プライベート・エンドポイントの作成
プライベート・エンドポイントとは、Oracle Cloud Infrastructure内の特定のサービスへのアクセスに使用できるVirtual Cloud Network (VCN)内のプライベートIPアドレスのことです。
Ops Insightsは、Virtual Cloud Network (VCN)内で定義されたプライベート・エンドポイントを介してOracle Cloudデータベースと通信します。OCIサービスへのプライベート・アクセスおよびエンドポイントの詳細は、プライベート・エンドポイントを参照してください。
プライベート・エンドポイントは各サービスに作成する必要があります。他のサービスで作成されたプライベート・エンドポイントは、Opsインサイト・プライベート・エンドポイント・リスト・ページには表示されません。ただし、データベース管理エンドポイントは、Opsインサイト・エンドポイントに変換できます。
- データベースへのアクセスに使用されるVCNの名前。
- VCN内のサブネットの名前。
- ネットワーク・セキュリティ・グループの名前(オプション)。
プライベート・エンドポイントは、Oracle CloudデータベースにアクセスできるVCN内のOpsインサイトを表したもので、選択したサブネット内でプライベートIPアドレスを持つ仮想ネットワーク・インタフェース・カード(VNIC)として機能します。プライベート・エンドポイントは、Oracle Cloudデータベースと同じサブネット上にある必要はありませんが、Oracle Cloudデータベースとの通信が可能なサブネットに存在する必要があります。
以前は、クラウドOracleベース・データベースのプライベート・エンドポイントが使用可能であり、RAC Oracle Cloud DatabaseおよびExadata Database Service on Dedicated Infrastructureで必要でした。2023年12月以降、これらは、Ops InsightsがこれらのタイプのOracle Cloudデータベースに接続するために必要なくなりました。
RAC Oracle Cloudデータベースのプライベート・エンドポイントを設定した場合、2023年12月より前は、これらは引き続き機能します。
専用Autonomous AI Databaseには、引き続き特別なDNSプロキシ対応プライベート・エンドポイントが必要です。
プライベート・エンドポイントの作成
プライベート・エンドポイントを作成するには:
- ナビゲーション・メニューを開き、「監視および管理」をクリックして、「Opsインサイト」をクリックします。
- 左ペインで、「管理」をクリックし、「プライベート・エンドポイント」をクリックします。
「プライベート・エンドポイント」ページが表示されます。コンパートメントのエンドポイントが以前に定義されていた場合、それらは管理機能を実行できる表に表示されます。
- 「プライベート・エンドポイントの作成」をクリックします。「プライベート・エンドポイントの作成」パネルが表示されます。
- エンドポイントを定義するために必要なパラメータを入力します。
- 名前: エンドポイントの識別しやすい名前。
- 説明: オプション
- コンパートメント: ドロップダウン・リストからプライベート・エンドポイントを作成するコンパートメントを選択します。デフォルトでは、「プライベート・エンドポイントの作成」をクリックする前に選択したコンパートメントが選択されています。これは、データベース・コンパートメントと一致する必要はありません。
構成
ここで選択したVCNとサブネットにプライベート・エンドポイントが作成されます。Opsインサイトに追加されるデータベースを含むサブネットに接続できるサブネットを選択します。ノート
専用Autonomous AIデータベースには、特別なDNSプロキシ対応プライベート・データ・エンドポイントが必要です。有効にするには、「専用Autonomous AIデータベースにこのプライベート・エンドポイントを使用」を選択します。専用Autonomous AIデータベースに接続する場合は、これを選択します。少なくとも1つの専用Autonomous AI Databaseをプライベート・エンドポイントに接続する場合は、このオプションを選択します。- <compartment>のVirtual Cloud Network: クラウド・データベースへのアクセスに使用される現在のコンパートメント内のVCNを選択します。必要に応じて、ドロップダウン・リストを使用して、そのコンパートメント内の別のVCNを選択します。
- <compartment>のサブネット: 選択したVCN内のサブネットを選択します。デフォルトでは、ドロップダウン・リストの最初のサブネットが選択されています。
ネットワーク・セキュリティ・グループ(オプション)
ネットワーク・セキュリティ・グループは、プライベート・エンドポイントを使用するリソースに対して、さらにきめ細かいセキュリティ・アクセスを提供します。ネットワーク・セキュリティ・グループは仮想ファイアウォールとして機能し、VCNのサブネット・アーキテクチャをセキュリティ要件から分離できます。
プライベート・エンドポイントにネットワーク・セキュリティ・グループを追加するには:
- 「ネットワーク・セキュリティ・グループを使用してトラフィックを制御」をオンにします。
- コンパートメントおよびネットワーク・セキュリティ・グループを選択します。
- 別のネットワーク・セキュリティ・グループを追加するには、「+別のネットワーク・セキュリティ・グループ」をクリックします。
タグ
オプションで、プライベート・エンドポイントにフリーフォーム・タグまたは定義済タグを追加します。プライベート・エンドポイントの作成に必要な権限がある場合は、フリーフォーム・タグを追加する権限もあります。定義済タグを追加するには、タグ・ネームスペースを使用する権限が必要です。
次の情報を参照してください。
- タグ付けの概念とタグの操作に必要な権限については、タグ付けの概要を参照してください。
- リソースの作成時にタグを追加する方法は、リソースの作成時にタグを追加するにはを参照してください。
セキュリティ属性
オプションで、プライベート・エンドポイントにセキュリティ属性を追加します。「セキュリティ属性の追加」をクリックし、セキュリティ属性ネームスペース、キーおよび値を指定します。詳細は、プライベート・エンドポイントのセキュリティ属性の管理を参照してください。
-
「作成」をクリックします。「プライベート・エンドポイントの詳細」ページに、エンドポイントのVCN、サブネットおよびネットワーク・セキュリティ・グループの詳細ページへの直接リンクなど、プライベート・エンドポイント情報を表示できます。
セキュリティ・グループの詳細は、ネットワーク・セキュリティ・グループを参照してください。
「プライベート・エンドポイントの詳細」ページから、次の操作を実行できます:
- プライベート・エンドポイントの編集(名前、説明、ネットワーク・セキュリティ・グループの追加/削除)
- プライベート・エンドポイントを別のコンパートメントに移動します
- プライベート・エンドポイントの削除
- 既存のリソース・タグの表示または新規リソース・タグの定義
- 関連付けられたデータベースを表示します。
- プライベート・エンドポイントに関連付けられた作業リクエストを表示します。作業リクエストの詳細は、「作業リソース」を参照してください。
これらの操作の一部は、プライベート・エンドポイントの「アクション」メニューをクリックして、「プライベート・エンドポイント」ページからも実行できます。
プライベート・エンドポイントの削除
プライベート・エンドポイントは、「プライベート・エンドポイント」ページから削除できます。重要: プライベート・エンドポイントにアクセスするすべてのデータベースを最初に無効にする必要があります。
プライベート・エンドポイントのセキュリティ属性の管理
オプションで、Zero Trust Packet Routing (ZPR)セキュリティ属性をプライベート・エンドポイントに追加して、ZPRポリシーを介したアクセスを制御できます。ZPRは、これらの属性を既存のネットワーク・コントロールとともに評価します。
セキュリティー属性およびZPRの詳細は、Security Attributesおよび Overview of Zero Trust Packet Routingを参照してください。
プライベート・エンドポイントにセキュリティ属性を追加する場合は、必要なZPRポリシーが設定されていることを確認してください。そうしないと、目的のトラフィックをブロックできます。
設定
プライベート・エンドポイントにセキュリティ属性を追加する前に、必要なZPR設定を完了し、ネットワーク構成で目的のトラフィックが許可されていることを確認します。
- 必要なIAM権限、セキュリティ属性ネームスペース、セキュリティ属性およびZPRポリシーがすでに構成されていることを確認します。詳細は、Zero Trust Packet Routing IAMポリシー、セキュリティ属性およびZero Trust Packet Routingポリシーを参照してください。
- 適用可能なZPRポリシーが目的のトラフィックを許可するように、プライベート・エンドポイントに追加するセキュリティ属性を決定します。
重要な考慮事項
- 管理者は、ユーザーがプライベート・エンドポイントにセキュリティ属性を適用する前に、テナンシにセキュリティ属性ネームスペースおよびセキュリティ属性を設定する必要があります。
- セキュリティ属性を使用すると、プライベート・エンドポイントへのアクセスは、セキュリティ・リストやNSGなどの既存のネットワーク制御とともにZPRポリシーによって管理されます。
- セキュリティ属性は、適切なZPRポリシーが定義されている場合にのみ有効です。対応するポリシーなしでセキュリティ属性を追加した場合、NSGまたはセキュリティ・リストがトラフィックを許可しなくても、プライベート・エンドポイントへのアクセスはデフォルトで拒否されます。
- 最大3つのセキュリティ属性をプライベート・エンドポイントに追加できます。使用する属性がわからない場合は、ネットワーク管理者に連絡してください。
セキュリティ属性の追加
セキュリティ属性は、プライベート・エンドポイントの作成時に追加することも、プライベート・エンドポイントの作成後に「プライベート・エンドポイントの詳細」ページから追加することもできます。
「プライベート・エンドポイントの詳細」ページからセキュリティ属性を追加するには:
- プライベート・エンドポイントの「プライベート・エンドポイント詳細」ページにアクセスします。
- 「セキュリティ」タブの「セキュリティ属性」セクションで、「追加」をクリックします。
- セキュリティ属性ネームスペース、キーおよび値を指定します。
- 「セキュリティ属性の追加」をクリックします。
セキュリティ属性のリスト
プライベート・エンドポイントに追加されたセキュリティ属性を表示するには、プライベート・エンドポイントの「プライベート・エンドポイントの詳細」ページに移動し、「セキュリティ」タブをクリックします。「セキュリティ属性」セクションには、プライベート・エンドポイントに追加されたセキュリティ属性がリストされます。