ポリシーの例
例から、Zero Trust Packet Routingポリシーについて学習します。
ポリシー・テンプレート・ビルダーを調査して、ポリシーについて学習することもできます。
サービス固有の例については、次のセクションを参照してください。
コンピュート・インスタンスの例
compute:instance1エンドポイントが、SSHによってnetworks:net1 VCNのcompute:instance2エンドポイントに接続できるようにします。
in networks:net1 VCN allow compute:instance1 endpoints to connect to compute:instance2 endpoints with protocol='tcp/22'networks:net1 VCNのcompute:instance1エンドポイントが、networks:net2 VCNのprotocol='tcp/22'を使用してcompute:instance2エンドポイントに接続できるようにします。
allow compute:instance1 endpoints in networks:net1 VCN to connect to compute:instance2 endpoints with protocol='tcp/22' in networks:net2 VCNnetworks:net1 VCNでは、compute:instance1エンドポイントがprotocol='tcp/1521'を使用してdb:DB-Serverエンドポイントに接続できます。
in networks:net1 VCN allow compute:instance1 endpoints to connect to db:DB-Server endpoints with protocol='tcp/1521'networks:net1 VCNのcompute:instance1エンドポイントが、VCN-Network:DB VCNのprotocol='tcp/1521'を使用してdb:DB-Serverエンドポイントに接続できるようにします。
allow compute:instance1 endpoints in networks:net1 VCN to connect to db:DB-Server endpoints with protocol='tcp/1521' in VCN-Network:DB VCNデータベースの例
セキュリティ属性DB-Serverを持つデータベースがOCIサービスに接続できるようにします。
in VCN-Network:DB VCN allow db:DB-Server endpoints to connect to 'osn-services-ip-addresses'App:App1セキュリティ属性を持つクライアントが、tcp/1521ポートを介してDB-Server:App1データベースに接続できるようにします。
in VCN-Network:DB VCN allow App:App1 to connect to DB-Server:App1 endpoints with protocol='tcp/1521'App:App1セキュリティ属性を持つクライアントが、ポートtcp/999-11199を介してDB-Server:App1データベースに接続できるようにします。
in VCN-Network:DB VCN allow App:App1 to connect to DB-Server:App1 endpoints with protocol='tcp/999-11199'frontendセキュリティ属性を持つクライアントが、stateless接続を使用してtcp/1521ポートを介してdatabase:serverデータベースに接続できるようにします。
in finance.network:prod VCN allow app:frontend endpoints to connect to database:server endpoints with protocol = 'tcp/1521', connection-state = 'stateless'networks:net1 VCN内のクライアントがnetworks:net2 VCN内のDB-Server:App1データベースに接続できるようにします。
allow networks:net1:App1 endpoints in networks:net1 VCN to connect to DB-Server:App1 endpoints in networks:net2 VCNVCN-Network:App VCNのApp:App1セキュリティ属性を持つクライアントが、VCN-Network:DB VCNのprotocol='tcp/1521'を持つDB-Server:App1データベースに接続できるようにします。
allow App:App1 endpoints in VCN-Network:App VCN to connect to DB-Server:App1 endpoints with protocol='tcp/1521' in VCN-Network:DB VCNネットワーク・ロード・バランサーの例
my:VCN VCNでは、0.0.0.0/0 IPアドレスがXYZ-NLB:NLB1セキュリティ属性を使用してネットワーク・ロード・バランサに接続できます。
in my:VCN VCN allow '0.0.0.0/0' to connect to XYZ-NLB:NLB1 endpointsmy:VCN VCNでは、XYZ-NLB:NLB1セキュリティ属性を持つネットワーク・ロード・バランサ・エンドポイントをABC-web-servers:app1エンドポイントに接続できます。
in my:VCN VCN allow XYZ-NLB:NLB1 endpoints to connect to ABC-web-servers:app1 endpointsfinance.network:dev VCN内のapp:frontendエンドポイントが、finance.network:prod VCN内のconnection-state='stateless'を持つprotocol='tcp/1521'を持つdatabase:serverエンドポイントに接続できるようにします。
allow app:frontend endpoints in finance.network:dev VCN to connect to database:server endpoints with protocol='tcp/1521' with connection-state='stateless' in finance.network:prod VCNVCN-Network:App VCNのApp:App1エンドポイントが、VCN-Network:DB VCNのポートtcp/999-11199を介してDB-Server:App1エンドポイントに接続できるようにします。
allow App:App1 endpoints in VCN-Network:App VCN to connect to DB-Server:App1 endpoints with protocol='tcp/999-11199' in VCN-Network:DB VCNOCIキャッシュ・ポリシーの例
my:VCN VCNでは、compute:instance1エンドポイントを redis:cluster1エンドポイントに接続できます。
in my:VCN VCN allow compute:instance1 endpoints to connect to redis:cluster1 endpointsプライベートサービスアクセスの例
PSAエンドポイントは、パブリックIPアドレスのないクラウド・リソースにOCIサービスへのプライベート・アクセスを提供します。
PSAエンドポイントにsvc:dbsセキュリティ属性が割り当てられている場合に、app:dbsセキュリティ属性を持つエンドポイントがPSAエンドポイントに接続できるようにします。
in vcn:A VCN allow app:dbs endpoints to connect to svc:dbs endpoints with protocol='tcp/443'PSAエンドポイントでセキュリティ属性およびポリシーを使用するには、最初にPSAエンドポイントを作成し、エンドポイントに適用するセキュリティ属性を作成してから、ZPRポリシーを作成してエンドポイントへのアクセスを制御する必要があります。
VCNポリシーの例
DB-client:App1セキュリティ属性を持つコンピュート・クライアントが、SQLNet接続を介してapp1を実行しているデータベースに接続できるようにします。
allow DB-client:App1 endpoints in VCN-Network:DB VCN to connect to DB-client:app1 endpoints with protocol='tcp/1521' in VCN-Network:Remote VCN