この記事は、「 ネットワーク トポロジと接続に関する Azure ランディング ゾーンの設計領域」で定義されているいくつかの考慮事項と推奨事項に基づいています。 Azure Virtual Machines で実行される Oracle インスタンスのネットワークと接続に関する主要な設計上の考慮事項とベスト プラクティスを提供します。 Oracle はミッション クリティカルなワークロードをサポートしているため、Azure ランディング ゾーンの設計領域に関するガイダンスを設計に含める必要があります。
Oracleワークロードのセキュリティを優先する
ほとんどの本番データベースと同様に、Oracleワークロードの保護は不可欠です。 データベースはプライベートのままで、パブリック エンドポイントがあってはなりません。 データへのアクセスを制御するのは、ビジネスアプリケーションやWebフロントエンドサービスなどの承認されたクラウドサービスのみです。 許可された少数の個人が、セキュリティで保護されたサービスを使用して任意の運用データベースを管理できます。 詳細については、「 VM リモート アクセスの計画」を参照してください。
高レベルのネットワーク設計
次のアーキテクチャ図は、Azure ランディング ゾーン内の Oracle インスタンスのネットワークに関する考慮事項を示しています。
すべてのソリューション サービスが 1 つの仮想ネットワーク内に存在することを確認します。
Azure Firewall、Azure Application Gateway、またはその他のセキュリティ メカニズムを使用して、重要なトラフィックのみがソリューションにアクセスできるようにします。
より高度なネットワークセキュリティ対策のために、ネットワークDMZを実装します。 詳細については、「 セキュリティで保護されたハイブリッド ネットワークの実装」を参照してください。
Azure Monitor、Azure ネットワーク セキュリティ グループ (NSG)、またはアプリケーション セキュリティ グループを使用して、トラフィックを監視およびフィルター処理します。
Oracle データベースを直接サポートするすべての VM が専用サブネットに存在し、インターネットからセキュリティで保護されていることを確認します。
Oracle データベース サブネットには、次のトラフィックを許可する NSG が含まれている必要があります。
受信ポート 22 または 3389 (Oracle データベース サービスがセキュリティで保護されたソースからのみ Windows で実行されている場合)。 セキュリティで保護された VM アクセスの詳細については、「 VM リモート アクセスの計画」を参照してください。
フロントエンド サブネットからの受信ポート 1521 のみ。 フロントエンド サブネットは、 インターネットに接続するワークロードのベスト プラクティスに従う必要があります。
セキュリティで難読化が必要な場合は、ポートを変更します。 デフォルトのポートは使用しないでください。
Azure Bastion を使用して Oracle サブネット内の VM に安全に接続することで、Oracle 管理アクセスを最小限の承認済みユーザーに制限します。
Azure Bastion を使用して Oracle データベース サーバーにアクセスする場合は、ポート 443 での受信トラフィックを許可する NSG が AzureBastionSubnet に含まれていることを確認します。
必要に応じて、ネットワーク待ち時間を最小限に抑えるために、Oracle アプリケーション サーバーと Oracle データベース サーバーの近接通信配置グループを構成します。
高速ネットワークを使用して、すべてのサービスをデプロイします。