OCI技術資料 : 仮想クラウド・ネットワーク (VCN) 詳細

OCI技術資料 : 仮想クラウド・ネットワーク (VCN) 詳細

Oracle Cloud Infrastructure (OCI) の技術説明資料、仮想クラウド・ネットワーク (VCN) の詳細編 (Level 200) です。

VCNピアリングの詳細、トランジット・ルーティング、ハイブリッドDNS構成、Oracle Services Networkへの接続、アプライアンス型仮想ファイアウォールの利用など、VCNを利用するにあたり少し複雑なケースについて解説しています。

Transcript

  1. 仮想クラウド・ネットワーク (VCN) 詳細 Virtual Cloud Network Level 200 Oracle Cloud

    Infrastructure 技術資料 2020年10月
  2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

    © 2020, Oracle and/or its affiliates. 2
  3. このレッスンを修了すると、次のことができるようになります • ピアリングを利用した複数VCNの接続についての理解 • Oracle Services Networkの概念と、VCN内やオンプレミスからの接続方法についての理解 • 1つのVCNを経由(トランジット)したネットワーク間の直接通信のケースについての理解 •

    アプライアンス型の仮想ファイアウォールを利用するケースについての理解 • VCNとオンプレミスでハイブリッドDNSを構成するケースについての理解 • フローログを使ってVCN内の通信ログを取得する仕組みについての理解 目標 Copyright © 2020, Oracle and/or its affiliates. 3
  4. VCNピアリング VCN Peering – Local Peering & Remote Peering Copyright

    © 2020, Oracle and/or its affiliates. 4
  5. VCNピアリング 異なる2つのVCNをピア・ツー・ピアで接続する仕組み • プライベートIPアドレスでリソース同士が直接通信でき る • 通信は外部のインターネットに出ない • インターネット経由の接続と比較して、通信速度 と

    セキュリティ の向上が見込める 2種類の接続方法 • ローカルVCNピアリング (リージョン内接続) • リモートVCNピアリング (クロス・リージョン接続) OCIリージョン2 OCIリージョン1 VCN VCN VCN Local Peering Gateway Local Peering Gateway Dynamic Routing Gateway Dynamic Routing Gateway ローカルVCNピアリング リモートVCNピアリング Copyright © 2020, Oracle and/or its affiliates. 5
  6. 同じリージョンにある2つのVCN間をピア・ツー・ピアで接続 • ローカル・ピアリング・ゲートウェイ (LPG) を利用 • 追加料金不要、ローカル・ピアリング間通信の料金は無料 • VCNあたり最大10個のLPG •

    異なるテナンシーのVCNとも接続可能 (クロス・テナンシー・ピアリング) ローカルVCNピアリング VCN1 VCN2 VCN3 VCN4 OCIリージョン Local Peering Gateway 1 Local Peering Gateway 2 ・ ・ ・ Local Peering Gateway 10 Local Peering Gateway 2-1 Local Peering Gateway 3-1 Local Peering Gateway 4-1 Copyright © 2020, Oracle and/or its affiliates. 6
  7. 11 i あるVCNからピアリング先のVCNを経 由した別VCN、OCI他サービス (Oracle Servicesネットワーク)、イン ターネットとの直接通信 (トランジット) 不可 アドレス範囲が重複するVCNはピアリ

    ング不可 複数(例えば3つ)のVCNとピアリングし ている場合、その3つのVCNではアド レス範囲の重複可能 (VCN1内のサ ブネット毎に別のルート表の紐付けを 推奨) ローカルVCNピアリング 構成上の注意 VCN1 10.0.0.0/1 6 VCN2 10.0.0.0/1 6 VCN 1 VCN 2 VCN 3 VCN1 10.0.0.0/1 6 VCN3 192.168.0. 0/16 VCN2 192.168.0. 0/16 VCN4 192.168.0. 0/16 ※ VCN1のルート表に重複するアドレス範囲の ルールがある場合、プレフィックスの最長一致 規則(ロンゲスト・マッチ)にしたがってルーティン グされる ※ VCNをトランジットしたVCNとオンプレミスの 通信は可能 Copyright © 2020, Oracle and/or its affiliates. 7
  8. 1. 接続を確立するための IAM ポリシーを準備 2. 各 VCN でローカル・ピアリング・ゲートウェイを作成 3. LPG間でピアリングを設定

    4. 各VCNのルート表の更新 5. 各VCNのセキュリティ・リストの更新 6. 接続のテスト ローカルVCNピアリングの構成手順 Copyright © 2020, Oracle and/or its affiliates. 8
  9. 異なるテナンシー(異なる契約) のVCN間をローカル・ピアリング 片方をリクエスター、もう片方をアクセプターとして作成したIAMポリシーの権限で作成 ※ 別リージョンのVCNとは構成不可 クロス・テナンシー・ピアリング リージョン VCN1 10.0.0.0/16 192.168.0.2

    10.0.0.2 VCN2 192.168.0.0/16 LPG LPG ピアリング Requestorコンパートメント ABC社テナンシー Acceptorコンパートメント XYZ社テナンシー Define tenancy Acceptor as ocid1.tenancy.oc1…. Allow group Requestor to manage local-peering-from in compartment Requestor Endorse group RequestorGrp to manage local-peering-to in tenancy Acceptor Endorse group RequestorGrp to associate local-peering-gateways in compartment RequestorComp with local-peering-gateways in tenancy Acceptor Define tenancy Requestor as ocid1.tenancy.oc1..aaaaaaarequestorComp Define group Requestor as ocid1.group.oc1..aaaarequestorgrp Admit group Requestor of tenancy Requestor to manage local-peering-to in compartment Acceptor Admit group Requestor of tenancy Requestor to associate local-peering-gateways in tenancy Requestor with local-peering-gateways in compartment AcceptorComp Copyright © 2020, Oracle and/or its affiliates. 9
  10. 異なるリージョンにある2つのVCN間をピア・ツー・ピアで接続 • OCIのバックボーン回線を経由したリージョン間の接続 • ダイナミック・ルーティング・ゲートウェイ (DRG) を使用 • ゲートウェイ(DRG)やピアリングは無料、バックボーンを利用したリージョン外への通信は外部データ転送 (Outbound

    Data Transfer) の課金にカウント • 別テナンシーのVCNとのリモート・ピアリング(クロス・テナンシー・ピアリング)は不可 リモートVCNピアリング VCN2 OCI REGION2 DRG-1 RPC-1 RPC-2 OCI REGION1 VCN1 DRG-2 Copyright © 2020, Oracle and/or its affiliates. 10
  11. リモートVCNピアリング 構成上の注意 Peering先のVCNを通じて別のネットワークにアクセスする こと(Transit)は不可 すべてのVCN CIDRが重複してはならない 特定のVCNが複数のピアリング関係を持つ場合、それら の他のVCNは互いに重複するCIDRを持つことは不可 例)VCN-1がVCN-2およびVCN-3とピアリング されてい

    る場合。VCN-2とVCN-3は重複するCIDRを持つことはで きない クロス・テナンシー・ピアリングは不可 VCN2 VCN1 VCN1 10.0.0.0/16 VCN2 192.168.0./16 VCN3 192.168.0./16 VCN3 VCN2 10.0.0.0/16 VCN1 10.0.0.0/16 ×不可能 ×不可能 ×不可能 Copyright © 2020, Oracle and/or its affiliates. 11
  12. リモートVCNピアリングの構成手順 1. DRGを作成 2. DRGをVCNに接続 3. 接続を確立するためにIAMポリシーを設定 4. DRG間の接続を確立 5.

    ルートテーブルを更新 6. セキュリティリストを更新 7. 接続テスト Copyright © 2020, Oracle and/or its affiliates. 12
  13. Oracle Services Network へのアクセス Access to Oracle Services Network Copyright

    © 2020, Oracle and/or its affiliates. 13
  14. Oracle Services Network とは? • OCIの各種サービスのエンドポイントが存在するOCIの 概念的なネットワーク • OCIリージョンの中に存在し、VCNの外側に存在する •

    この中のサービスは、インターネット経由でアクセスする ためのNATされたパブリックIPアドレスを持つものも多 い • Oracle Services Network内のサービスの例 ※ • OCI APIのエンドポイント • Object Storage • Oracle Autonomous Database • Analytics Cloud Service などのPaaSやSaaS ※ OCIのコンソール画面 (https://console.<region>.oraclecloud.com)は Oracle Services Network内には存在しません OCIリージョン VCN VCN VCN Oracle Services Network Object Storage Autonomous Database Copyright © 2020, Oracle and/or its affiliates. 14
  15. VCN内からOracle Services Gatewayに到達するには、いずれかのゲートウェイを経由する必要がある 1. インターネット・ゲートウェイ経由 • VCN内のインスタンスにパブリックIPが必要 (パブリック・サブネット必須) • パブリックIPでの通信

    • VCNとインターネットの双方向通信が許可 2. NATゲートウェイ経由 • VCN内のインスタンスにパブリックIPは不要 (プライベート・サブネット可) • ゲートウェイでプライベートIP-パブリックIP変換が行われる • インターネットとの通信はVCNからのアウトバウンド方向のみ許可 3. サービス・ゲートウェイ経由 • VCN内のインスタンスにパブリックIPは不要 (プライベート・サブネット可) • ゲートウェイでプライベートIP-プライベートIP変換が行われる (送信元IPには240.0.0.0/4が利用される) • VCNからインターネットに出る通信は不許可 4. VCN内に設置したプライベート・エンドポイント経由 • VCN内にインスタンスにパブリックIPは不要 (プライベート・サブネット可) • VCN内のプライベートIPで通信 • 一部のサービスが対応 (Autonomous Database、Oracle Data Safe) VCNの中 から Oracle Services Network へのアクセス方法 Copyright © 2020, Oracle and/or its affiliates. 15
  16. VCN オンプレミスから Oracle Services Network へのプライベート・アクセス方法 1. FastConnect パブリック・ピアリング •

    FastConnectをパブリックIPで利用 2. VCN Transit Routing • DRGとService Gatewayを直接ルーティング 3. プロキシサーバー経由 • VCN内に設置したプロキシを経由 4. プライベート・エンドポイント • VCN内にエンドポイントを設置 (Autonomous DBのみ利用可) 5. 番外: ロードバランサー経由 • LBのListener IP を介してNATアクセス ※ ホスト名アクセスではないため非推奨 Customer Data Center FastConnect (Public Peering) Autonomous Database Service Gateway OCIリージョン Proxy Server Private Load Balancer ADB Private Endpoint 1 2 FastConnect (Private Peering) 3 4 5 Copyright © 2020, Oracle and/or its affiliates. 16
  17. プライベート・エンドポイント Oracle Services Network 内にホストされる特定のサー ビスにアクセスするためのエンドポイントを、VCN内に作成 する仕組み • ユーザーがインスタンス毎にプライベート・エンドポイント を明示的に作成して有効化

    • VCN内にプライベートIPを持つ仮想NICとして表示 • サービス・ゲートウェイやトランジット・ルーティング等の 設定が不要になる 対応するサービス • Autonomous Database (共有) • Oracle Data Safe • (今後も追加予定) Copyright © 2020, Oracle and/or its affiliates. 17
  18. VCNトランジット・ルーティング Transit Routing Scenarios Copyright © 2020, Oracle and/or its

    affiliates. 18
  19. VCNの1つを中継ネットワークとして経由(トランジット)させ、外部のネットワークと別VCNの直接通信を可能にする技術 VCNトランジット・ルーティング 外部ネットワーク (オンプレミス/Azure) 中継VCN VCN FastConnect / IPsec VPN

    ピアリング 中継VCNを経由して直接通信 Copyright © 2020, Oracle and/or its affiliates. 19
  20. 2つのユースケースで利用可 • 1つのFastConnect/VPN接続を複数のVCNで共有 • 1つのFastConnect契約やVPN接続を、複数のVCNで共有して利用したい場合に構成する • 同一リージョン内であれば、別テナンシーのVCNとでも構成可能 • パブリックIPを持つOracleサービスへのプライベート接続 •

    オンプレミスから、VCN外にあるパブリックIPしか持たない Oracle サービス (Object Storage/Autonomous DB) に対し、インター ネットを介さずに FastConnect やVPN接続経由で接続したい場合に構成する VCNトランジット・ルーティングのユースケース Copyright © 2020, Oracle and/or its affiliates. 20
  21. 外部 ネットワーク ハブ VCN スポーク VCN-2 スポーク VCN-1 スポーク VCN-3

    ローカル VCN ピアリング ユースケース1 - 1つのFastConnect/VPN接続を複数のVCNで共有 • 1つのVCNがハブとなり、複数のスポークVCNと接続す るハブ&スポークの形状となる • 外部ネットワークとは、ハブVCNのみがFastConnect / VPN で直接接続されており、各スポークVCNと外 部ネットワークの間の通信は、ハブVCNがゲートウェイ となって中継(トランジット)する • ハブVCNとスポークVCNの間はローカルVCNピアリング で接続するため、ローカルVCNピアリングの構成上の 制約を受ける • ハブとスポークは同一リージョン • ハブとスポークは別テナンシーにあっても可 • ピアリング数最大10個/VCN Copyright © 2020, Oracle and/or its affiliates. 21
  22. ユースケース1 - 複数VCNでのFastConnect/VPN接続の共有 ハブVCN内にインスタンスを置かず、ハブVCNのDRGとLPGを直接ルーティングするパターン DRGに関連付けられているルー ト表には、LPGまたはプライベート IPを対象とするルールのみを含め ることができる LPGに関連付けられているルート 表は、DRGまたはプライベートIP

    をターゲットとするルールのみを持 つことができる DRGまたはLPGは、関連付けら れたルート表なしで存在できる 外部ネットワーク HUB VCN SPOKE VCN-1 Local Peering Destination CIDR Route Target 192.168.0.0/16 LPG-1 172.16.0.0/12 DRG Destination CIDR Route Target 10.0.0.0/16 LPG-2 172.16.0.0/12 LPG-2 LPG-1 LPG-2 10.0.0.0/16 192.168.0.0/16 Destination CIDR Route Target 192.168.0.0/16 LPG-1 Destination CIDR Route Target 172.16.0.0/12 DRG 172.16.0.0/12 Copyright © 2020, Oracle and/or its affiliates. 22
  23. ユースケース1 - 複数VCNでのFastConnect/VPN接続の共有 ハブVCN内に置いたインスタンスを経由させるパターン 外部ネットワーク (オンプレミス/Azure) 172.16.0.0/12 ORACLE CLOUD INFRASTRUCTURE

    REGION FastConnect Hub VCN 10.0.0.0/16 LPG2 Spoke VCN-1 10.1.0.0/16 Spoke VCN-2 10.2.0.0/16 172.16.0.0/16 Local Peering Local Peering Firewall FW UnTrust Subnet 10.0.4.0/24 FW Trust Subnet 10.0.8.0/24 vnic1 vnic2 LPG T1 LPG1 10.0.4.2 10.0.8.2 Destination CIDR Route Target 10.1.0.0/16 10.0.4.2 10.2.0.0/16 10.0.4.2 Destination CIDR Route Target 172.16.0.0/16 DRG Destination CIDR Route Target 10.1.0.0/16 LPGT1 10.2.0.0/16 LPGT2 LPG T2 Destination CIDR Route Target 172.16.0.0/16 10.0.8.2 Destination CIDR Route Target 172.16.0.0/16 10.0.8.2 Copyright © 2020, Oracle and/or its affiliates. 23
  24. ユースケース1の実装例 – ISVによる共有専用線の提供 https://www.ateam-oracle.com/isv-architecture-validated-design Copyright © 2020, Oracle and/or its

    affiliates. 24
  25. OCIリージョン Service Gateway • オンプレミスから、Oracle Services Network(VCN外にあるパブリックIPしか持たな い Oracle サービス

    (Object Storage/Autonomous DB) に対し、インター ネットを介さずに FastConnect やVPN接続経 由で接続したい場合に構成する • VCNが、オンプレミスとOracle Services Network (OCIリージョン内のVCN外のネット ワーク) を中継(トランジット)する形状となる • VCNからはサービス・ゲートウェイを経由して Oracle Services Networkに到達する ユースケース2 - パブリックIPを持つOracleサービスへのプライベート接続 外部ネットワーク VCN ORACLE SERVICES NETWORK Object Storage Copyright © 2020, Oracle and/or its affiliates. 25
  26. ユースケース2 - パブリックIPを持つOracleサービスへのプライベート接続 VCN内にインスタンスを置かず、DRGとSGを直接ルーティングするパターン ORACLE CLOUD INFRASTRUCTURE REGION VCN 10.0.0.0/16

    . On-premises Network 172.16.0.0/12 Dynamic Routing Gateway Service Gateway Object Storage Oracle Services Network Fastconnect or VPN Destination CIDR Route Target All Services in Region Service Gateway Destination CIDR Route Target 172.16.0.0/12 DRG Route Table associated with DRG Route Table associated with Service Gateway ADW/ATP Virtual Machine Copyright © 2020, Oracle and/or its affiliates. 26
  27. VCN内に置いたインスタンスを経由させるパターン(仮想ファイアウォールを経由させる場合などに利用) ユースケース2 - パブリックIPを持つOracleサービスへのプライベート接続 VCN 10.0.0.0/16 SUBNET 10.0.4.0/24 SUBNET 10.0.8.0/24

    and more.. Object Storage Oracle Services Network Service Gateway Dynamic Routing Gateway On-premises Data Center 172.16.0.0/12 VNIC VNIC Instance 10.0.4.3 10.0.8.3 Fastconnect or VPN Connect Private IP Private IP DRG Destination CIDR Destination CIDR Route Target Route Target 172.16.0.0/12 Service Gateway All Services in Region Destination CIDR Route Target All Services in Region 10.0.4.3 Destination CIDR Route Target 172.16.0.0/12 10.0.8.3 Route Table associated with Service gateway Route Table associated with DRG ORACLE CLOUD INFRASTRUCTURE REGION Route Table associated with subnet-frontend Route Table associated with subnet-Backend Copyright © 2020, Oracle and/or its affiliates. 27
  28. OSN Object Storage Private Subnet 10.0.6.0/24 Oracle Cloud Infrastructure (Region)

    Availability Domain 1 Availability Domain 3 Public Subnet 10.0.0.0/24 VM 10.0.0.5 129.213.80.25 Database System 10.0.6.3 Virtual Cloud Network 10.0.0.0/16 Service Gateway Autonomous Database ATP/ADW Dynamic Routing Gateway Telemetry/ Monitoring GatewaySubnet 10.0.6.0/24 Availability Zone Subnet_OApp 172.16.0.0/24 VM 172.16.0.5 23.100.26.160 Subnet for Virtual Network Gateway VNet 172.16.0.0/16 Microsoft Azure (Region) FastConnect ExpressRoute Virtual Network Gateway Cross-Cloud Network Azureとの接続 + トランジット・ルーティング Copyright © 2020, Oracle and/or its affiliates. 28
  29. アプライアンス型仮想ファイアウォールの利用 Deploy Virtual Firewall on OCI Copyright © 2020, Oracle

    and/or its affiliates. 29
  30. パブリックサブネット 10.0.0.0/24 オラクルクラウドリージョン 可用性ドメイン1 VCN 10.0.0.0/16 プライベート・サブネット 10.0.1.0/24 ファイアウォールインス タンス

    プライベート・インスタ ンス 0.0.0.0/0 ファイアウォールの プラ イベートIP 172.16.0.0/16 DRG ルート・ターゲットとしてのプライベート IP VCN外へのトラフィックのターゲット(次ホップ)としてプライ ベートIPアドレスを直接指定する機能 ユースケース : アプライアンス型の仮想ファイアウォールや UTM(IDS/IPS)を設置し、すべてのトラフィックが必ずそこ を経由するように構成 Copyright © 2020, Oracle and/or its affiliates. 30
  31. Oci 可用性ドメイン-2 可用性ドメイン-1 パブリックサブネット VCN: 10.0.0.0/16 保護層 パブリックサブネット パブリック・ロー ドバランサー

    インターネッ ト・ゲートウェ イ インターネット オンプレミス ネットワーク Fortigate NGFW を利用した仮想ファイアウォールの設置例 クライアント プライベート・サブネット プライベート・サブネット プライベートロー ド バランサー ウェブ/アプリ層 プライベート・サブネット プライベート・サブネット DB 層 DB システム DataGuard同期 Fortigate NGFW Fortigate NGFW Bastion Bastion OCI ブログFortigateNGFW Copyright © 2020, Oracle and/or its affiliates. 31
  32. Juniper vSRX を使用した仮想ファイアウォールの設置例 • Juniper vSRXは、ステートフルファイアウォール保護、 IPS、アンチウイルス、Webフィルタリング、スパム対策 などのアプリケーションおよびコンテンツセキュリティ機能 などの利点を提供します •

    高レベルのワークフロー • 図に示すように、VCN と3つのサブネットを作成します。 • vSRXイメージをインポートして、VCN上にvSRXインス タンスを起動 • vNICを各サブネットに追加 • インスタンスコンソール接続手順を使用してvSRXをセッ トアップ • 参考ブログ - how to setup a vSRX on OCI - https://blogs.oracle.com/cloud-infrastructure/how- to-deploy-a-virtual-firewall-appliance-on-oracle- cloud-infrastructure Copyright © 2020, Oracle and/or its affiliates. 32
  33. North-South Traffic Palo Alto VMシリーズを使用した仮想ファイアウォールの設置例 https://docs.paloaltonetworks.com/vm-series/9-0/vm-series-deployment/set-up-the-vm- series-firewall-on-oracle-cloud-infrastructure/deployments-supported-on-oci.html Inter-VCN Traffic (East-West)

    Copyright © 2020, Oracle and/or its affiliates. 33
  34. ハイブリッドDNS構成 Hybrid DNS Configuration Copyright © 2020, Oracle and/or its

    affiliates. 34
  35. VCN の中には DNSサーバー (= VCNリゾルバー) が 169.254.169.254 に自動的に構成され、VCN内のホストの名前解 決を提供する ただし、VCNリゾルバーにはVCN内のインスタンスからのみ到達可能

    このため、VCNがオンプレミス・ネットワークとVPNやFastConnectでプライベート接続されている場合、オンプレミスとVCN で相互に名前解決を行うためには、VCN内にDNSサーバーを構成し、オンプレミスのDNSサーバーとの間でフォワーダーを 相互に設定し、ハイブリッドDNSを構成する必要がある ハイブリッドDNSのTerraform構成サンプルが以下のOCI公式Githubリポジトリにある • https://github.com/terraform-providers/terraform-provider- oci/blob/255817f83956f1f9a3ab903e11465e8b4dde1957/docs/examples/networking/hybrid_dns/H ybrid-DNS-configuration-using-DNS-VM-in-VCN.md ハイブリッドDNS構成 Copyright © 2020, Oracle and/or its affiliates. 35
  36. ハイブリッドDNS構成 ケース1 : オンプレ側からVCN内ホストの名前を解決 1. オンプレミス内のクライアントがVCN内のホスト (db1.exaclient.custvcn.oraclevcn.com) の名前 解決を要求するDNSクエリを発行 2.

    クエリを受け取ったオンプレミスのDNSサーバーがプラ イベート接続 (VPNまたはFastConnect) 経由で VCN(10.0.10.15) のDNS VMにクエリを転送 3. さらにVCN DNSリゾルバー(169.254.169.254)に DNSクエリを転送 4. DNS VMはFQDNのIPアドレスを取得し、オンプレミ スDNSサーバーに応答 5. オンプレミスDNSサーバーがIPアドレスを取得し、クラ イアントに応答 Copyright © 2020, Oracle and/or its affiliates. 36
  37. ハイブリッドDNS構成 1. VCN内のクライアントがオンプレミス・ネットワーク内 のホスト(app1.customer.net) の名前解決を要求 するDNSクエリを発行 2. サブネットのDHCPオプションでカスタム・リゾルバーに 設定されているDNSサーバー(10.0.10.15)がDNSク エリーを受信

    3. プライベート接続 (VPNまたはFastconnect) 経由 でオンプレミスDNSサーバー(172.16.0.5) にDNSクエ リを転送 4. DNS VMが応答を取得してクライアントに返送 ケース2 : OCI側からオンプレミス・ネットワーク内のホストの名前を解決 Copyright © 2020, Oracle and/or its affiliates. 37
  38. VCNフローログ VCN Flow Logs Copyright © 2020, Oracle and/or its

    affiliates. 38
  39. VCN内に流れるトラフィックを記録 VCNを流れるすべての通信のメタデータの記録を保持し、ロギング・サービスに統合 ネットワークの監視やトラブルシューティング、コンプライアンス対応のために利用可能 サブネット単位で設定し、サブネット内のすべてのリソースに対応 • インスタンスのVNICのみでなくプライベート・エンドポイントにも対応 以下のような内容が記録される • トラフィックの送信元IPアドレスとポート番号/送信先IPアドレスとポート番号 •

    トラフィック量 • セキュリティ・ルールによる許可/拒否 ログ内容の例 ログフォーマット詳細 • https://docs.cloud.oracle.com/en- us/iaas/Content/Logging/Reference/details_for_vcn_flow_logs.htm#details_for_vcn_flow_logs VCN Flow Logs VCN Flow Logs ACCEPT TCP 172.21.2.185 Port 43360 → 129.146.13.236 Port 443 Bytes 10515 Packets 19 ACCEPT TCP 129.146.13.236 Port 443 → 172.21.2.185 Port 43360 Bytes 5548 Packets 14 https://blogs.oracle.com/cloud-infrastructure/announcing-virtual-cloud-network-flow-logs-general-availability-for-oracle-cloud-infrastructure Copyright © 2020, Oracle and/or its affiliates. 39
  40. OCI Flow Logs の Oracle Management Cloud (OMC) Log Analytics

    連携 https://blogs.oracle.com/managementcloud/how-to-ingest-oci-vcn-flow-logs-into-omc-v2 Oracle Management Cloud の Log Analytics サービ スに、OCI Flow Logsのログを取り込んで表示、分析 ステップ • Flow Logs を有効化してObject Storageのバケット にログを出力 • OMCからOCI Flow Logsのログが出力されているバ ケットにアクセスしてログを抽出 • OMCのコンソールでログを表示、解析 Copyright © 2020, Oracle and/or its affiliates. 40
  41. OCI Flow Logs の Splunk 連携 https://blogs.oracle.com/cloud-infrastructure/how-to-ingest-vcn-flow-logs-into-splunk 新機能 • OCI

    が Splunk Technology Alliance Partner (TAP) パートナーに認定 • splunk.com ダウンロードセンターからのOCIログ用の プラグインの提供 ユースケース • OCIログをSplunkで一覧で閲覧 • Flow Logs • Audit Logs • ログのパース、解析 Copyright © 2020, Oracle and/or its affiliates. 41
  42. このレッスンでは、次のことを学習しました • ピアリングを利用した複数VCNの接続についての理解 • Oracle Services Networkの概念と、VCN内やオンプレミスからの接続方法についての理解 • 1つのVCNを経由(トランジット)したネットワーク間の直接通信のケースについての理解 •

    アプライアンス型の仮想ファイアウォールを利用するケースについての理解 • VCNとオンプレミスでハイブリッドDNSを構成するケースについての理解 • フローログを使ってVCN内の通信ログを取得する仕組みについての理解 まとめ Copyright © 2020, Oracle and/or its affiliates. 42
  43. 日本語マニュアル – ネットワーキング • https://docs.cloud.oracle.com/ja-jp/iaas/Content/Network/Concepts/overview.htm チュートリアル –クラウドに仮想ネットワーク(VCN)を作る • https://community.oracle.com/docs/DOC-1019114 VCN

    関連の技術情報 Copyright © 2020, Oracle and/or its affiliates. 43
  44. Oracle Cloud Infrastructure マニュアル (日本語 / 英語) • https://docs.cloud.oracle.com/iaas/api/ -

    APIリファレンス • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/aqswhitepapers.htm - テクニカ ル・ホワイト・ペーパー • https://docs.cloud.oracle.com/iaas/releasenotes/ - リリースノート • https://docs.cloud.oracle.com/ja-jp/iaas/Content/knownissues.htm - 既知の問題(Known Issues) • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/graphicsfordiagrams.htm - OCIアイコン・ダイアグラム集(PPT、SVG、Visio用) ※ 日本語版は翻訳のタイムラグのため情報が古い場合があります。最新情報は英語版をご確認ください Oracle Cloud Infrastructure マニュアル・ドキュメント Copyright © 2020, Oracle and/or its affiliates. 44
  45. Oracle Cloud Infrastructure 活用資料集 • https://community.oracle.com/docs/DOC-1035494 チュートリアル - Oracle Cloud

    Infrastructureを使ってみよう • https://oracle-japan.github.io/ocitutorials/ Oracle Cloud ウェビナーシリーズ • https://www.oracle.com/goto/ocws-jp Oracle 主催 セミナー、ハンズオン・ワークショップ • https://www.oracle.com/search/events/_/N-2bu/ Oracle Cloud Infrastructure – General Forum (英語) • https://cloudcustomerconnect.oracle.com/resources/9c8fa8f96f/summary Oracle Cloud Infrastructure トレーニング・技術フォーラム Copyright © 2020, Oracle and/or its affiliates. 45
  46. Thank you Copyright © 2020, Oracle and/or its affiliates. 46

  47. None
  48. Our mission is to help people see data in new

    ways, discover insights, unlock endless possibilities.