Private Service Access
Oracle Cloud Infrastructure(OCI)のPrivate Service Accessは、インターネットを経由せずに、VCNやオンプレミスネットワークから特定のOracle CloudサービスのAPIへプライベートかつセキュアなアクセスを実現します。
OCI Private Service Accessの特長
1. サービス単位でアクセス
サービスゲートウェイをリージョン内のすべてのオラクル・サービスAPIへのパスとして使用する代わりに、OCI Private Service Accessを使用して、そのリージョン内の単一のOCIサービスAPIにアクセスできます。
2. プライベートIPを使用
OCI Private Service Accessでは、お客様のネットワークからのプライベートIPを、OCIサービスAPIのパブリックIPとして使用するのではなく、APIにアクセスするためのパスとして使用します。
3. コード変更は不要
対象のOCIサービスAPI用のプライベート・サービス・アクセス(PSA)を作成すると、コード変更を必要とせずに、プライベート・ネットワーク内の既存のワークロードでPSAの使用が開始されます。これは、完全修飾ドメイン名(FQDN)がプライベートDNS内でPSAのプライベートIPにマップされるようになるためです。
4. セキュア
OCI Private Service Accessを使用すると、PSAに対してネットワーク・セキュリティ・グループやゼロトラスト・セキュリティ属性(あるいはその両方)を設定できるため、サービス単位でのきめ細かいネットワーク・アクセス制御が可能になります。さらに、PSA経由でサービスにアクセスする際は、テナンシ内の資格証明が適用され、クロステナンシの資格証明の使用とクロステナンシのオブジェクト・ストレージPARによるアクセスがブロックされます。
5. パフォーマンス
各PSAでは、最大8 Gb/秒のスループットと25 Gb/秒のオブジェクト・ストレージがサポートされます。
6. 可用性
OCI Private Service Accessは耐障害性の高いOCI Cloudアーキテクチャを基盤としており、フォルト・ドメインと可用性ドメインのフェイルオーバー機能が組み込まれています。
7. ゲートウェイは不要
OCI Private Service Accessを使用する場合、ターゲット・サービスに到達するためにプライベート・ネットワークでゲートウェイを構成する必要はありません。サービスのトラフィックはすべてPSAを経由します。
8. ゲートウェイとの共存も可能
必須ではありませんが、PSAと共存するサービスゲートウェイを用意することもできます。PSAで有効になっているサービスはそのPSAを使用しますが、PSAで有効になっていないサービスはサービスゲートウェイを使用します。
9. 無償
OCI Private Service Accessの使用には、別途料金はかかりません。
OCI Private Service Accessの仕組みを教えてください。
仮想クラウド・ネットワーク(VCN)の中で、どのOCIサービスにプライベート・ネットワーク経由でアクセスするかを決定できます。VCNのユーザー・インタフェースから、使用するサービスごとにPSAを作成します。
作成すると、VCNのサブネット内でPSAがプライベートIPアドレスとして存在するようになります。お客様はPSAのライフサイクルを制御し、不要になったときに削除できます。各PSAによってプライベートDNSのマッピングが行われ、サービスのFQDNがプライベートIPアドレスに関連付けられます。
サービスへのアクセスを制御するには、サブネット内の仮想NICの場合と同様に、NSGまたはゼロトラスト・セキュリティ属性を設定します。
複数のサービスへのアクセスが必要な場合は、複数のPSAを作成します(サービスごとにPSAを1つずつ)。
オンプレミス・ネットワーク内のリソースは、仮想プライベート・ネットワークまたはFastConnect専用回線(プライベート・ピアリング)を経由して動的ルーティング・ゲートウェイに到達した後、該当するサブネット内のプライベート・エンドポイントに到達します。ネットワーク・トラフィックはOCIの内部に維持され、公共インターネットを経由することはありません。オンプレミス・ネットワークからは、リージョンのOCIサービスのDNSルックアップをVCNリゾルバ内のリスニング・エンドポイントに転送することで、プライベートIPが返され、サービス通信に使用されます。
この図は、OCI Private Service Accessの一般的なシナリオにおけるリソースと接続の論理レイアウトを示しています。
図に示すOCIリージョンには、インターネット・ゲートウェイ、動的ルーティング・ゲートウェイ、およびPrivate Service Accessがアタッチされた仮想クラウド・ネットワークが含まれています。
仮想クラウド・ネットワークには、仮想マシン・リソースを持つパブリック接続サブネットが含まれています。仮想マシンからはインターネット・ゲートウェイを介してインターネットにアクセスできます。
仮想クラウド・ネットワークには、仮想マシン・リソースを持つプライベート・サブネットも含まれています。また、プライベート・サブネット内には、サブネット内のIPアドレスを占有するプライベート・サービス・アクセス・コンポーネントがあります。
リージョン内には、Oracle Services Networkと呼ばれるオラクル・マネージド・リソースのグループがあります。これにはOCIオブジェクト・ストレージが含まれます。オブジェクト・ストレージには、リージョン内のネットワークから離れることなく、PSAエンドポイントを経由して到達できます。
プライベート・サブネット内のリソースは、サービスに対して対応するPSAが作成されたときに、そのサービスにアクセスできます。複数のサービスへのアクセスを必要とする場合は、それぞれ独自のPSAエンドポイントが必要になります。
リソース
ページ
- OCI Private Service Accessの使用には、別途料金はかかりません。
- Oracle Cloud Infrastructureの経済性
- Oracle Cloud Infrastructureの価格設定
- 請求および支払ツールの概要
Oracle Cloud Infrastructureのトレーニング
OCI Private Service Accessを使い始める
Oracle Cloud Free Tier
Oracle Cloudでアプリケーションを無料で構築、テスト、導入しましょう。一度サインアップすると、2つの無料オファーにアクセスできます。
営業へのお問い合わせ
Oracle Cloud Infrastructureの詳細にご関心をお持ちの場合は、当社のエキスパートにお問い合わせください。