P2SクライアントからDB@AWSに接続 (2026/02/26)

P2SクライアントからDB@AWSに接続 (2026/02/26)

https://www.ateam-oracle.com/connect-to-dbaws-from-p2s-clients

投稿者: Vinoth kumar Ashok | Sr. Cloud Network Architect

はじめに

組織がマルチクラウド・アーキテクチャを採用するにつれ、Oracle Databaseへの安全なアクセスは、パフォーマンスや拡張性と同様に重要になります。開発者や運用担当者が、データベースのエンドポイントをパブリック・インターネットに公開することなく、リモート・クライアントからOracle Database@AWS(OCI DB@AWS)にアクセスできるようにすることが、共通の要件となっています。

AWSでは、このリモートアクセスパターンは、多くの場合、AWS Client VPNを使用して実装されます。これは、AWSリソース(および接続されたオンプレミスネットワーク)への安全なアクセスを可能にする、マネージド型のクライアントベースのVPNサービスです。AWS Client VPNを使用すると、ユーザーはOpenVPNベースのVPNクライアントを使用して、事実上あらゆる場所から接続でき、プライベートネットワークへの制御された暗号化されたパスを提供します。

この記事では、AWS Client VPN を使用して OCI DB@AWS デプロイメントに接続する方法について説明し、ネットワークの基礎、推奨されるアクセスパターン、よくある落とし穴について説明します。

OCI DB@AWS データベースはプライベート AWS VPC にデプロイされるため、接続はプライベートルーティング、最小権限アクセス、エンドツーエンドの暗号化を中心に設計する必要があります。

アーキテクチャ

前提条件

OCI DB@AWS デプロイメントに向けて AWS でルーティングを構成する前に、オンプレミス環境またはクライアントマシンから AWS への AWS クライアント VPN 接続がすでにセットアップされ、機能していることを確認します (つまり、VPN セッションを確立し、ターゲット VPC 内の少なくとも 1 つのプライベート リソースにアクセスできる必要があります)。

AWS クライアント VPN のセットアップと構成の手順については、ご使用の環境/認証モデルの公式ドキュメントを参照してください。

注記

接続されたクライアントは、関連付けられたVPCサブネット内のリソースへのルートを既に継承しています。AWS Client VPNはソースNATを実行するため、接続されたクライアントからのトラフィックは、クライアントの元のIPではなく、Client VPNエンドポイントのENI IPアドレスから送信されているように見えます。

その結果、リモートユーザーが AWS Client VPN エンドポイントに接続すると、承認ルールによってアクセスが許可されている (およびセキュリティグループ/NACL などのセキュリティ制御によってトラフィックが許可されている) 限り、Client VPN に関連付けられたサブネットにルートがある任意の宛先に到達できるようになります。 

環境

上の図に示すように、環境は右から左に構築します。

1. Oracle Database@AWS (ODB) ネットワークを作成する

  • AWS コンソールで 、検索バーに 「Oracle Database@AWS」と入力します。
  • Oracle Database@AWS  –> ダッシュボードを開きます 
  • ODBネットワークを 選択 –> 作成します

2. Transit VPC とサブネットを作成します。

  • 重要: このサブネットは、ODB ネットワークと同じアベイラビリティー ゾーン (AZ) に作成します。

3. クライアント VPCは通常、 AWS クライアント VPNエンドポイント設定 の一部として作成 (または選択) されます  。

4.      ODBピアリング接続を作成する

  • VPC が配置されたら、  Oracle Database@AWS  →  ODB ピアリング接続に移動します。
  • ODB ネットワーク と Transit VPCの間に新しいピアリング接続を作成します 
  1. Transit Gatewayを作成し、両方のVPCをアタッチします。トランジットVPCのアタッチ先がODBネットワークと同じAZにあることを確認してください。

ルーティング

  1. クライアントVPCサブネットルートテーブルに、TGWを指すODBネットワークのルートを追加します。
  1. クライアント VPC TGW アタッチメントに移動 -> 関連するルート テーブルを選択し、ODB ネットワークの静的ルートを追加し、そのネクストホップとしてトランジット VPC アタッチメントを選択します。
  1. トランジットVPCサブネットルートテーブルに2つのルートを追加します
    • TGWを指すクライアントVPCネットワークの場合
    • ODB ネットワークを指す ODB ネットワーク CIDR。

現時点ではODBルートはCLI経由でのみ追加できます。ここに記載されている手順に従ってください。

TGW ルートと CLI ルートをサブネット ルート テーブルに追加すると、両方が以下のように表示されます。

  1. 最後に、ODB がトラフィックをルーティングできるように、ODB ネットワークのピア CIDR セクションにクライアント VPC CIDR を追加します。

注記

  • VPN クライアントへのアクセスを許可するには、クライアント VPN エンドポイントに宛先ネットワーク (ODB ネットワーク) への承認ルールを追加してください。
  • クライアントVPNのDNSサーバーIPを編集します。クライアントVPNエンドポイント -> クライアントVPNエンドポイントの変更 -> DNSサーバーIPを更新します。クライアントVPNがOCIホスト名を解決できるように、ここではRoute 53リゾルバーのインバウンドエンドポイントIPを使用します。

クライアントマシンとクライアントVPCにあるEC2からの接続をテストしてみましょう

クライアントVPCのEC2から

クライアントマシンから

まとめ

このブログでは、AWS Client VPN を使用してリモートユーザーから OCI DB@AWS デプロイメントに安全にアクセスし、データベースエンドポイントを ODB ネットワーク内でプライベートに保つための実用的なパターンについて説明しました。Transit VPC と AWS Transit Gateway を導入し、適切な ODB ピアリングとルートテーブルエントリを使用して環境を統合することで、パブリックインターネットへのインバウンドアクセスを開放することなく、制御されたポイントツーサイトアクセスを提供できます。

AWS Client VPN はクライアントトラフィックをソースNATし、主に管理接続用に設計されている点にご注意ください。このアプローチは、管理アクセス、トラブルシューティング、検証といった日常的な運用に使用してください。データベースパフォーマンスのベンチマークやアプリケーションスループットの測定には使用しないでください。

ルーティングと承認ルールが正しく設定され(セキュリティ グループ/NACL で検証済み)、このアーキテクチャにより、チームは強力なネットワーク分離と最小権限アクセスを維持しながら、どこからでも OCI DB@AWS を安全かつ繰り返し操作できるようになります。

コメント

コメントを投稿

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

イメージ
Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
続きを読む

ミリ秒の問題: BCCグループとOCIが市場データ・パフォーマンスを再定義する方法(AWSに対するベンチマークを使用) (2025/11/13)

イメージ
ミリ秒の問題: BCCグループとOCIが市場データ・パフォーマンスを再定義する方法(AWSに対するベンチマークを使用) (2025/11/13) https://blogs.oracle.com/cloud-infrastructure/post/milliseconds-matter-bcc-group-and-oci-vs-aws 投稿者: Steven Riley | Senior Cloud Architect William Bierds | Business Analyst and Systems Engineer - BCC Group International Travis Liles | Master Principal Cloud Architect Puru Patel | Cloud Architect - FSI これは、BCC グループと Oracle Cloud Infrastructure (OCI) 間の市場データ パートナーシップを紹介するブログ シリーズの第 2 部です。   はじめに 金融市場データアプリケーションは、トレーダー、金融機関、そして市場参加者が情報に基づいた意思決定を行えるよう、リアルタイムデータを提供することで、取引エコシステムにおいて重要な役割を果たしています。 前回のブログ で述べたように、取引環境において最適なパフォーマンスを確保するには、市場データを超低レイテンシかつ高い信頼性で配信する必要があります。 今日の急速に変化する金融市場において、クラウドは市場データ・アプリケーションにとって強力な推進力として台頭しています。適切なネットワークとインフラストラクチャがあれば、企業は実行時間の短縮、可用性の向上、そして堅牢なセキュリティを実現できます。しかし、企業によるクラウド導入は遅れており、ワークロードのクラウド移行計画を中止しているケースもあります。そこで、BCCグループとOracle Cloud Infrastructure(OCI)のパートナーシップが注目されています。 BCCグループは、主力市場データアプリケーションであるONE PlatformをOCI上に導入しました。このブログでは、以下の点について説明します。 このパートナーシップがなぜこれほど相乗効果をもたらすのかを探る OC...
続きを読む

OCIサービスを利用したWebサイトの作成 その4~Identity Cloud Serviceでサイトの一部を保護 (2021/12/30)

イメージ
OCIサービスを利用したWebサイトの作成 その4~Identity Cloud Serviceでサイトの一部を保護 (2021/12/30) https://blogs.oracle.com/cloudsecurity/post/using-oci-services-part-4 投稿者: Christopher Johnson 今回は、OCI Native Servicesを使って完全にサーバーレスでWebサイトをホスティングするシリーズの第4弾です。     パート1 では、OCI WAF + API Gateway + Functionを使用して、OCI Object Store Bucketから静的コンテンツを提供する基本的な方法を紹介しました。     パート2 では、バケットを(公開ではなく)非公開にし、Resource Prinicpalを使用して安全にアクセスする方法を紹介しました。     パート3 では、ハードコードされた設定を削除し、代わりにそれらの設定をアプリケーションに保存する方法を紹介しました。 パート4では、サイトの一部をログインの後ろに置いてみようと思っています。 この記事は、ちょっとした「フクロウの描き方」のようなものになりそうです。でも、コードを見ればきっと理解できるはずです! IDCSでアプリケーションを作成 注:OCI Identity Domains は、OCI の新規顧客に対して IDCS の機能を直ちに提供します。現在 IDCS を使用している顧客については、既存の IDCS ストライプは今後数ヶ月の間に OCI Identity Domains に移行される予定です。詳細については、OCI Identity Domainの ドキュメント を参照してください。この変更は、このブログで説明したセキュリティ・パターンに影響を与えるものではありません。このブログで IDCS に起因するセキュリティ機能は、OCI Identity Domainsでも提供されます。 まず最初に、サイトを表現するために IDCS で実際にアプリケーションを作成する必要があります。 IDCSコンソールを開き、「アプリケーション」に移動し、「作成」をクリックします。Functionアプリケーシ...
続きを読む