Oracle Cloud Infrastructureドキュメント

セキュリティ・ルールの追加

Oracle Data Safeプライベート・エンドポイント経由でデータベースに手動で接続する予定の場合は、データベースを登録する前に、仮想クラウド・ネットワーク(VCN)にセキュリティ・ルールを追加して、データベースとOracle Data Safe間の通信を許可する必要があります。プライベート・エンドポイントは、基本的に、選択したサブネット内のプライベートIPアドレスを持つVCN内のOracle Data Safeサービスを表します。

概要

データベースがOracle Cloud Infrastructure (OCI)に存在する場合、データベースの仮想クラウド・ネットワーク(VCN)のセキュリティ・リストまたはOCIのネットワーク・セキュリティ・グループ(NSG)にイングレス・セキュリティ・ルールおよびエグレス・セキュリティ・ルールを追加する必要があります。ステートフル・セキュリティ・ルールとステートレス・セキュリティ・ルールの両方が許容されます。イングレス・ルールとエグレス・ルールは、同じセキュリティ・リスト、ネットワーク・セキュリティ・グループまたは同じコンパートメント内に格納する必要はありません。

  • イングレス・セキュリティ・ルールにより、データベースはOracle Data Safeプライベート・エンドポイントからの受信トラフィックを受信できます。

  • エグレス・セキュリティ・ルールにより、Oracle Data Safeプライベート・エンドポイントはデータベースにリクエストを送信できます。

データベースがOCIの外部に存在する場合、OCIにエグレス・セキュリティ・ルールを追加するだけで済みます。イングレス・セキュリティ・ルールを追加する必要はありませんが、独自のネットワーク環境では、データベースがOracle Data Safeプライベート・エンドポイントからトラフィックを受信できるようにする必要があります。

OCIにセキュリティ・ルールを追加するときに実行できるアプローチは2つあります。最初のアプローチは、Oracle Data Safeプライベート・エンドポイントと、OCI内の同じサブネット(0.0.0.0/0)内のすべてのデータベースIPアドレス間の通信を許可することです。この構成により、Oracle Data Safeプライベート・エンドポイントは、サブネット内のすべてのデータベースに接続できます。

もう1つの方法は、次のようにイングレスおよびエグレス・セキュリティ・ルールを個別に構成することで、より具体的にすることです。

  • イングレス・セキュリティ・ルール:データベースのNSGまたはセキュリティ・リストで、データベースのポート上のデータベースのプライベート・エンドポイントIPアドレスが、すべてのポートからOracle Data Safeのプライベート・エンドポイントIPアドレスからの受信トラフィックを受信できるようにするイングレス・ルールを追加します。

  • エグレス・セキュリティ・ルール: Oracle Data Safeプライベート・エンドポイントのNSGまたはセキュリティ・リストに、すべてのポートのOracle Data Safeのプライベート・エンドポイントIPアドレスがデータベースのポート上のデータベースのプライベート・エンドポイントIPアドレスにリクエストを送信できるようにするエグレス・ルールを追加します。データベースに複数のIPアドレスがある場合は、IPアドレスごとにエグレス・ルールを構成する必要があります。

セキュリティ・リストとネットワーク・セキュリティ・グループの詳細は、Oracle Cloud Infrastructureドキュメントのアクセスおよびセキュリティを参照してください。

Autonomous AI Databaseのセキュリティ・ルール

Oracle Data Safeプライベート・エンドポイントを使用するAutonomous AI Databaseでは、Oracle Cloud Infrastructureにイングレス・セキュリティ・ルールおよびエグレス・セキュリティ・ルールを追加する必要があります。

  1. データベースのプライベートIPアドレスおよびNSGまたはセキュリティ・リストを取得します。

    • ネットワーク情報は、Oracle Cloud Infrastructure Consoleのデータベースのページの「ネットワーク」にあります。

    • (Autonomous AI Database on Dedicated Exadata Infrastructure)サブネットまたは浮動IPアドレス(既知の場合)およびデータベースのNSGまたはセキュリティ・リストの名前を取得します。データベース・ノードには最大8つの浮動IPアドレスを指定できます。

  2. Oracle Data Safeプライベート・エンドポイントのプライベートIPアドレスおよびNSGまたはセキュリティ・リストを取得します。

    • Oracle Data Safeプライベート・エンドポイントのネットワーク情報は、Oracle Cloud InfrastructureのOracle Data Safeサービスの「プライベート・エンドポイント情報」ページで確認できます。

  3. データベースのVCNを開きます。

  4. データベースのNSGまたはセキュリティ・リストにイングレス・セキュリティ・ルールを作成します。

    • プライベート・エンドポイント・アクセスのみを使用するAutonomous AI Database Serverlessの例: ポート1522のデータベース・プライベート・エンドポイントIPアドレス(10.0.0.112/32)は、すべてのポートからOracle Data Safeのプライベート・エンドポイントIPアドレス(10.0.0.79/32)からの受信トラフィックを受信します。

    • 専用Exadataインフラストラクチャ上のAutonomous AI Databaseの例: ポート2484のデータベース・プライベート・エンドポイントは、Oracle Data Safeのプライベート・エンドポイントIPアドレス(すべてのポートから)から受信トラフィックを受信します。

  5. Oracle Data Safeプライベート・エンドポイントのNSGまたはセキュリティ・リストにエグレス・セキュリティ・ルールを作成します。

    • プライベート・エンドポイント・アクセスのみを使用するAutonomous AI Database Serverlessの例: すべてのポート上のOracle Data Safeのプライベート・エンドポイントIPアドレス(10.0.0.79/32)は、データベースのポート(1522)上のデータベースのプライベート・エンドポイントIPアドレス(たとえば、10.0.0.112/32)にリクエストを送信します。

    • 専用Exadataインフラストラクチャ上のAutonomous AI Databaseの例1: Oracle Data Safeのプライベート・エンドポイント(すべてのポートから)は、ポート2484上のデータベースのサブネット上のすべてのIPアドレスにリクエストを送信します。

    • 専用Exadataインフラストラクチャ上のAutonomous AI Databaseの例2: 各浮動IPアドレスのエグレス・ルールにより、Oracle Data Safeプライベート・エンドポイント(すべてのポートから)はポート2484の浮動IPアドレスにリクエストを送信できます。

Oracle Cloudデータベースのセキュリティ・ルール

Oracle Cloudデータベースの場合、Oracle Cloud Infrastructureにイングレス・セキュリティ・ルールエグレス・セキュリティ・ルールを追加する必要があります。

  1. データベースのプライベート・エンドポイントのIPアドレスおよびNSG名を取得します。

    • データベース情報は、Oracle Cloud Infrastructureのデータベースのコンソールで確認できます。

    • ベア・メタルまたは仮想マシンのDBシステムには、プライベートIPアドレスが1つあります。

    • Oracle Exadata Database Service on Dedicated Infrastructureは、データベース・ノードに対して複数の浮動IPアドレスを持つことができます。また、データベース・システムのスキャンIPアドレスを持つこともできます。Oracleでは、スキャンIPアドレスのいずれかを使用することをお薦めします。スキャンIPアドレスは、Oracle Cloud Infrastructureの「DB System情報」タブの「ネットワーク」にあります。または、いずれかのデータベース・ノードのプライベート浮動IPアドレスを入力できます。

  2. Oracle Data Safeプライベート・エンドポイントのプライベートIPアドレスおよびNSG名を取得します。

    • Oracle Data Safeのプライベート・エンドポイント情報は、Oracle Cloud InfrastructureのOracle Data Safeサービスのプライベート・エンドポイント情報ページで確認できます。

  3. データベースのVCNを開きます。

  4. データベースのNSGにイングレス・ルールを作成します。

    • 例: ポート1521のデータベース・プライベート・エンドポイントIPアドレス(10.0.0.112/32)は、すべてのポートからOracle Data Safeのプライベート・エンドポイントIPアドレス(10.0.0.79/32)からの受信トラフィックを受信します。

  5. Oracle Data Safeプライベート・エンドポイントのNSGにエグレス・ルールを作成します。

    • 例: すべてのポート上のOracle Data Safeのプライベート・エンドポイントIPアドレス(10.0.0.79/32)は、ポート1521上のデータベースのプライベート・エンドポイントIPアドレス(10.0.0.112/32)にリクエストを送信します。

    • (Oracle Exadata Database Service on Dedicated Infrastructure)データベースのスキャンIPアドレスのいずれかを使用するか、いずれかのデータベース・ノードのプライベート浮動IPアドレスを使用します。データベースのポート番号は1521です。

Oracle Cloud@Customerデータベースのセキュリティ・ルール

Oracle Data Safeプライベート・エンドポイントを使用するOracle Cloud@Customerデータベースの場合、Oracle Cloud Infrastructureでエグレス・セキュリティ・ルールを作成する必要があります。

ノート

ノート: Oracle Cloud Infrastructureでイングレス・セキュリティ・ルールを作成する必要はありません。かわりに、データベースがOracle Data Safeプライベート・エンドポイントからのトラフィックを受信できるように、独自のネットワークを構成してください。

  1. データベースのプライベート・エンドポイントのIPアドレスおよびNSG名を取得します。

  2. Oracle Data Safeプライベート・エンドポイントのプライベートIPアドレスおよびNSG名を取得します。

    • Oracle Data Safeのプライベート・エンドポイント情報は、Oracle Cloud InfrastructureのOracle Data Safeサービスのプライベート・エンドポイント情報ページで確認できます。

  3. データベースのVCNを開きます。

  4. Oracle Data Safeプライベート・エンドポイントのNSGまたはセキュリティ・リストにエグレス・ルールを作成します。

    • (Oracle Exadata Database Service on Cloud@Customerデータベース) Oracle Data Safeプライベート・エンドポイント(任意のポートから)とすべてのデータベース・サーバーのVIPおよびSCANアドレス(3つすべて)間の通信を許可するルールを構成します。データベース・サーバーVIPは、常にエグレス・セキュリティ・ルールに含めてください。デフォルトでは、Oracle Exadata Database Service on Cloud@Customerのすべてのデプロイメントは単一クライアント・アクセス名(SCAN)に関連付けられ、SCANは3つのIPアドレスに関連付けられます。各データベース・システム構成には、計算ノード(データベース・サーバー)が含まれます。VMクラスタには、計算ノードごとに1つのデータベース・サーバーVIPアドレスがあります。

    • Oracle Exadata Database Service on Cloud@Customerの例: エグレス・ルールでは、Oracle Data Safeプライベート・エンドポイント(任意のポートから)が2つのデータベース・サーバーVIP (1.1.1.3および1.1.1.5)および3つのSCANアドレス(1.1.1.6、1.1.1.7および1.1.1.8)にポート1521でリクエストを送信できます。

      次の図に、Oracle Data Safeのプライベート・エンドポイント、データベースおよびエグレス・セキュリティ・ルールを示します。

      Oracle Exadata Database Service on Cloud@Customerのエグレス・ルールの例

      図exacc-egress-rule.pngの説明

      次のスクリーンショットは、Oracle Cloud InfrastructureのVMクラスタのOracle Exadata Database Service on Cloud@Customerネットワーク構成を示しています。この構成では、SCANアドレスおよびデータベース・サーバーVIPを検索できます。

      OCIのVMクラスタのOracle Exadata Database Service on Cloud@Customerネットワーク構成のスクリーンショット

      図exacc-network-configuration.pngの説明

オンプレミスOracle Databasesのセキュリティ・ルール

Oracle Data Safeプライベート・エンドポイントを使用してオンプレミスのOracleデータベースに接続する場合は、プライベート・エンドポイントの仮想クラウド・ネットワーク(VCN)にエグレス・セキュリティ・ルールを作成する必要があります。

ノート

ノート: Oracle Cloud Infrastructureでイングレス・セキュリティ・ルールを作成する必要はありません。かわりに、データベースがOracle Data Safeプライベート・エンドポイントからのトラフィックを受信できるように、独自のネットワークを構成してください。

  1. オンプレミスOracleデータベースのプライベートIPアドレスを取得します。

    • IPアドレスは、Oracleデータベース・リスナーが実行されている場所です(たとえば、10.0.0.2)。

    • Real Application Cluster (RAC)データベースの場合、SCAN IPアドレスではなくRACデータベース・ノードのIPアドレスを指定する必要があります。RACデータベース内のすべてのノードを指定するかどうかは、プラガブル・データベース(PDB)、の構成方法によって異なります。

  2. Oracle Data Safeプライベート・エンドポイントのプライベートIPアドレスおよびNSGまたはセキュリティ・リストの名前を取得します。

    • Oracle Data Safeのプライベート・エンドポイント情報は、Oracle Cloud InfrastructureのOracle Data Safeサービスのプライベート・エンドポイント情報ページで確認できます。

  3. Oracle Data Safeプライベート・エンドポイントのNSGまたはセキュリティ・リストにエグレス・セキュリティ・ルールを作成します。

    • 例: エグレス・ルールでは、すべてのポート上のOracle Data Safeのプライベート・エンドポイントIPアドレス(10.0.0.79/32)が、データベースのポート1521上のデータベースのプライベートIPアドレス(10.0.0.2/32)にリクエストを送信できます。

      オンプレミスOracleデータベースのエグレス・ルール

      図s_egress-rule-onprem.pngの説明

コンピュート・インスタンス上のOracle Databasesのセキュリティ・ルール

データベースがOracle Cloud Infrastructure (OCI)に存在する場合は、イングレス・セキュリティ・ルールおよびエグレス・セキュリティ・ルールを追加する必要があります。データベースがOCIの外部に存在する場合は、Oracle Cloud Infrastructureにエグレス・セキュリティ・ルールを作成し、データベースがOracle Data Safeプライベート・エンドポイントからのトラフィックを受信できるように独自のネットワークを構成します。

  1. データベースのプライベート・エンドポイントのIPアドレスとNSGまたはセキュリティ・リストの名前を取得します。

    • データベース情報は、Oracle Cloud Infrastructureのデータベースのコンソールで確認できます

  2. Oracle Data Safeプライベート・エンドポイントのNSGまたはセキュリティ・リストのIPアドレスおよび名前を取得します。

    • Oracle Data Safeのプライベート・エンドポイント情報は、Oracle Cloud InfrastructureのOracle Data Safeサービスのプライベート・エンドポイント情報ページで確認できます。

  3. Oracle Cloud InfrastructureまたはOracle以外のクラウド環境のいずれかで、データベースのVCNにイングレス・セキュリティ・ルールを作成します。

    • 例: イングレス・ルールでは、データベースのポート1521上のデータベースのプライベート・エンドポイントIPアドレス(10.0.0.112/32)が、すべてのポートからOracle Data Safeのプライベート・エンドポイントIPアドレス(10.0.0.79/32)からの受信トラフィックを受信することを許可します。

    • データベースがOCIの外部に存在する場合は、データベースがOracle Data Safeプライベート・エンドポイントからのトラフィックを受信できるように、独自のネットワークを構成します。

  4. Oracle Cloud InfrastructureのOracle Data Safeのプライベート・エンドポイントのVCNにエグレス・セキュリティ・ルールを作成します。

    • 例: エグレス・ルールでは、すべてのポート上のOracle Data Safeのプライベート・エンドポイントIPアドレス(10.0.0.79/32)が、データベースのポート1521上のデータベースのプライベート・エンドポイントIPアドレス(10.0.0.112/32)にリクエストを送信できます。

Amazon RDS for Oracleのセキュリティ・ルール

Oracle Data Safeプライベート・エンドポイントを使用してAmazon RDS for Oracleデータベースに接続する場合は、プライベート・エンドポイントの仮想クラウド・ネットワーク(VCN)にエグレス・セキュリティ・ルールを作成する必要があります。

ノート

ノート: Oracle Cloud Infrastructureでイングレス・セキュリティ・ルールを作成する必要はありません。かわりに、データベースがOracle Data Safeプライベート・エンドポイントからのトラフィックを受信できるように、独自のネットワークを構成してください。

  1. Amazon RDS for OracleデータベースのプライベートIPアドレスを取得します。

  2. Oracle Data Safeプライベート・エンドポイントのプライベートIPアドレスおよびNSGまたはセキュリティ・リストの名前を取得します。

    • Oracle Data Safeのプライベート・エンドポイント情報は、Oracle Cloud InfrastructureのOracle Data Safeサービスのプライベート・エンドポイント情報ページで確認できます。

  3. Oracle Data Safeプライベート・エンドポイントのNSGまたはセキュリティ・リストにエグレス・セキュリティ・ルールを作成します。

    • 例: エグレス・ルールでは、すべてのポート上のOracle Data Safeのプライベート・エンドポイントIPアドレス(10.0.0.79/32)が、データベースのポート1521上のデータベースのプライベートIPアドレス(10.0.0.2/32)にリクエストを送信できます。