Autonomous AI Databaseのデータベース管理プライベート・エンドポイントの作成
データベース管理プライベート・エンドポイントを作成して、データベース管理と自律型AIデータベース間のネットワーク・アクセスを構成できます。
このトピックの情報は、専用Exadataインフラストラクチャ上のAutonomous AI DatabaseサーバーレスおよびAutonomous AI Databaseにのみ適用でき、ExaDB-C@C上のAutonomous AI Databaseには適用されません。
プライベート・エンドポイントは、Autonomous AI DatabaseにアクセスできるVCN内のデータベース管理を表したもので、選択されたサブネット内でプライベートIPアドレスを持つVNICとして機能します。VCNで作成されたプライベート・エンドポイントを使用して、同じVCNで使用可能なAutonomous AIデータベースのデータベース管理診断および管理を有効にでき、複数のVCNs間では使用できません。プライベート・エンドポイントは、Autonomous AI Databaseと同じサブネット上にある必要はありませんが、Autonomous AI Databaseと通信できるサブネット上にある必要があります。
データベース管理では、次のタイプのプライベート・エンドポイントを作成できます:
- Autonomous AI Databases Serverlessのプライベート・エンドポイント: Autonomous AI Database Serverlessに接続するために、テナンシ(リージョン当たり)に最大7つのDatabase Managementプライベート・エンドポイントを作成できます。単一のプライベート・エンドポイントを使用して診断および管理を有効にできるAutonomous AI Databases Serverlessの数に制限はありません。Autonomous AI Databases Serverlessのプライベート・エンドポイントには、プライベートIPアドレスが1つのみあります。
- 専用Exadataインフラストラクチャ上のAutonomous AIデータベースのプライベート・エンドポイント: テナンシに3つのデータベース管理プライベート・エンドポイント(リージョン当たり)を作成して、専用Exadataインフラストラクチャ上のAutonomous AIデータベースに接続できます。専用Exadataインフラストラクチャ上のAutonomous AI Databaseのプライベート・エンドポイントには、2つのプライベートIPアドレスがあります。
VCNには、各タイプのプライベート・エンドポイントを1つ作成できます。つまり、Autonomous AI Databases Serverless用に1つずつ、専用Exadata Infrastructure上のAutonomous AI Databases用に1つずつプライベート・エンドポイントを作成することができます。Autonomous AI Databases Serverlessの7つのプライベート・エンドポイントのデフォルト制限よりも多くのプライベート・エンドポイントが必要で、テナンシのDedicated Exadata InfrastructureのAutonomous AI Databasesの3つのプライベート・エンドポイントが必要な場合は、プライベート・エンドポイント制限の拡大をリクエストできます。
プライベート・エンドポイントの詳細は、プライベート・エンドポイントについてを参照してください。
VCNでデータベース管理プライベート・エンドポイントを作成する前に、Oracle Cloud Infrastructureで仮想ネットワーキング・リソースを使用するために必要な権限を取得し、データベース管理プライベート・エンドポイントを作成する必要があります。詳細は、Autonomous AI Databaseの診断および管理を有効にするために必要な権限を参照してください。
データベース管理プライベート・エンドポイントを作成するには:
データベース管理プライベート・エンドポイントの詳細を表示するには、その名前をクリックします。「プライベート・エンドポイントの詳細」ページでは、次のことができます:
- 関連付けられたVCNやサブネット、およびデータベース管理プライベート・エンドポイントに割り当てられたプライベートIPアドレスなどの詳細を表示します。セキュリティ・ルールを構成するには、プライベートIPアドレス情報が必要です。
- 「詳細」タブの「データベース」セクションで、関連付けられたデータベースを表示します。
- 「作業リクエスト」タブで、プライベート・エンドポイントに関連する作業リクエストをモニターします。特定の作業リクエストをクリックすると、作業リクエスト情報、ログ・メッセージおよびエラー・メッセージ(ある場合)を表示できます。
- 「タグ」タブで、タグ関連タスクを実行します。
プライベート・エンドポイントのセキュリティ属性の管理
オプションで、Zero Trust Packet Routing (ZPR)セキュリティ属性をプライベート・エンドポイントに追加して、ZPRポリシーを介したアクセスを制御できます。ZPRは、これらの属性を既存のネットワーク・コントロールとともに評価します。
セキュリティー属性およびZPRの詳細は、Security Attributesおよび Overview of Zero Trust Packet Routingを参照してください。
プライベート・エンドポイントにセキュリティ属性を追加する場合は、必要なZPRポリシーが設定されていることを確認してください。そうしないと、目的のトラフィックをブロックできます。
設定
プライベート・エンドポイントにセキュリティ属性を追加する前に、必要なZPR設定を完了し、ネットワーク構成で目的のトラフィックが許可されていることを確認します。
- 必要なIAM権限、セキュリティ属性ネームスペース、セキュリティ属性およびZPRポリシーがすでに構成されていることを確認します。詳細は、Zero Trust Packet Routing IAMポリシー、セキュリティ属性およびZero Trust Packet Routingポリシーを参照してください。
- 適用可能なZPRポリシーが目的のトラフィックを許可するように、プライベート・エンドポイントに追加するセキュリティ属性を決定します。
重要な考慮事項
- 管理者は、ユーザーがプライベート・エンドポイントにセキュリティ属性を適用する前に、テナンシにセキュリティ属性ネームスペースおよびセキュリティ属性を設定する必要があります。
- セキュリティ属性を使用すると、プライベート・エンドポイントへのアクセスは、セキュリティ・リストやNSGなどの既存のネットワーク制御とともにZPRポリシーによって管理されます。
- セキュリティ属性は、適切なZPRポリシーが定義されている場合にのみ有効です。対応するポリシーなしでセキュリティ属性を追加した場合、NSGまたはセキュリティ・リストがトラフィックを許可しなくても、プライベート・エンドポイントへのアクセスはデフォルトで拒否されます。
- 最大3つのセキュリティ属性をプライベート・エンドポイントに追加できます。使用する属性がわからない場合は、ネットワーク管理者に連絡してください。
セキュリティ属性の追加
セキュリティ属性は、プライベート・エンドポイントの作成時に追加することも、プライベート・エンドポイントの作成後に「プライベート・エンドポイントの詳細」ページから追加することもできます。
「プライベート・エンドポイントの詳細」ページからセキュリティ属性を追加するには:
- プライベート・エンドポイントの「プライベート・エンドポイント詳細」ページに移動します
- 「セキュリティ」タブの「セキュリティ属性」セクションで、「追加」をクリックします。
- セキュリティ属性ネームスペース、キーおよび値を指定します。
- 「セキュリティ属性の追加」をクリックします。
セキュリティ属性のリスト
プライベート・エンドポイントに追加されたセキュリティ属性を表示するには、プライベート・エンドポイントの「プライベート・エンドポイントの詳細」ページに移動し、「セキュリティ」タブをクリックします。「セキュリティ属性」セクションには、プライベート・エンドポイントに追加されたセキュリティ属性がリストされます。