Autonomous Databaseインスタンスのプライベート・エンドポイントを構成する前に実行する必要がある前提条件ステップについて説明します。

Autonomous Databaseのプロビジョニングおよび管理に必要なポリシーに加えて、プライベート・エンドポイントを使用するには一部のネットワーク・ポリシーが必要です。

次の表に、クラウド・ユーザーがプライベート・エンドポイントを追加するために必要なIAMポリシーを示します。リストされているポリシーは、プライベート・エンドポイントを追加するための最小要件です。より広範なポリシー・ルールを使用することもできます。たとえば、ポリシー・ルールを設定する場合:

Allow group MyGroupName to manage virtual-network-family in tenancy

このルールは必要なポリシーをすべて含むスーパーセットであるため、これでも問題ありません。

Autonomous Databaseは、IAM (Identity and Access Management)サービスを利用して、Oracle Cloud Infrastructureインタフェース(コンソール、REST API、CLI、SDKなど)を使用する操作を実行するクラウド・ユーザーを認証および認可します。

IAMサービスでは、グループ、コンパートメントおよびポリシーを使用して、どのクラウド・ユーザーがどのリソースにアクセスできるかを制御します。具体的には、ポリシーは、ユーザーのグループが特定のコンパートメント内の特定の種類のリソースに対して持つアクセスの種類を定義します。詳細は、ポリシーの開始を参照してください。

Autonomous Databaseインスタンスをプロビジョニングまたはクローニングするときに、プライベート・エンドポイントを構成できます。

1. 「プライベート・エンドポイント・アクセスのみ」を選択します。

   これにより、仮想クラウド・ネットワークのプライベート・アクセス構成領域が展開されます。

   
   

   
   

   
   

   「プライベート・エンドポイント・アクセスのみ」を選択すると、指定したプライベート・ネットワーク(VCN)、ピアリングされたSCNおよびVCNに接続されたオンプレミス・ネットワークからの接続のみが許可されます。プライベート・エンドポイントでAutonomous Databaseインスタンスを構成して、オンプレミス・ネットワークからの接続を許可できます。例については、例: データ・センターからAutonomous Databaseへの接続を参照してください。

   パブリックIPアドレスからの接続、または許可されたIPおよびVCNからの接続を許可する場合は、次のオプションがあります。

   • 「すべての場所からのセキュア・アクセス」を選択します。

   • 「許可されたIPおよびVCNからのアクセスのみの保護」を選択します。

   • 「プライベート・エンドポイント・アクセスのみ」を選択した場合は、「拡張オプションの表示」を展開し、「パブリック・アクセスの許可」を選択します。詳細は、プライベート・エンドポイントの拡張オプションの構成を参照してください。

2. コンパートメント内の仮想クラウド・ネットワークを選択するか、VCNが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして、VCNを含むコンパートメントを選択し、仮想クラウド・ネットワークを選択します。

   詳細は、VCNとサブネットを参照してください。

3. Autonomous Databaseをアタッチするサブネットをコンパートメント内で選択します。または、サブネットが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして、サブネットを含むコンパートメントを選択し、サブネットを選択します。

   詳細は、VCNとサブネットを参照してください。

4. (オプション)「拡張オプションの表示」をクリックして、追加のプライベート・エンドポイント・オプションを表示します。

   拡張オプションの詳細は、プライベート・エンドポイントの拡張オプションの構成を参照してください。

5. 相互TLS (mTLS)認証が必要。

   「相互TLS (mTLS)認証が必要」のオプションは:

   • 「相互TLS (mTLS)認証が必要」の選択を解除すると、TLSおよびmTLS接続が許可されます。これはデフォルト構成です。

   • 「相互TLS (mTLS)認証が必要」が選択されている場合、mTLS接続のみが許可されます(TLS認証は許可されません)。

   詳細は、Autonomous DatabaseでTLS認証を許可するか相互TLS (mTLS)認証のみを必要とするようにネットワーク・オプションを更新を参照してください。

6. Autonomous Databaseインスタンスのプロビジョニング、Autonomous DatabaseインスタンスのクローニングまたはバックアップからのAutonomous Databaseのクローニングの説明に従って、プロビジョニングまたはクローニングの残りのステップを実行します。

Autonomous Databaseインスタンスがパブリック・エンドポイントを使用するように構成されている場合、構成をプライベート・エンドポイントに変更できます。

1. 「詳細」ページで、「他のアクション」ドロップダウン・リストから「ネットワーク・アクセスの更新」を選択します。

   インスタンスをパブリック・エンドポイントからプライベート・エンドポイントに変更するには、Autonomous Databaseインスタンスが使用可能状態(ライフサイクル状態: 使用可能)である必要があります。

2. 「ネットワーク・アクセスの更新」ダイアログで、「プライベート・エンドポイント・アクセスのみ」を選択します。

   これにより、仮想クラウド・ネットワークのプライベート・アクセス構成領域が展開されます。

   
   

   「プライベート・エンドポイント・アクセスのみ」を選択すると、指定したプライベート・ネットワーク(VCN)、ピアリングされたSCNおよびVCNに接続されたオンプレミス・ネットワークからの接続のみが許可されます。プライベート・エンドポイントでAutonomous Databaseインスタンスを構成して、オンプレミス・ネットワークからの接続を許可できます。例については、例: データ・センターからAutonomous Databaseへの接続を参照してください。

   パブリックIPアドレスからの接続、または許可されたIPおよびVCNからの接続を許可する場合は、次のオプションがあります。

   • 「すべての場所からのセキュア・アクセス」を選択します。

   • 「許可されたIPおよびVCNからのアクセスのみの保護」を選択します。

   • 「プライベート・エンドポイント・アクセスのみ」を選択した場合は、「拡張オプションの表示」を展開し、「パブリック・アクセスの許可」を選択します。詳細は、プライベート・エンドポイントの拡張オプションの構成を参照してください。

3. コンパートメント内の仮想クラウド・ネットワークを選択するか、VCNが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして、VCNを含むコンパートメントを選択し、仮想クラウド・ネットワークを選択します。

   詳細は、VCNとサブネットを参照してください。

4. Autonomous Databaseをアタッチするサブネットをコンパートメント内で選択します。または、サブネットが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして、サブネットを含むコンパートメントを選択し、サブネットを選択します。

   詳細は、VCNとサブネットを参照してください。

5. (オプション)「拡張オプションの表示」をクリックして、追加のオプションを表示します。

   拡張オプションの詳細は、プライベート・エンドポイントの拡張オプションの構成を参照してください。

6. 「更新」をクリックします。
7. 「確認」ダイアログで、Autonomous Databaseの名前を入力します。
8. 「確認」ダイアログで、「更新」をクリックします。

既存のAutonomous Databaseインスタンスのプライベート・エンドポイントの構成で、いくつかのオプションを変更できます。

1. 「詳細」ページで、「他のアクション」ドロップダウン・リストから「ネットワーク・アクセスの更新」を選択します。

   これは、「ネットワーク・アクセスの更新」ダイアログを示しています。

   
   
2. 「プライベート・エンドポイント・アクセスのみ」を選択します。

   パブリックIPアドレスからの接続、または許可されたIPおよびVCNからの接続を許可する場合は、次のオプションがあります。

   • 「すべての場所からのセキュア・アクセス」を選択します。

   • 「許可されたIPおよびVCNからのアクセスのみの保護」を選択します。

   • 「プライベート・エンドポイント・アクセスのみ」および「パブリック・アクセスの許可」を選択すると、プライベート・エンドポイント・データベースにはプライベート・エンドポイントとパブリック・エンドポイントの両方があります。

   1. オプションで、ネットワーク・セキュリティ・グループ(NSG)を追加します。

      オプションで、Autonomous Databaseインスタンスへの接続を許可するには、NSGにセキュリティ・ルールを定義します。これにより、Autonomous Databaseの仮想ファイアウォールが作成されます。

      • Autonomous Databaseをアタッチするネットワーク・セキュリティ・グループをコンパートメント内で選択します。または、ネットワーク・セキュリティ・グループが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして別のコンパートメントを選択し、そのコンパートメント内のネットワーク・セキュリティ・グループを選択します。
      • 別のネットワーク・セキュリティ・グループを追加するには、「+ 別のネットワーク・セキュリティ・グループ」をクリックします。
      • ネットワーク・セキュリティ・グループのエントリを削除するには、「x」をクリックします。

      プライベート・エンドポイント用に選択したNSGの場合、次のようにセキュリティ・ルールを定義します:

      • 相互TLS (mTLS)認証の場合は、ソースがデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルがTCPに設定され、宛先ポート範囲が1522に設定された、ステートフル・イングレス・ルールを追加します。詳細は、相互TLS (mTLS)認証についてを参照してください。

      • TLS認証の場合は、ソースがデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルがTCPに設定され、宛先ポート範囲が1521に設定された、ステートフル・イングレス・ルールを追加します。詳細は、TLS認証についてを参照してください。

      • Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。

      ノート
      
      受信接続と送信接続は、NSGで定義されたイングレス・ルールとエグレス・ルール、およびVCNで定義されたセキュリティ・リストの組合せによって制限されます。NSGがない場合でも、VCNのセキュリティ・リストで定義されたイングレスおよびエグレス・ルールが適用されます。セキュリティ・リストの操作の詳細は、セキュリティ・リストを参照してください。

      例については、Autonomous Databaseでのプライベート・エンドポイント構成の例を参照してください。

      詳細は、ネットワーク・セキュリティ・グループを参照してください。

   2. オプションで、「パブリック・アクセスの許可」を選択するか、すでに選択されている場合は、プライベート・エンドポイント・データベースで構成されているパブリック・エンドポイントに対するアクセス制御ルールを構成できます。

      「パブリック・アクセスの許可」オプションは、データベースがECPUコンピュート・モデルを使用する場合にのみ使用できます。

      「パブリック・アクセスの許可」を選択すると、データベースに接続できる許可されたIPアドレス、CIDRブロックまたは仮想クラウド・ネットワークを入力するためのアクセス制御オプションが表示されます。

      次のいずれかを選択します。

      • IPアドレス:

        「値」フィールドに、IPアドレスの値を入力します。ネットワークACLエントリに指定されたIPアドレスは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックIPアドレスです。たとえば、Oracle Cloud Infrastructure VMの場合、これはそのVMのOracle Cloud Infrastructureコンソールの「パブリックIP」フィールドに表示されるIPアドレスです。

        オプションで、「自分のIPアドレスの追加」をクリックして、現在のIPアドレスをACLエントリに追加します。

      • CIDRブロック:

        「値」フィールドに、CIDRブロックの値を入力します。指定されたCIDRブロックは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックCIDRブロックです。

      • 仮想クラウド・ネットワーク:

        このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

        このオプションは、Oracle Cloud Infrastructure Service Gatewayで使用するVCNを指定する場合に使用します。

        • 「仮想クラウド・ネットワーク」フィールドで、アクセス権を付与するVCNを選択します。テナンシ内のVCNを表示する権限がない場合、このリストは空です。この場合、「仮想クラウド・ネットワーク(OCID)」を選択して、VCNのOCIDを指定します。
        • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。
      • 仮想クラウド・ネットワーク(OCID):

        このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

        • 「値」フィールドに、アクセス権を付与するVCNのOCIDを入力します。
        • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。

      同じVCN内の複数のIPアドレスまたはCIDR範囲を指定する場合は、複数のACLエントリを作成しないでください。複数のIPアドレスまたはCIDR範囲の値をカンマで区切って指定した、1つのACLエントリを使用します。

3. 「更新」をクリックします。

プライベート・エンドポイント・アクセスの拡張オプションを使用すると、ユーザーが指定したプライベートIPアドレスとホスト名を入力したり、1つ以上のネットワーク・セキュリティ・グループを選択したり、プライベート・エンドポイント・データベースへのパブリック・アクセスを許可する詳細を指定できます。

1. 「プライベート・エンドポイント・アクセスのみ」を選択します。

   これは、仮想クラウド・ネットワークのプライベート・アクセス構成領域を示しています。

2. (オプション)「拡張オプションの表示」をクリックして、追加のプライベート・エンドポイント・オプションを表示します。

   これにより、拡張オプションが表示されます。

   
   
   1. オプションで、プライベートIPアドレスを入力します。

      このフィールドを使用して、カスタム・プライベートIPアドレスを入力します。入力するプライベートIPアドレスは、選択したサブネットのCIDR範囲内である必要があります。

      カスタム・プライベートIPアドレスを指定しない場合、IPアドレスは自動的に割り当てられます。

   2. オプションで、ホスト名接頭辞を入力します。

      これにより、Autonomous Databaseのホスト名接頭辞が指定され、DNS名が次の形式でデータベース・インスタンスに関連付けられます:

      hostname_prefix.adb.region.oraclecloud.com

      ホスト名接頭辞を指定しない場合、システム生成のホスト名接頭辞が指定されます。

   3. オプションで、ネットワーク・セキュリティ・グループ(NSG)を追加します。

      オプションで、Autonomous Databaseインスタンスへの接続を許可するには、NSGにセキュリティ・ルールを定義します。これにより、Autonomous Databaseの仮想ファイアウォールが作成されます。

      • Autonomous Databaseをアタッチするネットワーク・セキュリティ・グループをコンパートメント内で選択します。または、ネットワーク・セキュリティ・グループが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして別のコンパートメントを選択し、そのコンパートメント内のネットワーク・セキュリティ・グループを選択します。
      • 別のネットワーク・セキュリティ・グループを追加するには、「+ 別のネットワーク・セキュリティ・グループ」をクリックします。
      • ネットワーク・セキュリティ・グループのエントリを削除するには、「x」をクリックします。

      プライベート・エンドポイント用に選択したNSGの場合、次のようにセキュリティ・ルールを定義します:

      • 相互TLS (mTLS)認証の場合は、ソースがデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルがTCPに設定され、宛先ポート範囲が1522に設定された、ステートフル・イングレス・ルールを追加します。詳細は、相互TLS (mTLS)認証についてを参照してください。

      • TLS認証の場合は、ソースがデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルがTCPに設定され、宛先ポート範囲が1521に設定された、ステートフル・イングレス・ルールを追加します。詳細は、TLS認証についてを参照してください。

      • Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。

      ノート
      
      受信接続と送信接続は、NSGで定義されたイングレス・ルールとエグレス・ルール、およびVCNで定義されたセキュリティ・リストの組合せによって制限されます。NSGがない場合でも、VCNのセキュリティ・リストで定義されたイングレスおよびエグレス・ルールが適用されます。セキュリティ・リストの操作の詳細は、セキュリティ・リストを参照してください。

      例については、Autonomous Databaseでのプライベート・エンドポイント構成の例を参照してください。

      詳細は、ネットワーク・セキュリティ・グループを参照してください。

   4. オプションで、「パブリック・アクセスの許可」を選択し、プライベート・エンドポイント・データベースのパブリック・エンドポイントを追加するためのアクセス制御ルールを構成します。

      「パブリック・アクセスの許可」オプションは、データベースがECPUコンピュート・モデルを使用する場合にのみ使用できます。

      「パブリック・アクセスの許可」を選択すると、データベースに接続できる許可されたIPアドレス、CIDRブロックまたは仮想クラウド・ネットワークを入力するためのアクセス制御オプションが表示されます。

      次のいずれかを選択します。

      • IPアドレス:

        「値」フィールドに、IPアドレスの値を入力します。ネットワークACLエントリに指定されたIPアドレスは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックIPアドレスです。たとえば、Oracle Cloud Infrastructure VMの場合、これはそのVMのOracle Cloud Infrastructureコンソールの「パブリックIP」フィールドに表示されるIPアドレスです。

        オプションで、「自分のIPアドレスの追加」をクリックして、現在のIPアドレスをACLエントリに追加します。

      • CIDRブロック:

        「値」フィールドに、CIDRブロックの値を入力します。指定されたCIDRブロックは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックCIDRブロックです。

      • 仮想クラウド・ネットワーク:

        このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

        このオプションは、Oracle Cloud Infrastructure Service Gatewayで使用するVCNを指定する場合に使用します。

        • 「仮想クラウド・ネットワーク」フィールドで、アクセス権を付与するVCNを選択します。テナンシ内のVCNを表示する権限がない場合、このリストは空です。この場合、「仮想クラウド・ネットワーク(OCID)」を選択して、VCNのOCIDを指定します。
        • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。
      • 仮想クラウド・ネットワーク(OCID):

        このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

        • 「値」フィールドに、アクセス権を付与するVCNのOCIDを入力します。
        • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。

      同じVCN内の複数のIPアドレスまたはCIDR範囲を指定する場合は、複数のACLエントリを作成しないでください。複数のIPアドレスまたはCIDR範囲の値をカンマで区切って指定した、1つのACLエントリを使用します。

3. 残りのプライベート・エンドポイント構成ステップを完了します。

プライベート・エンドポイントを使用するようにAutonomous Databaseを構成し、特定のパブリックIPアドレスまたは特定のVCNからの接続も許可する場合は、「パブリック・アクセスの許可」オプションを選択します(SCNがサービス・ゲートウェイを使用してAutonomous Databaseにプライベートに接続するように構成されている場合)。

このオプションは、プライベート・エンドポイントに構成されているデータベースのパブリック・エンドポイントを追加します。Autonomous Databaseインスタンスのプライベート・エンドポイントは、インスタンスのプロビジョニング時またはクローニング時、または既存のAutonomous Databaseのネットワーク構成の更新時に構成します。プライベート・エンドポイントを使用してAutonomous Databaseインスタンスを構成するステップの詳細は、次を参照してください:

• インスタンスのプロビジョニング時またはクローニング時のプライベート・エンドポイントの構成

• Autonomous Databaseでのパブリック・エンドポイントからプライベート・エンドポイントへの変更

プライベート・エンドポイント・データベースでパブリック・アクセスの許可を使用してパブリック・アクセスが有効になっている場合、インスタンスにはプライベート・エンドポイントとパブリック・エンドポイントの両方があります:

• プライベート・ホスト名、エンドポイントURLおよびプライベートIPアドレスを使用すると、データベースが存在するVCNからデータベースに接続できます。

• パブリック・ホスト名を使用すると、特定のパブリックIPアドレスから、または特定のVCN (サービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するように構成されている場合)からデータベースに接続できます。

Oracle Cloud Infrastructure内で、Autonomous Databaseに対して構成されているのと同じVCNの仮想マシン(VM)で実行されているアプリケーションを示します。

"Your VCN"という名前のVCNにプライベート・エンドポイントを持つAutonomous Databaseインスタンスがあります。このVCNには、"SUBNET B" (CIDR 10.0.1.0/24)と"SUBNET A" (CIDR 10.0.2.0/24)の2つのサブネットが含まれています。

Autonomous Databaseインスタンスに関連付けられたネットワーク・セキュリティ・グループ(NSG)は、"NSG 1 - Security Rules"として表示されています。このネットワーク・セキュリティ・グループは、Autonomous Databaseインスタンスとの間の送受信トラフィックを許可するセキュリティ・ルールを定義するものです。Autonomous Databaseインスタンスのルールを次のように定義します:

• 相互TLS認証の場合は、ソースからAutonomous Databaseインスタンスへの接続を許可するためのステートフル・イングレス・ルールを追加します。ソースはデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルはTCPに設定され、宛先ポート範囲は1522に設定されます。

• TLS認証の場合は、ソースからAutonomous Databaseインスタンスへの接続を許可するステートフル・イングレス・ルールを追加します。ソースは、データベースへの接続を許可するアドレス範囲に設定され、IPプロトコルはTCPに設定され、宛先ポート範囲は1521に設定されます。

• Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。

次の図は、Autonomous Databaseインスタンスのトラフィックを制御するサンプルのステートフル・セキュリティ・ルールを示しています:

Autonomous Databaseに接続するアプリケーションは、SUBNET BのVMで実行されています。VMとの間のトラフィックを許可するセキュリティ・ルールも追加します(図に示すように、"NSG 2 Security Rules"というラベルが付いています)。VMにはステートフル・セキュリティ・ルールを使用できるため、NSG 2 Security Rulesにエグレスのルールを追加するだけです(これにより、宛先サブネットAへのアクセスが許可されます)。

次の図は、VMのトラフィックを制御するサンプルのセキュリティ・ルールを示しています:

セキュリティ・ルールを構成すると、アプリケーションはクライアント資格証明ウォレットを使用してAutonomous Databaseインスタンスに接続できます。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。

ネットワーク・セキュリティ・グループの構成の詳細は、ネットワーク・セキュリティ・グループを参照してください。

オンプレミス・データ・センターからAutonomous Databaseにプライベートに接続する方法を示します。このシナリオでは、トラフィックはパブリック・インターネットを経由しません。

データ・センターから接続するには、オンプレミス・ネットワークをFastConnectでVCNに接続し、動的ルーティング・ゲートウェイ(DRG)を設定します。Autonomous Databaseのプライベート・エンドポイントを解決するには、完全修飾ドメイン名(FQDN)のエントリをオンプレミス・クライアントのhostsファイルに追加する必要があります。たとえば、Linuxマシンの場合は/etc/hostsファイルです。たとえば:

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloud.com

Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、同じIPを持つ別のエントリを追加します。たとえば:

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloudapps.com

プライベート・エンドポイントのIPとFQDNは次のようになります:

• プライベートIPは、インスタンスのOracle Cloud InfrastructureコンソールのAutonomous Database詳細ページに表示されます。

• FQDNは、Autonomous Databaseクライアント資格証明ウォレットのtnsnames.oraファイルに表示されます。

または、DNS名前解決を提供するためにOracle Cloud InfrastructureプライベートDNSを使用することもできます。詳細は、プライベートDNSを参照してください。

この例では、オンプレミス・データ・センターと"Your VCN"の間に動的ルーティング・ゲートウェイ(DRG)があります。このVCNにはAutonomous Databaseが含まれています。また、DRGを経由するCIDR 172.16.0.0/16への送信トラフィック用に、Autonomous Databaseに関連付けられたVCNのルート表も表示されています。

DRGの設定に加えて、データ・センターのCIDR範囲(172.16.0.0/16)のルールを追加することで、Autonomous Databaseとの間のトラフィックを許可するネットワーク・セキュリティ・グループ(NSG)ルールを定義します。この例では、"NSG 1"のセキュリティ・ルールを次のように定義します:

• 相互TLS認証の場合は、データ・センターからのイングレス・トラフィックを許可するステートフル・ルールを作成します。これは、ソースがデータベースへの接続を許可するアドレス範囲に設定され、プロトコルがTCPに設定され、ソース・ポート範囲がCIDR範囲(172.16.0.0/16)に設定され、宛先ポートが1522に設定されている、ステートフル・イングレス・ルールです。

• TLS認証の場合は、データ・センターからのイングレス・トラフィックを許可するステートフル・ルールを作成します。これは、ソースがデータベースへの接続を許可するアドレス範囲に設定され、プロトコルがTCPに設定され、ソース・ポート範囲がCIDR範囲(172.16.0.0/16)に設定され、宛先ポートが1521に設定されている、ステートフル・イングレス・ルールです。

• Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。

次の図は、Autonomous Databaseインスタンスのトラフィックを制御するセキュリティ・ルールを示しています:

セキュリティ・ルールを構成すると、オンプレミス・データベース・アプリケーションは、クライアント資格証明ウォレットを使用してAutonomous Databaseインスタンスに接続できます。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。