はじめに
これは、Oracle Cloud Infrastructure (OCI) のコンソール画面にアクセスして、コンパートメントやネットワークの設定、ポリシーなどを作成する手順です。

 

前提
アクセスできるOracle Cloud Infrastructure のテナントがあること。

 

1.Compartmentの作成
Compartmentとは、テナントの内部を区切ることができる論理的概念です。Compartmentの中にリソースを配置したり、ポリシーを割り当てることで権限を設定することができます。
Compartmentは階層化することができ、最大6層まで作成できます。

 

まず、MENUからIdentityを選択し、Compartmentsをクリックします。

「Create Compartment」ボタンからコンパートメントの作成画面を開きます。

 

① Name
コンパートメント名を入れます。

② Description
作成するコンパートメントについての説明を入れます。

③ PARENT COMPARTMENT
上位のコンパートメントを選択します。

 

2.VCNの作成
仮想クラウド・ネットワーク(Virtual Cloud Network : VCN) を作成します。
VCNはOracle Cloud Infrastructureのプライベートネットワークです。
VCNはいくつかのコンポーネントから構成されます。今回は以下のコンポーネントを作成します。
コンポーネント 説明
Security List VCN/サブネットの仮想ファイアウォールに設定するルール
Internet Gateway VCNとインターネットとを接続するゲートウェイ
Route Table VCN/サブネットのルーティングを行う仮想ルーターに設定するルーティング・テーブル
Subnet 仮想ネットワークを構成するIPv4のサブネット

 

MENUからNetworkingを選択し、Virtual Cloud Networksをクリックします。

「Create Virtual Cloud Network」ボタンを押して、作成画面を開きます。

以下の項目を入力して、「Create Virtual Cloud Network」ボタンを押します。

① CREATE IN COMPARTMENT
デフォルトで現在のコンパートメントが選択されています。もし別のコンパートメントに作成したい場合は変更します。

② NAME
識別しやすい名前をつけます。一度つけた名前は、コンソールからは名前を変更できません。(APIを利用すると名前を変更できます)

③ CREATE VIRTUAL CLOUD NETWORK ONLY
ラジオボタンを選択します。今回は、「CREATE VIRTUAL CLOUD NETWORK ONLY」を選択します。

④ CIDR BLOCK
VCNのネットワーク範囲は連続するIPv4 CIDRのみ設定可能で、一度作成すると変更できません。
今回は、172.0.0.0/23 と入力します。

⑤ USE DNS HOSTNAMES IN THIS VCN
チェックを入れます。

⑥ DNS LABEL
デフォルトで入るのでそのまま。

 

3.Security Listの作成
VCN/サブネットの仮想ファイアウォールに設定するルールを作成します。

「Create Security List」ボタンを押して作成画面を開きます。

 

① CREATE IN COMPARTMENT
セキュリティ・リストを作成するコンパートメントを指定します。

② SECURITY LIST NAME
セキュリティ・リスト名を入れます。

③ Ingress Rule
インバウンドのルールを設定します。

STATELESSのチェック ステートフルの設定を入れるため、チェックは入れません
SOURCE TYPE CIDR
SOURCE CIDR 134.70.0.0/17
IP PROTOCOL TCP
SOURCE PORT RANGE ALL
DESTINATION PORT RANGE 443

④ Egress Rule
アウトバウンドのルールを設定します。

STATELESSのチェック ステートフルの設定を入れるため、チェックは入れません
SOURCE TYPE CIDR
SOURCE CIDR 134.70.0.0/17
IP PROTOCOL TCP
SOURCE PORT RANGE ALL
DESTINATION PORT RANGE 443
134.70.0.0/17
※Object StorageのIPアドレス(バックアップの取得に必要)

 

4.Internet Gatewaysの作成
Private SubnetからPublic IPなしでインターネットへのアクセスを可能にします。

Create Internet Gatewayボタンを押して、作成画面を開きます。

① CREATE IN COMPARTMENT
インターネット・ゲートウェイを作成するコンパートメントを選択します。

② NAME
インターネット・ゲートウェイ名を付けます。

 

5.Route Tableの作成
VCN内のホスト間は自動的に全てルーティングされます。
ルートテーブルはVCNと他のネットワークの間のルーティングを設定します。

Create Route Tableボタンを押して、作成画面を開きます。

① CREATE IN COMPARTMENT
ルート・テーブルを作成するコンパートメントを選択します。

② NAME
ルート・テーブル名を入力します。

③ TARGET TYPE
Internet Gatewayを選択します。

④ DESTINATION CIDR BLOCK
134.70.0.0/17を入れます。

⑤ COMPARTMENT
コンパートメントを指定します。

⑥ TARGET INTERNET GATEWAY
上で作ったインターネット・ゲートウェイを指定します。

 

6.Subnetの作成
SubnetはVCNのアドレス範囲を細分化して、リソース・グループを論理的に分離することができます。
サブネットの作成後は、サブネットに割り当てたセキュリティ・リストを変更することはできません。

Create Subnetボタンを押して、作成画面を開きます

① NAME
サブネット名をつけます。

② AVAILAVILITY DOMAIN
ADを選択します。

③ CIDR BLOCK
CIDR BLOCKを設定します。

④ ROUTE TABLE
ルート・テーブルを選択します。

⑤ SUBNET ACCESS
PRIVATEかPUBLICか選択します。今回はPUBLICを選択します。

⑥ DNS RESOLUTION
チェックを入れたままにします。

⑦ DNS LABEL
そのままにします。

⑧ DHCP OPTIONS
デフォルトを選択します。

⑨ Security Lists
セキュリティ・リストを設定します。

 

7.Policyの作成
ポリシーは、Oracle Cloud Infrastructureリソースに対してのアクセスルールを定義することができます。以下はPSMを使用する場合のポリシーを追加しています。PSMを使用しない場合は不要です。
PSMとは
PaaS Service Manager(PSM)は、OracleのPaaSサービスの管理を行うための内部コンポーネントです。
PSMがOCIプラットフォームに拡張されることで各PaaSサービスが利用できるようになります。

IdentityからPolicyを選びます。

Create Policyボタンを押して、作成画面を開きます。

① Name
ポリシー名を入れます。

② Description
ポリシーの説明を入れます。

③ Policy Versioning
日付を指定したい場合は、Use Version Dateを選択し、下に出てくる入力欄に日付を入れます。
それ以外は、Keep Policy Currentを選択します。

④ Policy Statements
ポリシーを以下の構文に従って追加します。

verb 対象となるアクセスタイプ
inspect リソースを一覧表示する機能
read inspectと、ユーザー指定のメタデータと実際のリソース自体を取得する機能が含まれています。
use readと既存のリソースを処理する機能(リソース・タイプによってアクションが異なる)が含まれています。
manage リソースのすべてのアクセス許可が含まれます。
Resourcd-Typeには、一緒に管理される複数の個別リソース・タイプを含むfamilyタイプと個別のindividualタイプがあります。
Family Type Individual Type
all-resources すべてのOracle Cloud Infrastructureリソース・タイプ
cluster-family
  • clusters
  • cluster-node-pools
  • cluster-work-requests
database-family
  • db-systems
  • db-nodes
  • db-homes
  • databases
  • backups
dns
  • dns-zones
  • dns-records
  • dns-traffic
  • dns-steering-policies
  • dns-steering-policy-attachments
file-family
  • file-systems
  • mount-targets
  • export-sets
file-family
  • file-systems
  • mount-targets
  • export-sets
instance-family
  • virtual-network-family
  • vcns
    subnets
    route-tables
    security-lists
    dhcp-options
    private-ips
    public-ips
    internet-gateways
    nat-gateways
    service-gateways
    vnics