ネットワーク・ポートおよびプロトコルのマトリックス
Compute Cloud@Customerでは、特定のIPアドレス、ポートおよびプロトコルに対するアクセス権限が付与されている必要があります。
ほとんどすべてのファイアウォールのデフォルトのセキュリティ・ポスチャは、アクセスを拒否することです。これは、Compute Cloud@Customerラックと顧客データ・センター間で使用されるファイアウォールに適用されます。
特定のCompute Cloud@Customer機能を正しく動作させるには、特定のIPアドレスおよび関連サービスに対するアクセス権を付与する必要があります。0.0.0.0/0などの"allow all"ルールはセキュリティの目的では広すぎるため、許可するアドレス、ポートおよびプロトコルを明示的にリストすることをお薦めします。
Compute Cloud@Customerは、様々な目的で異なるネットワークに接続してインストールされます(「顧客サイトのネットワーク要件」を参照)。セキュリティ上の理由から、Compute Cloud@Customerは管理ネットワークを顧客データ・ネットワークから分離します。
Compute Cloud@Customerのインストール中に、Oracleは分離されたネットワークを構成し、ネットワーク管理者と協力してネットワーク・ポートを構成して、環境内で機能するようにします。
次の表に、データ・センターおよび管理ネットワーク分離に対して付与される特定のIPアドレス、ポートおよびプロトコルのアクセス権限を示します。
テーブル・キー:
-
顧客 –Compute Cloud@Customerリソース管理の顧客管理者アクセス
-
Oracle– Oracle管理者アクセス。Oracle Operator Access Controlを使用して顧客がアクセス権を付与した場合にのみ、Oracleからアクセスできます。
| ソースIPアドレス |
宛先IPアドレス |
ポート |
プロトコル |
摘要 |
|---|---|---|---|---|
| すべての顧客ネットワーク | 顧客VIP | ICMP | 0/エコー・リプライを入力します | |
| Oracle管理者 | Oracle VIP | ICMP | 0/エコー・リプライを入力します | |
| すべての顧客ネットワーク | 管理ノード | ICMP | 0/エコー・リプライを入力します | |
| すべての顧客ネットワーク | オブジェクト・ストレージIP | ICMP | 0/エコー・リプライを入力します | |
| すべての顧客ネットワーク | 顧客VIP | ICMP | タイプ3/到達不可 | |
| Oracle管理者 | Oracle VIP | ICMP | タイプ3/到達不可 | |
| すべての顧客ネットワーク | 管理ノード | ICMP | タイプ3/到達不可 | |
| すべての顧客ネットワーク | オブジェクト・ストレージIP | ICMP | タイプ3/到達不可 | |
| すべての顧客ネットワーク | 顧客VIP | ICMP | タイプ8/VIPへのping | |
| Oracle管理者 | Oracle VIP | ICMP | タイプ8/VIPへのping | |
| Oracle管理者 | 管理ノード | ICMP | ノードへのタイプ8/ping | |
| すべての顧客ネットワーク | オブジェクト・ストレージIP | ICMP | タイプ8/VIPへのping | |
| Oracle管理者 | Oracle VIP | 22 | TCP | アクティブ管理ノードへのSSH |
| Oracle管理者 | 管理ノード | 22 | TCP | 特定の管理ノードへのSSH |
| 初期インストール DNS IP | 顧客VIP | 53 | UDP | 認可ゾーン |
| 初期インストール DNS IP | 顧客VIP | 53 | TCP | 認可ゾーン |
| 初期インストール DNS IP | Oracle VIP | 53 | UDP | 管理ゾーン |
| 初期インストールのAdminDNS IP | Oracle VIP | 53 | TCP | 管理ゾーン |
| 管理ノード | 初期インストール DNS IP | 53 | UDP | データ・ネットワークの外部DNS解決 |
| 管理ノード | 初期インストール DNS IP | 53 | TCP | データ・ネットワークの外部DNS解決 |
| 管理ノード | 初期インストールのAdminDNS IP | 53 | UDP | 管理ネットワークの外部DNS解決 |
| 管理ノード | 初期インストールのAdminDNS IP | 53 | TCP | 管理ネットワークの外部DNS解決 |
| Oracle管理者 | Oracle VIP | 443 | TCP | Oracle APIエンドポイントおよびBUI |
| すべてのCompute Cloud@Customerユーザー | 顧客VIP | 443 | TCP | Compute Cloud@Customer APIエンドポイントおよびBUI |
| すべてのCompute Cloud@Customerユーザー | 顧客VIP | 8079 | TCP | イメージダウンロードリポジトリ |
| Oracle管理者 | Oracle VIP | 30006 | TCP | 管理CLI |
| Oracle管理者 | 管理ノード | 30006 | TCP | 管理CLI |
| 顧客VIP | DNS再帰サーバー | 53 | UDP | DNS転送 |
| 顧客VIP | DNS再帰サーバー | 53 | TCP | DNS転送 |
| Oracle VIP | DNS再帰サーバー | 53 | UDP | DNS転送 |
| Oracle VIP | DNS再帰サーバー | 53 | TCP | DNS転送 |
| Oracle VIP | 顧客NTPサーバー | 123 | UDP | NTP |
| Oracle VIP | 通常は transport.oracle.com | 443 | TCP | ASRターゲット |
| Oracle VIP | Oracle Grafana通知ターゲット | 443 | TCP | Grafana通知ターゲット |
| Oracle VIP | OracleローカルULNミラー | 443 | TCP | パッチ適用 |
| 顧客VIP | ローカル・イメージ・リポジトリ | 443 | TCP | カスタム・イメージのインポートfrom-object-uri |
| 管理ノード | ロード・バランサのパブリックIPアドレス | 6443 | TCP | ロード・バランサのパブリックIPアドレス・エンドポイント |
|
すべての顧客ネットワーク |
インスタンス・コンソール | 1443 | TCP | コンピュート・インスタンスへの接続 |