Oracle Utilities Cloudサービスと外部アプリケーションを統合するためのネットワーク接続オプションについて

Oracle Utilities Cloud Servicesを、データ・センター内またはサード・パーティのデータ・センターでホストされているアプリケーションと統合するには、Oracle Utilities Cloud Servicesからのアウトバウンドおよびインバウンド通信のネットワーク、認証およびプロトコルの要件を理解する必要があります。

この設計ソリューション・プレイブックは、Oracle Utilities Cloud Servicesとの間でリクエストを送受信するための技術的要件とネットワーキング要件を理解するのに役立ちます。統合の可能なネットワーク・シナリオの詳細を示し、ソリューションに可能なオプションを提供します。

ノート:

このプレイブックを分析し、Oracle Utilities Cloud Servicesとの統合に必要なネットワーキングを計画し、設定するには、一般的なネットワーキングの概念と適切なOracle Cloud Infrastructure (OCI)認定または同等の経験を十分に理解している必要があります。

アーキテクチャ

Oracle Utilities Cloudサービスをデータ・センターまたはサード・パーティのデータ・センターでホスティングされているアプリケーションと統合するための3つのアーキテクチャ・オプションのいずれかを選択できます。

アーキテクチャ1:パブリック(インターネット)WebサービスAPIを介したOracle Utilities Cloudサービスと外部アプリケーションの統合

図pub-inet-opt.pngの説明

プライベート/企業ネットワークでホストされているアプリケーションとOracle Utilities Cloudサービス間の最も単純なフォーム統合は、パブリック・インターネットを介して実現できます。Oracle Utilities CloudサービスのREST APIはパブリック・インターネットにセキュアに公開されるため、オンプレミス・アプリケーションがREST APIにアクセスする必要がある場合、アプリケーションがパブリック・インターネットにアクセスできるかぎり、そのようにできます。同様に、Oracle Utilities Cloudサービスは、パブリック・インターネット(パブリックIP)に公開されているWebサービス・エンドポイントにアクセスできます。つまり、オンプレミス・アプリケーションのWebサービス・エンド・ポイントがパブリック・インターネットに公開されている場合、これらはOracle Utilities Cloudサービスで使用できます。企業ネットワークのファイアウォールは、アプリケーションのプライベート・エンド・ポイントをパブリック・インターネットに公開するように構成できます。これは最も単純な通信チャネルとなりますが、パブリック・インターネットを経由する転送には、パブリック・インターネットが提供できるセキュリティ、可用性および信頼性を十分に考慮する必要があります。

アーキテクチャ2。VPN Connect for private Webservice APIを介した外部アプリケーションとOracle Utilities Cloudサービスの統合

転送フロー:アウトバウンド通信を設定します。

図vpn-connect-forward.pngの説明

リバース・フロー:

図vpn-connect-reverse.pngの説明

このアーキテクチャでは、外部アプリケーションは、パブリック・インターネットを介してプライベートWebサービスAPIコールを作成し、拡張VPNによって保護されます。これにより、企業のプライベート・ネットワークとVCNをOracle Cloud Infrastructure (OCI)上に作成できます。OCIネットワーキング内では、Oracle Utilities CloudサービスのVCN (Virtual Cloud Network)とVCN間の通信でサービス・ゲートウェイが使用されます。VPN接続では、VPN DRG (Dynamic Routing Gateway)とインタフェースしてインターネット経由でIPSEC暗号化トンネルを作成し、トンネルを流通するすべての情報を保護する、CPE (顧客構内機器)を設定する必要があります。認証はOracle Identity Cloud Serviceによって提供されます。

また、Oracle Utilities Cloudサービスは、VPNを介してOracle Utilities Cloudサービスでサポートされている認証方法(基本的な認証/OAuthクライアント資格証明など)を使用して、外部アプリケーションへのWebサービス・コールを行います。Oracle Utilities Cloudサービスは、パブリックIPアドレスに対してのみAPIコールを実行できます。外部APIがプライベートの場合、外部APIにパブリックIPがあることを確認するための適切な設定が必要です。たとえば、前述のアーキテクチャ図に示したリバース/カスタマ・プロキシで、プライベートAPIエンドポイントをパブリックIPで公開する場合などです。外部アプリケーションは、REST APIを使用してデータをOCIオブジェクト・ストレージにポストします。

外部アプリケーションのデジタル証明書が認証局によって発行されていない場合、1つのリバース・プロキシ(署名付き証明書)を使用して、データ・センター内の複数のアプリケーションをプロキシできます。前述の例で説明されているリバース・プロキシは、データ・センター内またはOCIのVCN内に設定できます。

アーキテクチャ3。プライベートWebサービスAPI用のFastConnectを介した外部アプリケーションとOracle Utilities Cloudサービスの統合

転送フロー:アウトバウンド通信を設定します。

図fastconnect-opt-forward.pngの説明

リバース・フロー:

図fastconnect-reverse.pngの説明

また、FastConnectの別のプライベート・ルーティング・オプションを使用して、プライベート/企業ネットワークをOCIネットワーク(OCI VCN)に接続することもできます。FastConnectは、データ・センターとOCI間の専用プライベート・ラインのOCIへのエントリ・ポイントを提供し、高度にセキュアなチャネルを介した高帯域幅のデータ転送を可能にします。FastConnect通信では、通信の方向に応じて、CPEをFastConnect DRGに接続できる専用回線とともに、OCI VCNでFastConnect DRGを設定する必要があります。これにより、通信の方向に応じて、VCN内のサービス・ゲートウェイまたはプロキシ(使用可能な場合)とインタフェースされます。OCIネットワーキングでは、Oracle Utilities Cloud ServiceのVCN (Virtual Cloud Network)とVCN間の通信で、APIコールの方向に応じてサービス・ゲートウェイまたはプロキシが使用されます。

すべてのファイル・ベースの統合について、オンプレミス・アプリケーションは、パブリック(インターネット)REST APIを使用してOCIオブジェクト・ストレージに投稿またはプルできます。

ノート:

転送フロー(該当するシナリオ)では、Oracle Utilities Cloud Service VCNから、インターネットを介してパブリックIPを使用して顧客のOCI VCNでホストされているカスタマ・プロキシに通信をルーティングできます。

ネットワーキング・シナリオの理解

このプレイブックでは、前述の3つのネットワーク・アーキテクチャに基づいて、Oracle Utilities Cloud Servicesを外部でホストされているアプリケーションと統合する際に検討する4つの異なるネットワーク・シナリオについて説明します。適切なネットワーク・トポロジの選択を支援するために、各シナリオの説明および説明を示します。

次の表および関連するトピックを使用して、ニーズに最適なネットワークオプションを決定してください。

シナリオ	説明	セキュリティ	高可用性	スループット	コスト
1	VPNやFastConnectを使用しないパブリック・インターネットを介した接続	TLSのみ	インターネットを介した接続性に依存	限定	低セットアップ・コスト、低セットアップ・コスト、OCIデータ転送料金がかかる
2	VPN接続とFastConnectなしでのパブリック・インターネット接続	IPSec、暗号化済	限定	通常<250Mbps	低セットアップ・コスト、低セットアップ・コスト、OCIデータ転送料金がかかる
3	VPNを使用しないFastConnectを介した接続(VPNはスループットを低下させる場合があります)	TLS over dedicated private line - Not Encryption	冗長性のサポート-高冗長性ベスト・プラクティスを参照してください	1 Gbps、10 Gbpsまたは100 Gbpsの増分単位速度	確約設定コスト: OCIデータ転送費用は適用されません。
4	VPN(フォールバックとしての)とFastConnectによるパブリック・インターネットを介した接続	通信に使用されるパスに応じて(Fast Connect -Not Encryption; VPN -Encrypted)	設計による冗長性-冗長性ベスト・プラクティスの参照	データ転送に使用するパスに応じて	確約された設定コスト。通信のパスに応じて、OCIデータ転送料金がかかる場合があります。

セキュリティと可用性が制限されているため、インターネットを介してOracle Utilities Cloud Serviceに接続することは安価ですが、製品統合の一部として保護された情報を転送する場合は、よりリスクの高いオプションとなる場合があります。また、ネットワーク・オプションを評価する際には、OCIデータ転送の料金を考慮する必要があります。セキュリティと可用性を最大限に高めるために、パブリック・インターネット上でVPNを冗長設定するFastConnectオプションが優先される場合もあります。

次のトピックでは、これらのオプションの詳細を説明します。

シナリオ1: VPNやFastConnectを使用しないパブリック・インターネットの接続

オンプレミス・アプリケーションとの統合で高帯域幅または高レベルのセキュリティを必要としない場合、VPNまたはFastConnectなしでパブリック・インターネットを介した接続を検討できます。

次の点に注意してください。

前提条件(お客様が実行)	顧客のネットワーク上のオンプレミス・アプリケーションのAPIは、インターネットからパブリックにアクセスできる必要があります。 顧客のネットワーク内のアプリケーションはパブリック・インターネットにアクセスできる必要があります。
作業中	Oracle Utilities Cloud Services REST APIはパブリック・インターネットに公開されるため、オンプレミス・アプリケーションは統合にこれらのREST APIを使用できます。 Oracle Utilities Cloud Servicesは、統合のためにオンプレミスのパブリック(インターネット対応) APIを呼び出すことができます。 ファイル転送は、Object Storageを使用して実行できます。Object Storageは、パブリック(インターネット接続)のREST APIも保護されています。
長所	シンプルなセットアップ、低コスト。
短所	パブリック・インターネットを介した、TLSを使用した転送中のデータのセキュリティが制限されています。 接続の可用性が保証されるわけではありません。オンプレミスのデータ・センターとOracleのOCIの間のネットワーク停止は、発生する可能性があります。 予測不能なスループット、大量のデータを移動すると相当な時間がかかる OCIデータ転送費用が適用される場合があります。

シナリオ1の設定に関する考慮事項

シナリオ1は、パブリック・インターネットを介した直接接続で、設定する最も簡単なシナリオです。

1. 転送フロー: Oracle Utilities Cloud Servicesからのトラフィックが許可されるように、外部データ・センターのファイアウォールを構成します(まだ行っていない場合)。

   Oracle Utilities Cloud Servicesからの通信が許可されるように、Oracle Utilities Cloud Serviceの許可リストに外部DNSアドレスを追加するためのサポート・チケットを作成します。許可リストのオプションの詳細は、このプレイブックの他の場所にある「許可リストの理解」を参照してください。

2. リバース・フロー:外部データ・センターのアプリケーション/アプリケーションのパブリックIPを構成して使用し、Oracle Utilities Cloud Servicesからトラフィックをルーティングします。IPアドレスは、対応するOracle Utilities Cloud Serviceで構成することでアウトバウンド・アドレスとして使用できます。

サポートされているチャネルおよび外部システムとの統合の追加要件の詳細は、このプレイブックの別の場所にある「使用可能な統合チャネルの理解」を参照してください。

シナリオ2: VPNとFastConnectを使用しないパブリック・インターネットの接続

VPN接続とパブリック・インターネットを連携しますが、オンプレミス・アプリケーションとの統合において帯域幅は高くないが、統合のためのプライベートAPIにより、より高いレベルのセキュリティが必要な場合、FastConnectは接続しません。FastConnectには追加コストが必要であるため、コストはファクタですがネットワーク・スループットはそうでない場合、このシナリオを使用できます。

次の点に注意してください。

前提条件の設定(お客様が計画および設定する場合)	VPN接続用のオンプレミス・データ・センターとOCIの間で適切な設定を行う必要があります。 サービス・ゲートウェイは、顧客のオンプレミス・データ・センターからVPN接続を介してOracle Utilities Cloudサービスにリクエストをルーティングするために、顧客のOCI VCN内で設定する必要があります。 • Oracle Utilities Cloud ServicesはパブリックAPIにのみリクエストを送信できるため、Oracle Utilities Cloud Servicesから顧客のオンプレミス・データ・センターのプライベートAPIにリクエストをルーティングするように、適切な設定/構成を設定する必要があります。 冗長性を計画でき、それに応じてVPN設定を行う必要があります(冗長性ベスト・プラクティスです)。
作業中	Oracle Utilities CloudサービスのREST APIは、サービス・ゲートウェイを介してVPN接続ルートを介してアクセスできるため、顧客のオンプレミス・アプリケーションはこれらのREST APIを使用して統合できます。 Oracle Utilities Cloudサービスは、リバース・プロキシやVPNによる仲介を介して、顧客のアプリケーションのプライベートAPIにアクセスできます。 ファイル転送は、Object Storageを使用して実行できます。Object Storageは、パブリック(インターネット接続)のREST APIも保護されています。
長所	設定が容易で、パブリック・インターネット・オプションより安全。 冗長性は、複数の接続およびトンネルによってサポートされます。
短所	顧客のオンプレミス・アプリケーションのプライベートAPIをOracle Utilities Cloudサービスに公開するプロキシなど、仲介業者を設定するコスト。 サービス・ゲートウェイの設定。 低スループット-通常<250Mbps;大量のデータを移動すると、かなりの時間がかかる可能性があります。 OCIデータ転送費用が適用される場合があります。

シナリオ2の設定に関する考慮事項

シナリオ2では、VPN接続を使用して外部データ・センターのプライベート・ネットワークをOCIに拡張します。VPN接続では、外部データ・センターとOCI上のVCN間のパブリック・インターネットを介してセキュアなIPSecトンネルを作成できます。

このVCNは、Oracle Utilities CloudサービスをホストするVCNと同じではありません。そのため、OCI上のVCNとOracle Utilities Cloud Services VCN間のネットワークを確立するには、適切な設定が必要です。エンドツーエンドVPNおよびその他の必要な設定は、ITチーム/パートナ/実装担当者のネットワーク管理者が実行できます。

• 転送フロー: Oracle Utilities Cloud Servicesから外部アプリケーションへのアウトバウンド通信を設定します。
  1. サイト間VPNを設定します。外部データ・センターとOCI VCN間のVPNを理解および設定するには、このプレイブックの「VPN接続を使用するタイミング」および後続の項を参照してください。Oracle Utilities Cloudサービスのアウトバウンド通信は、パブリックIPアドレスを持つAPIに対してのみ実行できます。VPNを介してOracle Utilities Cloud Servicesから外部アプリケーションへのアウトバウンド通信を有効にするには、外部アプリケーションのプライベートIPアドレスがパブリックIPアドレスを介してプロキシされるため、Oracle Utilities Cloud Servicesが転送フローの一部として通信を送信できる適切な設定および構成を実行する必要があります。

     これはいくつかの方法で実行できます。ITチームのネットワーキング・エキスパートは、パブリックIPアドレスを介して外部アプリケーションのプライベートIPアドレスをプロキシするためのオプションをリストおよび評価し、最適なソリューションを選択できる必要があります。

     このようなオプションの例として、アーキテクチャ図で言及した逆プロキシの使用があります。

     リバース・プロキシの設定例:

     リバース・プロキシは、パブリックIPアドレスを使用してプライベートな外部APIをプロキシするように設定できます。

     • 顧客プロキシ(リバース・プロキシ)を設定します。リバース・プロキシは、VPN接続を介して外部データ・センターのプライベート・ネットワークを拡張するオプションを使用して統合されている外部アプリケーションのプライベート・エンド・ポイントのプロキシに設定できます。リバース・プロキシは、パブリックIPアドレスを使用してプライベート・エンド・ポイントをプロキシするように構成できます。Oracle Utilities Cloud Servicesから外部アプリケーションへのアウトバウンド通信は、このリバース・プロキシを介してルーティングし、VPN接続を使用してIP Secトンネル設定を介してルーティングできます。
     • OCI VCNで個別にプロビジョニングされたOCI VMを使用して、プロキシを設定できます。
     • このVMに適切なリバース・プロキシ・ソフトウェアをインストールおよび構成することで、Oracle Utilities Cloud Servicesからのリクエストを受け付け、外部アプリケーションに転送できます。リバース・プロキシはパブリックIPアドレスで設定する必要があるため、Oracle Utilities Cloud Serviceはアウトバウンド通信をリバース・プロキシに送信できます。
  2. 構成済/設定済APIにアウトバウンド・メッセージを送信できるように、適切な詳細でOracle Utilities Cloud Serviceのアウトバウンド通信を構成します。
  3. Oracle Utilities Cloud Servicesからの通信が許可されるように、Oracle Utilities Cloud Serviceの許可リストに外部DNSアドレスを追加するためのサポート・チケットを作成します。許可リストのオプションの詳細は、このプレイブックの「許可リストの理解」の項を参照してください。
• 逆方向フロー: 外部アプリケーションからOracle Utilities Cloud Servicesへのインバウンド通信を設定します。
  1. 前の転送フローで実行したのと同じサイト・サイトVPN設定を使用して、インバウンド通信を設定します。
  2. サービス・ゲートウェイを設定します。サービス・ゲートウェイは、OCI VCNで使用可能なゲートウェイの1つで、OCI内の2つのVCN間でトラフィックをルーティングできます。サービス・ゲートウェイを理解および構成するには、このプレイブックの他の場所にある「Oracle Services: Service Gatewayへのアクセス」を参照してください。インバウンド・トラフィックは、外部データ・センターとOCI上のVCNの間でVPNを介してルーティングされ、サービス・ゲートウェイを介してOracle Utilities Cloud Servicesにルーティングされます。
  3. VCNのサービス・ゲートウェイからのOracle Utilities Cloud Servicesへの通信が許可されるように、VCN OCIDをOracle Utilities Cloud Serviceの許可リストに追加するためのサポート・チケットを作成します。

前述の手順の詳細は、このプレイブックの他の場所にある次のトピックを参照してください。

• 許可リストのオプションの詳細は、「許可リストの理解」を参照してください。
• リバース・プロキシの例の詳細は、「リバース・プロキシの理解」を参照してください。
• 「使用可能な統合チャネル」を理解して、サポートされているチャネルおよび外部システムへの統合の追加要件を理解します。

シナリオ3: VPNを使用しないFastConnectを介した接続

オンプレミス・アプリケーションとの統合で高帯域幅(大きなファイルを転送する必要がある場合など)が必要な場合に、VPNせずにFastConnectを介して接続します。

次の点に注意してください。

前提条件設定(顧客が計画および設定する)	顧客のオンプレミス・データ・センターとOCIの専用プライベート・ライン リバース・プロキシの使用など、プライベート・エンド・ポイントがパブリック・エンド・ポイントとしてOracle Utilities Cloudサービスに公開されるように、設定および構成を設定する必要があります。 サービス・ゲートウェイは、顧客のオンプレミス・データ・センターからVPN接続を介してOracle Utilities Cloudサービスにリクエストをルーティングするために、顧客のOCI VCN内で設定する必要があります。 冗長性を計画でき、それに応じてFastConnectの設定を行う必要があります(冗長性はベスト・プラクティスです)。
作業中	Oracle Utilities CloudサービスREST APIには、FastConnectおよびサービス・ゲートウェイ・ルートを介してアクセスできます。そのため、顧客アプリケーションはこれらのREST APIを使用して統合できます。 Oracle Utilities Cloudサービスは、中間設定(リバース・プロキシなど)およびFastConnectを介して、お客様のオンプレミス・アプリケーションのプライベートAPIにアクセスできます。 ファイル転送は、REST APIも存在するオブジェクト・ストレージを使用して行われます。
長所	高帯域幅、セキュアな回線。
短所	FastConnectプライベート明細の設定のコストと、仲介業者の設定コスト(プロキシなど)。

シナリオ3の設定に関する考慮事項

シナリオ3では、外部データ・センターとOCI間に専用のプライベート・ラインを設定する必要があります。

• 外部データ・センターとOCIの間のFastConnectプライベート・ラインを設定します。FastConnectを理解して設定するには、このプレイブックの別の場所にあるOCI FastConnectの理解を参照してください。
• シナリオ2の手順に従って、このシナリオの残りの設定/構成を完了します。

  ノート:

  Oracle Utilities Cloud Servicesからのアウトバウンド通信用のパブリックAPIを統合するための様々なオプションを評価するには、FastConnectパブリック・ピアリングをよく理解する必要があります。

シナリオ4: VPNおよびFASTConnectを使用したパブリック・インターネット経由の接続

オンプレミス・アプリケーションとの統合で高帯域幅が要求されるだけでなく、100%の可用性に近づくためにフォールバック・メカニズムも必要とする場合は、VPN接続およびFASTConnectを使用してパブリック・インターネットを介して接続します。この場合のフォールバックメカニズムの帯域幅は低くなっていますが、接続が維持されるようになります。

次の点に注意してください。

前提条件:	顧客のオンプレミス・データ・センターとOCIの専用プライベート・ライン プライベート・エンド・ポイントをパブリック・エンド・ポイントとしてOracle Utilities Cloud Servicesに公開できる適切な設定および構成。 サービス・ゲートウェイは、顧客のオンプレミス・データ・センターからVPN接続を介してOracle Utilities Cloudサービスにリクエストをルーティングするために、顧客のOCI VCN内で設定する必要があります。 冗長性を計画でき、それに応じてFastConnectの設定を行う必要があります(冗長性はベスト・プラクティスです)。 冗長性を計画でき、それに応じてVPN設定を行う必要があります(冗長性はベスト・プラクティスです)。
作業中:	Oracle Utilities CloudサービスREST APIには、FastConnectまたはVPN接続ルートを介してアクセスできます。そのため、顧客アプリケーションはこれらのREST APIを使用して統合できます。 Oracle Utilities Cloudサービスは、プロキシを通じて、またはFastConnectまたはVPN接続を介して、オンプレミスで顧客のプライベートAPIにアクセスできます ファイル転送は、Object Storageのパブリック(インターネット対応)REST APIを使用して、またはFastConnectを介してObject Storageに接続することで実行できます。
長所	高帯域幅、高可用性、および安全。
短所	FastConnectの専用回線の設定にかかるコストおよびオンプレミス・プライベート・エンド・ポイントをOracle Utilities Cloudサービスに公開するための中間プロセスの設定コスト。 FastConnectラインが使用できなくなった場合のVPN接続の低スループット。

シナリオ4の設定に関する考慮事項

シナリオ4はシナリオ2とシナリオ3の組合せであるため、両方のシナリオに指定された設定を参照として使用して、必要なネットワークを理解および設定できます。