🛠️ 開発・MCP コミュニティ

networking-management

OCIのVCNトポロジー設計や接続問題のトラブルシューティング、Service Gateway設定によるコスト削減、Security ListとNSGの使い分け、ルーティング問題の解決、ロードバランサーのサイジングなど、ネットワーク管理全般を支援するSkill。

📜 元の英語説明(参考)

Use when designing OCI VCN topology, troubleshooting connectivity failures, configuring Service Gateway to eliminate egress costs, choosing between Security Lists and NSGs, debugging transitive routing failures, or sizing Load Balancer subnets. Covers Service Gateway free egress, VCN CIDR immutability, peering non-transitivity, Security List hard limits, and stateful rule behavior.

🇯🇵 日本人クリエイター向け解説

一言でいうと

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux

mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o networking-management.zip https://jpskill.com/download/9170.zip && unzip -o networking-management.zip && rm networking-management.zip

🪟 Windows (PowerShell)

$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/9170.zip -OutFile "$d\networking-management.zip"; Expand-Archive "$d\networking-management.zip" -DestinationPath $d -Force; ri "$d\networking-management.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)

1. 下の青いボタンを押して networking-management.zip をダウンロード
2. ZIPファイルをダブルクリックで解凍 → networking-management フォルダができる
3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
4. Claude Code を再起動

⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
- · macOS / Linux: ~/.claude/skills/
- · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →

最終更新: 2026-05-18
取得日時: 2026-05-18
同梱ファイル: 1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

OCIネットワーキング

絶対にやってはいけないこと

❌ Oracleサービスへのトラフィックをインターネット・ゲートウェイ経由でルーティングしてはいけません — サービス・ゲートウェイは無料です

サービス・ゲートウェイなし（インターネット・ゲートウェイ経由）の場合：
- Object Storageへの20 TB/月のデータベース・バックアップ
- Egress: 20,000 GB × $0.0085/GB = $170/月

サービス・ゲートウェイありの場合：
- 同じトラフィック = $0/月
- 年間の節約額：$2,040

サービス・ゲートウェイは、Object Storage（すべての階層）、ADBプライベート・エンドポイント、Oracle Services Networkをカバーします。

# プライベート・サブネットのルート・テーブルに追加
# Destination: <oci-services-cidr>  (query: oci network service list --all)
# Target: Service Gateway OCID

❌ /24 CIDRでVCNを作成してはいけません — サイズ変更できません

# 間違い - 256個のIPアドレス、すぐに枯渇、変更不可
oci network vcn create --cidr-block "10.0.0.0/24"

# 正しい - /16は65,536個のIPアドレスを提供、256個の/24サブネットの余裕があります
oci network vcn create --cidr-block "10.0.0.0/16"
# 移行には、新しいVCN + リソース移行 + DNS + セキュリティ・ルールが必要 = 数時間のダウンタイム

❌ ロード・バランサーのサブネットに/27以下のサイズを使用しないでください

# 間違い - わずか32個のIPアドレス（OCIが5個予約した後、27個が使用可能）
oci network subnet create --cidr-block "10.0.1.0/27"
# LBの作成に失敗: "Insufficient IP space"

# 正しい - /24が最小（必須要件）
oci network subnet create --cidr-block "10.0.1.0/24"
# LBはHAのために異なるADに2つのサブネットが必要、それぞれ/24が最小
# OCIは、まだ使用されていなくても、将来のLBスケーリングのためにIPアドレスを予約します

❌ VCNピアリングが推移的なルーティングをサポートしていると想定しないでください

VCN-A ↔ VCN-B ↔ VCN-C がピアリングされている

# 間違い: AはB経由でCに到達できる
VCN-Aインスタンス → VCN-Cインスタンス = 失敗

# OCIピアリングは非推移的です
VCN-Aは以下に到達可能：VCN-Bのみ
VCN-Cは以下に到達可能：VCN-Bのみ

# 修正オプション1：明示的なピア（VCN-A ↔ VCN-C 直接）
# 修正オプション2：DRGによるハブ・アンド・スポーク（3つ以上のVCNに推奨）

❌ ステートフルなセキュリティ・リストに冗長なEgressルールを追加しないでください（AWS NACLの習慣）

OCIセキュリティ・リストはステートフルです（AWSセキュリティ・グループと同様、AWSネットワークACLとは異なります）

# 間違い - 不要なEgressルール
Security List ingress: Allow TCP 443 from 0.0.0.0/0
Security List egress:  Allow TCP 1024-65535 to 0.0.0.0/0  # 不要！

# 正しい - Ingressのみ
Security List ingress: Allow TCP 443 from 0.0.0.0/0
# 応答トラフィックは自動的に許可されます

❌ 6番目のセキュリティ・リストをサブネットに追加しようとしないでください（ハード・リミット：5）

# OCIハード・リミット：サブネットあたり最大5つのセキュリティ・リスト
# 多くの階層を持つ複雑なアプリケーションはこれに達します

# 間違い - 6番目で失敗
oci network subnet update --security-list-ids '["<sl1>","<sl2>","<sl3>","<sl4>","<sl5>","<sl6>"]'
# Error: "Maximum security lists (5) exceeded"

# 正しい - アプリケーション固有のルールにはNSGを使用
# NSG：リソースあたり5つ、NSGあたり120ルール、VCNあたり無制限のNSG

セキュリティ・リスト vs NSG 決定マトリックス

ユースケース	セキュリティ・リスト	NSG
サブネット全体のベースライン（DNS、NTP、ICMP）	はい
すべてのリソースに対するインターネットEgress	はい
アプリケーション層 → DB層の分離		はい
特定のインスタンスのみのルール		はい
5つのSL制限を超える複雑なアプリケーション		はい

推奨パターン:

サブネットあたり1つのセキュリティ・リスト：Egress、ICMP、DNS、NTPを許可
階層ごとのNSG：Web（インターネットからの80/443）、App（Web NSGから）、DB（App NSGから）
インスタンスをその階層のNSGに割り当てます。サブネットのセキュリティ・リストはすべてに自動的に適用されます。

推移的なルーティング：VCNピアリング vs DRG

ローカル・ピアリング（同じリージョン、無料）：

各VCNにローカル・ピアリング・ゲートウェイ（LPG）を作成
LPGを接続します。両方のルート・テーブルに明示的なルートを追加
制限：推移性なし — A↔BおよびB↔CはA↔Cを提供しません

リモート・ピアリング（クロスリージョン、$0.01/時間/DRG接続 = $7.30/月）：

各リージョンにDRG、各DRGにリモート・ピアリング接続

DRGによるハブ・アンド・スポーク（オンプレミスの推移性をサポート）：

VCN-A → DRG ← オンプレミス
VCN-B → DRG ← オンプレミス

# DRGは、接続されているすべてのVCNとオンプレミス間のルートを提供します
# これは、OCIで推移的なルーティングが機能する唯一のパターンです

3リージョン・メッシュ（A↔B、B↔C、A↔C）：3つのリモートDRG接続 = $21.90/月。

FastConnect vs VPN の選択

VPN Site-to-Site:
- トンネル費用：$0.05/時間 = $36.50/月
- データ：無料（VPN処理のGBあたりの料金はかかりません）
- Egress: 500 GB × $0.0085 = $4.25/月
合計：約$41/月

FastConnect (1 Gbps):
- ポート：$1,100/月 定額
- データ転送：無料
合計：$1,100/月

決定：
- <500 GB/月 または 開発/テスト → VPN
- レイテンシSLAのある本番環境（VPNの30〜50msに対して5〜20ms）→ FastConnect
- >500 GB/月 予測可能 → 経済性のためにFastConnect

サブネット・サイジング・ガイド

アプリケーション	CIDR	使用可能なIPアドレス	注
小規模なアプリケーション層	/26	59	基本的なワークロード
標準的なアプリケーション層	/24	251	推奨されるデフォルト
大規模なアプリケーション層	/23	507	高密度
ロード・バランサー・サブネット	/24 最小	251	必須要件、2つのサブネットが必要

OCIは、サブネットあたり5つのIPアドレスを予約します（最初の3つ + ブロードキャスト + 予約済み）。これを考慮してください。

VCN設計アンチパターン

すべての層に単一のサブネット — 影響範囲の封じ込めを破り、コンプライアンスに失敗します：

# 正しい - 層ごとに1つのサブネット
10.0.1.0/24 (Web層、パブリック・サブネット)
10.0.2.0/24 (アプリケーション層、プライベート・サブネット)
10.0.3.0/24 (DB層、プライベート・サブネット)

NSG web:  インターネットからの80/443を許可
NSG app:  Web NSGからの8080のみを許可
NSG db:   App NSGからの1521のみを許可

注意点: デフォルトのVCNルート・テーブルは削除できません（VCNが存在する間）— 変更のみ可能です。カスタム・ルート・テーブルを作成し、サブネットをそれらに関連付けます。デフォルトは未使用のままにします。

参照ファイル

以下が必要な場合は、references/oci-networking-reference.mdを参照してください。

DRG、FastConnect、またはVPNの詳細な構成
複雑なルーティングのトラブルシューティング
ネットワーク・ファイアウォールの設定
包括的なVCNおよびサブネットのCLIリファレンス

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

OCI Networking

NEVER Do This

❌ NEVER route Oracle service traffic via Internet Gateway — Service Gateway is FREE

Without Service Gateway (via Internet Gateway):
- 20 TB/month database backups to Object Storage
- Egress: 20,000 GB × $0.0085/GB = $170/month

With Service Gateway:
- Same traffic = $0/month
- Annual savings: $2,040

Service Gateway covers: Object Storage (all tiers), ADB private endpoints, Oracle Services Network

# Add to private subnet route table
# Destination: <oci-services-cidr>  (query: oci network service list --all)
# Target: Service Gateway OCID

❌ NEVER create a VCN with /24 CIDR — it cannot be resized

# WRONG - 256 IPs, exhausted quickly, immutable
oci network vcn create --cidr-block "10.0.0.0/24"

# RIGHT - /16 gives 65,536 IPs, room for 256 /24 subnets
oci network vcn create --cidr-block "10.0.0.0/16"
# Migration requires: new VCN + resource migration + DNS + security rules = hours of downtime

❌ NEVER use /27 or smaller for Load Balancer subnets

# WRONG - only 32 IPs (27 usable after OCI reserves 5)
oci network subnet create --cidr-block "10.0.1.0/27"
# LB creation FAILS: "Insufficient IP space"

# RIGHT - /24 minimum (hard requirement)
oci network subnet create --cidr-block "10.0.1.0/24"
# LB needs 2 subnets in different ADs for HA, each /24 minimum
# OCI reserves IPs for future LB scaling even when not yet used

❌ NEVER assume VCN peering supports transitive routing

VCN-A ↔ VCN-B ↔ VCN-C peered

# WRONG: A can reach C via B
VCN-A instance → VCN-C instance = FAILS

# OCI peering is NON-TRANSITIVE
VCN-A can reach: VCN-B only
VCN-C can reach: VCN-B only

# Fix option 1: Explicit peer (VCN-A ↔ VCN-C direct)
# Fix option 2: Hub-and-spoke with DRG (preferred for 3+ VCNs)

❌ NEVER add redundant egress rules for stateful Security Lists (AWS NACL habit)

OCI Security Lists are STATEFUL (like AWS Security Groups, unlike AWS Network ACLs)

# WRONG - unnecessary egress rule
Security List ingress: Allow TCP 443 from 0.0.0.0/0
Security List egress:  Allow TCP 1024-65535 to 0.0.0.0/0  # Not needed!

# RIGHT - ingress only
Security List ingress: Allow TCP 443 from 0.0.0.0/0
# Response traffic auto-allowed

❌ NEVER try to add a 6th Security List to a subnet (hard limit: 5)

# OCI hard limit: max 5 security lists per subnet
# Complex apps with many tiers will hit this

# WRONG - fails at 6th
oci network subnet update --security-list-ids '["<sl1>","<sl2>","<sl3>","<sl4>","<sl5>","<sl6>"]'
# Error: "Maximum security lists (5) exceeded"

# RIGHT - use NSGs for application-specific rules
# NSGs: 5 per resource, 120 rules per NSG, unlimited NSGs per VCN

Security List vs NSG Decision Matrix

Use Case	Security List	NSG
Subnet-wide baseline (DNS, NTP, ICMP)	Yes
Internet egress for all resources	Yes
App tier → DB tier isolation		Yes
Rules for specific instances only		Yes
Complex app exceeding 5 SL limit		Yes

Recommended pattern:

1 Security List per subnet: allow egress, ICMP, DNS, NTP
NSGs per tier: Web (80/443 from internet), App (from Web NSG), DB (from App NSG)
Assign instances to their tier NSG; subnet Security List applies to all automatically

Transitive Routing: VCN Peering vs DRG

Local peering (same region, FREE):

Create Local Peering Gateway (LPG) in each VCN
Connect LPGs; add explicit routes in both route tables
Limitation: no transitivity — A↔B and B↔C does NOT give A↔C

Remote peering (cross-region, $0.01/hr per DRG connection = $7.30/month):

DRG in each region, Remote Peering Connection on each DRG

Hub-and-spoke with DRG (supports transitivity for on-premises):

VCN-A → DRG ← On-Premises
VCN-B → DRG ← On-Premises

# DRG routes between all attached VCNs AND on-premises
# This is the ONLY pattern where transitive routing works in OCI

3-region mesh (A↔B, B↔C, A↔C): 3 remote DRG connections = $21.90/month.

FastConnect vs VPN Selection

VPN Site-to-Site:
- Tunnel cost: $0.05/hr = $36.50/month
- Data: FREE (no per-GB charge for VPN processing)
- Egress: 500 GB × $0.0085 = $4.25/month
Total: ~$41/month

FastConnect (1 Gbps):
- Port: $1,100/month flat
- Data transfer: FREE
Total: $1,100/month

Decision:
- <500 GB/month or dev/test → VPN
- Production with latency SLA (5-20ms vs VPN's 30-50ms) → FastConnect
- >500 GB/month predictable → FastConnect for economics

Subnet Sizing Guide

Application	CIDR	Usable IPs	Notes
Small app tier	/26	59	Basic workload
Standard app tier	/24	251	Recommended default
Large app tier	/23	507	High-density
Load Balancer subnet	/24 minimum	251	Hard requirement, 2 subnets needed

OCI reserves 5 IPs per subnet (first 3 + broadcast + reserved). Factor this in.

VCN Design Anti-Patterns

Single subnet for all tiers — breaks blast radius containment, fails compliance:

# RIGHT - one subnet per tier
10.0.1.0/24 (web tier, public subnet)
10.0.2.0/24 (app tier, private subnet)
10.0.3.0/24 (DB tier, private subnet)

NSG web:  Allow 80/443 from internet
NSG app:  Allow 8080 from web NSG only
NSG db:   Allow 1521 from app NSG only

Gotcha: The default VCN route table cannot be deleted (while VCN exists) — only modified. Create custom route tables and associate subnets to them; leave default unused.

Reference Files

Load references/oci-networking-reference.md when you need:

DRG, FastConnect, or VPN detailed configuration
Complex routing troubleshooting
Network Firewall setup
Comprehensive VCN and subnet CLI reference