VCNとは、Oracle Cloud Infrastructureにあるカスタマイズ可能なプライベート・ネットワークのことです。VCNでは、従来のデータ・センター・ネットワークと同様に、ネットワーク環境を完全に制御できます。これには、独自のプライベートIPアドレススペースの割り当て、サブネットの作成、ルート・テーブルの作成、ステートフル・ファイアウォールの構成などが含まれます。1つのテナンシ(Oracle Cloud Infrastructureアカウント)に複数のVCNを含めることができるため、関連リソースのグループ化と分離が可能です。たとえば、複数のVCNを使用して、組織の各部門のリソースを分離できます。
コンポーネントの完全なリストについては、ネットワーキングの概要をご覧ください。
次のトピックもご覧ください。
VCNを作成するときに、任意の連続したIPv4 CIDRブロックを割り当てます。/16(65,533 IPアドレス)から/30(1 IPアドレス)までの範囲のVCNサイズを使用することができます。例:10.0.0.0/16、192.168.0.0/24
RFC1918によって指定されたプライベート・アドレス範囲からCIDRブロックを使用することをお勧めします。RFC1918以外のCIDRブロックを使用する場合、引き続きプライベートIPアドレス範囲として扱われ、オラクルのインターネット・ゲートウェイ経由ではインターネットからルーティングできなくなることに注意してください。
サブネットを作成するには、VCNのアドレス範囲を連続したIPv4 CIDRブロックにさらに分割します。サブネットのCIDRブロックは、VCNのCIDRブロックに含まれている必要があります。インスタンスをサブネットに起動すると、サブネットのCIDRブロックからインスタンスのプライベートIPアドレスが割り当てられます。
その答えは「はい」です。サブネットを作成するときに、アクセス・タイプをプライベートまたはパブリックのいずれかに指定できます。デフォルトでは、サブネットはパブリック・アクセスで作成されます。この場合、サブネット内のインスタンスには、パブリックIPアドレスを割り当てることができます。プライベート・アクセスを持つサブネットで起動されたインスタンスに、パブリックIPアドレスを付けることはできません。これにより、これらのインスタンスが直接インターネットにアクセスできないようにしています。
その答えは「はい」です。
サブネットは、複数の可用性ドメインにまたがることはできますが、複数のVCNにまたがることはできません。リージョン・サブネットを作成する場合、サブネットのリソースはリージョン内の任意の可用性ドメイン(AD)に格納できます。ただし、AD固有のサブネットを作成する場合、サブネットのリソースはサブネットの特定の可用性ドメインに格納する必要があります。
その答えは「はい」です。ただし、VCNをオンプレミスのネットワークまたは別のVCNに接続するつもりである場合は、IPアドレスの範囲が重複しないようにすることをお勧めします。
すべてのサービスについて現時点での制限と、サービス制限の引き上げをリクエストする方法については、サービス制限に関するヘルプ・ドキュメントを参照してください。
その答えは「はい」です。サブネットの名前を変更し、関連付けられているルート・テーブル、セキュリティ・リスト、およびDHCPオプションのセットを変更できます。ただし、サブネットのCIDRブロックは変更できません。
新しい機能は、商用レルムで使用できます。今後はその他のレルムでも使用できるようになる予定です。
新しい機能はOracle Cloud Infrastructure(OCI)のすべての市販リージョンで使用できます。
その答えは「はい」です。ただし、ドキュメントで指定された更新処理を使用してDRGを更新する必要があります。
DRGアタッチメント間の通信(VCNを含む)は、ルート表や関連するインポート・ポリシーによって制御されます。デフォルトのVCNアタッチメント・ルート表でアタッチされたVCNをすべて有効にすると、相互に通信できます。関連するインポート・ポリシーを変更すると、ここに表示されているようにVCNを分離できます。
その答えは「はい」です。ただし、特定のIAMポリシーを設定する必要があります。
DRGでは、接続ネットワーク間の動的および静的ルーティングをサポートしています。DRGには2つのデフォルト・ルート表があります。1つはFastConnect、IPsec VPN、およびRPCのピアリング接続アタッチメント用、もう1つはVCNアタッチメント用です。また、ルート表を追加してアタッチメント間のトラフィック・フローをより詳細に制御することも可能です。ルートでは、パケットの宛先IPアドレスに応じて次のホップ・アタッチメントが決まります。
静的ルートが動的ルートよりも優先されます。同じクラスレス・ドメイン間ルーティング(CIDR)に対して複数の静的ルートを作成することはできません。動的ルートの競合は、次のように解決されます。
ルートのインポートおよびエクスポート方法は、ルート表をベースに関連するインポートおよびエクスポート・ポリシーを修正して指定できます。ルートは次のように伝播されます。
重複するCIDRを持つOCI VCNは同じDRGに接続できます。競合するサブネットCIDRの次のホップとなるVCNアタッチメントを決定するため、DRGのルート表で決定的かつ一環した転送先を作成します。この優先順位は、お客様では制御できません。この動作の制御は複雑であるため、CIDRの重複は推奨されません。
はい。DRGでは、1つのリージョンのFastConnectを使用して別のリージョンのVCNにあるリソースと通信できるようになりました。
はい。DRGではVCNとIPv6 CIDRの接続をサポートしています。
DRGのデフォルトの動作は変わりません。新機能は、明示的に有効化する必要があります。
DRGには2つのデフォルト・ルート表があります。1つはFastConnect、IPsec VPN、およびRPCのピアリング接続アタッチメント用、もう1つはVCNアタッチメント用です。この2つのデフォルト・ルート表は、既存のDRG動作を実装しています。
各VCNに最大10個のローカル・ピアリング・ゲートウェイとDRGを1つ含めることができます。1つのDRGで最大300個のVCNアタッチメントをサポートできます。VCNを多数ピアリングする必要がある場合は、DRGを使用することをお勧めします。また、同じリージョン内の2つのVCN間のトラフィックに対し極端に高い帯域幅や低いレイテンシを必要とする場合は、「ローカル・ピアリング・ゲートウェイを使用したローカルVCNピアリング」で説明されているシナリオを使用してください。同じリージョン内の2つのVCNをDRG経由でピアリングすると、ルーティングがより柔軟になりますが、高レイテンシおよび低帯域幅となる可能性があります。
現在は、8つに制限されています
ここで、「DRGのアップグレード」セクションを参照してください。
Oracle Cloud Infrastructureデータ・センターのサーバーには、物理ネットワーク・インターフェイス・カード(NIC)があります。これらのサーバーの1つでインスタンスを起動すると、インスタンスはその物理NICに関連付けられたネットワーク・サービスの仮想NIC(VNIC)を使用して通信します。VNICを使用することで、コンピュート・インスタンスをVCNに接続し、インスタンスがVCNの内外のエンド・ポイントと通信する方法を決定できます。
各VNICはサブネットに存在し、次の構成があります。
詳細については、仮想ネットワーク・インターフェイス・カード(VNIC)を参照してください。
VCNのすべてのインスタンスは、作成時にVNICが付けられます。VNICには、インスタンス作成時に提供されたサブネットからの(お客様またはオラクルによって割り当てられた)プライベートIPアドレスと、対応するパブリックIPアドレスが含まれています。このVNICをプライマリVNICと呼び、そのプライベートIPアドレスをプライマリ・プライベートIPアドレスと呼びます。
プライマリVNICをインスタンスからデタッチすることはできません。インスタンスを終了すると、自動的に削除されます。
VCNのすべてのインスタンスには、VNICが少なくとも1つあります(プライマリVNIC)。インスタンスにセカンダリVNICと呼ばれる追加のVNICをアタッチできます。セカンダリVNICは、異なるVCNまたはサブネットに属することができます。
インスタンスにアタッチできるVNICの数の制限は、シェイプによって異なります。これらの制限については、コンピュート・シェイプに関するサポート・ドキュメントを参照してください。
その答えは「はい」です。http://169.254.169.254/opc/v1/vnics/で提供されているインスタンス・メタデータ・サービスを照会します。
その答えは「はい」です。プライマリVNICについては、インスタンスの起動時にプライベートIPアドレスを指定できます。セカンダリVNICについては、VNICをインスタンスにアタッチするときにプライベートIPアドレスを指定できます。指定するプライベートIPアドレスは、VNICが属しているのと同じサブネットに属している必要があり、使用中であってはなりません。
いいえ。現在、VNICは、常にインスタンスにバインドされており、独立していません。プライマリVNICは、インスタンスとともに作成および破棄されます。セカンダリVNICはすべて、アタッチ時に作成され、デタッチ時に破棄されます。
その答えは「はい」です。ただし、同じサブネットCIDRブロックから複数のVNICをインスタンスにアタッチすると、特に、Linuxのバリアントを使用するインスタンスでは、非対称ルーティングが発生する可能性があります。このタイプの構成が必要な場合、1つのVNICに複数のプライベートIPアドレスを割り当てるか、ポリシーベースのルーティングを使用することをお勧めします。例については、「Linux:セカンダリVNIC用のOSの構成」のスクリプトを参照してください。
いいえ。すべてのVNICは、インスタンスと同じADのサブネットに属している必要があります。リージョン・サブネットを使用する場合、VNICはインスタンスと同じADに作成する必要があります。
その答えは「はい」です。プライマリVNICのVCNとは異なるVCNのサブネットに属するセカンダリVNICをアタッチできます。
VCN内のすべてのコンピュート・インスタンスは、仮想ネットワーク・インターフェイス・カード(VNIC)により作成され、インスタンスの起動時に提供されたサブネットからプライベートIPアドレスが割り当てられます。これがそれぞれプライマリVNICとそのプライマリ・プライベートIPアドレスとなります。同じようにプライマリ・プライベートIPアドレスを持つ、セカンダリVNICと呼ばれる追加のVNICをインスタンスにアタッチすることもできます。
オラクルにプライベートIPアドレスを選択させることも、サブネットの利用可能なプールから自分で選択することもできます。指定したアドレスがすでに使用されている場合、起動リクエストは失敗します。
加えて、VNICにセカンダリ・プライベートIPアドレスを割り当てることができます。プライマリ・プライベートIPアドレスと同様に、セカンダリ・プライベートIPアドレスも、VCN内またはオンプレミスにある宛先までの接続を提供します(VPNまたはOracle Cloud Infrastructure FastConnectを介した接続がある場合)。
その答えは「はい」です。1つのインスタンスのVNICから別のインスタンスのVNICにセカンダリ・プライベートIPアドレスを移動することができます。ただし、両方のVNICが同じサブネットに属しており、承認により操作が許可されている場合に限ります。リージョン・サブネットを使用する場合、セカンダリ・プライベートIPを別のADのVNICに移動することもできます。
現時点で、最大31個のセカンダリ・プライベートIPアドレスをVNICに割り当てることができます。
いいえ。OSは、DHCPなどのメカニズムでセカンダリ・プライベートIPアドレスを検出することはできません。OS固有の手順に従って、セカンダリ・プライベートIPアドレスを構成する必要があります。詳細については、仮想ネットワーク・インターフェイス・カード(VNIC)のスクリプトを参照してください。
パブリックIPアドレスは、インターネットから到達可能なIPv4アドレス(インターネットでルーティング可能なIPアドレス)です。VCN内のインスタンスは、パブリックIPアドレスを介してインターネット上のホストと通信します。プライベートIPアドレスは、インターネットでルーティングできません。VCN内のインスタンスは、プライベートIPアドレスを使用して相互に通信します。
パブリックIPアドレスをコンピュート・インスタンスのプライベートIPアドレスかロード・バランサ・インスタンスに割り当てて、それらがインターネットと通信できるようにすることができます。パブリックIPアドレスをインターネットで到達できるようにするには、それが含まれているVCNにインターネット・ゲートウェイがあり、それに合わせてパブリック・サブネットでルート・テーブルおよびセキュリティ・リストが構成されている必要があります。
パブリックIPアドレスには、次の2つのタイプがあります。
2つのタイプの詳細と比較表については、パブリックIPアドレスに関するヘルプ・ドキュメントを参照してください。
パブリックIPアドレスは、DNS FQDNを使用できないクライアント向けのサービスIDになります。予約済みパブリックIPアドレスを使用することで、基盤となるリソースの変更に関係なく、IDを保持できるようになります。予約済みパブリックIPアドレスを使用することでメリットが得られる具体的な2つのシナリオを以下に示します。
予約済みパブリックIPアドレスは、(プライマリまたはセカンダリ)プライベートIPアドレスに1つしか割り当てることができません。ただし、インスタンスにアタッチされた各VNICには、複数のプライベートIPアドレスを割り当てることができます。それらのプライベートIPアドレスに予約済みパブリックIPアドレスをそれぞれ割り当てることができます。
テナンシに作成できる予約済みパブリックIPアドレスの最大数には制限があります。サービス制限に関するヘルプ・ドキュメントを参照してください。
エフェメラル・パブリックIPアドレスは、VNICのプライマリ・プライベートIPアドレスに1つしか割り当てることができません。ただし、複数のVNICを作成してインスタンスにアタッチできます。その後、各VNICのプライマリIPアドレスにエフェメラル・プライベートIPアドレスをそれぞれ割り当てることができます。
インスタンスに割り当てることができるエフェメラル・パブリックIPアドレスの最大数には制限があります。サービス制限に関するヘルプ・ドキュメントを参照してください。
はい。ただし、VNIC上のセカンダリ・プライベートIPに割り当てられている場合に限られます。そのセカンダリ・プライベートIPを別のVNIC(同じサブネット内に存在する必要があります)に移動すると、エフェメラル・パブリックIPも一緒に移動します。
はい。予約済みパブリックIPアドレスを1つの可用性ドメインまたはVCNから別の可用性ドメインまたはVCNに移動できます。VCNは同じリージョンに存在する必要があります。
予約済みパブリックIPを移動するには、以下の2つの方法があります。
明示的に割り当てを解除したときに解放されます。また、以下のことを行うと解放されます。
インスタンスを再起動しても、それに対応するエフェメラル・パブリックIPアドレスには影響がないことに注意してください。
コンピュート・インスタンスのプライベートIPアドレスのみが表示されます。インスタンスにパブリックIPアドレスが割り当てられている場合、インスタンスがインターネット上の宛先に(インターネット・ゲートウェイを介して)通信しようとすると、ネットワーク・サービスはプライベートIPアドレスとパブリックIPアドレスの間に1対1のNAT(静的NAT)を提供します。
インスタンスOSレベルでは、インスタンスにアタッチされたVNICのプライベートIPアドレスのみが表示されます。パブリックIPアドレスに送信されたトラフィックを受信すると、ネットワーク・サービスはパブリックIPアドレスから対応するプライベートIPアドレスまでのネットワーク・アドレス変換(NAT)を実行します。インスタンス内にトラフィックが表示され、宛先IPアドレスがプライベートIPアドレスに設定されます。
いいえ。MACアドレスは、ネットワーク・サービスによって割り当てられます。
その答えは「はい」です。IPv6に対応しています。詳細については、IPv6アドレスを参照してください。
いいえ、今のところサポートしていません。
いいえ、今のところサポートしていません。
IPアドレス持ち込み(BYOIP)とは、パブリックにルーティング可能なIPv4 CIDRブロックをOracle Cloud Infrastructureにインポートして、それをリソースで使用できるようにすることです。
IPアドレスは、組織によって慎重に管理および制御される資産です。メール送信に関する強力なIPレピュテーションが必要なアプリケーション、グローバル導入におけるアクセシビリティ・ポリシーを確立しているアプリケーション、IPアドレスに対してアーキテクチャ上の良識を備えるアプリケーションなどがあります。オンプレミス・インフラストラクチャからOCIへのIPプレフィックスの移行により、Oracle Cloud Infrastructureのすべての利点を活用しながら、顧客とアプリケーションへの影響を最小限に抑えることができます。OCIのBYOIPでは、IPアドレス・プレフィックスをOCIからアドバタイズすることとオンプレミス環境から撤回することが同時に行えるため、移行中のダウンタイムを最小限に抑えることができます。
OCIで使用するためのIPプレフィックス移動プロセスは、ポータルの「Networking」>「IP Management」、またはAPIを介して開始できます。手順は簡単です。
1 - IP CIDRをOCIに持ち込むためのリクエストを開始します(IP CIDRは、組織が所有する/24以上である必要があります)。
2 - リクエストから生成された検証トークンを地域インターネット・レジストリ(RIR)サービス(ARIN、RIPE、またはAPNIC)に登録します。ドキュメントの手順に従います。
3 - トークンを登録したら、コンソールに戻り、「CIDRブロックの検証」をクリックして、オラクルが検証プロセスを完了できるようにします。オラクルは、CIDRブロックが転送用に適切に登録されていることを検証し、BYOIPをプロビジョニングします。このステップには最大10営業日かかる場合があります。プロセスが完了すると、メールで通知されます。作業リクエストでこのステップの進捗状況を確認することもできます。
オラクルによって発行された検証トークンをどのように使用できますか?BYOIP CIDRブロックのインポートの一環として、オラクルは検証トークンを発行します。トークンを取得したら、以下に示す情報を追加して、トークンを少し変更する必要があります。任意のテキストエディタを使用できます。
OCITOKEN:: <CIDRblock> : <validation_token>
検証トークンをRIR(地域インターネット・レジストリ)に送信します。
ARIN:アドレス範囲の「コメント(公開)」セクションに、変更したトークン文字列を追加します。組織のコメントセクションに追加しないでください。
RIPE:変更したトークン文字列を、アドレス範囲の新しい「descr」フィールドとして追加します。組織のコメントセクションに追加しないでください。
APNIC:変更したトークン文字列をhelpdesk@apnic.netにメールして、アドレス範囲の「remarks」フィールドに追加します。IPアドレスのAPNIC認定連絡先を使用してメールを送信します。
IP CIDRが検証されると、IP CIDRを完全に制御できるようになります。プレフィックスを小さなIPプールに分割して管理し、リソースで使用するために予約済みIPアドレスを作成します。
BYOIPアドレスは、コンピューティング、NATゲートウェイ、およびLBaaSインスタンスに割り当てることができます。IPプールを介してIPスペースを管理し、予約済みIPアドレスを作成できます。
IPプレフィックスがOCIにオンボーディングされたら、プレフィックスのアドバタイズと撤回を制御してください。
BYOIPの検証とプロビジョニングには最大10営業日かかる場合があります。プロセスが完了すると、メールで通知されます。
いいえ。BYOIPプレフィックスは特定のOCIリージョンに割り当てられ、オンボーディングされているリージョンでのみアドバタイズされます。
BYOIPの最小プレフィックスは/24、最大プレフィックスは/8です。すべてのIPスペースをOCIに持ち込む必要はありません。より大きなIPブロックを所有している場合は、OCIに持ち込むプレフィックスを選択できます。
プレフィックスがオンボーディングされた後、OCIテナント内のアドレスとポリシーの配布を制御します。プレフィックスは、1つのIPプールに保持することも、OCIリソースで使用するために/28に分散させることもできます。
その答えは「はい」です。BYOIPプレフィックスから予約済みIPアドレスを作成できます。詳細については、https://www.oracle.com/cloud/networking/virtual-cloud-network-faq.htmlの「IPアドレッシング」を参照してください。
BYOIP機能は、IPv4プレフィックスのみをサポートしています。
その答えは「はい」です。ご自身のIPアドレスと一緒に、オラクル所有のエフェメラルIPアドレスと予約済みIPアドレスも引き続きご使用いただけます。Oracleアドレスには標準の制限が適用されます。
インスタンスは以下のものに接続できます。
インターネット・ゲートウェイは、可用性の高いフォルト・トレラントなソフトウェア定義のルーターで、VCN内のリソースにパブリック・インターネット接続を提供します。パブリックIPアドレスが割り当てられたコンピュート・インスタンスは、インターネット・ゲートウェイを使用して、インターネット上のホストおよびサービスと通信できます。
インターネット・ゲートウェイを使用する代わりに、オンプレミスのデータ・センターにVCNを接続することもできます。そして、既存のネットワーク・エグレス・ポイントを介して、オンプレミスのデータ・センターからインターネットにトラフィックをルーティングすることができます。
NATゲートウェイは、VCN内のリソースにアウトバウンド専用のインターネット接続を提供する、信頼性および可用性の高いルーターです。NATゲートウェイにより、(プライベートIPアドレスのみが割り当てられた)プライベート・インスタンスは、インターネット上のホストおよびサービスまでの接続を開始することができます。ただし、インターネットから開始されたインバウンド接続を受信することはできません。
いいえ。デフォルトの制限では、VCNあたり1つのNATゲートウェイに制限されています。ほとんどのアプリケーションで、これで十分であると予想されます。
特定のVCNに複数のNATゲートウェイを割り当てる場合は、制限の引き上げをリクエストします。制限の引き上げをリクエストする方法については、サービス制限を参照してください。
NATゲートウェイを使用した場合も、インスタンスは、インターネット・ゲートウェイ経由でトラフィックをルーティングした場合と同じスループットを得ることができます。加えて、NATゲートウェイを通過する1つのトラフィック・フローは、1 Gbps(小さなインスタンス・シェイプの場合はそれ以下)に制限されています。
その答えは「はい」です。1つの宛先IPアドレスとポートに対する同時接続数は、20,000までに制限されています。この制限は、NATゲートウェイを使用しているVCN全体のインスタンスにより開始されたすべての接続を合計したものです。
動的ルーティング・ゲートウェイは、VCNに追加することができる、可用性の高いフォルト・トレラントなソフトウェア定義のルーターです。動的ルーティング・ゲートウェイは、VCNとVCNのリージョン外の他のネットワーク(オンプレミスのデータ・センターや別のリージョンにあるピアリングされたVCNなど)の間のトラフィックにプライベート・パスを提供します。VCNのDRGに対してIPSec VPNまたはFastConnectを設定し、VCNをオンプレミスのデータ・センターに接続することができます。この接続により、オンプレミスのホストとインスタンスが安全に通信できるようになります。
このオブジェクトはIPSec VPNを設定する場合に使用します。このオブジェクトは、VPNの終端のサイトにあるオンプレミスの実際のルーターの仮想表現です。IPSec VPNの設定の一環として、このオブジェクトを作成するときには、オンプレミスのルーターのパブリックIPアドレスを指定します。
いいえ。DRGをプロビジョニングし、それをVCNにアタッチし、CPEオブジェクトとIPSec接続を構成し、ルート・テーブルを構成する必要があるだけです。
テスト済みのデバイス構成のリストを参照してください。
その答えは「はい」です。一般的なCPE構成情報に従って構成することができます。オラクルでは、さまざまなVPNデバイスとの相互運用性を最大限高めるために、多数の構成オプションをサポートしています。
オラクルでは、IPSec接続の一部として、2つのVPNトンネルをプロビジョニングしています。冗長性を持たせるために、必ず両方のトンネルをCPEで構成してください。
さらに、オンプレミスのデータ・センターに2つのCPEルーターを導入し、各トンネル用にそれぞれ構成することもできます。
IPSec VPNはオープン・スタンダードであるため、ソフトウェアIPSec VPNをOracle Cloud Infrastructureと相互運用できます。一般的なCPE構成情報に従って、ソフトウェアIPSec VPNが、各構成グループでサポートされている少なくとも1つのOracle IPSecパラメータをサポートしていることを確認する必要があります。
その答えは「はい」です。同じリージョン内の2つのOCIパブリックIPアドレス間のトラフィックは、そのOCIリージョン内にとどまります。異なるリージョンのOCIパブリックIPアドレス間のトラフィックは、プライベートOCIバックボーンを通過します。どちらのケースでも、トラフィックがインターネットを通過することはありません。OCIパブリックIPアドレスの完全なリストについては、https://docs.cloud.oracle.com/en-us/iaas/tools/public_ip_ranges.jsonでご確認ください。
Oracle Services Networkは、Oracle Service用に予約されている、Oracle Cloud Infrastructureでの概念ネットワークです。このネットワークは、リージョンCIDRブロックのリストで構成されています。Oracle Services Networkのすべてのサービスは、ネットワークからパブリックIPアドレスを使用するサービス・エンドポイントを公開します。このネットワークでは現在、多数のOracle Serviceが利用可能です(完全なリストを参照)。Oracle Cloud Infrastructureに導入されるにつれて、さらに多くのサービスが追加される予定です。
サービス・ゲートウェイを使用すると、VCNのリソースが、Oracle Cloud Infrastructure Object Storage、ADW、ATPなどのOracle Services Network内のOracle Serviceにプライベートかつ安全にアクセスできるようになります。VCN内のインスタンスとサポートされているOracle Service間のトラフィックは、インスタンスのプライベートIPアドレスを使用してルーティングされ、Oracle Cloud Infrastructureファブリック上を移動するため、インターネット上を通ることはありません。サービス・ゲートウェイは、インターネット・ゲートウェイやNATゲートウェイと同様に、可用性が高く、動的に拡大および縮小してVCNのネットワーク帯域幅をサポートすることができる仮想デバイスです。
現時点で、サービス・ゲートウェイは、Oracle Services Network内のOracle Serviceにアクセスするように構成できます。このネットワークでは現在、多数のOracle Serviceが利用可能です(完全なリストを参照)。Oracle Cloud Infrastructureに導入されるにつれて、さらに多くのサービスが追加される予定です。
手順については、「Object Storageへのアクセス:サービス・ゲートウェイ」を参照してください。サービス・ゲートウェイでは、データをインターネットから保護するために、リージョン内のOracle Serviceに対してアクセスが許可されることに注意してください。更新やパッチなどのために、お使いのアプリケーションが、サービス・ゲートウェイでサポートされていないパブリック・エンドポイントやサービスへのアクセスを必要とする場合があります。必要に応じて、NATゲートウェイまたはその他のインターネット・アクセスがあることを確認してください。
サービス・ゲートウェイでは、サービスCIDRラベルの概念が使用されています。サービスCIDRラベルは、サービスまたはサービス・グループのすべてのリージョン・パブリックIPアドレス範囲を表す文字列です(たとえば、Oracle Services Network内のOCI IADサービスは、us-ashburn-1のOracle Services Network内のリージョンCIDRブロックにマッピングされるラベルです)。サービスCIDRラベルは、サービス・ゲートウェイおよびルート/セキュリティ・ルールを構成するときに使用します。手順については、「Oracleサービスへのアクセス:サービス・ゲートウェイ」を参照してください。
いいえ。サービス・ゲートウェイは、リージョン固有であり、同じリージョンで実行されているサービスにのみアクセスできます。
その答えは「はい」です。サービス・ゲートウェイを使用している場合、リクエストが特定のVCNまたはCIDR範囲からのものである場合にのみバケットへのアクセスを許可するようにIAMポリシーを定義できます。IAMポリシーは、サービス・ゲートウェイを介してルーティングされたトラフィックに対してのみ機能します。IAMポリシーが設定されている場合、アクセスはブロックされ、代わりにトラフィックはインターネット・ゲートウェイを経由します。また、IAMポリシーが設定されている場合、コンソールからバケットにアクセスできないことに注意してください。VCNのリソースからのプログラムによるアクセスのみが許可されます。
IAMポリシーの例については、「Object Storageへのアクセス:サービス・ゲートウェイ」を参照してください。
いいえ。現時点では、VCNに1つのサービス・ゲートウェイしか作成できません。
いいえ。サービス・ゲートウェイを持つ別のVCNとピアリングされているVCNがそのサービス・ゲートウェイを使用してOracle Serviceにアクセスすることはできません。
いいえ。ただし、FastConnectパブリック・ピアリングを使用して(インターネットを経由せずに)接続を確立することができます。
いいえ。サービス・ゲートウェイを使用した場合も、インスタンスは、インターネット・ゲートウェイ経由でトラフィックをルーティングした場合と同じスループットを得ることができます。
サービス・ゲートウェイは、Oracle Cloud Infrastructureのすべてのお客様に無償で提供されています。
セキュリティ・リストは、インスタンスに仮想ファイアウォールを提供し、イングレスおよびエグレス・ルールにより、インスタンスへの入出力を許可するトラフィックのタイプを指定します。セキュリティ・リストを使用することで、コンピュート・インスタンスを保護できます。セキュリティ・リストはサブネット・レベルで設定するため、サブネット内のすべてのインスタンスが同じセキュリティ・リスト・ルール・セットの対象となります。ルールはインスタンス・レベルで適用され、パケット・レベルでトラフィックを制御します。
インスタンス上の特定のVNICは、そのVNICのサブネットに関連付けられたセキュリティ・リストの対象となります。サブネットを作成するときに、サブネットに関連付ける1つ以上のセキュリティ・リストを指定します。これには、VCNのデフォルトのセキュリティ・リストを含めることができます。サブネットの作成時にセキュリティ・リストを1つも指定しなかった場合、VCNのデフォルトのセキュリティ・リストがサブネットに関連付けられます。セキュリティ・リストはサブネット・レベルで関連付けられますが、ルールはパケット・レベルでVNICのトラフィックに適用されます。
その答えは「はい」です。サブネットのプロパティを編集して、セキュリティ・リストを追加または削除できます。セキュリティ・リストの個々のルールを編集することもできます。
作成できるセキュリティ・リストの数、サブネットに関連付けることができるリストの数、および特定のリストに追加できるルールの数には制限があります。現在のサービス制限と、制限の引き上げをリクエストする方法については、サービス制限に関するヘルプ・ドキュメントを参照してください。
いいえ。セキュリティ・リストでは「許可」ルールのみを使用します。デフォルトでは、すべてのトラフィックが拒否され、ルールで指定された属性に一致するネットワーク・トラフィックのみが許可されます。
各ルールは、ステートフルまたはステートレスのイングレス・ルールまたはエグレス・ルールです。
ステートフル・ルールでは、ルールに一致するネットワーク・パケットが許可されると、接続追跡を使用して、その接続に属するそれ以降のすべてのネットワーク・パケットが自動的に許可されます。このため、ステートフル・イングレス・ルールを作成した場合は、ルールに一致する着信トラフィックとそれに対応する発信(応答)トラフィックの両方が許可されます。
ステートレス・ルールでは、ルールに一致するネットワーク・パケットのみが許可されます。このため、ステートレス・イングレス・ルールを作成した場合は、着信トラフィックのみが許可されます。それに対応する発信(応答)トラフィックと一致する、対応するステートレス・エグレス・ルールを作成する必要があります。
詳細については、セキュリティ・リストに関するサポート・ドキュメントを参照してください。
ネットワーク・セキュリティ・グループとセキュリティ・リストは、VNICとの間で許可するイングレスおよびエグレス・トラフィックを制御するセキュリティ・ルールを実装するための2つの異なる方法です。
セキュリティ・リストでは、特定のサブネット内のすべてのVNICに適用するセキュリティ・ルールのセットを定義できます。ネットワーク・セキュリティ・グループ(NSG)では、選択したVNICから成るグループ(同じセキュリティ態勢のコンピュート・インスタンスから成るグループなど)例:セキュリティ状況が同じコンピュート・インスタンスのグループ。
詳細は以下でご確認ください。
いいえ。デフォルトでは、すべてのトラフィックが拒否されます。セキュリティ・ルールでは、トラフィックを許可するだけです。各VNICには、次を融合したルールのセットが適用されます。
コンピュート、ロード・バランシング、およびデータベース・サービスです。したがって、コンピュート・インスタンス、ロード・バランサ、またはデータベース・システムを作成するときに、1つ以上のネットワーク・セキュリティ・グループを指定して、それらのリソースのトラフィックを制御することができます。
NSGの導入に伴い、セキュリティ・リストの動作に変更はありません。これまでと同じように、VCNには、VCNのサブネットにオプションで使用できるデフォルトのセキュリティ・リストがあります。
NSGのルールを作成するときに、NSGをトラフィックの送信元(イングレス・ルールの場合)またはトラフィックの宛先(エグレス・ルールの場合)として指定するオプションがあります。NSGを指定できるということは、2つの異なるNSG間のトラフィックを制御するルールを簡単に作成できることを意味します。NSGは、同じVCNに存在する必要があります。
いいえ。別のNSGを送信元または宛先として指定するNSGセキュリティ・ルールを作成する場合は、そのNSGが同じVCNに存在する必要があります。これは、他方のNSGがピアリングされたVCNにある場合にも当てはまります。この点は、セキュリティ・リストとは異なります。
セキュリティ・リストでは、サブネット全体のすべてのVNICに適用されるセキュリティ・ルールのセットを定義できるのに対して、ネットワーク・セキュリティ・グループ(NSG)では、VCN内の選択したVNICから成るグループ(ロード・バランサまたはデータベース・システムのVNICを含む)に適用されるセキュリティ・ルールのセットを定義できます。
VCNルート・テーブルには、最終的にVCN外の場所を宛先とするトラフィックをルーティングするルールが含まれています。
ルート・テーブルの各ルールには、宛先CIDRブロックとルート・ターゲットがあります。サブネットの発信トラフィックがルート・ルールの宛先CIDRブロックと一致すると、トラフィックはルート・ターゲットにルーティングされます。一般的なルート・ターゲットの例には、インターネット・ゲートウェイや動的ルーティング・ゲートウェイがあります。
詳細については、ルート・テーブルを参照してください。
インスタンス上の特定のVNICは、そのVNICのサブネットに関連付けられたルート・テーブルの対象となります。サブネットを作成するときに、サブネットに関連付ける1つのルート・テーブルを指定します。その際に、VCNのデフォルトのルート・テーブルまたはすでに作成済みの別のルート・テーブルを指定することができます。サブネットの作成時にルート・テーブルを指定しなかった場合、VCNのデフォルトのルート・テーブルがサブネットに関連付けられます。ルート・テーブルはサブネット・レベルで関連付けられますが、ルールはパケット・レベルでVNICのトラフィックに適用されます。
いいえ。現時点では、VCNのアドレススペースと重複しないCIDRブロックに対してのみルート・ルールを追加できます。
その答えは「はい」です。サブネットのプロパティを編集して、ルート・テーブルを変更できます。ルート・テーブルの個々のルールを編集することもできます。
いいえ。今のところサポートしていません。
ルート・テーブル内のルールの数には制限があります。サービス制限に関するヘルプ・ドキュメントを参照してください。
その答えは「はい」です。サブネットのトラフィックを同じVCN内の別のインスタンスにルーティングする場合、ルート・ルールのターゲットとしてプライベートIPを使用できます。要件およびその他の詳細については、ルート・ターゲットとしてのプライベートIPの使用を参照してください。
VCNピアリングとは、2つのVCNを接続し、それらの間でプライベート接続とトラフィック・フローを可能にするプロセスのことです。一般的にピアリングには、以下の2つのタイプがあります。
詳細については、 「その他のVCNへのアクセス:ピアリング」を参照してください。
手順については、ローカルVCNピアリングを参照してください。
いいえ。ローカル・ピアリング関係にある2つのVCNに重複するCIDRを割り当てることはできません。
その答えは「はい」です。VCN-1を他の2つのVCN(VCN-2やVCN-3など)とピアリングする場合、それらの2つのVCN(VCN-2とVCN-3)のCIDRが重複していてもかまいません。
その答えは「はい」です。
各VCNには、一度に最大10個のローカル・ピアリングを確立できます。
いいえ。リモート・ピアリング接続は、動的ルーティング・ゲートウェイ(DRG)を使用して確立します。
手順については、リモートVCNピアリングを参照してください。
いいえ。リモート・ピアリング関係にある2つのVCNに重複するCIDRを割り当てることはできません。
いいえ。VCN-1を他の2つのVCN(VCN-2やVCN-3など)とリモート・ピアリングする場合、それらの2つのVCN(VCN-2とVCN-3)のCIDRは重複してはなりません。
いいえ。
その答えは「はい」です。リモートVCNピアリング・トラフィックは、業界標準のリンク暗号化を使用して暗号化されます。
各VCNには、一度に最大10個のリモート・ピアリングを確立できます。
その答えは「はい」です。VCN-Aのルート・テーブルとセキュリティ・リストを使用して、ピアリングされたVCN-Bへの接続を制御できます。VCN-Bのアドレス範囲全体への接続を許可するか、1つ以上のサブネットに接続を制限できます。
その答えは「はい」です。ローカルまたはリモート・ピアリングが確立されると、VCN-B内のインスタンスはVCN-Aのアドレス範囲全体にトラフィックを送信できるようになります。ただし、サブネットのセキュリティ・リストで適切なイングレス・ルールを使用することにより、VCN-BのインスタンスからVCN-Aの特定のサブネットへのアクセスを制限できます。
いいえ。スループットとレイテンシは、VCN内の接続とほぼ同じであるはずです。ローカル・ピアリングを介したトラフィックには、VCN内のインスタンス間のトラフィックと同様の可用性と帯域幅の制約があります。
リモートVCNピアリングは、Oracle Cloud Infrastructureのリージョン間バックボーンを使用します。このバックボーンは、優れたパフォーマンスと可用性を実現するように設計されており、リージョン間接続について99.5%の可用性を規定したSLAも提供されています。オラクルは、ガイドラインとして、75 Mbpsを超えるスループットと、米国のリージョン間で60ミリ秒未満、EUと米国間で80ミリ秒未満、米国とAPAC間で175ミリ秒未満、またEUとAPAC間で275ミリ秒未満のレイテンシを示しています。
VCNトランジット・ルーティング(VTR)ソリューションは、ハブアンドスポーク・トポロジに基づいており、ハブVCNが複数のスポークVCN(リージョン内)とオンプレミス・ネットワーク間にトランジット接続を提供できるようにします。オンプレミス・ネットワークがすべてのスポークVCNと通信するためには、(ハブVCNに接続された)1つのFastConnectまたはIPSec VPNしか必要としません。
手順については、コンソールでのVCNトランジット・ルーティングの設定を参照してください。
現時点でスポークVCNは、ハブVCNを使用してオンプレミス・ネットワークにアクセスできます。
いいえ。VCNトランジット・ルーティング・ソリューションは、同じリージョンにあるVCN間の統合された接続のみをサポートしています。
その答えは「はい」です。これを制御するには、ハブVCN上のLPGに関連付けられたルート・テーブルを使用します。制限的なルート・ルールを構成し、スポークVCNにアクセスを許可するオンプレミス・サブネットのみを指定できます。スポークVCNにアドバタイズされるルートは、そのルート・テーブルとハブVCNのCIDRにあるルートになります。
その答えは「はい」です。これを制御するには、ハブVCN上のDRGに関連付けられたルート・テーブルを使用します。制限的なルート・ルールを構成し、オンプレミス・ネットワークにアクセスを許可するスポークVCNサブネットのみを指定できます。オンプレミス・ネットワークにアドバタイズされるルートは、そのルート・テーブルとハブVCNのCIDRにあるルートになります。
その答えは「はい」です。ハブVCNのスポークVCNとのローカル・ピアリング数は最大10個に制限されています。
その答えは「はい」です。オンプレミス・ネットワークに接続されているVCNに、FastConnectまたはサイト間VPNを使用してサービス・ゲートウェイを追加できます。次に、VCNのDRGおよびサービス・ゲートウェイに関連付けられたルート・テーブルでルート・ルールを構成し、VCNを介してオンプレミス・トラフィックを目的のOracle Serviceに転送できます。オンプレミスのホストは、自身のプライベートIPを使用してOracle Serviceと通信することができるため、トラフィックがインターネットを経由することはありません。
詳細については、「転送ルーティング:Oracleサービスへのプライベート・アクセス」を参照してください。
その答えは「はい」です。ハブVCNのプライベートIPを経由するトランジット・ルーティングを設定できます。その場合、ハブVCNのファイアウォール・インスタンス上のプライベートIPにトラフィックをルーティングします。ファイアウォール・インスタンスは、オンプレミス・ネットワークおよびスポークVCN間のすべてのトラフィックを検査できます。
ハブVCNにあるファイアウォール・インスタンス(またはその他のネットワーク仮想アプライアンス)を介してルーティングしている場合、パフォーマンス制限はネットワーク仮想アプライアンスのI/O特性に依存します。ネットワーク仮想アプライアンスを経由してトラフィックをルーティングしておらず、ハブVCNのゲートウェイを経由して直接ルーティングしている場合、パフォーマンス制限はありません。このゲートウェイは、可用性が高く、動的に拡大および縮小してネットワークのネットワーク帯域幅要件をサポートすることができる仮想デバイスです。
動的ホスト構成プロトコル(DHCP)は、構成情報をIPネットワーク上のホストに渡すためのフレームワークを提供します。構成パラメータおよびその他のコントロール情報は、DHCPメッセージのオプション・フィールド( RFC 2132)に格納されてインスタンスまで運ばれます。VCN内の各サブネットに、関連付けられているDHCPオプションのセットを1つ含めることができます。
VCNのインスタンスがドメイン・ネーム・システム(DNS)ホスト名を解決する方法を制御する、2つのオプションを構成できます。
インスタンスのOSは、DNSクエリを解決するときに、DNSタイプで指定されたDNSサーバーを使用し、検索ドメインをクエリされている値に追加します。詳細については、「DHCPオプション」を参照してください。
その答えは「はい」です。サブネットのプロパティを編集して、サブネットが使用するDHCPオプションのセットを変更できます。DHCPオプションの値を変更することもできます。
インスタンスを起動するときに、表示名と一緒にインスタンスのホスト名も指定できます。このホスト名とサブネットのドメイン名を組み合わせたものがインスタンスの完全修飾ドメイン名(FQDN)になります。このFQDNは、VCN内で一意であり、インスタンスのプライベートIPアドレスに解決されます。詳細については、仮想クラウド・ネットワークでのDNSを参照してください。
インスタンスのホスト名を指定するには、DNSホスト名を有効にするようにVCNとサブネットを構成する必要があることに注意してください。
VCNを作成するときに、DNSラベルを指定できます。これと親ドメインoraclevcn.comを組み合わせたものがVCNのドメイン名になります。
サブネットを作成するときに、DNSラベルを指定できます。これとVCNのドメイン名を組み合わせたものがサブネットのドメイン名になります。
VCNとサブネットの両方がDNSラベルを指定して作成されている場合のみ、コンピュート・インスタンスに対してホスト名を有効にすることができます。
DNSホスト名は、ネットワークに接続されたインスタンスのIPアドレスに対応する名前です。Oracle Cloud Infrastructure VCNの場合、すべてのインスタンスをインスタンスのプライベート・アドレスに対応するDNSホスト名で構成できます。
インスタンスの完全修飾ドメイン名(FQDN)は、hostname.subnetdnslabel.vcndnslabel.oraclevcn.comのようになります。ここで、hostnameはインスタンスのDNSホスト名であり、subnetdnslabelとvcndnslabelはそれぞれインスタンスのサブネットとVCNのDNSラベルです。
親ドメインoraclevcn.comは、Oracle Cloud Infrastructureで作成されたDNSホスト名用に予約されています。
その答えは「はい」です。
いいえ。
その答えは「はい」です。サブネットに選択されたDNSタイプに関係なく、DNSホスト名はインスタンスに作成されます。
いいえ。インスタンスは、同じVCN内のインスタンスのホスト名のみを解決できます。
はい。VCN内に設定されたカスタムDNSサーバーを使用することで行えます。169.254.169.254を使用するカスタムDNSサーバーを、VCNドメイン(contoso.oraclevcn.comなど)のフォワーダとして構成できます。
(169.254.169.254 IPアドレスへのアクセスを許可するには)「インターネットおよびVCNリゾルバ」をDNSタイプとして使用するサブネットでカスタムDNSサーバーを構成する必要があることに注意してください。
Oracle Terraformプロバイダを使用した実装例については、「ハイブリッドDNS構成」を参照してください。
VCNの作成および使用に対しては課金されません。ただし、その他のOracle Cloud Infrastructureサービス(コンピュート、ブロックボリュームなど)の使用料やデータ転送料金などは、公開されている料金で適用されます。VCN内のリソース間の通信については、データ転送料金はかかりません。
公開されているOracle Cloud Infrastructureアウトバウンド・データ転送料金のみが課金されます。時間単位または月単位のVPN接続料金はありません。
同じリージョンにある他のパブリックOracle Cloud Infrastructureサービス(Object Storageなど)にアクセスする場合、データ転送料金は発生しません。インスタンスとVCN内の他のリソース(データベースやロード・バランサなど)の間のプライベートまたはパブリックIPを介したいずれのネットワーク・トラフィックについても、データ転送料金はかかりません。
VCN内からIPSec VPNを介してパブリックOracle Cloud Infrastructureリソースにアクセスする場合、公開されているアウトバウンド・データ転送料金が発生します。
特に明記されていない限り、アウトバウンド・データ転送料金を含む、Oracle Cloud Infrastructureの価格には、VATおよび適用される消費税など、適用されるいずれの税金および関税も含まれていません。