目次
とある日
Japanese: Become OCI Architect (Associate): 日本語 | Learn Oracle | Oracle University
Learn OCI & Try Hands-on LabsOracle Cloud Infrastructure Architect Associate Workshop (JP)
OCIスキルチェックの復習です。
Oracle Cloud Infrastructure Architect Associate認定試験に向けて勉強しています。
ネットワーキングスキルチェックで出てきたキーワードを調べてまとめた内容です。
ネットワーキング
Oracle Cloud Infrastructureを使用する場合、最初のステップの1つはクラウド・リソースの仮想クラウド・ネットワーク(VCN)を設定することです。このトピックでは、Oracle Cloud Infrastructure NetworkingコンポーネントおよびVCNの使用に関する一般的なシナリオの概要を説明します。
- 仮想クラウド・ネットワーク(VCN)
- Oracleデータ・センターで設定する仮想プライベート・ネットワーク
- サブネット
- VCNで定義する下位区分
- VNIC
- インスタンスにアタッチされ、サブネットに存在してサブネットのVCNへの接続を可能にする仮想ネットワーク・インタフェース・カード(VNIC)
- プライベートIP
- パブリックIP
- パブリックIPv4アドレスおよび関連情報
- 動的ルーティング・ゲートウェイ(DRG)
- VCNとオンプレミス・ネットワーク間のプライベート・ネットワーク・トラフィックのパスを提供
- インターネット・ゲートウェイ
- VCNに直接インターネット・アクセス用として追加できるもう1つのオプションの仮想ルーター
- ネットワーク・アドレス変換(NAT)ゲートウェイ
- サービス・ゲートウェイ
- VCNとOracle Services Networkでサポートされているサービス(例: Oracle Cloud Infrastructure Object StorageおよびAutonomous Database)との間のプライベート・ネットワーク・トラフィックのパスを提供
- ローカル・ピアリング・ゲートウェイ(LPG)
- 1つのVCNを同じリージョン内の別のVCNとピア接続
- リモート・ピアリング接続(RPC)
- DRGに追加できるコンポーネント。1つのVCNを異なるリージョン内の別のVCNとピア接続
- ルート表
- VCNの仮想ルート表
- セキュリティ・ルール
- VCNの仮想ファイアウォール・ルール
- DHCPオプション
各用語と概要をしっかりと理解する。
ゲートウェイはかなりたくさんあるため各用途の識別を理解しておく。
ダイナミック・ルーティング・ゲートウェイ
DRGは、オンプレミス・ネットワークとVCN間のトラフィックのパスを提供する仮想ルーターとして機能し、VCN間のトラフィックのルーティングにも使用できます。異なるタイプのアタッチメントを使用すると、異なるリージョンおよびテナンシのコンポーネントを使用してカスタム・ネットワーク・トポロジを構築できます。各DRGアタッチメントには、DRGに入るパケットを次のホップにルーティングするために使用されるルート表が関連付けられています。静的ルートに加えて、アタッチされたネットワークからのルートは、オプションのインポート・ルート配布を使用してDRGルート表に動的にインポートされます。
DRGは、次のリソースをアタッチ対象一覧
ローカルピアリング接続は対象外となる。
VCN デフォルトリソース
oci_core_vcn
リソースを作成すると、デフォルトで次の関連リソースも作成されます。
oci_core_security_list
oci_core_dhcp_options
oci_core_route_table
VCNを作ると下記が自動で作成される。
- セキュリティリスト
- DHCPオプション
- ルートテーブル
VCN
VCNは、特定のリージョンのOracle Cloud Infrastructureデータ・センターで設定するソフトウェア定義のネットワークです。
各サービスがどの範囲で展開されるかを理解する。
ネットワーク・ビジュアライザー
Oracle仮想ネットワークは、仮想クラウド・ネットワーク(VCN)、サブネット、ゲートウェイおよびその他のリソースで構成されます。これらのエンティティは、多くの場合複雑なルーティングを介して関連付けられ、接続されます。これらのリソースは、他のOracle Cloud Infrastructureサービスと複雑な関係を持つこともできます。仮想ネットワークの設計と運用を理解するためには、これらのエンティティとその関係を簡潔に把握することが不可欠です。
- リージョナル・ネットワーク・トポロジ:リージョン内の仮想ネットワーク構成全体の高レベルのレイアウトおよびルーティング・トポロジを表示できます。このトポロジには、DRG、VCN、CPEおよび様々なタイプのゲートウェイが含まれます。
- 仮想クラウド・ネットワーク・トポロジ:サブネットおよびルーティング構成を含む単一のVCNの編成を表示できます。このトポロジには、他のリソースへのサブネット、VLANおよびゲートウェイが含まれます。
ロード・バランシング
Oracle Cloud Infrastructure Load Balancingサービスは、仮想クラウド・ネットワーク(VCN)からアクセス可能な複数のサーバーに対して、1つのエントリ・ポイントから自動トラフィック分散を提供します。このサービスによって、選択されたパブリックまたはプライベートのIPアドレスと、プロビジョニングされた帯域幅を備えたロード・バランサが提供されます。
ロード・バランサのタイプ
- パブリック・ロード・バランサ
- プライベート・ロード・バランサ
- ロード・バランサをインターネットから分離してセキュリティ体制を簡素化
セキュリティ・リスト/ネットワークセキュリティ・グループ
セキュリティ・リスト
ネットワーキング・サービスが提供する元のタイプの仮想ファイアウォールです。
セキュリティ・リストは、セキュリティ・リストが関連付けられているサブネット内のすべてのVNICに適用される
セキュリティ・リストは、インスタンスの仮想ファイアウォールとして機能し、内外で許可されるトラフィック・タイプを指定するイングレスおよびエグレス・ルールが含まれます。各セキュリティ・リストはVNICレベルで適用されます。ただし、セキュリティ・リストをサブネット・レベルで構成することにより、特定のサブネット内のすべてのVNICがセキュリティ・リストの同じセットの対象となります。セキュリティ・リストは、特定のVNICに対して、VCN内の別のインスタンスと通信しているか、またはVCN外部のホストと通信しているかに関係なく適用されます。
デフォルト・セキュリティ・リスト
他のセキュリティ・リストとは異なり、デフォルトのセキュリティ・リストにはステートフル・ルールの初期セットが付属しており、ほとんどの場合、VCNまたはサブネットが存在するリージョンに関連する認可済サブネットからのインバウンド・トラフィックのみを許可するように変更する必要があります。各リージョンに関連する認可済サブネット範囲のリストは、https://docs.cloud.oracle.com/iaas/tools/public_ip_ranges.jsonにあります。
- ステートフル・イングレス:認可されたソースIPアドレスおよび任意のソース・ポートからの宛先ポート22 (SSH)に対するTCPトラフィックを許可します。このルールにより、新しいクラウド・ネットワークおよびパブリック・サブネットを簡単に作成し、Linuxインスタンスを起動し、すぐにSSHを使用してそのインスタンスに接続できます。その際、セキュリティ・リスト・ルールを自分で記述する必要はありません。
- ステートフル・イングレス:認可されたソースIPアドレスからのICMPトラフィック・タイプ3のコード4を許可します。このルールを使用すると、インスタンスでPath MTU Discoveryのフラグメンテーション・メッセージを受信できます。
- ステートフルイングレス: VCNのCIDRブロックからのICMPトラフィック・タイプ3 (すべてのコード)を許可します。このルールにより、インスタンスはVCN内の他のインスタンスから接続エラー・メッセージを簡単に受信できます。
- ステートフル・エグレス: すべてのトラフィックを許可します。これによって、インスタンスは任意の宛先に対して任意の種類のトラフィックを開始できます。これは、パブリックIPアドレスを持つインスタンスが、VCNに構成済のインターネット・ゲートウェイがある場合、すべてのインターネットIPアドレスと通信できることを意味しています。また、ステートフル・セキュリティ・ルールでは接続トラッキングが使用されるため、イングレス・ルールに関係なく、レスポンス・トラフィックは自動的に許可されます。詳細は、ステートフル・ルールとステートレス・ルールを参照してください。
ネットワークセキュリティ・グループ
ネットワーク・セキュリティ・グループは、特定のサービスに対してのみサポートされます。
NSGでは、セキュリティ・リストと比較して、VCNのサブネット・アーキテクチャをアプリケーションのセキュリティ要件から分離できます
ネットワーク・セキュリティ・グループ(NSG)は、すべて同じセキュリティ体制を持つ一連のクラウド・リソースに対して仮想ファイアウォールを提供します。たとえば、コンピュート・インスタンスのグループで、すべて同じタスクを実行するため、すべて同じポート・セットを使用する必要がある場合です
- VNIC: 1つ以上のVNIC (たとえば、すべて同じセキュリティ・ポスチャを持つコンピュート・インスタンスのセットにアタッチされたVNIC)。すべてのVNICは、NSGが属するVCN内にある必要があります。セキュリティ・リストとネットワーク・セキュリティ・グループの比較も参照してください。
- セキュリティ・ルール: グループ内のVNICの内外で許可されるトラフィックのタイプを定義するセキュリティ・ルール。たとえば、特定のソースからのイングレスTCPポート22 SSHトラフィックなどです。
セキュリティ・リストとネットワーク・セキュリティ・グループの比較
セキュリティ・リストを使用すると、サブネット全体のすべてのVNICに適用されるセキュリティ・ルールのセットを定義できます。特定のサブネットで指定のセキュリティ・リストを使用するには、サブネットの作成中または作成後に、そのサブネットにセキュリティ・リストを関連付けます。サブネットは、最大5つのセキュリティ・リストに関連付けることができます。そのサブネットに作成されるVNICはすべて、そのサブネットに関連付けられているセキュリティ・リストの対象となります。
ネットワーク・セキュリティ・グループ(NSG)を使用すると、選択したVNICのグループ(またはVNICのロード・バランサやDBシステムなどの親リソース)に適用されるセキュリティ・ルールのセットを定義できます。たとえば、すべて同じセキュリティ体制を持つコンピュート・インスタンスのセットに属するVNICです。指定したNSGを使用するには、目的のVNICをグループに追加します。そのグループに追加されたVNICは、すべてそのグループのセキュリティ・ルールの対象となります。VNICは、最大5つのNSGに追加できます。
NSGのほうが推奨されているっぽい。
Oracleでは、将来の拡張機能を実装するときに、セキュリティ・リストよりもNSGを優先する予定のため、NSGの使用が推奨されます。
用途別っていうより、概念が違うが用途は同じみたいな理解。
〆
OCIには推奨とされるサービスがあってややこしい。