Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны топологии сети и ограничения в Oracle Database@Azure.
После приобретения предложения через Azure Marketplace и подготовки инфраструктуры Oracle Exadata необходимо создать кластер виртуальных машин для размещения экземпляра Oracle Exadata Database@Azure. Кластеры баз данных Oracle подключены к виртуальной сети Azure через виртуальную сетевую карту (NIC) из делегированной подсети, делегированной Oracle.Database/networkAttachment.
Сетевые функции
Существует два типа сетевых функций: по умолчанию и заранее.
Сетевые функции по умолчанию
Сетевые функции по умолчанию обеспечивают базовое сетевое подключение как для новых, так и для существующих развертываний Oracle Database@Azure. Эти функции доступны во всех поддерживаемых регионах Oracle Database@Azure и предоставляют базовую сеть, необходимую для развертывания.
Расширенные сетевые функции
Расширенные сетевые функции повышают возможности виртуальной сети, предлагая улучшенную безопасность, производительность и управление, аналогичные стандартным виртуальным машинам Azure. Эти функции обычно доступны для новых развертываний в следующих регионах:
- Восточная Австралия
- Юго-Восток Австралии
- Центральная Канада
- Центральная часть США
- Восток США
- Восток США2
- Западная часть США
- Юг Соединённого Королевства
- Западная часть Великобритании
- Западно-Центральная Германия
Примечание.
Расширенные сетевые функции в настоящее время поддерживаются только для новых развертываний Oracle Database@Azure. Существующие виртуальные сети с ранее созданными делегированными подсетями, относящимися к Oracle Database@Azure, на данный момент не поддерживают эти функции. Поддержка существующих развертываний планируется в конце этого года.
Регистрация, необходимая для делегированных подсетей
Чтобы использовать расширенные сетевые функции, используйте следующие команды (с помощью AZCLI) для регистрации перед созданием виртуальной сети для развертывания Oracle Database@Azure.
Register-AzProviderFeature -FeatureName "EnableRotterdamSdnApplianceForOracle" -ProviderNamespace "Microsoft.Baremetal"
Register-AzProviderFeature -FeatureName "EnableRotterdamSdnApplianceForOracle" -ProviderNamespace "Microsoft.Network"
Примечание.
Состояние регистрации может оставаться в статусе "Регистрация" до 60 минут, прежде чем измениться на "Зарегистрирован". Подождите, пока состояние не будет зарегистрировано, прежде чем продолжить создание делегированной подсети.
Поддерживаемые топологии
В следующей таблице описаны топологии сети, поддерживаемые каждой конфигурацией сетевых функций для Oracle Database@Azure.
| Топология | Сетевые функции по умолчанию | Расширенные сетевые функции |
|---|---|---|
| Подключение к кластеру базы данных Oracle в локальной виртуальной сети | Да | Да |
| Подключение к кластеру базы данных Oracle в одноранговой виртуальной сети (в том же регионе) | Да | Да |
| Подключение к кластеру базы данных Oracle в виртуальной сети периферийного типа в другом регионе с виртуальной глобальной сетью (WAN) | Да | Да |
| Подключение к кластеру базы данных Oracle в одноранговой виртуальной сети в разных регионах (глобальный пиринг) | нет | Да |
| Локальное подключение к кластеру базы данных Oracle с помощью глобального и локального Azure ExpressRoute | Да | Да |
| Azure ExpressRoute FastPath | нет | Да |
| Подключение из локальной среды к кластеру базы данных Oracle в периферийной виртуальной сети через шлюз ExpressRoute и пиринг виртуальной сети с транзитом шлюза | Да | Да |
| Локальное подключение к делегированной подсети через шлюз виртуальной частной сети (VPN) | Да | Да |
| Подключение из локальной инфраструктуры к базе данных Oracle в периферийной виртуальной сети через VPN-шлюз и пиринг виртуальных сетей с транзитом шлюза. | Да | Да |
| Подключение через активные и пассивные VPN-шлюзы | Да | Да |
| Подключение через активные и активные VPN-шлюзы | нет | Да |
| Подключение через зональные шлюзы ExpressRoute с отказоустойчивостью между зонами | Да | Да |
| Транзитное подключение через виртуальную WAN для кластера базы данных Oracle, развернутого в периферийной виртуальной сети. | Да | Да |
| Подключение он-премис к кластеру базы данных Oracle через виртуальную глобальную сеть (WAN) и подключенную программно-определенную глобальную сеть (SD-WAN) | нет | Да |
| Локальное подключение через защищенный концентратор (виртуальное устройство брандмауэра) | Да | Да |
| Подключение из кластера базы данных Oracle на узлах Oracle Database@Azure к ресурсам Azure | Да | Да |
Ограничения
В следующей таблице описаны необходимые конфигурации поддерживаемых сетевых функций.
| Функции | Сетевые функции по умолчанию | Расширенные сетевые функции |
|---|---|---|
| Делегированная подсеть для каждой виртуальной сети | 1 | 1 |
| Группы безопасности сети в делегированных подсетях Oracle Database в Azure | нет | Да |
| Определяемые пользователем маршруты (ОМП) в делегированных подсетях Oracle Database@Azure | Да | Да |
| Подключение из кластера базы данных Oracle к частной конечной точке в той же виртуальной сети в делегированных подсетях Azure | нет | Да |
| Подключение из кластера базы данных Oracle к частной конечной точке в другой периферийной виртуальной сети, подключенной к виртуальной глобальной сети | Да | Да |
| Поддержка NSG по приватной ссылке | нет | Да |
| Подключение к бессерверным приложениям, таким как функции Azure через частные конечные точки | нет | Да |
| Поддержка Azure SLB и ILB для управления трафиком кластера базы данных Oracle | нет | нет |
| Виртуальная сеть с двойным стеком (IPv4 и IPv6) | Поддерживается только IPv4 | Поддерживается только IPv4 |
| Поддержка тегов служб | нет | Да |
Примечание.
При использовании групп безопасности сети (NSG) на стороне Azure убедитесь, что все правила безопасности, настроенные на стороне Oracle (OCI), проверяются, чтобы избежать конфликтов. При применении политик безопасности как в Azure, так и в OCI можно повысить общую безопасность, она также представляет дополнительную сложность с точки зрения управления и требует тщательной синхронизации вручную между двумя средами. Несоответствие между этими политиками может привести к непредвиденным проблемам доступа или сбоям в работе.
Требования К UDR для маршрутизации трафика в Oracle Database@Azure
При маршрутизации трафика в Oracle Database@Azure через сетевое виртуальное устройство (NVA)/брандмауэр префикс User-Defined маршрута (UDR) должен быть как минимум таким же специфичным, как подсеть, делегированная экземпляру Oracle Database@Azure. Более широкие префиксы могут привести к тому, что трафик будет отброшен.
Если делегированная подсеть для вашего экземпляра — x.x.x.x/27, настройте UDR в подсети шлюза следующим образом:
| Префикс маршрута | Результат маршрутизации |
|---|---|
| x.x.x.x/27 | (то же, что и сеть) ✅ |
| x.x.x.x/32 | (более конкретный) ✅ |
| x.x.x.x/24 | (слишком широко) ❌ |
Специфическое руководство по топологии
Топология концентратора и периферийной топологии
- Определите UDR в подсети шлюза.
- Используйте префикс маршрута
x.x.x.x/27или более конкретный. - Настройте следующий переход на ваш NVA/брандмауэр.
Виртуальная глобальная сеть (VWAN)
С намерением маршрутизировать:
- Добавьте префикс делегированной подсети (
x.x.x.x/27) в список префиксов намерения маршрутизации.
- Добавьте префикс делегированной подсети (
Без намерения маршрутизации:
- Добавьте маршрут в таблицу
x.x.x.x/27маршрутов VWAN и укажите следующую точку перехода на NVA/брандмауэр.
- Добавьте маршрут в таблицу
Примечание.
Если расширенные сетевые функции не включены, а трафик, исходящий из делегированной подсети Oracle Database@Azure, должен проходить через шлюз (например, для того чтобы достигать локальных сетей, AVS, других облаков и т. д.), необходимо настроить определяемые пользователем UDR на делегированной подсети.
Эти определяемые пользователем таблицы маршрутизации (UDR) должны задавать конкретные префиксы IP-адресов назначения и устанавливать следующий узел на соответствующий NVA/брандмауэр в концентраторе.
Без этих маршрутов исходящий трафик может обойти необходимые пути проверки или не достичь предполагаемого назначения.
Вопросы и ответы
Что такое расширенные сетевые функции?
Расширенные сетевые функции повышают возможности виртуальной сети, обеспечивая более высокую безопасность, производительность и управление, аналогичные стандартным виртуальным машинам Azure. С помощью этой функции клиенты могут использовать собственные интеграции виртуальных сетей, такие как группы безопасности сети (NSG), User-Defined маршруты (UDR), приватное соединение, глобальный пиринг виртуальных сетей и ExpressRoute FastPath без каких-либо обходных путей.
Будут ли расширенные сетевые функции работать для существующих развертываний?
Не в данный момент. Поддержка существующих развертываний находится в нашей стратегии, и мы активно работаем над его включением. Следите за обновлениями в ближайшем будущем.
Необходимо ли самостоятельно зарегистрировать расширенные сетевые функции для новых развертываний?
Да. Чтобы воспользоваться преимуществами расширенных сетевых функций для новых развертываний, необходимо выполнить процесс регистрации. Перед созданием виртуальной сети и делегированной подсетью для развертываний Oracle Database@Azure выполните команды регистрации.
Как проверить, поддерживает ли развертывание расширенные сетевые функции?
В настоящее время нет прямого способа проверить, поддерживает ли виртуальная сеть расширенные сетевые функции. Мы рекомендуем отслеживать временной график регистрации функций и связывать его с виртуальными сетями (VNets), созданными после этого. Вы также можете использовать колонку "Журнал действий" в виртуальной сети для просмотра сведений о создании, но обратите внимание, что журналы доступны только за последние 90 дней по умолчанию.