Embed Size (px)
Citation preview
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Public Cloudネットワーク機能詳細 v2.0
2017年2月日本オラクル株式会社クラウド・プラットフォーム事業推進室丸川祐考
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
はじめに
• 本ドキュメントは、Oracle Cloud Platform を構成するクラウド・サービスのうち、Oracle Compute Cloud およびその上に構築されている PaaS サービスのネットワーク機能についての解説資料です。Oracle Bare Metal Cloud、Oracle Ravello Cloud を含むその他のクラウド・サービスについては対象外となります。
– 本ドキュメントの対象となるクラウド・サービス
• 本ドキュメントは執筆時点のサービス内容に基づいて記載いるため、現在のサービス内容や価格と異なる場合があります。最新の情報については、Oracle Cloudの公式ウェブサイト(http://cloud.oracle.com) にてご確認ください。
Oracle Confidential – Internal 2
• Oracle Compute Cloud Service• Oracle Database Cloud Service – Database as a Service• Oracle MySQL Cloud Service• Oracle Big Data Cloud Service – Compute Edition• Oracle Java Cloud Service
• Oracle Java Cloud Service – SaaS Extension• Oracle Application Container Cloud Service• Oracle SOA Cloud Service• Oracle GoldenGate Cloud Service
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Safe Harbor Statement
以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。
Oracle Confidential – Internal/Restricted/Highly Restricted 3
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
もくじ
Oracle Confidential – Internal 4
1. 新機能 : SDN 機能(IPネットワーク)
2. Oracle Public Cloud ネットワークの概要
3. Oracle Public Cloud へのネットワーク接続
4. ネットワークのセキュリティ
5. ネットワーク構成パターン
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
新機能 : Oracle Public Cloud の SDN 機能 (IPネットワーク)
•そもそも SDN って?
– SDN = Software Defined Network、コンピュータネットワークを構成する通信機器を単一のソフトウェアによって集中的に制御し、ネットワークの構造や構成、設定などを柔軟に、動的に変更することを可能とする技術の総称出典 : http://e-words.jp/w/SDN.html
• Oracle Public Cloud で SDN が実装されたということは・・・?
– Oracle Public Cloud の中に、サービスを利用する顧客がネットワークの設定を柔軟に、動的に変更できるようなソフトウェアの機能(GUI、REST API)が実装された、ということです
– Oracle Public Cloud ではSDN機能は「IPネットワーク」という名称になります
5
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 6
Oracle Public Cloud の SDN 機能 (IPネットワーク)
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
これまでのOPCネットワーク
• すべてのインスタンスはOracle Cloud全体共有の1つのネットワークのみに所属
• インスタンスを起動すると、Oracleが提供する共通のプライベートIPアドレスのプールからIPアドレスが都度割り振られ、停止したらプールに返還される
• 各インスタンスはそれぞれネットマスク30bitの独立したセグメントに所属
• 全てのインスタンス間通信はL3スイッチを介して伝達
7
単一の共有ネットワーク
Instance1
eth0
Instance2 Instance3 Instance4
eth0 eth0 eth0
共有ネットワーク : 10.32.1.0/24
Instance5
eth0
internet
.22/30 .42/30
Identity Domain 1 Identity Domain 2
.50/30 .134/30 .6/30
NAT
129.152.148.131(グローバルIP)
129.152.148.130(グローバルIP)
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
• 顧客が自由にサブネット(=IPネットワーク)を構築できる
– サブネットの大きさ、アドレス範囲を自由に設定可能
• インスタンスをIPネットワークに所属させると、仮想NICが追加されサブネット内のIPアドレスが割り当てられる
• 旧来のネットワークは存続(共有ネットワーク)、インターネットへのゲートウェイはこのネットワークを利用
8
Instance1
eth0 eth1
IPネットワーク : 192.168.3.0/24
IPネットワーク : 192.168.2.0/24
IPネットワーク : 192.168.2.0/24
Instance2 Instance3 Instance4
eth1 eth2 eth1 eth2 eth0 eth1
共有ネットワーク : 10.32.1.0/24
Instance5
eth1 eth1
internet
.21 .42.2 .3
Identity Domain 1 Identity Domain 2
.4.2 .3 .2 .3
129.152.148.130(グローバルIP)
129.152.148.131(グローバルIP)
2016年10月以降のOPCネットワーク加えて複数のプライベート・ネットワークが構築可能に
NAT
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
SDNになると何がうれしいのか?
具体的にはこんなことができるようになります…
1. クラウド上に自由にプライベート・サブネットを構築できる
2. インスタンスのプライベートIPアドレスが固定できる(注) 2016年12月現在REST APIからのみ設定可能
3. インスタンスが複数のネットワーク・インターフェース(vNIC)を持てる
4. VPN(Corente Gateway Services)と組み合わせてオンプレミスとのWANが構成に設定できる(GREトンネル不要)
5. ネットワーク設定と別個にインスタンスの追加/削除ができる(スケールアウト/インに便利)
6. vNICに対してMACアドレスを指定できる(ソフトウェアのライセンスなどでMACアドレスの指定が必要な場合に便利)
9
オンプレミスのようなネットワーク構成がクラウドで実現できる
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
オフィス
10
オンプレミスで構築したシステムの例
データセンター
Webサーバー
アプリケーションサーバー
データベースサーバー
VPNルーター
VPNルーター
ユーザー
システム管理者
オフィスからVPNで接続
役割でレイヤーを分離
外部からのアクセス用の領域
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
オフィス
11
Oracle Cloud上にオンプレミスのようなネットワークを仮想的に構築
Oracle Public Cloud
VPN-GW(CorenteServices
Gateway)
VPN-GW
ユーザー
システム管理者
役割でレイヤーを分離
外部からのアクセス用の領域
オフィスからVPNで接続
Web(Compute Cloud Service)
アプリケーション(Java Cloud Service*)
データベース(Database Cloud Service*)
* 2017年1月時点ではJava Cloud Service/Database Cloud ServiceはSDNに未対応です、将来の対応を予定しています
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
もくじ
Oracle Confidential – Internal 13
1. 新機能 : SDN 機能(IPネットワーク)
2. Oracle Public Cloud ネットワークの概要
3. Oracle Public Cloud へのネットワーク接続
4. ネットワークのセキュリティ
5. ネットワーク構成パターン
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Public Cloud ネットワークの構成要素
• IPネットワーク
• IPネットワーク交換
• 仮想NIC
• VPNゲートウェイ
• 仮想NICセットとルート
•共有ネットワーク
• IP予約(IPリザベーション)
14
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
IPネットワーク
15
IPネットワーク1192.168.1.0/24
IPネットワーク2192.168.2.0/24
.2 .3 .2 .3
IPネットワーク
• L2ネットワークを構成
– 最大16bitのサブネットマスクまで(例 : 10.0.0.0 – 10.0.255.255)
– 任意のIPアドレス範囲を設定可(通常はプライベートIPを設定)
– アドレス空間が重複するネットワークを複数設定可
• インスタンスは最大7つまでのIPネットワークに所属できる
– 所属させるとアドレス空間の中からIPアドレスが振られる
– インスタンス作成時(=起動時)のみ可、変更は不可
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
IPネットワーク交換
16
IPネットワーク1192.168.1.0/24
IPネットワーク2192.168.2.0/24
IPネットワーク交換
.2 .3 .2 .3
IPネットワーク交換
• IPアドレス空間が重複しないIPネットワーク間のルーティングを構成
• IPネットワーク交換:IPネットワーク = 1:多
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
仮想NIC
17
インスタンス
eth0
共有ネットワーク : 10.32.1.0/24
.21
eth1 eth2 eth3 eth7
IPネットワーク : 192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
192.168.7.0/24
.2 .2 .2 .2
仮想NIC
• インスタンスあたり最大8つまで
• 同じネットワークには1仮想NICのみ
• インスタンス作成時(=起動時)のみアタッチ可
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
VPNゲートウェイ
18
インスタンス
eth0
.3
インスタンス
eth0
.4
IPネットワーク(192.168.1.0/24)
VPNゲートウェイ
eth0
eth1
.2
VPNゲートウェイ
• Oracle Public Cloud内ネットワークと外部ネットワークとの間で Site-to-site VPN接続を行うためのクラウド側ゲートウェイ
• Corente Services Gateway という仮想アプライアンス・インスタンスが起動
• 複数のゲートウェイを設置した冗長化も可能
internet
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
仮想NICセットとルート
19
インスタンス
eth0
.3
インスタンス
eth0
.4
IPネットワーク1(192.168.1.0/24)
IPネットワーク2(192.168.2.0/24)
VPNゲートウェイ
VPNゲートウェイ
eth0 eth0
eth1 eth1
eth1
.3
eth1
.4
.2 .2
仮想NICセット• 仮想NICをグループ化したもの(一つでもOK)
• 別インスタンスの仮想NICでもOK
• ルートと併せて使用、経路の冗長化
internet192.168.101.0/24
ルート• IPネットワーク/IPネットワーク交換から外部の特定ネットワークに出る経路
• 目標とする外部ネットワーク・アドレス範囲と、そこに到達するための入り口(次ホップ)となる仮想NICセットを定義
• 同ネットワークへの複数ルートを定義した場合に優先順位を定義可、同じ優先順位の場合はECMPが構成される
社内LAN
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
共有ネットワーク
20
Instance1
eth0 eth1
IPネットワーク
Instance2
eth1
Data Center 1
共有ネットワーク
Instance3
eth0
Data Center 2
共有ネットワーク
WAN
internet
共有ネットワーク
• データセンターのバックエンドのプライベート・ネットワーク
• 別データセンターのインスタンスへの通信や、IPネットワークの中に入らないクラウド・サービス(Oracle Storage Cloud Serviceなどの非インスタンスのサービス)との通信には利用が必須
• インターネットへの/からのアクセスの際にも後述のIP予約と併せて利用が必須Storage Cloud
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
IP予約(IPリザベーション) と NAT
21
Instance1
eth0 eth1
IPネットワーク
Instance2
eth1
共有ネットワーク
internet
IP予約(IPリザベーション)
• インスタンスへのインターネットアクセスのためのグローバルIP、NAT経由で共有ネットワークに接続するインスタンスに届く
• インスタンスにアタッチされていない状態のIP予約に関しては課金対象となる
• Database Cloud Service 等の PaaS サービスの場合はインスタンス作成時に1つのIP予約が生成されインスタンス削除まで保持される
IPNAT
NAT
• IP予約(グローバルIP)をインスタンスに紐付けると設定され、共有ネットワークのプライベートIPアドレスとの1対1変換を行う
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Public Cloud ネットワークの特徴・注意点
• インスタンスに設定するIPネットワークのプライベートIPは、固定(静的)IPアドレス、変動(動的)IPアドレスどちらでも設定可能
– 固定IPアドレスを設定するには、2016年12月現在REST APIを利用する必要がある (GUIには未対応)
– 変動IPアドレスの場合は、インスタンス再起動する度にDHCPサーバーから空きアドレスが割り振られるため、IPアドレスが変わる可能性がある
• 共有ネットワークのプライベートIPは、変動(動的)IPアドレスのみ可能
– インスタンス再起動の度に変わるので、ホスト名による接続を推奨(共有ネットワーク上のDNSにエントリーが設定済)
• サイトを跨るIPネットワークを構築するには、site-to-site VPNをサイト間で構築する
Oracle Confidential – Internal 23
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
もくじ
Oracle Confidential – Internal 24
1. 新機能 : SDN 機能(IPネットワーク)
2. Oracle Public Cloud ネットワークの概要
3. Oracle Public Cloud へのネットワーク接続
4. ネットワークのセキュリティ
5. ネットワーク構成パターン
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Public Cloud のインスタンスへの接続
• 基本 = パブリック・インターネット接続
– インターネット向けに公開するシステムを作る場合、小規模クラウド利用の場合はこの形
– SSL、SSH(鍵認証)、IPホワイトリスト、SAMLによるID連携などでセキュリティを確保
• VPNや専用線接続を構成
– システムをプライベート・ネットワークに組み込む必要がある場合、大規模利用の場合
– 最初はVPNで開始、利用規模やトラフィックが大きくなれば専用線を検討
– 【注意】一部のサービス(下記)はインターネット接続限定• Oracle Cloudのポータル( https://cloud.oracle.com) 、マイ・サービス、マイ・アカウントなどでの管理作業
• 操作のためのREST API のエンドポイント (https://dbaas.oraclecloud.comなど)
• Oracle Storage Cloud Service / Oracle Database Backup Cloud Service
25
基本的な考え方
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 26
SSH トンネリング設定方法(ポートフォワード)
sshにはポートフォワード(port forward)という機能があるsshポート(22番ポート)を経由して、セキュアにリモートサーバの他のポートと接続可能sshなので、通信も暗号化されており、セキュリティの面でも優れている
ローカルPC
DBクライアン
ト
任意のポート(例:18443)
SSHポート(22番ポート)
Cloudインスタンス
OracleDatabase
SSHポート(22番ポート)
OracleDB(例:1521ポート)
①
②
③
④⑤
①:ローカルPC側の空いているポートへアクセス②:ローカルPC側の空いているポートから SSHポート22番へフォワード③:Cloudインスタンス側へはSSH22番ポートで通信 注:このポートで常時セッション接続状態にして おく④:SSHポートからDB接続用ポートへフォワード⑤:1521ポートでDatabaseへ接続
①~⑤までの設定はPutty等を使って設定可能
何が出来るか1.SQLDeveloperを使って、SSHトンネリングを利用したDB接続2.SQLDeveloperを使って、Puttyの設定を介してSSHトンネリングを利用したDB接続3.EMを使って、Puttyの設定を介してSSHトンネリングを利用したhttpsでのDB Control接続4.Webアプリを使って Puttyの設定を介してSSHトンネリングを利用したhttpでの接続 (要クラウド側のポート設定)5.SSHポートを直接使った、リモートバッチJOBの実行
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Net のネットワーク経路のセキュア化
1. SSHトンネリング機能の利用 –設定方法
• SQL Developer でのSSHトンネリングの設定例
27
SQL Developer では、接続プロパティの「Advanced」メニューより、SSHトンネリングを直接設定することができます
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
SSHアクセスの確認
• 作成した Oracle Database Cloud Service インスタンスは、デフォルトで22番ポートが空いており、SSHおよび SFTP でのアクセスができます
• SSH、SFTPアクセスにあたっては、DBCSインスタンス作成時に指定した公開鍵に対応する秘密鍵と、(鍵作成時に設定していた場合には)パスフレーズが必要になります
• OSユーザは以下の2つが用意されています
– opc : SUDO でROOTになることのできるユーザー
– oracle : ORACLEのインストールユーザー
• SSHアクセスにあたっては、以下のドキュメントなどを参考に設定してください
– http://youtu.be/dg6KsEsswpk
– http://docs.oracle.com/cloud/latest/dbcs_dbaas/CSDBI/GUID-6929CE39-6CD7-46C9-8022-929A9844B1C5.htm#CSDBI3437
28
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
他ポートへの直接アクセスの設定(1/2)
• デフォルトでブロックされているOracle Database Cloud Serviceの各ポートに対しては、Oracle Compute Cloud Service で「セキュリティ・ルール」を設定することにより、直接アクセスすることができるようになります
• DCSインスタンスを作成した際に、以下のセキュリティ・ルールがデフォルトで作成されていますが、SSH以外は無効化されています
29
Oracle Compute Cloud Service コンソールからネットワークボタンを押し下げます
ルール名称 ポート 使用サービス デフォルト
ora_p2_dbconsole 1158 EM 11g DB Control 無効
ora_p2_dbexpress 5500 EM DB Express 12c 無効
ora_p2_dblistener 1521 SQL*Net 無効
ora_p2_http 80 HTTP 無効
ora_p2_httpadmin 4848 Oracle GlassFIsh Server 無効
ora_p2_httpssl 443 HTTPS(REST, APEX,DBMonitor) 無効
ora_p2_ssh 22 SSH, SFTP 有効
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
他ポートへの直接アクセスの設定(2/2)
• デフォルト作成のルールを有効化することで、そのポートへのアクセスを許可できます
30
アクセス許可をしたいポートのルールのメニューから「更新」を選択し、ステータスを「Enabled」に変更しますこの例では、1521番ポートへのアクセスを有効化しています
• または、新たにセキュリティ・ルールを作成することで、他のポートへのアクセスを許可したり、アクセスを許可するインスタンスを限定したりといった、細かな設定をすることができます
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
社内ネットワークからOracle Public CloudへのSSHアクセス
• 通常SSH接続はクライアントから直接サーバへ接続できる環境で行いますが、社内LANなど「インターネットとの接続は必ずプロキシ経由としている」という環境から接続する場合、プロキシ及びファイアウォールが許可しているポート番号を使って、SSHでリモートログインする必要があります
• プロキシやファイアウォールによっては、インターネットゾーンに対する22番ポートのアウトバウンド通信を許可していない場合があります。そのような場合には、ネットワーク管理者に依頼して、Oracle Cloud への22番ポート経由のアクセスを許可してもらう必要があります
31
インターネット
クライアント Oracle Database Cloudインスタンス
22アプリSSH
Proxy / Firewallproxy.mycompany.com
80/443 22
プロキシサーバーからの22番ポートのアウトバウンド通信が許可されている必要があります
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
プロキシ経由のSSH接続方法の例(1/2)
32
※プロキシサーバーおよびファイアウォールの設定により、本方法ではうまく接続できない場合もあります。その場合には、ネットワーク管理者に、社外のサーバーにSSHアクセスする方法についてお問い合わせください
例えば、WindowsからPuTTYで接続する場合には、接続→プロキシの設定画面にて、プロキシサーバーの• タイプ• ホスト名• ポート番号
を適切に設定する必要があります
PuTTYでのプロキシ設定例
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
プロキシ経由のSSH接続方法の例(2/2)
33
WinSCPでのプロキシ設定例
~/.ssh/configに以下を追記
Host <任意のエイリアス> User oracle HostName <DCSインスタンスのホスト名> Port 22 ProxyCommand nc -X connect -x <プロキシホスト名>:<ポート> %h %p IdentityFile <秘密鍵ファイル>
Linux クライアントでのプロキシ設定例
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
プロキシサーバーが22番ポートのアウトバウンド通信を許可しない場合の回避策(案その1)
34
• 接続先のIPアドレスを限定することで、22番ポートでのアウトバウンド通信を許可してもらえる場合
– DBCS/JCSインスタンスを作成した際に割り当てられるパブリックIP(グローバルIP)に対して、22番ポートの開通許可を、社内ネットワーク管理者に申請してください
– 開通許可は、基本的にインスタンス作成毎に必要になります
インターネット
クライアント インスタンス
アプリSSH
Proxy / Firewallproxy.mycompany.com
80/443 22 22
sshd
パブリックIPxxx.xxx.xxx.xxx
接続先IPアドレスを限定して22番ポートを開けてもらう
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
プロキシサーバーが22番ポートのアウトバウンド通信を許可しない場合の回避策(案その2)
35
• 80番または443番以外に、アウトバウンド通信が許可されているポートがある場合
– DBCSインスタンス(VM)のsshdのリッスンポートに、許可されているポートを追加する(下記例では50001番)
– Compute Cloud のネットワーク設定を行い、DBCSインスタンスの該当ポートを開通させる
– ただし、インスタンス作成後、初回のみはsshd設定のために22番ポートでのSSH接続が必要ですので、社外ネットワークから作業を実施してください
インターネット
クライアント インスタンス
アプリ
SSH
Proxy / Firewallproxy.mycompany.com
80/443 22
50001
22
50001 sshd
sshdのリッスンポートを追加する
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
プロキシサーバーが22番ポートのアウトバウンド通信を許可しない場合の回避策(案その3)
36
• 80番または 443番のみしかアウトバウンド通信を許可していない場合
– Computeインスタンスを別途1つ用意し、そこをssh踏み台(Bastion)インスタンスとする
– 踏み台インスタンスの分の課金が発生します(約12円/時)
– 初回のみはsshd設定のために22番ポートでの接続が必要ですので、ダイヤルアップルーターなど、制限のない回線から実施してください
– (注) 本方式が、社内のネットワーク・アクセス・ポリシーに適合しているかどうかについて、ネットワーク管理者と十分に協議してください
インターネット
クライアント インスタンス
アプリ
SSH
Proxy / Firewallproxy.mycompany.com
80/443 22
443
22
SSH踏み台インスタンス
443
sshd22
インスタンス
22 sshd
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Cloud との間のSite-to-site VPNの構成例
• クラウド側ゲートウェイ
– Corente Services Gateway• コンピュート・インスタンス上にイメージを展開
• ローカル側ゲートウェイ
方法1. Corente Software Gateway(*1)
• 物理サーバー
• または仮想サーバー
– Oracle VM, VMware, Hyper-V, etc
方法2. ハードウェア機器(*2)
• Cisco 2921 / Cisco ASA5505
Oracle Confidential – Internal 37
(+1) Setting Up VPN from a Corente Services Gateway to an IP Network in Oracle Cloud - https://docs.oracle.com/cloud/latest/stcomputecs/CGIPV/GUID-E434EFA5-BBEC-4647-8A27-F0743C6D203B.htm(*2) Setting Up VPN from a Third-Party Gateway to an IP Network in Oracle Cloud - https://docs.oracle.com/cloud/latest/stcomputecs/TPIPV/GUID-4163901B-514E-4328-8AA1-CE1FE27086DB.htm
方法1 Corente Services Gateway同士でSite-to-site VPNを構築する場合
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Corente Services Gateway の対向側機器の選択
• 1. 対向側もCorente Services Gatewayを利用する場合
– 仮想アプライアンス・イメージをダウンロードして利用
• VMWare、Xen、Oracle VM
– Corente のソフトウェアをダウンロードし、サーバーにインストールして利用
• 2. 対向側にはIPsecに対応する機器を利用する
– マニュアルに記載されている「サーティファイされるコンフィグレーション(Certified Configuration)」を満たしているIPsec機器であれば、Corente Services Gatewayの対向側機器として利用可能
– 一部の機種については、My Oracle Support に機器側の設定手順が掲載
• Cisco ASA 5505 (Doc ID 2153452.1)
• SonicWall TZ190 (Doc ID 2153603.1)
• Juniper JuneOS15 (Doc ID 2164001.1)
Oracle Confidential – Internal/Restricted/Highly Restricted 38
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
VPN 構成別のセットアップ方法とドキュメント
39
※ 2017年2月現在、Database Cloud Service、Java Cloud Service 等のPaaSサービスはIPネットワークに未対応です。PaaSサービスを含むインスタンス群に対して Site-to-site VPN を用いたプライベート・ネットワークを構成するには、GRE Tunnel の設定が必要となります。
接続先サービス
クラウド側プライベートNW
対向側機器ゲートウェイの
冗長化クラウド側GW
セットアップ方法ドキュメント
Compute Cloud
ServiceのみIPネットワーク
Corente 冗長化なし OrchestrationSetting Up VPN from a Corente Services Gateway to an IP Network in Oracle Cloud
IPsec機器冗長化なし
コンソール Using Oracle Compute Cloud Service (IaaS) - Setting Up VPN
OrchestrationSetting Up VPN from a Third-Party Gateway to an IP Network in Oracle Cloud
Active-Active HA Orchestration Configuring Active-Active HA
PaaSサービスを含む
GREトンネル※
Corente 冗長化なし OrchestrationSetting Up VPN from Corente Services Gateway On-Premises to the Shared Network
IPsec機器冗長化なし
コンソール Using Oracle Compute Cloud Service (IaaS) - Setting Up VPN
OrchestrationSetting Up VPN from a Third-Party Gateway On-Premises to the Shared Network
Active-Active HA Orchestration Configuring Active-Active HA
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
もくじ
Oracle Confidential – Internal 40
1. 新機能 : SDN 機能(IPネットワーク)
2. Oracle Public Cloud ネットワークの概要
3. Oracle Public Cloud へのネットワーク接続
4. ネットワークのセキュリティ
5. ネットワーク構成パターン
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Public Cloud 上のインスタンスへの接続の制御
41
• Oracle Pulbic Cloudの共有ネットワーク上には、オンプレミス<->クラウドあるいはクラウド<->クラウドの通信を制御するためのソフトウェア・ファイアウォール機能が付属しています
• GUIやREST APIを使い、インスタンスのグループ(ネットワーク・セグメントに相当)や、疎通ポート、外部IPのホワイトリストなどを、セキュリティ・ルールとして設定することができます
セキュリティIPリスト
セキュリティIPリスト
Oracle Cloud (アイデンティティ・ドメイン)
セキュリテイ・リストBセキュリティ・リストA
Javaインスタンス 1160.34.xxx.xxx
Java インスタンス 2160.34.xxx.xxy
DBインスタンス 1160.34.xxx.xxz
DBインスタンス 2160.34.xxx.xyx
セキュリティ・ルール設定例
80
4431521 22
全てのGlobal IP0.0.0.0/0
特定のIP範囲138.99.xxx.0/26
0
http/https ssh
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Public Cloud ネットワークの設定方法
42
1. クリック2. クリック
• ソフトウェア・ファイアウォールなどのネットワークの設定をGUIで操作する際は、Compute Cloud Service のサービス・コンソールから行います
1. マイ・サービスから、Compute Cloud Service を選択
2. ネットワークタブをクリック
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Public Cloudネットワークセキュリティ設定のトポロジ
43
②セキュリティ・リスト8
1
③セキュリティ・ルール
n
n n
④セキュリティ・アプリケーション
1
⑤セキュリティIPリスト
1
①インスタンスn
①インスタンスOracle Cloud(PaaS / IaaS) が稼働する仮想マシン
②セキュリティ・リスト通信の許可/拒否設定を行う単位、インスタンスはこのセキュリティ・リストに所属することを通じてファイアウォール設定が有効になる
同じセキュリティ・リストに所属するインスタンス間では、基本的にすべての通信が許可される
③セキュリティ・ルールファイアウォールを定義する中核の設定セキュリティ・リストに対し通信の許可/拒否を設定するもの
④セキュリティ・アプリケーション通信プロトコルとポート範囲を定義するもの、主要なものは事前定義済
⑤セキュリティIPリストIP範囲に名称をつけて定義するもので、クラウド内外いずれも指定できる。例えば顧客の社内ネットワークのゲートウェイIPを指定することで、特定のネットワークを識別することができる。
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 44
セキュリティ・リストとインスタンス
Ins 1 Ins 2 Ins 3 Ins 4
セキュリティ・リストA セキュリティ・リストB
外部からセキュリティ・リスト内への通信
インバウンド・ポリシーに従う(デフォルトはDENY = 全て拒否)
セキュリティ・リスト内から外部への通信
アウトバウンド・ポリシーに従う(デフォルトはPERMIT = 全て許可
セキュリティ・リスト内は通信可能
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 45
セキュリティ・リスト作成画面
拒否(Deny)接続を許可せず応答も返さない
却下(Reject)接続を許可しないが応答は返す
許可(Permit)接続を許可(アウトバンド・ポリシーのみ設定可能)
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 46
セキュリティ・ルール
セキュリティ・アプリケーション通信プロトコルとポート範囲何について
どこから
どこへ
•セキュリティ・リスト•セキュリティIPリスト
•セキュリティ・リスト•セキュリティIPリスト
セキュリティIPリストIP範囲に名称をつけて定義クラウド内外いずれも指定可能
有効 / 無効を切り替える
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 47
IP Secのケース
セキュリティ・アプリケーション
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 48
セキュリティ・アプリケーション
PPTPでVPNするケース
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
セキュリティ・リスト関連の注意事項
• セキュリティ・リストの事後設定の注意
–インスタンスに対してあとから設定したセキュリティ・リストはインスタンス停止→開始時にクリアされる
–インスタンス作成時に定義するのが推奨
• マルチサイト環境での注意
–サイトごとにセキュリティ設定が必要(サイトをまたがれない)
–あるサイトで定義されているセキュリティ・リストを別のサイトで参照できない
–サイトをまたがる構成はセキュリティIPリストを作成し、予約IPを指定する
49
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
もくじ
Oracle Confidential – Internal 50
1. 新機能 : SDN 機能(IPネットワーク)
2. Oracle Public Cloud ネットワークの概要
3. Oracle Public Cloud へのネットワーク接続
4. ネットワークのセキュリティ
5. ネットワーク構成パターン
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
ネットワーク構成パターン
• 社内ネットーワークとOracle CloudをインターネットVPNで接続
• インターネットからのアクセス経路はなし
• Oracle Cloud内は単一のIPネットワークを構成
1. シンプルなプライベート・ネットワークの例
Instance1
eth0
IPネットワーク : 192.168.1.0/24
Instance2 Instance3 VPN
eth1 eth2 eth0eth1
共有ネットワーク : 10.32.1.0/24
internet
.42.3 .4 .5 .2
129.152.148.131
NAT
社内
社内
Oracle Cloud
凡例
インスタンス
VPN接続
共有ネットワーク ルート
IPネットワークIPネットワーク交換
51
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
ネットワーク構成パターン
• インターネットからアクセスするWebアプリケーション・システム
• フロントエンド(Webサーバー)とバックエンド(AP,DBサーバー)でサブネットを分離
• 社内ネットーワークとOracle CloudをインターネットVPNで接続(SSH踏み台サーバーでも可)
2. インターネット・アプリケーションの例
Web
eth1
IPNetwork: 192.168.1.0/24
AP* DB* VPN
eth0 eth0eth1.42.3 .26 .2
129.152.148.131
社内
社内
Oracle Cloud
eth0.22
internet
129.152.18.16
Webユーザー
凡例
インスタンス
VPN接続
共有ネットワーク ルート
IPネットワークIPネットワーク交換
52
eth1.4
eth0.126
共有ネットワーク : 10.32.1.0/24 NATNAT
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 54
