プライベート・エンドポイントの管理

リソース・マネージャでプライベート・エンドポイントを作成、編集および削除します。

プライベート・エンドポイントを使用すると、テナンシ内の非パブリック・クラウド・リソースにリソース・マネージャからアクセスできます。たとえば、Terraformのリモートexec機能を使用してプライベート・コンピュート・インスタンスを構成し、プライベートGitHubサーバーのTerraform構成にアクセスします。

プライベート・エンドポイントでは、次のタスクを実行できます:

必須IAMポリシー

プライベート・エンドポイントを管理するには、テナンシ内のプライベート・エンドポイントを管理する権限と、VCNやサブネットなどの仮想ネットワーク・リソースを使用する権限が必要です。詳細は、「プライベート・テンプレートの管理」を参照してください。

ポリシーを初めて使用する場合は、IAMポリシーの概要を参照してください。

シナリオ

リソース・マネージャでプライベート・エンドポイントを使用するための一般的なシナリオを確認します。

その他のシナリオも存在します。リソース・マネージャでプライベート・エンドポイントを使用して、プライベートIPを持つ任意のプライベート・リソースにアクセスできます。たとえば、Kubernetesクラスタに接続します。

プライベートGitサーバー

リソース・マネージャに、インターネットを介してアクセスできないGitサーバーへのアクセス権を付与します。Oracle Cloud Infrastructureまたはオンプレミスでホストするプライベート・サーバーには、次の手順を使用します。

プライベート・サーバーがオンプレミスである場合は、サイト間VPNまたはFastConnectを設定します。
詳細は、サイト間VPNおよびFastConnectを参照してください。
プライベートGitサーバーの関連付けられたSSL証明書を証明書サービスにインポートします。
詳細は、関連ページを参照してください。
プライベート・エンドポイントの作成
プライベート・エンドポイントで到達可能なIPアドレスを取得します。
このプライベート・エンドポイント(および証明書サービスにインポートした関連付けられたSSL証明書)を参照する構成ソース・プロバイダを作成します。
この構成ソース・プロバイダを参照するスタックを作成します。

プライベート・リモート実行

リモートExecでプライベート・インスタンスにアクセスします。

ノート

Remote Execを使用してプライベート・インスタンスにアクセスする場合は、到達可能なIPアドレスを使用する必要があります。

プライベート・エンドポイントの到達可能なIPアドレスの取得も参照してください。

プライベート・インスタンスを作成するTerraform構成を記述します。
Terraform構成で、プライベート・エンドポイントを作成または参照します:
- Terraform構成にコードを追加して、プライベート・エンドポイントを作成します。
  ノート
  
  コンソール、SDK、CLIまたはAPIを使用してプライベート・エンドポイントを作成することもできます。プライベート・エンドポイントの作成を参照してください。
- 既存のプライベート・エンドポイントを参照するコードをTerraform構成に追加します。
たとえば、リソース・マネージャのプライベート・エンドポイントを使用するTerraform構成は、プライベート・エンドポイントのTerraform構成の例を参照してください。
Terraform構成にコードを追加して、プライベートIPアドレスに到達可能なIPアドレスに変換します。
到達可能なIPアドレスは、240.0.0.0から 255.255.255.255 (Class E; See RFC 1112、 Section 4)の範囲です。

到達可能IPアドレスを取得するには、プライベート・エンドポイントの到達可能IPアドレスの入手を参照してください。
サンプル・コード
resource "null_resource" "remote-exec" { depends_on = [oci_core_instance.private_endpoint_instance] provisioner "remote-exec" { connection { agent = false timeout = "30m" host = data.oci_resourcemanager_private_endpoint_reachable_ip.test_private_endpoint_reachable_ips.ip_address user = "opc" private_key = tls_private_key.public_private_key_pair.private_key_pem } inline = [ "echo 'remote exec showcase' > ~/remoteExecTest.txt" ] } }
たとえば、リソース・マネージャのプライベート・エンドポイントを使用するTerraform構成は、プライベート・エンドポイントのTerraform構成の例を参照してください。
Terraform構成をサポートされている場所に格納します。
このTerraform構成を参照するスタックを作成します。
スタックで適用ジョブを実行します。
プライベート・インスタンスおよびプライベート・エンドポイントが作成されます。これで、リモート実行を使用してプライベート・インスタンスにアクセスできます。

セキュリティー属性の管理

Zero Trust Packet Routing (ZPR)をネットワーク・セキュリティ・グループとともに使用したり、ネットワーク・セキュリティ・グループのかわりに使用して、OCIリソースへのネットワーク・アクセスを管理できます。これを行うには、リソース間の通信方法を制御するZPRポリシーを定義し、それらのリソースにセキュリティ属性を追加します。詳細は、Zero Trust Packet Routingを参照してください。

注意

エンドポイントにZero Trust Packet Routing (ZPR)セキュリティ属性がある場合、エンドポイントへのトラフィックはZPRポリシー、およびすべてのNSGおよびセキュリティ・リスト・ルールを満たす必要があります。たとえば、NSGをすでに使用していて、セキュリティ属性をエンドポイントに追加した場合、エンドポイントへのすべてのトラフィックがブロックされます。その後、ZPRポリシーはエンドポイントへのトラフィックを明示的に許可する必要があります。

タグの適用中

リソースにタグを適用すると、ビジネス・ニーズに応じた整理に役立ちます。リソースの作成時にタグを適用できます。また、後でリソースを更新して、タグを追加、改訂または削除できます。タグ適用についての一般情報は、リソース・タグを参照してください。