プライベート・エンドポイントの作成

プライベート・エンドポイントとは、Oracle Cloud Infrastructure内の特定のサービスへのアクセスに使用できるVirtual Cloud Network (VCN)内のプライベートIPアドレスのことです。

Ops Insightsは、Virtual Cloud Network (VCN)内で定義されたプライベート・エンドポイントを介してOracle Cloudデータベースと通信します。OCIサービスへのプライベート・アクセスおよびエンドポイントの詳細は、プライベート・エンドポイントを参照してください。

プライベート・エンドポイントは各サービスに作成する必要があります。他のサービスで作成されたプライベート・エンドポイントは、Opsインサイト・プライベート・エンドポイント・リスト・ページには表示されません。ただし、データベース管理エンドポイントは、Opsインサイト・エンドポイントに変換できます。

ノート

Opsインサイトでプライベート・エンドポイントを作成するには、次の詳細が必要です:
  • データベースへのアクセスに使用されるVCNの名前。
  • VCN内のサブネットの名前。
  • ネットワーク・セキュリティ・グループの名前(オプション)。

プライベート・エンドポイントは、Oracle CloudデータベースにアクセスできるVCN内のOpsインサイトを表したもので、選択したサブネット内でプライベートIPアドレスを持つ仮想ネットワーク・インタフェース・カード(VNIC)として機能します。プライベート・エンドポイントは、Oracle Cloudデータベースと同じサブネット上にある必要はありませんが、Oracle Cloudデータベースとの通信が可能なサブネットに存在する必要があります。

Opsインサイトでは、Oracle Cloudデータベースのプライベート・エンドポイントを作成できます。Oracleベース・データベース、Exadata Database Service on Dedicated InfrastructureおよびAutonomous AIデータベースに接続するために、テナンシ(リージョン当たり)に最大5つのOpsインサイト・プライベート・エンドポイントを作成できます。1つのプライベート・エンドポイントを使用してOpsインサイトを有効にできるデータベースの数に制限や制限はありません。プライベート・エンドポイントには、サブネット内に1つのプライベートIPが必要です。
ノート

以前は、クラウドOracleベース・データベースのプライベート・エンドポイントが使用可能であり、RAC Oracle Cloud DatabaseおよびExadata Database Service on Dedicated Infrastructureで必要でした。2023年12月以降、これらは、Ops InsightsがこれらのタイプのOracle Cloudデータベースに接続するために必要なくなりました。

RAC Oracle Cloudデータベースのプライベート・エンドポイントを設定した場合、2023年12月より前は、これらは引き続き機能します。

専用Autonomous AI Databaseには、引き続き特別なDNSプロキシ対応プライベート・エンドポイントが必要です。

プライベート・エンドポイントの作成

プライベート・エンドポイントを作成するには:

  1. ナビゲーション・メニューを開き、「監視および管理」をクリックして、「Opsインサイト」をクリックします。
  2. 左ペインで、「管理」をクリックし、「プライベート・エンドポイント」をクリックします。

    「プライベート・エンドポイント」ページが表示されます。コンパートメントのエンドポイントが以前に定義されていた場合、それらは管理機能を実行できる表に表示されます。

  3. 「プライベート・エンドポイントの作成」をクリックします。「プライベート・エンドポイントの作成」パネルが表示されます。
  4. エンドポイントを定義するために必要なパラメータを入力します。
    • 名前: エンドポイントの識別しやすい名前。
    • 説明: オプション
    • コンパートメント: ドロップダウン・リストからプライベート・エンドポイントを作成するコンパートメントを選択します。デフォルトでは、「プライベート・エンドポイントの作成」をクリックする前に選択したコンパートメントが選択されています。これは、データベース・コンパートメントと一致する必要はありません。

    構成

    ここで選択したVCNとサブネットにプライベート・エンドポイントが作成されます。Opsインサイトに追加されるデータベースを含むサブネットに接続できるサブネットを選択します。
    ノート

    専用Autonomous AIデータベースには、特別なDNSプロキシ対応プライベート・データ・エンドポイントが必要です。有効にするには、「専用Autonomous AIデータベースにこのプライベート・エンドポイントを使用」を選択します。専用Autonomous AIデータベースに接続する場合は、これを選択します。少なくとも1つの専用Autonomous AI Databaseをプライベート・エンドポイントに接続する場合は、このオプションを選択します。
    • <compartment>のVirtual Cloud Network: クラウド・データベースへのアクセスに使用される現在のコンパートメント内のVCNを選択します。必要に応じて、ドロップダウン・リストを使用して、そのコンパートメント内の別のVCNを選択します。
    • <compartment>のサブネット: 選択したVCN内のサブネットを選択します。デフォルトでは、ドロップダウン・リストの最初のサブネットが選択されています。

    ネットワーク・セキュリティ・グループ(オプション)

    ネットワーク・セキュリティ・グループは、プライベート・エンドポイントを使用するリソースに対して、さらにきめ細かいセキュリティ・アクセスを提供します。ネットワーク・セキュリティ・グループは仮想ファイアウォールとして機能し、VCNのサブネット・アーキテクチャをセキュリティ要件から分離できます。

    プライベート・エンドポイントにネットワーク・セキュリティ・グループを追加するには:

    1. 「ネットワーク・セキュリティ・グループを使用してトラフィックを制御」をオンにします。
    2. コンパートメントおよびネットワーク・セキュリティ・グループを選択します。
    3. 別のネットワーク・セキュリティ・グループを追加するには、「+別のネットワーク・セキュリティ・グループ」をクリックします。

    タグ

    オプションで、プライベート・エンドポイントにフリーフォーム・タグまたは定義済タグを追加します。プライベート・エンドポイントの作成に必要な権限がある場合は、フリーフォーム・タグを追加する権限もあります。定義済タグを追加するには、タグ・ネームスペースを使用する権限が必要です。

    次の情報を参照してください。

    セキュリティ属性

    オプションで、プライベート・エンドポイントにセキュリティ属性を追加します。「セキュリティ属性の追加」をクリックし、セキュリティ属性ネームスペース、キーおよび値を指定します。詳細は、プライベート・エンドポイントのセキュリティ属性の管理を参照してください。

  5. 「作成」をクリックします。「プライベート・エンドポイントの詳細」ページに、エンドポイントのVCN、サブネットおよびネットワーク・セキュリティ・グループの詳細ページへの直接リンクなど、プライベート・エンドポイント情報を表示できます。

セキュリティ・グループの詳細は、ネットワーク・セキュリティ・グループを参照してください。

「プライベート・エンドポイントの詳細」ページから、次の操作を実行できます:

  • プライベート・エンドポイントの編集(名前、説明、ネットワーク・セキュリティ・グループの追加/削除)
  • プライベート・エンドポイントを別のコンパートメントに移動します
  • プライベート・エンドポイントの削除
  • 既存のリソース・タグの表示または新規リソース・タグの定義
  • 関連付けられたデータベースを表示します。
  • プライベート・エンドポイントに関連付けられた作業リクエストを表示します。作業リクエストの詳細は、「作業リソース」を参照してください。

これらの操作の一部は、プライベート・エンドポイントの「アクション」メニューをクリックして、「プライベート・エンドポイント」ページからも実行できます。

プライベート・エンドポイントの削除

プライベート・エンドポイントは、「プライベート・エンドポイント」ページから削除できます。重要: プライベート・エンドポイントにアクセスするすべてのデータベースを最初に無効にする必要があります。

プライベート・エンドポイントのセキュリティ属性の管理

オプションで、Zero Trust Packet Routing (ZPR)セキュリティ属性をプライベート・エンドポイントに追加して、ZPRポリシーを介したアクセスを制御できます。ZPRは、これらの属性を既存のネットワーク・コントロールとともに評価します。

セキュリティー属性およびZPRの詳細は、Security Attributesおよび Overview of Zero Trust Packet Routingを参照してください。

ノート

プライベート・エンドポイントにセキュリティ属性を追加する場合は、必要なZPRポリシーが設定されていることを確認してください。そうしないと、目的のトラフィックをブロックできます。

設定

プライベート・エンドポイントにセキュリティ属性を追加する前に、必要なZPR設定を完了し、ネットワーク構成で目的のトラフィックが許可されていることを確認します。

  1. 必要なIAM権限、セキュリティ属性ネームスペース、セキュリティ属性およびZPRポリシーがすでに構成されていることを確認します。詳細は、Zero Trust Packet Routing IAMポリシーセキュリティ属性およびZero Trust Packet Routingポリシーを参照してください。
  2. 適用可能なZPRポリシーが目的のトラフィックを許可するように、プライベート・エンドポイントに追加するセキュリティ属性を決定します。

重要な考慮事項

  • 管理者は、ユーザーがプライベート・エンドポイントにセキュリティ属性を適用する前に、テナンシにセキュリティ属性ネームスペースおよびセキュリティ属性を設定する必要があります。
  • セキュリティ属性を使用すると、プライベート・エンドポイントへのアクセスは、セキュリティ・リストやNSGなどの既存のネットワーク制御とともにZPRポリシーによって管理されます。
  • セキュリティ属性は、適切なZPRポリシーが定義されている場合にのみ有効です。対応するポリシーなしでセキュリティ属性を追加した場合、NSGまたはセキュリティ・リストがトラフィックを許可しなくても、プライベート・エンドポイントへのアクセスはデフォルトで拒否されます。
  • 最大3つのセキュリティ属性をプライベート・エンドポイントに追加できます。使用する属性がわからない場合は、ネットワーク管理者に連絡してください。

セキュリティ属性の追加

セキュリティ属性は、プライベート・エンドポイントの作成時に追加することも、プライベート・エンドポイントの作成後に「プライベート・エンドポイントの詳細」ページから追加することもできます。

「プライベート・エンドポイントの詳細」ページからセキュリティ属性を追加するには:

  1. プライベート・エンドポイントの「プライベート・エンドポイント詳細」ページにアクセスします。
  2. 「セキュリティ」タブの「セキュリティ属性」セクションで、「追加」をクリックします。
  3. セキュリティ属性ネームスペース、キーおよび値を指定します。
  4. 「セキュリティ属性の追加」をクリックします。

セキュリティ属性のリスト

プライベート・エンドポイントに追加されたセキュリティ属性を表示するには、プライベート・エンドポイントの「プライベート・エンドポイントの詳細」ページに移動し、「セキュリティ」タブをクリックします。「セキュリティ属性」セクションには、プライベート・エンドポイントに追加されたセキュリティ属性がリストされます。