作成日:2025/06/21 12:32:06
更新日:2025/10/12 16:35:19
トップページ
OCI資格情報(総合)
分類01:OCI資格概要
Oracle社公式サイト
OCI資格情報(2025)
分類01:OCI資格概要
資格名(2025)
- 1Z0-1124-25
- Oracle Cloud Infrastructure 2025 Networking Professional
Oracle社公式サイト
OCI試験情報
関連サイト
試験コース
- 試験コース
- 01:OCI(OCI_NP)資格概要
- 02:OCI概要
- 03:OCI仮想クラウド・ネットワーク(VCN)の設計と導入
- 04:VCNゲートウェイ
- 05:OCIネットワーク・ソリューションとアプリケーション・サービスの計画・設計
- 06:ハイブリッド・ネットワーク・アーキテクチャの設計
- 07:転送ルーティング
- 08:セキュアなOCIネットワークと接続ソリューションの実装と運用
- 09:OCIへのワークロードの移行
- 10:OCIネットワーク、接続性、トラブルシューティング・ツール
- 11:OCIネットワークのベスト・プラクティス
- 99:ネットワーク一般技術
資格情報(2024)
分類01:OCI資格概要
資格名(2024)
- 1Z0-1124-24
- Oracle Cloud Infrastructure 2024 Networking Professional
Oracle社公式サイト(2024年)
関連サイト
Oracle Cloud
Infrastructure チュートリアル
分類02:OCI概要
Oracle Cloud
Infrastructure チュートリアル
Qiita情報
分類02:OCI概要
Qiita情報
- Oracle Cloud Infrastructure Architect Associate 勉強メモ
- AWS/Azure 経験者がはじめる OCI 入門
- manaki(愛希)
- オラクル・クラウドの個人ブログ
OCI概要
分類02:OCI概要
OCI構成
IAM
OCIモニタリング機能
OCI運用
コスト管理
VCN概要
分類03:OCI仮想クラウド・ネットワーク(VCN)の設計と導入
OCIネットワーク設計
VCN概要
- VCNの概要
- 仮想的なOCIアカウント(テナンシ)毎のプライベートネットワーク。この中にOCIの環境を構築していく。
- 単一リージョンに存在する。(可用性ドメインは跨ぐことができる)
- コンパートメントは概念だからリージョンを跨げるけど、VCNはネットワークの範囲なのでリージョンは跨げないイメージ
- 重複しないCIDRブロックを1つ以上持つことができる。(最大5個)
- CIDRブロックは後から変更(追加・拡大・縮小・削除)可能。
- 別リージョンではCIDRブロックが重複しても作成することはできるが、DRGを用いたピアリングができなくなる。
- VCNsおよびサブネット
- VCNの概要
VCN構成要素
- Virtual Cloud Networkに含まれるコンポーネント
- Virtual Cloud Network(VCN)
- OracleCloud上で定義したSoftwareDefinedNetwork(SDN)
- VCNに複数のサブネットを定義する
- サブネット(Subnet)
- ルート表(Route Table)
- 仮想ネットワークインターフェース・カード(VNIC)
- プライベートIP(Private IP)
- パブリックIP(Public IP)
- セキュリティ・リスト(SL:Security List)
- ネットワーク・セキュリティ・グループ(NSG)
- DHCPオプション
- DNSリゾルバ(Internet and VCN Resolver)
- VCN Resolver
- VCN内部のInstanceを名前解決するためのリゾルバ
- インターネット・リゾルバ
- インスタンスによって、インターネットで公開されているホスト名が解決されます。
- インスタンスは、インターネット・ゲートウェイまたはオンプレミス・ネットワークへの接続(DRGを介したサイト間VPN
IPSec接続など)を介してインターネットにアクセスする必要はありません。
- ゲートウェイ
- インターネットゲートウェイ
- NATゲートウェイ
- サービスゲートウェイ
- プライベート・エンドポイント
- ダイナミック・ルーティング・ゲートウェイ(DRG)
- ローカル・ピアリング・ゲートウェイ(LPG)
- 同一リージョンに存在するVPNを接続するために使用する仮想ルータ
- 別リージョンに存在するVCNと接続する場合は、DRGを使用して、Remote VPN
Peering をする
- Oracle
Cloud 仮想ネットワークに含まれるコンポーネントメモ
サブネット
VCNルート表
仮想ネットワークインターフェース・カード(VNIC)
VNICはサブネットに存在し、そのサブネットが属するVCNに関連付けられます。
VNICに対してセキュリティ・ルールが設定されることで、コンピュート・インスタンスがVCNの内外のエンドポイントに接続できるようにします。
セキュリティ・リスト(SL)・ネットワーク・セキュリティ・グループ(NSG)
分類03:OCI仮想クラウド・ネットワーク(VCN)の設計と導入
SLとNSGの概要
ネットワーキング・サービスには、パケット・レベルでトラフィックを制御するためにセキュリティ・ルールを使用する2つの仮想ファイアウォール機能が用意されています。
- 2つの仮想ファイアウォール機能
- セキュリティ・リスト:ネットワーキング・サービスによる元の仮想ファイアウォール機能です。
- ネットワーク・セキュリティ・グループ(NSG):異なるセキュリティ体格を持つアプリケーション・コンポーネント用に後から設計された機能。NSGは特定のサービスに対してのみサポートされます。
- ネットワーク・セキュリティ
- セキュリティ・ルール
機能の違い
セキュリティ・リスト(SL)はサブネットに関連付け、そのサブネットに含まれるすべてのVNICに同じルールを適用します。
ネットワーク・セキュリティ・グループ(NSG)はVNICごとに適用できるため、同じサブネット内のVNICに対して異なるセキュリティ・ルールを適用することができます。
また、どちらも許可のルールのみで拒否のルールを指定することはできません。
セキュリティ・リスト/ステートフルルールとステートレスルール
ネットワーク・セキュリティ・グループ
パブリックIPアドレス
分類03:OCI仮想クラウド・ネットワーク(VCN)の設計と導入
IPアドレス持ち込み(BYOIP:Bring
Your Oun IP Address)
Oracle Cloud
Infrastructureでは、Oracleが所有するアドレスを使用することに加えて、IPの持ち込み(BYOIP)によるアドレス空間をOracle
Cloud Infrastructureのリソースで使用できます。
- BYOIPプロセスの概要
- Oracle Cloud
InfrastructureのBYOIPに必要なステップにはかなりの時間かかるため、それに応じた計画を立てます。
- BYOASN
- Bring Your Own ASN
(BYOASN)を介してインポートされた独自のASNを使用してIPプリフィクスをアドバタイズする場合は、Oracle
ASN
(31898)および独自のASNを使用して、RIRを使用してルート・オリジン認可(ROA)を作成する必要があります。
- IPの持込み
- IPアドレス持ち込み
OCI-IPv6
分類03:OCI仮想クラウド・ネットワーク(VCN)の設計と導入
IPv6/概要
ゲートウェイ/概要
分類04:VCNゲートウェイ
ゲートウェイ一覧
VCN間NW接続/接続方式
外部接続には以下の3つの方式がある。
VCN間NW接続/利用するゲートウェイ
ネットワーキング・シナリオ
NATゲートウェイ
分類04:VCNゲートウェイ
NATゲートウェイ/概要
サービス・ゲートウェイ
分類04:VCNゲートウェイ
Oracle Services Network
Oracle Services Networkは、Oracleサービス用に予約されているOracle
Cloud Infrastructureの概念的なネットワークです。
これらのサービスには、通常はインターネットを介してアクセスするパブリックIPアドレスがあります。
プライベート・エンドポイント
分類04:VCNゲートウェイ
プライベート・エンドポイント/概要
プライベート・エンドポイントとサービス・ゲートウェイの違い
- 適用されるサービス
- プライベート・エンドポイント:単一サービスへの選択的なアクセスを提供します
Autonomous Data
Warehouseでは、選択したサブネットの一つのプライベートIPアドレスを保持します
- サービス・ゲートウェイ:複数のサービスへのアクセスを提供します
- アクセス方向
- プライベート・エンドポイント:順方向、逆方向ともに接続が可能です。
- サービス・ゲートウェイ:順方向(VCN→OSN)のみの接続が可能です。
ローカルピアリング接続(LPC)
分類04:VCNゲートウェイ
ローカルピアリング接続
Virtual Cloud
Network(VCN)は、VCNピアリングを使用することで各VCNは他のVCNに直接アクセスすることが可能となります。
ピアID(Peer ID)
- ピアID(Peer ID)
- ピアIDは、リクエスト側テナンシーによって作成されたRPCのOCIDです。
- これによりRPCが一意に識別され、受け入れ側テナンシーは適切なピアリングをターゲットとして確立できます。
- 別のLPGへの接続
ローカルピアリングゲートウェイ(LPG)
同じリージョン内の2つのVCNを接続し、プライベートIPアドレスを使用して通信できることです。
ローカルピアリング接続のIAM設定
OCI-LB
分類05:OCIネットワーク・ソリューションとアプリケーション・サービスの計画・設計
OCI-LB/概要
OCI-LB/種別
- フレキシブル・ロード・バランサ(FLB)
- プロキシ型
- 高度なバランシング機能
- パブリックFLB、プライベートFLBの構成が可能
- 様々なプロトコル(HTTP, TCP, WebSocket)に対応
- HTTP(レイヤー7)/TCP(レイヤー4)のトラフィックに対応
- セッションパーシステンスに対応
- ネットワーク・ロード・バランサ(NLB)
- パススルー型
- 低レイテンシーに適したロードバランサ
- パブリックNLB、プライベートNLBの構成が可能
- レイヤー4/レイヤー3のトラフィックに対応
- 帯域幅を制限しないでスケールアップ・スケールダウン可能
- ロード・バランサとネットワーク・ロード・バランサの比較
- OCI
ロードバランサとOCI NLBの比較
フレキシブル・ロードバランサ(FLB)
FLBの仕様
- FLBのロードバランシングポリシー
- ロード・バランサ・ポリシー
- ラウンドロビン
- バックエンド・セット・リストの各サーバーに順番にルーティングされる
- デフォルトのロード・バランサ・ポリシー
- 最小接続
- アクティブ接続が最も少ないバックエンド・サーバーにルーティングされる
- IPハッシュ
- 受信リクエストのソースIPアドレスがハッシュ・キーとして使用される
- ハッシュ・キーごとに同一のバックエンド・サーバーにルーティングされる
ネットワーク・ロード・バランサ
(NLB)
NLBの仕様
- NLBのロードバランシングポリシー
- NLBの要点
- 5タプル・ハッシュ:ソースIPおよびポート、宛先IPおよびポート、プロトコル
- 3タプル・ハッシュ:ソースIP、宛先IP、プロトコル
- 2タプル・ハッシュ:ソースIP、宛先IP
5tuple(ファイブタプル)
ネットワーク分野で以下の5個のセットのこと。
OCI-DNS
分類05:OCIネットワーク・ソリューションとアプリケーション・サービスの計画・設計
OCI-DNS/概要
DNSリゾルバ
- Internet and VCN Resolver:
- デフォルト設定であり、下記2つの目的で使用する。
- インターネット・リゾルバ
- インターネットに一般公開されているwww.oracle.comなどの名前解決
- VCNリゾルバ
- 同じVCNで稼働するインスタンスの名前解決(VCN Resolver)
- Custom Resolver:
- 以下のように特定のDNSサーバーを参照するときに使用する。
- インターネットで提供されている特定のDNSサーバー
- Oracle Cloud Infrastructure内に自分で立てたDNSサーバー
- VPNやFastConnectで接続しているオンプレミス・ネットワークにあるDNSサーバー
- VCNのDNSの選択肢
- Oracle
Cloud Infrastructureの名前解決の仕組み&ホスト名の変更方法
OCI-DNS/DNSSEC
分類05:OCIネットワーク・ソリューションとアプリケーション・サービスの計画・設計
DNSSEC
KSK(Key Signing
Key、鍵署名鍵)
Oracle Container
Engine for Kubernetes(OKE)
分類05:OCIネットワーク・ソリューションとアプリケーション・サービスの計画・設計
OKE/概要
オンプレミス環境
分類06:ハイブリッド・ネットワーク・アーキテクチャの設計
CPE(Customer Premises
Equipment)
CPEとは、Customer Premises
Equipmentの略で顧客構内機器のことを表します。
オンプレミス側に設置しているルータのことを指します。
動的ルーティングゲートウェイ(DRG)
分類06:ハイブリッド・ネットワーク・アーキテクチャの設計
DRG/概要
DRG/構成要素
DRG/設定手順
DRGアタッチメント
- DRGアタッチメントの種別
- VCN attachments(VCN)
- VCNに接続するアタッチメント。DRG.各VCNは、DRGと同じテナンシにすることも、異なるテナンシにすることもできます(適切なポリシーが設定されている場合)。VCNは1つのDRGにしかアタッチできません。
- VIRTUAL_CIRCUITアタッチメント(VIRTUAL_CIRCUIT)
- DRGに1つ以上のFastConnect仮想回線をアタッチして、オンプレミス・ネットワークに接続できます。
- RPCアタッチメント(REMOTE_PEERING_CONNECTION)
- リモート・ピアリング接続を使用して、DRGを他のDRGとピアリングできます。他のDRGは、他のリージョンまたはテナンシ、または同じリージョンに配置できます。
- IPSEC_TUNNELアタッチメント(IPSEC_TUNNEL)
- サイト間VPNを使用して、2つ以上のIPSecトンネルをDRGにアタッチして、オンプレミス・ネットワークに接続できます。これは、テナンシ間でも許可されます。
- LOOPBACKアタッチメント(LOOPBACK)
- サイト間VPNを使用して、FastConnect仮想回線を暗号化できます。
- DRGおよびDRGアタッチメントの作業
- ループバック・アタッチメント
DRGルーティング(DRGルート表)
パス優先
BGPのAS_PATH属性を使用して、単一のDRGルート表のコンテキストでルート選択が可能となります。
AS番号(ASN)
OCIのAS番号は、リージョン関係なく同一の”31898”となる。
動的ルーティングゲートウェイ(DRG)/経路制御
分類06:ハイブリッド・ネットワーク・アーキテクチャの設計
DRGルート・ディストリビューション
ルート・ディストリビューションは、ルートがDRGアタッチメントからどのようにインポートされるか、またはDRGアタッチメントにどのようにエクスポートされるかを指定します。
ルート・ディストリビューションは、マッチ基準(OCIDやアタッチメント・タイプなど)とアクションを含むステートメントとして定義します。
ルート・フィルタリング
ルート・フィルタリングを使用すると、オンプレミス・ネットワークへのBGPアドバタイズメントに含めるルートを決定できます。
- FastConnect上のパブリック仮想回路
- FastConnect上のパブリック仮想回路は、共有ルートの範囲を定義する選択したルート・フィルタリング設定に従ってルートを通知します
- プライベート仮想回線およびサイト間VPN
- ルート・フィルタリング
ルート・フィルタリング/FastConnectでのルート・フィルタリング・オプション
FastConnect仮想回路を設定するときに、ルート・フィルタリング・オプションを選択できます。
詳細は、FastConnectパートナ、サードパーティ・プロバイダまたはコロケーションのどれを使用しているかによって異なります。
- リージョナル
- この仮想回線のリージョンのエフェメラルIPアドレス範囲、予約済IPアドレス範囲およびOracle
Services
Networkで使用される使用可能なパブリック・ルートのみをオンプレミス・ネットワークに通知します。
- マーケット
- この仮想回線のリージョンのエフェメラルIPアドレス範囲、予約済IPアドレス範囲およびOSNによって使用される使用可能なパブリック・ルートを通知し、世界の同じ部分にある他のリージョンをオンプレミス・ネットワークにルーティングします。これはデフォルト設定です。4つの各マーケットで使用可能なリージョンは、FastConnectパブリック・ピアリングの通知ルートの記事の表およびマップに示されています。
- グローバル
- Oracleクラウドのすべての市場のすべてのリージョンについて、一時的IPアドレス範囲、予約済IPアドレス範囲およびOSNによって使用される使用可能なパブリック・ルートをオンプレミス・ネットワークに通知します。
- Oracle Services Network
- ローカル・リージョンのOSNリソースによって使用されるパブリック・ルートのみをオンプレミス・ネットワークに通知します。
リモートピアリング接続(RPC)
分類06:ハイブリッド・ネットワーク・アーキテクチャの設計
リモートピアリング接続(RPC)
リージョンのVPCと接続を可能とするRPCです。
異なるリージョンにあるDRG通しで接続することができます。
リモートピアリング接続のIAM設定
FastConnect/基本機能
分類06:ハイブリッド・ネットワーク・アーキテクチャの設計
FastConnect/概要
FastConnect/接続方式
IPSec利用時のループバック・アタッチメント
FastConnectでIPSecを利用する場合には、「ループバック・アタッチメント」の設定が必要。
ループバック・アタッチメントでは、トンネルのプライベートIPアドレスのOracle側をDRGに提供することで、暗号化されたトラフィックが仮想回線アタッチメントとIPSecトンネル・アタッチメントの間を移動できます。ループバック・アタッチメントがない場合、仮想回線アタッチメントとIPSecトンネル・アタッチメントの間のトラフィックは直接許可されません
FastConnect/他のクラウド・プロバイダとの接続
分類06:ハイブリッド・ネットワーク・アーキテクチャの設計
FastConnect
Oracleパートナの使用
Oracle
Cloud コロケーション接続(FastConnect Colocation)
Colocation接続モデルは、お客様が Oracle FastConnect
ロケーション(Equinix, NTT
Data等)に設備を確保している場合、または確立しようとしている場合に適しています。
Oracle
FastConnectを使用して、コロケーション施設内のネットワーク機器(Edge)から、Oracle
Cloud Servicesへの接続を確立できます。
オラクルは、FastConnect
エッジ・デバイスへの直接クロスコネクトを確立するためにデータ・センター・プロバイダが必要とする承認書(LOA)をお客様に提供します。
他のクラウド・プロバイダとの接続/概要
FastConnect/パブリック・ピアリング
分類06:ハイブリッド・ネットワーク・アーキテクチャの設計
FastConnect/パブリック・ピアリング
FastConnectを使用する方法の一つ。パブリック・ピアリングを使用すると、オンプレミス・ネットワークはインターネットを使用せずに、OCIのパブリック・サービス
(たとえば、Object
Storage、Console、API、またはVCNのパブリック・ロード・バランサなど)にアクセスできます。
パブリック・ピアリングのBCPアドバタイズ
OCI FastConnectパブリック・ピアリングは、インターネットをバイパスして
Oracle Services Network およびすべての OCI
パブリック・リソースに到達できます。
BCP 経由ですべての OCI パブリック CIDR
に向けてアドバタイズします。
(Oracle Services Networkエッジルータに直接接続ができる)
サイト間IPSecVPN
分類06:ハイブリッド・ネットワーク・アーキテクチャの設計
サイト間IPSecVPN/概要
FastConnect/他社ベンダー製品
分類06:ハイブリッド・ネットワーク・アーキテクチャの設計
他社ベンダー製品
- Google/Partner Cross-Cloud Interconnect
- Azule/ExpressRoute
Oracle Interconnect for
Azure
Microsoft AzureとOracle Cloud
Infrastructure(OCI)の機能を、データ転送料金のかからない、低レイテンシ・プライベート接続により組み合わせることで、アプリケーションの移行と最新化を加速します。
転送ルーティング
分類07:転送ルーティング
転送ルーティング
転送ルーティングとは、オンプレミス・ネットワークが仲介を使用してOracleリソースまたはサービスまたはVCNsに到達するネットワーク・トポロジのことです。
仲介者は、VCN、またはオンプレミス・ネットワークがすでにアタッチされているDynamic
Routing Gateway (DRG)となります。
転送ルーティング構成で利用可能なOCIゲートウェイ
- 利用可能なOCIゲートウェイ
- サービスゲートウェイ
- 動的ルーティング・ゲートウェイ
- ローカル・ピアリング・ゲートウェイ
インターネット・ゲートウェイとNATゲートウェイは、それらが含まれるVCN内のリソースだけが利用できます。
例えば、DRG経由のトラフィックをインターネット・ゲートウェイに転送して外部に送信することはできません。
DRGアタッチメントに関連付けられたVCNルート表
転送ルーティングで、DRGアタッチメントに関連付けられたVCNルート表は、以下3つのリソースをターゲットにするルールを設定できます。
- VCNルート表のターゲットとして関連付けできる3つのリソース
- プライベートIP
- ローカル・ピアリング・ゲートウェイ
- サービス・ゲートウェイ
サードパーティプロバイダー接続の注意点
サードパーティ・アプライアンス(TPA)ソフトウェアは、コンピュート・インスタンス上に構成されます。
したがって、そのTPAへルーティングするために、プライベートIPへのルーティングを指定して、そのコンピュート・インスタンスのVNICに送信します。
ハブ・スポーク構成
分類07:転送ルーティング
ハブ・スポーク構成/設定
DRGアタッチメントにVCNルート表を関連付ける。
セキュリティ一般
分類08:セキュアなOCIネットワークと接続ソリューションの実装と運用
セキュリティ一般/総合情報
クロス・テナンシ(テナンシ間接続)
分類08:セキュアなOCIネットワークと接続ソリューションの実装と運用
クロス・テナンシ/概要
クロス・テナンシ/IAMポリシー
クロス・テナンシ/IAMポリシー設定コマンド
Define tenancy Requestor as <requestor-group-ocid>
Define group RequestorGrp as <requestor-group-ocid>
Admit group RequestorGrp of tenancy Requestor to manage remote-peering-to in compartment <acceptor-compartment-name>
ゼロトラスト・セキュリティ
分類08:セキュアなOCIネットワークと接続ソリューションの実装と運用
ゼロトラスト・セキュリティ/概要
OCI Zero Trust Packet
Routing(ZPR)/概要
OCI Zero Trust Packet
Routing(ZPR)/個別設定
- セキュリティ属性ネームスペース
- ZPRポリシー
- リソースの管理
OCI-Bastion(OCI要塞)
分類08:セキュアなOCIネットワークと接続ソリューションの実装と運用
OCI-Bastion/概要
Bastionのセッション・タイプ
OCI Network Firewall
分類08:セキュアなOCIネットワークと接続ソリューションの実装と運用
OCI Network Firewall/概要
OCI-WAF
分類08:セキュアなOCIネットワークと接続ソリューションの実装と運用
OCI-WAF/概要
OCI WAF(Web Application
Firewall)は、コンソール上で様々なルールを適用し、悪意のあるインターネット・トラフィックからのリクエストを除外することで
web アプリケーションを保護できるセキュリティ・サービスである。
OCI-WAF/WAFポリシー種別
OCI-WAF/構成要素(WAF概念)
- アクセス制御
- アクセス制御には、リクエスト制御およびレスポンス制御が含まれます。
- リクエスト制御
- リクエスト制御により、HTTPリクエスト・プロパティの検査および定義されたHTTPレスポンスの返却が可能になります。
- リクエスト保護ルール
- リクエスト保護ルールを使用すると、HTTPリクエストに悪意のあるコンテンツがあるかどうかをチェックし、定義されたHTTPレスポンスを返すことができます。
- レスポンス制御
- レスポンス制御により、HTTPリクエスト・プロパティの検査および定義されたHTTPレスポンスの返却が可能になります。
- アクション
- アクションは、次のいずれかを表すオブジェクトです:
- 許可:
ルールが一致したときに、現在のモジュール内の残りのすべてのルールをスキップするアクション。
- チェック:
現在のモジュールでのルールの実行を停止しないアクション。かわりに、ルール実行の結果をドキュメント化したログ・メッセージを生成します。
- 返却HTTPレスポンス: 定義されたHTTPレスポンスを返すアクション。
- 条件
- 各ルールは、条件としてJMESPath式を受け入れます。HTTPリクエストまたはHTTPレスポンス(ルールのタイプに応じて)は、WAFルールをトリガーします。
- ファイアウォール
- ファイアウォール・リソースは、WAFポリシーとロード・バランサなどの強制ポイント間の論理リンクです。
- ネットワーク・アドレス・リスト
- ネットワーク・アドレス・リストとは、個別のパブリックIPアドレスおよびCIDR
IP範囲、またはWAFポリシーで使用されるプライベートIPアドレスの集合です。
- オリジン
- Webアプリケーションのオリジン・ホスト・サーバー。
- 保護ルール
- 保護ルールは、トラフィックをログに記録するか、許可するか、ブロックするかを決定するために使用される保護機能のセットです。WAFは、Webアプリケーションへのトラフィックを監視します。使用可能なWAFルールのリストを表示するには、保護機能を参照してください。
- レート制限
- レート制限により、HTTP接続プロパティの検査が可能になり、特定のキーのリクエストの頻度が制限されます。
- WAFの概念
OCI-WAF/WAFポリシー設定
OCI-WAF/WAFポリシー設定(ユースケース)
- WAFポリシー設定(ユースケース)
- IPアドレスをカテゴリごとに分類
- IPアドレスのカテゴリごとに「ネットワークアドレスリスト」を作成
- 「ネットワークアドレスリスト」を「ファイアウォールルール」に設定する
- ユーザエージェントまたはHTTPメソッド条件ごとに「アクセス制御ルール」を作成する
- 「アクセス制御ルール」ごとに、「ALLOW」または「REDIRECT」の「アクション」を設定する
OCI-WAF/保護ルール
OCI-WAF/エッジ・ポリシー
分類08:セキュアなOCIネットワークと接続ソリューションの実装と運用
エッジ・ポリシー/概要
エッジ・ポリシー/設定手順
ボット管理
- ボット管理
- エッジ・ポリシー/JavaScriptチャレンジ
- エッジ・ポリシー/ヒューマン・インタラクション・チャレンジ
- エッジ・ポリシー/デバイス・フィンガープリント・チャレンジ
- エッジ・ポリシー/CAPTCHAチャレンジ
- エッジ・ポリシー/良好なボット許可リスト管理
- エッジ・ポリシー/アドレス・レート制限
- ボット管理
CAPTCHAチャレンジ
特定のURLに人間のみがアクセスできるようにする必要がある場合は、CAPTCHA保護でそれを制御できます。
OCI証明書サービス(Oracle
Cloud Infrastructure Certificates)
分類08:セキュアなOCIネットワークと接続ソリューションの実装と運用
OCI証明書サービス/概要
OCI証明書サービス/発行方法
OCI証明書サービス/設定手順
ワークロード移設
分類09:OCIへのワークロードの移行
OCI移設
VCNフローログ
分類10:OCIネットワーク、接続性、トラブルシューティング・ツール
VCNフローログ/概要
VCNフロー・ログは、VCNを通過するトラフィックの詳細を表示します。
トラフィックの監査やセキュリティ問題のトラブルシューティングに役立ちます。
VCNフロー・ログの有効化ポイント
VCNフロー・ログの有効化ポイントは以下の4つ:
ネットワーク関連ツール
分類10:OCIネットワーク、接続性、トラブルシューティング・ツール
ネットワーク・パス・アナライザ
ネットワーク・パス・アナライザ(NPA) は、
接続性に影響を与える仮想ネットワーク構成の問題を特定するための統一された直感的な機能を提供します。
NPA はネッ トワーク構成を収集・分析し、
送信元と宛先間のパスがどのように機能するか、
または機能しないかを判断します。実際のトラフィックは送信されません。その代わり、
構成が調査され、 到達可能性の確認に使用されます。
ネットワーク・ビジュアライザー
OCIネットワーク・ビジュアライザは、サブネット、インスタンス、およびそれらの相互接続を含むVCNを視覚的に表示するツールで、ネットワーク・トポロジー(ネットワーク全体つながり)の理解と管理に役立ちます。
仮想テスト・アクセス・ポイント(VTAP)
分類10:OCIネットワーク、接続性、トラブルシューティング・ツール
VTAP/概要
VTAP/構成要素
各VTAPは作成時にVTAPソース、VTAPターゲット、取得フィルタを指定することで構成されます。
ベストプラクティス
分類11:OCIネットワークのベスト・プラクティス
概要
ネットワーク一般技術/IP
分類99:ネットワーク一般技術
IPプロトコル番号
IPsec (Security Architecture
for IP)
Azure Public IP Prefix
ネットワーク一般技術/IPv6
分類99:ネットワーク一般技術
IPv6/概要
IPv6/3つのスコープ
SLAAC(Stateless
Address Autoconfiguration)
SLAACとは、ルータから配布されるIPv6のプレフィックスやDNSサーバのIPアドレスをもとに端末側でIPv6アドレスを自動設定するプロトコルです。
サブネットの割り当て数
- 各サブネットは/64プレフィックスを持つ(IPv6で一般的に用いられる構成)
- プロバイダーから/56プレフィックスが割り当てられる
→ 256個(2^8)のサブネットが利用できる。
ネットワーク一般技術/L2
分類99:ネットワーク一般技術
MACsec
MACsecとは、IEEE802.1AEで定義されたLayer2(MAC: Media ⁄ Medium Access
Control)の保護を目的としたセキュリティプロトコルです。
ネットワーク一般技術/BGPプロトコル
分類99:ネットワーク一般技術
BGP (Border Gateway Protocol)
BGP(ボーダーゲートウェイプロトコル)とは、インターネットを構成する
自律システム(AS)と呼ばれる大規模なネットワーク間(ISP、企業、大学など)で経路情報を交換し、データの最も効率的な転送経路を決定するインターネットの「ロードマップ」のような役割を担うルーティングプロトコルです。
BGPのケーススタディ
自律システム(AS:Autonomous
System)
AS(自律システム)とは、インターネット上で一貫した運用ポリシーを持つ大規模なネットワークの集まりを指し、各ASには固有のAS番号(ASN)が割り当てられます。
ASは、BGP(ボーダーゲートウェイプロトコル)というプロトコルを使って他のASと経路情報を交換し、インターネット上での効率的なパケットルーティング(経路制御)を実現します。
- ASの役割
- 経路制御:
AS同士がBGPを通じてルーティング情報を交換することで、パケットを宛先のASへ最も効率的な経路で送信するための「道案内」が行われます。
- トラフィック管理:
自身のネットワークポリシーに基づいて、通信の優先順位をつけたり、トラフィックの経路を最適化したりすることで、ネットワーク運営を最適化します。
- ASとは
- 自律システムとは?
ASN自律システム番号(ASN:Autonomous
System Number)
ASN(自律システム番号)は、インターネット上のネットワークの集まりである「自律システム(AS)」を識別するためのユニークな番号です。
ISPや大規模なネットワーク管理組織に割り当てられ、インターネットのルーティングにおいて、他のネットワークと経路情報を交換するためにBGP(Border
Gateway Protocol)で使用されます。
これにより、効率的で信頼性の高い通信が実現します。
- ASNの主な役割と仕組み
- 識別子:インターネット上の個々のネットワーク(AS)をユニークに識別します。例えば、Microsoftのネットワークには「AS
8075」や「AS 12076」といった番号が割り当てられています。
- ルーティングの制御:BGPを使って他のネットワーク(AS)とルーティング情報を交換する際に、自身のAS番号を付与します。
- 経路情報のループ防止:BGPは、経路情報がループするのを防ぐために、受け取った経路情報に自分のAS番号が含まれていればその経路情報を破棄します。
- トラフィック管理:特定のネットワークや地域へのトラフィックを識別・管理するために使用されます。
- ASNの種類と管理
- 二つのタイプ:ASNには2バイト(16ビット)と4バイト(32ビット)のタイプがあります。
- 管理組織:世界5つの地域インターネットレジストリ(RIR)が、それぞれの地域内でASNを管理・割り当てています。
- ASN自律システム番号
BGP/パスアトリビュート
BGP/ルートポリシー(経路制御)
BCPのルートポリシーを利用する経路制御の種別としては、以下があります。
- 不要な BGP ルートのフィルタリング
- AS PATH Prepend による経路制御
- MED値 の変更による優先経路選択
BGP/フィルタリング設定(AS_PATH
ACL)
BGPではAS_PATH属性に基づいて経路情報のフィルタリングが行えるAS_PATH
ACLを使用することができます。
BGP/ルートフィルタリングの種類
BGPにおけるルートフィルタリングは以下の4つの手法があります。
以下の手法により、BGPネイバーと送受信するルートのフィルタリングを行うことができます。
BGP/ローカルプリファレンス(Local
Preference)
BGPのLocal
Preference(ローカルプリファレンス)は、BGPルート選択において、同一AS内でのルートの優先順位を決定するために使用されるウェルノウンのディスクリショナリ属性です。
Local
Preferenceは、iBGPピア間で共有される属性であり、通常、数値が大きいほど優先度が高くなります。
BGP/ASパス・プリペンド(AS
Path Prepend)
AS PATH
Prependは、特定の経路を意図的に優先させたくない、あるいは特定の経路へのトラフィックを減らしたい場合に、AS
PATHに自身のAS番号を複数追加して長さを伸ばします。
AS
PATHが長くなった経路は、優先度が低く判断されるため、ルーティングテーブルに登録されにくくなります。
これにより、冗長化された複数の経路がある場合に、メインの経路を優先しつつ、障害時や混雑時に迂回経路にトラフィックを振り分けることができます。
BGP/ルート集約(経路集約)
BGPでは、複数の経路情報を一つの経路に集約することが可能です。
この機能により、ルート情報の管理が簡素化され、ルーティングテーブルの規模を縮小できます。
非対称ルーティング
非対称ルーティングとは、以下のように行きと帰りのパケットが異なる経路を通る通信のことです。
ステートフルインスペクション
ステートフルインスペクションとは、通信のセッション管理によって、戻りの通信を動的に許可する仕組みのことです。
ECMP(Equal Cost Multi Path)
ECMP(Equal Cost Multi
Path)とは、ネットワークにおいて、同じ宛先に対してコスト(メトリック)が等しい経路が複数存在する場合に、それらの経路へパケットを分散させて転送する技術です。
ネットワーク一般技術/LB接続
分類99:ネットワーク一般技術
スティッキーセッション
スティッキーセッションとは、ロードバランサーがクライアント状態を管理するために使用する情報。
ロードバランサーを用いて負荷分散を行う場合に、セッション管理を行うWebアプリなどで毎回同じサーバーにアクセスさせるために利用する。
ネットワーク一般技術/DNS
分類99:ネットワーク一般技術
DNSサーバとゾーン
DSレコード
ZSK(Zone Signing
Key、ゾーン署名鍵
KSK(Key Signing
Key、鍵署名鍵
ネットワーク一般技術/設計思想
分類99:ネットワーク一般技術
ゼロトラスト