Oracle Cloud Infrastructureドキュメント

ポリシーの例

例から、Zero Trust Packet Routingポリシーについて学習します。

ポリシー・テンプレート・ビルダーを調査して、ポリシーについて学習することもできます。

サービス固有のポリシーの例については、次のセクションを参照してください。

コンピュート・インスタンス・ポリシーの例

同じVCN内のコンピュート・インスタンスがSSHで接続できるようにするポリシーの記述

compute:instance1エンドポイントが、SSHによってnetworks:net1 VCNのcompute:instance2エンドポイントに接続できるようにします。

in networks:net1 VCN allow compute:instance1 endpoints to connect to compute:instance2 endpoints with protocol='tcp/22'
クライアントがデータベースに接続してSQLNet接続を行うことを許可するポリシーの記述

networks:net1 VCNでは、compute:instance1エンドポイントがprotocol='tcp/1521'を使用してdb:DB-Serverエンドポイントに接続できます。

in networks:net1 VCN allow compute:instance1 endpoints to connect to db:DB-Server endpoints with protocol='tcp/1521'

データベース・ポリシーの例

データベースがOCIサービスに接続できるようにするポリシーの記述

セキュリティ属性DB-Serverを持つデータベースがOCIサービスに接続できるようにします。

in VCN-Network:DB VCN allow db:DB-Server endpoints to connect to 'osn-services-ip-addresses'
クライアントが単一のポートを介してデータベースに接続できるようにするポリシーの記述

App:App1セキュリティ属性を持つクライアントが、tcp/1521ポートを介してDB-Server:App1データベースに接続できるようにします。

in VCN-Network:DB VCN allow App:App1 to connect to DB-Server:App1 endpoints with protocol='tcp/1521'
クライアントが複数のポートを介してデータベースに接続できるようにするポリシーの記述

App:App1セキュリティ属性を持つクライアントが、ポートtcp/999-11199を介してDB-Server:App1データベースに接続できるようにします。

in VCN-Network:DB VCN allow App:App1 to connect to DB-Server:App1 endpoints with protocol='tcp/999-11199'
クライアントがステートレス接続でデータベースに接続できるようにするポリシーの記述

frontendセキュリティ属性を持つクライアントが、stateless接続を使用してtcp/1521ポートを介してdatabase:serverデータベースに接続できるようにします。

in finance.network:prod VCN allow app:frontend endpoints to connect to database:server endpoints with protocol = 'tcp/1521', connection-state = 'stateless'
1つのVCN内のクライアントが別のVCN内のデータベースに接続できるようにするポリシーの記述
ノート

別のVCN内のターゲットを参照するには、IPアドレスを使用する必要があります。

networks:net1 VCNのクライアントが、他のVCN>のIPアドレスの範囲に接続できるようにします。

in networks:net1 VCN allow apps:app1 endpoints to connect to '192.168.0.0/16'

192.168.0.0/16は、他のVCNのIPアドレスの範囲です。

ネットワーク・ロード・バランサ・ポリシーの例

IPアドレスがネットワーク・ロード・バランサに接続できるようにする書込みポリシー

my:VCN VCNでは、0.0.0.0/0 IPアドレスがXYZ-NLB:NLB1セキュリティ属性を使用してネットワーク・ロード・バランサに接続できます。

in my:VCN VCN allow '0.0.0.0/0' to connect to XYZ-NLB:NLB1 endpoints
ネットワーク・ロード・バランサをアプリケーション・エンドポイントに接続するためのポリシーの記述

my:VCN VCNでは、XYZ-NLB:NLB1セキュリティ属性を持つネットワーク・ロード・バランサ・エンドポイントをABC-web-servers:app1エンドポイントに接続できます。

in my:VCN VCN allow XYZ-NLB:NLB1 endpoints to connect to ABC-web-servers:app1 endpoints

OCIキャッシュ・ポリシーの例

コンピュート・インスタンスが同じVCN内のredisクラスタに接続できるようにするポリシーの記述

my:VCN VCNでは、compute:instance1エンドポイントを redis:cluster1エンドポイントに接続できます。

in my:VCN VCN allow compute:instance1 endpoints to connect to redis:cluster1 endpoints

VCNポリシーの例

VCNs全体でリソースを接続するポリシーの記述

applications:app1セキュリティ属性を持つ計算クライアントが、SQLNet接続を介してapp1を実行しているデータベースに接続できるようにします。

ノート

データベースとクライアントは別々のVCNsに存在するため、2つのポリシーが使用されます。
in VCN-Network:DB VCN allow DB-client:App1 endpoints to connect to '10.1.2.0/24' with protocol='tcp/1521'
in VCN-Network:Remote VCN allow '10.1.2.0/24' to connect to DB-client:app1 endpoints with protocol='tcp/1521'