリック・サブネットにインスタンスを作成する場合、インスタンスがパブリックIPアドレスを取得するかどうかを選択します。シナリオAでこのネットワーク設定にした場合は、各インスタンスにパブリックIPアドレスを付与する必要があります。そうしないと、インターネット・ゲートウェイを介してインスタンスにアクセスできません。デフォルト(パブリック・サブネット用)では、インスタンスがパブリックIPアドレスを取得します。

このシナリオでインスタンスを作成した後は、オンプレミス・ネットワークやインターネット上のその他の場所から、SSHまたはRDPを使用してインターネット経由でインスタンスに接続できます。詳細および手順は、インスタンスの起動を参照してください。

APIを使用したシナリオAの設定

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKの詳細は、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

次の操作を使用します:

  1. CreateVcn:インスタンスにホスト名を付ける場合は、必ずVCNのDNSラベルを含めてください(仮想クラウド・ネットワークのDNSを参照)。
  2. CreateSubnet: リージョナル・パブリック・サブネットを1つ作成します。インスタンスにホスト名を付ける場合は、サブネットのDNSラベルを含めてください。デフォルト・ルート表、デフォルト・セキュリティ・リストおよびデフォルトのDHCPオプション・セットを使用します。
  3. CreateInternetGateway
  4. UpdateRouteTable: インターネット・ゲートウェイ経由の通信を有効にするには、宛先を0.0.0.0/0、宛先ターゲットをインターネット・ゲートウェイに設定したルート・ルールを含めてデフォルト・ルート表を更新します。このルールにより、VCN外部のアドレスに対して送信されるすべてのトラフィックがインターネット・ゲートウェイにルーティングされます。VCN内でトラフィックをルーティングするために必要なルート・ルールはありません。
  5. UpdateSecurityList: サブネット内のインスタンスを起点または終点とする特定タイプの接続を許可します。
重要

Windowsインスタンスのセキュリティ・リスト・ルール

Windowsインスタンスを起動する場合は、Remote Desktop Protocol (RDP)アクセスを有効化するセキュリティ・ルールを追加する必要があります。具体的には、ソース0.0.0.0/0および任意のソース・ポートからの宛先ポート3389でのTCPトラフィックに対するステートフル・イングレス・ルールが必要です。詳細は、セキュリティ・リストを参照してください。

次のステップでは、サブネット内に1つ以上のインスタンスを作成します。このシナリオの図は、2つの異なる可用性ドメイン内のインスタンスを示しています。インスタンスを作成するときに、AD、使用するVCNとサブネット、およびその他の特性を選択します。

各インスタンスは、自動的にプライベートIPアドレスを取得します。パブリック・サブネットにインスタンスを作成する場合、インスタンスがパブリックIPアドレスを取得するかどうかを選択します。シナリオAでこのネットワーク設定にした場合は、各インスタンスにパブリックIPアドレスを付与する必要があります。そうしないと、インターネット・ゲートウェイを介してインスタンスにアクセスできません。デフォルト(パブリック・サブネット用)では、インスタンスがパブリックIPアドレスを取得します。

このシナリオでインスタンスを作成した後は、オンプレミス・ネットワークやインターネット上のその他の場所から、SSHまたはRDPを使用してインターネット経由でインスタンスに接続できます。詳細および手順は、インスタンスの起動を参照してください。