이 문서에서는 Oracle Database@Azure 네트워크 토폴로지 및 제약 조건에 대해 알아봅니다.
Azure Marketplace를 통해 제품을 구입하고 Oracle Exadata 인프라를 프로비전한 후 다음 단계는 Oracle Exadata Database@Azure 인스턴스를 호스트하는 가상 머신 클러스터를 만드는 것입니다. Oracle 데이터베이스 클러스터는 배정된 서브넷(Oracle.Database/networkAttachment에 위임됨)에서 가상 네트워크 인터페이스 카드(가상 NIC)를 통해 Azure 가상 네트워크에 연결되어 있습니다.
네트워크 기능
네트워크 기능에는 기본 및 고급의 두 가지 유형이 있습니다.
기본 네트워크 기능
기본 네트워크 기능을 사용하면 신규 및 기존 Oracle Database@Azure 배포 모두에 대한 기본 네트워크 연결을 사용할 수 있습니다. 이러한 기능은 지원되는 모든 Oracle Database@Azure 지역에서 사용할 수 있으며 배포에 필요한 기본 네트워킹을 제공합니다.
고급 네트워크 기능
고급 네트워크 기능은 표준 Azure VM과 유사하게 향상된 보안, 성능 및 제어를 제공하는 가상 네트워킹 환경을 향상시킵니다. 이러한 기능은 일반적으로 다음 지역의 새 배포에 사용할 수 있습니다.
- Australia East
- 브라질 남부
- Canada Central
- 인도 중부
- Central US
- East US
- 미국 동부2
- 프랑스 중부
- 독일 북부
- 독일 중서부
- 이탈리아 북부
- 일본 동부
- 일본 서부
- 북유럽
- 미국 중남부
- South India
- 동남아시아
- Spain Central
- 스웨덴 중부
- 아랍에미리트 중부
- UAE North
- UK South
- UK West
- US West
- 미국 서부 2
- 미국 서부 3
Note
고급 네트워크 기능은 현재 새 Oracle Database@Azure 배포에 대해서만 지원됩니다. 이전에 만든 Oracle Database@Azure 위임된 서브넷이 있는 기존 가상 네트워크는 현재 이러한 기능을 지원하지 않습니다. 기존 배포에 대한 지원은 올해 말에 예정되어 있습니다.
위임된 서브넷에 등록 필요
고급 네트워크 기능을 사용하려면 Oracle Database@Azure 배포에 대해 위임된 새 서브넷을 만들기 전에 AZCLI를 통해 다음 명령을 사용하여 등록합니다.
Register-AzProviderFeature -FeatureName "EnableRotterdamSdnApplianceForOracle" -ProviderNamespace "Microsoft.Baremetal"
Register-AzProviderFeature -FeatureName "EnableRotterdamSdnApplianceForOracle" -ProviderNamespace "Microsoft.Network"
Note
등록 상태는 '등록됨'으로 변경하기 전에 최대 60분 동안 '등록' 상태일 수 있습니다. 위임된 서브넷 만들기를 계속하기 전에 상태가 '등록'될 때까지 기다립니다.
지원되는 토폴로지
다음 표에서는 Oracle Database@Azure 대한 네트워크 기능의 각 구성에서 지원하는 네트워크 토폴로지에 대해 설명합니다.
| Topology | 기본 네트워크 기능 | 고급 네트워크 기능 |
|---|---|---|
| 로컬 가상 네트워크의 Oracle 데이터베이스 클러스터에 연결 | Yes | Yes |
| 피어된 가상 네트워크의 Oracle 데이터베이스 클러스터에 연결(동일한 지역) | Yes | Yes |
| 가상 WAN(가상 광역 네트워크)을 사용하여 다른 지역의 스포크 가상 네트워크에서 Oracle 데이터베이스 클러스터에 연결 | Yes | Yes |
| 다른 지역의 피어링된 가상 네트워크에서 Oracle 데이터베이스 클러스터에 연결(전역 피어링) | No | Yes |
| 전역 및 로컬 Azure ExpressRoute를 통해 Oracle 데이터베이스 클러스터에 온-프레미스 연결 | Yes | Yes |
| Azure ExpressRoute FastPath | No | Yes |
| ExpressRoute 게이트웨이와 게이트웨이 전송을 통한 가상 네트워크 피어링을 통해 스포크 가상 네트워크의 Oracle Database 클러스터에 온-프레미스에서 연결 | Yes | Yes |
| VPN(가상 사설망) 게이트웨이를 통해 위임된 서브넷에 대한 온-프레미스 연결 | Yes | Yes |
| VPN Gateway와 게이트웨이 전송을 통한 가상 네트워크 피어링을 통해 스포크 가상 네트워크의 Oracle Database로 온-프레미스에서 연결 | Yes | Yes |
| 활성/수동 VPN 게이트웨이를 통한 연결 | Yes | Yes |
| 활성/활성 VPN 게이트웨이를 통한 연결 | No | Yes |
| 영역 중복, 영역 ExpressRoute 게이트웨이를 통해 연결 | Yes | Yes |
| 스포크 가상 네트워크에 프로비전된 Oracle 데이터베이스 클러스터에 대한 가상 WAN을 통한 전송 연결 | Yes | Yes |
| 가상 WAN 및 연결된 SD-WAN(소프트웨어 정의 광역 네트워크)을 통해 Oracle 데이터베이스 클러스터에 대한 온-프레미스 연결 | No | Yes |
| 보안 허브를 통한 온-프레미스 연결(방화벽 네트워크 가상 어플라이언스) | Yes | Yes |
| Oracle Database@Azure 노드의 Oracle 데이터베이스 클러스터에서 Azure 리소스로 연결 | Yes | Yes |
| 고급 네트워크 기능에 지원되는 Azure Container Apps | No | Yes |
| 기본 네트워크 기능을 사용하여 Azure NetApp Files에서 연결(ANF 및 Oracle Database@Azure 별도의 VNET에 배포해야 합니다.) | No | Yes |
| 표준 네트워크 기능을 사용하여 Azure NetApp Files에서 연결(ANF 및 Oracle Database@Azure 별도의 VNET에 배포해야 합니다.) | Yes | Yes |
Constraints
다음 표에서는 지원되는 네트워크 기능의 필수 구성에 대해 설명합니다.
| Features | 기본 네트워크 기능 | 고급 네트워크 기능 |
|---|---|---|
| 가상 네트워크당 위임된 서브넷 | 1 | 1 |
| Oracle Database@Azure 위임 서브넷의 네트워크 보안 그룹 | No | Yes |
| Oracle Database@Azure 위임된 서브넷에서 UDR(사용자 정의 경로) | Yes | Yes |
| Azure 위임 서브넷의 동일한 가상 네트워크에 있는 프라이빗 엔드포인트에 대한 Oracle Database 클러스터 연결 | No | Yes |
| Virtual WAN에 연결된 다른 스포크 가상 네트워크의 프라이빗 엔드포인트에 대한 Oracle Database 클러스터의 연결 | Yes | Yes |
| 프라이빗 링크의 NSG 지원 | No | Yes |
| 프라이빗 엔드포인트를 통한 Azure 함수와 같은 서버리스 앱에 연결 | No | Yes |
| Oracle 데이터베이스 클러스터 트래픽에 대한 Azure SLB 및 ILB 지원 | No | No |
| 이중 스택(IPv4 및 IPv6) 가상 네트워크 | IPv4만 지원됩니다. | IPv4만 지원됩니다. |
| 서비스 태그 지원 | No | Yes |
| 가상 네트워크 흐름 로그 | No | Yes |
Note
Azure 쪽에서 NSG(네트워크 보안 그룹)를 사용하는 경우 충돌을 방지하기 위해 Oracle(OCI) 쪽에 구성된 모든 보안 규칙을 검토해야 합니다. Azure와 OCI 모두에 보안 정책을 적용하면 전반적인 보안 태세를 향상시킬 수 있지만 관리 측면에서 복잡성이 더 많이 발생하며 두 환경 간에 신중한 수동 동기화가 필요합니다. 이러한 정책 간의 정렬이 잘못되거나 의도하지 않은 액세스 문제 또는 운영 중단이 발생할 수 있습니다.
Oracle Database@Azure 트래픽을 라우팅하기 위한 UDR 요구 사항
NVA(네트워크 가상 어플라이언스)/방화벽을 통해 Oracle Database@Azure 트래픽을 라우팅하는 경우 UDR(User-Defined Route) 접두사는 적어도 Oracle Database@Azure 인스턴스에 위임된 서브넷만큼 구체적이어야 합니다. 더 넓은 접두사로 인해 트래픽이 삭제될 수 있습니다.
인스턴스에 대해 위임된 서브넷이 x.x.x.x/27이면 게이트웨이 서브넷에서 다음과 같이 UDR을 구성합니다.
| 경로 접두사 | 라우팅 결과 |
|---|---|
| x.x.x.x/27 | (서브넷과 동일) ✅ |
| x.x.x.x/32 | (보다 구체적인) ✅ |
| x.x.x.x/24 | (너무 광범위) ❌ |
토폴로지 관련 지침
허브 및 스포크 토폴로지
- 게이트웨이 서브넷에서 UDR을 정의합니다.
- 보다 구체적인 경로 접두사를
x.x.x.x/27사용합니다. - 다음 홉을 NVA/방화벽으로 설정합니다.
Virtual WAN(VWAN)
라우팅 의도 포함:
- 위임된 서브넷 접두사(
x.x.x.x/27)를 라우팅 의도의 접두사 목록에 추가합니다.
- 위임된 서브넷 접두사(
라우팅 의도 미포함:
- VWAN의 경로 테이블에
x.x.x.x/27경로를 추가하고 다음 홉을 NVA/방화벽으로 가리킵니다.
- VWAN의 경로 테이블에
Note
고급 네트워크 기능을 사용하도록 설정하지 않고게이트웨이를 트래버스해야 하는 Oracle Database@Azure 위임된 서브넷에서 발생하는 트래픽(예: 온-프레미스 네트워크, AVS, 기타 클라우드 등)의 경우 위임된 서브넷에서 특정 UDR을 구성해야 합니다.
이러한 UDR은 특정 대상 IP 접두사를 정의하고 다음 홉을 허브의 적절한 NVA/방화벽으로 설정해야 합니다.
이러한 경로가 없으면 아웃바운드 트래픽이 필요한 검사 경로를 우회하거나 의도한 대상에 도달하지 못할 수 있습니다.
Note
가상 네트워크 게이트웨이(ExpressRoute 또는 VPN) 및 방화벽을 통해 온-프레미스 네트워크에서 Oracle Database@Azure 인스턴스에 액세스하려면 나열된 Oracle Database@Azure 인스턴스의 /32 IPv4 주소를 포함하고 방화벽을 다음 홉으로 가리키도록 가상 네트워크 게이트웨이에 할당된 경로 테이블을 구성합니다. Oracle Database@Azure 인스턴스 IP 주소를 포함하는 집계 주소 공간을 사용하면 Oracle Database@Azure 트래픽을 방화벽으로 전달하지 않습니다.
Note
동일한 가상 네트워크 또는 피어링된 가상 네트워크의 원본에서 Oracle Database@Azure 인스턴스로 향하는 네트워크 가상 어플라이언스 또는 방화벽을 통해 패킷 라우팅을 제어하도록 UDR 경로(경로 테이블)를 구성하려면 UDR 접두사는 Oracle Database@Azure 위임된 서브넷 크기와 더 구체적이거나 같아야 합니다. UDR 접두사가 위임된 서브넷 크기보다 구체적이지 않으면 효과적이지 않습니다.
예를 들어 위임된 서브넷이 x.x.x.x/24인 경우 UDR을 x.x.x.x/24 (같음) 또는 x.x.x.x/32 (더 구체적으로)에 구성해야 합니다. UDR 경로를 x.x.x.x/16(으)로 구성하면 비대칭 라우팅과 같은 정의되지 않은 동작으로 인해 방화벽에서 네트워크 드롭이 발생할 수 있습니다.
FAQ
고급 네트워크 기능이란?
고급 네트워크 기능은 표준 Azure 가상 머신과 유사하게 더 나은 보안, 성능 및 제어를 제공하여 가상 네트워킹 환경을 향상시킵니다. 이 기능을 사용하면 고객은 해결 방법 없이 NSG(네트워크 보안 그룹), UDR(User-Defined 경로), Private Link, 글로벌 VNet 피어링 및 ExpressRoute FastPath와 같은 네이티브 VNet 통합을 사용할 수 있습니다.
고급 네트워크 기능은 기존 배포에서 작동합니까?
현재는 없습니다. 기존 배포에 대한 지원은 로드맵에 있으며 이를 활성화하기 위해 적극적으로 노력하고 있습니다. 가까운 장래에 업데이트를 계속 지켜봐 주시기 바랍니다.
새 배포에 고급 네트워크 기능을 사용하도록 설정하려면 자체 등록해야 하나요?
Yes. 새 배포에 대한 고급 네트워크 기능을 활용하려면 등록 프로세스를 완료해야 합니다. Oracle Database@Azure 배포에 대한 기존 또는 새 VNet에 위임된 새 서브넷을 만들기 전에 등록 명령을 실행합니다.
배포에서 고급 네트워크 기능을 지원하는지 확인하려면 어떻게 해야 하나요?
현재 VNet이 고급 네트워크 기능을 지원하는지 여부를 직접 확인할 수 있는 방법은 없습니다. 기능 등록 타임라인을 추적하고 나중에 만든 VNet과 연결하는 것이 좋습니다. VNet의 활동 로그 블레이드를 사용하여 만들기 세부 정보를 검토할 수도 있지만 로그는 기본적으로 지난 90일 동안만 사용할 수 있습니다.