Oracle Cloud Infrastructureドキュメント

Oracle Web Application FirewallサービスV2を使用したカスタムURLの構成

Oracleのロード・バランサおよびWeb Application FirewallサービスV2 (WAF V2)を使用すると、Visual BuilderインスタンスのカスタムURLのサポートを構成できます。

Visual BuilderインスタンスのカスタムURL (https://<my-custom-url.com>/ic/builder/など)を構成すると、カスタムURLを使用してインスタンスに直接アクセスできます。カスタムURLからアプリケーションを公開すると、アプリケーションはカスタムURL (https://<my-custom-url.com>/ic/builder/rt/など)を使用します。

また、カスタムURL (バニティURLとも呼ばれる)を使用するようにVisual Builderアプリケーションを構成して、顧客がベース・カスタムURL (https://<my-custom-url.com>)のみを使用してアプリケーションにアクセスできるようにすることもできます。

WAF V2サービスでは、カスタム・ドメイン名をオリジン・サーバーとしてVBサービスのフロント・エンドとしてWAFサービスにマップするポリシーを定義できます。これを行うには、テナンシの証明書を管理するためにパブリック・ロード・バランサを使用します。ロード・バランサは、Oracleのロード・バランサ・サービスで設定できます。

WAFを使用して、選択したDNS名をVBサービスにマップすることで、DNS名のマッピングを管理し、それらを管理するようにVBインスタンスを構成するかわりに、関連付けられた証明書および秘密キーを自分でアップロードできます。

この手順では、Visual BuilderインスタンスおよびOracle Cloud Infrastructure (OCI)コンソールに直接アクセスできることを前提としています。WAFまたはAPIゲートウェイの背後にあるインスタンスの使用の詳細は、次を参照してください:

カスタムURLを構成する前に

カスタムURLの構成を開始する前に、インスタンスの詳細を知っておく必要があり、Visual BuilderインスタンスにカスタムURLを使用することの制限にも注意する必要があります。

カスタムURLを構成するために必要なもの:

  • Visual Builderインスタンス: Oracle CloudでVisual Builder (または統合)インスタンスがすでにプロビジョニングされている必要があります。インスタンスは、PSM/OCIベースのOracle管理インスタンスである必要があります。
  • VBインスタンスのパブリック・ロードバランサIP: URLを使用してホスト名に対してdigを実行することで、ロード・バランサのIPアドレスを取得できます。たとえば、URLの場合:

    https://vbmyinst-vb-axdkj3wttbhm.builder.us-ashburn-1.ocp.oraclecloud.com/ic/builder/

    ターミナルから次のコマンドを実行して、バックエンドの構成に必要なIPアドレスを取得します:

    dig https://vbmyinst-vb-axdkj3wttbhm.builder.us-ashburn-1.ocp.oraclecloud.com

  • DNS名: システムへのアクセスに使用するDNS名を決定する必要があり、その名前は所有するDNSドメインに存在する必要があります。
  • SSL証明書: DNS名の秘密キーを含むCA署名付きSSL証明書が必要です。

既知の制限事項

カスタムURLには、次の制限事項があります。

  • カスタムURLのルート・コンテキスト('/')を使用してアクセスできるのは、一度に1つのWebアプリケーションのみです。

ロード・バランサの作成とホスト名の構成

Oracle Load Balancerサービスを使用して、テナンシの証明書を管理するためのパブリック・ロード・バランサを作成できます。

ロード・バランサは、仮想クラウド・ネットワークからアクセス可能なサーバーに、1つのエントリ・ポイントから自動的にトラフィック分散を提供します。Oracleロード・バランサの詳細は、Oracleロード・バランサの概要およびロード・バランサの作成を参照してください。

ロード・バランサを作成するには:

  1. OCIコンソールで、「ナビゲーション・メニュー」「メニュー」アイコンをクリックし、「ネットワーキング」「ロード・バランサ」の順に選択します。
  2. 新しいロード・バランサを作成します。
    1. 「ロード・バランサ」ページで、「ロード・バランシングの作成」をクリックします。
    2. タイプとしてLoad Balancerを選択し、「ロード・バランサの作成」をクリックして「ロード・バランサの作成」ページを開き、ロード・バランサの詳細を定義します。
    3. 「詳細の追加」ページで、シェイプおよびネットワーキング・オプションのデフォルトを選択します。

      「ネットワークの選択」セクションで、仮想クラウド・ネットワークおよびサブネット(まだ選択されていない場合)を選択する必要があります。


      waf-load-choose-networking.pngの説明が続きます
      図waf-load-choose-networking.pngの説明

      「次へ」をクリックします。

    4. 「バックエンドの選択」ページの「ヘルス・チェック・ポリシーの指定」ペインで、「プロトコル」として「TCP」を選択し、ポートを443に設定します。「次へ」をクリックします。
    5. 「リスナーの構成」ページの「SSL証明書」ペインで、「証明書リソース」ドロップダウン・リストで「ロード・バランサ管理対象証明書」を選択します。
    6. 証明書チェーンおよび秘密キーを指定します。「次へ」をクリックします。
    7. 「ロギングの管理」ページで、デフォルト設定を受け入れます。「発行」をクリックして、ロード・バランサを作成します。
      ノート

      ロード・バランサのプロビジョニングには数分かかります
  3. ロード・バランサがプロビジョニングされたら、「ロード・バランサ」ページで新しいロード・バランサの名前をクリックして、その「詳細」タブを開きます。
  4. 「ホスト名」タブを開き、「ホスト名の作成」をクリックします。
  5. 「ホスト名の作成」ページで「名前」と「ホスト名」を入力します。「作成」をクリックします。

    ホスト名がカスタム・エンドポイントになります。


    waf-load-hostnames-tab.pngの説明が続きます
    図waf-load-hostnames-tab.pngの説明

  6. 「リスナー」タブを開き、リスナーを編集してホスト名を追加します。「変更の保存」をクリックします。
  7. ロード・バランサのVirtual Cloud Network (VCN)を構成します。
    1. ロード・バランサの「詳細」タブを開き、「Virtual Cloud Network (VCN)」リンクをクリックしてVCNの「詳細」タブを開きます。
    2. VCNの「ゲートウェイ」タブを開き、「インターネット・ゲートウェイの作成」をクリックします。
    3. 「インターネット・ゲートウェイの作成」ページで、名前を入力し、「インターネット・ゲートウェイの作成」をクリックして「ゲートウェイ」タブに戻ります。
    4. 「ゲートウェイ」タブで、「NAT Gatewayの作成」をクリックします。
    5. NAT Gatewayの作成ページで、ゲートウェイの名前を入力し、「エフェメラル・パブリックIPアドレス」を選択します。「NAT Gatewayの作成」をクリックします。
    6. 「ルーティング」タブを開き、「ルート表の作成」をクリックします。
    7. 「ルート表の作成」ページで名前を入力し、「ルート表の作成」をクリックして「ルーティング」タブに戻ります。
    8. 新しいルート表をクリックして、その詳細ページを開きます。
    9. 「ルート・ルール」タブを開き、「ルート・ルールの追加」をクリックします。
    10. 「ルート・ルールの追加」ページで、NATゲートウェイ・ルート・ルールに関する次の詳細を入力します:
      • ターゲット・タイプ: NATゲートウェイ
      • 宛先CIDRブロック: Visual Builderインスタンスのパブリック・ロード・バランサのIPを指定します(取得方法については、前述の設定を参照)。単一のIPの場合は、/32を追加して単一のIP CIDRブロックを形成します。
      • コンパートメント:そのままにします。
      • ターゲット:作成したNATゲートウェイを選択します。
      • 説明: ルールの説明(オプション)。

      waf-load-add-route-rules.pngの説明が続きます
      図waf-load-add-route-rules.pngの説明

      Visual Builderインスタンスのパブリック・ロード・バランサのIPごとにNATゲートウェイ・ルート・ルールを作成する必要があります。ルート・ルールを追加するには、「+別のルート・ルール」をクリックします。

    11. 「+別のルート・ルール」をクリックし、インターネット・ゲートウェイ・ルート・ルールに次の詳細を入力します:
      • ターゲット・タイプ:インターネット・ゲートウェイ。
      • 宛先CIDRブロック: 0.0.0.0/0
      • コンパートメント:そのままにします。
      • ターゲット・インターネット・ゲートウェイ:作成したインターネット・ゲートウェイを選択します。
      • 説明: ルールの説明(オプション)。

      「ルート・ルールの追加」をクリックします。

    12. バックエンド・セットのヘルス・チェック・ステータスが「OK」であることを確認します。
  8. ロード・バランサの「詳細」タブに戻ります。
  9. 次のようにロード・バランサ・サブネットを構成します。
    1. ロード・バランサの「詳細」タブで、「サブネット」リンクをクリックして、その詳細ページを開きます。
    2. サブネットの「セキュリティ」タブを開き、表のデフォルトのセキュリティ・リストをクリックして、その「詳細」ペインを開きます。
    3. 「セキュリティ・ルール」タブを開きます。
    4. 「イングレス・ルール」表のエントリ0.0.0.0/0のルールを編集して、「宛先ポート範囲」を443に変更します。「変更の保存」をクリックします。
  10. バックエンドのSSLオプションを設定します。
    1. 「バックエンド」ページで、「SSL」オプションを選択します。
    2. 「ロード・バランサ管理対象証明書」オプションを選択します。
    3. 「ロード・バランサ管理証明書」を選択し、ドロップダウン・リストから証明書を選択します。
      ノート

      CA証明書がないというエラーが表示された場合は、新しいロード・バランサ管理証明書を作成し、結合チェーンではなくサーバー証明書と中間証明書を個別に指定します。
  11. 新しいバックエンドを追加します:
    1. 「バックエンド・セット」タブを開き、表のバックエンド・セット・リンクをクリックしてその「詳細」タブを開きます。
    2. 「バックエンド」タブを開き、「バックエンドの追加」をクリックします。
    3. 「IPアドレス」オプションを選択し、次のバックエンドの詳細を設定します:
      • IPアドレス: ロード・バランサのIPアドレスを指定します。これは、Visual Builderホスト名でdigコマンドを使用したときに取得したIPアドレスです。
      • ポート: ポートを443に設定します。

      waf-load-add-backend.pngの説明が続きます
      図waf-load-add-backend.pngの説明

      「追加」をクリックします。

  12. (オプション)アクセスを制限する場合:
    1. 「ポリシー」タブを開き、「ルーティング・ポリシーの作成」をクリックします。
    2. 「ルーティング・ポリシーの作成」ページで、ルーティング・ポリシーの名前を入力します。
    3. 「条件」ペインで、次のように設定してポリシーを構成します。
      • 次の条件が満たされた場合: If All Matchに設定します
      • 条件タイプ: Pathに設定します。
      • 演算子: Isに設定します。
      • URL文字列: /に設定します。

      waf-load-create-routingpolicy.pngの説明が続きます
      図waf-load-create-routingpolicy.pngの説明

    4. アクション・ペインで、ドロップダウン・リストからバックエンド・セットを選択して「バックエンドへのルート」アクションを定義します。「次へ」をクリックします。
    5. 必要に応じて、ポリシーを実行する順序を設定します。「ルーティング・ポリシーの作成」をクリックして、「ポリシー」タブに戻ります。
    6. 「ポリシー」タブで、「ルール・セットの作成」をクリックします。
    7. ルール・セットの作成ページで、ルール・セットの名前を入力します。
    8. 「リクエスト・ヘッダー・ルールの指定」を選択し、詳細を入力します:
      • アクション: Add Request Header
      • ヘッダー: Host
      • 値: カスタムURLを追加します(例: myhost.example.com)。

      waf-load-create-ruleset.pngの説明が続きます
      図waf-load-create-ruleset.pngの説明

      「発行」をクリックして、「ポリシー」タブに戻ります。

WAFポリシーの作成

WAFポリシーを使用して、Web Application Firewallサービスのアクセス・ルール、レート制限ルールおよび保護ルールを構成します。

カスタムURLのWAFポリシーを作成および構成する場合は、Visual Builderインスタンスに使用されるロード・バランサを指定する必要があります。

WAFポリシーを作成し、ロード・バランサを指定するには:

  1. Oracle Cloud Infrastructure Consoleにサインインし、「セキュリティ」の下の「WAFポリシー」を開きます。
  2. WAFポリシーを作成するコンパートメントを選択し、「WAFポリシーの作成」をクリックします。
  3. 「WAFポリシーの作成」ダイアログ・ボックスにポリシー名を入力します。
  4. 他のすべてのデフォルトを受け入れ、「次」をクリックして「強制ポイントの選択」ステップに到達します。
  5. 「強制ポイントの選択」ステップで、作成したロード・バランサを選択し、WAF構成を完了します。
  6. 「WAFポリシーの作成」をクリックします。

ポリシーが作成され、ロード・バランサを使用するように構成したので、ポリシー・ルールを構成できます。ポリシー構成はいつでも編集できます。ポリシーを構成するときに、事前定義されたアクションを使用するか、独自のカスタマイズ済アクションを作成できます。WAFポリシーの詳細は、Web Application Firewallポリシーの開始を参照してください。

DNSの構成

カスタムDNS名をロード・バランサのパブリックIPアドレスに登録または更新します。

VBサービス・インスタンスにアクセスするために選択した名前のDNS構成で、ロード・バランサのパブリックIPアドレスを指すようにAレコードを編集します。次の図では、Aレコードの値がパブリック・ロード・バランサのIPアドレス152.70.200.184に設定されています。


waf-configure-dns.pngの説明が続きます
図waf-configure-dns.pngの説明

ノート

ロード・バランサのパブリックIPアドレスは、「ロード・バランサ」ページの「ロード・バランサ情報」タブにあります。


waf-load-ipaddress.pngの説明が続きます
図waf-load-ipaddress.pngの説明