この記事では、Oracle Database@Azure でのネットワーク トポロジと制約について説明します。
Azure Marketplace でオファーを購入し、Oracle Exadata インフラストラクチャをプロビジョニングした後の次のステップは、Oracle Exadata Database@Azure のインスタンスをホストするための仮想マシン クラスターを作成することです。 Oracle データベース クラスターは、委任されたサブネット (Oracle.Database/networkAttachment に委任されたもの) から仮想ネットワーク インターフェイス カード (仮想 NIC) を介して Azure 仮想ネットワークに接続されます。
ネットワーク機能
ネットワーク機能には、既定と事前の 2 種類があります。
既定のネットワーク機能
既定のネットワーク機能により、新規および既存の Oracle Database@Azure デプロイの両方で基本的なネットワーク接続が可能になります。 これらの機能は、サポートされているすべての Oracle Database@Azure リージョンで使用でき、デプロイに必要な基本的なネットワークを提供します
高度なネットワーク機能
高度なネットワーク機能により、仮想ネットワーク エクスペリエンスが強化され、標準の Azure VM と同様に、セキュリティ、パフォーマンス、制御が向上します。 これらの機能は、次のリージョンの新規展開で一般使用可能です。
- オーストラリア東部
- オーストラリア南東部
- カナダ中部
- 米国中部
- 米国東部
- 米国東部 2
- 米国西部
- 英国南部
- 英国西部
- ドイツ中西部
注
高度なネットワーク機能は、現在、新しい Oracle Database@Azure デプロイでのみサポートされています。 以前に作成された Oracle Database@Azure委任されたサブネットを持つ既存の仮想ネットワークでは、現時点ではこれらの機能はサポートされません。 既存のデプロイのサポートは、今年後半に予定されています。
委任されたサブネットに対する登録が必要です
高度なネットワーク機能を使用するには、Oracle Database@Azure デプロイ用の仮想ネットワークを作成する前に、次のコマンド (AZCLI 経由) を使用して登録します。
Register-AzProviderFeature -FeatureName "EnableRotterdamSdnApplianceForOracle" -ProviderNamespace "Microsoft.Baremetal"
Register-AzProviderFeature -FeatureName "EnableRotterdamSdnApplianceForOracle" -ProviderNamespace "Microsoft.Network"
注
登録状態は、'Registered' に変更する前に最大 60 分間 'Registering' 状態にすることができます。 状態が "登録済み" になるまで待ってから、委任されたサブネットの作成を続行します。
サポートされているトポロジ
次の表では、Oracle Database@Azureのネットワーク機能の各構成でサポートされるネットワーク トポロジについて説明します。
| トポロジ | 既定のネットワーク機能 | 高度なネットワーク機能 |
|---|---|---|
| ローカル仮想ネットワーク内の Oracle データベース クラスターへの接続 | はい | はい |
| ピアリングされた仮想ネットワーク内の Oracle データベース クラスターへの接続 (同じリージョン内) | はい | はい |
| 仮想ワイド エリア ネットワーク (仮想 WAN) による異なるリージョンのスポーク仮想ネットワーク内の Oracle データベース クラスターへの接続 | はい | はい |
| 異なるリージョンのピアリングされた仮想ネットワーク内の Oracle データベース クラスターへの接続 (グローバル ピアリング) | いいえ | はい |
| グローバルおよびローカル Azure ExpressRoute 経由での Oracle データベース クラスターへのオンプレミス接続 | はい | はい |
| Azure ExpressRoute FastPath | いいえ | はい |
| ゲートウェイ転送を使用した ExpressRoute ゲートウェイおよび仮想ネットワーク ピアリング経由での、オンプレミスからスポーク仮想ネットワーク内の Oracle データベース クラスターへの接続 | はい | はい |
| 仮想プライベート ネットワーク (VPN) ゲートウェイを介した、委任されたサブネットへのオンプレミス接続 | はい | はい |
| ゲートウェイ転送を使用した VPN ゲートウェイおよび仮想ネットワーク ピアリング経由での、オンプレミスからスポーク仮想ネットワーク内の Oracle データベースへの接続 | はい | はい |
| アクティブ/パッシブ VPN ゲートウェイを経由した接続 | はい | はい |
| アクティブ/アクティブ VPN ゲートウェイを経由した接続 | いいえ | はい |
| ゾーン冗長によるゾーン ExpressRoute ゲートウェイ経由の接続 | はい | はい |
| スポーク仮想ネットワークにプロビジョニングされた Oracle データベース クラスターへの仮想 WAN 経由のトランジット接続 | はい | はい |
| 仮想 WAN およびアタッチされたソフトウェアによるワイド エリア ネットワーク (SD-WAN) 経由での、Oracle データベース クラスターへのオンプレミス接続 | いいえ | はい |
| セキュリティ保護されたハブ (ファイアウォール ネットワーク仮想アプライアンス) 経由でのオンプレミス接続 | はい | はい |
| Oracle Database@Azure ノード上の Oracle データベース クラスターから Azure リソースへの接続 | はい | はい |
制約
次の表では、サポートされているネットワーク機能の必要な構成について説明します。
| 機能 | 既定のネットワーク機能 | 高度なネットワーク機能 |
|---|---|---|
| 仮想ネットワークごとの委任されたサブネット | 1 | 1 |
| Oracle Database@Azure の委任されたサブネット上のネットワーク セキュリティ グループ | いいえ | はい |
| Oracle Database@Azure の委任されたサブネット上のユーザー定義ルート (UDR) | はい | はい |
| Azure の委任されたサブネット上の同じ仮想ネットワーク内にあるプライベート エンドポイントへの Oracle データベース クラスターからの接続 | いいえ | はい |
| 仮想 WAN に接続された別のスポーク仮想ネットワーク内にあるプライベート エンドポイントへの Oracle データベース クラスターからの接続 | はい | はい |
| プライベート リンクでの NSG のサポート | いいえ | はい |
| プライベート エンドポイントを介した Azure Functions などのサーバーレス アプリへの接続 | いいえ | はい |
| Oracle データベース クラスター トラフィックに対する Azure SLB と ILB のサポート | いいえ | いいえ |
| デュアル スタック (IPv4 および IPv6) 仮想ネットワーク | IPv4 のみがサポートされています | IPv4 のみがサポートされています |
| サービス タグのサポート | いいえ | はい |
注
Azure 側で NSG (ネットワーク セキュリティ グループ) を使用する場合は、競合を回避するために Oracle (OCI) 側で構成されているセキュリティ規則が確認されていることを確認します。 Azure と OCI の両方にセキュリティ ポリシーを適用すると、全体的なセキュリティ体制を強化できますが、管理の面でも複雑さが増し、2 つの環境間で慎重に手動で同期する必要があります。 これらのポリシー間の不整合は、意図しないアクセスの問題や運用の中断につながる可能性があります。
Oracle Database@Azureにトラフィックをルーティングするための UDR 要件
ネットワーク仮想アプライアンス (NVA)/ファイアウォールを介して Oracle Database@Azureにトラフィックをルーティングする場合、User-Defined ルート (UDR) プレフィックス は、Oracle Database@Azure インスタンスに委任されたサブネットと同じ以上の特定のプレフィックスである必要があります。 プレフィックスが広い場合、トラフィックがドロップされる可能性があります。
インスタンスの委任されたサブネットが x.x.x.x/27 の場合は、ゲートウェイ サブネットの UDR を次のように構成します。
| ルート プレフィックス | ルーティングの結果 |
|---|---|
| x.x.x.x/27 | (サブネットと同じ) ✅ |
| x.x.x.x/32 | (より具体的) ✅ |
| x.x.x.x/24 | (広すぎる) ❌ |
トポロジ固有のガイダンス
ハブアンドスポーク トポロジ
- ゲートウェイ サブネットで UDR を定義します。
x.x.x.x/27以上の特定のルート プレフィックスを使用します。- 次ホップを NVA/ファイアウォールに設定します。
Virtual WAN (VWAN)
ルーティング インテントを使用:
- 委任されたサブネット プレフィックス (
x.x.x.x/27) をルーティングインテントのプレフィックスの一覧に追加します。
- 委任されたサブネット プレフィックス (
ルーティング意図なし:
x.x.x.x/27用の VWAN のルート テーブルにルートを追加し、次ホップを NVA/ファイアウォールにポイントします。
注
高度なネットワーク機能が有効ではなく、Oracle Database@Azureから送信されたトラフィック (たとえば、オンプレミスネットワーク、AVS、その他のクラウドに到達するために) ゲートウェイを走査する必要がある委任されたサブネットの場合は、委任されたサブネット上で特定の UDR を構成する必要があります。
これらの UDR では、特定の宛先 IP プレフィックスを定義し、次ホップをハブ内の適切な NVA/ファイアウォールに設定する必要があります。
これらのルートがないと、送信トラフィックが必要な検査パスをバイパスしたり、目的の宛先に到達できなかったりする可能性があります。
FAQ
高度なネットワーク機能とは
高度なネットワーク機能により、標準的な Azure 仮想マシンと同様に、セキュリティ、パフォーマンス、制御が向上し、仮想ネットワーク エクスペリエンスが向上します。 この機能を使用すると、回避策を必要とせずに、ネットワーク セキュリティ グループ (NSG)、User-Defined ルート (UDR)、Private Link、グローバル VNet ピアリング、ExpressRoute FastPath などのネイティブ VNet 統合を使用できます。
高度なネットワーク機能は既存のデプロイで機能しますか?
現時点ではありません。 既存のデプロイのサポートはロードマップ上にあり、有効にするための取り組みを積極的に行っています。 近い将来の更新プログラムについてご期待ください。
新しいデプロイで高度なネットワーク機能を有効にするには、自己登録する必要がありますか?
はい。 新しいデプロイで高度なネットワーク機能を利用するには、登録プロセスを完了する必要があります。 Oracle Database@Azure デプロイ用の新しい VNet と委任されたサブネットを作成する前に、登録コマンドを実行してください。
展開で高度なネットワーク機能がサポートされているかどうかを確認するにはどうすればよいですか?
現時点では、VNet が高度なネットワーク機能をサポートしているかどうかを直接確認する方法はありません。 機能登録タイムラインを追跡し、後で作成した VNet に関連付けることをお勧めします。 VNet の下にある [アクティビティ ログ] ブレードを使用して作成の詳細を確認することもできますが、ログは既定で過去 90 日間のみ使用できます。