ネットワーク設定

この項では、MySQL DBシステムで使用する仮想クラウド・ネットワークを作成および構成する方法について説明します。

MySQL DBシステムのネットワーク設定

MySQL Database DBシステム・エンドポイントはパブリックではありません。MySQL DBシステムに接続するには、次のいずれかを実行する必要があります。
  • DBシステムに接続するコンピュート・インスタンスを作成します。パブリック・サブネットにアタッチされたコンピュート・インスタンスは、パブリックIPアドレスを使用できます。ご使用のプラットフォームに応じて、SSHまたはRDPを使用してコンピュート・インスタンスに接続し、そこからDBシステムと対話します。
  • 要塞セッションを作成し、ローカル・ネットワークからDBシステムへのSSHアクセスを有効にします。
  • VPN接続を作成し、ローカル・ネットワークをOracle Cloud Infrastructure VCNとブリッジします。
DBシステムは、常にプライベート・サブネットにアタッチする必要があります。リージョナル・サブネットを使用することを強くお薦めします。詳細は、VCNとサブネットを参照してください。

ローカル・ネットワークまたはコンピュートとDBシステム間の通信を有効にするようにネットワークを構成するには、セキュリティ・ルールでVCNのサブネットを構成する必要があります。これらのルールによって、リソース間の特定のIPアドレスおよびポート、またはIPアドレスおよびポートの範囲からのトラフィックが許可されます。セキュリティ・ルールの詳細は、ネットワーク・セキュリティ・ルールを参照してください。

ノートCIDRブロックを定義

する場合、次のIPアドレス要件に注意してください。
  • ネットワーキング・サービスは、各サブネットに3つのIPアドレスを予約します。
  • スタンドアロンMySQL DBシステムには、DBシステムのIPアドレス用、MySQLインスタンスをホストするコンピュート・インスタンス用、およびMySQLインスタンスのメンテナンス・タスクとアップグレード・タスク用の3つのIPアドレスが必要です。
  • 高可用性MySQL DBシステムには、最大7つのIPアドレス(DBシステムのIPアドレス用、MySQLインスタンスをホストするコンピュート・インスタンスごとに1つ(合計3つ)、およびメンテナンス・タスクとアップグレード・タスク用にMySQLインスタンスごとに1つ(合計3つ)が必要です。

ネットワークの構成

このタスクでは、プライベートおよびパブリック・リージョン・サブネットを持つ既存のVCNがテナンシに存在しないことを前提としています。
Computeインスタンスに接続してMySQL Database Service DB Systemと対話できるVCNおよびサブネットを作成するには、次の手順を実行します。
  1. ナビゲーション・メニューで「Networking」を開き、「Virtual Cloud Networks」を選択します。
    仮想クラウド・ネットワーク・ページが表示されます。
  2. VCNの開始ウィザードをクリックします。
    VCNウィザードの起動ダイアログが表示されます。
  3. VCN with Internet Connectivity」を選択し、「Start VCN Wizard」をクリックします。
    VCNウィザードでは、VCN、パブリックおよびプライベートのリージョナル・サブネット、インターネット、サービスおよびNATゲートウェイを作成します。これらのコンポーネントの詳細は、ネットワーキングの概要を参照してください。
  4. 必要に応じてフィールドに入力し、「へ」をクリックします。このVCNのデフォルト値を受け入れることを強くお薦めします。
  5. 設定を確認し、「作成」をクリックしてVCNを作成します。
    VCNが作成されます。
  6. 新しいVCNの「詳細」ページを開き、「リソース」セクションから「セキュリティ・リスト」を選択します。
  7. プライベート・サブネットのセキュリティ・リストを選択します。
    プライベート・サブネットの「セキュリティ」リストが表示されます。
  8. イングレス・ルールの追加」をクリックします。
    イングレス・ルールの追加ダイアログが表示されます。
  9. イングレス・ルールに次の情報を追加します。
    • ステートレス:選択しないでください。
    • ソース・タイプ: CIDR。
    • ソースCIDR:パブリック・サブネットのCIDR。必要に応じて、より具体的なIPアドレスに範囲を絞り込むことができます。
    • IPプロトコル: TCP
    • ソース・ポート範囲:空白のままにします。
    • 宛先ポート範囲: DBシステムがリスニングするポート。デフォルトは、MySQL Classicの場合は3306、MySQL X Protocolの場合は33060です。
      ノート複数の宛先ポートを同時に追加

      するには、それらをカンマ区切りリストとして追加します。たとえば、ポート3306と33060のイングレス・ルールを同時に追加するには、このフィールドに3306,33060と入力します。
    • 説明:必要な説明文字列を追加します。
イングレス・ルールが作成され、プライベート・サブネット上のポート3306へのアクセス権が付与されます。

Bastionサービス

MySQL Database ServiceのBastion Serviceサポート。

Oracle Cloud Infrastructure Bastionは、パブリック・エンドポイントがないターゲット・リソースに対する制限された時間制限されたアクセスを提供します。Bastionsでは、認可されたユーザーがSecure Shell (SSH)セッションを使用して特定のIPアドレスからターゲット・リソースに接続できます。接続すると、ユーザーはSSHでサポートされている任意のソフトウェアまたはプロトコルを使用してターゲット・リソースとやり取りできます。たとえば、リモート・デスクトップ・プロトコル(RDP)を使用してWindowsホストに接続したり、Oracle Net Servicesを使用してデータベースに接続したりできます。また、MySQL DBシステムへの接続も可能です。

詳細は、Bastion Serviceの概要を参照してください。

MySQL DBシステムの要塞セッションを作成するには、ポート転送セッションを使用してMySQL DBシステムに接続するにはを参照してください。

VPN接続

この項では、MySQL Database Serviceでの使用が推奨されるVPNオプションについて説明します。

  • VPN接続:セキュアで暗号化された接続を介して、オンプレミス・ネットワークと仮想クラウド・ネットワーク(VCN)との間にサイト間IPSec VPNを作成します。VPN接続の詳細は、Oracle VPN接続を参照してください。
  • FastConnect:データ・センターとOracle Cloud Infrastructureとの間に、専用のプライベート接続を作成します。FastConnectは、高帯域幅のオプションを備えており、インターネット・ベースの接続に比べて、信頼性の高い一貫性のあるネットワーキング・エクスペリエンスを提供します。FastConnectの詳細は、FastConnectの概要を参照してください
  • OpenVPN: (Oracle Cloud Infrastructure Marketplaceから入手可能) OpenVPNアクセス・サーバーを作成し、クライアント・デバイスをMySQL DB SystemsなどのOracleクラウド・リソースに直接接続します。OpenVPNを使用してサイト全体またはネットワークをOracle VCNに接続することはできません。その場合は、OracleのVPN接続またはFastConnectをお薦めします。
    ノート

    アクセス・サーバーは、2つの同時VPN接続を自由にインストールして使用できます。価格の詳細は、OpenVPN Access Serverの価格設定を参照してください。

OpenVPN

OpenVPN Access Serverを使用してOracleクラウド・リソースに接続するには、次の手順を実行します。

  • OpenVPNスタックを作成します。これは、MySQL DBシステムがアタッチされているのと同じVCNにアタッチされたアクセス・サーバーを実行しているコンピュート・インスタンスと、アクセス・サーバーへの外部接続に必要なネットワーク構成で構成されます。
  • トラフィックをDBシステムにルーティングするようにOpenVPNアクセス・サーバーを構成します。これには、静的IPアドレスの構成、NATではなくルーティング、およびVPNユーザーの作成と構成が必要です。
  • OpenVPNアクセス・サーバーで使用するVPNクライアントをインストールおよび構成し、DBシステムに接続します。
  • OpenVPNアクセス・サーバーからプライベート・サブネットにアタッチされたMySQL DBシステムへの通信を許可するように、プライベート・サブネットでルート・ルールおよびイングレス・ルールを定義します。
  • OpenVPN接続を共有秘密キーで保護することを強くお薦めします。詳細は、「OpenVPNセキュリティの強化」を参照してください。

OpenVPNスタックの作成

このタスクでは、次のことを想定しています。
OpenVPNを使用してVPN接続を作成する手順は、次のとおりです。
  1. ナビゲーション・メニューで、「Marketplace」を開き、「All Applications」を選択して、「OpenVPN Access Server」を選択します。
    「OpenVPN Access Server - BYOL」ページが表示されます。
  2. でVCNを作成したコンパートメントを選択し、「スタックの起動」をクリックします。
    スタックの作成」ダイアログが表示されます。
  3. 次の情報を指定します。
    • 名前:アクセス・サーバーの名前を指定します。(オプション)
    • 説明:アクセス・サーバーの説明を入力します。(オプション)
    ノート コンパートメントまたはTerraformバージョンは編集でき

    ません。
  4. へ」をクリックします。
    構成変数」ダイアログが表示されます。
  5. 次の情報を指定します。
    • OpenVPNアクセス・サーバー名:サーバーの一意の名前。この名前は、構成されたVCNで一意である必要があります。
    • コンピュート・シェイプ:コンピュート・インスタンスのリソース・シェイプ。
    • 管理者ユーザー名:コンピュート・インスタンスの管理者ユーザー名。英数字のみで、小文字で始まる必要があります。
      ノート管理者のユーザー名にopenvpn

      を使用しないでください。これは予約済ユーザーです。
    • 管理者パスワード:管理者ユーザーのパスワード。8文字以上の英数字で、特殊文字は使用できません。
    • アクティブ化キー:このアクセス・サーバー・コンピュート・インスタンスで複数のVPN接続を使用する場合は、OpenVPNから購入したライセンス・キーが必要です。
    • ネットワーク戦略:「既存のVCNの使用」を選択します。
    • 既存のネットワーク: DBシステムがアタッチされているVCNを選択します。
    • 既存のサブネット: VCNのパブリック・サブネットを選択します。
    • コンパートメント:すべてのリソースを作成するコンパートメント。これは、マーケットプレイス・ページで指定したコンパートメントに設定されます。
    • Public SSH Key String: SSHを使用してコンピュート・インスタンスにアクセスする場合に必要です。構成の大部分はアクセス・サーバーの管理ページを使用して実行できるため、これはオプションです。
  6. へ」をクリックして、確認ページを開きます。設定を確認し、「作成」をクリックします。
リソース・マネージャ・ジョブの詳細」ページが表示されます。「ログ」セクションには、スタック作成プロセスの結果とアクセス・サーバーのログイン詳細が次の形式でリストされます。
Outputs:admin_password = ********
admin_username = username
instance_public_url = https://193.122.164.108/admin
ここで、IPアドレスは、アクセス・サーバーをホストするコンピュート・インスタンスのパブリックIPです。これらの詳細をノートにとっておいてください。後続のタスクで必要になります。

OpenVPN接続の作成

VPN接続およびVPNユーザーを作成および構成します。

このタスクでは、次のことを想定しています。
OpenVPNを使用してVPN接続を作成する手順は、次のとおりです。
  1. スタック作成タスクの最後に指定されたIPアドレスと資格証明を使用して、OpenVPN Access Server管理ツールをロードします。https://IPAddress/adminIPAddressは、スタック作成タスクで作成されたコンピュート・インスタンスのパブリックIPアドレスでもあります。
    「アクセス・サーバーのステータス概要」ページが表示されます。
  2. ナビゲーション・メニューで、「構成」、「VPN設定」の順に選択します。
    VPN設定」ページが表示されます。
  3. 静的IPアドレス・ネットワーク」フィールドに静的IPアドレスを指定します。VCNのサブネット上でこのIPアドレスのイングレス・ルールも構成する必要があるため、静的IPをお薦めします。動的アドレスを使用した場合は、アドレスが再割当てされるたびにイングレス・ルールを更新する必要があります。
    ノート

    「動的IPアドレス」フィールドは必須です。172.27.233.0/24のように、このデフォルト値は変更しないでください。静的ネットワークの値を指定する場合は、172.27.232.0/24などの同様の値を使用します。
  4. ルーティング」セクションで、「ルーティング」を使用して「はい」を選択し、VPNクライアントがアクセスする必要があるプライベートおよびパブリック・サブネットのCIDRブロックを追加します。これらは、VCNにアタッチされたサブネットのCIDRブロックです。例: 10.0.0.0/24および10.0.1.0/24。
  5. 設定の保存」をクリックして変更内容を保存します。
  6. ナビゲーション・メニューから、「ユーザー管理」、「ユーザー権限」の順に選択します。
    ユーザー権限」ダイアログが表示されます。
  7. 新規ユーザー名」フィールドにユーザー名を入力し、隣の列の「詳細設定」アイコンをクリックします。
    「新規ユーザー設定」ペインが表示されます。
  8. 次の追加を行います。
    • パスワード:新規ユーザーのパスワードを指定します。
    • Select IP Addressing:「Use Static」を選択します。
    • VPN静的IPアドレス:このユーザーに割り当てるIPアドレスを定義します。このIPアドレスは、VPN構成の「Static IP Address Network」フィールドで定義された範囲内である必要があります。
    • アドレス指定方法の選択:「ルーティングの使用」を選択します。
    • Allow access to these networks: VPN構成の「Routing」セクションの説明に従って、パブリックおよびプライベート・サブネットのIPアドレスを入力します。
  9. ユーザーを保存します。ログアウトし、新しいユーザーの資格証明を使用してログインします。ページの下部にある「自分用(ユーザーがロックしたプロファイル)」リンクを使用して、プロファイルclient.ovpnをダウンロードします。
プロファイルをOpenVPNクライアントにインポートします。詳細は、OpenVPNのドキュメントを参照してください。OpenVPNアクセス・サーバーからの接続を受け入れるようにネットワークを構成する必要があります。詳細は、「OpenVPN接続用のVCNの構成」を参照してください。

OpenVPN接続のためのVCNの構成

VPN接続のルートおよびイングレス・ルールを構成します。

このタスクでは、次のことを想定しています。
OpenVPN Access Serverからの接続を受け入れるようにVCNを構成するには、次の手順を実行します。
  1. VCNに移動し、プライベート・サブネットのルート表を開きます。
  2. ルート・ルールの追加」を選択し、次を追加します。
    • ターゲット・タイプ:プライベートIPを選択します。
    • 宛先タイプ: CIDRブロックを選択します。
    • 宛先CIDRブロック: OpenVPNアクセス・サーバーのVPN設定の「静的IPアドレス・ネットワーク」フィールドで定義したCIDRブロックを入力します。
    • ターゲット選択: OpenVPN Access Serverのコンピュート・インスタンスのプライベートIPアドレスを入力します。
  3. 変更を保存し、プライベート・サブネットのセキュリティ・リストの詳細ページに移動します。
  4. VPNの静的IPアドレスおよびMySQLポートのイングレス・ルールを追加します(3306および33060がデフォルトです)。