セキュアな複数層トポロジの設定について
このソリューションに用意されているTerraformビルディング・ブロックを使用して、複数層のマルチ・ユーザー環境をサポートするセキュアなネットワーク・トポロジの基本構造を実装します。この基本的なトポロジを作成して、ビジネス要件に合せてチューニングすることで、時間と労力を大幅に節約できます。
アーキテクチャ
このソリューションのアーキテクチャでは、リソースを管理するユーザー・グループに応じて、リソースが個別の区分に編成されます。
図Multi - network - -architecture.pngの説明
このアーキテクチャのリソースは次のとおりです。特定のニーズに合せてアーキテクチャをカスタマイズします。
- 仮想クラウド・ネットワーク(VCN)およびゲートウェイがネットワーク区分にあります。サブネットを使用するリソースを含むサブネットを区分内に作成できます。
- ベース・ホストなどのパブリック ・サブネットにアタッチするリソースには、インターネット・ゲートウェイを介してパブリック・インターネットからアクセスできます。分散サービス拒否(DDoS)攻撃など、ネットワーク・セキュリティの問題が発生した場合は、ゲートウェイを終了することでVCNへのすべてのトラフィックをブロックできます。
- プライベート ・サブネット内のリソースは、NATゲートウェイを介して公開インターネットにアクセスできます。たとえば、プライベート・サブネット内の計算インスタンスは、NATゲートウェイを介して外部サイトからパッチを取得できます。
- Shared Services区分には、トポロジ全体で共有されるリソースが含まれます。
- ベース・ホストは管理区分にあります。
- ビジネス・ロジック・コンパートメントは、Webサーバー、アプリケーション・サーバーおよびロード・バランサを保持します。
- データベースはDatabaseコンパートメント内にあります。
各ユーザー・グループが区分内のリソースに持つアクセス権のレベルを管理するアーキテクチャ・ダイアグラムに表示されない、定義したポリシー。
注意:
- このアーキテクチャのリソースは、3つの可用性ドメイン(AD)に分散されています。単一ADのリージョンでは、AD内のフォルト・ドメイン間に計算インスタンスを高可用性のため分散できます。
- このアーキテクチャ内のすべての区分はピアですが、区分の階層を設定できます。
- 簡略化のために、アーキテクチャ・ダイアグラムには1つのリージョンのみ表示されます。区分は、すべてのリージョンにまたがります。
必要なサービスおよびロールについて
次のサービスおよび権限が必要です。
Oracle Cloud Infrastructureサブスクリプションが必要です。
必要なリソースを作成するには、次の条件を満たす資格証明が必要です。
-
Administratorsグループまたは区分を作成する権限を持つグループ内である必要があります。 -
既存区分でリソースを作成する場合、グループ内で区分のポリシーを定義し、Vcnを管理する権限を持っている必要があります。
-
認証トークンとAPIキーを作成する場合、ローカル・ユーザー(Oracle Cloud Infrastructure Identity and Access Managementの管理者によって作成されたユーザー)である必要があります。または、フェデレーテッド・アイデンティティ・プロバイダにより自動的に同期したユーザーを作成する必要があります。
必要なサービスを取得するために、OracleソリューションのOracle Cloudサービスを取得する方法について学習します。