Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra le topologie e i vincoli di rete in Oracle Database@Azure.
Dopo aver acquistato un'offerta tramite Azure Marketplace e aver effettuato il provisioning dell'infrastruttura Oracle Exadata, il passaggio successivo consiste nella creazione del cluster di macchine virtuali per ospitare l'istanza di Oracle Exadata Database@Azure. Questi cluster Oracle Database sono connessi alla rete virtuale di Azure tramite una scheda di interfaccia di rete (NIC) virtuale dalla subnet delegata (delegata a Oracle.Database/networkAttachment).
Funzionalità di rete
Esistono due tipi di funzionalità di rete: predefinite e avanzate.
Funzionalità di rete predefinite
Le funzionalità di rete predefinite consentono la connettività di rete di base per le distribuzioni oracle Database@Azure nuove e esistenti. Queste funzionalità sono disponibili in tutte le aree di Oracle Database@Azure supportate e forniscono la rete di base necessaria per la distribuzione
Funzionalità di rete avanzate
Le funzionalità di rete avanzate migliorano l'esperienza di rete virtuale, offrendo una maggiore sicurezza, prestazioni e controllo, analogamente alle macchine virtuali standard di Azure. Queste funzionalità sono disponibili a livello generale per le nuove distribuzioni nelle aree seguenti:
- Australia East
- Brasile meridionale
- Canada Central
- India centrale
- Central US
- East US
- Stati Uniti orientali 2
- Francia centrale
- Germania settentrionale
- Germania centro-occidentale
- Italia settentrionale
- Giappone orientale
- Japan West
- Europa settentrionale
- Stati Uniti centro-meridionali
- South India
- Sud-est asiatico
- Spain Central
- Svezia centrale
- UAE Central
- UAE North
- UK South
- UK West
- US West
- Stati Uniti occidentali 2
- Stati Uniti occidentali 3
Note
Le funzionalità di rete avanzate sono attualmente supportate solo per le nuove distribuzioni di Oracle Database@Azure. Le reti virtuali esistenti con le subnet delegate Oracle Database@Azure create in precedenza al momento non supporteranno queste funzionalità. Il supporto per le distribuzioni esistenti è previsto per la fine di quest'anno.
Registrazione necessaria per le subnet delegate
Per usare le funzionalità di rete avanzate, usare i comandi seguenti (tramite AZCLI) per eseguire la registrazione prima di creare una nuova subnet delegata per la distribuzione di Oracle Database@Azure.
Register-AzProviderFeature -FeatureName "EnableRotterdamSdnApplianceForOracle" -ProviderNamespace "Microsoft.Baremetal"
Register-AzProviderFeature -FeatureName "EnableRotterdamSdnApplianceForOracle" -ProviderNamespace "Microsoft.Network"
Note
Lo stato di registrazione può essere nello stato "Registrazione" per un massimo di 60 minuti prima di passare a "Registrato". Attendere che lo stato diventi 'Registrato' prima di continuare con la creazione della subnet delegata.
Topologie supportate
Nella tabella seguente vengono descritte le topologie di rete supportate da ogni configurazione delle funzionalità di rete per Oracle Database@Azure.
| Topology | Funzionalità di rete predefinite | Funzionalità di rete avanzate |
|---|---|---|
| Connettività a un cluster Oracle Database in una rete virtuale locale | Yes | Yes |
| Connettività a un cluster Oracle Database in una rete virtuale con peering (nella stessa area) | Yes | Yes |
| Connettività a un cluster Oracle Database all'interno di una rete virtuale spoke in un'area diversa con una WAN virtuale | Yes | Yes |
| Connettività a un cluster Oracle Database in una rete virtuale con peering in un'area diversa (peering globale) | No | Yes |
| Connettività locale a un cluster Oracle database tramite ExpressRoute globale e locale | Yes | Yes |
| Azure ExpressRoute FastPath | No | Yes |
| Connettività dall'ambiente locale a un cluster Oracle Database in una rete virtuale spoke tramite un gateway ExpressRoute e il peering di reti virtuali con transito tramite gateway | Yes | Yes |
| Connettività locale a una subnet delegata tramite un gateway di rete privata virtuale (VPN) | Yes | Yes |
| Connettività dal database locale a un database Oracle in una rete virtuale spoke tramite un Gateway VPN e peering di reti virtuali con transito tramite gateway | Yes | Yes |
| Connettività su gateway VPN attivi/passivi | Yes | Yes |
| Connettività su gateway VPN attivi/attivi | No | Yes |
| Connettività tramite gateway ExpressRoute a livello di zona con ridondanza a livello di zona | Yes | Yes |
| Connettività di transito tramite una WAN virtuale per un cluster Oracle Database di cui è stato effettuato il provisioning in una rete virtuale spoke | Yes | Yes |
| Connettività locale a un cluster Oracle Database tramite una rete WAN virtuale e una SD-WAN definita dal software collegata | No | Yes |
| Connettività locale tramite un hub protetto (un'appliance virtuale di rete firewall) | Yes | Yes |
| Connettività da un cluster Oracle Database nei nodi Oracle Database@Azure alle risorse di Azure | Yes | Yes |
| App Contenitore di Azure supportate per le funzionalità di rete avanzate | No | Yes |
| La connettività da Azure NetApp Files con funzionalità di rete di base (ANF e Oracle Database@Azure deve essere distribuita in reti virtuali separate) | No | Yes |
| Connettività da Azure NetApp Files con funzionalità di rete Standard (ANF e Oracle Database@Azure devono essere distribuite in reti virtuali separate) | Yes | Yes |
Constraints
Nella tabella seguente vengono descritte le configurazioni necessarie delle funzionalità di rete supportate.
| Features | Funzionalità di rete predefinite | Funzionalità di rete avanzate |
|---|---|---|
| Subnet delegata per rete virtuale | 1 | 1 |
| Gruppi di sicurezza di rete nelle subnet delegate di Oracle Database@Azure | No | Yes |
| Route definite dall'utente (UDR) nelle subnet delegate di Oracle Database@Azure | Yes | Yes |
| Connettività da un cluster Oracle Database a endpoint privati nella stessa rete virtuale nelle subnet delegate di Azure | No | Yes |
| Connettività da un cluster Oracle Database a un endpoint privato in una rete virtuale spoke diversa connessa a una WAN virtuale | Yes | Yes |
| Supporto NSG sulla connessione privata | No | Yes |
| Connettività ad app senza server come le funzioni di Azure tramite endpoint privati | No | Yes |
| Supporto ILB e SLB di Azure per il traffico del cluster Oracle Database | No | No |
| Rete virtuale (IPv4 e IPv6) dual stack | È supportato solo IPv4 | È supportato solo IPv4 |
| Supporto dei tag di servizio | No | Yes |
| Log dei flussi della rete virtuale | No | Yes |
| Connessione alle istanze ODAA tramite endpoint privato | No | No |
Note
Quando si usano gruppi di sicurezza di rete (gruppi di sicurezza di rete) sul lato Azure, assicurarsi che tutte le regole di sicurezza configurate sul lato Oracle (OCI) vengano esaminate per evitare conflitti. L'applicazione di criteri di sicurezza in Azure e OCI può migliorare il comportamento di sicurezza complessivo, ma introduce anche una maggiore complessità in termini di gestione e richiede un'attenta sincronizzazione manuale tra i due ambienti. Il disallineamento tra questi criteri potrebbe causare problemi di accesso imprevisti o interruzioni operative.
Requisiti UDR per il routing del traffico verso Oracle Database@Azure
Quando si instrada il traffico a Oracle Database@Azure tramite un'appliance virtuale di rete/firewall, il prefisso User-Defined Route (UDR) deve essere almeno specifico della subnet delegata all'istanza di Oracle Database@Azure. Prefissi più ampi possono far cadere il traffico.
Se la subnet delegata per l'istanza è x.x.x.x/27, configurare l'UDR nella subnet del gateway come:
| Prefisso route | Risultato routing |
|---|---|
| x.x.x.x/27 | (uguale alla subnet) ✅ |
| x.x.x.x/32 | (più specifico) ✅ |
| x.x.x.x/24 | (troppo ampio) ❌ |
Linee guida specifiche per la topologia
Topologia hub-spoke
- Definire l'UDR nella subnet del gateway.
- Utilizzare un prefisso di percorso di
x.x.x.x/27o più specifico. - Impostare l'hop successivo su NVA/firewall.
Rete WAN virtuale (VWAN)
Intento con routing:
- Aggiungere il prefisso della subnet delegata (
x.x.x.x/27) all'elenco di prefissi della finalità di routing.
- Aggiungere il prefisso della subnet delegata (
Senza finalità di routing:
- Aggiungere una route alla tabella route VWAN
x.x.x.x/27e puntare l'hop successivo su NVA/firewall.
- Aggiungere una route alla tabella route VWAN
Note
Quando le funzionalità di rete avanzate non sono abilitate e per il traffico proveniente dalla subnet delegata Oracle Database@Azure che deve attraversare un gateway (ad esempio, per raggiungere reti locali, AVS, altri cloud e così via), è necessario configurare route definite dall'utente specifiche nella subnet delegata.
Queste UDR devono definire i prefissi IP di destinazione specifici e impostare l'hop successivo su NVA/firewall appropriato nell'hub.
Senza queste route, il traffico in uscita può ignorare i percorsi di ispezione necessari o non raggiungere la destinazione desiderata.
Note
Per accedere a un'istanza di Oracle Database@Azure da una rete locale tramite un gateway di rete virtuale (ExpressRoute o VPN) e un firewall, configurare la tabella di route assegnata al gateway di rete virtuale per includere l'indirizzo IPv4 /32 dell'istanza di Oracle Database@Azure elencata e puntare al firewall come hop successivo. L'uso di uno spazio indirizzi aggregato che include l'indirizzo IP dell'istanza di Oracle Database@Azure non inoltra il traffico oracle Database@Azure al firewall.
Note
Se si desidera configurare una tabella di route (route UDR) per controllare il routing dei pacchetti attraverso un'appliance virtuale di rete o un firewall verso un'istanza di Oracle Database@Azure provenienti da una sorgente nella stessa rete virtuale o in una rete virtuale con peering, il prefisso UDR deve essere più specifico o uguale alla dimensione della subnet delegata di Oracle Database@Azure. Se il prefisso UDR è meno specifico della dimensione della subnet delegata, non è efficace.
Ad esempio, se la subnet delegata è x.x.x.x/24, è necessario configurare l'UDR su x.x.x.x/24 (uguale) o x.x.x.x/32 (più specifica). Se si configura la route UDR come x.x.x.x/16, i comportamenti non definiti, ad esempio il routing asimmetrico, possono causare un network drop nel firewall.
FAQ
Che cosa sono le funzionalità di rete avanzate?
Le funzionalità di rete avanzate migliorano l'esperienza di rete virtuale offrendo una migliore sicurezza, prestazioni e controllo, analogamente alle macchine virtuali standard di Azure. Con questa funzionalità, i clienti possono usare integrazioni di reti virtuali native, ad esempio gruppi di sicurezza di rete (NSG), route User-Defined (UDR), collegamento privato, peering reti virtuali globali ed ExpressRoute FastPath senza necessità di soluzioni alternative.
Le funzionalità di rete avanzate funzioneranno per le distribuzioni esistenti?
Al momento no. Il supporto per le distribuzioni esistenti è in programma e stiamo lavorando attivamente per abilitarlo. Resta aggiornato per gli aggiornamenti nel prossimo futuro.
È necessario eseguire la registrazione automatica per abilitare funzionalità di rete avanzate per le nuove distribuzioni?
Yes. Per sfruttare i vantaggi delle funzionalità di rete avanzate per le nuove distribuzioni, è necessario completare un processo di registrazione. Eseguire i comandi di registrazione prima di creare una nuova subnet delegata nella rete virtuale esistente o nuova per le distribuzioni di Oracle Database@Azure.
Come è possibile verificare se la distribuzione supporta funzionalità di rete avanzate?
Attualmente, non esiste un modo diretto per verificare se una rete virtuale supporta funzionalità di rete avanzate. È consigliabile tenere traccia della sequenza temporale di registrazione delle funzionalità e associarla alle reti virtuali create in seguito. È anche possibile usare la scheda Registro attività sotto il VNet per determinare i dettagli della creazione, ma si noti che i log sono disponibili solo per gli ultimi 90 giorni per impostazione predefinita.