0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@sazumi

続・OCIのZPRを知っていますか

0
Posted at

こちらの続編

いろいろアップデートされました

前回書いたのが2025/8。
あれから約半年、1年ほどほぼアップデートなかったZPRの機能が、少しずつ拡張されていっています。マジでこのまま消えていくんじゃないかと心配でした。

  • ファイル・ストレージとの通信が可能(2025/10/29)
  • 要塞と通信が可能(2025/11/19)
  • プライベート・エンドポイントと通信が可能(2026/1/14)
  • VCN間で属性値を使った制御が可能(2026/2/18)

今回の検証ポイント

やっぱ最後の「VCN間の属性値を使った制御が可能」が、具体的にどういうことか、ですよね。

まずはマニュアルから。ポリシー構文が拡張されています。そういや以前あった変な日本語訳も直ってますね。こっち(まもなく一般提供開始) はまだ変わってなかったですけど。

allow applications.app:webserver endpoints in applications.vcn:A VCN to connect to database.database:MySQL endpoints in database.vcn:B VCN

なんかIAMポリシーそっくりですね。endpointsとかVCNとか省略できるともうちょっと短くなると思うんですけどね。

ポリシーの検証

というわけで、以下のような構成を作ってみました。

image.png

かっこの中身が、付与したセキュリティ属性。
両方のVCNで同じ属性値を付けたのは、わざとです。

で、Compute1から、ほかのコンピュートへのログインを可能にするポリシーを試してみました。

Compute1 → Compute2

これは今までと変わりなしですね。

in ZPR-TEST.VCN:DEFAULT VCN allow ZPR-TEST.COMPUTE:CLIENT endpoints to connect to ZPR-TEST.COMPUTE:SERVER endpoints with protocol='tcp/22'

Compute1 → Compute3

これも今までと変わりなしですね。

in ZPR-TEST.VCN:DEFAULT VCN allow ZPR-TEST.COMPUTE:CLIENT endpoints to connect to '<Compute3のIPアドレス>' with protocol='tcp/22'

Compute1 → Compute4

Compute1 → Compute2のポリシーで合わせて許可されないかなと思ったんですが、ダメでした。
(同じセキュリティ属性値を付けたのは、そういうこと)
以下が必要です。

allow ZPR-TEST.COMPUTE:CLIENT endpoints in ZPR-TEST.VCN:DEFAULT VCN to connect to ZPR-TEST.COMPUTE:SERVER endpoints with protocol='tcp/22' in ZPR-TEST.VCN:DEFAULT VCN

逆に、こちらのルールを書いても、Compute1 → Compute2は許可されません。

以下は完全に想像ですが、こちらのポリシーは以下と同値なんだろうなと思います。

in ZPR-TEST.VCN:DEFAULT VCN allow '<Compute1のIPアドレス>' to connect to ZPR-TEST.COMPUTE:SERVER endpoints with protocol='tcp/22'
in ZPR-TEST.VCN:DEFAULT VCN allow ZPR-TEST.COMPUTE:CLIENT endpoints to connect to '<Compute4のIPアドレス>' with protocol='tcp/22'

2行が1行になり、IPアドレス書かなくていいという感じですかね。

接続の検証

上記ではVCNをローカルピアリングで繋ぎましたが、VCNの繋ぎ方は他にもあります

ということで、他も試してみました。

DRGアタッチメントによる接続

Compute3,4ともに接続可能。

リモートピアリングアタッチメントによる接続

Compute3,4ともに接続可能。

オンプレ経由の接続

すぐに試せる環境が壊れてしまったので、また後日。

結論

接続方法は問わない感じがしますね。やっぱ内部的にはIPアドレスで管理してるのかも?

ネットワーク・パス・アナライザによる分析

リリースノートを見ると、ネットワーク・パス・アナライザによる分析ができるようになったとあるので試してみます。
初めて使う場合でも、コンソールから必要なポリシーを設定できるので楽ですね。
image.png

じゃあ、分析してみましょう、、、って、おい!

image.png

調べてみたら、自動作成されるポリシーにzpr-familyがありません。あかんやん。
そのうち修正されることを期待して、手動で追加しましょう。

ZPRでブロックされている場合は、以下のような結果になります。
image.png

image.png

ルートなしとか、イングレス・アクセス制御:セキュリティ適用不可なのは何故だろう。

ちなみに、Compute1 → Compute4向けのZPRポリシーを書いていると、Compute1 → Compute2も「接続可能」の結果になりました。VCNのセキュリティ属性値が一緒ってのは想定してなさそうですね。

最後に

いろいろ試してたらこんな時間になってしまいました。
まだまだ発展途上って感じではありますね。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?