クラウドを「知ろう」「使おう」
クラウドを「知ろう」「使おう」

目次

  1. IPネットワークとは
  2. IPネットワークで設定できること
  3. わかりやすく解説します
  4. 共有ネットワークと比較して覚えよう

こんにちは、Tanoです。

 

今回は前回に引き続き、Oracle Cloud Infrastructure Classic(OCI-C)でのネットワーク設定についてです。前回は、共有ネットワーク設定の概要についてご紹介しましたので、今回はIPネットワークの設定についてご紹介します。

 

 

IPネットワークとは

IPネットワークとは、Oracle Cloudのサイト内で任意で作成することができるプライベート・ネットワークのことです。共有ネットワークとの大きな違いは、自分自身で自由にプライベート・ネットワークを設定できる点です。

 

前回のおさらいとなりますが、共有ネットワークではインスタンスを作成・起動すると、サイト内で共有されているプライベートIPアドレスの中から、自動でインスタンスにプライベートIPアドレスが割り振られる仕組みとなっていました。ちなみに、プライベートIPアドレスは、インスタンスを起動している時は割り当てられたままですが、停止・削除すると、保持されず、再びサイト全体に返還されます。

 

 

一方、IPネットワークでは、ユーザが任意のプライベートIPアドレスを設定することができます。もちろん、共有されているIPアドレスではないため返還する必要もなく、インスタンスの再起動後でもプライベートIPアドレスは変更されません。

さらに、vNIC単位でセキュリティ・ルールを定義できるため、共有ネットワークと比較して、より柔軟なセキュリティ設定をすることができます。

 

 

IPネットワークで設定できること

それでは、IPネットワークの機能について、確認していきましょう。

IPネットワークは、以下の「ネットワーク」画面で設定することができます。

 

 

基本的な設定項目は以下の通りです。

設定をすることで、プライベート・ネットワークの作成やアクセス制御など、柔軟な定義をすることができます。

 

 

 

わかりやすく解説します

表の説明だけではなかなかイメージできないと思いますので、噛み砕いて説明します。

次の図で、各設定項目の関係性を確認してイメージを膨らませましょう。

 

ポイントとして、「どこから(ソース)」「どこへ(宛先)」「どんなプロトコル」の送信を許可するのかを意識するとイメージしやすくなります。

 

 

次に、それぞれの設定項目について説明します。

 

 

IPネットワーク

IPネットワークは、ユーザ自身が作成することができるネットワーク(サブネット)です。IPネットワークのアドレス範囲は、CIDR形式(/24など)で決めることができます。作成したIPネットワークに属しており、指定したアドレス範囲内であれば、静的、もしくは動的にIPアドレスを付与することができます。

また、インスタンスは複数のIPネットワークに属することができます。

 

 

なお、IPネットワークの作成はいつでも行うことができますが、インスタンスをIPネットワークへ参加させる場合は、インスタンス作成時のみ参加させることができるため、ご注意ください。

 

 

まとめ:IPネットワークとは

  • ユーザが作成できるサブネット。
  • 静的、または動的にIPアドレスをインスタンスに付与することが可能。
  • インスタンスがIPネットワークに参加できるのは、インスタンス作成時のみ。

 

 

IPネットワーク交換

異なるIPネットワーク間の通信を可能にするのが、IPネットワーク交換です。IPネットワーク交換を作成後、通信する各IPネットワークに対して、作成したIPネットワーク交換を付与することで実装することができます。

 

 

なお、異なるIPネットワーク間の通信を許可するかどうかについては、後述するセキュリティ・ルールとvNICセットに適用されたACLに依存します。

 

 

まとめ:IPネットワーク交換とは

  • 異なるIPネットワーク間の通信を可能にする機能。
  • IPネットワーク間の通信の制御は、セキュリティ・ルールとACLに依存する。

 

 

仮想NICセット(vNICセット)

仮想NICセットとは、仮想NICをまとめる機能のことです。後述するセキュリティ・ルールの送信元(どこから)、または宛先(どこへ)に仮想NICセットを指定することで、仮想NICセットに対する通信を制御することができます。IPネットワークにインスタンスが参加した場合、1IPネットワークにつき、1仮想NICがインスタンス付与されます。2IPネットワークにインスタンスが参加した場合は、2仮想NICが付与されます。

 

 

余談ですが、NICはNetwork Interface Cardの略であり、LANケーブルの挿しこみ口が付いているカードのことです。仮想NICは、あくまで「仮想」であるため、論理的には複数の仮想NICを追加することができます。

 

 

まとめ:仮想NICセット(vNICセット)とは

  • 仮想NICをまとめる機能。
  • セキュリティ・ルールの送信元または宛先で指定することが可能。
  • インスタンスがIPネットワークに参加した場合、1IPネットワークに対して、1仮想NICが付与される。

 

 

 

 

アクセス制御リスト(ACL)

1つ以上のセキュリティ・ルールをまとめる機能がアクセス制御リスト(ACL)です。セキュリティ・ルールで定義された内容に基づいて、どの仮想NICを送信元・宛先にするかを決定します。

アクセス制御リストは、セキュリティ・ルール作成時に指定し、作成後、指定された仮想NICセットに参照されます。

 

 

アクセス制御リストには複数のセキュリティ・ルールを含めることができるため、仮想NICセットにアクセス制御リストを設定した場合、アクセス制御リストに含まれているすべてのセキュリティ・ルールが適用されます。

 

なお、上記の図の通りにvNICセット間に対してセキュリティ・ルールを定義することで送信元・宛先を決めることは可能ですが、実際に疎通を行う際には、前提としてIPネットワーク間のルーティング設定等を行い、疎通ができるかを確認しておく必要があります。

 

 

まとめ:アクセス制御リスト(ACL)とは

  • セキュリティ・ルールをまとめる機能。
  • セキュリティ・ルール作成時に指定し、指定された仮想NICに参照される。

 

 

セキュリティ・プロトコル

セキュリティ・ルールで制御する対象のプロトコルを指定する機能がセキュリティ・プロトコルです。作成時に、プロトコルと指定したプロトコルのポートを指定します。

 

 

例えば、上図のようにhttpsプロトコルの通信を許可したい場合、セキュリティ・プロトコルでは、プロトコルに「TCP」、ポートに「443」を指定します。(httpsプロトコルに対してポートマッピングを行なっていない、デフォルトのポート番号の場合)

 

 

まとめ:セキュリティ・プロトコルとは

  • 制御する対象のプロトコルを指定する機能。
  • セキュリティ・プロトコル作成時には、プロトコルとポート番号を指定する。

 

 

IPアドレス接頭辞セット

特定のIPアドレス接頭辞のセットを定義する機能がIPアドレス接頭辞セットです。共有ネットワークの「セキュリティ・IPリスト」と基本的な考え方は同じです。以下の図では、外部ネットワークからOracle Cloudへの疎通を行うために、2つのグローバルIPネットワークをIPアドレス接頭辞セットで定義しています。

 

 

なお、上図では外部ネットワークのIPネットワークをIPアドレス接頭辞セットで定義していますが、Oracle Cloud内の特定のIPネットワークを定義することも可能です。

 

 

まとめ:IPアドレス接頭辞セットとは

  • 特定のIPアドレス接頭辞をまとめる機能。
  • 主にグローバルIPネットワークからの疎通を行う際に使用する。
  • プライベートIPネットワークをまとめることも可能。

 

 

セキュリティ・ルール

通信するかどうかを判断し、許可または拒否の決定をする、ファイアウォールの役割を担うのがセキュリティ・ルールです。基本的には共有ネットワークのセキュリティ・ルールと考え方は同じです。IPネットワークのセキュリティ・ルールでは、「ソース(どこから)」「宛先(どこに)」「どんなプロトコル」の情報を使用して通信の制御を行い、作成したセキュリティ・ルールはアクセス制御リスト(ACL)にまとめられます。

 

セキュリティ・ルールを作成するために、前提条件があります。

共有ネットワークの項目とは、名前が異なるだけで概念に大きな違いはありません。

 

【前提条件】

  • 作成したセキュリティ・ルールをまとめるアクセス制御リスト(ACL)
  • 指定するセキュリティ・プロトコル
  • ソース(どこから)で指定する仮想NICセットまたはIPアドレス接頭辞セット
  • 宛先(どこへ)で指定する仮想NICセットまたはIPアドレス接頭辞セット

 

以下の図では、セキュリティ・ルール「a」を使用して通信を行っています。

 

 

上図の「セキュリティ・ルール a」では、ソース(どこから)に「vNICセット A」、宛先(どこへ)に「vNICセット B」、セキュリティ・アプリケーション(どんなプロトコル)には「https」を設定していることがわかります。

 

なお、共有ネットワークと同様に、セキュリティを高めるためにも、適切なセキュリティ・ルールを設定して最低限必要な通信のみを行ってください。

 

 

まとめ:セキュリティ・ルールとは

  • 通信をするかどうかを判断する、ファイアウォールの役割
  • 「ソース(どこから)」「宛先(どこに)」「どんなプロトコル」の情報を使用し、通信の制御を行う。
  • 作成したセキュリティ・ルールはアクセス制御リスト(ACL)にまとめられる。
  • 最低限必要のみ行えるよう、適切なセキュリティ・ルールを設定する。

 

 

共有ネットワークと比較して覚えよう

仕組みをイメージすることはできたでしょうか?

IPネットワーク設定は、共有ネットワーク設定と比較して項目数も多く、少し難しく感じるかもしれません。しかし、基本的な概念は共有ネットワークとほとんど変わらないため、まずは慣れるまで共有ネットワークと比較しながら設定してみると良いかもしれません。ぜひ、Oracle Cloudの操作画面から設定をしてみてください。

 

それでは、今回はここまでとさせていただきます。ありがとうございました。