Network
oracle
Cloud
IaaS

Oracle Compute Cloud Service でのネットワーク構成について

概要

Oracle Compute Cloud Service を使用する上で、覚えておく必要のある基本的なネットワーク・コンポーネントについてまとめてみました。

Oracle_Compute_Cloud_Service_ネットワーク構成_全体像.png

Oracle Compute Cloud Service を使用する上で、基本的なコンポーネントは以下の4つです。
1. セキュリティ・リスト
2. セキュリティIPリスト
3. セキュリティ・アプリケーション
4. セキュリティ・ルール

細かいところで言うと、LinuxインスタンスへSSH接続する際には、SSH公開鍵も必要となります。また、Oracle Cloud 内でのサブネットを構成する際には、IPネットワーク等も必要となりますが、ここでは、上記の基本的なコンポーネントについてのみ説明していきます。IPネットワークなどについては、また別途説明をしたいと思います。

コンポーネントの説明

1. セキュリティ・リスト

セキュリティ・リストは、「Oracle Compute Cloud Service 内のインスタンスをまとめる為のグループ」です。セキュリティ・リストに対しては、インバウンド、アウトバウンドの許可、拒否の大まかな設定を行うことが出来ます。逆に、細かなポートの通信ルール等の設定は行うことは出来ません。もし、細かな通信ルールを設定を行いたい場合には、「セキュリティ・ルール」を使用します。

・Oracle Compute Cloud Service 内のインスタンスをまとめる為のグループ
・同じセキュリティ・リスト内のインスタンスは自由に通信できる。
・インバウンド、アウトバウンドの通信ポリシー(許可・拒否)の大まかな設定を行う。
 →細かい制御は、セキュリティ・ルールに設定をする。
・セキュリティ・ルールを作成する際のソースもしくは宛先として指定できる。(最大10個)

セキュリティ・リストの作成.png

2. セキュリティIPリスト

セキュリティIPリストは、「Oracle Compute Cloud Service 外のコンピュータをまとめる為のグループ」です。

・Oracle Compute Cloud Service 外のコンピュータをまとめる為のグループ
・CIDR形式またはIPv4アドレスのカンマ区切りで、IPアドレスを指定する。
・セキュリティ・ルールを作成する際のソースもしくは宛先として指定できる。
・セキュリティIPリストには、最大100のエントリを含めることが出来る。

セキュリティIPリストの作成.png

3. セキュリティ・アプリケーション

セキュリティ・アプリケーションは、セキュリティ・ルールで使用する「特定のプロトコル、ポート」を事前に設定しておくためのコンポーネントです。作成されたセキュリティ・アプリケーションは、セキュリティ・ルール内で使用します。

例えば、SSHで使用する22ポートについては、以下のような設定で事前定義されています。

名前:ssh
ポート・タイプ:tcp
ポート範囲/ICMPタイプ:22

20170810_143957_Oracle Compute Cloud Service - ネットワーク (セキュリティ・アプリケーション) - Google Chrome.png

よく使用されるHTTP/80、HTTPS/443、SSH/22などは事前定義されている。それ以外に通信を許可したいプロトコル、ポートを指定する場合には、予めセキュリティ・アプリケーションとして作成しておく必要があります。

セキュリティ・アプリケーションの作成.png

4. セキュリティ・ルール

セキュリティ・ルールは、Oracle Compute Cloud Service のインスタンスに対する「通信ルール」となります。しかしながら、個別のインスタンスに対してではなく、セキュリティ・リスト間やセキュリティ・リストと外部ホスト間での通信ルールとして作成出来ます。

・「ソース」、「宛先」、「セキュリティ・アプリケーション」を指定して作成する

「ソース」と「宛先」には、「セキュリティ・リスト」もしくは「セキュリティIPリスト」を指定することが出来きます。

セキュリティルールの作成.png

ここまでの各コンポーネントの作成する際の順番としては、「セキュリティ・ルールを」作成する際に「セキュリティ・リスト」等を指定する必要がある為、「セキュリティ・ルール」以外のコンポーネントを事前に作成し、「セキュリティ・ルール」を最後に作成します。作成手順のイメージは、次に紹介します。

作成手順(イメージ)

Oracle Compute Cloud Service でインスタンスを作成し、手元のコンピュータからネットワーク接続したい場合には、おおよそ次の手順で設定することにより実現できます。手順を実施することにより出来るネットワーク構成のイメージは以下のようになります。

完成図.png

1. 「セキュリティ・リスト」の作成

これから作成するインスタンス用に、空の「セキュリティ・リスト」を作成します。その際には、インバウンド、アウトバウンドの大まかな設定のみを指定します。
手順01-2.png

2. 「セキュリティIPリスト」の作成

 接続時に使用するコンピュータ用に「セキュリティIPリスト」を作成します。接続時に使用するコンピュータのパブリックIPアドレスが分かる場合には、そのパブリックIPアドレスを指定します。その場合、CIDER表記で記述することも可能です。もし、不明な場合、任意の宛先からの接続を許可するセキュリティIPリスト(public-internet:0.0.0.0/0)を使用する方法もある。
手順02-2.png

補足:上記の図では、セキュリティIPリストは Oracle Cloud の外にありますが、「Oracle Cloud へ接続する外部のコンピュータ」を表しているためで、実際の設定は Oracle Compute Cloud Service 内に保存されます。

3.「セキュリティ・アプリケーション」の作成

インスタンスへ接続する際のツール(Tertermであれば、SSHで22番、ブラウザであれば、HTTPで80番、HTTPSで443番など)を確認し、必要があれば「セキュリティ・アプリケーション」を作成します。

手順03-2.png

補足:LinuxのインスタンスへSSHで接続する場合には、SSH 公開鍵が必要となるので、予め作成しておく必要があります。SSH 公開鍵の登録手順については、以下の記事を参考にしてもらえればと思います。

Oracle Compute Cloud Service で使用するSSH公開鍵の登録手順について

4. 「セキュリティ・ルール」を作成

「セキュリティ・リスト」、「セキュリティIPリスト」、「セキュリティ・アプリケーション」を組合せて、「セキュリティ・ルール」を作成します。
手順04-2.png
ここまでのところで、基本的なネットワーク構成は完成となります。

5. 「インスタンス」の作成

作成した「セキュリティ・リスト」を指定して、Oracle Compute Cloud Service で「インスタンス」を作成します。そうすることにより、以下のような構成でインスタンスが作成されるようになります。
手順05-2.png

以上が、Oracle Compute Cloud Service での基本的なネットワーク構成の方法となります。あとは、接続するコンピュータ上で、Tertermなどを使用して、SSH秘密鍵を指定して、接続を行います。

具体的な画面ショット等を含めた手順については、追って紹介していきたいと思います。

参考資料

Oracle Compute Cloud Service (IaaS)の使用 - ネットワーク設定について
https://docs.oracle.com/cd/E60665_01/stcomputecs/STCSG/GUID-89E0C5E6-0E26-4CE2-A348-9A109C46B553.htm

Oracle Compute Cloud Service (IaaS)の使用 - セキュリティ・リストの管理
https://docs.oracle.com/cd/E60665_01/stcomputecs/STCSG/GUID-C94EF16D-DD88-46D9-B37E-20C2A3F62E6F.htm#GUID-C94EF16D-DD88-46D9-B37E-20C2A3F62E6F

Oracle Compute Cloud Service (IaaS)の使用 - セキュリティ・ルールの管理
https://docs.oracle.com/cd/E60665_01/stcomputecs/STCSG/GUID-630622EC-160B-4523-88AD-F7B46463A0BE.htm#GUID-630622EC-160B-4523-88AD-F7B46463A0BE

Oracle Compute Cloud Service (IaaS)の使用 - セキュリティ・アプリケーションの管理
https://docs.oracle.com/cd/E60665_01/stcomputecs/STCSG/GUID-4B073EF2-0D7C-4AD8-A40A-585C4E2F938C.htm#GUID-4B073EF2-0D7C-4AD8-A40A-585C4E2F938C

Oracle Compute Cloud Service (IaaS)の使用 - セキュリティIPリストの管理
https://docs.oracle.com/cd/E60665_01/stcomputecs/STCSG/GUID-BB225FA6-C2B7-4BC9-897F-86030B8BAF29.htm#GUID-BB225FA6-C2B7-4BC9-897F-86030B8BAF29