Oracle Cloud Infrastructureドキュメント

プライベート・エンドポイントを使用したネットワーク・アクセスの設定

Autonomous Databaseがテナンシの仮想クラウド・ネットワーク(VCN)内のプライベート・エンドポイントを使用するように指定できます。Autonomous Databaseのプロビジョニング中またはクローニング中にプライベート・エンドポイントを構成することも、パブリック・エンドポイントを使用する既存のデータベースでプライベート・エンドポイントを使用するように切り替えることもできます。これにより、データベースとの間のすべてのトラフィックをパブリック・インターネットから切り離すことができます。

仮想クラウド・ネットワーク構成を指定すると、指定した仮想クラウド・ネットワークからのトラフィックのみが許可され、すべてのパブリックIPまたはVCNからのデータベースへのアクセスがブロックされます。これにより、セキュリティ・リストまたはネットワーク・セキュリティ・グループ(NSG)レベルでセキュリティ・ルールを定義して、Autonomous Databaseインスタンスのイングレス/エグレスを指定できます。プライベート・エンドポイントを使用し、セキュリティ・リストまたはNSGを定義すると、Autonomous Databaseインスタンスとの間のトラフィックを制御できます。

Note

If you configure your Autonomous Database instance to use a private endpoint and you also want to allow connections from specific public IP addresses or from specific VCNs if those VCNs are configured to privately connect to Autonomous Database using a Service Gateway, select the Allow public access option.これにより、プライベート・エンドポイントで構成されたデータベースのパブリック・エンドポイントが追加されます。詳細は、パブリック・アクセスを許可したプライベート・エンドポイントの使用を参照してください。

「パブリック・アクセスの許可」オプションは、データベースでECPUコンピュート・モデルが使用されている場合にのみ使用できます。

トピック

親トピック: アクセス制御ルール(ACL)およびプライベート・エンドポイントを使用したネットワーク・アクセス権の構成

プライベート・エンドポイントの構成

Autonomous Databaseがプライベート・エンドポイントを使用するように指定し、プライベート・エンドポイントで使用するテナンシ内の仮想クラウド・ネットワーク(VCN)を構成できます。

親トピック: プライベート・エンドポイントを使用したネットワーク・アクセスの構成

プライベート・エンドポイントを構成するための前提条件ステップ

Autonomous Databaseインスタンスのプライベート・エンドポイントを構成する前に実行する必要がある前提条件ステップについて説明します。

プライベート・エンドポイントを構成する前に、次の前提条件ステップを実行します:

プライベート・エンドポイントの管理に必要なIAMポリシー

Autonomous Databaseのプロビジョニングおよび管理に必要なポリシーに加えて、プライベート・エンドポイントを使用するには一部のネットワーク・ポリシーが必要です。

次の表に、クラウド・ユーザーがプライベート・エンドポイントを追加するために必要なIAMポリシーを示します。リストされているポリシーは、プライベート・エンドポイントを追加するための最小要件である。より広範なポリシー・ルールを使用することもできます。たとえば、ポリシー・ルールを設定する場合:

Allow group MyGroupName to manage virtual-network-family in tenancy

このルールは必要なポリシーをすべて含むスーパーセットであるため、これでも問題ありません。

工程 必要なIAMポリシー

プライベート・エンドポイントの構成

VCNが存在するコンパートメントに対するuse vcns

VCNが存在するコンパートメントに対するuse subnets

ネットワーク・セキュリティ・グループが存在するコンパートメントに対するuse network-security-groups

VCNが存在するコンパートメントに対するmanage private-ips

VCNが存在するコンパートメントに対するmanage vnics

データベースがプロビジョニングされているかプロビジョニングされる予定のコンパートメントに対するmanage vnics

Autonomous Databaseは、IAM (Identity and Access Management)サービスを利用して、Oracle Cloud Infrastructureインタフェース(コンソール、REST API、CLI、SDKなど)を使用する操作を実行するクラウド・ユーザーを認証および認可します。

IAMサービスでは、グループコンパートメントおよびポリシーを使用して、どのクラウド・ユーザーがどのリソースにアクセスできるかを制御します。具体的には、ポリシーは、ユーザーのグループが特定のコンパートメント内の特定の種類のリソースに対して持つアクセスの種類を定義します。詳細は、ポリシーの開始を参照してください。

インスタンスのプロビジョニング時またはクローニング時のプライベート・エンドポイントの構成

Autonomous Databaseインスタンスをプロビジョニングまたはクローニングするときに、プライベート・エンドポイントを構成できます。

次のステップは、インスタンスをプロビジョニング中またはクローニング中で、前提条件のステップが完了しており、プロビジョニングまたはクローニングのステップのうち、「ネットワーク・アクセスの選択」ステップを実行していることを前提としています:

  1. 「プライベート・エンドポイント・アクセスのみ」を選択します。

    これにより、仮想クラウド・ネットワークのプライベート・アクセス構成領域が展開されます。


    adb_private_vcn.pngの説明が続きます
    図adb_private_vcn.pngの説明

    If you select Private endpoint access only, this only allows connections from the specified private network (VCN), from peered VCNs, and from on-prem networks connected to your VCN.プライベート・エンドポイントでAutonomous Databaseインスタンスを構成して、オンプレミス・ネットワークからの接続を許可できます。例については、例: データ・センターからAutonomous Databaseへの接続を参照してください

    パブリックIPアドレスまたは許可されたIPおよびVCNsからの接続を許可する場合は、次のオプションがあります:

    • 「すべての場所からのセキュア・アクセス権」を選択します。

    • 「許可されたIPおよびVCNsからのセキュア・アクセスのみ」を選択します。

    • 「プライベート・エンドポイント・アクセスのみ」を選択した場合は、「拡張オプションの表示」を展開し、「パブリック・アクセスの許可」を選択します。詳細は、プライベート・エンドポイント拡張オプションの構成を参照してください。

  2. コンパートメント内の仮想クラウド・ネットワークを選択するか、VCNが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして、VCNを含むコンパートメントを選択し、仮想クラウド・ネットワークを選択します。

    詳細は、VCNとサブネットを参照してください。

  3. Autonomous Databaseをアタッチするサブネットをコンパートメント内で選択します。または、サブネットが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして、サブネットを含むコンパートメントを選択し、サブネットを選択します。

    詳細は、VCNとサブネットを参照してください。

  4. (オプション)「拡張オプションの表示」をクリックして、追加のプライベート・エンドポイント・オプションを表示します。

    詳細オプションの詳細は、プライベート・エンドポイント拡張オプションの構成を参照してください。

  5. 相互TLS (mTLS)認証が必要。

    「相互TLS (mTLS)認証が必要」のオプションは:

    • 「相互TLS (mTLS)認証が必要」が選択解除されている場合、TLSおよびmTLS接続が許可されます。これはデフォルト構成です。

    • 「相互TLS (mTLS)認証が必要」が選択されている場合、mTLS接続のみが許可されます(TLS認証は許可されません)。

    詳細は、Autonomous DatabaseでTLS認証を許可するか相互TLS (mTLS)認証のみを必要とするようにネットワーク・オプションを更新を参照してください。

  6. 「Autonomous Databaseインスタンスのプロビジョニング」「Autonomous Databaseインスタンスのクローニング」または「バックアップからAutonomous Databaseのクローニング」の指定に従い、残りのプロビジョニング・ステップまたはクローニングのステップを実行します。

詳細は、プライベート・エンドポイントのノートを参照してください。

Autonomous Databaseでのパブリック・エンドポイントからプライベート・エンドポイントへの変更

Autonomous Databaseインスタンスがパブリック・エンドポイントを使用するように構成されている場合、構成をプライベート・エンドポイントに変更できます。

  1. 「詳細」ページで、「他のアクション」ドロップダウン・リストから「ネットワーク・アクセスの更新」を選択します。

    インスタンスをパブリック・エンドポイントからプライベート・エンドポイントに変更するには、Autonomous Databaseインスタンスが「使用可能」状態(ライフサイクル状態: 「使用可能」)である必要があります。

  2. ネットワーク・アクセスの更新ダイアログで、「プライベート・エンド・ポイント・アクセスのみ」を選択します

    これにより、仮想クラウド・ネットワークのプライベート・アクセス構成領域が展開されます。

    adb_network_private_update.pngの説明が続きます
    図adb_network_private_update.pngの説明

    If you select Private endpoint access only, this only allows connections from the specified private network (VCN), from peered VCNs, and from on-prem networks connected to your VCN.プライベート・エンドポイントでAutonomous Databaseインスタンスを構成して、オンプレミス・ネットワークからの接続を許可できます。例については、例: データ・センターからAutonomous Databaseへの接続を参照してください

    パブリックIPアドレスまたは許可されたIPおよびVCNsからの接続を許可する場合は、次のオプションがあります:

    • 「すべての場所からのセキュア・アクセス権」を選択します。

    • 「許可されたIPおよびVCNsからのセキュア・アクセスのみ」を選択します。

    • 「プライベート・エンドポイント・アクセスのみ」を選択した場合は、「拡張オプションの表示」を展開し、「パブリック・アクセスの許可」を選択します。詳細は、プライベート・エンドポイント拡張オプションの構成を参照してください。

  3. コンパートメント内の仮想クラウド・ネットワークを選択するか、VCNが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして、VCNを含むコンパートメントを選択し、仮想クラウド・ネットワークを選択します。

    詳細は、VCNとサブネットを参照してください。

  4. Autonomous Databaseをアタッチするサブネットをコンパートメント内で選択します。または、サブネットが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして、サブネットを含むコンパートメントを選択し、サブネットを選択します。

    詳細は、VCNとサブネットを参照してください。

  5. (オプション)「詳細オプションの表示」をクリックして、他のオプションを表示します。

    詳細オプションの詳細は、プライベート・エンドポイント拡張オプションの構成を参照してください。

  6. 「更新」をクリックします。
  7. 「確認」ダイアログで、Autonomous Databaseの名前を入力して変更を確認します。
  8. 「確認」ダイアログで、「更新」をクリックします。

ライフサイクル状態は、操作が完了するまで「更新中」に変わります。

パブリック・ネットワーク・アクセスからプライベート・ネットワーク・アクセスへの変更に関するノート:

  • ネットワーク・アクセス・タイプを更新した後、すべてのデータベース・ユーザーは、新しいウォレットを取得し、新しいウォレットを使用してデータベースにアクセスする必要があります。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。

  • パブリック・エンドポイントにACLが定義されている場合、そのACLはプライベート・エンドポイントには適用されません。

  • プライベート・エンドポイントを使用するようにネットワーク・アクセスを更新した後、データベース・ツール用のURLは、パブリック・エンドポイントを使用する場合とは異なります。更新されたURLは、パブリック・エンドポイントからプライベート・エンドポイントに変更した後、コンソールで確認できます。

プライベート・エンドポイントの構成の更新

既存のAutonomous Databaseインスタンス上のプライベート・エンドポイントの構成の一部のオプションを変更できます。

  1. 「詳細」ページで、「他のアクション」ドロップダウン・リストから「ネットワーク・アクセスの更新」を選択します。

    これは、「ネットワーク・アクセスの更新」パネルを示しています。

    adb_network_access_private_update.pngの説明が続きます
    図adb_network_access_private_update.pngの説明
  2. 「プライベート・エンドポイント・アクセスのみ」を選択します。

    パブリックIPアドレスまたは許可されたIPおよびVCNsからの接続を許可する場合は、次のオプションがあります:

    • 「すべての場所からのセキュア・アクセス権」を選択します。

    • 「許可されたIPおよびVCNsからのセキュア・アクセスのみ」を選択します。

    • 「プライベート・エンドポイント・アクセスのみ」を選択すると、拡張オプションが表示され、「パブリック・アクセスの許可」を選択します。これにより、プライベート・エンドポイントとパブリック・エンドポイントの両方を含むプライベート・エンドポイント・データベースが定義されます。

    1. オプションで、ネットワーク・セキュリティ・グループ(NSG)を追加します。

      オプションで、Autonomous Databaseインスタンスへの接続を許可するために、NSGでセキュリティ・ルールを定義します。これにより、Autonomous Databaseの仮想ファイアウォールが作成されます。

      • Autonomous Databaseをアタッチするネットワーク・セキュリティ・グループをコンパートメント内で選択します。または、ネットワーク・セキュリティ・グループが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして別のコンパートメントを選択し、そのコンパートメント内のネットワーク・セキュリティ・グループを選択します。
      • 別のネットワーク・セキュリティ・グループを追加するには、「+ 別のネットワーク・セキュリティ・グループ」をクリックします。
      • ネットワーク・セキュリティ・グループのエントリを削除するには、「x」をクリックします。

      プライベート・エンドポイント用に選択したNSGの場合、次のようにセキュリティ・ルールを定義します:

      • 相互TLS (mTLS)認証の場合は、ソースがデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルがTCPに設定され、宛先ポート範囲が1522に設定された、ステートフル・イングレス・ルールを追加します。

      • TLS認証の場合は、ソースがデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルはTCPに設定され、宛先ポート範囲が1521または1522に設定された、ステートフル・イングレス・ルールを追加します。

      • Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。

      ノート

      受信接続と送信接続は、NSGで定義されたイングレス・ルールとエグレス・ルール、およびVCNで定義されたセキュリティ・リストの組合せによって制限されます。NSGがない場合でも、VCNのセキュリティ・リストで定義されたイングレスおよびエグレス・ルールは適用されます。セキュリティ・リストの使用の詳細は、「セキュリティ・リスト」を参照してください。

      詳細は、mTLSまたはTLSを使用したAutonomous Databaseへのセキュアな接続を参照してください。

      例については、Autonomous Databaseでのプライベート・エンドポイント構成の例を参照してください。

      詳細は、ネットワーク・セキュリティ・グループを参照してください。

    2. オプションで、「パブリック・アクセスの許可」を選択するか、すでに選択されている場合は、プライベート・エンドポイント・データベースで構成されているパブリック・エンドポイントに対するアクセス制御ルールを構成できます。

      「パブリック・アクセスの許可」オプションは、データベースでECPUコンピュート・モデルが使用されている場合にのみ使用できます。

      「パブリック・アクセスの許可」を選択すると、「アクセス制御の構成」オプションが表示され、データベースに接続できる許可されたIPアドレス、CIDRブロックまたは仮想クラウド・ネットワークを入力できます。

      次のいずれかを選択します。

      • IPアドレス

        「値」フィールドに、IPアドレスのの値を入力します。ネットワークACLエントリに指定されたIPアドレスは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックIPアドレスです。たとえば、Oracle Cloud Infrastructure VMの場合は、このIPアドレスがそのVMのOracle Cloud Infrastructureコンソールで「パブリックIP」フィールドに表示されます。

        オプションで、「IPアドレスの追加」を選択して、現在のIPアドレスをACLエントリに追加します。

      • CIDRブロック:

        「値」フィールドに、CIDRブロック の値を入力します。指定されたCIDRブロックは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックCIDRブロックです。

      • 仮想クラウド・ネットワーク:

        このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを通過する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

        Oracle Cloud Infrastructure Service Gatewayで使用するVCNを指定するには、このオプションを使用します:

        • 「仮想クラウド・ネットワーク」フィールドで、アクセス権を付与するVCNを選択します。テナンシ内のVCNを表示する権限がない場合、このリストは空です。この場合、選択「仮想クラウド・ネットワーク(OCID)」を使用して、VCNのOCIDを指定します。
        • オプションで、「IPアドレスまたはCIDR」フィールドで、プライベートIPアドレスまたはプライベートCIDRブロックはカンマ区切りのリストとして入力します。これにより、VCN内の特定のクライアントを許可します。
      • 仮想クラウド・ネットワーク(OCID):

        このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを通過する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

        • 「値」フィールドに、アクセス権を付与するVCNのOCIDを入力します。
        • オプションで、「IPアドレスまたはCIDR」フィールドで、プライベートIPアドレスまたはプライベートCIDRブロックはカンマ区切りのリストとして入力します。これにより、VCN内の特定のクライアントを許可します。

      同じVCN内の複数のIPアドレスまたはCIDR範囲を指定する場合は、複数のACLエントリを作成しないでください。複数のIPアドレスまたはCIDR範囲の値をカンマで区切って指定した、1つのACLエントリを使用します。

  3. 「更新」をクリックします。

「更新」をクリックすると、ライフサイクル状態が「使用可能」になると、変更が適用されるまでライフサイクル状態が「更新中」に変わります。データベースは引き続き稼働中でアクセス可能であり、停止時間はありません。更新が完了すると、ライフサイクル状態は「使用可能」に戻ります。

詳細は、プライベート・エンドポイントのノートを参照してください。

プライベート・エンドポイント拡張オプションの構成

プライベート・エンドポイント・アクセスの拡張オプションを使用すると、ユーザー指定のプライベートIPアドレスおよびホスト名を入力したり、1つ以上のネットワーク・セキュリティ・グループを選択したり、プライベート・エンドポイント・データベースへのパブリック・アクセスを許可する詳細を指定できます。

これらのステップでは、Autonomous Databaseインスタンスをプロビジョニングまたはクローニングするか、既存のAutonomous Databaseインスタンスのパブリック・アクセスからプライベート・アクセスに変更し、「ネットワーク・アクセスの選択」ステップにいることを前提としています。

  1. 「プライベート・エンドポイント・アクセスのみ」を選択します。

    これにより、仮想クラウド・ネットワークのプライベート・アクセス構成領域が表示されます。

  2. (オプション)「拡張オプションの表示」をクリックして、追加のプライベート・エンドポイント・オプションを表示します。

    拡張オプションが表示されます。

    adb_network_access_private_advanced.pngの説明が続きます
    図adb_network_access_private_advanced.pngの説明
    1. オプションで、「プライベートIPアドレス」と入力します。

      このフィールドを使用して、カスタムのプライベートIPアドレスを入力します。入力するプライベートIPアドレスは、選択したサブネットのCIDR範囲内にある必要があります。

      カスタム・プライベートIPアドレスを指定しない場合、IPアドレスは自動的に割り当てられます。

    2. オプションで、ホスト名接頭辞と入力します。

      これにより、Autonomous Databaseのホスト名接頭辞が指定され、DNS名が次の形式でデータベース・インスタンスに関連付けられます: 

      hostname_prefix.adb.region.oraclecloud.com

      ホスト名接頭辞を指定しない場合、システム生成のホスト名接頭辞が指定されます。

    3. オプションで、ネットワーク・セキュリティ・グループ(NSG)を追加します。

      オプションで、Autonomous Databaseインスタンスへの接続を許可するために、NSGでセキュリティ・ルールを定義します。これにより、Autonomous Databaseの仮想ファイアウォールが作成されます。

      • Autonomous Databaseをアタッチするネットワーク・セキュリティ・グループをコンパートメント内で選択します。または、ネットワーク・セキュリティ・グループが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックして別のコンパートメントを選択し、そのコンパートメント内のネットワーク・セキュリティ・グループを選択します。
      • 別のネットワーク・セキュリティ・グループを追加するには、「+ 別のネットワーク・セキュリティ・グループ」をクリックします。
      • ネットワーク・セキュリティ・グループのエントリを削除するには、「x」をクリックします。

      プライベート・エンドポイント用に選択したNSGの場合、次のようにセキュリティ・ルールを定義します:

      • 相互TLS (mTLS)認証の場合は、ソースがデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルがTCPに設定され、宛先ポート範囲が1522に設定された、ステートフル・イングレス・ルールを追加します。

      • TLS認証の場合は、ソースがデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルはTCPに設定され、宛先ポート範囲が1521または1522に設定された、ステートフル・イングレス・ルールを追加します。

      • Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。

      ノート

      受信接続と送信接続は、NSGで定義されたイングレス・ルールとエグレス・ルール、およびVCNで定義されたセキュリティ・リストの組合せによって制限されます。NSGがない場合でも、VCNのセキュリティ・リストで定義されたイングレスおよびエグレス・ルールは適用されます。セキュリティ・リストの使用の詳細は、「セキュリティ・リスト」を参照してください。

      詳細は、mTLSまたはTLSを使用したAutonomous Databaseへのセキュアな接続を参照してください。

      例については、Autonomous Databaseでのプライベート・エンドポイント構成の例を参照してください。

      詳細は、ネットワーク・セキュリティ・グループを参照してください。

    4. オプションで、「パブリック・アクセスの許可」を選択し、アクセス制御ルールを構成して、プライベート・エンドポイント・データベースのパブリック・エンドポイントを追加します。

      「パブリック・アクセスの許可」オプションは、データベースでECPUコンピュート・モデルが使用されている場合にのみ使用できます。

      「パブリック・アクセスの許可」を選択すると、「アクセス制御の構成」オプションが表示され、データベースに接続できる許可されたIPアドレス、CIDRブロックまたは仮想クラウド・ネットワークを入力できます。

      次のいずれかを選択します。

      • IPアドレス

        「値」フィールドに、IPアドレスのの値を入力します。ネットワークACLエントリに指定されたIPアドレスは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックIPアドレスです。たとえば、Oracle Cloud Infrastructure VMの場合は、このIPアドレスがそのVMのOracle Cloud Infrastructureコンソールで「パブリックIP」フィールドに表示されます。

        オプションで、「IPアドレスの追加」を選択して、現在のIPアドレスをACLエントリに追加します。

        オプションで、「IPアドレスの追加」を選択して、現在のIPアドレスをACLエントリに追加します。

      • CIDRブロック:

        「値」フィールドに、CIDRブロック の値を入力します。指定されたCIDRブロックは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックCIDRブロックです。

      • 仮想クラウド・ネットワーク:

        このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを通過する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

        Oracle Cloud Infrastructure Service Gatewayで使用するVCNを指定するには、このオプションを使用します:

        • 「仮想クラウド・ネットワーク」フィールドで、アクセス権を付与するVCNを選択します。テナンシ内のVCNを表示する権限がない場合、このリストは空です。この場合、選択「仮想クラウド・ネットワーク(OCID)」を使用して、VCNのOCIDを指定します。
        • オプションで、「IPアドレスまたはCIDR」フィールドで、プライベートIPアドレスまたはプライベートCIDRブロックはカンマ区切りのリストとして入力します。これにより、VCN内の特定のクライアントを許可します。
      • 仮想クラウド・ネットワーク(OCID):

        このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを通過する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

        • 「値」フィールドに、アクセス権を付与するVCNのOCIDを入力します。
        • オプションで、「IPアドレスまたはCIDR」フィールドで、プライベートIPアドレスまたはプライベートCIDRブロックはカンマ区切りのリストとして入力します。これにより、VCN内の特定のクライアントを許可します。

      同じVCN内の複数のIPアドレスまたはCIDR範囲を指定する場合は、複数のACLエントリを作成しないでください。複数のIPアドレスまたはCIDR範囲の値をカンマで区切って指定した、1つのACLエントリを使用します。

  3. 残りのプライベート・エンドポイントの構成ステップを完了します。

パブリック・アクセスを許可したプライベート・エンドポイントの使用

プライベート・エンドポイントを使用するようにAutonomous Databaseを構成し、特定のパブリックIPアドレスまたは特定のVCNsからの接続も許可する場合は、「パブリック・アクセスの許可」オプションを選択します(VCNsがサービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するように構成されている場合)。

このオプションは、プライベート・エンドポイントに構成されているデータベースのパブリック・エンドポイントを追加します。Autonomous Databaseインスタンスのプライベート・エンドポイントは、インスタンスをプロビジョニングまたはクローニングするとき、または既存のAutonomous Databaseのネットワーク構成を更新するときに構成します。プライベート・エンドポイントを使用してAutonomous Databaseインスタンスを構成するステップの詳細は、次を参照してください:

プライベート・エンドポイント・データベースで「パブリック・アクセスの許可」を使用してパブリック・アクセスが有効になっている場合、インスタンスにはプライベート・エンドポイントとパブリック・エンドポイントの両方があります:

  • プライベート・ホスト名、エンドポイントURLおよびプライベートIPアドレスを使用すると、データベースが存在するVCNからデータベースに接続できます。

  • パブリック・ホスト名を使用すると、特定のパブリックIPアドレスから、またはサービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するようにVCNsが構成されている場合は、そのVCNsからデータベースに接続できます。

パブリック・アクセスの許可が有効になっているプライベート・エンドポイント・データベースのAutonomous Database接続文字列追加

プライベート・エンドポイント・データベースで「パブリック・アクセスの許可」が有効になっている場合、パブリック・エンドポイントからデータベースに接続できる追加の接続文字列があります:

  • Autonomous Databaseウォレットzipのtnsnames.ora内の接続文字列には、パブリック・インターネットからの接続に使用するパブリック接続文字列が含まれます。パブリック・エンドポイントの接続文字列では、次の命名規則を使用します。 

    dbname_public_consumerGroup

    たとえば:

    adbfinance_public_low

    詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。

  • パブリック・エンドポイントとプライベート・エンドポイントの両方の接続文字列は、Oracle Cloud Infrastructure Console (またはAPI)から表示できます。

    詳細は、Autonomous DatabaseインスタンスのTNS名および接続文字列の表示を参照してください。

パブリック・アクセスの許可が有効になっているプライベート・エンドポイント・データベースのAutonomous Databaseツール追加

When Allow public access is enabled for a private endpoint database, the database tools allow you to connect from specific public IP addresses or from specific VCNs if those VCNs are configured to privately connect to Autonomous Database using a Service Gateway:

  • 各ツールには、ツール構成表にプライベート・アクセスURLとパブリック・アクセスURLが表示されます。パブリック・アクセスURLを使用して、特定のパブリックIPアドレスから、またはサービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するようにVCNsが構成されている場合は、そのVCNsからツールにアクセスします。

    たとえば:

    adb_tools_status_private_public.pngの説明が続きます
    図adb_tools_status_private_public.pngの説明

    詳細は、Autonomous Database組込みツール・ステータスの表示を参照してください。

  • ウォレットzipファイルのREADMEファイルは、各データベース・ツールのプライベート・エンドポイントのアクセス・リンクとパブリック・アクセス・リンクの両方を提供します。

    詳細は、WalletのREADMEファイルを参照してください。

プライベート・エンドポイントを使用したアウトバウンド接続のセキュリティの強化

Autonomous Databaseインスタンスでプライベート・エンドポイントを使用する場合、ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティを値PRIVATE_ENDPOINTに設定することで、強化されたセキュリティを提供できます。

ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティを値PRIVATE_ENDPOINTに設定すると、ターゲット・ホストへのすべての送信接続が、プライベート・エンドポイントのエグレス・ルールの対象となり、制限されます。エグレス・ルールは、Virtual Cloud Network (VCN)セキュリティ・リストまたはAutonomous Databaseインスタンスのプライベート・エンドポイントに関連付けられたネットワーク・セキュリティ・グループ(NSG)で定義します。

ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティを設定する前に、プライベート・エンドポイントを使用するようにAutonomous Databaseインスタンスを構成します。詳細は、プライベート・エンドポイントの構成を参照してください。

ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティをPRIVATE_ENDPOINTに設定して、すべての送信接続がAutonomous Databaseインスタンスのプライベート・エンドポイントVCNのエグレス・ルールに従うことを指定します。値PRIVATE_ENDPOINTを指定すると、データベースは送信接続をプライベート・エンドポイントのエグレス・ルールで指定された場所に制限し、(パブリックDNSリゾルバを使用せずに)VCNのDNSリゾルバを使用してホスト名が解決されるようにDNS解決も変更します。

ノート

ROUTE_OUTBOUND_CONNECTIONSPRIVATE_ENDPOINTに設定されていない場合、パブリック・インターネットへのすべての送信接続は、サービスVCNのネットワーク・アドレス変換(NAT)ゲートウェイを通過します。この場合、ターゲット・ホストがパブリック・エンドポイント上にある場合、送信接続はAutonomous Databaseインスタンスのプライベート・エンドポイントVCNまたはNSGエグレス・ルールの対象になりません。

Autonomous Databaseインスタンスのプライベート・エンドポイントを構成し、ROUTE_OUTBOUND_CONNECTIONSPRIVATE_ENDPOINTに設定すると、次のアウトバウンド接続およびDNS解決の処理が変更されます:

Autonomous Databaseインスタンスのプライベート・エンドポイントを構成し、ROUTE_OUTBOUND_CONNECTIONSPRIVATE_ENDPOINTに設定すると、次のアウトバウンド接続およびDNS解決の処理は変更されません。

  • Oracle REST Data Services (ORDS)

  • データベース・アクション

ROUTE_OUTBOUND_CONNECTIONSを設定するには:

  1. データベースに接続します。
  2. データベース・プロパティROUTE_OUTBOUND_CONNECTIONSを設定します。

    たとえば:

    ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = 'PRIVATE_ENDPOINT';

ROUTE_OUTBOUND_CONNECTIONSの設定に関するノート:

  • デフォルトのパラメータ値を復元するには、次のコマンドを使用します。

    ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = '';

  • 次のコマンドを使用して、現在のパラメータ値を問い合せます。

    SELECT * FROM DATABASE_PROPERTIES
        WHERE PROPERTY_NAME = 'ROUTE_OUTBOUND_CONNECTIONS';

    プロパティが設定されていない場合、問合せは結果を返しません。

  • このプロパティは、プロパティを値PRIVATE_ENDPOINTに設定した後に作成したデータベース・リンクにのみ適用されます。したがって、プロパティを設定する前に作成したデータベース・リンクでは、サービスVCNのNAT Gatewayが引き続き使用され、Autonomous Databaseインスタンスのプライベート・エンドポイントのエグレス・ルールの対象にはなりません。

  • プライベート・エンドポイントでAutonomous Databaseを使用している場合のみ、ROUTE_OUTBOUND_CONNECTIONSを値PRIVATE_ENDPOINTに設定します。

  • データベースがプライベート・エンドポイントにあり、アウトバウンド接続をVCNで解決する場合は、ROUTE_OUTBOUND_CONNECTIONSパラメータをPRIVATE_ENDPOINTに設定する必要があります。

ネットワーク・アドレス変換(NAT)ゲートウェイの詳細は、NAT Gatewayを参照してください。

プライベート・エンドポイントのノート

Autonomous Databaseでのプライベート・エンドポイントの制限およびノートについて説明します。

  • プライベート・エンドポイントを使用するようにネットワーク・アクセスを更新した後、またはプライベート・エンドポイントの構成を伴うプロビジョニングまたはクローニングが完了した後、Autonomous Databaseの詳細ページの「ネットワーク」セクションでネットワーク構成を表示できます。

    「ネットワーク」セクションには、プライベート・エンドポイントに関する次の情報が表示されます:

    • アクセス権タイプ: Autonomous Database構成のアクセス権タイプを示します。プライベート・エンドポイント構成には、アクセス・タイプ「仮想クラウド・ネットワーク」が表示されます。
    • 可用性ドメイン: Autonomous Databaseインスタンスの可用性ドメインを指定します。
    • 仮想クラウド・ネットワーク: これには、プライベート・エンドポイントに関連付けられたVCNのリンクが含まれます。
    • サブネット: これには、プライベート・エンドポイントに関連付けられたサブネットのリンクが含まれます。
    • プライベート・エンドポイントIP: プライベート・エンドポイント構成のプライベート・エンドポイントIPが表示されます。
    • プライベート・エンドポイントURL: プライベート・エンド・ポイント構成のプライベート・エンドポイントURLが表示されます。
    • ネットワーク・セキュリティ・サービス・グループ: このフィールドには、プライベート・エンドポイントを使用して構成されたNSJへのリンクが含まれます。
    • パブリック・アクセス: このフィールドは、プライベート・エンドポイントに対してパブリック・アクセスが有効かどうかを示します。Editリンクをクリックして、許可されたACLまたはVCNsを表示または変更します。
    • パブリック・エンドポイントURL: これは、プライベート・エンドポイントで「パブリック・アクセスの許可」が有効になっている場合に表示されます。これは、パブリック・インターネット上の許可されたIPまたはVCNsから接続するために使用できるパブリック・エンドポイントURLです。

    Oracle Cloud Infrastructure Consoleのネットワーク情報の詳細は、OCIコンソールでのネットワーク情報の表示を参照してください。

  • プロビジョニングまたはクローニングが完了したら、パブリック・エンドポイントを使用するようにAutonomous Database構成を変更できます。

    パブリック・エンドポイントへの変更の詳細は、Autonomous Databaseでのプライベート・エンドポイントからパブリック・エンドポイントへの変更を参照してください。

  • 最大5つのNSGを指定して、Autonomous Databaseへのアクセスを制御できます。

  • Autonomous Databaseのプライベート・エンドポイントのネットワーク・セキュリティ・グループ(NSG)を変更できます。

    プライベート・エンドポイントのNSGを変更するには、次を実行します:

    1. 「Autonomous Databases」ページで、「表示名」列の下のリンクからAutonomous Databaseを選択します。

    2. Autonomous Databaseの詳細ページの「ネットワーク」の下にある「ネットワーク・セキュリティ・グループ」フィールドで、「編集」をクリックします。

  • オンプレミス・データベースに対して行うように、データ・ゲートウェイを使用して、プライベート・エンドポイントを持つAutonomous DatabaseにOracle Analytics Cloudインスタンスを接続できます。詳細は、Data Visualization用のデータ・ゲートウェイの構成および登録を参照してください。

  • プライベート・エンドポイントを使用して構成されたデータベースでは、次のAutonomous Databaseツールがサポートされています:

    • データベース・アクション
    • Oracle APEX
    • Oracle Graph Studio
    • Oracle Machine Learningノートブック
    • Oracle REST Data Services
    • Oracle Database API for MongoDB

    これらのAutonomous Databaseツールにオンプレミス環境からアクセスするには、追加の構成が必要です。詳細は、例: データ・センターからAutonomous Databaseへの接続を参照してください。

    追加のプライベート・エンド・ポイント構成を完了せずに、オンプレミス環境からプライベート・エンドポイントを使用してOracle APEX、データベース・アクション、Oracle Graph StudioまたはOracle REST Data Servicesにアクセスすると、エラーが表示されます: 

    404 Not Found

  • プライベート・エンドポイントを使用するようにネットワーク・アクセスを更新した後、データベース・ツール用のURLは、パブリック・エンドポイントを使用する場合とは異なります。更新されたURLは、パブリック・エンドポイントからプライベート・エンドポイントに変更した後、コンソールで確認できます。

  • Autonomous Databaseで事前構成されたデフォルトのOracle REST Data Services (ORDS)に加えて、より多くの構成オプションを提供し、プライベート・エンドポイントで使用できる、代替ORDSデプロイメントを構成できます。プライベート・エンドポイントで使用できる代替ORDSデプロイメントについて学習するには、Autonomous Databaseでの顧客管理対象Oracle REST Data Servicesについてを参照してください。

  • 「プライベートIPアドレス」フィールドに値を入力したときにIPアドレスが自動的に割り当てられるかどうかにかかわらず、インスタンスをプロビジョニングまたはクローニングした後は、プライベートIPアドレスの変更は許可されません。

Autonomous Databaseでのプライベート・エンドポイント構成の例

Autonomous Databaseのプライベート・エンドポイント(VCN)構成のサンプルをいくつか示します。

親トピック: プライベート・エンドポイントを使用したネットワーク・アクセスの構成

例: Oracle Cloud Infrastructure VCN内からの接続

Oracle Cloud Infrastructure内で、Autonomous Databaseに対して構成されているのと同じVCNの仮想マシン(VM)で実行されているアプリケーションを示します。

adb_private_endpoint1.pngの説明が続きます
図adb_private_endpoint1.pngの説明

"Your VCN"という名前のVCNにプライベート・エンドポイントを持つAutonomous Databaseインスタンスがあります。このVCNには、"SUBNET B" (CIDR 10.0.1.0/24)と"SUBNET A" (CIDR 10.0.2.0/24)の2つのサブネットが含まれています。

Autonomous Databaseインスタンスに関連付けられたネットワーク・セキュリティ・グループ(NSG)は、"NSG 1 - Security Rules"として表示されています。このネットワーク・セキュリティ・グループは、Autonomous Databaseインスタンスとの間の送受信トラフィックを許可するセキュリティ・ルールを定義するものです。Autonomous Databaseインスタンスのルールを次のように定義します:

  • 相互TLS認証の場合は、ソースからAutonomous Databaseインスタンスへの接続を許可するためのステートフル・イングレス・ルールを追加します。ソースはデータベースへの接続を許可するアドレス範囲に設定され、IPプロトコルはTCPに設定され、宛先ポート範囲は1522に設定されます。

  • TLS認証の場合は、ソースからAutonomous Databaseインスタンスへの接続を許可するためのステートフル・イングレス・ルールを追加します。ソースはデータベースへの接続を許可するにはアドレス範囲、IPプロトコルはTCPに設定し、宛先ポート範囲は1523に設定されます。

  • Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。

次の図は、Autonomous Databaseインスタンスのトラフィックを制御するサンプルのステートフル・セキュリティ・ルールを示しています:

adb_private_vcn_nsg_stateful1.pngの説明が続きます
図adb_private_vcn_nsg_stateful1.pngの説明

Autonomous Databaseに接続するアプリケーションは、SUBNET BのVMで実行されています。VMとの間のトラフィックを許可するセキュリティ・ルールも追加します(図に示すように、"NSG 2 Security Rules"というラベルが付いています)。VMにはステートフル・セキュリティ・ルールを使用できるため、NSG 2 Security Rulesにエグレスのルールを追加するだけです(これにより、宛先サブネットAへのアクセスが許可されます)。

次の図は、VMのトラフィックを制御するサンプルのセキュリティ・ルールを示しています:

adb_private_vcn_rules2.pngの説明が続きます
図adb_private_vcn_rules2.pngの説明

セキュリティ・ルールを構成すると、アプリケーションはクライアント資格証明ウォレットを使用してAutonomous Databaseインスタンスに接続できます。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。

ネットワーク・セキュリティ・グループの構成の詳細は、ネットワーク・セキュリティ・グループを参照してください。

例: データ・センターからAutonomous Databaseへの接続

オンプレミス・データ・センターからAutonomous Databaseにプライベートに接続する方法を示します。このシナリオでは、トラフィックはパブリック・インターネットを経由しません。

adb_private_endpoint2.pngの説明が続きます
図adb_private_endpoint2.pngの説明

データ・センターから接続するには、オンプレミス・ネットワークをFastConnectでVCNに接続し、動的ルーティング・ゲートウェイ(DRG)を設定します。Autonomous Databaseのプライベート・エンドポイントを解決するには、完全修飾ドメイン名(FQDN)のエントリをオンプレミス・クライアントのhostsファイルに追加する必要があります。たとえば、Linuxマシンの場合は/etc/hostsファイルです。たとえば: 

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloud.com

Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、同じIPを持つ別のエントリを追加します。たとえば: 

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloudapps.com

プライベート・エンドポイントのIPとFQDNは次のようになります:

  • プライベートIPは、インスタンスのOracle Cloud InfrastructureコンソールのAutonomous Database詳細ページに表示されます。

  • FQDNは、Autonomous Databaseクライアント資格証明ウォレットのtnsnames.oraファイルに表示されます。

または、Oracle Cloud InfrastructureプライベートDNSを使用してDNS名解決を提供することもできます。詳細は、プライベートDNSを参照してください。

この例では、オンプレミス・データ・センターと"Your VCN"の間に動的ルーティング・ゲートウェイ(DRG)があります。このVCNにはAutonomous Databaseが含まれています。また、DRGを経由するCIDR 172.16.0.0/16への送信トラフィック用に、Autonomous Databaseに関連付けられたVCNのルート表も表示されています。

DRGの設定に加えて、データ・センターのCIDR範囲(172.16.0.0/16)のルールを追加することで、Autonomous Databaseとの間のトラフィックを許可するネットワーク・セキュリティ・グループ(NSG)ルールを定義します。この例では、"NSG 1"のセキュリティ・ルールを次のように定義します:

  • 相互TLS認証の場合は、データ・センターからのイングレス・トラフィックを許可するステートフル・ルールを作成します。これは、ソースがデータベースへの接続を許可するアドレス範囲に設定され、プロトコルがTCPに設定され、ソース・ポート範囲がCIDR範囲(172.16.0.0/16)に設定され、宛先ポートが1522に設定されている、ステートフル・イングレス・ルールです。

  • TLS認証の場合は、データ・センターからのイングレス・トラフィックを許可するステートフル・ルールを作成します。これはステートフル・イングレス・ルールで、ソースをデータベースへの接続を許可するアドレス範囲に設定し、プロトコルをTCPに設定し、ソース・ポート範囲はCIDR範囲(172.16.0.0/16)に設定し、宛先ポートを1521または1522に設定しています。

  • Oracle APEX、データベース・アクションおよびOracle REST Data Servicesを使用するには、NSGルールにポート443を追加します。

次の図は、Autonomous Databaseインスタンスのトラフィックを制御するセキュリティ・ルールを示しています:

adb_private_vcn_nsg_stateful2.pngの説明が続きます
図adb_private_vcn_nsg_stateful2.pngの説明

セキュリティ・ルールを構成すると、オンプレミス・データベース・アプリケーションは、クライアント資格証明ウォレットを使用してAutonomous Databaseインスタンスに接続できます。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。