プライベート・エンドポイントを使用したネットワーク・アクセスの設定
Autonomous Databaseがテナンシの仮想クラウド・ネットワーク(VCN)内のプライベート・エンドポイントを使用するように指定できます。Autonomous Databaseのプロビジョニング中またはクローニング中にプライベート・エンドポイントを構成することも、パブリック・エンドポイントを使用する既存のデータベースでプライベート・エンドポイントを使用するように切り替えることもできます。これにより、データベースとの間のすべてのトラフィックをパブリック・インターネットから切り離すことができます。
仮想クラウド・ネットワーク構成を指定すると、指定した仮想クラウド・ネットワークからのトラフィックのみが許可され、すべてのパブリックIPまたはVCNからのデータベースへのアクセスがブロックされます。これにより、セキュリティ・リストまたはネットワーク・セキュリティ・グループ(NSG)レベルでセキュリティ・ルールを定義して、Autonomous Databaseインスタンスのイングレス/エグレスを指定できます。プライベート・エンドポイントを使用し、セキュリティ・リストまたはNSGを定義すると、Autonomous Databaseインスタンスとの間のトラフィックを制御できます。
If you configure your Autonomous Database instance to use a private endpoint and you also want to allow connections from specific public IP addresses or from specific VCNs if those VCNs are configured to privately connect to Autonomous Database using a Service Gateway, select the Allow public access option.これにより、プライベート・エンドポイントで構成されたデータベースのパブリック・エンドポイントが追加されます。詳細は、パブリック・アクセスを許可したプライベート・エンドポイントの使用を参照してください。
「パブリック・アクセスの許可」オプションは、データベースでECPUコンピュート・モデルが使用されている場合にのみ使用できます。
トピック
- プライベート・エンドポイントの構成
Autonomous Databaseでプライベート・エンドポイントを使用するように指定し、プライベート・エンドポイントで使用するテナンシのVirtual Cloud Network (VCN)を構成できます。 - プライベート・エンドポイントを使用したアウトバウンド接続のセキュリティの強化
Autonomous Databaseインスタンスでプライベート・エンドポイントを使用する場合、ROUTE_OUTBOUND_CONNECTIONS
データベース・プロパティを値PRIVATE_ENDPOINT
に設定することで、強化されたセキュリティを提供できます。 - プライベート・エンドポイントのノート
Autonomous Databaseのプライベート・エンドポイントの制限およびノートについて説明します。 - Autonomous Databaseでのプライベート・エンドポイント構成の例
Autonomous Databaseでのプライベート・エンドポイント(VCN)構成のサンプルを複数示します。
プライベート・エンドポイントの構成
Autonomous Databaseがプライベート・エンドポイントを使用するように指定し、プライベート・エンドポイントで使用するテナンシ内の仮想クラウド・ネットワーク(VCN)を構成できます。
- プライベート・エンドポイントを構成するための前提条件ステップ
Autonomous Databaseインスタンスのプライベート・エンドポイントを構成する前に実行する必要がある前提条件ステップについて説明します。 - プライベート・エンドポイントの管理に必要なIAMポリシー
Autonomous Databaseのプロビジョニングおよび管理に必要なポリシーに加えて、プライベート・エンドポイントを使用するには一部のネットワーク・ポリシーが必要になります。 - インスタンスをプロビジョニングまたはクローニングするときのプライベート・エンドポイントの構成
Autonomous Databaseインスタンスをプロビジョニングまたはクローニングするときに、プライベート・エンドポイントを構成できます。 - Autonomous Databaseのパブリック・エンド・ポイントからプライベート・エンド・ポイントへの変更
Autonomous Databaseインスタンスがパブリック・エンド・ポイントを使用するように構成されている場合、構成をプライベート・エンド・ポイントに変更できます。 - プライベート・エンドポイントの構成の更新
既存のAutonomous Databaseインスタンス上のプライベート・エンドポイントの構成の一部のオプションを変更できます。 - プライベート・エンドポイントの拡張オプションの構成
プライベート・エンドポイント・アクセスの拡張オプションを使用すると、ユーザー指定のプライベートIPアドレスとホスト名を入力し、1つ以上のネットワーク・セキュリティ・グループを選択したり、プライベート・エンドポイント・データベースへのパブリック・アクセスを許可する詳細を指定することができます。 - Use a Private Endpoint with Public Access Allowed
Select the Allow public access option when you want to configure an Autonomous Database to use a private endpoint and you also want to allow connections from specific public IP addresses or from specific VCNs (if the VCNs are configured to privately connect to Autonomous Database using a Service Gateway).
プライベート・エンドポイントを構成するための前提条件ステップ
Autonomous Databaseインスタンスのプライベート・エンドポイントを構成する前に実行する必要がある前提条件ステップについて説明します。
プライベート・エンドポイントを構成する前に、次の前提条件ステップを実行します:
-
作業するリソースに必要なポリシーを設定します。詳細は、プライベート・エンドポイントの管理に必要なIAMポリシーを参照してください。
-
Autonomous Databaseを含むリージョン内にVCNを作成します。詳細は、VCNとサブネットを参照してください。
-
デフォルトのDHCPオプションを使用して構成されたVCN内のサブネットを構成します。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
-
(オプション)プライベート・エンドポイントを構成する前に、次のオプションのステップを実行します:
VCN内にネットワーク・セキュリティ・グループ(NSG)を指定します。NSGは、Autonomous Databaseへの接続のルールを指定します。詳細は、ネットワーク・セキュリティ・グループを参照してください。
親トピック: プライベート・エンドポイントの構成
プライベート・エンドポイントの管理に必要なIAMポリシー
Autonomous Databaseのプロビジョニングおよび管理に必要なポリシーに加えて、プライベート・エンドポイントを使用するには一部のネットワーク・ポリシーが必要です。
次の表に、クラウド・ユーザーがプライベート・エンドポイントを追加するために必要なIAMポリシーを示します。リストされているポリシーは、プライベート・エンドポイントを追加するための最小要件である。より広範なポリシー・ルールを使用することもできます。たとえば、ポリシー・ルールを設定する場合:
Allow group MyGroupName to manage virtual-network-family in tenancy
このルールは必要なポリシーをすべて含むスーパーセットであるため、これでも問題ありません。
工程 | 必要なIAMポリシー |
---|---|
プライベート・エンドポイントの構成 |
VCNが存在するコンパートメントに対する VCNが存在するコンパートメントに対する ネットワーク・セキュリティ・グループが存在するコンパートメントに対する VCNが存在するコンパートメントに対する VCNが存在するコンパートメントに対する データベースがプロビジョニングされているかプロビジョニングされる予定のコンパートメントに対する |
Autonomous Databaseは、IAM (Identity and Access Management)サービスを利用して、Oracle Cloud Infrastructureインタフェース(コンソール、REST API、CLI、SDKなど)を使用する操作を実行するクラウド・ユーザーを認証および認可します。
IAMサービスでは、グループ、コンパートメントおよびポリシーを使用して、どのクラウド・ユーザーがどのリソースにアクセスできるかを制御します。具体的には、ポリシーは、ユーザーのグループが特定のコンパートメント内の特定の種類のリソースに対して持つアクセスの種類を定義します。詳細は、ポリシーの開始を参照してください。
親トピック: プライベート・エンドポイントの構成
インスタンスのプロビジョニング時またはクローニング時のプライベート・エンドポイントの構成
Autonomous Databaseインスタンスをプロビジョニングまたはクローニングするときに、プライベート・エンドポイントを構成できます。
次のステップは、インスタンスをプロビジョニング中またはクローニング中で、前提条件のステップが完了しており、プロビジョニングまたはクローニングのステップのうち、「ネットワーク・アクセスの選択」ステップを実行していることを前提としています:
詳細は、プライベート・エンドポイントのノートを参照してください。
親トピック: プライベート・エンドポイントの構成
Autonomous Databaseでのパブリック・エンドポイントからプライベート・エンドポイントへの変更
Autonomous Databaseインスタンスがパブリック・エンドポイントを使用するように構成されている場合、構成をプライベート・エンドポイントに変更できます。
ライフサイクル状態は、操作が完了するまで「更新中」に変わります。
パブリック・ネットワーク・アクセスからプライベート・ネットワーク・アクセスへの変更に関するノート:
-
ネットワーク・アクセス・タイプを更新した後、すべてのデータベース・ユーザーは、新しいウォレットを取得し、新しいウォレットを使用してデータベースにアクセスする必要があります。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。
-
パブリック・エンドポイントにACLが定義されている場合、そのACLはプライベート・エンドポイントには適用されません。
-
プライベート・エンドポイントを使用するようにネットワーク・アクセスを更新した後、データベース・ツール用のURLは、パブリック・エンドポイントを使用する場合とは異なります。更新されたURLは、パブリック・エンドポイントからプライベート・エンドポイントに変更した後、コンソールで確認できます。
親トピック: プライベート・エンドポイントの構成
プライベート・エンドポイントの構成の更新
既存のAutonomous Databaseインスタンス上のプライベート・エンドポイントの構成の一部のオプションを変更できます。
「更新」をクリックすると、ライフサイクル状態が「使用可能」になると、変更が適用されるまでライフサイクル状態が「更新中」に変わります。データベースは引き続き稼働中でアクセス可能であり、停止時間はありません。更新が完了すると、ライフサイクル状態は「使用可能」に戻ります。
詳細は、プライベート・エンドポイントのノートを参照してください。
親トピック: プライベート・エンドポイントの構成
プライベート・エンドポイント拡張オプションの構成
プライベート・エンドポイント・アクセスの拡張オプションを使用すると、ユーザー指定のプライベートIPアドレスおよびホスト名を入力したり、1つ以上のネットワーク・セキュリティ・グループを選択したり、プライベート・エンドポイント・データベースへのパブリック・アクセスを許可する詳細を指定できます。
これらのステップでは、Autonomous Databaseインスタンスをプロビジョニングまたはクローニングするか、既存のAutonomous Databaseインスタンスのパブリック・アクセスからプライベート・アクセスに変更し、「ネットワーク・アクセスの選択」ステップにいることを前提としています。
親トピック: プライベート・エンドポイントの構成
パブリック・アクセスを許可したプライベート・エンドポイントの使用
プライベート・エンドポイントを使用するようにAutonomous Databaseを構成し、特定のパブリックIPアドレスまたは特定のVCNsからの接続も許可する場合は、「パブリック・アクセスの許可」オプションを選択します(VCNsがサービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するように構成されている場合)。
このオプションは、プライベート・エンドポイントに構成されているデータベースのパブリック・エンドポイントを追加します。Autonomous Databaseインスタンスのプライベート・エンドポイントは、インスタンスをプロビジョニングまたはクローニングするとき、または既存のAutonomous Databaseのネットワーク構成を更新するときに構成します。プライベート・エンドポイントを使用してAutonomous Databaseインスタンスを構成するステップの詳細は、次を参照してください:
プライベート・エンドポイント・データベースで「パブリック・アクセスの許可」を使用してパブリック・アクセスが有効になっている場合、インスタンスにはプライベート・エンドポイントとパブリック・エンドポイントの両方があります:
-
プライベート・ホスト名、エンドポイントURLおよびプライベートIPアドレスを使用すると、データベースが存在するVCNからデータベースに接続できます。
-
パブリック・ホスト名を使用すると、特定のパブリックIPアドレスから、またはサービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するようにVCNsが構成されている場合は、そのVCNsからデータベースに接続できます。
パブリック・アクセスの許可が有効になっているプライベート・エンドポイント・データベースのAutonomous Database接続文字列追加
プライベート・エンドポイント・データベースで「パブリック・アクセスの許可」が有効になっている場合、パブリック・エンドポイントからデータベースに接続できる追加の接続文字列があります:
-
Autonomous Databaseウォレットzipの
tnsnames.ora
内の接続文字列には、パブリック・インターネットからの接続に使用するパブリック接続文字列が含まれます。パブリック・エンドポイントの接続文字列では、次の命名規則を使用します。dbname_public_consumerGroup
たとえば:
adbfinance_public_low
詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。
-
パブリック・エンドポイントとプライベート・エンドポイントの両方の接続文字列は、Oracle Cloud Infrastructure Console (またはAPI)から表示できます。
詳細は、Autonomous DatabaseインスタンスのTNS名および接続文字列の表示を参照してください。
パブリック・アクセスの許可が有効になっているプライベート・エンドポイント・データベースのAutonomous Databaseツール追加
プライベート・エンドポイント・データベースで「パブリック・アクセスの許可」が有効になっている場合、データベース・ツールでは、サービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するようにVCNsが構成されている場合に、特定のパブリックIPアドレスまたは特定のVCNから接続できます:
-
各ツールには、ツール構成表にプライベート・アクセスURLとパブリック・アクセスURLが表示されます。パブリック・アクセスURLを使用して、特定のパブリックIPアドレスから、またはサービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するようにVCNsが構成されている場合は、そのVCNsからツールにアクセスします。
たとえば:
詳細は、Autonomous Database組込みツール・ステータスの表示を参照してください。
-
ウォレットzipファイルの
README
ファイルは、各データベース・ツールのプライベート・エンドポイントのアクセス・リンクとパブリック・アクセス・リンクの両方を提供します。詳細は、WalletのREADMEファイルを参照してください。
親トピック: プライベート・エンドポイントの構成
プライベート・エンドポイントを使用したアウトバウンド接続のセキュリティの強化
Autonomous Databaseインスタンスでプライベート・エンドポイントを使用する場合、ROUTE_OUTBOUND_CONNECTIONS
データベース・プロパティを値PRIVATE_ENDPOINT
に設定することで、強化されたセキュリティを提供できます。
ROUTE_OUTBOUND_CONNECTIONS
データベース・プロパティを値PRIVATE_ENDPOINT
に設定すると、ターゲット・ホストへのすべての送信接続が、プライベート・エンドポイントのエグレス・ルールの対象となり、制限されます。エグレス・ルールは、Virtual Cloud Network (VCN)セキュリティ・リストまたはAutonomous Databaseインスタンスのプライベート・エンドポイントに関連付けられたネットワーク・セキュリティ・グループ(NSG)で定義します。
ROUTE_OUTBOUND_CONNECTIONS
データベース・プロパティを設定する前に、プライベート・エンドポイントを使用するようにAutonomous Databaseインスタンスを構成します。詳細は、プライベート・エンドポイントの構成を参照してください。
ROUTE_OUTBOUND_CONNECTIONS
データベース・プロパティをPRIVATE_ENDPOINT
に設定して、すべての送信接続がAutonomous Databaseインスタンスのプライベート・エンドポイントVCNのエグレス・ルールに従うことを指定します。値PRIVATE_ENDPOINT
を指定すると、データベースは送信接続をプライベート・エンドポイントのエグレス・ルールで指定された場所に制限し、(パブリックDNSリゾルバを使用せずに)VCNのDNSリゾルバを使用してホスト名が解決されるようにDNS解決も変更します。
ROUTE_OUTBOUND_CONNECTIONS
がPRIVATE_ENDPOINT
に設定されていない場合、パブリック・インターネットへのすべての送信接続は、サービスVCNのネットワーク・アドレス変換(NAT)ゲートウェイを通過します。この場合、ターゲット・ホストがパブリック・エンドポイント上にある場合、送信接続はAutonomous Databaseインスタンスのプライベート・エンドポイントVCNまたはNSGエグレス・ルールの対象になりません。
Autonomous Databaseインスタンスのプライベート・エンドポイントを構成し、ROUTE_OUTBOUND_CONNECTIONS
をPRIVATE_ENDPOINT
に設定すると、次のアウトバウンド接続およびDNS解決の処理が変更されます:
-
データベース・リンク
-
APEX_LDAP、APEX_MAILおよびAPEX_WEB_SERVICE
-
UTL_HTTP、UTL_SMTPおよびUTL_TCP
-
DBMS_LDAP
-
Microsoft Active Directoryを使用したCMU
詳細は、Autonomous DatabaseでのMicrosoft Active Directoryの使用を参照してください。
Autonomous Databaseインスタンスのプライベート・エンドポイントを構成し、ROUTE_OUTBOUND_CONNECTIONS
をPRIVATE_ENDPOINT
に設定すると、次のアウトバウンド接続およびDNS解決の処理は変更されません。
-
Oracle REST Data Services (ORDS)
-
データベース・アクション
ROUTE_OUTBOUND_CONNECTIONS
を設定するには:
ROUTE_OUTBOUND_CONNECTIONS
の設定に関するノート:
-
デフォルトのパラメータ値を復元するには、次のコマンドを使用します。
ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = '';
-
次のコマンドを使用して、現在のパラメータ値を問い合せます。
SELECT * FROM DATABASE_PROPERTIES WHERE PROPERTY_NAME = 'ROUTE_OUTBOUND_CONNECTIONS';
プロパティが設定されていない場合、問合せは結果を返しません。
-
このプロパティは、プロパティを値
PRIVATE_ENDPOINT
に設定した後に作成したデータベース・リンクにのみ適用されます。したがって、プロパティを設定する前に作成したデータベース・リンクでは、サービスVCNのNAT Gatewayが引き続き使用され、Autonomous Databaseインスタンスのプライベート・エンドポイントのエグレス・ルールの対象にはなりません。 -
プライベート・エンドポイントでAutonomous Databaseを使用している場合のみ、
ROUTE_OUTBOUND_CONNECTIONS
を値PRIVATE_ENDPOINT
に設定します。 -
データベースがプライベート・エンドポイントにあり、アウトバウンド接続をVCNで解決する場合は、
ROUTE_OUTBOUND_CONNECTIONS
パラメータをPRIVATE_ENDPOINT
に設定する必要があります。
ネットワーク・アドレス変換(NAT)ゲートウェイの詳細は、NAT Gatewayを参照してください。
プライベート・エンドポイントのノート
Autonomous Databaseでのプライベート・エンドポイントの制限およびノートについて説明します。
-
プライベート・エンドポイントを使用するようにネットワーク・アクセスを更新した後、またはプライベート・エンドポイントの構成を伴うプロビジョニングまたはクローニングが完了した後、Autonomous Databaseの詳細ページの「ネットワーク」セクションでネットワーク構成を表示できます。
「ネットワーク」セクションには、プライベート・エンドポイントに関する次の情報が表示されます:
- アクセス権タイプ: Autonomous Database構成のアクセス権タイプを示します。プライベート・エンドポイント構成には、アクセス・タイプ「仮想クラウド・ネットワーク」が表示されます。
- 可用性ドメイン: Autonomous Databaseインスタンスの可用性ドメインを指定します。
- 仮想クラウド・ネットワーク: これには、プライベート・エンドポイントに関連付けられたVCNのリンクが含まれます。
- サブネット: これには、プライベート・エンドポイントに関連付けられたサブネットのリンクが含まれます。
- プライベート・エンドポイントIP: プライベート・エンドポイント構成のプライベート・エンドポイントIPが表示されます。
- プライベート・エンドポイントURL: プライベート・エンド・ポイント構成のプライベート・エンドポイントURLが表示されます。
- ネットワーク・セキュリティ・サービス・グループ: このフィールドには、プライベート・エンドポイントを使用して構成されたNSJへのリンクが含まれます。
- パブリック・アクセス: このフィールドは、プライベート・エンドポイントに対してパブリック・アクセスが有効かどうかを示します。
Edit
リンクをクリックして、許可されたACLまたはVCNsを表示または変更します。 - パブリック・エンドポイントURL: これは、プライベート・エンドポイントで「パブリック・アクセスの許可」が有効になっている場合に表示されます。これは、パブリック・インターネット上の許可されたIPまたはVCNsから接続するために使用できるパブリック・エンドポイントURLです。
Oracle Cloud Infrastructure Consoleのネットワーク情報の詳細は、OCIコンソールでのネットワーク情報の表示を参照してください。
-
プロビジョニングまたはクローニングが完了したら、パブリック・エンドポイントを使用するようにAutonomous Database構成を変更できます。
パブリック・エンドポイントへの変更の詳細は、Autonomous Databaseでのプライベート・エンドポイントからパブリック・エンドポイントへの変更を参照してください。
-
最大5つのNSGを指定して、Autonomous Databaseへのアクセスを制御できます。
-
Autonomous Databaseのプライベート・エンドポイントのネットワーク・セキュリティ・グループ(NSG)を変更できます。
プライベート・エンドポイントのNSGを変更するには、次を実行します:
-
「Autonomous Databases」ページで、「表示名」列の下のリンクからAutonomous Databaseを選択します。
-
Autonomous Databaseの詳細ページの「ネットワーク」の下にある「ネットワーク・セキュリティ・グループ」フィールドで、「編集」をクリックします。
-
-
オンプレミス・データベースに対して行うように、データ・ゲートウェイを使用して、プライベート・エンドポイントを持つAutonomous DatabaseにOracle Analytics Cloudインスタンスを接続できます。詳細は、Data Visualization用のデータ・ゲートウェイの構成および登録を参照してください。
-
プライベート・エンドポイントを使用して構成されたデータベースでは、次のAutonomous Databaseツールがサポートされています:
- データベース・アクション
- Oracle APEX
- Oracle Graph Studio
- Oracle Machine Learningノートブック
- Oracle REST Data Services
- Oracle Database API for MongoDB
これらのAutonomous Databaseツールにオンプレミス環境からアクセスするには、追加の構成が必要です。詳細は、例: データ・センターからAutonomous Databaseへの接続を参照してください。
追加のプライベート・エンド・ポイント構成を完了せずに、オンプレミス環境からプライベート・エンドポイントを使用してOracle APEX、データベース・アクション、Oracle Graph StudioまたはOracle REST Data Servicesにアクセスすると、エラーが表示されます:
404 Not Found
-
プライベート・エンドポイントを使用するようにネットワーク・アクセスを更新した後、データベース・ツール用のURLは、パブリック・エンドポイントを使用する場合とは異なります。更新されたURLは、パブリック・エンドポイントからプライベート・エンドポイントに変更した後、コンソールで確認できます。
-
Autonomous Databaseで事前構成されたデフォルトのOracle REST Data Services (ORDS)に加えて、より多くの構成オプションを提供し、プライベート・エンドポイントで使用できる、代替ORDSデプロイメントを構成できます。プライベート・エンドポイントで使用できる代替ORDSデプロイメントについて学習するには、Autonomous Databaseでの顧客管理対象Oracle REST Data Servicesについてを参照してください。
-
「プライベートIPアドレス」フィールドに値を入力したときにIPアドレスが自動的に割り当てられるかどうかにかかわらず、インスタンスをプロビジョニングまたはクローニングした後は、プライベートIPアドレスの変更は許可されません。
Autonomous Databaseでのプライベート・エンドポイント構成の例
Autonomous Databaseのプライベート・エンドポイント(VCN)構成のサンプルをいくつか示します。
- 例: Oracle Cloud Infrastructure VCN内からの接続
Autonomous Databaseで構成されているのと同じVCN内の仮想マシン(VM)で、Oracle Cloud Infrastructure内で実行されているアプリケーションを示しています。 - 例: データ・センターからAutonomous Databaseへの接続
オンプレミス・データ・センターからAutonomous Databaseに非公開で接続する方法を示します。このシナリオでは、トラフィックはパブリック・インターネットを経由しません。
例: Oracle Cloud Infrastructure VCN内からの接続
Oracle Cloud Infrastructure内で、Autonomous Databaseに対して構成されているのと同じVCNの仮想マシン(VM)で実行されているアプリケーションを示します。

図adb_private_endpoint1.pngの説明
"Your VCN"という名前のVCNにプライベート・エンドポイントを持つAutonomous Databaseインスタンスがあります。このVCNには、"SUBNET B" (CIDR 10.0.1.0/24)と"SUBNET A" (CIDR 10.0.2.0/24)の2つのサブネットが含まれています。
Autonomous Databaseインスタンスに関連付けられたネットワーク・セキュリティ・グループ(NSG)は、"NSG 1 - Security Rules"として表示されています。このネットワーク・セキュリティ・グループは、Autonomous Databaseインスタンスとの間の送受信トラフィックを許可するセキュリティ・ルールを定義するものです。Autonomous Databaseインスタンスのルールを次のように定義します:
-
相互TLS認証の場合は、ソースからAutonomous Databaseインスタンスへの接続を許可するためのステートフル・イングレス・ルールを追加します。ソースはデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルはTCPに設定され、宛先ポート範囲は1522に設定されます。
-
TLS認証の場合は、ソースからAutonomous Databaseインスタンスへの接続を許可するためのステートフル・イングレス・ルールを追加します。ソースはデータベースへの接続を許可するにはアドレス範囲、IPプロトコルはTCPに設定し、宛先ポート範囲は1523に設定されます。
-
Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。
次の図は、Autonomous Databaseインスタンスのトラフィックを制御するサンプルのステートフル・セキュリティ・ルールを示しています:

図adb_private_vcn_nsg_stateful1.pngの説明
Autonomous Databaseに接続するアプリケーションは、SUBNET BのVMで実行されています。VMとの間のトラフィックを許可するセキュリティ・ルールも追加します(図に示すように、"NSG 2 Security Rules"というラベルが付いています)。VMにはステートフル・セキュリティ・ルールを使用できるため、NSG 2 Security Rulesにエグレスのルールを追加するだけです(これにより、宛先サブネットAへのアクセスが許可されます)。
次の図は、VMのトラフィックを制御するサンプルのセキュリティ・ルールを示しています:

図adb_private_vcn_rules2.pngの説明
セキュリティ・ルールを構成すると、アプリケーションはクライアント資格証明ウォレットを使用してAutonomous Databaseインスタンスに接続できます。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。
ネットワーク・セキュリティ・グループの構成の詳細は、ネットワーク・セキュリティ・グループを参照してください。
例: データ・センターからAutonomous Databaseへの接続
オンプレミス・データ・センターからAutonomous Databaseにプライベートに接続する方法を示します。このシナリオでは、トラフィックはパブリック・インターネットを経由しません。

図adb_private_endpoint2.pngの説明
データ・センターから接続するには、オンプレミス・ネットワークをFastConnectでVCNに接続し、動的ルーティング・ゲートウェイ(DRG)を設定します。Autonomous Databaseのプライベート・エンドポイントを解決するには、完全修飾ドメイン名(FQDN)のエントリをオンプレミス・クライアントのhostsファイルに追加する必要があります。たとえば、Linuxマシンの場合は/etc/hosts
ファイルです。たとえば:
/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloud.com
Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、同じIPを持つ別のエントリを追加します。たとえば:
/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloudapps.com
プライベート・エンドポイントのIPとFQDNは次のようになります:
-
プライベートIPは、インスタンスのOracle Cloud InfrastructureコンソールのAutonomous Database詳細ページに表示されます。
-
FQDNは、Autonomous Databaseクライアント資格証明ウォレットの
tnsnames.ora
ファイルに表示されます。
または、Oracle Cloud InfrastructureプライベートDNSを使用してDNS名解決を提供することもできます。詳細は、プライベートDNSを参照してください。
この例では、オンプレミス・データ・センターと"Your VCN"の間に動的ルーティング・ゲートウェイ(DRG)があります。このVCNにはAutonomous Databaseが含まれています。また、DRGを経由するCIDR 172.16.0.0/16への送信トラフィック用に、Autonomous Databaseに関連付けられたVCNのルート表も表示されています。
DRGの設定に加えて、データ・センターのCIDR範囲(172.16.0.0/16)のルールを追加することで、Autonomous Databaseとの間のトラフィックを許可するネットワーク・セキュリティ・グループ(NSG)ルールを定義します。この例では、"NSG 1"のセキュリティ・ルールを次のように定義します:
-
相互TLS認証の場合は、データ・センターからのイングレス・トラフィックを許可するステートフル・ルールを作成します。これは、ソースがデータベースへの接続を許可するアドレス範囲に設定され、プロトコルがTCPに設定され、ソース・ポート範囲がCIDR範囲(172.16.0.0/16)に設定され、宛先ポートが1522に設定されている、ステートフル・イングレス・ルールです。
-
TLS認証の場合は、データ・センターからのイングレス・トラフィックを許可するステートフル・ルールを作成します。これはステートフル・イングレス・ルールで、ソースをデータベースへの接続を許可するアドレス範囲に設定し、プロトコルをTCPに設定し、ソース・ポート範囲はCIDR範囲(172.16.0.0/16)に設定し、宛先ポートを1521または1522に設定しています。
-
Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。
次の図は、Autonomous Databaseインスタンスのトラフィックを制御するセキュリティ・ルールを示しています:

図adb_private_vcn_nsg_stateful2.pngの説明
セキュリティ・ルールを構成すると、オンプレミス・データベース・アプリケーションは、クライアント資格証明ウォレットを使用してAutonomous Databaseインスタンスに接続できます。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。