Virtual Cloud Networkに関するよくある質問

 

一般的な質問

仮想クラウド・ネットワーク(VCN)とは何ですか?

VCNとは、Oracle Cloud Infrastructureにあるカスタマイズ可能なプライベート・ネットワークのことです。VCNでは、従来のデータセンター・ネットワークと同様に、ネットワーク環境を完全に制御できます。これには、独自のプライベートIPアドレススペースの割り当て、サブネットの作成、ルート・テーブルの作成、ステートフル・ファイアウォールの構成などが含まれます。1つのテナンシ(Oracle Cloud Infrastructureアカウント)に複数のVCNを含めることができるため、関連リソースのグループ化と分離が可能です。たとえば、複数のVCNを使用して、組織の各部門のリソースを分離できます。

VCNのコア・コンポーネントは何ですか?

コンポーネントの完全なリストについては、ネットワーキングの概要を参照してください。

VCNの使用を開始するにはどうすればよいですか?

Oracle Cloud InfrastructureのVCN内でインスタンスを起動する方法については、開始のためのガイドで簡単なチュートリアルを提供しています。

次のトピックもご覧ください。

VCN内で使用できるIPアドレスは何ですか?

VCNを作成するときに、任意の連続したIPv4 CIDRブロックを割り当てます。/16(65,533 IPアドレス)から/30(1 IPアドレス)までの範囲のVCNサイズを使用することができます。例:10.0.0.0/16、192.168.0.0/24

RFC1918によって指定されたプライベート・アドレス範囲からCIDRブロックを使用することをお勧めします。RFC1918以外のCIDRブロックを使用する場合、引き続きプライベートIPアドレス範囲として扱われ、オラクルのインターネット・ゲートウェイ経由ではインターネットからルーティングできなくなることに注意してください。

サブネットを作成するには、VCNのアドレス範囲を連続したIPv4 CIDRブロックにさらに分割します。サブネットのCIDRブロックは、VCNのCIDRブロックに含まれている必要があります。インスタンスをサブネットに起動すると、サブネットのCIDRブロックからインスタンスのプライベートIPアドレスが割り当てられます。

サブネットをプライベートとしてマークできますか?

はい。サブネットを作成するときに、アクセス・タイプをプライベートまたはパブリックのいずれかに指定できます。デフォルトでは、サブネットはパブリック・アクセスで作成されます。この場合、サブネット内のインスタンスには、パブリックIPアドレスを割り当てることができます。プライベート・アクセスを持つサブネットで起動されたインスタンスに、パブリックIPアドレスを付けることはできません。これにより、これらのインスタンスが直接インターネットにアクセスできないようにしています。

VCNは複数の可用性ドメインにまたがることはできますか?

はい。

サブネットは複数の可用性ドメインや複数のVCNにまたがることができますか?

サブネットは、複数の可用性ドメインにまたがることはできますが、複数のVCNにまたがることはできません。リージョン・サブネットを作成する場合、サブネットのリソースはリージョン内の任意の可用性ドメイン(AD)に格納できます。ただし、AD固有のサブネットを作成する場合、サブネットのリソースはサブネットの特定の可用性ドメインに格納する必要があります。

IPアドレスが重複するVCNを作成できますか?

はい。ただし、VCNをオンプレミスのネットワークまたは別のVCNに接続するつもりである場合は、IPアドレスの範囲が重複しないようにすることをお勧めします。

VCN、サブネット、その他のネットワーク・リソースはいくつ作成できますか?

すべてのサービスについて現時点での制限と、サービス制限の引き上げをリクエストする方法については、サービス制限に関するヘルプ・ドキュメントを参照してください。

サブネットは、作成した後に変更できますか?

はい。サブネットの名前を変更し、関連付けられているルート・テーブル、セキュリティ・リスト、およびDHCPオプションのセットを変更できます。ただし、サブネットのCIDRブロックは変更できません。

Dynamic Routing Gateway(DRG)

新しいDRGの機能が使用できるのはどのレルムですか?

新しい機能は、商用レルムで使用できます。今後はその他のレルムでも使用できるようになる予定です。

新しいDRGの機能はどのリージョンで使用できますか?

新しい機能はOracle Cloud Infrastructure(OCI)のすべての市販リージョンで使用できます。

新しい機能は既存のDRG(2021年4月15日より前に作成)で使用できますか?

はい。ただし、ドキュメントで指定された更新処理を使用してDRGを更新する必要があります。

相互に通信できる仮想クラウド・ネットワーク(VCN)を制御するには、どうすればよいですか?

DRGアタッチメント間の通信(VCNを含む)は、ルート表や関連するインポート・ポリシーによって制御されます。デフォルトのVCNアタッチメント・ルート表でアタッチされたVCNをすべて有効にすると、相互に通信できます。関連するインポート・ポリシーを変更すると、ここに表示されているようにVCNを分離できます。

VCNを別のテナンシから自分のDRGにアタッチできますか?

はい。ただし、特定のIAMポリシーを設定する必要があります。

DRGのデフォルトのルーティング構成は何ですか?

DRGでは、接続ネットワーク間の動的および静的ルーティングをサポートしています。DRGには2つのデフォルト・ルート表があります。1つはFastConnect、IPsec VPN、およびRPCのピアリング接続アタッチメント用、もう1つはVCNアタッチメント用です。また、ルート表を追加してアタッチメント間のトラフィック・フローをより詳細に制御することも可能です。ルートでは、パケットの宛先IPアドレスに応じて次のホップ・アタッチメントが決まります。

DRGではルートの競合をどのように解決しますか?

静的ルートが動的ルートよりも優先されます。同じクラスレス・ドメイン間ルーティング(CIDR)に対して複数の静的ルートを作成することはできません。動的ルートの競合は、次のように解決されます。

  • VCNアタッチメントに向かうルートの場合: 同一のCIDRが2つのVCNアタッチメントからインポートされた場合、ルート設定が決定的かつ一環した方法で行われ、転送先が決まります。この優先順位は、お客様では制御できません。
  • FastConnectの仮想回線またはIPsec VPNに向かうルートの場合:同一のCIDRでパスの長さも同じ複数のルートがDRGルート表にインポートされ、等コスト・マルチパス(ECMP)ルーティングが無効になっている場合、最も小さいネクストホップIPアドレスのルートが選択されます。ECMPが有効な場合は両方のルートが使用され、CIDRに向かうトラフィックがECMPルーティングされます。CIDRは同一にもかかわらずパスの長さが異なるルートの場合は、パスが最も短いルートのみが使用されます。
  • RPC/ピアリング・アタッチメントに向かうルートの場合:同一のCIDRが2つのRPC/ピアリング・アタッチメントからインポートされる場合は、パスが最も短いルートが使用されます。2つのルートのパスの長さが同じ場合は、ネットワークの距離が最短のルートが選択されます。ネットワークの距離は、ルートが経由するDRGの数を参考にします。2つのルートのネットワークの距離が同じ場合は、静的、VCN、VC、IPSecの順で選択していきます。それでも競合が発生する場合は、内部ネットワークで最も効率的なパスを経由してトラフィックをルーティングします。

ルートはどのようにDRGへ伝播されますか?

ルートのインポートおよびエクスポート方法は、ルート表をベースに関連するインポートおよびエクスポート・ポリシーを修正して指定できます。ルートは次のように伝播されます。

  • オンプレミス・ネットワーク間で伝播されるルート:IPsec VPNまたはFastConnect仮想回線をDRGに接続する場合、ルートはBorder Gateway Protocol(BGP)を使用してDRGとオンプレミス・ルーター間で伝播されます。IPsec VPNでも静的ルーティングをサポートしていますが、冗長性に対して最適な自動フェイルオーバーを確保するためのベストプラクティスは、BGPを使用することです。
  • VCNから伝播されるルート:VCNをDRGにアタッチする場合、そのアタッチメントのルート表が自動的に更新され、VCN内のすべてのサブネットとVCNアタッチメントに関連するVCNイングレス・ルート表内のすべてのCIDRにルートが追加されます。
  • VCNに伝播されるルート:DRGルートは、お使いのVCNに自動的に伝播されることはありません。オンプレミス・ネットワークまたはその他のOCI VCNに向かうトラフィックについては、お使いのVCNルート表に静的ルート表を作成する必要があります。これらのルート表は、VCNの構成の一部として管理されます。

OCI VCNと同一のサブネットCIDRを同じDRGに接続することはできますか?

重複するCIDRを持つOCI VCNは同じDRGに接続できます。競合するサブネットCIDRの次のホップとなるVCNアタッチメントを決定するため、DRGのルート表で決定的かつ一環した転送先を作成します。この優先順位は、お客様では制御できません。この動作の制御は複雑であるため、CIDRの重複は推奨されません。

単一のFastConnect仮想回線を使用して、自分のオンプレミス・ネットワークをリージョンに関係なくすべてのOCI VCNに接続できますか?

はい。DRGでは、1つのリージョンのFastConnectを使用して別のリージョンのVCNにあるリソースと通信できるようになりました。

パフォーマンスと制約:DRGのデフォルトの制限や割当て制限とは何ですか?

制限および割当て制限の詳細については、オラクルのドキュメントをご確認ください。
これらの制限を超過する場合は、サポート・ケースを作成してください。

機能の相互運用性:DRGはIPv6をサポートしていますか?

はい。DRGではVCNとIPv6 CIDRの接続をサポートしています。

DRGの機能拡張は必要なく、そのまま継続使用したい場合はどうすればいいですか?

DRGのデフォルトの動作は変わりません。新機能は、明示的に有効化する必要があります。

DRGに関連付けられたデフォルトのルート表は、どのような内容ですか?

DRGには2つのデフォルト・ルート表があります。1つはFastConnect、IPsec VPN、およびRPCのピアリング接続アタッチメント用、もう1つはVCNアタッチメント用です。この2つのデフォルト・ルート表は、既存のDRG動作を実装しています。

同じリージョン内のVCN間で通信を有効にする場合、ローカル・ピアリング・ゲートウェイまたはDRGを使用する必要がありますか?

各VCNに最大10個のローカル・ピアリング・ゲートウェイとDRGを1つ含めることができます。1つのDRGで最大300個のVCNアタッチメントをサポートできます。VCNを多数ピアリングする必要がある場合は、DRGを使用することをお勧めします。また、同じリージョン内の2つのVCN間のトラフィックに対し極端に高い帯域幅や低いレイテンシを必要とする場合は、「ローカル・ピアリング・ゲートウェイを使用したローカルVCNピアリング」で説明されているシナリオを使用してください。同じリージョン内の2つのVCNをDRG経由でピアリングすると、ルーティングがより柔軟になりますが、高レイテンシおよび低帯域幅となる可能性があります。

ECMP(等コスト・マルチパス・ルーティング)パスでサポートされる最大数はいくつですか?

現在は、8つに制限されています

新しい機能を使用できるようにDRGをアップグレードするにはどうすればよいですか。

ここで、「DRGのアップグレード」セクションを参照してください。

仮想ネットワーク・インターフェイス・カード(VNIC)

仮想ネットワーク・インターフェイス・カード(VNIC)とは何ですか?

Oracle Cloud Infrastructureデータセンターのサーバーには、物理ネットワーク・インターフェイス・カード(NIC)があります。これらのサーバーの1つでインスタンスを起動すると、インスタンスはその物理NICに関連付けられたネットワーク・サービスの仮想NIC(VNIC)を使用して通信します。VNICを使用することで、コンピュート・インスタンスをVCNに接続し、インスタンスがVCNの内外のエンド・ポイントと通信する方法を決定できます。

各VNICはサブネットに存在し、次の構成があります。

  • VNICが含まれるサブネットからの1つの プライマリ・プライベートIPv4アドレス(お客様またはオラクルによる割り当て)
  • VNICが含まれるサブネットからの最大31個のセカンダリ・プライベートIPv4アドレス(お客様またはオラクルによる割り当て)
  • 各プライベートIPアドレスに割り当てられる、オプションのパブリックIPv4アドレス
  • 各プライベートIPアドレスのDNSに割り当てられる、オプションのホスト名(仮想クラウド・ネットワークのDNSを参照)
  • MACアドレス
  • オラクルによって割り当てられ、インスタンスへのVNICのアタッチが完了したときに使用可能になるVLANタグ(ベアメタル・インスタンスの場合のみ)

詳細については、仮想ネットワーク・インターフェイス・カード(VNIC)を参照してください。

インスタンスのプライマリVNICとは何ですか?

VCNのすべてのインスタンスは、作成時にVNICが付けられます。VNICには、インスタンス作成時に提供されたサブネットからの(お客様またはオラクルによって割り当てられた)プライベートIPアドレスと、対応するパブリックIPアドレスが含まれています。このVNICをプライマリVNICと呼び、そのプライベートIPアドレスをプライマリ・プライベートIPアドレスと呼びます。

プライマリVNICをインスタンスからデタッチすることはできません。インスタンスを終了すると、自動的に削除されます。

インスタンスのセカンダリVNICとは何ですか?

VCNのすべてのインスタンスには、VNICが少なくとも1つあります(プライマリVNIC)。インスタンスにセカンダリVNICと呼ばれる追加のVNICをアタッチできます。セカンダリVNICは、異なるVCNまたはサブネットに属することができます。

インスタンスでサポートされているVNICの最大数はいくつですか?

インスタンスにアタッチできるVNICの数の制限は、シェイプによって異なります。これらの制限については、コンピュート・シェイプに関するサポート・ドキュメントを参照してください。

インスタンス内からVNIC情報を見つけることはできますか?

はい。http://169.254.169.254/opc/v1/vnics/で提供されているインスタンス・メタデータ・サービスを照会します。

特定のプライベートIPアドレスをVNICに割り当てることはできますか?

はい。プライマリVNICについては、インスタンスの起動時にプライベートIPアドレスを指定できます。セカンダリVNICについては、VNICをインスタンスにアタッチするときにプライベートIPアドレスを指定できます。指定するプライベートIPアドレスは、VNICが属しているのと同じサブネットに属している必要があり、使用中であってはなりません。

1つのインスタンスから別のインスタンスにVNICを移動できますか?

いいえ。現在、VNICは、常にインスタンスにバインドされており、独立していません。プライマリVNICは、インスタンスとともに作成および破棄されます。セカンダリVNICはすべて、アタッチ時に作成され、デタッチ時に破棄されます。

同じサブネットにある2つのVNICをインスタンスにアタッチできますか?

はい。ただし、同じサブネットCIDRブロックから複数のVNICをインスタンスにアタッチすると、特に、Linuxのバリアントを使用するインスタンスでは、非対称ルーティングが発生する可能性があります。このタイプの構成が必要な場合、1つのVNICに複数のプライベートIPアドレスを割り当てるか、ポリシーベースのルーティングを使用することをお勧めします。例については、「Linux:セカンダリVNIC用のOSの構成」のスクリプトを参照してください。

インスタンスにアタッチされたVNICは、異なる可用性ドメイン(AD)のサブネットに属することができますか?

いいえ。すべてのVNICは、インスタンスと同じADのサブネットに属している必要があります。リージョン・サブネットを使用する場合、VNICはインスタンスと同じADに作成する必要があります。

インスタンスにアタッチされたVNICは、異なるVCNのサブネットに属することができますか?

はい。プライマリVNICのVCNとは異なるVCNのサブネットに属するセカンダリVNICをアタッチできます。

IPアドレッシング

自分で選択した1つ以上のプライベートIPアドレスをコンピュート・インスタンスに割り当てることはできますか?

VCN内のすべてのコンピュート・インスタンスは、仮想ネットワーク・インターフェイス・カード(VNIC)により作成され、インスタンスの起動時に提供されたサブネットからプライベートIPアドレスが割り当てられます。これがそれぞれプライマリVNICとそのプライマリ・プライベートIPアドレスとなります。同じようにプライマリ・プライベートIPアドレスを持つ、セカンダリVNICと呼ばれる追加のVNICをインスタンスにアタッチすることもできます。

オラクルにプライベートIPアドレスを選択させることも、サブネットの利用可能なプールから自分で選択することもできます。指定したアドレスがすでに使用されている場合、起動リクエストは失敗します。

加えて、VNICにセカンダリ・プライベートIPアドレスを割り当てることができます。プライマリ・プライベートIPアドレスと同様に、セカンダリ・プライベートIPアドレスも、VCN内またはオンプレミスにある宛先までの接続を提供します(VPNまたはOracle Cloud Infrastructure FastConnectを介した接続がある場合)。

1つのインスタンスのVNICから別のインスタンスのVNICにセカンダリ・プライベートIPアドレスを移動できますか?

はい。1つのインスタンスのVNICから別のインスタンスのVNICにセカンダリ・プライベートIPアドレスを移動することができます。ただし、両方のVNICが同じサブネットに属しており、承認により操作が許可されている場合に限ります。リージョン・サブネットを使用する場合、セカンダリ・プライベートIPを別のADのVNICに移動することもできます。

セカンダリ・プライベートIPアドレスはインスタンスのVNICに何個まで割り当てることができますか?

現時点で、最大31個のセカンダリ・プライベートIPアドレスをVNICに割り当てることができます。

インスタンスOSは(DHCPを使用して)セカンダリ・プライベートIPアドレスを自動的に検出および構成できますか?

いいえ。OSは、DHCPなどのメカニズムでセカンダリ・プライベートIPアドレスを検出することはできません。OS固有の手順に従って、セカンダリ・プライベートIPアドレスを構成する必要があります。詳細については、仮想ネットワーク・インターフェイス・カード(VNIC)のスクリプトを参照してください。

パブリックIPアドレスとは何ですか?プライベートIPアドレスとはどう違いますか?

パブリックIPアドレスは、インターネットから到達可能なIPv4アドレス(インターネットでルーティング可能なIPアドレス)です。VCN内のインスタンスは、パブリックIPアドレスを介してインターネット上のホストと通信します。プライベートIPアドレスは、インターネットでルーティングできません。VCN内のインスタンスは、プライベートIPアドレスを使用して相互に通信します。

パブリックIPアドレスをコンピュート・インスタンスのプライベートIPアドレスかロード・バランサ・インスタンスに割り当てて、それらがインターネットと通信できるようにすることができます。パブリックIPアドレスをインターネットで到達できるようにするには、それが含まれているVCNにインターネット・ゲートウェイがあり、それに合わせてパブリック・サブネットでルート・テーブルおよびセキュリティ・リストが構成されている必要があります。

パブリックIPアドレスにはどのようなタイプがありますか?

パブリックIPアドレスには、次の2つのタイプがあります。

  • エフェメラル・パブリックIPアドレス:インスタンスの存続期間中、一時的に存在するアドレス。お客様のリクエストに応じて、オラクルがオラクルの利用可能なプールからパブリックIPアドレスを1つ割り当てます。このパブリックIPアドレスは、プライベートIPアドレスのライフサイクルにバインドされています。パブリックIPアドレスの割り当てを明示的に解除する、プライベートIPアドレスの割り当てをVNICから解除する、または対応するインスタンスを終了すると、このパブリックIPアドレスは利用可能なプールに解放されます。後でパブリックIPアドレスの割り当てを再度リクエストした場合、以前とは異なるアドレスになる可能性があります。
  • 予約済パブリックIPアドレス:選択したコンパートメントに存在するフローティング・パブリックIPアドレス。このパブリックIPアドレスは、永続的であり、割り当てられたインスタンスのライフタイムを超えて存在します。また、特定のリージョンに属します。予約済みパブリックIPアドレスは、コンパートメント内で未割り当てのままにしたり、それが作成されたのと同じリージョン内のインスタンスのプライベートIPアドレスまたはロード・バランサに割り当てたりすることができます。また、同じリージョン内の別のプライベートIPアドレスに移動することもできます。

2つのタイプの詳細と比較表については、パブリックIPアドレスに関するヘルプ・ドキュメントを参照してください。

予約済みパブリックIPアドレスが必要なのはなぜですか?

パブリックIPアドレスは、DNS FQDNを使用できないクライアント向けのサービスIDになります。予約済みパブリックIPアドレスを使用することで、基盤となるリソースの変更に関係なく、IDを保持できるようになります。予約済みパブリックIPアドレスを使用することでメリットが得られる具体的な2つのシナリオを以下に示します。

  • インスタンス固有の障害からクライアントを隔離できる:予約済みパブリックIPアドレスをインスタンスに割り当てることで、障害が発生した場合にその予約済みパブリックIPアドレスを別のインスタンスにシームレスに移動できます。クライアントはこの変更から隔離されているため、引き続き同じパブリックIPアドレスに接続することができます。
  • ユーザーに影響を与えずにコンピュート・リソースの使用状況を最適化できる:インスタンスのサイズを変更したい場合や、使用パターンに基づいてインスタンスを終了してコストを節約したい場合でも、予約済みパブリックIPアドレスを使用することで、同じパブリックIPアドレスをクライアントに公開できます。

予約済みパブリックIPアドレスはインスタンスに何個まで割り当てることができますか?

予約済みパブリックIPアドレスは、(プライマリまたはセカンダリ)プライベートIPアドレスに1つしか割り当てることができません。ただし、インスタンスにアタッチされた各VNICには、複数のプライベートIPアドレスを割り当てることができます。それらのプライベートIPアドレスに予約済みパブリックIPアドレスをそれぞれ割り当てることができます。

テナンシに作成できる予約済みパブリックIPアドレスの最大数には制限があります。サービス制限に関するヘルプ・ドキュメントを参照してください。

エフェメラル・パブリックIPアドレスはインスタンスに何個まで割り当てることができますか?

エフェメラル・パブリックIPアドレスは、VNICのプライマリ・プライベートIPアドレスに1つしか割り当てることができません。ただし、複数のVNICを作成してインスタンスにアタッチできます。その後、各VNICのプライマリIPアドレスにエフェメラル・プライベートIPアドレスをそれぞれ割り当てることができます。

インスタンスに割り当てることができるエフェメラル・パブリックIPアドレスの最大数には制限があります。サービス制限に関するヘルプ・ドキュメントを参照してください。

エフェメラル・パブリックIPアドレスを1つのVNIC/インスタンスから別のVNIC/インスタンスに移動できますか?

はい。ただし、VNIC上のセカンダリ・プライベートIPに割り当てられている場合に限られます。そのセカンダリ・プライベートIPを別のVNIC(同じサブネット内に存在する必要があります)に移動すると、エフェメラル・パブリックIPも一緒に移動します。

予約済みパブリックIPアドレスを1つのVNIC/インスタンスから別のVNIC/インスタンスに移動できますか?

はい。予約済みパブリックIPアドレスを1つの可用性ドメインまたはVCNから別の可用性ドメインまたはVCNに移動できます。VCNは同じリージョンに存在する必要があります。

予約済みパブリックIPを移動するには、以下の2つの方法があります。

  • 予約済みパブリックIPの割り当てを解除してから、その予約済みパブリックIPを別のプライベートIPに再割り当てします。プライベートIPは、元のVNICとは異なる可用性ドメインまたはVCNのVNICに配置できます。
  • 予約済みパブリックIPがセカンダリ・プライベートIPに割り当てられている場合、プライベートIPを別のVNIC(同じサブネット内に存在する必要があります)に移動すると、予約済みパブリックIPも一緒に移動します。

エフェメラル・パブリックIPアドレスはいつ解放されますか?

  • プライベートIPアドレスを削除すると、それに対応するエフェメラル・パブリックIPアドレスが解放されます。
  • セカンダリVNICをデタッチすると、それに対応するエフェメラル・パブリックIPアドレスが解放されます。
  • インスタンスを終了すると、それに対応するエフェメラルIPアドレスが解放されます。

インスタンスを再起動しても、それに対応するエフェメラル・パブリックIPアドレスには影響がないことに注意してください。

コンピュート・インスタンスにログオンすると、どのIPアドレスが表示されますか?

コンピュート・インスタンスのプライベートIPアドレスのみが表示されます。インスタンスにパブリックIPアドレスが割り当てられている場合、インスタンスがインターネット上の宛先に(インターネット・ゲートウェイを介して)通信しようとすると、ネットワーク・サービスはプライベートIPアドレスとパブリックIPアドレスの間に1対1のNAT(静的NAT)を提供します。

パブリックIPアドレスのトラフィックはどのようにインスタンスに表示されますか?

インスタンスOSレベルでは、インスタンスにアタッチされたVNICのプライベートIPアドレスのみが表示されます。パブリックIPアドレスに送信されたトラフィックを受信すると、ネットワーク・サービスはパブリックIPアドレスから対応するプライベートIPアドレスまでのネットワーク・アドレス変換(NAT)を実行します。インスタンス内にトラフィックが表示され、宛先IPアドレスがプライベートIPアドレスに設定されます。

コンピュート・インスタンスに自分でMACアドレスを割り当てることはできますか?

いいえ。MACアドレスは、ネットワーク・サービスによって割り当てられます。

IPv6はサポートされていますか?

はい。IPv6に対応しています。詳細については、IPv6アドレスを参照してください。

VCN内でのIPマルチキャストまたはブロードキャストはサポートされていますか?

いいえ、今のところサポートしていません。

VCNは、Gratuitous ARP(GARP)を使用した透過的なIPテイクオーバーをサポートしていますか?

いいえ、今のところサポートしていません。

IPアドレス持ち込み(BYOIP)

IPアドレス持ち込み(BYOIP)とは何ですか?

IPアドレス持ち込み(BYOIP)とは、パブリックにルーティング可能なIPv4 CIDRブロックをOracle Cloud Infrastructureにインポートして、それをリソースで使用できるようにすることです。

BYOIPの利点は何ですか?

IPアドレスは、組織によって慎重に管理および制御される資産です。メール送信に関する強力なIPレピュテーションが必要なアプリケーション、グローバル導入におけるアクセシビリティ・ポリシーを確立しているアプリケーション、IPアドレスに対してアーキテクチャ上の良識を備えるアプリケーションなどがあります。オンプレミス・インフラストラクチャからOCIへのIPプレフィックスの移行により、Oracle Cloud Infrastructureのすべての利点を活用しながら、顧客とアプリケーションへの影響を最小限に抑えることができます。OCIのBYOIPでは、IPアドレス・プレフィックスをOCIからアドバタイズすることとオンプレミス環境から撤回することが同時に行えるため、移行中のダウンタイムを最小限に抑えることができます。

BYOIPの使用を開始するにはどうすればよいですか?

OCIで使用するためのIPプレフィックス移動プロセスは、ポータルの「Networking」>「IP Management」、またはAPIを介して開始できます。手順は簡単です。

  1 - IP CIDRをOCIに持ち込むためのリクエストを開始します(IP CIDRは、組織が所有する/24以上である必要があります)。
  2 - リクエストから生成された検証トークンを地域インターネット・レジストリ(RIR)サービス(ARIN、RIPE、またはAPNIC)に登録します。ドキュメントの手順に従います。
  3 - トークンを登録したら、コンソールに戻り、「CIDRブロックの検証」をクリックして、オラクルが検証プロセスを完了できるようにします。オラクルは、CIDRブロックが転送用に適切に登録されていることを検証し、BYOIPをプロビジョニングします。このステップには最大10営業日かかる場合があります。プロセスが完了すると、メールで通知されます。作業リクエストでこのステップの進捗状況を確認することもできます。

オラクルによって発行された検証トークンをどのように使用できますか?

オラクルによって発行された検証トークンをどのように使用できますか?BYOIP CIDRブロックのインポートの一環として、オラクルは検証トークンを発行します。トークンを取得したら、以下に示す情報を追加して、トークンを少し変更する必要があります。任意のテキストエディタを使用できます。

OCITOKEN:: <CIDRblock> : <validation_token>

検証トークンをRIR(地域インターネット・レジストリ)に送信します。

ARIN:アドレス範囲の「コメント(公開)」セクションに、変更したトークン文字列を追加します。組織のコメントセクションに追加しないでください。
RIPE:変更したトークン文字列を、アドレス範囲の新しい「descr」フィールドとして追加します。組織のコメントセクションに追加しないでください。
APNIC:変更したトークン文字列をhelpdesk@apnic.netにメールして、アドレス範囲の「remarks」フィールドに追加します。IPアドレスのAPNIC認定連絡先を使用してメールを送信します。

OCIリソースでBYOIPアドレスを使用するにはどうすればよいですか?

IP CIDRが検証されると、IP CIDRを完全に制御できるようになります。プレフィックスを小さなIPプールに分割して管理し、リソースで使用するために予約済みIPアドレスを作成します。

BYOIP CIDRで使用できるのはどのOCIリソースですか?

BYOIPアドレスは、コンピューティング、NATゲートウェイ、およびLBaaSインスタンスに割り当てることができます。IPプールを介してIPスペースを管理し、予約済みIPアドレスを作成できます。

オンボーディング後にBYOIPプレフィックスのアドバタイズを制御する必要がありますか?

IPプレフィックスがOCIにオンボーディングされたら、プレフィックスのアドバタイズと撤回を制御してください。

BYOIPの検証とオンボーディングにはどのくらい時間がかかりますか?

BYOIPの検証とプロビジョニングには最大10営業日かかる場合があります。プロセスが完了すると、メールで通知されます。

BYOIPプレフィックスをOCIリージョン間で移動させることはできますか?

いいえ。BYOIPプレフィックスは特定のOCIリージョンに割り当てられ、オンボーディングされているリージョンでのみアドバタイズされます。

BYOIPに使用できるプレフィックスの最小サイズと最大サイズを教えてください。

BYOIPの最小プレフィックスは/24、最大プレフィックスは/8です。すべてのIPスペースをOCIに持ち込む必要はありません。より大きなIPブロックを所有している場合は、OCIに持ち込むプレフィックスを選択できます。

BYOIPプレフィックスをIPプールに分散させるにはどうすればよいですか?

プレフィックスがオンボーディングされた後、OCIテナント内のアドレスとポリシーの配布を制御します。プレフィックスは、1つのIPプールに保持することも、OCIリソースで使用するために/28に分散させることもできます。

BYOIPプレフィックスから予約済みIPアドレスを作成できますか?

はい。BYOIPプレフィックスから予約済みIPアドレスを作成できます。詳細については、https://www.oracle.com/cloud/networking/virtual-cloud-network-faq.htmlの「IPアドレッシング」を参照してください。

自分のIPv6プレフィックスをOCIに持ち込むことはできますか?

BYOIP機能は、IPv4プレフィックスのみをサポートしています。

自分のプレフィックスをOCIに持ち込んだ場合でも、オラクル所有のエフェメラルIPアドレスおよび予約済みIPアドレスを使用できますか?

はい。ご自身のIPアドレスと一緒に、オラクル所有のエフェメラルIPアドレスと予約済みIPアドレスも引き続きご使用いただけます。Oracleアドレスには標準の制限が適用されます。

Connectivity

VCNで実行しているインスタンスに利用可能な接続オプションは何ですか?

インスタンスは以下のものに接続できます。

  • インターネット(インターネット・ゲートウェイ経由で接続)
  • オンプレミスのデータセンター(IPSec VPN接続またはFastConnectを使用して動的ルーティング・ゲートウェイ経由で接続)
  • (同じまたは別のリージョンにある)ピアリングされたVCN内のインスタンス
  • Object StorageやADWなどのOracle Cloud Infrastructureサービス(サービス・ゲートウェイ経由で接続)

インターネット・ゲートウェイとは何ですか?

インターネット・ゲートウェイは、可用性の高いフォルト・トレラントなソフトウェア定義のルーターで、VCN内のリソースにパブリック・インターネット接続を提供します。パブリックIPアドレスが割り当てられたコンピュート・インスタンスは、インターネット・ゲートウェイを使用して、インターネット上のホストおよびサービスと通信できます。

インターネット・ゲートウェイを使用する代わりに、VCNをオンプレミスのデータセンターに接続し、そこから既存のネットワーク・エグレス・ポイントを経由してトラフィックをインターネットにルーティングできます。

NATゲートウェイとは何ですか?

NATゲートウェイは、VCN内のリソースにアウトバウンド専用のインターネット接続を提供する、信頼性および可用性の高いルーターです。NATゲートウェイにより、(プライベートIPアドレスのみが割り当てられた)プライベート・インスタンスは、インターネット上のホストおよびサービスまでの接続を開始することができます。ただし、インターネットから開始されたインバウンド接続を受信することはできません。

1つのVCNに複数のNATゲートウェイを作成できますか?

いいえ。デフォルトの制限では、VCNあたり1つのNATゲートウェイに制限されています。ほとんどのアプリケーションで、これで十分であると予想されます。

特定のVCNに複数のNATゲートウェイを割り当てる場合は、制限の引き上げをリクエストします。制限の引き上げをリクエストする方法については、サービス制限を参照してください。

NATゲートウェイを使用する場合、新しいスループット制限はありますか?

NATゲートウェイを使用した場合も、インスタンスは、インターネット・ゲートウェイ経由でトラフィックをルーティングした場合と同じスループットを得ることができます。加えて、NATゲートウェイを通過する1つのトラフィック・フローは、1 Gbps(小さなインスタンス・シェイプの場合はそれ以下)に制限されています。

NATゲートウェイを使用する場合、同時接続に関する制限はありますか?

はい。1つの宛先IPアドレスとポートに対する同時接続数は、20,000までに制限されています。この制限は、NATゲートウェイを使用しているVCN全体のインスタンスにより開始されたすべての接続を合計したものです。

動的ルーティング・ゲートウェイ(DRG)とは何ですか?

動的ルーティング・ゲートウェイは、VCNに追加することができる、可用性の高いフォルト・トレラントなソフトウェア定義のルーターです。動的ルーティング・ゲートウェイは、VCNとVCNのリージョン外の他のネットワーク(オンプレミスのデータセンターや別のリージョンにあるピアリングされたVCNなど)の間のトラフィックにプライベート・パスを提供します。VCNのDRGに対してIPSec VPNまたはFastConnectを設定し、VCNをオンプレミスのデータセンターに接続できます。この接続により、オンプレミスのホストとインスタンスが安全に通信できるようになります。

顧客構内機器(CPE)オブジェクトとは何ですか?なぜ必要なのですか?

このオブジェクトはIPSec VPNを設定する場合に使用します。このオブジェクトは、VPNの終端のサイトにあるオンプレミスの実際のルーターの仮想表現です。IPSec VPNの設定の一環として、このオブジェクトを作成するときには、オンプレミスのルーターのパブリックIPアドレスを指定します。

オンプレミスのデータセンターへのIPSec VPNを確立するためにインターネット・ゲートウェイは必要ですか。

いいえ。DRGをプロビジョニングし、それをVCNにアタッチし、CPEオブジェクトとIPSec接続を構成し、ルート・テーブルを構成する必要があるだけです。

Oracle Cloud Infrastructure IPSec VPNでテスト済みの顧客構内機器ルーターまたはゲートウェイはどれですか?

テスト済みのデバイス構成のリストを参照してください。

上記のテスト済みの機器のリストにないIPSec VPNルーターを持っています。これを使用してVCNに接続できますか?

はい。一般的なCPE構成情報に従って構成することができます。オラクルでは、さまざまなVPNデバイスとの相互運用性を最大限高めるために、多数の構成オプションをサポートしています。

Oracle Cloud Infrastructureとオンプレミスのデータセンター間のIPSec VPN接続の可用性を確保するにはどうすればよいですか。

オラクルでは、IPSec接続の一部として、2つのVPNトンネルをプロビジョニングしています。冗長性を持たせるために、必ず両方のトンネルをCPEで構成してください。

さらに、オンプレミスのデータセンターに2つのCPEルーターを導入し、各トンネル用にそれぞれ構成することもできます。

ソフトウェアVPNを使用してVCNに接続できますか?

IPSec VPNはオープン・スタンダードであるため、ソフトウェアIPSec VPNをOracle Cloud Infrastructureと相互運用できます。一般的なCPE構成情報に従って、ソフトウェアIPSec VPNが、各構成グループでサポートされている少なくとも1つのOracle IPSecパラメータをサポートしていることを確認する必要があります。

2つのOCIパブリックIPアドレス間のトラフィックはOCI内にとどまりますか?

はい。同じリージョン内の2つのOCIパブリックIPアドレス間のトラフィックは、そのOCIリージョン内にとどまります。異なるリージョンのOCIパブリックIPアドレス間のトラフィックは、プライベートOCIバックボーンを通過します。どちらのケースでも、トラフィックがインターネットを通過することはありません。OCIパブリックIPアドレスの完全なリストについては、https://docs.cloud.oracle.com/en-us/iaas/tools/public_ip_ranges.jsonでご確認ください。

サービスゲートウェイ

Oracle Services Networkとは何ですか?

Oracle Services Networkは、Oracle Service用に予約されている、Oracle Cloud Infrastructureでの概念ネットワークです。このネットワークは、リージョンCIDRブロックのリストで構成されています。Oracle Services Networkのすべてのサービスは、ネットワークからパブリックIPアドレスを使用するサービス・エンドポイントを公開します。このネットワークでは現在、多数のOracle Serviceが利用可能です(完全なリストを参照)。Oracle Cloud Infrastructureに導入されるにつれて、さらに多くのサービスが追加される予定です。

サービス・ゲートウェイとは何ですか?

サービス・ゲートウェイを使用すると、VCNのリソースが、Oracle Cloud Infrastructure Object Storage、ADW、ATPなどのOracle Services Network内のOracle Serviceにプライベートかつ安全にアクセスできるようになります。VCN内のインスタンスとサポートされているOracle Service間のトラフィックは、インスタンスのプライベートIPアドレスを使用してルーティングされ、Oracle Cloud Infrastructureファブリック上を移動するため、インターネット上を通ることはありません。サービス・ゲートウェイは、インターネット・ゲートウェイやNATゲートウェイと同様に、可用性が高く、動的に拡大および縮小してVCNのネットワーク帯域幅をサポートすることができる仮想デバイスです。

サービス・ゲートウェイを介してどのOracle Cloud Infrastructureサービスにアクセスできますか?

現時点で、サービス・ゲートウェイは、Oracle Services Network内のOracle Serviceにアクセスするように構成できます。このネットワークでは現在、多数のOracle Serviceが利用可能です(完全なリストを参照)。Oracle Cloud Infrastructureに導入されるにつれて、さらに多くのサービスが追加される予定です。

現在、インターネット・ゲートウェイまたはNATゲートウェイを使用して、ADWなどのOracle Serviceにアクセスしています。サービス・ゲートウェイを使用して同じOracle Serviceエンドポイントにアクセスするにはどうすればよいですか?

  • VCN用にサービス・ゲートウェイを作成します。
  • VCNルーティングを更新して、インターネット・ゲートウェイまたはNATゲートウェイを使用する代わりに、サービス・ゲートウェイを使用して、Oracle Services Network内のOracle Serviceのすべてのトラフィックを転送します。

手順については、「Object Storageへのアクセス:サービス・ゲートウェイ」を参照してください。サービス・ゲートウェイでは、データをインターネットから保護するために、リージョン内のOracle Serviceに対してアクセスが許可されることに注意してください。更新やパッチなどのために、お使いのアプリケーションが、サービス・ゲートウェイでサポートされていないパブリック・エンドポイントやサービスへのアクセスを必要とする場合があります。必要に応じて、NATゲートウェイまたはその他のインターネット・アクセスがあることを確認してください。

サービスCIDRラベルとは何ですか?

サービス・ゲートウェイでは、サービスCIDRラベルの概念が使用されています。サービスCIDRラベルは、サービスまたはサービス・グループのすべてのリージョン・パブリックIPアドレス範囲を表す文字列です(たとえば、Oracle Services Network内のOCI IADサービスは、us-ashburn-1のOracle Services Network内のリージョンCIDRブロックにマッピングされるラベルです)。サービスCIDRラベルは、サービス・ゲートウェイおよびルート/セキュリティ・ルールを構成するときに使用します。手順については、「Oracleサービスへのアクセス:サービス・ゲートウェイ」を参照してください。

別のリージョンで実行されているサービスにアクセスするようにサービス・ゲートウェイを構成できますか?

いいえ。サービス・ゲートウェイは、リージョン固有であり、同じリージョンで実行されているサービスにのみアクセスできます。

特定のVCNまたはサブネットからのObject Storageバケットへのアクセスのみを許可できますか?

はい。サービス・ゲートウェイを使用している場合、リクエストが特定のVCNまたはCIDR範囲からのものである場合にのみバケットへのアクセスを許可するようにIAMポリシーを定義できます。IAMポリシーは、サービス・ゲートウェイを介してルーティングされたトラフィックに対してのみ機能します。IAMポリシーが設定されている場合、アクセスはブロックされ、代わりにトラフィックはインターネット・ゲートウェイを経由します。また、IAMポリシーが設定されている場合、コンソールからバケットにアクセスできないことに注意してください。VCNのリソースからのプログラムによるアクセスのみが許可されます。

IAMポリシーの例については、「Object Storageへのアクセス:サービス・ゲートウェイ」を参照してください。

VCN内に複数のサービス・ゲートウェイを作成できますか?

いいえ。現時点では、VCNに1つのサービス・ゲートウェイしか作成できません。

VCNピアリングを使用してサービス・ゲートウェイを使用できますか?

いいえ。サービス・ゲートウェイを持つ別のVCNとピアリングされているVCNがそのサービス・ゲートウェイを使用してOracle Serviceにアクセスすることはできません。

サービス・ゲートウェイを利用してオンプレミス・ネットワークからVCNへの(FastConnectを介した)接続を確立できますか?

いいえ。ただし、FastConnectパブリック・ピアリングを使用して(インターネットを経由せずに)接続を確立することができます。

サービス・ゲートウェイを使用する場合、新しいスループット制限はありますか?

いいえ。サービス・ゲートウェイを使用した場合も、インスタンスは、インターネット・ゲートウェイ経由でトラフィックをルーティングした場合と同じスループットを得ることができます。

サービス・ゲートウェイにはどのくらいのコストがかかりますか?

サービス・ゲートウェイは、Oracle Cloud Infrastructureのすべてのお客様に無償で提供されています。

VCNセキュリティ

セキュリティ・リストとは何ですか?なぜ必要なのですか?

セキュリティ・リストは、インスタンスに仮想ファイアウォールを提供し、イングレスおよびエグレス・ルールにより、インスタンスへの入出力を許可するトラフィックのタイプを指定します。セキュリティ・リストを使用することで、コンピュート・インスタンスを保護できます。セキュリティ・リストはサブネット・レベルで設定するため、サブネット内のすべてのインスタンスが同じセキュリティ・リスト・ルール・セットの対象となります。ルールはインスタンス・レベルで適用され、パケット・レベルでトラフィックを制御します。

特定のインスタンスにどのセキュリティ・リストが適用されますか?VCNのデフォルトのセキュリティ・リストはどのように関係していますか?

インスタンス上の特定のVNICは、そのVNICのサブネットに関連付けられたセキュリティ・リストの対象となります。サブネットを作成するときに、サブネットに関連付ける1つ以上のセキュリティ・リストを指定します。これには、VCNのデフォルトのセキュリティ・リストを含めることができます。サブネットの作成時にセキュリティ・リストを1つも指定しなかった場合、VCNのデフォルトのセキュリティ・リストがサブネットに関連付けられます。セキュリティ・リストはサブネット・レベルで関連付けられますが、ルールはパケット・レベルでVNICのトラフィックに適用されます。

サブネットを作成した後、サブネットで使用されるセキュリティ・リストを変更できますか?

はい。サブネットのプロパティを編集して、セキュリティ・リストを追加または削除できます。セキュリティ・リストの個々のルールを編集することもできます。

セキュリティ・リストおよびルールは何個まで設定できますか?

作成できるセキュリティ・リストの数、サブネットに関連付けることができるリストの数、および特定のリストに追加できるルールの数には制限があります。現在のサービス制限と、制限の引き上げをリクエストする方法については、サービス制限に関するヘルプ・ドキュメントを参照してください。

セキュリティ・リストで「拒否」ルールを使用できますか?

いいえ。セキュリティ・リストでは「許可」ルールのみを使用します。デフォルトでは、すべてのトラフィックが拒否され、ルールで指定された属性に一致するネットワーク・トラフィックのみが許可されます。

セキュリティ・リストではどのようなルールがサポートされていますか?

各ルールは、ステートフルまたはステートレスのイングレス・ルールまたはエグレス・ルールです。

ステートフル・ルールでは、ルールに一致するネットワーク・パケットが許可されると、接続追跡を使用して、その接続に属するそれ以降のすべてのネットワーク・パケットが自動的に許可されます。このため、ステートフル・イングレス・ルールを作成した場合は、ルールに一致する着信トラフィックとそれに対応する発信(応答)トラフィックの両方が許可されます。

ステートレス・ルールでは、ルールに一致するネットワーク・パケットのみが許可されます。このため、ステートレス・イングレス・ルールを作成した場合は、着信トラフィックのみが許可されます。それに対応する発信(応答)トラフィックと一致する、対応するステートレス・エグレス・ルールを作成する必要があります。

詳細については、セキュリティ・リストに関するサポート・ドキュメントを参照してください。

ネットワーク・セキュリティ・グループとは何ですか?セキュリティ・リストとはどう違いますか?

ネットワーク・セキュリティ・グループとセキュリティ・リストは、VNICとの間で許可するイングレスおよびエグレス・トラフィックを制御するセキュリティ・ルールを実装するための2つの異なる方法です。

セキュリティ・リストでは、特定のサブネット内のすべてのVNICに適用するセキュリティ・ルールのセットを定義できます。ネットワーク・セキュリティ・グループ(NSG)では、選択したVNICから成るグループ(同じセキュリティ態勢のコンピュート・インスタンスから成るグループなど)例:セキュリティ状況が同じコンピュート・インスタンスのグループ。

詳細は以下でご確認ください。

NSGとセキュリティ・リストのセキュリティ・ルールに順序または優先順位はありますか?

いいえ。デフォルトでは、すべてのトラフィックが拒否されます。セキュリティ・ルールでは、トラフィックを許可するだけです。各VNICには、次を融合したルールのセットが適用されます。

  • VNICのサブネットに関連付けられているセキュリティ・リストで定義されたセキュリティ・ルール
  • VNICが含まれるすべてのNSGで定義されたセキュリティ・ルール

NSGの使用をサポートしているOracle Serviceはどれですか?

コンピュート、ロード・バランシング、およびデータベース・サービスです。したがって、コンピュート・インスタンス、ロード・バランサ、またはデータベース・システムを作成するときに、1つ以上のネットワーク・セキュリティ・グループを指定して、それらのリソースのトラフィックを制御することができます。

NSG機能の導入に伴い、セキュリティ・リストが必要ですか?

NSGの導入に伴い、セキュリティ・リストの動作に変更はありません。これまでと同じように、VCNには、VCNのサブネットにオプションで使用できるデフォルトのセキュリティ・リストがあります。

NSGをセキュリティ・ルールの送信元または宛先として定義できますか?

NSGのルールを作成するときに、NSGをトラフィックの送信元(イングレス・ルールの場合)またはトラフィックの宛先(エグレス・ルールの場合)として指定するオプションがあります。NSGを指定できるということは、2つの異なるNSG間のトラフィックを制御するルールを簡単に作成できることを意味します。NSGは、同じVCNに存在する必要があります。

異なるVCNにあるNSG間のトラフィックを明示的に制御するセキュリティ・ルールを作成できますか?

いいえ。別のNSGを送信元または宛先として指定するNSGセキュリティ・ルールを作成する場合は、そのNSGが同じVCNに存在する必要があります。これは、他方のNSGがピアリングされたVCNにある場合にも当てはまります。この点は、セキュリティ・リストとは異なります。

セキュリティ・リストでは、サブネット全体のすべてのVNICに適用されるセキュリティ・ルールのセットを定義できるのに対して、ネットワーク・セキュリティ・グループ(NSG)では、VCN内の選択したVNICから成るグループ(ロード・バランサまたはデータベース・システムのVNICを含む)に適用されるセキュリティ・ルールのセットを定義できます。

VCNルーティング

VCNルート・テーブルとは何ですか?

VCNルート・テーブルには、最終的にVCN外の場所を宛先とするトラフィックをルーティングするルールが含まれています。

ルート・テーブルの各ルールには、宛先CIDRブロックとルート・ターゲットがあります。サブネットの発信トラフィックがルート・ルールの宛先CIDRブロックと一致すると、トラフィックはルート・ターゲットにルーティングされます。一般的なルート・ターゲットの例には、インターネット・ゲートウェイや動的ルーティング・ゲートウェイがあります。

詳細については、ルート・テーブルを参照してください。

特定のインスタンスにどのルート・テーブルが適用されますか?VCNのデフォルトのルート・テーブルはどのように関係していますか?

インスタンス上の特定のVNICは、そのVNICのサブネットに関連付けられたルート・テーブルの対象となります。サブネットを作成するときに、サブネットに関連付ける1つのルート・テーブルを指定します。その際に、VCNのデフォルトのルート・テーブルまたはすでに作成済みの別のルート・テーブルを指定することができます。サブネットの作成時にルート・テーブルを指定しなかった場合、VCNのデフォルトのルート・テーブルがサブネットに関連付けられます。ルート・テーブルはサブネット・レベルで関連付けられますが、ルールはパケット・レベルでVNICのトラフィックに適用されます。

宛先CIDRブロックにルート・ルールを作成できますか?

いいえ。現時点では、VCNのアドレススペースと重複しないCIDRブロックに対してのみルート・ルールを追加できます。

サブネットを作成した後、サブネットで使用されるルート・テーブルを変更できますか?

はい。サブネットのプロパティを編集して、ルート・テーブルを変更できます。ルート・テーブルの個々のルールを編集することもできます。

VCNは送信元ベースのルーティングをサポートしていますか?

いいえ。今のところサポートしていません。

ルート・ルールは、1つのルート・テーブルに何個まで作成できますか?

ルート・テーブル内のルールの数には制限があります。サービス制限に関するヘルプ・ドキュメントを参照してください。

VCNルート・ルールのルート・ターゲットとしてプライベートIPを使用できますか?

はい。サブネットのトラフィックを同じVCN内の別のインスタンスにルーティングする場合、ルート・ルールのターゲットとしてプライベートIPを使用できます。要件およびその他の詳細については、ルート・ターゲットとしてのプライベートIPの使用を参照してください。

VCNピアリング

VCNピアリングとは何ですか?

VCNピアリングとは、2つのVCNを接続し、それらの間でプライベート接続とトラフィック・フローを可能にするプロセスのことです。一般的にピアリングには、以下の2つのタイプがあります。

  • ローカルVCNピアリング(リージョン内ピアリング):2つのVCNが同じリージョンにあります。2つのVCNは、(同じか異なるコンパートメントの)同じテナンシ、または異なるテナンシにあることがあります。
  • リモートVCNピアリング(リージョン間VCNピアリング):2つのVCNが別のリージョンにあります。

詳細については、 「その他のVCNへのアクセス:ピアリング」を参照してください。

VCNピアリングはすべてのリージョンでサポートされていますか?

  • ローカルVCNピアリング(リージョン内ピアリング)は、すべてのリージョンでサポートされています。
  • リモートVCNピアリング(リージョン間ピアリング)は、現在サポートされています。サポートされているリージョンのリストについては、製品ドキュメントを参照してください。

VCNピアリングが必要なのはなぜですか?

  • ローカルVCNピアリングでは、別個のVCNにリソースを整理し、ガバナンスおよびリージョナル・プレゼンスの要件を満たしながら、それらのVCN間でプライベート接続を可能にすることができるため、柔軟性を向上させることができます。また、クロステナンシ・ローカルVCNピアリングでは、異なるテナンシにある別個のVCNにリソースを整理し、それらのVCN間でプライベート接続を可能にすることができるため、柔軟性を向上させることができます。また、同じリージョン(テナンシは異なる)にある複数のコンシューマVCNにサービスへのプライベート・アクセスを提供することにより、サービス・プロバイダ・モデルを可能にすることもできます。
  • リモートVCNピアリングでは、別個のVCNにリソースを整理し、ガバナンス、マルチリージョン・プレゼンス、およびDRの要件を満たしながら、異なるリージョンにあるそれらのVCN間でプライベート接続を可能にすることができるため、柔軟性を向上させることができます。

ローカルVCNピアリングのメリットは何ですか?

  • インターネット・ゲートウェイ、インスタンス用のパブリックIP、暗号化、およびパフォーマンス・ボトルネックを排除することにより、VPNなどの接続モデルに代わるコストのかからない信頼性の高い代替手段として使用できます。
  • VCN間のピアリングを簡単に有効化できるため、ダウンタイムをスケジュールする必要がありません。
  • ピアリングされたVCN間のリソースのプライベート接続は、予測可能な帯域幅とレイテンシを備えた、Oracle Cloud Infrastructureファブリックの冗長性が高いリンクを使用して行うことができます。

2つのVCN間でローカルVCNピアリングを確立するにはどうすればよいですか?

手順については、ローカルVCNピアリングを参照してください。

アドレス範囲が重複する2つのVCN間にローカル・ピアリングを確立できますか?

いいえ。ローカル・ピアリング関係にある2つのVCNに重複するCIDRを割り当てることはできません。

自分のVCNからIPアドレス範囲が重複する他の2つのVCNへローカル・ピアリングを確立できますか?

はい。VCN-1を他の2つのVCN(VCN-2やVCN-3など)とピアリングする場合、それらの2つのVCN(VCN-2とVCN-3)のCIDRが重複していてもかまいません。

別のアカウントに属するVCNへのローカル・ピアリング接続を確立できますか?

はい。

ローカル・ピアリングはVCNあたり何個まで確立できますか?

各VCNには、一度に最大10個のローカル・ピアリングを確立できます。

リモートVCNピアリングのメリットは何ですか?

  • インターネット・ゲートウェイ、インスタンス用のパブリックIP、暗号化、およびパフォーマンス・ボトルネックを排除することにより、VPNなどの接続モデルに代わる低コストの信頼性の高い代替手段として使用できます。
  • VCN間のピアリングを簡単に有効化できるため、ダウンタイムをスケジュールする必要がありません。
  • ピアリングされたVCN間のリソースのプライベート接続は、予測可能な帯域幅とレイテンシを備えた、Oracle Cloud Infrastructureの冗長性の高いバックボーン・リンクを使用して行うことができます。

リモート・ピアリング接続を作成するためにインターネット・ゲートウェイは必要ですか?

いいえ。リモート・ピアリング接続は、動的ルーティング・ゲートウェイ(DRG)を使用して確立します。

2つのVCN間でリモートVCNピアリングを確立するにはどうすればよいですか?

手順については、リモートVCNピアリングを参照してください。

アドレス範囲が重複する2つのVCN間にリモート・ピアリングを確立できますか?

いいえ。リモート・ピアリング関係にある2つのVCNに重複するCIDRを割り当てることはできません。

自分のVCNからIPアドレス範囲が重複する他の2つのVCNへリモート・ピアリングを確立できますか?

いいえ。VCN-1を他の2つのVCN(VCN-2やVCN-3など)とリモート・ピアリングする場合、それらの2つのVCN(VCN-2とVCN-3)のCIDRは重複してはなりません。

別のアカウントに属するVCNへのリモート・ピアリング接続を確立できますか?

いいえ。

リモートVCNピアリング・トラフィックは暗号化されていますか?

はい。リモートVCNピアリング・トラフィックは、業界標準のリンク暗号化を使用して暗号化されます。

リモート・ピアリングはVCNあたり何個まで確立できますか?

各VCNには、一度に最大10個のリモート・ピアリングを確立できます。

VCN-Aの管理者がピアリングされたVCN-B上の特定のサブネットへの接続のみを制御することはできますか?

はい。VCN-Aのルート・テーブルとセキュリティ・リストを使用して、ピアリングされたVCN-Bへの接続を制御できます。VCN-Bのアドレス範囲全体への接続を許可するか、1つ以上のサブネットに接続を制限できます。

VCN-Aの管理者がピアリングされたVCN-Bからアクセス可能なVCN-Aのサブネットを制御できますか?

はい。ローカルまたはリモート・ピアリングが確立されると、VCN-B内のインスタンスはVCN-Aのアドレス範囲全体にトラフィックを送信できるようになります。ただし、サブネットのセキュリティ・リストで適切なイングレス・ルールを使用することにより、VCN-BのインスタンスからVCN-Aの特定のサブネットへのアクセスを制限できます。

2つのVCN間で確立されたローカル・ピアリングのスループットとレイテンシに起因するパフォーマンスへの影響はありますか?

いいえ。スループットとレイテンシは、VCN内の接続とほぼ同じであるはずです。ローカル・ピアリングを介したトラフィックには、VCN内のインスタンス間のトラフィックと同様の可用性と帯域幅の制約があります。

2つのVCN間で確立されたリモート・ピアリングのスループットとレイテンシに起因するパフォーマンスへの影響はありますか?

リモートVCNピアリングは、Oracle Cloud Infrastructureのリージョン間バックボーンを使用します。このバックボーンは、優れたパフォーマンスと可用性を実現するように設計されており、リージョン間接続について99.5%の可用性を規定したSLAも提供されています。オラクルは、ガイドラインとして、75 Mbpsを超えるスループットと、米国のリージョン間で60ミリ秒未満、EUと米国間で80ミリ秒未満、米国とAPAC間で175ミリ秒未満、またEUとAPAC間で275ミリ秒未満のレイテンシを示しています。

VCNピアリングの価格はいくらですか?

  • ローカル・ピアリング(リージョン内):無料です。
  • リモート・ピアリング(リージョン間):価格はアウトバウンド・データ転送に基づきます。「アウトバウンド・データ転送」の最新の公表価格を参照してください。

VCNトランジット・ルーティング

VCNトランジット・ルーティング(VTR)とは何ですか?

VCNトランジット・ルーティング(VTR)ソリューションは、ハブアンドスポーク・トポロジに基づいており、ハブVCNが複数のスポークVCN(リージョン内)とオンプレミス・ネットワーク間にトランジット接続を提供できるようにします。オンプレミス・ネットワークがすべてのスポークVCNと通信するためには、(ハブVCNに接続された)1つのFastConnectまたはIPSec VPNしか必要としません。

VCNトランジット・ルーティング(VTR)の使用を開始するにはどうすればよいですか?

手順については、コンソールでのVCNトランジット・ルーティングの設定を参照してください。

スポークVCNはハブVCNを使用してどのようなリモート・ネットワークにアクセスできますか?

現時点でスポークVCNは、ハブVCNを使用してオンプレミス・ネットワークにアクセスできます。

リモートOracle Cloud InfrastructureリージョンにあるスポークVCNへの接続を提供するようにハブVCNを構成できますか?

いいえ。VCNトランジット・ルーティング・ソリューションは、同じリージョンにあるVCN間の統合された接続のみをサポートしています。

スポークVCNがオンプレミス・ネットワークの特定のサブネットのみにアクセスできるようにハブVCNを構成できますか?

はい。これを制御するには、ハブVCN上のLPGに関連付けられたルート・テーブルを使用します。制限的なルート・ルールを構成し、スポークVCNにアクセスを許可するオンプレミス・サブネットのみを指定できます。スポークVCNにアドバタイズされるルートは、そのルート・テーブルとハブVCNのCIDRにあるルートになります。

オンプレミス・ネットワークがスポークVCNの特定のサブネットのみにアクセスできるようにハブVCNを構成できますか?

はい。これを制御するには、ハブVCN上のDRGに関連付けられたルート・テーブルを使用します。制限的なルート・ルールを構成し、オンプレミス・ネットワークにアクセスを許可するスポークVCNサブネットのみを指定できます。オンプレミス・ネットワークにアドバタイズされるルートは、そのルート・テーブルとハブVCNのCIDRにあるルートになります。

ハブVCNとピアリングできるスポークVCNの数に制限はありますか?

はい。ハブVCNのスポークVCNとのローカル・ピアリング数は最大10個に制限されています。

オンプレミス・ネットワークがOracle ServiceにアクセスできるようにハブVCNを構成できますか?

はい。オンプレミス・ネットワークに接続されているVCNに、FastConnectまたはサイト間VPNを使用してサービス・ゲートウェイを追加できます。次に、VCNのDRGおよびサービス・ゲートウェイに関連付けられたルート・テーブルでルート・ルールを構成し、VCNを介してオンプレミス・トラフィックを目的のOracle Serviceに転送できます。オンプレミスのホストは、自身のプライベートIPを使用してOracle Serviceと通信することができるため、トラフィックがインターネットを経由することはありません。

詳細については、「転送ルーティング:Oracleサービスへのプライベート・アクセス」を参照してください。

ハブVCNにあるネットワーク仮想アプライアンス(ファイアウォール・インスタンスなど)を介してルーティングを行うことができますか?

はい。ハブVCNのプライベートIPを経由するトランジット・ルーティングを設定できます。その場合、ハブVCNのファイアウォール・インスタンス上のプライベートIPにトラフィックをルーティングします。ファイアウォール・インスタンスは、オンプレミス・ネットワークおよびスポークVCN間のすべてのトラフィックを検査できます。

VCNトランジット・ルーティングに関連するパフォーマンス制限はありますか?

ハブVCNにあるファイアウォール・インスタンス(またはその他のネットワーク仮想アプライアンス)を介してルーティングしている場合、パフォーマンス制限はネットワーク仮想アプライアンスのI/O特性に依存します。ネットワーク仮想アプライアンスを経由してトラフィックをルーティングしておらず、ハブVCNのゲートウェイを経由して直接ルーティングしている場合、パフォーマンス制限はありません。このゲートウェイは、可用性が高く、動的に拡大および縮小してネットワークのネットワーク帯域幅要件をサポートすることができる仮想デバイスです。

DHCPオプション

DHCPオプションとは何ですか?

動的ホスト構成プロトコル(DHCP)は、構成情報をIPネットワーク上のホストに渡すためのフレームワークを提供します。構成パラメータおよびその他のコントロール情報は、DHCPメッセージのオプション・フィールド( RFC 2132)に格納されてインスタンスまで運ばれます。VCN内の各サブネットに、関連付けられているDHCPオプションのセットを1つ含めることができます。

どのDHCPオプションを構成できますか?

VCNのインスタンスがドメイン・ネーム・システム(DNS)ホスト名を解決する方法を制御する、2つのオプションを構成できます。

  • 検索ドメイン:1つの検索ドメインを指定できます。
  • DNSタイプ:以下のいずれかを選択できます。
    • インターネットおよびVCNリゾルバ(デフォルト)
    • カスタム・リゾルバ(お客様が設定、管理、および維持している、最大3つのDNSサーバーを選択して指定できます)

インスタンスのOSは、DNSクエリを解決するときに、DNSタイプで指定されたDNSサーバーを使用し、検索ドメインをクエリされている値に追加します。詳細については、「DHCPオプション」を参照してください。

サブネットを作成した後、サブネットで使用されるDHCPオプションを変更できますか?

はい。サブネットのプロパティを編集して、サブネットが使用するDHCPオプションのセットを変更できます。DHCPオプションの値を変更することもできます。

DNS

インスタンスのDNSホスト名を設定するにはどうすればよいですか?

インスタンスを起動するときに、表示名と一緒にインスタンスのホスト名も指定できます。このホスト名とサブネットのドメイン名を組み合わせたものがインスタンスの完全修飾ドメイン名(FQDN)になります。このFQDNは、VCN内で一意であり、インスタンスのプライベートIPアドレスに解決されます。詳細については、仮想クラウド・ネットワークでのDNSを参照してください。

インスタンスのホスト名を指定するには、DNSホスト名を有効にするようにVCNとサブネットを構成する必要があることに注意してください。

ホスト名を有効にするようにVCNとサブネットを構成するにはどうすればよいですか?

VCNを作成するときに、DNSラベルを指定できます。これと親ドメインoraclevcn.comを組み合わせたものがVCNのドメイン名になります。

サブネットを作成するときに、DNSラベルを指定できます。これとVCNのドメイン名を組み合わせたものがサブネットのドメイン名になります。

VCNとサブネットの両方がDNSラベルを指定して作成されている場合のみ、コンピュート・インスタンスに対してホスト名を有効にすることができます。

コンピュート・インスタンスのDNSホスト名とは何ですか?

DNSホスト名は、ネットワークに接続されたインスタンスのIPアドレスに対応する名前です。Oracle Cloud Infrastructure VCNの場合、すべてのインスタンスをインスタンスのプライベート・アドレスに対応するDNSホスト名で構成できます。

インスタンスの完全修飾ドメイン名(FQDN)は、hostname.subnetdnslabel.vcndnslabel.oraclevcn.comのようになります。ここで、hostnameはインスタンスのDNSホスト名であり、subnetdnslabelvcndnslabelはそれぞれインスタンスのサブネットとVCNのDNSラベルです。

親ドメインoraclevcn.comは、Oracle Cloud Infrastructureで作成されたDNSホスト名用に予約されています。

インスタンスのホスト名を変更できますか?

はい。

既存のVCNまたはサブネットのDNSラベルの名前を変更できますか?

いいえ。

DNSに対してカスタム・リゾルバを使用するようにサブネットが構成されている場合、そのサブネットでインスタンスにDNSホスト名は作成されますか?

はい。サブネットに選択されたDNSタイプに関係なく、DNSホスト名はインスタンスに作成されます。

インスタンスは他のVCNのインスタンスのホスト名を解決できますか?

いいえ。インスタンスは、同じVCN内のインスタンスのホスト名のみを解決できます。

VCN内のDNSホスト名を解決するようにカスタムDNSサーバーを構成できますか?

はい。VCN内に設定されたカスタムDNSサーバーを使用することで行えます。169.254.169.254を使用するカスタムDNSサーバーを、VCNドメイン(contoso.oraclevcn.comなど)のフォワーダとして構成できます。

169.254.169.254 IPアドレスへのアクセスを許可するには)「インターネットおよびVCNリゾルバ」をDNSタイプとして使用するサブネットでカスタムDNSサーバーを構成する必要があることに注意してください。

Oracle Terraformプロバイダを使用した実装例については、「ハイブリッドDNS構成」を参照してください。

請求

VCNの使用に対して課金されますか?

VCNの作成および使用に対しては課金されません。ただし、その他のOracle Cloud Infrastructureサービス(コンピュート、ブロックボリュームなど)の使用料やデータ転送料金などは、公開されている料金で適用されます。VCN内のリソース間の通信については、データ転送料金はかかりません。

IPSec VPNを使用してVCNをオンプレミスのデータセンターに接続する場合、どのように支払いますか。

公開されているOracle Cloud Infrastructureアウトバウンド・データ転送料金のみが課金されます。時間単位または月単位のVPN接続料金はありません。

VCN内のインスタンスからデータベースやObject Storageサービスなどの他のリソースを使用する場合、使用料はいくらですか?

同じリージョンにある他のパブリックOracle Cloud Infrastructureサービス(Object Storageなど)にアクセスする場合、データ転送料金は発生しません。インスタンスとVCN内の他のリソース(データベースやロード・バランサなど)の間のプライベートまたはパブリックIPを介したいずれのネットワーク・トラフィックについても、データ転送料金はかかりません。

VCN内からIPSec VPNを介してパブリックOracle Cloud Infrastructureリソースにアクセスする場合、公開されているアウトバウンド・データ転送料金が発生します。

価格には税金が含まれていますか?

特に明記されていない限り、アウトバウンド・データ転送料金を含む、Oracle Cloud Infrastructureの価格には、VATおよび適用される消費税など、適用されるいずれの税金および関税も含まれていません。