Oracle Cloud Infrastructureドキュメント

専用バンテージ・ポイントの使用

専用のバンテージ・ポイントを設定して、自分のテナンシ内の場所を定義し、モニターを安全に実行できます。

専用バンテージ・ポイントを使用して、ファイアウォールの背後にあるアプリケーションや、パブリック・バンテージ・ポイントからアクセスできない企業ネットワーク環境でアプリケーションを監視できます。専用バンテージ・ポイントは、テナンシ外のユーザーは使用できず、ネットワーク設定を完全に制御できます。このようにして、専用バンテージ・ポイントを企業ネットワークの一部にし、パブリックにアクセスできないエンドポイントを監視できます。

専用バンテージ・ポイントは、Application Performance Monitoringリソースで、Oracle Cloud Infrastructure Resource Managerサービスで使用可能なOracle提供のAPM可用性モニタリング専用バンテージ・ポイント・テンプレートを使用してテナンシで設定できます。テンプレートは、一般的なシナリオでのクラウド・リソースのデプロイに使用される、事前に作成されたTerraform構成です。APM可用性モニタリング専用バンテージ・ポイント・テンプレートを使用して、Application Performance Monitoringの専用バンテージ・ポイントのインフラストラクチャおよび前提条件をプロビジョニングできます。リソース・マネージャの詳細は、リソース・マネージャの概要を参照してください。

Virtual Cloud Network (VCN)を含むセキュア・ネットワーク内の専用バンテージ・ポイントの概要と、モニター実行からApplication Performance Monitoringへのデータの送信方法を示すアーキテクチャ・ダイアグラムを次に示します:

専用のバンテージ・ポイント・アーキテクチャ

次のリストは、図のデータ・フローを示しています。

  • A - メトリック、HTTPアーカイブ(HAR)ファイルおよびAPMドメインに送信されるスクリーンショット
  • B - デプロイメント・マネージャとAPMドメイン間の監視構成ファイルおよび編集のフロー
  • C - APMドメインに送信されるトレース、スパンおよびメトリック

トピック:

専用バンテージ・ポイントの前提条件タスクの実行

専用バンテージ・ポイントを設定する前に実行する必要がある前提条件タスクを次に示します。

タスク 詳細情報
APM可用性モニタリング専用バンテージ・ポイント・テンプレートを使用してスタックを作成するために必要なリソースに十分な割当てがあることを確認します。

専用バンテージ・ポイントが設定されるコンパートメントのリソース割当てを確認するには:

  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「ガバナンス」で、「制限、目標および使用状況」をクリックします。
  2. 「制限、割当ておよび使用状況」ページで、「サービス」ドロップダウン・リストで次のサービスを選択し、割当ての可用性を確認します:
    • ストリーミング:少なくとも1つのパーティションが使用可能である必要があります。
    • コンピュート: 選択したシェイプに対して、それぞれ2コアを持つコンピュート・インスタンスが少なくとも2つ使用可能である必要があります。サポートされているコンピュート・シェイプは、VM.Standard.E3.FlexおよびVM.Standard.E4.Flexです。
    • コンテナ・エンジン:少なくとも1つのクラスタおよび2つのノードが使用可能である必要があります。
    • キー管理: Oracle Cloud Infrastructure Vaultサービスを使用する場合は、virtual-vault-countリソース・タイプの割当てを必要なコンパートメントで使用できるようにする必要があります。
    • Resource Management/プライベート・エンドポイント: プライベート・エンドポイントを使用する場合、少なくとも1つのprivate-endpoint-countが使用可能である必要があります。
Oracle Cloud Infrastructureでの割当ての詳細は、コンパートメント割当てを参照してください。
専用バンテージ・ポイントを設定するユーザーに、リソース・マネージャ・サービスへのアクセス、スタック(リソース・タイプ: orm-stacks)の作成、ジョブの表示(リソース・タイプ: orm-jobs)の権限があることを確認し、次のリソースを作成してアクセスします。
  • コンテナ・レジストリ・リポジトリ(リソース・タイプ: repos)
  • ネットワーキング・サービス・リソース(リソース・タイプ: vcnssubnetsprivate-ipspublic-ipsvnics)
  • コンピュート・インスタンス(リソース・タイプ: instance-family)
  • Kubernetesクラスタ(リソース・タイプ: clusters)
  • ストリーム(リソース・タイプ: streams)
  • IAMリソース(リソース・タイプ: policiestag-namespacesdynamic-groups)
  • Vaultサービス・リソース(リソース・タイプ: vaultskeys)
  • サービス・リソースのロギング(リソース・タイプ: log-groupsunified-configuration)

VCNを手動で作成する必要があり、前述の他のリソースはリソース・マネージャ・スタックの一部として作成されます。

OKEプライベート・エンドポイント:前述のリソース・アクセスに加えて、ユーザーにリソース・マネージャのプライベート・エンドポイントを作成する権限があることを確認します。(resource-type: orm-private-endpoints)

 ポリシーの詳細は、次を参照してください。

管理者以外のユーザーにリソース・マネージャ・スタックの作成に必要な権限を付与するために作成する必要があるポリシーの例は、perform-oracle-cloud-infrastructure-prerequisite-tasks.html#GUID-6F390B5F-DCF5-4299-A9E5-0C7F81A75E61__SECTION_ZG4_VW2_HTBを参照してください。

VCNを作成し、次のセキュリティ・ルールを追加します:

Oracle Kubernetesエンジン(OKE)パブリック・エンドポイントの場合:

  • パブリック・エンドポイントがホストされているパブリック・サブネットのセキュリティ・リスト内のOracle Kubernetes Engine APIパブリック・エンドポイント(Kubernetes APIパブリック・エンドポイント)のイングレス・ルール。ワーカー・ノードのCIDRは、クラスタ・ワーカー・ノードがホストされているプライベート・サブネットのCIDR範囲であることに注意してください。
    • 状態:ステートフル、ソース: VCN CIDR、Protocol/Dest.Port: ICMP 3、説明: VCNからKubernetes APIエンドポイント通信
    • 状態:ステートフル、ソース:ワーカー・ノードCIDR、Protocol/Dest.Port: TCP/12250、説明: Kubernetesワーカーによるプレーン・コミュニケーションの制御
    • 状態:ステートフル、ソース:ワーカー・ノードCIDR、Protocol/Dest.Port: ICMP 3,4、説明:パス検出
    • 状態:ステートフル、ソース: 0.0.0.0/0または特定のサブネット、Protocol/Dest.Port: TCP/643、説明: Kubernetes APIエンドポイントへのクライアント・アクセス(Kubernetes APIエンドポイントを含む)

      ソース:ワーカー・ノードCIDR- KubernetesワーカーからKubernetes APIエンドポイントへの通信用

      ソース: 0.0.0.0/0- Helmチャート・デプロイメントの場合

  • パブリック・エンドポイントがホストされているパブリック・サブネットのセキュリティ・リスト内のKubernetes APIパブリック・エンドポイントのエグレス・ルール。ワーカー・ノードのCIDRは、クラスタ・ワーカー・ノードがホストされているプライベート・サブネットのCIDR範囲であることに注意してください。
    • 状態:ステートフル、宛先: Oracle Services Networkのすべての<region>サービス、Protocol/Dest.Port: TCP/443、説明: Kubernetesコントロール・プレーンがOKEと通信できるようにします
    • 状態:ステートフル、宛先:ワーカー・ノードCIDR、Protocol/Dest.Port: TCP/ALL、説明:ワーカー・ノードへのすべてのトラフィック
    • 状態:ステートフル、宛先:ワーカー・ノードCIDR、Protocol/Dest.Port: ICMP 3,4、説明:パス検出
  • ワーカー・ノードがホストされるプライベート・サブネットのセキュリティ・リスト内のイングレス・ルール:
    • 状態:ステートフル、ソース: VCN CIDR、Protocol/Dest.Port: TCP/22、説明: SSHを許可
    • 状態:ステートフル、ソース: VCN CIDR、Protocol/Dest.Port: ICMP 3,4、説明:パス検出
    • 状態:ステートフル、ソース: VCN CIDR、Protocol/Dest.Port: UDP/ALL、説明:不明なホストの問題を防止し、より高速なモニター実行
  • ワーカー・ノードがホストされるプライベート・サブネットのセキュリティ・リスト内のエグレス・ルール:
    • 状態:ステートフル、宛先: 0.0.0.0/0、Protocol/Dest.Port:すべてのプロトコル、説明:すべてのポートのすべてのトラフィック

Oracle Kubernetes Engine (OKE)プライベート・エンドポイントの場合:

  • ワーカー・ノードがホストされるプライベート・サブネットのセキュリティ・リスト内のイングレス・ルール:
    • 状態: ステートフル、ソース: VCN CIDR、プロトコル/Dest.Port: TCP/22、説明: SSHを許可
    • 状態: ステートフル、ソース: VCN CIDR、プロトコル/Dest.Port: ICMP 3,4、説明: パス検出
    • 状態: ステートフル、ソース: VCN CIDR、プロトコル/Dest.Port: UDP/ALL、説明: 不明なホストの問題を防止し、実行を高速化
    • 状態: ステートフル、ソース: ワーカー・ノードCIDR、プロトコル/Dest.Port: TCP/ALL、説明: OKEプライベート・エンドポイントの使用時に、リソース・マネージャがOKEと通信できるようにします。
  • ワーカー・ノードがホストされるプライベート・サブネットのセキュリティ・リスト内のエグレス・ルール:
    • 状態: ステートフル、宛先: 0.0.0.0/0、プロトコル/Dest.Port: すべてのプロトコル、説明: すべてのポートのすべてのトラフィック
VCNの作成の詳細は、VCNを作成するにはを参照してください。

Kubernetes APIエンドポイントのセキュリティ・ルールの詳細は、セキュリティ・リストまたはネットワーク・セキュリティ・グループ(あるいはその両方)のセキュリティ・ルール構成を参照してください。

APMドメインが作成されていることを確認し、専用バンテージ・ポイントのプライベート・データ・キーを生成します。専用バンテージ・ポイントはAPMドメインに登録され、Application Performance Monitoringが専用バンテージ・ポイントによって収集されたモニタリング・メトリックおよびデータを確実に受け入れるには、プライベート・データ・キーが必要です。秘密キーの名前は、次の形式にすることをお薦めします。

dvp_<dvp name>_<region>

 APMドメインの作成およびデータ・キーの生成の詳細は、APMドメインの作成を参照してください。
認証トークンを生成して、専用バンテージ・ポイント・アーティファクトをコンテナ・レジストリからプルします。 認証トークンの生成の詳細は、認証トークンの取得を参照してください。

専用バンテージ・ポイントの設定

リソース・マネージャを使用して専用のバンテージ・ポイントを設定するには、APM可用性モニタリング専用バンテージ・ポイント・テンプレートを使用してスタックを作成する必要があります。

専用バンテージ・ポイントを設定する前に、すべての前提条件タスクを実行して権限を取得し、必要なリソースの可用性を確保する必要があります。前提条件タスクの詳細は、「専用バンテージ・ポイントの前提条件タスクの実行」を参照してください。
専用バンテージ・ポイントを設定するには:
  1. ナビゲーション・メニューを開き、「開発者サービス」をクリックします。「リソース・マネージャ」で、「スタック」をクリックします。
  2. 左側のペインで、専用バンテージ・ポイントを設定するコンパートメントを選択します。
  3. 「スタックの作成」をクリックします。
    スタックの作成ウィザードが表示されます。
  4. 「スタック情報」ページで:
    1. 「テンプレート」を選択します。
    2. 「テンプレートの選択」をクリックします。
    3. 「テンプレートの参照」ダイアログ・ボックスで、「サービス」タブをクリックし、「APM可用性モニタリング専用バンテージ・ポイント」を選択して、「テンプレートの選択」をクリックします。

      「スタック情報」ページのフィールドは、専用バンテージ・ポイントの詳細で更新され、名前と説明の変更、スタックを作成する別のコンパートメントの選択などを行うことができます。

    4. 「次へ」をクリックします。
  5. 「変数の構成」ページで、専用バンテージ・ポイントの設定中にスタックが作成するインフラストラクチャ・リソースの変数を構成します。
    • 専用バンテージ・ポイント名
      1. 専用バンテージ・ポイント名:専用バンテージ・ポイントの一意の名前を入力します。この名前は、専用バンテージ・ポイントをAPMドメインに登録するために使用され、スタックによって作成されたインフラストラクチャ・リソースの先頭に付けられます。
    • VCNの構成

      「VCN構成」フィールドで選択した値は、後で変更できません。

      1. プライベートKubernetes APIエンドポイントの使用: プライベート・サブネットにOKEクラスタを作成する場合に選択します。
      2. ネットワーク・コンパートメント: VCNが存在するコンパートメントを選択します。
      3. VCN: 専用バンテージ・ポイントが使用するVCNを選択します。
      4. クラスタ・ワーカー・ノード・サブネット:専用バンテージ・ポイント・クラスタ内のワーカー・ノードによって使用されるサブネットを選択します。
      5. パブリックKubernetes APIエンドポイント・サブネット: Kubernetes APIパブリック・エンドポイントをホストするパブリック・サブネットを選択します。
      6. プライベートKubernetes APIエンドポイント・サブネット: 箇条書きdで使用されているものと同じサブネットを選択します。クラスタ・ワーカー・ノード・サブネット
    • ドメイン構成
      1. スタックを実行するユーザーの認証トークン:スタックを実行するユーザーの認証トークンを入力します。認証トークンは、専用バンテージ・ポイント・アーティファクトをコンテナ・レジストリからプルするために必要です。
      2. ドメイン・プライベート・データ・キー:専用バンテージ・ポイント用に生成されたAPMドメイン・プライベート・データ・キーを次の形式で入力します:
        {"domainOcid":"<domain_OCID_value>" "domainDataKey":"<domain_private_datakey_value>" "domainRegion":"<domain_region_name>"}

        例:

        {"domainOcid":"ocid1.apmdomain.oc1.phx.atrstahnenntlsundfserq8re3lfg6sw2dwedcfgthyuijk" "domainDataKey":"4WESK3ABCDE9LBTRUGSC9S2NG9STODRN" "domainRegion":"us-phoenix-1"}
    • OKE構成
      1. Kubernetesバージョン:クラスタ・ワーカー・ノードのKubernetesバージョンを選択します。Kubernetesバージョンのダウングレードはサポートされていません。
      2. シェイプ:専用バンテージ・ポイント・ノード・プールに作成するワーカー・ノードのコンピュート・インスタンス・シェイプを選択します。VMのみであることに注意してください。 Standard.E3.FlexおよびVM。 Standard.E4.Flexがサポートされています。
      3. ノード・プール・サイズ:専用バンテージ・ポイント・ノード・プール内のワーカー・ノードの数を選択します。
      4. SSHキー:オプションで、「SSHキー・ファイルの選択」オプションを選択し、SSHキー(.pub)ファイルをアップロードするか、「SSHキーの貼付け」オプションを選択してSSHキーを貼り付けることで、クラスタ内のプライベート・ワーカー・ノードにアクセスするためのSSH公開キーを指定します。キーは新しいノードにのみ適用されます。
    • プロキシ構成
      1. ターゲットURLプロキシを使用:モニター対象ターゲットがプロキシ・サーバーの背後にある場合に、プロキシ詳細を指定する場合に選択します。このチェック ボックスをオンにすると、次のフィールドが表示されます。
        1. HTTPSプロキシですか。:プロキシ・アクセスがセキュアである場合に選択します。
        2. プロキシURL:ターゲット・プロキシ・サーバーのURLを入力します。たとえば、https://proxy.example.comです。
        3. プロキシ・ポート:ターゲット・プロキシ・サーバーのポート番号を入力します。たとえば、8080です。
        4. URLのバイパス:プロキシ設定をバイパスするには、カンマ区切りドメイン名を入力します。たとえば、example1.comおよびexample2.comです。アスタリスク(*)などのワイルドカード文字は使用しないでください。
        5. 認証タイプ:ターゲット・プロキシ・サーバーの認証タイプを選択します。デフォルト・オプションはNONEですが、ドロップダウン・リストでBASICを選択した場合は、「ユーザー名」フィールドと「パスワード」フィールドにユーザー名とパスワードを指定する必要があります。
      2. メトリック・データ・アップロード・エンドポイント・プロキシの使用:モニター対象メトリックをアップロードするためのプロキシ詳細を指定する場合に選択します。このチェック ボックスをオンにすると、次のフィールドが表示されます。
        1. HTTPSプロキシですか。:プロキシ・アクセスがセキュアである場合に選択します。
        2. プロキシURL: APMコレクタと通信するためのメトリック・データ・アップロード・エンドポイント・プロキシ・サーバーのURLを入力します。たとえば、https://127.0.0.1です。
        3. プロキシ・ポート:メトリック・データ・アップロード・エンドポイント・プロキシ・サーバーのポート番号を入力します。たとえば、8080です。
        4. 認証タイプ:メトリック・データ・アップロード・エンドポイント・プロキシ・サーバーの認証タイプを選択します。デフォルト・オプションはNONEですが、ドロップダウン・リストでBASICを選択した場合は、「ユーザー名」フィールドと「パスワード」フィールドにユーザー名とパスワードを指定する必要があります。
    • Vault構成
      1. Vaultサポートを有効にしますか。: Oracle Cloud Infrastructure Vaultサービスを使用してシークレットを格納し、暗号化されたリソースを管理する場合に選択します。Vaultサポートを有効にするオプションを選択すると、「既存のVaultを使用しますか。」オプションが表示され、これを選択すると、既存のボールトを使用してシークレットを格納し、暗号化されたリソースを管理できます。「Vaultサポートを有効にしますか。」チェック・ボックスが選択されていて、「既存のVaultを使用しますか。」チェック・ボックスが選択されていない場合は、新しいボールトが作成されます。Vaultサポートを無効にするオプションは現在使用できません。
    • ログ構成
      1. ログのアップロード: Oracle Cloud Infrastructure Loggingサービスにログをアップロードする場合に選択します。
    • DVPアーティファクトの自動アップグレード
      1. 自動アップグレードの有効化: 可用性モニタリング・デプロイメント・マネージャおよびモニターを最新バージョンに自動アップグレードする場合に選択します。
  6. 「確認」ページで、スタック構成を確認し、次のアクションの1つを実行します:
    • 「作成されたスタックで適用を実行しますか。」オプションを選択し、新しいスタックで「適用」アクションを実行してTerraform構成で定義されたリソースをすぐにプロビジョニングし、「作成」をクリックします。
    • 「作成」をクリックし、オプションで「スタック詳細」ページの「プラン」をクリックして実行計画を生成し(計画ジョブを実行)、エラーがある場合は特定します。その後、「適用」をクリックして、スタックの適用ジョブを実行できます。
リソースが作成され、スタックにアタッチされます。スタックが正常に設定されたら、「可用性モニタリング」に移動し、左側のペインの「専用バンテージ・ポイント」をクリックします。専用のバンテージ・ポイントは、「専用のバンテージ・ポイント」ページにリストされます。専用バンテージ・ポイントを使用する準備ができているかどうかを確認するには、「モニター」ページに移動し、「モニターの作成」をクリックし、「モニターの作成」ウィザードの「実行設定」ページで、新しく作成した専用バンテージ・ポイントが「バンテージ・ポイント」ドロップダウン・リストに表示されていることを確認します。モニターの作成の詳細は、モニターの作成を参照してください。

専用バンテージ・ポイントの監視

専用バンテージ・ポイントの設定後、専用バンテージ・ポイントをモニターできます。

専用バンテージ・ポイントをモニターするには:

  1. 「可用性モニタリング」ページに移動します。
  2. 左側のペインで、「専用バンテージ・ポイント」をクリックし、専用バンテージ・ポイントを作成したコンパートメントとその登録先のAPMドメインを選択します。

    専用バンテージ・ポイントがリストされます。

  3. 専用バンテージ・ポイントの名前をクリックします。

    <専用バンテージ・ポイントの名前>ページが表示されます。

<専用バンテージ・ポイントの名前>ページでは、次のことができます:
  • リージョン、専用バンテージ・ポイントが作成された日時などの情報を確認します。タグの追加や専用バンテージ・ポイントの削除などのアクションを実行することもできます。専用バンテージ・ポイントを削除すると、専用バンテージ・ポイントでのみ実行されているモニターも削除されます。モニターが他のパブリックまたは専用バンテージ・ポイントでも実行されている場合、そのモニターは削除されません。
  • 下にスクロールして、専用バンテージ・ポイント関連のメトリックを表示します。
  • 左ペインの「リソース」の下にある「モニター」をクリックして、専用バンテージ・ポイントで実行されているモニター(ある場合)を表示します。

既存の専用バンテージ・ポイントの更新

リソース・マネージャの専用バンテージ・ポイント・スタックの構成を更新することで、既存の専用バンテージ・ポイントを更新できます。

専用バンテージ・ポイントを更新するために実行するステップを次に示します:

  1. 最新のAPM可用性モニタリング専用バンテージ・ポイント・テンプレートを使用してスタックを作成します。詳細は、専用バンテージ・ポイントの設定を参照してください。
  2. 新しく作成したスタックの「スタックの詳細」ページで、「プラン」をクリックして実行計画を生成します(計画ジョブを実行します)。新しい計画ジョブが「ジョブ」の下にリストされます。詳細は、実行計画(計画ジョブの実行)を生成するにはスタックの管理およびジョブの管理を参照してください。
  3. 計画ジョブの「ジョブ詳細」ページで、「Terraform構成のダウンロード」をクリックして、Terraform構成の.zipファイルをダウンロードします。詳細は、「スタックの管理とジョブの管理」「ジョブおよびジョブの詳細を表示するには」を参照してください。
  4. 「スタック」ページに移動し、更新する専用バンテージ・ポイントの「編集」オプションをクリックします。詳細は、To edit a Stack in Managing Stacks and Managing Jobsを参照してください。
  5. 「スタック情報」ページの「スタックの編集」ウィザードで、ステップ3でダウンロードしたTerraform構成の.zipファイルを使用して、構成スタックを更新します。詳細は、To update the configuration for a Stack in Managing Stacks and Managing Jobsを参照してください。