クラウドを「知ろう」「使おう」
クラウドを「知ろう」「使おう」

目次

  1. 共有ネットワークとは
  2. 共有ネットワークで設定できること
  3. わかりやすく解説します
  4. 慣れれば簡単!まずは設定してみること

こんにちは、Tanoです。

 

今回は、Oracle Cloud Infrastructure Classic(OCI-C)でのネットワーク設定についてご紹介します。ネットワーク設定をすることにより、作成したCompute Classicインスタンス(以下、インスタンス)に対して特定のアクセスのみ許可、または拒否するなど、制限をかけることができます。つまり、適切なネットワーク設定をすることで、セキュリティを高めることができるのです。

 

インスタンスへのネットワーク・アクセスを構成するには、共有ネットワークとIPネットワークの設定が必要です。今回は、共有ネットワークについてご紹介します。

なお、次回以降でIPネットワークについてもお伝えしますので、ご期待ください。

 

 

 

 

 

共有ネットワークとは

共有ネットワークとは、Oracle Cloudのサイト全体で共有されているプライベート・ネットワークのことです。インスタンスを作成・起動すると、サイト内で共有されているプライベートIPアドレスの中から、自動でインスタンスにプライベートIPアドレスが割り振られる仕組みとなっています。プライベートIPアドレスは、インスタンスを起動している時は割り当てられたままですが、停止・削除すると、保持されず、再びサイト全体に共有されます。

 

なお、Oracle CloudのCompute Classicの操作画面では、以下のようにプライベートIPアドレスが表示されています。

 

 

 

共有ネットワークで設定できること

共有ネットワークでは、以下の項目を設定することにより、ネットワーク・アクセスの制御をすることができます。少し量が多く感じるかもしれませんが、一度イメージができてしまえばそれほど難しくはありません。

 

 

 

わかりやすく解説します

表だけの説明ではなかなかイメージできないと思いますので、もう少し噛み砕いて説明します。

まず、次の図で、各設定項目の関係性を確認してイメージを膨らませましょう。

 

ポイントは、「どこから(ソース)」「どこへ(宛先)」「どんなプロトコル」の送信を許可するのかを意識することです。これだけで、ぐっとイメージしやすくなります。

 

 

次に、それぞれの設定項目について説明します。

 

 

 

セキュリティ・リスト

インスタンスをグルーピングするために使用するのがセキュリティ・リストです。

セキュリティ・リストでグルーピングされたインスタンス間は、無制限に通信することができます。

セキュリティ・ルールで、「どこから(ソース)」または「どこへ(宛先)」を指定する際にセキュリティ・リストを使用します。

 

 

なお、セキュリティ・リスト内のインスタンスは、デフォルトではセキュリティ・リスト外のインスタンスとは通信することができないため注意が必要です(※)。

※セキュリティ・ルールを追加することにより、セキュリティ・リスト外のインスタンスと通信することができます。

 

また、セキュリティ・リストを作成する際には、「インバウンド・ポリシー」「アウトバウンド・ポリシー」を指定します。

「インバウンド・ポリシー」はセキュリティ・ポリシー内部への通信を許可するかどうか、「アウトバウンド・ポリシー」はセキュリティ・ポリシー外部への通信を許可するかどうかの設定です。

 

私は、よく混乱するので、「イン(中)にバウンドする」=内部への通信、「アウト(外)にバウンドする」=外部への通信、と考えるようにしています。ご参考までに。

 

 

 

 

 

 

まとめ:セキュリティ・リストとは

  • インスタンスをグルーピングするために使用
  • セキュリティ・リスト内のインスタンス間は無制限の通信が可能
  • セキュリティ・リスト内のインスタンスは、デフォルトでは、セキュリティ・リスト外のインスタンスと通信ができない

 

セキュリティ・アプリケーション

通信を行う際に、「どんなプロトコルを使用するか」を定義するのがセキュリティ・アプリケーションです。具体的には、使用したいプロトコルとポートを指定します。

セキュリティ・アプリケーションだけでは機能しないので、注意してください。セキュリティ・ルールでセキュリティ・アプリケーションの設定をすることで機能します。

 

 

上図の例では、ICMPプロトコルを使用するためのセキュリティ・アプリケーションを使用しています(※)。セキュリティ・アプリケーションはOracle Cloudで事前に定義されているものもありますが、自分で作成することもできます。

 

なお、1つのセキュリティ・アプリケーションには、原則として1つのプロトコルとポートを定義することができますが、事前定義されている「all」に関しては、すべてのプロトコルに対する通信を許可する設定となります。

 

※ICMPプロトコルを制御するためのセキュリティ・アプリケーションは事前定義されていないため、自分で作成する必要があります。

 

 

まとめ:セキュリティ・アプリケーションとは

  • プロトコルとポートを定義するために使用
  • セキュリティ・アプリケーションは、セキュリティ・ルールで使用されることで機能する
  • 事前定義されている「all」は、すべてのプロトコルを使用した通信を許可する

 

 

セキュリティIPリスト

セキュリティIPリストは、Compute Classicの外部にあるホストからインスタンスへの通信を許可するために定義します。作成した定義は、セキュリティ・ルールで「どこから(ソース)」または「どこへ(宛先)」を指定する際に使用します。

 

 

なお、Oracle Cloudで事前に定義されている「public-internet」を使用することで、すべての外部ホストからの通信を許可することができます。

 

 

まとめ:セキュリティIPリストとは

  • 外部にあるホストからインスタンスへの通信を許可するためのリスト
  • 作成した定義は、セキュリティ・ルールで使用
  • 事前定義済の「public-internet」を使用することで、すべての外部ホストからの通信を許可できる

 

 

セキュリティ・ルール

通信するかどうかを判断し、許可または拒否の決定をする、ファイアウォールの役割を担うのがセキュリティ・ルールです。セキュリティ・ルールでは、「ソース(どこから)」「宛先(どこに)」「どんなプロトコル」といった情報を使用し、通信の制御を行います。

 

セキュリティ・ルールを作成するにあたり、前提条件があります。

ただし、これまでの流れを押さえていれば、問題ないはずです。

 

【前提条件】

  • 指定するセキュリティ・アプリケーション
  • ソース(どこから)で指定するセキュリティ・リストまたはセキュリティIPリスト
  • 宛先(どこへ)で指定するセキュリティ・リストまたはセキュリティIPリスト

 

以下の図では、3つのセキュリティ・ルールを使用して通信を行っています。

 

 

上図の「セキュリティ・ルール a」では、ソース(どこから)に「セキュリティIPリスト C」、宛先(どこへ)に「セキュリティ・リスト A」、セキュリティ・アプリケーション(どんなプロトコル)には「https」を設定していることがわかります。

 

この設定により、「セキュリティIPリスト C」に設定されているホストが、「セキュリティ・リスト A」に「https」プロトコルを使用して通信をすることができます。

 

セキュリティを高めるためにも、適切なセキュリティ・ルールを設定して最低限必要な通信のみを行えるようにしましょう。

 

 

まとめ:セキュリティ・ルールとは

  • 通信をするかどうかを判断する、ファイアウォールの役割
  • 「ソース(どこから)」「宛先(どこに)」「どんなプロトコル」の情報を使用し、通信の制御を行う
  • 最低限必要な通信のみ行えるよう、適切なセキュリティ・ルールを設定する

 

 

慣れれば簡単!まずは設定してみること

いかがでしたか?各設定項目の関係性はイメージできたでしょうか。

共有ネットワーク設定は慣れるまでは少し大変かもしれませんが、各設定項目の関係性を理解することができれば、あとはOracle Cloudの操作画面から簡単に設定することができます。

 

それでは、今回はここまでとさせていただきます。ありがとうございました。