※ 本記事は、Rajiv Gargによる”Announcing private IP address support for OCI Object Storage using private endpoints“を翻訳したものです。

2024年10月7日

本日、すべての商用リージョンでOracle Cloud Infrastructure (OCI) Object Storageのプライベート・エンドポイントの提供開始を発表します。プライベート・エンドポイントは、プライベートIPアドレスを使用して、仮想クラウド・ネットワーク(VCN)またはオンプレミス・ネットワークからOCI Object Storageにアクセスするためのセキュアなプライベート接続を可能にします。トラフィックは、パブリックIPアドレス(パブリック・エンドポイント)またはインターネットを経由しません。

OCI Object Storageは、複数のOCIサービスへのプライベート・アクセスを可能にするサービス・ゲートウェイをすでにサポートしています。ただし、サービス・ゲートウェイはパブリック・エンドポイントに依存しており、以下の理由から、トラフィックが暗号化されていても、それを使いたがらない顧客もいます:

  • 規制コンプライアンスへの対応: 機密データがパブリック・エンドポイントやインターネットを経由して、医療保険の相互運用性と説明責任に関する法律(HIPAA)やEU-US Privacy Shieldなどの規制へのコンプライアンスをサポートすることを防ぎます。
  • データ・プライバシ: プライベートIPアドレスを介してOracleホスティング・サービスにアクセスできる、使い慣れたオンプレミスのプライベート・アクセス接続モデルを求めています。

従業員情報、顧客データ、健康記録、または企業の機密情報を保存する際に、この特別なレベルのプライバシーが必要になる場合があります。プライベート・エンドポイントでは、プライベートIPアドレスを使用して、完全修飾ドメイン名(FQDN)を介して仮想クラウド・ネットワーク(VCN)またはオンプレミス・ネットワークからOCIオブジェクト・ストレージにアクセスできます。プライベート・エンドポイントでは、アクセス・ターゲットを作成して、プライベート・エンドポイントがアクセスできるオブジェクト・ストレージ・バケットを制限することもできます。また、プライベート・エンドポイントのアクセスはOCI Object Storageに限定され、トラフィックを分離できます。

このブログ投稿の最後に、プライベート・エンドポイントの実装のためのいくつかの実用的なステップについて説明します。

クラウド・アプリケーションのプライベート・エンドポイント

クラウド・アプリケーションで顧客データを保存する必要があり、企業のデータ・プライバシ・ポリシーによってパブリック・エンドポイントの使用が制限されているとします。これで、VCNにプライベート・エンドポイントを作成し、OCI Object Storageで使用されているバケットにマップできるようになりました。

A basic architecture of a cloud deployment with private endpoints.
図1: クラウド・アプリケーションのプライベート・エンドポイント

オンプレミス・アプリケーションのプライベート・エンドポイント

OCIにデータをプライベートに書き込む必要があるオンプレミス・アプリケーションを使用している場合は、動的ルーティング・ゲートウェイ(DRG)でFastConnectプライベート・ピアリングまたはサイト間VPNを使用してVCNに到達できます。たとえば、病院は、規制コンプライアンスをサポートするためにパブリック・エンドポイントを使用せずに、健康記録をOCI Object Storageに保存したいと考えています。VCNにプライベート・エンドポイントを作成し、FQDNを使用してオンプレミス・ネットワークからトラフィックをルーティングできます。プライベート・エンドポイントを作成すると、VCN内で一意のDNSレコードが作成され、FQDNが完全に解決可能になります。

An architecture diagram of an on-premises deployment with private endpoints.
図2: オンプレミス・アプリケーションのプライベート・エンドポイント

複数のプライベート・エンドポイントの構成

プライベート・エンドポイントを制限して、OCI Object Storage内の特定のバケット、コンパートメントまたはテナンシ・セットへのアクセスのみを許可できます。また、各プライベート・エンドポイントで最大25Gbpsのスループットが許可されます。1つのワークロードに25Gbpsを超える必要がある場合は、1つのVCNに複数のプライベート・エンドポイントを作成し、それらの間のロード・バランシングを行うことができます。

この例では、OCI Object Storageでバケット・アクセスが異なる複数のネットワークからの複数のプライベート・エンドポイントを表示します。

An architecture diagram multiple private endpoints.
図3: 複数のプライベート・エンドポイントの構成

プライベート・エンドポイントは指定されたバケットへのプライベートIPアドレス・パスを提供しますが、ユーザー・アクセスを有効にするには、アイデンティティおよびアクセス管理(IAM)ポリシーが引き続き必要です。また、オブジェクト・バケットのIAMポリシーを使用してルールを定義し、特定のVCNまたはそのVCN内のIP範囲から発生したリクエストのみにリクエストが認可されるようにすることもできます。インターネット経由を含むその他のすべてのネットワーク・アクセスがこれらのバケットにブロックされ、データをさらに保護します。

プライベート・エンドポイントの詳細は、OCI Private Endpointの概要を参照してください。

OCI Object Storageでのプライベート・エンドポイントの構成

OCI Object Storageでは、VCN内で選択したサブネットにプライベート・エンドポイントを設定できます。VCNに接続されている場合、プライベート・エンドポイントはデータへのプライベート接続を許可します。

管理者は、Oracle Cloudコンソール、API、CLIまたはTerraformを使用してプライベート・エンドポイントを設定できるようになりました。

プライベート・エンドポイントの作成

プライベート・エンドポイントを作成するには、次のステップを使用します:

  1. コンソールのナビゲーション・メニューで、「Storage」を選択します。「Object Storage & Archive Storage」で、「Private Endpoints」を選択します。
  2. List Scope」の下のリストからコンパートメントを選択します。
  3. Create Private Endpoint」を選択します。「Create Private Endpoint」ダイアログ・ボックスが表示されます。
Creating a private endpoint.
図4: プライベート・エンドポイントの作成
  1. プライベート・エンドポイントの名前およびDNS接頭辞を入力します。
  2. 「Select VCN in <compartment>」リストからプライベート・エンドポイントのVCNを選択します。
  3. リストからVCNの下のサブネットを選択します。
  4. アクセス・ターゲットをプライベート・エンドポイントに追加して、バケット、コンパートメントまたはネームスペースへのアクセスを制限します。
    • ネームスペース: アクセス・ターゲットのネームスペースを入力します。
    • コンパートメントOCID: アクセス・ターゲットのコンパートメントのOCIDを入力します。
    • バケット名: ターゲットのバケットの名前を入力します。

           「Access target」を選択して、別のアクセス・ターゲットを追加します(最大10)。

  1. 「Advanced Options」タブを選択して、次のオプション設定を追加します:
    • 優先IPアドレス: プライベート・エンドポイントで使用するIPアドレスを入力または選択します。
    • NSG: プライベート・エンドポイントにネットワーク・セキュリティ・グループ(NSG)を追加します。リストからNSGの名前を入力します。
    • その他のDNS接頭辞: リストからプライベート・エンドポイントに追加のDNS接頭辞を追加します。
  2. 「Tags」タブを選択して、プライベート・エンドポイントにタグを適用します。
  3. Create」を選択します。

プライベート・エンドポイントのリスト

次のステップを使用して、プライベート・エンドポイントをリストします:

  1. ナビゲーション・メニューで、「Storage」を選択します。「Object Storage & Archive Storage」で、「Private Endpoints」を選択します。
  2. 「List Scope」の下のリストからコンパートメントを選択します。そのコンパートメント内のすべてのプライベート・エンドポイントが表形式でリストされます。
A list of example private endpoints.
図5: プライベート・エンドポイントのリスト

 

プライベート・エンドポイントの編集

プライベート・エンドポイントを編集するには、次のステップを使用します:

  1. ナビゲーション・メニューで、「Storage」を選択します。
  2. 「Object Storage & Archive Storage」で、「Private Endpoints」を選択します。
  3. 「List Scope」の下のリストからコンパートメントを選択します。そのコンパートメント内のすべてのプライベート・エンドポイントが表形式でリストされます。
  4. 編集するプライベート・エンドポイントを選択します。プライベート・エンドポイントの「Details」ページが表示されます。
  5. Edit」を選択します。「Edit Private Endpoint」ダイアログ・ボックスが表示されます。
  6. ターゲットまたはタグにアクセスするために編集を行います。
  7. Save Changes」を選択します。
Editing a private endpoint’s access target.
図6: プライベート・エンドポイントの編集

 

プライベート・エンドポイントの作成、リストおよび編集に加えて、削除することもできます。

 

まとめ

VCN内のプライベートIPアドレスを使用してデータにアクセスすることで、OCI Object Storageのプライベート・エンドポイントによるセキュリティ体制の向上を支援できるようになりました。また、プライベート・エンドポイントを介してアクセスできるオブジェクト・ストレージ・バケットを制限することもできます。この機能の使用を開始するには、VCN内にプライベート・エンドポイントを作成および構成します。

まだOracle Cloud Infrastructureを使用していない場合は、無料トライアルにサインアップできます。

詳細は、次のリソースを参照してください: