※ 本記事は、Troy Levin による“Private endpoints for Oracle services”を翻訳したものです。
2022年3月25日
Oracle Cloud Infrastructure(OCI)は、Autonomous Data Warehouse、Oracle Analytics Cloud、Streaming、Data Safeなど、人気の高いOracle Platform as a Serviceおよびinfrastructure as a Service(PaaS and IaaS)アプリケーションを数多く提供しています。
このブログでは、プライベート・エンドポイントを介したOracleサービスへのプライベート・アクセスについて説明します。この機能を使用すると、OCI仮想クラウド・ネットワーク(VCN)内またはオンプレミス・ネットワークからプライベートIPアドレスを通じて直接OCIサービスにアクセスでき、インターネット上での遅延とパフォーマンスの予測不可能性を回避することができます。このサービスは、Oracleサービスを利用する際の、ユビキタスかつ安全なプライベート・アクセスの需要に対応するものです。
プライベート・エンドポイントは、すべての商用および政府機関向け地域で利用可能です。現在、多くの一般的なOracleサービスがプライベート・エンドポイントをサポートしており、その他のOracleサービスについても順次サポートが開始されます。
OCIのお客様には、一般的なOracleサービスへの接続方法として、ニーズに応じて次のような接続オプションが用意されています。
- VCNを介したパブリック・アクセス: パブリック・サブネットではインターネット・ゲートウェイ、プライベート・サブネットではNATゲートウェイを介したVCNルーティングにより、OCI内部からOracleサービスにアクセスできます。いずれの場合も、接続はパブリックにルーティングされます。インターネット・ゲートウェイとNATゲートウェイの使用とセットアップの詳細については、ドキュメントを参照してください。
- FastConnectまたはサイト間VPNのパブリック・ピアリングによるパブリック・アクセス: 顧客構内設備とOracleのEdge間をピアリングし、サイト間VPNを使用する、またはしないパブリック仮想回線を通じて、オンプレミスから直接Oracleサービスにアクセスすることができます。FastConnectパブリック・ピアリングの使用とセットアップの詳細については、FastConnectのドキュメントを参照してください。
- VCNサービス・ゲートウェイを介したプライベート・アクセス: サービス・ゲートウェイを介した VCNルーティングを使用して、OCI内からOracleサービスにアクセスすることができます。サービス・ゲートウェイを使用すると、インターネットまたはNATゲートウェイを使用してインターネット上でトラフィックをルーティングする必要なく、顧客のVCNまたはバックエンド構内ネットワークがOracleサービスのパブリックIPアドレスにアクセスできるようになります。この設定により、トラフィックはOracleのプライベート・バックボーン上でルーティングされるようになります。サービス・ゲートウェイの使用と設定の詳細については、「Oracleサービスへのアクセス: サービス・ゲートウェイ」を参照してください。
- FastConnectまたはVCNサービス・ゲートウェイを介したサイト間VPNのプライベート・ピアリングによるプライベート・アクセス: FastConnectプライベート仮想回線またはサイト間VPNを介してOracleサービスにアクセスすることができます。トラフィックはVCNを経由し、サービス・ゲートウェイを経由して目的のOracleサービスに移動します。FastConnectプライベート・ピアリングの使用とセットアップの詳細については、ドキュメントを参照してください。
パブリック・アクセスは、サービスのパブリックCIDRへの接続を指します。トラフィックは必ずしもパブリック・インターネットを通過するわけではありません。多くの場合、インターネットとNATゲートウェイを使用しても、トラフィックは Oracleのプライベート・バックボーンを通過することがあります。
プライベート・エンドポイントを介したプライベート・アクセス
多くのオラクル顧客クラウド・ネットワークは、インターネットへのアウトバウンド接続を防止するように設計されています。一般的なオンプレミスでデプロイされるサービスは、企業のイントラネット上でホストされており、公共のインターネットへのアクセスは必要ありません。これらのサービスをパブリック接続モデルでクラウドに移行するには、バックエンドのクライアントがインターネットにアクセスできるようにし、ファイアウォールやその他のセキュリティ制御に穴をあける必要があります。サービス・ゲートウェイを使用したプライベート接続は、プライベートで安全な代替手段を提供します。サービス・ゲートウェイは、顧客のOCIやオンプレミス・ネットワークからOracleサービスへのプライベート・アクセスを可能にしますが、このアクセスは一般にアクセス可能なIPを介して行われます。
プライベート・エンドポイントは、プライベート接続モデルを進化させたもので、顧客はVCN内のサブネットから取得したプライベートIPを使用してOracleサービスにアクセスします。この機能により、顧客は自分のVCNまたはオンプレミス・サイトのプライベート・ネットワーク内でサービスをホストすることができます。プライベート・エンドポイントは逆接続をサポートしており、Oracleサービスが顧客のVCN内のインスタンスまたはオンプレミスのデータ・ソースへの接続を開始できるようにします。このパターンはデータベース・サービスでは一般的ですが、サービス・ゲートウェイ・アクセス・モデルでプライベート接続を使用した場合はサポートされません。
次のアーキテクチャ図は、顧客からサービスへ(C2S)または順方向と、サービスから顧客へ(S2C)または逆方向のトラフィックが、プライベート・エンドポイントを経由して流れる様子を示しています。顧客のVCN内では、プライベート・エンドポイントは、サービスの完全修飾ドメイン名(FQDN)またはIPアドレスの論理的表現となります。お客様は、選択したサブネットから動的に割り当てられた無料のプライベートIPアドレスをターゲットとして、サービスにアクセスします。プライベート・エンドポイントは、物理的に顧客のVCNの外に存在し、サービス・プロバイダが顧客に代わって管理します。
図 1: プライベート・エンドポイントの論理アーキテクチャ図
ユース・ケース
プライベート・エンドポイントは、以下のようなユース・ケースとメリットを提供します。
拡張プライベート・コネクティビティ
多くのオラクルのお客様は、オラクルがホストするサービスへのアクセスをパブリックIPアドレスではなくプライベートIPアドレスで行う場合、使い慣れたオンプレミスのプライベート・アクセス接続モデルを求めています。プライベート・エンドポイントは、Oracleサービスへのトラフィックがオラクルのプライベート・バックボーンであるOCIを使用することを保証することにより、顧客構内およびOCIテナントからのプライベート接続を拡張します。
セキュリティの強化
お客様の組織に厳格なセキュリティ要件があり、インターネット経由のトラフィックが許可されないパブリック・エンドポイントを持つことができない場合、プライベート・エンドポイントはさらに、Oracle Hosted Servicesにプライベートで接続する安全な方法を提供します。また、オラクルのセキュリティ・リストとネットワーク・セキュリティ・グループ(NSG)を使用して、送信元と指定先の両方にプライベートIPアドレス空間を使用するオラクルのサービス宛てのトラフィックに、きめ細かいアクセスコントロールを提供することもできます。
シームレスなサービス統合
オラクルのサービス・プロバイダは、消費者に代わって顧客体験全体を管理することで、シームレスな体験を実現します。消費者は、プライベート・エンドポイントをサポートする個々のサービスのプロビジョニングにのみ関心を持てばよいのです。サービス・プロバイダは、サービス・コンソールまたはAPIとやり取りする際に、顧客のサブネットとNSG内でプライベート・エンドポイントを使用するオプションを顧客に提供します。顧客は、プライベート・エンドポイントのライフサイクルを管理する責任はありません。サービスを終了すると、そのVCN内のサービスに関連付けられたプライベート・エンドポイントも削除されます。
管理の簡素化
プライベート・エンドポイントは、NATやサービス・ゲートウェイをデプロイおよび管理する必要がなく、サービスに接続するためのルート・テーブルを変更する必要もないため、簡単に使用することができます。
リバース接続
リバース接続またはS2C機能により、Oracleサービスは、消費者のOCI VCNまたはオンプレミス・ネットワーク内のインスタンスに非公開で接続を開始することができます。この機能により、Oracle Analytics Cloud(OAC)と同様のサービスが、従来のIPおよびSCANプロトコルを使用して、VCNまたは構内の顧客データベース・エンドポイントに接続してデータを取り込むことができます。
ドメイン・ネーム・システムの解決
多くの場合、顧客はサービスのFQDNを使用してOracleサービスにアクセスし、それをIPアドレスに解決するためにOracleのプライベートDNS(Domain Name System)サービスに依存しています。プライベート・エンドポイントは、コンシューマVCN内からOracleサービスのFQDN を自動的に解決することができます。この機能により、カスタマーのインスタンスがサービスにアクセスする際にDNS名を使用し、TLS/SSL証明書の不一致エラーを回避することができます。リバース接続の場合、プライベート・エンドポイントは、リバース方向(S2C)でカスタマー・インスタンスへの接続を開始する際、サービス・プロバイダVCN内からカスタマーFQDNSを自動解決することも可能です。
シングル・クライアント・アクセス名(SCAN)
SCANは、Oracleデータベースが所有し使用する独自のプロトコルです。SCANプロトコルとそのリスナーは、Oracle Database Real Application Clusters(RAC)用のアプリケーションレベルのロードバランサーです。逆接続エンドポイントを持つプライベート・エンドポイントでは、サービスが顧客のデータベース・インスタンスに接続する際に、セキュリティを強化するためにOracle Walletの資格情報を使用してSCANプロトコルをサポートすることができます。
プライベート・エンドポイントとサービス・ゲートウェイの比較
サービス・ゲートウェイとサービス・プライベート・エンドポイントは、いずれもプライベートな顧客ネットワークとOracleサービス間のプライベートな接続を可能にしますが、プライベートなアクセス要件を満たすかどうかは異なっています。次の表は、プライベート・エンドポイントが適している場合を明確にするのに役立ちます。
| 機能 | プライベート・エンドポイント | サービス・ゲートウェイ |
|---|---|---|
| アクセスのしやすさ | 消費者は、1つのサービス・プライベート・エンドポイントで、複数のサービスにアクセスすることはできません。アクセスが必要なサービス(またはサービス・インスタンス)ごとに、サービス・プライベート・エンドポイントを作成する必要があります。 | 消費者は、単一のサービス・ゲートウェイを使用して、すべてのサービスまたはオブジェクト・ストレージにオープン・アクセスします。 |
| サービスの制限 | さらに、単一のサービスに適用されるセキュリティ・リストまたはNSGを使用してトラフィックを制限します。 | さらに、セキュリティ・リストやNSGを使用して、すべてのサービスまたは特定のサービスのIP範囲を使用して単一のサービスを指定することによって、トラフィックを制限します。 |
| プライベート・コネクティビィティの方向性 | サービス・プライベート・エンドポイントは双方向の接続をサポートします。 | 消費者はサービスへの接続を開始することができますが、サービスは消費者のプライベート・ネットワークへの接続を開始することができません。 |
| リソースの制限 | プライベート・エンドポイントは顧客リソースとしてカウントされません。 | サービス・ゲートウェイは顧客資源としてカウントされます。 |
| 選択的アクセス | 単一のエンドポイントから、単一のサービスにアクセスできます。 | 一つのゲートウェイで複数のサービスにアクセスできます。 |
| サービス・エンドポイント表現 | コンシューマ・ネットワーク内のプライベートIPアドレスを用いて表現しています。 | プライベート・アクセスを可能にするゲートウェイとして表現されます。サービスは、コンシューマ・ネットワーク外のパブリックIPアドレスを用いて表現されます。 |
| 特定のアドレス | VCNのCIDR内にある、サービスのプライベート・エンドポイントの特定プライベートIPアドレスを知る必要があります。 | サービスのパブリック・エンドポイントは、「OSNのすべてのサービス」オブジェクトとして表現されます。 |
使用法
現在、人気の高いオラクルの多くのサービスがプライベート・エンドポイントをサポートしており、短期ロードマップでも多くのサービスがサポートされています。以下の一般的なサービスにおけるプライベート・エンドポイントの使用および設定に関する詳細情報をご覧いただけます。
- Oracle Analytics Cloud
- Oracle Autonomous Data Warehouse
- Oracle Data Catalog
- Oracle Data Flow
- Oracle Database Management
- Oracle Data Migration Service
- Oracle Data Safe
- Oracle GoldenGate
- Oracle Container Engine for Kubernetes (OKE)
- Oracle Streaming
サービス・ゲートウェイ: また、掲載されているすべてのサービスは、Oracleサービスにアクセスするためのサービス・ゲートウェイをサポートしています。
まとめ
プライベート・エンドポイントは、クラウド・ネットワーキングを強化・簡略化することができると考えています。この機能によって、お客様のネットワーク設計やソリューション開発がどのように改善されるのか、お聞かせいただけることを楽しみにしています。プライベート・エンドポイントがすべてのサービスで利用可能になると、お客様はOracleサービスに接続するための安全で信頼性が高く、パフォーマンスの高いプライベート・アクセス手法を利用できるようになります。
プライベート・エンドポイントにご興味をお持ちいただき、ありがとうございます。Virtual Networking製品チームを代表して、製品に関するご意見をVirtual Networkingグループに電子メールでお寄せいただくか、コメント欄にご記載いただくことをお勧めします。プライベート・エンドポイントやこのブログで取り上げたその他のトピックについては、弊社のオンライン・ドキュメントや以下のリンクで詳細をご覧いただけます。