プライベート・サブネットのセキュリティ・ルールの指定

プライベート・サブネット内のリモート・データ・ゲートウェイ(RDG )、Oracle GoldenGateおよびAutonomous Data Warehouseへのアクセスを許可するセキュリティ・ルールを指定する必要があります。

リモート・データ・ゲートウェイ(RDG)およびOracle GoldenGateは、セキュリティ・リストに割り当てられたルールを使用します。Autonomous Data Warehouseでは、ネットワーク・セキュリティ・グループ(NSG)に割り当てられたルールを使用します。

セキュリティ・リスト:サブネット全体のすべてのVNICに適用されるセキュリティ・ルールのセットを定義します。特定のセキュリティ・リストを特定のサブネットで使用するには、サブネットの作成中または後で、そのサブネットにセキュリティ・リストを関連付けます。そのサブネット内に作成されたVNICは、そのサブネットに関連付けられたセキュリティーリストの対象となります。
ネットワーク・セキュリティ・グループ(NSG):選択したVNICのグループ(Autonomous Data Warehouseなどのリソース)に適用されるセキュリティ・ルールのセットを定義します。特定のNSGを使用するには、サービスのプロビジョニング時に目的のVNICをグループに追加するか、NSGを割り当てます。NSGをサポートしていないサービスもあります。そのグループに追加されたVNICは、そのグループのセキュリティー規則の対象になります。

セキュリティ・リストの作成

セキュリティ・リストは、セキュリティ・リストに関連付けられたサブネット内のすべての仮想ネットワーク・インタフェース・カード(VNIC)に適用されるイングレスおよびエグレスのセキュリティ・ルールのセットを使用して、仮想ファイアウォールとして機能します。

ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーク」に移動し、「仮想クラウド・ネットワーク」をクリックします。
関心のあるVCNをクリックします。
「リソース」で、「セキュリティ・リスト」をクリックします。
「セキュリティ・リストの作成」をクリックします。
次を入力します:
- 名前:セキュリティ・リストを説明する名前。たとえば、my - domain - sec - listです。名前は一意である必要はなく、後でコンソールで変更することはできません(ただし、APIを使用して変更できます)。機密情報を入力しないでください。
- コンパートメントで作成:セキュリティ・リストを作成するコンパートメント(現在作業しているコンパートメントと異なる場合)。
イングレスまたはエグレス・セキュリティ・ルールを追加します。セキュリティ・リストの作成後に、セキュリティ・ルールを追加、改訂および削除することもできます。
「セキュリティ・リストの作成」をクリックします。

リモート・データ・ゲートウェイのイングレス・ルールの追加

セキュリティ・ルールでは、特定のタイプのトラフィックを仮想ネットワーク・インタフェース・カード(NVIC)との間で送受信できます。

リモート・データ・ゲートウェイ(RDG)には、Linuxへのセキュア・シェル・アクセス(SSH)用のポート22およびHTTPアクセス用のポート8080が必要です。

リモート・データ・ゲートウェイへのアクセスを許可するためにイングレス・ルールをセキュリティ・リストに追加する手順は、次のとおりです。

ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーク」に移動し、「仮想クラウド・ネットワーク」をクリックします。
関心のあるVCNをクリックします。
「リソース」で、「セキュリティ・リスト」をクリックします。
目的のセキュリティ・リストをクリックします。
オンプレミス・データ・ソースをクラウド内のデータベースに移行するなど、セキュア・シェル(SSH)を使用したパブリック・アクセスを許可するルールを追加するには、次のようにします。
1. 「イングレス・ルールの追加」をクリックします。
2. ソースCIDRとして0.0.0.0/0を指定します(0.0.0.0/0はすべてのIPアドレスを示します)。
3. IPプロトコルとして「SSH」を選択します。
4. 宛先ポート範囲として22を指定します。
異なるVCN内のサーバーまたはアプリケーションからのTCPアクセスを許可するルールを追加するには、次の手順を実行します。
1. 「イングレス・ルールの追加」をクリックします。
2. VCN CIDRブロックをソースCIDRとして指定します。
3. IPプロトコルとしてTCPを選択します。
4. 宛先ポート範囲として8080を指定します。

Oracle GoldenGateのイングレス・ルールの追加

セキュリティ・ルールでは、特定のタイプのトラフィックを仮想ネットワーク・インタフェース・カード(NVIC)との間で送受信できます。

Oracle GoldenGateでは、TCPアクセスにポート443が必要です。

ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーク」に移動し、「仮想クラウド・ネットワーク」をクリックします。
関心のあるVCNをクリックします。
「リソース」で、「セキュリティ・リスト」をクリックします。
目的のセキュリティ・リストをクリックします。
異なるVCN内のサーバーまたはアプリケーションからOracle GoldenGateへのTCPアクセスを許可するルールを追加するには、次のようにします。
1. 「イングレス・ルールの追加」をクリックします。
2. VCN CIDRブロックをソースCIDRとして指定します。
3. IPプロトコルとしてTCPを選択します。
4. 宛先ポート範囲として443を指定します。

プライベート・サブネットへのセキュリティ・リストの追加

既存の仮想クラウド・ネットワーク(VCN)サブネットに対してセキュリティ・リストを追加または削除できます。

ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーク」に移動し、「仮想クラウド・ネットワーク」をクリックします。
「サブネット」をクリックします。
関心のあるVCNをクリックします。
「サブネット」をクリックします。
目的のプライベート・サブネットをクリックします。「サブネット・アクセス」の下にリストされている値をチェックして、プライベート・サブネットであることを確認します。
「リソース」で、「セキュリティ・リスト」をクリックします。
セキュリティ・リストを追加する場合は、「セキュリティ・リストの追加」をクリックし、サブネットで使用するセキュリティ・リストを選択します。

セキュリティ・リストを削除する場合は、「アクション」アイコン(3つの点)をクリックし、「削除」をクリックします。サブネットには、関連付けられたセキュリティ・リストが常に1つ以上必要であることに注意してください。

変更は数秒以内に有効になります。

プライベート・エンドポイント・アクセス用のネットワーク・セキュリティ・グループ(NSG)の作成

ネットワーク・セキュリティ・グループ(NSG)を使用すると、選択したVNIC (またはリソース)のグループに適用されるセキュリティ・ルールのセットを定義できます。

Oracle Autonomous Data Warehouseなどのリソースをプロビジョニングするときに、ネットワーク・セキュリティ・グループを割り当てることができます。NSGをサポートしていないサービスもあります。

ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーク」に移動し、「仮想クラウド・ネットワーク」をクリックします。
関心のあるVCNをクリックします。
「リソース」で、「ネットワーク・セキュリティ・グループ」をクリックします。
「ネットワーク・セキュリティ・グループの作成」をクリックします。
次を入力します:
- 名前:ネットワーク・セキュリティ・グループを説明する名前。名前は一意である必要はなく、後で変更できます。機密情報を入力しないでください。
- コンパートメントで作成:セキュリティ・リストを作成するコンパートメント(現在作業しているコンパートメントと異なる場合)。
「次へ」をクリックします。
最初のセキュリティ・ルールについて、次の項目を入力します。
- ステートレス:選択解除したままにします。接続トラッキングは、ルールに一致するトラフィックに使用されます。
- Direction:「Ingress (inbound traffic to the VNIC )」を選択します。
- ソース・タイプ: CIDRを選択します。
- ソースCIDR: Oracle Autonomous Data Warehouseなど、サービスを含むプライベート・サブネットのCIDRブロックを指定します。
- IPプロトコル:「TCP」を選択します。
- ソース・ポート範囲: 1522を指定します。
- 宛先ポート範囲:空白のままにします(すべてのポートを示します)。
完了したら、「作成」をクリックします。