Oracle Cloud Infrastructureドキュメント

データベース管理とOracle Cloudデータベースの間の通信の有効化

Oracle CloudデータベースにアクセスできるVCN内のNSGまたはセキュリティ・リストにイングレスおよびエグレス・セキュリティ・ルールを追加することで、データベース管理とOracle Cloudデータベースの間の通信を有効にする必要があります。

ノート

このトピックの情報は、ベース・データベース・サービスのOracle Cloudデータベース(ExaDB-DおよびExaDB-XS)にのみ適用され、ExaDB-C@CのOracle Cloudデータベースには適用されません。

データベース管理とOracle Cloudデータベースの間の通信を有効にするための前提条件は次のとおりです:

  • セキュリティ・ルールについて理解していること。詳細は、セキュリティ・ルールを参照してください。
  • イングレスおよびエグレス・ルールの追加にNSGかセキュリティ・リストのどちらを使用するかに応じて、必要な権限を持っていること、およびセキュリティ・ルールの追加方法を理解していること。
    ノート

    • データベース管理プライベート・エンドポイントを作成するために、NSGが使用可能になっていること。詳細は、ネットワーク・セキュリティ・グループを参照してください。
    • データベース・ポート<number>を介したアクセスを許可するセキュリティ・リスト・ルールは、VCNまたはサブネットCIDRブロック内でアクセスできるようにNSGに適用されます。詳細は、セキュリティ・リストを参照してください。
  • Oracle CloudデータベースのプライベートIPアドレスとポートの詳細、およびデータベース管理のプライベートIPアドレスを書き留めます。これらは、セキュリティ・ルールを追加するときに入力する詳細です。ここでは、その詳細が表示される場所について説明します:
    • Oracle Cloud Databaseのポートの詳細は、ベース・データベース・サービスのOracle Cloudデータベースの「データベース・システムの詳細」ページの「DBシステムの情報」セクションを参照してください。ExaDB-DおよびExaDB-XSのOracle Cloudデータベースについては、それぞれ「Exadata VMクラスタの詳細」および「VMクラスタの詳細」ページの「ネットワーク」の詳細を参照してください。
    • Oracle CloudデータベースのプライベートIPアドレスの場合は、ベース・データベース・サービスの単一インスタンス・データベースの「データベース・システムの詳細」ページの「ノード」セクションを参照してください。RACデータベースの場合、「スキャンIPアドレス」を使用します。これは、ベース・データベース・サービスの仮想マシンDBシステムの「DB Systemの詳細」ページ、ExaDB-Dの「Exadata VMクラスタの詳細」ページ、およびExaDB-XSの「VMクラスタの詳細」ページで使用できます。

    データベース管理のプライベートIPアドレスの取得方法の詳細は、Oracle Cloudデータベースのデータベース管理プライベート・エンドポイントの作成を参照してください。ベース・データベース・サービス内の単一インスタンスOracle Cloudデータベースのデータベース管理プライベート・エンドポイントには、ベース・データベース・サービス内のRAC Oracle CloudデータベースのプライベートIPアドレスが1つのみあり、データベース管理プライベート・エンドポイントはExaDB-DおよびExaDB-XSにはプライベートIPアドレスが2つあります。

データベース管理がOracle Cloudデータベースと通信するためには、NSGまたはセキュリティ・リストのいずれかを使用してイングレスおよびエグレス・セキュリティ・ルールを追加する必要があります。次に、NSGおよびセキュリティ・リストを使用して、ベース・データベース・サービスの仮想マシンDBシステム内のデータベース管理プライベート・エンドポイントとOracle Cloudデータベース間の通信を有効にする方法を示すいくつかの例を示します。

NSGを作成して、データベース管理プライベート・エンドポイントと仮想マシンDBシステムの間の通信を有効にします

次の例では、NSGを作成して次のものに追加しています:

  • 仮想マシンDBシステム
  • (すでに作成されている)単一インスタンスOracle Cloudデータベースのデータベース管理プライベート・エンドポイント

この例にリストされたタスクを完了すると、データベース管理プライベート・エンドポイントは、VCNのサブネット・アーキテクチャに影響を与えることなく、仮想マシンDBシステムのVCN内のすべての単一インスタンス・データベースにアクセスできるようになります。

仮想マシンDBシステムのVCN内にNSGを作成する方法の詳細は、NSGを作成するにはを参照してください。

NSGを作成する際は、次のステートフル・セキュリティ・ルールを追加します。これにより、これらのセキュリティ・ルールが仮想マシンDBシステムのVCNに追加されます:

  • 仮想マシンDBシステムのVCNのイングレス・ルール: 仮想マシンDBシステムのVCN (ポート1521)は、任意のポートから、データベース管理プライベート・エンドポイントのサブネット(10.0.0.0/24)からの受信トラフィックを受信できます。
  • データベース管理プライベート・エンドポイントのエグレス・ルール: データベース管理プライベート・エンドポイントのサブネットは、ポート1521の仮想マシンDBシステムのVCN (10.0.0.0/16)にリクエストを送信できます。

データベース管理プライベート・エンドポイントと仮想マシンDBシステムのVCNの間の通信を有効にする、NSG内のセキュリティ・ルール

NSGを作成した後は、それを仮想マシンDBシステムおよびデータベース管理プライベート・エンドポイントに追加する必要があります。

NSGを仮想マシンDBシステムに追加する方法の詳細は、DBシステムのネットワーク・セキュリティ・グループの管理を参照してください。

NSGをデータベース管理プライベート・エンドポイントに追加するには、「データベース管理」の「プライベート・エンドポイント」ページに移動し、プライベート・エンドポイントをクリックします。「プライベート・エンドポイントの詳細」ページで、「ネットワーク・セキュリティ・グループ」の隣にあるリンクをクリックし、新しく作成したNSGを追加します。データベース管理の「プライベート・エンドポイント」ページに移動する方法の詳細は、Oracle Cloudデータベースのデータベース管理プライベート・エンドポイントの作成を参照してください。

セキュリティ・ルールをセキュリティ・リストに追加して、データベース管理プライベート・エンドポイントと仮想マシンDBシステムの間の通信を有効にします

次の例では、仮想マシンDBシステムのVCN内の既存のセキュリティ・リストにステートフル・セキュリティ・ルールを追加して、単一インスタンスOracle Cloudデータベースのデータベース管理プライベート・エンドポイントと、VCN内のすべてのサブネットの間の通信を有効にしています。これにより、データベース管理プライベート・エンドポイントは、VCN内のすべての単一インスタンス・データベースにアクセスできます。

既存のセキュリティ・リストを更新する方法の詳細は、既存のセキュリティ・リスト内のルールを更新するにはを参照してください。

次のステートフル・セキュリティ・ルールをセキュリティ・リストに追加します:

  • 仮想マシンDBシステムのVCNのイングレス・ルール: 仮想マシンDBシステムのVCN (ポート1521)は、任意のポートから、データベース管理プライベートIPアドレス(10.0.0.6/32)からの受信トラフィックを受信できます。
  • データベース管理プライベート・エンドポイントのエグレス・ルール: データベース管理のプライベートIPアドレスは、(任意のポートから)ポート1521の仮想マシンDBシステムのVCN (10.0.0.0/16)にリクエストを送信できます。

データベース管理プライベート・エンドポイントと仮想マシンDBシステムのVCNの間の通信を有効にする、セキュリティ・リスト内のセキュリティ・ルール