Oracle Utilities Cloudサービスと外部アプリケーションを統合するためのネットワーク接続オプションについて

Oracle Utilities Cloud Servicesを、データ・センター内またはサード・パーティのデータ・センターでホストされているアプリケーションと統合するには、Oracle Utilities Cloud Servicesからのアウトバウンドおよびインバウンド通信のネットワーク、認証およびプロトコルの要件を理解する必要があります。

この設計ソリューション・プレイブックは、Oracle Utilities Cloud Servicesとの間でリクエストを送受信するための技術的要件とネットワーキング要件を理解するのに役立ちます。統合の可能なネットワーク・シナリオの詳細を示し、ソリューションに可能なオプションを提供します。

ノート:

このプレイブックを分析し、Oracle Utilities Cloud Servicesとの統合に必要なネットワーキングを計画し、設定するには、一般的なネットワーキングの概念と適切なOracle Cloud Infrastructure (OCI)認定または同等の経験を十分に理解している必要があります。

アーキテクチャ

Oracle Utilities Cloudサービスをデータ・センターまたはサード・パーティのデータ・センターでホスティングされているアプリケーションと統合するための3つのアーキテクチャ・オプションのいずれかを選択できます。

アーキテクチャ1:パブリック(インターネット)WebサービスAPIを介したOracle Utilities Cloudサービスと外部アプリケーションの統合

pub-inet-opt.pngの説明が続きます
図pub-inet-opt.pngの説明

プライベート/企業ネットワークでホストされているアプリケーションとOracle Utilities Cloudサービス間の最も単純なフォーム統合は、パブリック・インターネットを介して実現できます。Oracle Utilities CloudサービスのREST APIはパブリック・インターネットにセキュアに公開されるため、オンプレミス・アプリケーションがREST APIにアクセスする必要がある場合、アプリケーションがパブリック・インターネットにアクセスできるかぎり、そのようにできます。同様に、Oracle Utilities Cloudサービスは、パブリック・インターネット(パブリックIP)に公開されているWebサービス・エンドポイントにアクセスできます。つまり、オンプレミス・アプリケーションのWebサービス・エンド・ポイントがパブリック・インターネットに公開されている場合、これらはOracle Utilities Cloudサービスで使用できます。企業ネットワークのファイアウォールは、アプリケーションのプライベート・エンド・ポイントをパブリック・インターネットに公開するように構成できます。これは最も単純な通信チャネルとなりますが、パブリック・インターネットを経由する転送には、パブリック・インターネットが提供できるセキュリティ、可用性および信頼性を十分に考慮する必要があります。

アーキテクチャ2。VPN Connect for private Webservice APIを介した外部アプリケーションとOracle Utilities Cloudサービスの統合

転送フロー:アウトバウンド通信を設定します。

vpn-connect-forward.pngの説明が続きます
図vpn-connect-forward.pngの説明

リバース・フロー:

vpn-connect-reverse.pngの説明が続きます
図vpn-connect-reverse.pngの説明

このアーキテクチャでは、外部アプリケーションは、パブリック・インターネットを介してプライベートWebサービスAPIコールを作成し、拡張VPNによって保護されます。これにより、企業のプライベート・ネットワークとVCNをOracle Cloud Infrastructure (OCI)上に作成できます。OCIネットワーキング内では、Oracle Utilities CloudサービスのVCN (Virtual Cloud Network)とVCN間の通信でサービス・ゲートウェイが使用されます。VPN接続では、VPN DRG (Dynamic Routing Gateway)とインタフェースしてインターネット経由でIPSEC暗号化トンネルを作成し、トンネルを流通するすべての情報を保護する、CPE (顧客構内機器)を設定する必要があります。認証はOracle Identity Cloud Serviceによって提供されます。

また、Oracle Utilities Cloudサービスは、VPNを介してOracle Utilities Cloudサービスでサポートされている認証方法(基本的な認証/OAuthクライアント資格証明など)を使用して、外部アプリケーションへのWebサービス・コールを行います。Oracle Utilities Cloudサービスは、パブリックIPアドレスに対してのみAPIコールを実行できます。外部APIがプライベートの場合、外部APIにパブリックIPがあることを確認するための適切な設定が必要です。たとえば、前述のアーキテクチャ図に示したリバース/カスタマ・プロキシで、プライベートAPIエンドポイントをパブリックIPで公開する場合などです。外部アプリケーションは、REST APIを使用してデータをOCIオブジェクト・ストレージにポストします。

外部アプリケーションのデジタル証明書が認証局によって発行されていない場合、1つのリバース・プロキシ(署名付き証明書)を使用して、データ・センター内の複数のアプリケーションをプロキシできます。前述の例で説明されているリバース・プロキシは、データ・センター内またはOCIのVCN内に設定できます。

アーキテクチャ3。プライベートWebサービスAPI用のFastConnectを介した外部アプリケーションとOracle Utilities Cloudサービスの統合

転送フロー:アウトバウンド通信を設定します。

fastconnect-opt-forward.pngの説明が続きます
図fastconnect-opt-forward.pngの説明

リバース・フロー:

fastconnect-reverse.pngの説明が続きます
図fastconnect-reverse.pngの説明

また、FastConnectの別のプライベート・ルーティング・オプションを使用して、プライベート/企業ネットワークをOCIネットワーク(OCI VCN)に接続することもできます。FastConnectは、データ・センターとOCI間の専用プライベート・ラインのOCIへのエントリ・ポイントを提供し、高度にセキュアなチャネルを介した高帯域幅のデータ転送を可能にします。FastConnect通信では、通信の方向に応じて、CPEをFastConnect DRGに接続できる専用回線とともに、OCI VCNでFastConnect DRGを設定する必要があります。これにより、通信の方向に応じて、VCN内のサービス・ゲートウェイまたはプロキシ(使用可能な場合)とインタフェースされます。OCIネットワーキングでは、Oracle Utilities Cloud ServiceのVCN (Virtual Cloud Network)とVCN間の通信で、APIコールの方向に応じてサービス・ゲートウェイまたはプロキシが使用されます。

すべてのファイル・ベースの統合について、オンプレミス・アプリケーションは、パブリック(インターネット)REST APIを使用してOCIオブジェクト・ストレージに投稿またはプルできます。

ノート:

転送フロー(該当するシナリオ)では、Oracle Utilities Cloud Service VCNから、インターネットを介してパブリックIPを使用して顧客のOCI VCNでホストされているカスタマ・プロキシに通信をルーティングできます。

ネットワーキング・シナリオの理解

このプレイブックでは、前述の3つのネットワーク・アーキテクチャに基づいて、Oracle Utilities Cloud Servicesを外部でホストされているアプリケーションと統合する際に検討する4つの異なるネットワーク・シナリオについて説明します。適切なネットワーク・トポロジの選択を支援するために、各シナリオの説明および説明を示します。

次の表および関連するトピックを使用して、ニーズに最適なネットワークオプションを決定してください。

セキュリティと可用性が制限されているため、インターネットを介してOracle Utilities Cloud Serviceに接続することは安価ですが、製品統合の一部として保護された情報を転送する場合は、よりリスクの高いオプションとなる場合があります。また、ネットワーク・オプションを評価する際には、OCIデータ転送の料金を考慮する必要があります。セキュリティと可用性を最大限に高めるために、パブリック・インターネット上でVPNを冗長設定するFastConnectオプションが優先される場合もあります。

次のトピックでは、これらのオプションの詳細を説明します。

シナリオ1: VPNやFastConnectを使用しないパブリック・インターネットの接続

オンプレミス・アプリケーションとの統合で高帯域幅または高レベルのセキュリティを必要としない場合、VPNまたはFastConnectなしでパブリック・インターネットを介した接続を検討できます。

次の点に注意してください。

シナリオ1の設定に関する考慮事項

シナリオ1は、パブリック・インターネットを介した直接接続で、設定する最も簡単なシナリオです。

  1. 転送フロー: Oracle Utilities Cloud Servicesからのトラフィックが許可されるように、外部データ・センターのファイアウォールを構成します(まだ行っていない場合)。

    Oracle Utilities Cloud Servicesからの通信が許可されるように、Oracle Utilities Cloud Serviceの許可リストに外部DNSアドレスを追加するためのサポート・チケットを作成します。許可リストのオプションの詳細は、このプレイブックの他の場所にある「許可リストの理解」を参照してください。

  2. リバース・フロー:外部データ・センターのアプリケーション/アプリケーションのパブリックIPを構成して使用し、Oracle Utilities Cloud Servicesからトラフィックをルーティングします。IPアドレスは、対応するOracle Utilities Cloud Serviceで構成することでアウトバウンド・アドレスとして使用できます。

サポートされているチャネルおよび外部システムとの統合の追加要件の詳細は、このプレイブックの別の場所にある「使用可能な統合チャネルの理解」を参照してください。

シナリオ2: VPNとFastConnectを使用しないパブリック・インターネットの接続

VPN接続とパブリック・インターネットを連携しますが、オンプレミス・アプリケーションとの統合において帯域幅は高くないが、統合のためのプライベートAPIにより、より高いレベルのセキュリティが必要な場合、FastConnectは接続しません。FastConnectには追加コストが必要であるため、コストはファクタですがネットワーク・スループットはそうでない場合、このシナリオを使用できます。

次の点に注意してください。

シナリオ2の設定に関する考慮事項

シナリオ2では、VPN接続を使用して外部データ・センターのプライベート・ネットワークをOCIに拡張します。VPN接続では、外部データ・センターとOCI上のVCN間のパブリック・インターネットを介してセキュアなIPSecトンネルを作成できます。

このVCNは、Oracle Utilities CloudサービスをホストするVCNと同じではありません。そのため、OCI上のVCNとOracle Utilities Cloud Services VCN間のネットワークを確立するには、適切な設定が必要です。エンドツーエンドVPNおよびその他の必要な設定は、ITチーム/パートナ/実装担当者のネットワーク管理者が実行できます。
  • 転送フロー: Oracle Utilities Cloud Servicesから外部アプリケーションへのアウトバウンド通信を設定します。
    1. サイト間VPNを設定します。外部データ・センターとOCI VCN間のVPNを理解および設定するには、このプレイブックの「VPN接続を使用するタイミング」および後続の項を参照してください。Oracle Utilities Cloudサービスのアウトバウンド通信は、パブリックIPアドレスを持つAPIに対してのみ実行できます。VPNを介してOracle Utilities Cloud Servicesから外部アプリケーションへのアウトバウンド通信を有効にするには、外部アプリケーションのプライベートIPアドレスがパブリックIPアドレスを介してプロキシされるため、Oracle Utilities Cloud Servicesが転送フローの一部として通信を送信できる適切な設定および構成を実行する必要があります。

      これはいくつかの方法で実行できます。ITチームのネットワーキング・エキスパートは、パブリックIPアドレスを介して外部アプリケーションのプライベートIPアドレスをプロキシするためのオプションをリストおよび評価し、最適なソリューションを選択できる必要があります。

      このようなオプションの例として、アーキテクチャ図で言及した逆プロキシの使用があります。

      リバース・プロキシの設定例:

      リバース・プロキシは、パブリックIPアドレスを使用してプライベートな外部APIをプロキシするように設定できます。

      • 顧客プロキシ(リバース・プロキシ)を設定します。リバース・プロキシは、VPN接続を介して外部データ・センターのプライベート・ネットワークを拡張するオプションを使用して統合されている外部アプリケーションのプライベート・エンド・ポイントのプロキシに設定できます。リバース・プロキシは、パブリックIPアドレスを使用してプライベート・エンド・ポイントをプロキシするように構成できます。Oracle Utilities Cloud Servicesから外部アプリケーションへのアウトバウンド通信は、このリバース・プロキシを介してルーティングし、VPN接続を使用してIP Secトンネル設定を介してルーティングできます。
      • OCI VCNで個別にプロビジョニングされたOCI VMを使用して、プロキシを設定できます。
      • このVMに適切なリバース・プロキシ・ソフトウェアをインストールおよび構成することで、Oracle Utilities Cloud Servicesからのリクエストを受け付け、外部アプリケーションに転送できます。リバース・プロキシはパブリックIPアドレスで設定する必要があるため、Oracle Utilities Cloud Serviceはアウトバウンド通信をリバース・プロキシに送信できます。
    2. 構成済/設定済APIにアウトバウンド・メッセージを送信できるように、適切な詳細でOracle Utilities Cloud Serviceのアウトバウンド通信を構成します。
    3. Oracle Utilities Cloud Servicesからの通信が許可されるように、Oracle Utilities Cloud Serviceの許可リストに外部DNSアドレスを追加するためのサポート・チケットを作成します。許可リストのオプションの詳細は、このプレイブックの「許可リストの理解」の項を参照してください。
  • 逆方向フロー: 外部アプリケーションからOracle Utilities Cloud Servicesへのインバウンド通信を設定します。
    1. 前の転送フローで実行したのと同じサイト・サイトVPN設定を使用して、インバウンド通信を設定します。
    2. サービス・ゲートウェイを設定します。サービス・ゲートウェイは、OCI VCNで使用可能なゲートウェイの1つで、OCI内の2つのVCN間でトラフィックをルーティングできます。サービス・ゲートウェイを理解および構成するには、このプレイブックの他の場所にある「Oracle Services: Service Gatewayへのアクセス」を参照してください。インバウンド・トラフィックは、外部データ・センターとOCI上のVCNの間でVPNを介してルーティングされ、サービス・ゲートウェイを介してOracle Utilities Cloud Servicesにルーティングされます。
    3. VCNのサービス・ゲートウェイからのOracle Utilities Cloud Servicesへの通信が許可されるように、VCN OCIDをOracle Utilities Cloud Serviceの許可リストに追加するためのサポート・チケットを作成します。
前述の手順の詳細は、このプレイブックの他の場所にある次のトピックを参照してください。
  • 許可リストのオプションの詳細は、「許可リストの理解」を参照してください。
  • リバース・プロキシの例の詳細は、「リバース・プロキシの理解」を参照してください。
  • 「使用可能な統合チャネル」を理解して、サポートされているチャネルおよび外部システムへの統合の追加要件を理解します。

シナリオ3: VPNを使用しないFastConnectを介した接続

オンプレミス・アプリケーションとの統合で高帯域幅(大きなファイルを転送する必要がある場合など)が必要な場合に、VPNせずにFastConnectを介して接続します。

次の点に注意してください。

シナリオ3の設定に関する考慮事項

シナリオ3では、外部データ・センターとOCI間に専用のプライベート・ラインを設定する必要があります。

  • 外部データ・センターとOCIの間のFastConnectプライベート・ラインを設定します。FastConnectを理解して設定するには、このプレイブックの別の場所にあるOCI FastConnectの理解を参照してください。
  • シナリオ2の手順に従って、このシナリオの残りの設定/構成を完了します。

    ノート:

    Oracle Utilities Cloud Servicesからのアウトバウンド通信用のパブリックAPIを統合するための様々なオプションを評価するには、FastConnectパブリック・ピアリングをよく理解する必要があります。

シナリオ4: VPNおよびFASTConnectを使用したパブリック・インターネット経由の接続

オンプレミス・アプリケーションとの統合で高帯域幅が要求されるだけでなく、100%の可用性に近づくためにフォールバック・メカニズムも必要とする場合は、VPN接続およびFASTConnectを使用してパブリック・インターネットを介して接続します。この場合のフォールバックメカニズムの帯域幅は低くなっていますが、接続が維持されるようになります。

次の点に注意してください。

シナリオ4の設定に関する考慮事項

シナリオ4はシナリオ2とシナリオ3の組合せであるため、両方のシナリオに指定された設定を参照として使用して、必要なネットワークを理解および設定できます。