サブネット・セキュリティの割当て

リモート・データ・ゲートウェイ(RDG)およびOracleファンクション・サービスとAutonomous JSON Databaseを収容するプライベート・サブネットへのアクセスを許可するセキュリティ・ルールを指定する必要があります。

リモート・データ・ゲートウェイ(RDG)およびOracle関数サービスのプライベート・サブネットは、セキュリティ・リストに割り当てられたルールを使用します。Autonomous JSON Databaseでは、ネットワーク・セキュリティ・グループ(NSG)に割り当てられたルールが使用されます。

セキュリティ・リスト:サブネット全体のすべてのVNICに適用されるセキュリティ・ルールのセットを定義します。特定のサブネットで特定のセキュリティ・リストを使用するには、サブネットの作成時または作成後にセキュリティ・リストをサブネットに関連付けます。そのサブネットに作成されたVNICは、サブネットに関連付けられたセキュリティ・リストの対象になります。

既存のセキュリティ・リストにルールを追加し、複数のセキュリティ・リストを作成してサブネットに割り当てることができます。
ネットワーク・セキュリティ・グループ(NSG):選択したVNIC (Autonomous JSON Databaseなどのリソース)のグループに適用されるセキュリティ・ルールのセットを定義します。特定のNSGを使用するには、目的のVNICをグループに追加するか、サービスのプロビジョニング時にNSGを割り当てます。NSGをサポートしていないサービスもあります。そのグループに追加されたVNICは、そのグループのセキュリティ・ルールの対象になります。

セキュリティ・リストの作成

セキュリティ・リストは、セキュリティ・リストに関連付けられたサブネット内のすべての仮想ネットワーク・インタフェース・カード(VNIC)に適用されるイングレスおよびエグレスのセキュリティ・ルールのセットを使用して、仮想ファイアウォールとして機能します。

ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動し、「仮想クラウド・ネットワーク」をクリックします。
目的のVCNをクリックします。
「リソース」で、「セキュリティ・リスト」をクリックします。
「セキュリティーリストの作成」をクリックします。
次を入力します:
- 名前:セキュリティ・リストの説明名。たとえば、my - domain - sec - listです。名前は一意である必要はなく、後でコンソールで変更することはできません(ただし、APIを使用して変更することはできます)。機密情報を入力しないでください。
- コンパートメントに作成:セキュリティ・リストを作成するコンパートメント(現在作業しているコンパートメントと異なる場合)。
イングレス・セキュリティまたはエグレス・セキュリティ・ルールを追加します。セキュリティ・リストの作成後に、セキュリティ・ルールを追加、改訂および削除することもできます。
「セキュリティーリストの作成」をクリックします。

Oracle Functionsのイングレス・ルールの追加

セキュリティ・ルールでは、仮想ネットワーク・インタフェース・カード(NVIC)内外の特定のタイプのトラフィックが許可されます。

Oracle Functionsでは、すべてのポートから多数のポートおよびインターネット制御メッセージ・プロトコル(ICMP)にTCPアクセスする必要があります。

ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動し、「仮想クラウド・ネットワーク」をクリックします。
目的のVCNをクリックします。
「リソース」で、「セキュリティ・リスト」をクリックします。
目的のセキュリティ・リストをクリックします。
すべてのポートからのICMPトラフィックを許可するルールを追加するには:
1. 「イングレス・ルールの追加」をクリックします。
2. ソースCIDRとして0.0.0.0/0を指定します。
3. IPプロトコルとしてICMPを選択します。
4. すべてのポートを指定するには、宛先ポート範囲を空白のままにします。
ポート範囲443を使用して、別のVCNのサーバーまたはアプリケーションからOracle FunctionsへのTCPアクセスを許可するルールを追加するには:
1. 「イングレス・ルールの追加」をクリックします。
2. VCN CIDRブロックをソースCIDRとして指定します。
3. IPプロトコルとして「TCP」を選択します。
4. 宛先ポート範囲として443を指定します。
ポート範囲1521を使用して、別のVCNのサーバーまたはアプリケーションからOracle FunctionsへのTCPアクセスを許可するルールを追加するには:
1. 「イングレス・ルールの追加」をクリックします。
2. VCN CIDRブロックをソースCIDRとして指定します。
3. IPプロトコルとして「TCP」を選択します。
4. 宛先ポート範囲として1521を指定します。
ポート範囲6200を使用して、別のVCNのサーバーまたはアプリケーションからOracle FunctionsへのTCPアクセスを許可するルールを追加するには:
1. 「イングレス・ルールの追加」をクリックします。
2. VCN CIDRブロックをソースCIDRとして指定します。
3. IPプロトコルとして「TCP」を選択します。
4. 宛先ポート範囲として6200を指定します。
ポート範囲2484を使用して、別のVCNのサーバーまたはアプリケーションからOracle FunctionsへのTCPアクセスを許可するルールを追加するには:
1. 「イングレス・ルールの追加」をクリックします。
2. VCN CIDRブロックをソースCIDRとして指定します。
3. IPプロトコルとして「TCP」を選択します。
4. 宛先ポート範囲として2484を指定します。

プライベート・サブネットへのセキュリティ・リストの追加

既存の仮想クラウド・ネットワーク(VCN)サブネットに対してセキュリティ・リストを追加または削除できます。

ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動し、「仮想クラウド・ネットワーク」をクリックします。
「サブネット」をクリックします。
目的のVCNをクリックします。
「サブネット」をクリックします。
目的のプライベート・サブネットをクリックします。「サブネット・アクセス」の下にリストされている値をチェックして、プライベート・サブネットであることを確認します。
「リソース」で、「セキュリティ・リスト」をクリックします。
セキュリティ・リストを追加する場合は、「セキュリティ・リストの追加」をクリックし、サブネットで使用するセキュリティ・リストを選択します。

セキュリティ・リストを削除する場合は、「Actions」アイコン(3つのドット)をクリックし、「Remove」をクリックします。サブネットには、関連付けられたセキュリティ・リストが常に少なくとも1つ必要です。

変更は数秒以内に有効になります。

プライベート・エンドポイント・アクセス用のネットワーク・セキュリティ・グループ(NSG)の作成

ネットワーク・セキュリティ・グループ(NSG)を使用すると、選択したVNIC (またはリソース)のグループに適用するセキュリティ・ルールのセットを定義できます。

Oracle Autonomous Data Warehouseなどのリソースをプロビジョニングするときに、ネットワーク・セキュリティ・グループを割り当てることができます。NSGをサポートしていないサービスもあります。

ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動し、「仮想クラウド・ネットワーク」をクリックします。
目的のVCNをクリックします。
「リソース」で、「ネットワーク・セキュリティ・グループ」をクリックします。
「ネットワーク・セキュリティ・グループの作成」をクリックします。
次を入力します:
- 名前:ネットワーク・セキュリティ・グループを説明する名前。名前は一意である必要はなく、後で変更できます。機密情報を入力しないでください。
- コンパートメントに作成:セキュリティ・リストを作成するコンパートメント(現在作業しているコンパートメントと異なる場合)。
「次へ」をクリックします。
最初のセキュリティ・ルールについて、次の項目を入力します。
- ステートレス:選択を解除します。接続トラッキングは、ルールに一致するトラフィックに使用されます。
- Direction:「Ingress」( VNICへのインバウンド・トラフィック)を選択します。
- ソース・タイプ: CIDRを選択します。
- ソースCIDR: Oracle Autonomous Data Warehouseなど、サービスを含むプライベート・サブネットのCIDRブロックを指定します。
- IPプロトコル:「TCP」を選択します。
- ソース・ポート範囲: 1522を指定します。
- 宛先ポート範囲:空白のままにします(すべてのポートを示します)。
完了したら、「作成」をクリックします。