Oracle Cloud Infrastructureドキュメント

Oracleサービスへのアクセス: サービス・ゲートウェイ

このトピックでは、サービス・ゲートウェイを設定および管理する方法について説明します。サービス・ゲートウェイを使用すると、パブリックIPアドレスを持たないクラウド・リソースがOracleサービスにプライベート・アクセスできます。

Oracleサービスへのアクセス

Oracle Services Networkは、Oracleサービス用に予約されているOracle Cloud Infrastructure内の概念ネットワークです。これらのサービスには、通常はインターネットを介してアクセスするパブリックIPアドレスがあります。ただし、インターネット経由のトラフィックを発生させずにOracle Services Networkにアクセスすることもできます。どのホストからアクセスする必要があるかによって、方法は異なります:

ハイライト

  • サービス・ゲートウェイを使用すると、仮想クラウド・ネットワーク(VCN)は、データをパブリック・インターネットに公開することなく、特定のOracleサービスにプライベート・アクセスできます。これらの特定のサービスに到達するために、インターネット・ゲートウェイやNATゲートウェイは必要ありません。VCNのリソースはプライベート・サブネット内に配置でき、プライベートIPアドレスのみを使用します。VCNからOracleサービスへのトラフィックは、Oracleネットワーク・ファブリック上を移動し、インターネットを通過することはありません。
  • サービス・ゲートウェイはリージョナルであり、これを使用すると、VCNと同じリージョン内のサポートされているOracleサービスのみにアクセスできます。

  • サービス・ゲートウェイを使用すると、リージョン内でサポートされているOracleサービスにアクセスし、データをインターネットから保護できます。(更新やパッチのダウンロードなどで)ワークロードが、サービス・ゲートウェイでサポートされていないパブリック・エンドポイントやサービスへのアクセスを必要とする場合があります。必要な場合、NATゲートウェイまたはインターネットへの他のアクセスがあることを確認します。

  • サポートされるOracleサービスは、Oracle Services NetworkのOracle Cloud Infrastructure Object Storageなどです。リストについては、サービス・ゲートウェイ: Oracle Services Networkでサポートされているクラウド・サービスを参照してください。
  • サービス・ゲートウェイでは、サービスCIDRラベルという概念を使用します。これは、対象となるサービスまたはサービス・グループのすべてのリージョナル・パブリックIPアドレス範囲を表す文字列です(たとえば、OCI PHXオブジェクト・ストレージは、米国西部(フェニックス)でのオブジェクト・ストレージを表す文字列です)。そのサービスCIDRラベルは、サービス・ゲートウェイおよび関連するルート・ルールを構成してサービスへのトラフィックを制御する場合に使用します。これは、セキュリティ・ルールを構成するときにオプションで使用できます。サービスのパブリックIPアドレスが将来変わった場合に、それらのルールを調整する必要はありません。
  • オンプレミス・ネットワークがVCNおよびVCNのサービス・ゲートウェイ経由でOracleサービスにプライベート・アクセスできるように、VCNを設定できます。オンプレミス・ネットワーク内のホストは、それぞれのプライベートIPアドレスと通信し、トラフィックはインターネットを経由しません。詳細は、Oracleサービスへのプライベート・アクセスを参照してください

サービス・ゲートウェイの概要

サービス・ゲートウェイを使用すると、VCN内のリソースは、データをインターネット・ゲートウェイやNATに公開することなく、特定のOracleサービスにプライベート・アクセスできます。VCNのリソースはプライベート・サブネット内に配置でき、プライベートIPアドレスのみを使用します。VCNから目的のサービスへのトラフィックは、Oracleネットワーク・ファブリック上を移動し、インターネットを通過することはありません。

次の簡単な図は、パブリック・サブネットプライベート・サブネットの両方を持つVCNを示しています。プライベート・サブネット内のリソースは、プライベートIPアドレスのみを持ちます。

VCNには3つのゲートウェイがあります:

  • インターネット・ゲートウェイ: パブリック・サブネットにインターネット上のパブリック・エンドポイントへの直接アクセスを提供します。接続は、サブネットまたはインターネットから開始できます。パブリック・サブネット内のリソースは、パブリックIPアドレスを持つ必要があります。詳細は、インターネット・ゲートウェイを参照してください。
  • サービス・ゲートウェイ: プライベート・サブネットに、リージョン内のサポートされるOracleサービスへのプライベート・アクセスを提供します。接続はサブネットからのみ開始できます。
  • NATゲートウェイ: プライベート・サブネットにインターネット上のパブリック・エンドポイントへのプライベート・アクセスを提供します。接続はサブネットからのみ開始できます。詳細は、NATゲートウェイを参照してください。

VCN内のルーティングはサブネット・レベルで制御するため、VCN内のどのサブネットが各ゲートウェイを使用するかを指定できます。図では、パブリック・サブネットのルート表(コールアウト1)により、ローカルでないトラフィックがインターネット・ゲートウェイを介して送信されます。プライベート・サブネットのルート表(コールアウト2)により、Oracleサービスを宛先とするトラフィックがサービス・ゲートウェイを介して送信されます。それ以外のトラフィックはすべてNATゲートウェイに送信されます。

この図は、サービス・ゲートウェイを使用するVCNの基本的なレイアウトを示しています
コールアウト1: パブリック・サブネット・ルート表
宛先CIDR ルート・ターゲット
0.0.0.0/0 インターネット・ゲートウェイ
コールアウト2: プライベート・サブネット・ルート表
宛先CIDR ルート・ターゲット
リージョン内のOSNサービス サービス・ゲートウェイ
0.0.0.0/0 NATゲートウェイ
重要

パブリック・サブネットに関連付けられたルート表でサービス・ゲートウェイをターゲットとしたルート・ルールを構成する方法の詳細は、この既知の問題を参照してください。

サービス・ゲートウェイは、そのゲートウェイ自身のVCN内のリソースが使用できます。ただし、VCNが他のVCNとピアリングされている場合、両方のVCNでサービス・ゲートウェイが構成されていないかぎり、もう一方のVCN内のリソースはサービス・ゲートウェイにアクセスできません。スポークを起点としOracle Services Networkを宛先とするトラフィックを、ハブ内のネットワーク仮想アプライアンス(NVA)を経由してからハブのサービス・ゲートウェイを経由するように構成できます。詳細は、ルート・ターゲットとしてのプライベートIPの使用およびOracleサービスへのプライベート・アクセスを参照してください。

また、FastConnectまたはサイト間VPNを使用してサービス・ゲートウェイのVCNに接続されているオンプレミス・ネットワーク内のリソースも、サービス・ゲートウェイを使用できます。詳細は、Oracleサービスへのプライベート・アクセスを参照してください。

オンプレミス・ネットワーク、パブリックOracleサービスへのプライベート・アクセスにFastConnectパブリック・ピアリングを使用できることに注意してください。つまり、オンプレミス・ネットワークには、OracleサービスのパブリックIPアドレス範囲にアクセスするためのパスが複数存在する可能性があります。その場合、エッジ・デバイスは、複数のパスを経由してOracleサービスのパブリックIPアドレス範囲のルート通知を受信します。エッジ・デバイスを正しく構成する方法の詳細は、オンプレミス・ネットワークへの接続のルーティング詳細を参照してください。

VCNは、サービス・ゲートウェイを1つのみ持つことができます。適用可能な制限の一覧と制限の引上げをリクエストする手順は、「サービス制限」を参照してください。

サービス・ゲートウェイを設定する手順については、コンソールでのサービス・ゲートウェイの設定を参照してください。

サービスCIDRラベルについて

各Oracleサービスには、アクセスにパブリックIPアドレスを使用するリージョナル・パブリック・エンドポイントがあります。Oracleサービスへのアクセス権を持つサービス・ゲートウェイを設定するときには、ネットワーキング・サービス・ルート・ルールと、サービスとの間のトラフィックを制御するセキュリティ・ルール(オプション)も設定します。つまり、これらのルールを設定するために、サービスのパブリックIPアドレスを知る必要があります。これが簡単になるように、ネットワーキング・サービスでは、特定のOracleサービスまたはOracleサービス・グループに対するすべてのパブリックCIDRを表すためにサービスCIDRラベルを使用しています。サービスのCIDRが将来変わった場合に、ルート・ルールやセキュリティ・ルールを調整する必要はありません。

例:

  • 「OCI PHXオブジェクト・ストレージ」は、米国西部(フェニックス)リージョン内のすべてのオブジェクト・ストレージCIDRを表すサービスCIDRラベルです。
  • 「Oracle Services NetworkのすべてのPHXサービス」は、米国西部(フェニックス)リージョン内のOracle Services Networkでサポートされるサービスに対するすべてのCIDRを表すサービスCIDRラベルです。サービスのリストについては、サービス・ゲートウェイ: Oracle Services Networkでサポートされているクラウド・サービスを参照してください。

ここでわかるように、サービスCIDRラベルは1つのOracleサービス(例: オブジェクト・ストレージ)に関連付けることも、複数のOracleサービスに関連付けることもできます。

このトピックでは、サービスという語が、より正確な語サービスCIDRラベルのかわりに多く使用されています。サービス・ゲートウェイ(および関連するルート・ルール)を設定するときには、目的のサービスCIDRラベルを指定するということを覚えておいてください。コンソールに、使用可能なサービスCIDRラベルが表示されます。REST APIを使用する場合、ListServices操作によって使用可能なServiceオブジェクトが返されます。ServiceオブジェクトのcidrBlock属性には、サービスCIDRラベル(例: all-phx-services-in-oracle-services-network)が含まれます。

使用可能なサービスCIDRラベル

使用可能なサービスCIDRラベルは次のとおりです:

重要

サービス・ゲートウェイを介するOracle YUMサービスへのアクセス情報については、この既知の問題を参照してください。

サービス・ゲートウェイのサービスCIDRラベルの有効化

VCNに特定のサービスCIDRラベルへのアクセス権を付与するには、VCNのサービス・ゲートウェイに対するそのサービスCIDRラベルを有効化する必要があります。これは、サービス・ゲートウェイの作成時に行うことも、作成後に行うこともできます。また、サービス・ゲートウェイのサービスCIDRラベルはいつでも無効化できます。

重要

オブジェクト・ストレージ「OCI <region>オブジェクト・ストレージ」「Oracle Services Networkのすべての<region>サービス」の両方でカバーされるため、サービス・ゲートウェイはそれらのサービスCIDRラベルのうち1つのみを使用できます。同様に、ルート表は1つのサービスCIDRラベルにつき1つのルールを持つことができます。各ラベルに1つずつ、2つの別個のルールを持つことはできません。

サービス・ゲートウェイが「Oracle Services Networkのすべての<region>サービス」を使用するように構成されている場合、ルート・ルールはどちらのCIDRラベルも使用できます。ただし、サービス・ゲートウェイが「OCI <region>オブジェクト・ストレージ」を使用するように構成されていて、ルート・ルールで「Oracle Services Networkのすべての<region>サービス」が使用されている場合、オブジェクト・ストレージ以外のOracle Services Networkサービスへのトラフィックはブラックホールになります。コンソールでは、そのようにしてサービス・ゲートウェイおよび対応するルート表を構成できません。

別のサービスCIDRラベルを使用するようにサービス・ゲートウェイを切り替える場合は、別のサービスCIDRラベルに切り替えるにはを参照してください。

サービス・ゲートウェイを介するトラフィックのブロック

特定のVCNのコンテキストでサービス・ゲートウェイを作成します。つまり、サービス・ゲートウェイは常に、その1つのVCNにアタッチされます。ただし、そのサービス・ゲートウェイを介するトラフィックは、いつでもブロックまたは許可できます。デフォルトでは、ゲートウェイの作成時にトラフィック・フローが許可されます。サービス・ゲートウェイのトラフィックをブロックすると、有効になっているサービスCIDRラベルや、VCN内の既存のルート・ルールまたはセキュリティ・ルールにかかわらず、すべてのトラフィック・フローが禁止されます。トラフィックをブロックする手順については、サービス・ゲートウェイのトラフィックをブロックまたは許可するにはを参照してください。

サービス・ゲートウェイのルート・ルールおよびセキュリティ・ルール

トラフィックをVCN内のサブネットからサービス・ゲートウェイにルーティングするためには、それに応じたルールをサブネットのルート表に追加する必要があります。このルールでは、サービス・ゲートウェイをターゲットとして使用する必要があります。宛先には、サービス・ゲートウェイに対して有効になっているサービスCIDRラベルを使用する必要があります。つまり、時間の経過とともに変わる可能性のある特定のパブリックCIDRを知る必要はありません。

サブネットを出発点としてサービスのパブリックCIDRを宛先とするトラフィックはすべて、サービス・ゲートウェイにルーティングされます。サービス・ゲートウェイのトラフィックがブロックされている場合、トラフィックに一致するルート・ルールが存在していても、それをトラフィックが流れることはありません。サービス・ゲートウェイのルート・ルールを設定する手順については、タスク2: サブネットのルーティングの更新を参照してください。

また、VCNのセキュリティ・ルールで目的のトラフィックを許可する必要もあります。目的のトラフィックのソースまたは宛先にCIDRではなくサービスCIDRラベルを使用することもできます。前述したように、サービスの特定のパブリックCIDRを知る必要はありません。VCNにサービス・ゲートウェイがなく、サービスへのトラフィックがインターネット・ゲートウェイを使用する場合でも、便宜上、セキュリティ・ルールでサービスCIDRラベルを使用できます。

サービスCIDRラベルを使用するステートフルまたはステートレスのセキュリティ・ルールを使用できます:

  • ステートフル・ルールの場合: 宛先サービスを目的のサービスCIDRラベルに設定したエグレス・ルールを作成します。セキュリティ・ルールの場合と同様に、IPプロトコル、ソース・ポート、宛先ポートなどの他の項目も指定できます。
  • ステートレス・ルールの場合: エグレス・ルールとイングレス・ルールの両方を持つ必要があります。宛先サービスを目的のサービスCIDRラベルに設定したエグレス・ルールを作成します。また、ソース・サービスを目的のサービスCIDRラベルに設定したイングレス・ルールを作成します。セキュリティ・ルールの場合と同様に、IPプロトコル、ソース・ポート、宛先ポートなどの他の項目も指定できます。

サービスCIDRラベルを使用するセキュリティ・ルールを設定する手順については、タスク3: (オプション)セキュリティ・ルールの更新を参照してください。

オブジェクト・ストレージ: 特定のVCNまたはCIDR範囲からのみのバケット・アクセスを許可します

サービス・ゲートウェイを使用してオブジェクト・ストレージにアクセスする場合、次の条件に該当すれば、特定のオブジェクト・ストレージ・バケットへのアクセスを許可するIAMポリシーを記述できます。

  • リクエストがサービス・ゲートウェイを経由します。
  • リクエストがポリシーで指定されている特定のVCNから発行されます。

この特定タイプのIAMポリシーの例と、その使用に関する重要事項については、タスク4: (オプション)オブジェクト・ストレージ・バケット・アクセスを制限するためのIAMポリシーの更新を参照してください。

別の方法として、IAM IPベースのフィルタ処理を使用すると、IPアドレスまたはアドレス範囲へのアクセスを制限できます。詳細は、ネットワーク・リソースの管理を参照してください。

サービス・ゲートウェイの削除

サービス・ゲートウェイを削除する場合、そのトラフィックをブロックする必要はありませんが、そのゲートウェイがターゲットとしてリストされたルート表が存在していない必要があります。サービス・ゲートウェイを削除するにはを参照してください。

必須IAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者からポリシーでセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。

管理者用: ネットワーキングに対するIAMポリシーを参照してください。

コンソールでのサービス・ゲートウェイの設定

サービス・ゲートウェイを設定するためのプロセスを次に示します。(プライベートまたはパブリックの)サブネットを含むVCNがすでに存在することを前提としています。

重要

サービス・ゲートウェイを使用すると、リージョン内でサポートされているOracleサービスにアクセスし、データをインターネットから保護できます。(更新やパッチのダウンロードなどで)アプリケーションが、サービス・ゲートウェイでサポートされていないパブリック・エンドポイントやサービスへのアクセスを必要とする場合があります。必要な場合、NATゲートウェイまたはインターネットへの他のアクセスがあることを確認します。
タスク1: サービス・ゲートウェイの作成
  1. コンソールで、サービス・ゲートウェイを追加するVCNを含むコンパートメントを表示していることを確認します。コンパートメントとアクセス制御の詳細は、アクセス制御を参照してください。
  2. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  3. 関心のあるVCNをクリックします。
  4. ページの左側にある「サービス・ゲートウェイ」をクリックします。
  5. 「サービス・ゲートウェイの作成」をクリックします。

  6. 次の値を入力します。

    • 名前: サービス・ゲートウェイのわかりやすい名前。一意である必要はありません。機密情報の入力は避けてください。
    • コンパートメントに作成: サービス・ゲートウェイを作成するコンパートメント(現在作業しているコンパートメントと異なる場合)。
    • サービス: オプションで、目的のサービスCIDRラベルを選択します。ここで1つ選択しない場合は、後でサービス・ゲートウェイを更新するときに、サービスCIDRラベルを追加できます。ゲートウェイに対してサービスCIDRラベルが1つも有効になっていない場合、それを流れるトラフィックはありません。
    • ルート表関連付け: (拡張オプション)特定のVCNルート表をこのゲートウェイに関連付けることができます。ルート表を関連付ける場合、ゲートウェイにはその後、常に関連付けられたルート表が必要です。現在のルート表のルールを変更することも、別のルート表に置き換えることもできます。
    • タグ: (拡張オプション)リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。

  7. 「サービス・ゲートウェイの作成」をクリックします。

    選択したコンパートメント内にサービス・ゲートウェイが作成され、「サービス・ゲートウェイ」ページに表示されます。デフォルトでは、ゲートウェイを通過するトラフィックは許可されます。いつでも、ゲートウェイを介するトラフィックをブロックまたは許可できます。

タスク2: サブネットのルーティングの更新

特定のサービスCIDRラベルにサービス・ゲートウェイを構成する場合は、そのラベルを宛先とし、サービス・ゲートウェイをターゲットとして指定したルート・ルールを作成する必要もあります。ゲートウェイにアクセスする必要があるサブネットごとに、これを行います。

  1. VCN内のどのサブネットがサービス・ゲートウェイにアクセスする必要があるかを決定します。

  2. これらのサブネットごとに、新しいルールを含めてサブネットのルート表を更新します:

    1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
    2. 関心のあるVCNをクリックします。
    3. 「リソース」で、「ルート表」をクリックします。
    4. 目的のルート表をクリックします。
    5. 「ルート・ルールの編集」をクリックします。

    6. 「ルート・ルールの追加」をクリックし、次の値を入力します:

      • ターゲット・タイプ: サービス・ゲートウェイ。
      • 宛先サービス: ゲートウェイに対して有効になっているサービスCIDRラベル
      • コンパートメント: サービス・ゲートウェイが配置されているコンパートメント。
      • ターゲット: サービス・ゲートウェイ。
      • 説明: ルールのオプションの説明。
    7. 「保存」をクリックします。

ルールに一致する宛先のサブネット・トラフィックは、サービス・ゲートウェイにルーティングされます。ルート・ルールの設定の詳細は、VCNルート表を参照してください。

その後、サービス・ゲートウェイが不要になってNATゲートウェイを削除する場合は、そのサービス・ゲートウェイをターゲットとして指定しているVCN内のすべてのルート・ルールを最初に削除する必要があります。

ヒント

必要なルーティングがない場合、トラフィックはサービス・ゲートウェイを通過しません。ゲートウェイを介するトラフィック・フローを一時的に停止する必要がある状況が発生した場合は、トラフィックを有効にするルート・ルールを削除するだけです。また、ゲートウェイに対する特定のサービスCIDRラベルを無効化することもできます。あるいは、サービス・ゲートウェイを介するすべてのトラフィックを完全にブロックすることもできます。ゲートウェイを削除する必要はありません。

タスク3: (オプション)セキュリティ・ルールの更新

サービスCIDRラベルにアクセスするようにサービス・ゲートウェイを構成するときは、必要なトラフィックを許可するようにセキュリティ・ルールが構成されていることを確認する必要もあります。セキュリティ・ルールですでにこのトラフィックが許可されている場合もあるため、このタスクはオプションになっています。次の手順では、セキュリティ・リストを使用してセキュリティ・ルールを実装することを前提としています。この手順では、サービスCIDRラベルを使用するルールを設定する方法について説明します。ゲートウェイにアクセスする必要があるサブネットごとに、これを行います。

ヒント

セキュリティ・リストは、VCNのリソース内外のトラフィックを制御する1つの方法です。また、ネットワーク・セキュリティ・グループを使用すると、すべて同じセキュリティ体制を持つ一連のリソースにセキュリティ・ルールのセットを適用できます。
  1. VCN内のどのサブネットが目的のサービスに接続する必要があるかを決定します。

  2. それらの各サブネットのセキュリティ・リストを更新して、特定のサービスとの間の必要なエグレス・トラフィックまたはイングレス・トラフィックを許可するルールを含めます:

    1. コンソールで、目的のVCNを表示している状態で、「セキュリティ・リスト」をクリックします。
    2. 目的のセキュリティ・リストをクリックします。

    3. 「すべてのルールの編集」をクリックし、1つ以上のルールを作成します。各ルールは、許可する特定のタイプのトラフィックに対応します。詳細は、次の例を参照してください。

      たとえば、サブネットからオブジェクト・ストレージとOracle YUMリポジトリの両方へのエグレスHTTPS (TCPポート443)トラフィックを有効化するステートフル・ルールを追加するとします。ルールを追加する際の基本的なステップは次のとおりです:

      1. 「エグレスのルール許可」セクションで、「+ルールの追加」をクリックします。
      2. 「ステートレス」チェック・ボックスは選択を解除したままにします。
      3. 宛先タイプ: サービス。
      4. 宛先サービス: 目的のサービスCIDRラベルオブジェクト・ストレージとOracle YUMリポジトリの両方にアクセスする場合は、「Oracle Services Networkのすべての<region>サービス」になります。
      5. IPプロトコル: TCPのままにします。
      6. ソース・ポート範囲: 「すべて」のままにします。
      7. 宛先ポート範囲: 443と入力します。
      8. 説明: ルールのオプションの説明。
    4. ダイアログ・ボックスの下部にある「セキュリティ・リスト・ルールの保存」をクリックします。

セキュリティ・ルールの設定の詳細は、セキュリティ・ルールを参照してください。

タスク4: (オプション)オブジェクト・ストレージ・バケット・アクセスを制限するためのIAMポリシーの更新

このタスクを適用できるのは、サービス・ゲートウェイを使用してオブジェクト・ストレージにアクセスする場合のみです。オプションで、ネットワーク・ソースを作成し、特定のVCN内のリソースのみに特定のバケットへのオブジェクトの書込みを許可するIAMポリシーを記述することもできます。

重要

次のIAMポリシーの1つを使用してバケットへのアクセスを制限する場合、コンソールからそのバケットにアクセスすることはできません。特定のVCN内からのみアクセスできます。

また、IAMポリシーでは、オブジェクト・ストレージへのリクエストは、指定したVCNからサービス・ゲートウェイを介して送信される場合のみ許可されます。インターネット・ゲートウェイを経由するリクエストは拒否されます。

  • ネットワーク・ソースを作成して、許可されるVCNを指定します。ネットワーク・ソースの作成の詳細は、ネットワーク・ソースの管理を参照してください。
  • ポリシーを作成します。次の例では、ObjectBackupグループ例のリソースが、ABCというコンパートメントにあるdb-backupという既存のバケットにオブジェクトを書き込めるようにします。 
    Allow group ObjectBackup to read buckets in compartment ABC

Allow group ObjectBackup to manage objects in compartment ABC where
   all {target.bucket.name='db-backup', 
        request.networkSource.name='<VCN_NETWORK_SOURCE',
        any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

ポリシーに複数のネットワーク・ソースを作成して指定することで、複数のVCNを指定できます。次の例には、2つのVCNのネットワーク・ソースがあります。VCNを介してOracleサービスにプライベート・アクセスできるオンプレミス・ネットワークを設定し、さらに各自のサービス・ゲートウェイを使用する他のVCNを1つ以上設定した場合は、これを行う可能性があります。詳細は、オンプレミス・ネットワークからOracleサービスへのプライベート・アクセスの概要を参照してください。 

Allow group ObjectBackup to read buckets in compartment ABC

Allow group ObjectBackup to manage objects in compartment ABC where
   all {target.bucket.name='db-backup', 
        any {request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_1>', request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_2'},
        any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

コンソールでのサービス・ゲートウェイの管理

別のサービスCIDRラベルに切り替えるには

サービスCIDRラベルを「OCI <region>オブジェクト・ストレージ」「Oracle Services Networkのすべての<region>サービス」の間で切り替える間にオブジェクト・ストレージ接続が中断されないように、次のプロセスを使用します:

  1. サービス・ゲートウェイの更新: 既存のサービスCIDRラベルを削除してから、切替え先のサービスCIDRラベルを追加します。サービス・ゲートウェイに対して両方のラベルを有効にすることはできません。
  2. 関連するルート・ルールの更新: サービス・ゲートウェイをターゲットとして使用するルールごとに、ルールの宛先サービスを既存のサービスCIDRラベルから切替え先のサービスCIDRラベルに切り替えます。
  3. 関連するセキュリティ・ルールの更新: 既存のサービスCIDRラベルを指定するセキュリティ・ルールを、切替え先のサービスCIDRラベルを使用するように変更します。これらのルールは、ネットワーク・セキュリティ・グループまたはセキュリティ・リストに存在している可能性があります。

そうせずに、既存のサービス・ゲートウェイを削除して新しく作成すると、オブジェクト・ストレージ接続が中断されます。サービス・ゲートウェイを削除する前に、そのゲートウェイをターゲットとして指定しているルート・ルールをすべて削除する必要があることに注意してください。

サービス・ゲートウェイを更新するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「サービス・ゲートウェイ」をクリックします。
  4. 目的のサービス・ゲートウェイについて、「アクション」メニューをクリックし、「編集」をクリックします。
  5. 変更を加え、「保存」をクリックします。
サービス・ゲートウェイのトラフィックをブロックまたは許可するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「サービス・ゲートウェイ」をクリックします。

  4. 目的のサービス・ゲートウェイについて、「アクション」メニューをクリックし、「トラフィックのブロック」(サービス・ゲートウェイのトラフィックを有効にする場合は「トラフィックの許可」)をクリックします。

    トラフィックがブロックされると、サービス・ゲートウェイのアイコンがグレーに変わり、ラベルはBLOCKEDに変わります。トラフィックが許可されると、NATゲートウェイのアイコンが緑色に変わり、ラベルはAVAILABLEに変わります。

ルート表を既存のサービス・ゲートウェイに関連付けるには

このタスクは、高度な転送ルーティング・シナリオを実装している場合にのみ実行します。

サービス・ゲートウェイは、ルート表が関連付けられていない状態でも存在できます。ただし、ルート表をサービス・ゲートウェイに関連付けた後は、常にルート表が関連付けられている必要があります。ただし、異なるルート表を関連付けることもできます。表のルールの編集や、ルールの一部またはすべての削除も可能です。

前提条件: ルート表が存在し、サービス・ゲートウェイが属するVCNに含まれている必要があります。

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「リソース」で、「サービス・ゲートウェイ」をクリックします。

  4. 目的のサービス・ゲートウェイについて、「アクション」メニューをクリックし、次のいずれかをクリックします:

    • ルート表との関連付け: サービス・ゲートウェイにルート表がまだ関連付けられていない場合。
    • 異なるルート表の関連付け: サービス・ゲートウェイに関連付けられているルート表を変更する場合。
  5. ルート表が存在するコンパートメントを選択し、ルート表自体を選択します。
  6. 「関連付け」をクリックします。
サービス・ゲートウェイを削除するには

前提条件: サービス・ゲートウェイがトラフィックをブロックする必要はありませんが、そのゲートウェイがターゲットとしてリストされたルート表が存在していない必要があります。

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「サービス・ゲートウェイ」をクリックします。

  4. 目的のサービス・ゲートウェイについて、「アクション」メニューをクリックし、「削除」をクリックします。

  5. プロンプトが表示されたら確認します。
サービス・ゲートウェイのタグを管理するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 目的のサービス・ゲートウェイについて、「アクション」メニューをクリックし、「タグの表示」をクリックします。その場所で、既存のタグの表示、それらの編集、および新しいタグの適用を行うことができます。

詳細は、リソース・タグを参照してください。

サービス・ゲートウェイを別のコンパートメントに移動するには

サービス・ゲートウェイは、コンパートメント間で移動できます。サービス・ゲートウェイを新しいコンパートメントに移動すると、固有のポリシーがただちに適用されます。

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「リソース」で、「サービス・ゲートウェイ」をクリックします。
  4. リストでサービス・ゲートウェイを検索し、「アクション」メニューをクリックして、「リソースの移動」をクリックします。
  5. リストから宛先コンパートメントを選択します。
  6. 「リソースの移動」をクリックします。

サービス・ゲートウェイがただちに新しいコンパートメントに移動されます。権限によっては、左側のメニューでコンパートメントを選択すると、サービス・ゲートウェイが表示されます。

コンパートメントとポリシーを使用したクラウド・ネットワークへのアクセスの制御の詳細は、アクセス制御を参照してください。コンパートメントに関する一般情報は、コンパートメントの管理を参照してください。

サービス・ゲートウェイのルート表を管理するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 目的のサービス・ゲートウェイについて、「アクション」メニューをクリックし、「別のルート表の関連付け」をクリックします。ここから、このゲートウェイに関連付けられたルート表を変更したり、ルート表がまだ関連付けられていないゲートウェイにルート表を関連付けたりできます。ルート表がゲートウェイに関連付けられた後、ゲートウェイには常に関連付けられたルート表が必要です。

詳細は、リソース・タグを参照してください。

APIを使用したサービス・ゲートウェイの管理

APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。

注意

組織の誰かがサービス・ゲートウェイを実装した場合、ネットワーキング・サービス・ルート・ルールおよびセキュリティ・リストと連携するクライアント・コードの更新が必要になることがあるので注意してください。重大なAPIの変更が発生する可能性があります。詳細は、サービス・ゲートウェイのリリース・ノートを参照してください。

サービス・ゲートウェイを管理するには、次の操作を使用します:

ルート表を管理するには、VCNルート表を参照してください。セキュリティ・リストを管理するには、セキュリティ・リストを参照してください。ネットワーク・セキュリティ・グループを管理するには、ネットワーク・セキュリティ・グループを参照してください。IAMポリシーを管理するには、ポリシーの管理を参照してください。