ロード・バランサ+ WAF、APIゲートウェイ、オブジェクト・ストレージおよびサービス・ゲートウェイを使用した、OCIでの静的コンテンツによるHA、セキュアなWebサイトの構築 (2026/05/18)

ロード・バランサ+ WAF、APIゲートウェイ、オブジェクト・ストレージおよびサービス・ゲートウェイを使用した、OCIでの静的コンテンツによるHA、セキュアなWebサイトの構築 (2026/05/18)

https://www.ateam-oracle.com/building-ha-secure-websites-with-static-content-in-oci-with-load-balancer-waf-api-gateway-object-storage-and-service-gateway

投稿者:Amit Chakraborty

組織は通常、高可用性とOWASP Top 10などの Web セキュリティのために、ロードバランサーと WAF の背後にある OCI に Web アプリケーションをデプロイします

図1

ウェブアプリケーション(アプリ)は、下流のデータベースから追​​加データを取得することでコンテンツを動的に生成できますが、多くの場合、ユーザーエージェント(ユーザーのブラウザ)への応答として静的コンテンツも送信する必要があります。これらの静的コンテンツは、CSSページ、GIFファイル、あるいは企業のウェブサイト向けの製品情報、ソリューションプレイブック、財務報告書など、単純なものから複雑なものまで多岐にわたります。

図2

最初に考えられるアプローチとしては、静的コンテンツをコンピューティングインスタンス、例えばブロックボリュームに配置するという方法があります(厳密には、ブロックボリュームはコンピューティングインスタンスに「属する」のではなく、インスタンスに「接続される」ものですが、要点は理解していただけるでしょう)。この方法は機能しますが、スケーラビリティの問題など、明らかなメンテナンス上の課題が伴います。別のアプローチとしては、これらの情報をデータベースに格納するという方法があります。これはもっともらしい方法ですが、やりすぎでしょう。

合理的なアプローチとしては、これらの静的コンテンツをOCIオブジェクトストレージに配置することです。OCIのネイティブサービスであるため、可用性が高く、信頼性が高く、コスト効率に優れたストレージサービスです。

図3

アーキテクチャ

アーキテクチャ構成要素は以下のとおりです。

図4

ロードバランサーの設定

ロードバランサーには2つのバックエンドセットがあります。1つはWebアプリケーション用の2つのバックエンドを含み、もう1つはAPIゲートウェイ用です。

図5

基本的な考え方は、リクエストが /static_content の場合、ロードバランサーはリクエストを API GW (バックエンドセット – APIGW-Object-Storage-Private) に転送し、それ以外のリクエストはウェブアプリケーション (バックエンドセットが「amitoic」で始まる) に転送するというものです。これは、ロードバランサーのルーティングポリシールールによって実現されます。

図6

最後に、このルーティングポリシーをLBリスナー内のバックエンド設定と関連付けます。

図7

オブジェクトストレージ構成

静的コンテンツを格納するバケットについては、PARを作成する必要があります。

図8

PAR のターゲットとアクションは PAR を作成した管理者に基づいて決定されるため、最小限の権限を付与するには次のポリシーを使用できます。

図9

上記の図のポリシー記述で使用されているネットワークソースに注目してください。これにより、オブジェクトストレージへのアクセスは、指定されたソースからのみに制限されます。

図10

VCN01は図3で使用されているVCNです。したがって、ロードバランサーを経由したリクエストのみがオブジェクトストレージに送信されることが許可されます。

APIゲートウェイ構成

API GW の設定は標準的です。デプロイメントでは、作成した PAR を使用してルートを作成します (図 8)。

図11

WAFポリシー

WAFの設定は、バックエンドアプリケーション(Webアプリケーションとオブジェクトストレージ)に応じてカスタマイズできます。オブジェクトストレージには静的コンテンツが含まれ、HTTP GETリクエストのみがサポートされるため、WAFポリシーは静的コンテンツへのアクセス時にHTTP GETメッセージのみを許可するように設定できます。Webアプリケーションには、異なるWAFルールセットを設定できます。Webアプリケーションとオブジェクトストレージという2つの異なるバックエンドセットを管理するためのWAFポリシーの設定方法については、私のブログ記事を参照してください。

アーキテクチャの実践

上記の設定が完了すれば、準備は万端です。

オブジェクトストレージから静的コンテンツにアクセスする –

図12

ファイルはダウンロードされます。その他のすべてのリクエストは、ロードバランサーによってウェブアプリケーションに転送されます。

図13

PARがブラウザから直接アクセスされた場合、そのリクエストはブロックされるべきである。

図14

まとめ

このブログ記事では、OCIオブジェクトストレージサービスを使用して静的コンテンツを含むウェブサイトを構築する方法について解説します。

コメント

コメントを投稿

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

イメージ
Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
続きを読む

ミリ秒の問題: BCCグループとOCIが市場データ・パフォーマンスを再定義する方法(AWSに対するベンチマークを使用) (2025/11/13)

イメージ
ミリ秒の問題: BCCグループとOCIが市場データ・パフォーマンスを再定義する方法(AWSに対するベンチマークを使用) (2025/11/13) https://blogs.oracle.com/cloud-infrastructure/post/milliseconds-matter-bcc-group-and-oci-vs-aws 投稿者: Steven Riley | Senior Cloud Architect William Bierds | Business Analyst and Systems Engineer - BCC Group International Travis Liles | Master Principal Cloud Architect Puru Patel | Cloud Architect - FSI これは、BCC グループと Oracle Cloud Infrastructure (OCI) 間の市場データ パートナーシップを紹介するブログ シリーズの第 2 部です。   はじめに 金融市場データアプリケーションは、トレーダー、金融機関、そして市場参加者が情報に基づいた意思決定を行えるよう、リアルタイムデータを提供することで、取引エコシステムにおいて重要な役割を果たしています。 前回のブログ で述べたように、取引環境において最適なパフォーマンスを確保するには、市場データを超低レイテンシかつ高い信頼性で配信する必要があります。 今日の急速に変化する金融市場において、クラウドは市場データ・アプリケーションにとって強力な推進力として台頭しています。適切なネットワークとインフラストラクチャがあれば、企業は実行時間の短縮、可用性の向上、そして堅牢なセキュリティを実現できます。しかし、企業によるクラウド導入は遅れており、ワークロードのクラウド移行計画を中止しているケースもあります。そこで、BCCグループとOracle Cloud Infrastructure(OCI)のパートナーシップが注目されています。 BCCグループは、主力市場データアプリケーションであるONE PlatformをOCI上に導入しました。このブログでは、以下の点について説明します。 このパートナーシップがなぜこれほど相乗効果をもたらすのかを探る OC...
続きを読む

OCIのカスタム・ルート表を使用した詳細なルーティング制御 (2025/02/27)

イメージ
OCIのカスタム・ルート表を使用した詳細なルーティング制御 (2025/02/27) https://www.ateam-oracle.com/post/granular-routing-control-with-custom-route-tables-in-oci 投稿者: Achinthya Gopinath | Principal Cloud Architect OCIでは、カスタムVCNルート表をVNIC上の個々のVNICまたは特定のIPアドレスに割り当てることができるため、ルーティングの柔軟性を高める強力な新機能が導入されました。この更新により、異なるトラフィック・ルーティング・ポリシーを必要とするインスタンスに対して個別のサブネットを作成する必要がなくなります。 概要: 以前は、VCNルート表はサブネット・レベルでのみ割り当てられていました。つまり、同じサブネット内の異なるインスタンスで異なるルーティング・ルールが必要な場合は、別々のサブネットを作成し、ネットワーク設計に複雑さを加える必要がありました。 この機能により、次のことができるようになりました。 •    カスタムVCNルート表をVNICまたはVNICの特定のIPアドレスに割り当てます。 •    プライマリIPアドレスとセカンダリIPアドレスの両方にルーティング・ポリシーを適用します。 •    階層ルート表のプリファレンスを有効にします。このプリファレンスは、使用するルート表を決定する構造化アプローチに従います。 ルーティングに関する考慮事項: •    一度にトラフィック・ルーティングを決定するために使用されるルート表は1つのみです。 •    ルート表がIPアドレスに関連付けられている場合は、他のルート表よりも優先されます。 •    IPアドレス/VNICにルート表がない場合は、階層内の次に使用可能なルート表(VNICレベルまたはサブネット・レベル)が使用されます。 詳細の選択プロセス: 1.    VNICのIPアドレスにルート表が関連付けられている場合、その表はIPアドレスからのトラフィックのルーティングに使用されます。 2.  ...
続きを読む