この記事では、Oracle Database@Azure でのネットワーク トポロジと制約について説明します。
Azure Marketplace でオファーを購入し、Oracle Exadata インフラストラクチャをプロビジョニングした後の次のステップは、Oracle Exadata Database@Azure のインスタンスをホストするための仮想マシン クラスターを作成することです。 Oracle データベース クラスターは、委任されたサブネット (Oracle.Database/networkAttachment に委任されたもの) から仮想ネットワーク インターフェイス カード (仮想 NIC) を介して Azure 仮想ネットワークに接続されます。
ネットワーク機能
ネットワーク機能には、既定と事前の 2 種類があります。
既定のネットワーク機能
既定のネットワーク機能により、新規および既存の Oracle Database@Azure デプロイの両方で基本的なネットワーク接続が可能になります。 これらの機能は、サポートされているすべての Oracle Database@Azure リージョンで使用でき、デプロイに必要な基本的なネットワークを提供します
高度なネットワーク機能
高度なネットワーク機能により、仮想ネットワーク エクスペリエンスが強化され、標準の Azure VM と同様に、セキュリティ、パフォーマンス、制御が向上します。 これらの機能は、次のリージョンの新規展開で一般使用可能です。
- オーストラリア東部
- ブラジル南部
- カナダ中部
- インド中部
- 米国中部
- 米国東部
- 米国東部 2
- フランス中部
- ドイツ北部
- ドイツ中西部
- イタリア北部
- 東日本
- 西日本
- 北ヨーロッパ
- 米国中南部
- インド南部
- 東南アジア
- スペイン中部
- スウェーデン中部
- アラブ首長国連邦中部
- アラブ首長国連邦北部
- 英国南部
- 英国西部
- 米国西部
- 米国西部 2
- 米国西部 3
Note
高度なネットワーク機能は、現在、新しい Oracle Database@Azure デプロイでのみサポートされています。 以前に作成された Oracle Database@Azure委任されたサブネットを持つ既存の仮想ネットワークでは、現時点ではこれらの機能はサポートされません。 既存のデプロイのサポートは、今年後半に予定されています。
委任されたサブネットに対する登録が必要です
高度なネットワーク機能を使用するには、Oracle Database@Azure デプロイ用の新しい委任されたサブネットを作成する前に、(AZCLI を介して) 次のコマンドを使用して登録します。
Register-AzProviderFeature -FeatureName "EnableRotterdamSdnApplianceForOracle" -ProviderNamespace "Microsoft.Baremetal"
Register-AzProviderFeature -FeatureName "EnableRotterdamSdnApplianceForOracle" -ProviderNamespace "Microsoft.Network"
Note
登録状態は、'Registered' に変更する前に最大 60 分間 'Registering' 状態にすることができます。 状態が "登録済み" になるまで待ってから、委任されたサブネットの作成を続行します。
サポートされているトポロジ
次の表では、Oracle Database@Azureのネットワーク機能の各構成でサポートされるネットワーク トポロジについて説明します。
| Topology | 既定のネットワーク機能 | 高度なネットワーク機能 |
|---|---|---|
| ローカル仮想ネットワーク内の Oracle データベース クラスターへの接続 | Yes | Yes |
| ピアリングされた仮想ネットワーク内の Oracle データベース クラスターへの接続 (同じリージョン内) | Yes | Yes |
| 仮想ワイド エリア ネットワーク (仮想 WAN) による異なるリージョンのスポーク仮想ネットワーク内の Oracle データベース クラスターへの接続 | Yes | Yes |
| 異なるリージョンのピアリングされた仮想ネットワーク内の Oracle データベース クラスターへの接続 (グローバル ピアリング) | No | Yes |
| グローバルおよびローカル Azure ExpressRoute 経由での Oracle データベース クラスターへのオンプレミス接続 | Yes | Yes |
| Azure ExpressRoute FastPath | No | Yes |
| ゲートウェイ転送を使用した ExpressRoute ゲートウェイおよび仮想ネットワーク ピアリング経由での、オンプレミスからスポーク仮想ネットワーク内の Oracle データベース クラスターへの接続 | Yes | Yes |
| 仮想プライベート ネットワーク (VPN) ゲートウェイを介した、委任されたサブネットへのオンプレミス接続 | Yes | Yes |
| ゲートウェイ転送を使用した VPN ゲートウェイおよび仮想ネットワーク ピアリング経由での、オンプレミスからスポーク仮想ネットワーク内の Oracle データベースへの接続 | Yes | Yes |
| アクティブ/パッシブ VPN ゲートウェイを経由した接続 | Yes | Yes |
| アクティブ/アクティブ VPN ゲートウェイを経由した接続 | No | Yes |
| ゾーン冗長によるゾーン ExpressRoute ゲートウェイ経由の接続 | Yes | Yes |
| スポーク仮想ネットワークにプロビジョニングされた Oracle データベース クラスターへの仮想 WAN 経由のトランジット接続 | Yes | Yes |
| 仮想 WAN およびアタッチされたソフトウェアによるワイド エリア ネットワーク (SD-WAN) 経由での、Oracle データベース クラスターへのオンプレミス接続 | No | Yes |
| セキュリティ保護されたハブ (ファイアウォール ネットワーク仮想アプライアンス) 経由でのオンプレミス接続 | Yes | Yes |
| Oracle Database@Azure ノード上の Oracle データベース クラスターから Azure リソースへの接続 | Yes | Yes |
| 高度なネットワーク機能でサポートされている Azure Container Apps | No | Yes |
| 基本的なネットワーク機能を使用した Azure NetApp Files からの接続 (ANF と Oracle Database@Azureは別々の VNET にデプロイする必要があります) | No | Yes |
| Standard ネットワーク機能を使用した Azure NetApp Files からの接続 (ANF と Oracle Database@Azureは別々の VNET にデプロイする必要があります) | Yes | Yes |
Constraints
次の表では、サポートされているネットワーク機能の必要な構成について説明します。
| Features | 既定のネットワーク機能 | 高度なネットワーク機能 |
|---|---|---|
| 仮想ネットワークごとの委任されたサブネット | 1 | 1 |
| Oracle Database@Azure の委任されたサブネット上のネットワーク セキュリティ グループ | No | Yes |
| Oracle Database@Azure の委任されたサブネット上のユーザー定義ルート (UDR) | Yes | Yes |
| Azure の委任されたサブネット上の同じ仮想ネットワーク内にあるプライベート エンドポイントへの Oracle データベース クラスターからの接続 | No | Yes |
| 仮想 WAN に接続された別のスポーク仮想ネットワーク内にあるプライベート エンドポイントへの Oracle データベース クラスターからの接続 | Yes | Yes |
| プライベート リンクでの NSG のサポート | No | Yes |
| プライベート エンドポイントを介した Azure Functions などのサーバーレス アプリへの接続 | No | Yes |
| Oracle データベース クラスター トラフィックに対する Azure SLB と ILB のサポート | No | No |
| デュアル スタック (IPv4 および IPv6) 仮想ネットワーク | IPv4 のみがサポートされています | IPv4 のみがサポートされています |
| サービス タグのサポート | No | Yes |
| 仮想ネットワーク フロー ログ | No | Yes |
Note
Azure 側で NSG (ネットワーク セキュリティ グループ) を使用する場合は、競合を回避するために Oracle (OCI) 側で構成されているセキュリティ規則が確認されていることを確認します。 Azure と OCI の両方にセキュリティ ポリシーを適用すると、全体的なセキュリティ体制を強化できますが、管理の面でも複雑さが増し、2 つの環境間で慎重に手動で同期する必要があります。 これらのポリシー間の不整合は、意図しないアクセスの問題や運用の中断につながる可能性があります。
Oracle Database@Azureにトラフィックをルーティングするための UDR 要件
ネットワーク仮想アプライアンス (NVA)/ファイアウォールを介して Oracle Database@Azureにトラフィックをルーティングする場合、User-Defined ルート (UDR) プレフィックス は、Oracle Database@Azure インスタンスに委任されたサブネットと同じ以上の特定のプレフィックスである必要があります。 プレフィックスが広い場合、トラフィックがドロップされる可能性があります。
インスタンスの委任されたサブネットが x.x.x.x/27 の場合は、ゲートウェイ サブネットの UDR を次のように構成します。
| ルート プレフィックス | ルーティングの結果 |
|---|---|
| x.x.x.x/27 | (サブネットと同じ) ✅ |
| x.x.x.x/32 | (より具体的) ✅ |
| x.x.x.x/24 | (広すぎる) ❌ |
トポロジ固有のガイダンス
ハブアンドスポーク トポロジ
- ゲートウェイ サブネットで UDR を定義します。
-
x.x.x.x/27以上の特定のルート プレフィックスを使用します。 - 次ホップを NVA/ファイアウォールに設定します。
Virtual WAN (VWAN)
ルーティング インテントを使用:
- 委任されたサブネット プレフィックス (
x.x.x.x/27) をルーティングインテントのプレフィックスの一覧に追加します。
- 委任されたサブネット プレフィックス (
ルーティング意図なし:
-
x.x.x.x/27用の VWAN のルート テーブルにルートを追加し、次ホップを NVA/ファイアウォールにポイントします。
-
Note
高度なネットワーク機能が有効ではなく、Oracle Database@Azureから送信されたトラフィック (たとえば、オンプレミスネットワーク、AVS、その他のクラウドに到達するために) ゲートウェイを走査する必要がある委任されたサブネットの場合は、委任されたサブネット上で特定の UDR を構成する必要があります。
これらの UDR では、特定の宛先 IP プレフィックスを定義し、次ホップをハブ内の適切な NVA/ファイアウォールに設定する必要があります。
これらのルートがないと、送信トラフィックが必要な検査パスをバイパスしたり、目的の宛先に到達できなかったりする可能性があります。
Note
仮想ネットワーク ゲートウェイ (ExpressRoute または VPN) とファイアウォールを介してオンプレミス ネットワークから Oracle Database@Azure インスタンスにアクセスするには、仮想ネットワーク ゲートウェイに割り当てられているルート テーブルを構成して、Oracle Database@Azure インスタンスの /32 IPv4 アドレスが一覧表示され、次ホップとしてファイアウォールを指すように構成します。 Oracle Database@Azure インスタンス IP アドレスを含む集約アドレス空間を使用しても、Oracle Database@Azure トラフィックはファイアウォールに転送されません。
Note
ルート テーブル (UDR ルート) を構成して、同じ仮想ネットワークまたはピアリングされた仮想ネットワーク内のソースから Oracle Database@Azure インスタンス宛てのネットワーク仮想アプライアンスまたはファイアウォール経由のパケットのルーティングを制御する場合、UDR プレフィックスは、Oracle Database@Azureの委任されたサブネット サイズ以上である必要があります。 UDR のプレフィックスが、委任されたサブネット サイズのプレフィックスよりも具体的ではない場合、それは有効ではありません。
たとえば、委任されたサブネットが x.x.x.x/24 の場合、UDR を x.x.x.x/24 (同等) または x.x.x.x/32 (より具体的) に構成する必要があります。 UDR ルートを x.x.x.x/16 に構成すると、非対称ルーティングなどの未定義の動作によって、ファイアウォールでネットワークが切断される場合があります。
FAQ
高度なネットワーク機能とは
高度なネットワーク機能により、標準的な Azure 仮想マシンと同様に、セキュリティ、パフォーマンス、制御が向上し、仮想ネットワーク エクスペリエンスが向上します。 この機能を使用すると、回避策を必要とせずに、ネットワーク セキュリティ グループ (NSG)、User-Defined ルート (UDR)、Private Link、グローバル VNet ピアリング、ExpressRoute FastPath などのネイティブ VNet 統合を使用できます。
高度なネットワーク機能は既存のデプロイで機能しますか?
現時点ではありません。 既存のデプロイのサポートはロードマップ上にあり、有効にするための取り組みを積極的に行っています。 近い将来の更新プログラムについてご期待ください。
新しいデプロイで高度なネットワーク機能を有効にするには、自己登録する必要がありますか?
Yes. 新しいデプロイで高度なネットワーク機能を利用するには、登録プロセスを完了する必要があります。 Oracle Database@Azure デプロイの既存または新しい VNet に新しい委任されたサブネットを作成する前に、登録コマンドを実行します。
展開で高度なネットワーク機能がサポートされているかどうかを確認するにはどうすればよいですか?
現時点では、VNet が高度なネットワーク機能をサポートしているかどうかを直接確認する方法はありません。 機能登録タイムラインを追跡し、後で作成した VNet に関連付けることをお勧めします。 VNet の下にある [アクティビティ ログ] ブレードを使用して作成の詳細を確認することもできますが、ログは既定で過去 90 日間のみ使用できます。