クラウド・シェル・ネットワーキング

この項では、クラウド・シェルによって提供される3つのネットワーキング・モードについて説明します。

クラウド・シェル・セッションのネットワーキング・モードは、管理者がアイデンティティ・ポリシーを構成した方法によって異なります。

クラウド・シェルOCIサービス・ネットワーク

Cloud Shell OCI Service Networkでは、パブリック・インターネットにアクセスすることなく、OCIワイド・サービスにアクセスできます。管理者がアイデンティティ・ポリシーを構成していない場合、これはデフォルトのクラウド・シェル・ネットワーク・アクセスです。

管理者がアイデンティティ・ポリシーを設定していない場合、クラウド・シェルの起動時に次のダイアログが表示されます:

Cloud Shell制限付きネットワーク・ダイアログ

Cloud Shell制限付きネットワーク・ダイアログ

「プライベート・ネットワーク」を選択して接続するか、新しいプライベート・ネットワークを作成して構成するか、「OCIサービス・ネットワーク」を選択してデフォルト設定のままにします。

Cloud Shellパブリック・ネットワーク

Cloud Shellパブリック・ネットワークでは、Cloud Shellセッションからパブリック・インターネットにアクセスできます。

ノート

管理者は、アイデンティティ・ポリシーを使用してクラウド・シェル・パブリック・ネットワークへのアクセスを構成する必要があります。

要件およびIAMポリシー

ユーザーがクラウド・シェルで管理されるパブリック・ネットワークにアクセスできるようにするには、アイデンティティ・ポリシーを介してユーザー・アクセス権を付与する必要があります。

クラウド・シェルで管理されるパブリック・ネットワークのリソース名は「cloud-shell-public-network」です。次に、クラウド・シェルのパブリック・ネットワークへのアクセス権を付与するポリシーの例を示します:
allow group <GROUP-NAME> to use cloud-shell-public-network in tenancy
ノート

パブリック・ネットワークIAMポリシーおよびセキュリティ・ゾーン・ポリシーは、既存のCloud Shellセッションに対して有効になるまで最大24時間かかる場合があります。「アクション」メニューからクラウド・シェルを再起動することで、ポリシー更新をすぐに実施できます。
ポリシーを初めて使用する場合は、ポリシーの開始共通ポリシーを参照してください。

クラウド・シェル管理者は、クラウド・シェルのセキュリティ・ゾーン・ポリシーを使用して、IAMポリシーに関係なく、テナンシ内のすべてのユーザー(テナンシ管理者を含む)のパブリック・ネットワークの使用を制限できます。セキュリティ・ゾーン・ポリシーは、テナンシ管理者を含むテナンシ内のすべてのユーザーのクラウド・シェル管理パブリック・ネットワークの使用を制限します。詳細は、セキュリティ・ゾーンを参照してください。

クラウド・シェルのプライベート・ネットワーキング

クラウド・シェルのプライベート・ネットワーキングを使用すると、プライベート・ネットワークにクラウド・シェル・セッションを接続できるため、パブリック・ネットワークを介したネットワーク・トラフィック・フローがなくても、プライベート・ネットワーク内のリソースにアクセスできます。プライベート・ネットワーキングが役立つ例として、プライベート・ネットワーク内のコンピュート・インスタンスにSSHで接続する場合や、プライベートOKEクラスタを管理する場合などがあります。

ノート

クラウド・シェル・インスタンスは、プライベート・インスタンスであり、ネットワーク設定の目的でプライベート・インスタンスと同様に機能します。インターネット・ゲートウェイのみを使用すると、プライベート・サブネットからインターネットへのエグレスが許可されません。サービス・ゲートウェイまたはNATゲートウェイを使用する必要があります。詳細は、インターネット・ゲートウェイのドキュメントを参照してください。

要件およびIAMポリシー

プライベート・ネットワーキングを使用するには、ユーザー(または管理者)が次のポリシーを指定する必要があります:

  • allow group <group> to use subnets in compartment <compartment>
  • allow group <group> to use vnics in compartment <compartment>
  • allow group <group> to use network-security-groups in compartment <compartment>
  • allow group <group> to inspect vcns in compartment <compartment>

ポリシーを初めて使用する場合は、ポリシーの開始共通ポリシーを参照してください。

また、適切なコンパートメントにプライベートVCNおよびサブネットを作成する必要があります。詳細は、ネットワーキングのドキュメントのVCNとサブネットを参照してください。

クラウド・シェルのプライベート・ネットワーキングの制限事項

プライベート・ネットワーキングを使用する場合は、次の制限事項に留意してください:
  • 適切なコンパートメントにプライベートVCNおよびサブネットを作成する必要があります。詳細は、ネットワーキングのドキュメントのVCNとサブネットの管理を参照してください。
  • 最大5つのお気に入りのプライベート・ネットワークを割り当てることができます。
  • 一時エフェメラル・ネットワークは、クラウド・シェル・セッションの長さに対してのみ有効であり、定義済のプライベート・ネットワークのリストには永続化されません。
  • プライベート・ネットワークの作成に使用できるのは、ホーム・リージョン内のVCNおよびサブネットのみです。ホーム・リージョンではないリージョン内のサブネットにアクセスする必要がある場合は、プライベート・ネットワーキングによって使用されるサブネットからのピアリングを使用して、サブネットにアクセスできます。詳細は、VCNクロスリージョン・ピアリングを参照してください。
  • クラウド・シェルのプライベート・ネットワーク用に選択されたサブネットには、使用可能なサブネットのCIDRブロックに対して少なくとも1つの予約されていないIPアドレスが必要です。予約されていないIPアドレスがすべて割り当てられている場合、クラウド・シェルはそのサブネットにアタッチできません。
  • サブネットには、最大5つの関連するネットワーク・セキュリティ・グループのみを設定できます。
  • カスタムDNSリゾルバを介したエンドポイントの解決はサポートされていません。

クラウド・シェルのプライベート・ネットワーキングの使用

この項では、Cloud Shellプライベート・ネットワーキングの使用方法について説明します。

ネットワークの選択

クラウド・シェル・セッションで使用しているネットワークを変更するには、クラウド・シェルのターミナル・ウィンドウの上部にある「ネットワーク」ドロップダウン・メニューを使用します:クラウド・シェルの「ネットワーク」メニューの場所

ネットワーク選択メニューが表示されます。

プライベート・ネットワーク設定のメニュー項目。

このメニューから、ネットワーク接続の選択、プライベートネットワーク定義のリストへのアクセス、または一時的な(一時的な)プライベートネットワークの作成を行うことができます。

プライベート・ネットワーク定義リストの使用

ネットワーク選択メニューの「プライベート・ネットワーク定義リスト」アイテムには、「プライベート・ネットワーク定義リスト」パネルが表示されます: クラウド・シェルのプライベート・ネットワーク定義リスト

このパネルでは、プライベートネットワークを作成または変更したり、お気に入りのプライベートネットワークを指定したり、デフォルトのネットワークを選択したりできます。

お気に入りのネットワークの指定

最大5つのお気に入りネットワークを指定できます。ネットワーク・ネットワークをお気に入りとして指定するには、「お気に入り」列のスターをクリックします。

デフォルト・ネットワークの選択

「デフォルト・ネットワーク」パネルのドロップダウン・リストからデフォルト・ネットワークを選択できます。これは、新しいCloud Shellセッションの開始時に使用されるネットワークです。

新しいプライベート・ネットワーク定義の作成

「プライベート・ネットワーク定義の作成」ボタンをクリックして、新しいプライベート・ネットワーク定義を作成できます。これにより、「プライベート・ネットワーク定義の作成」パネルが表示されます。
ノート

一時エフェメラル・ネットワークを作成するには、ネットワーク選択ドロップダウンから「エフェメラル・プライベート・ネットワーク設定」を選択します。これは、クラウド・シェル・セッションの長さに対してのみ有効な一時ネットワークであり、定義済のプライベート・ネットワークのリストには永続化されません。

「名前」テキスト・ボックスにプライベート・ネットワーク定義の名前を入力します。

ドロップダウン・リスト・ボックスから、使用するVCNおよびサブネットを選択します。オプションで、使用する1つ以上のネットワーク・セキュリティ・グループを選択することもできます。
ノート

ホーム・リージョン内のVCNおよびサブネットのみを使用できます。ホーム・リージョンではないリージョン内のサブネットにアクセスする必要がある場合は、プライベート・ネットワーキングによって使用されるサブネットからのピアリングを使用して、サブネットにアクセスできます。詳細は、VCNクロスリージョン・ピアリングを参照してください。
ノート

クラウド・シェルのプライベート・ネットワーク用に選択されたサブネットには、使用可能なサブネットのCIDRブロックに対して少なくとも1つの予約されていないIPアドレスが必要です。予約されていないIPアドレスがすべて割り当てられている場合、クラウド・シェルはそのサブネットにアタッチできません。

例:

クラウド・シェルのプライベート・ネットワーク設定ダイアログが完了した例

この定義をアクティブ・ネットワークに設定する場合は、「アクティブ・ネットワークとして使用」チェックボックスを選択します。

「作成」ボタンをクリックして、クラウド・シェルのプライベート・ネットワーク定義を作成します。

「アクティブなネットワークとして使用」チェック・ボックスを選択した場合、クラウド・シェル・セッションは、クラウド・シェルのターミナル・セッションの上部にある「ネットワーク」ドロップダウンに示すように、プライベート・ネットワークに接続されます:

クラウド・シェルの「ネットワーキング」ドロップダウン

「詳細」リンクをクリックすると、プライベート・ネットワーク接続の詳細を表示できます:

クラウド・シェルのプライベート・ネットワークの詳細ビュー