閱讀本文,了解 Oracle Database@Azure 中的網路拓撲和條件約束。
透過 Azure Marketplace 購買供應項目與佈建 Oracle Exadata 基礎結構後,下一步是建立虛擬機器叢集,來託管 Oracle Exadata Database@Azure 的執行個體。 Oracle 資料庫叢集會透過來自委派子網路 (委派至 Oracle.Database/networkAttachment) 的虛擬網路介面卡 (虛擬 NIC),連線到 Azure 虛擬網路。
網路功能
網路功能有兩種類型:預設和進階。
默認網路功能
默認網路功能可針對新的和現有的 Oracle Database@Azure部署啟用基本網路連線。 這些功能適用於所有支援的 Oracle Database@Azure區域,並提供部署所需的基本網路功能
進階網路功能
進階網路功能可增強虛擬網路體驗,提供改善的安全性、效能和控制,類似於標準 Azure VM。 這些功能通常用於下列區域中的新部署:
- Australia East
- 巴西南部
- 加拿大中部
- 印度中部
- Central US
- 美國東部
- 美國東部 2
- 法國中部
- 德國北部
- 德國中西部
- 義大利北部
- 日本東部
- 日本西部
- 北歐
- 美國中南部
- 印度南部
- 東南亞
- 西班牙中部
- 瑞典中部
- 阿拉伯聯合大公國中部
- 阿拉伯聯合大公國北部
- 英國南部
- 英國西部
- 美國西部
- 美國西部 2
- 美國西部 3
Note
進階網路功能目前僅支援新的 Oracle Database@Azure部署。 先前建立的 Oracle Database@Azure委派子網的現有虛擬網路目前不支援這些功能。 計劃於今年晚些時候支援現有的部署。
委派子網路所需的註冊
若要使用進階網路功能,請使用下列命令(透過 AZCLI)註冊,再為 Oracle Database@Azure部署建立新的委派子網。
Register-AzProviderFeature -FeatureName "EnableRotterdamSdnApplianceForOracle" -ProviderNamespace "Microsoft.Baremetal"
Register-AzProviderFeature -FeatureName "EnableRotterdamSdnApplianceForOracle" -ProviderNamespace "Microsoft.Network"
Note
註冊狀態最多可以處於「註冊」狀態 60 分鐘,然後才變更為「已註冊」。 等到狀態為「已註冊」,再繼續建立委派的子網。
支援的拓撲
下表說明 Oracle Database@Azure每個網路功能組態所支援的網路拓撲。
| Topology | 默認網路功能 | 進階網路功能 |
|---|---|---|
| 連線到本機虛擬網路中的 Oracle 資料庫叢集 | Yes | Yes |
| 連線到對等互連虛擬網路 (相同區域) 中的 Oracle 資料庫叢集 | Yes | Yes |
| 在使用虛擬廣域網路 (虛擬 WAN) 的情況下,連線到不同區域的輪輻虛擬網路中的 Oracle 資料庫叢集 | Yes | Yes |
| 連線到在不同區域對等互連虛擬網路 (全域對等互連) 中的 Oracle 資料庫叢集 | No | Yes |
| 透過全域和本機 Azure ExpressRoute 對 Oracle 資料庫叢集的內部部署連線 | Yes | Yes |
| Azure ExpressRoute FastPath | No | Yes |
| 透過 ExpressRoute 閘道和具有閘道傳輸的虛擬網路對等互連,從內部部署連線到輪輻虛擬網路中的 Oracle 資料庫叢集 | Yes | Yes |
| 透過虛擬私人網路 (VPN) 閘道對委派子網路的內部部署連線能力 | Yes | Yes |
| 透過 VPN 閘道和具有閘道傳輸的虛擬網路對等互連,從內部部署連線到支點虛擬網路中的 Oracle 資料庫 | Yes | Yes |
| 透過主動/被動 VPN 閘道連線的能力 | Yes | Yes |
| 透過主動/主動 VPN 閘道連線的能力 | No | Yes |
| 透過區域備援、區域性 ExpressRoute 閘道連線的能力 | Yes | Yes |
| 透過虛擬 WAN 傳輸在輪輻虛擬網路中佈建的 Oracle 資料庫叢集連線 | Yes | Yes |
| 透過虛擬 WAN 和連結的軟體定義廣域網路 (SD-WAN) 對 Oracle 資料庫叢集的內部部署連線能力 | No | Yes |
| 透過安全中樞的內部部署連線能力 (防火牆網路虛擬設備) | Yes | Yes |
| 從 Oracle Database@Azure 節點上的 Oracle 資料庫叢集連線到 Azure 資源 | Yes | Yes |
| 進階網路功能支援的 Azure 容器應用程式 | No | Yes |
| 從具備基本網路功能的 Azure NetApp 檔案連線 (ANF 與 Oracle Database@Azure 必須部署在不同的 VNET) | No | Yes |
| 從具備標準網路功能的 Azure NetApp 檔案連線 (ANF 與 Oracle Database@Azure 必須部署在不同的 VNET) | Yes | Yes |
Constraints
下表描述支持網路功能的必要組態。
| Features | 默認網路功能 | 進階網路功能 |
|---|---|---|
| 每個虛擬網路的委派子網路 | 1 | 1 |
| Oracle Database@Azure 委派子網路上的網路安全性群組 | No | Yes |
| Oracle Database@Azure 委派子網路上的使用者定義路由 (UDR) | Yes | Yes |
| 從 Oracle 資料庫叢集連線到 Azure 委派子網路上相同虛擬網路中的私人端點 | No | Yes |
| 從 Oracle 資料庫叢集連線到與連線至虛擬 WAN 之不同支點虛擬網路中的私人端點 | Yes | Yes |
| 私人連結上的 NSG 支援 | No | Yes |
| 透過私人端點連線到 Azure 函式等無伺服器應用程式的能力 | No | Yes |
| Oracle 資料庫叢集流量的 Azure SLB 和 ILB 支援 | No | No |
| 雙重堆疊 (IPv4 和 IPv6) 虛擬網路 | 僅支援 IPv4 | 僅支援 IPv4 |
| 服務標籤支援 | No | Yes |
| 虛擬網路流量記錄 | No | Yes |
| 透過私有端點連接 ODAA 實例 | No | No |
Note
在 Azure 端使用 NSG(網路安全組)時,請檢閱在 Oracle (OCI) 端設定的任何安全性規則,以避免發生衝突。 雖然在 Azure 和 OCI 上套用安全策略可以增強整體安全性狀態,但它也會在管理方面帶來額外的複雜度,而且需要謹慎手動同步處理這兩個環境。 這些原則之間的不一致可能會導致非預期的存取問題或作業中斷。
將流量路由傳送至 Oracle Database@Azure 的 UDR 需求
透過網路虛擬設備(NVA)/防火牆將流量路由至 Oracle Database@Azure時,User-Defined 路由 (UDR) 前置詞 必須至少與委派給 Oracle Database@Azure 實例的子網一樣特定。 更廣泛的前置詞可能會導致流量遭到捨棄。
如果實例的委派子網是 x.x.x.x/27,請將閘道子網上的 UDR 設定為:
| 路由前置詞 | 路由結果 |
|---|---|
| x.x.x.x/27 | (與子網相同) ✅ |
| x.x.x.x/32 | (更具體) ✅ |
| x.x.x.x/24 | (太寬) ❌ |
拓撲特定指導
中樞與輪輻拓撲
- 在閘道子網中定義使用者自訂路由 (UDR)。
- 使用
x.x.x.x/27或更明確的路由前置詞。 - 將下一個躍點設為 NVA/防火牆。
虛擬 WAN (VWAN)
使用路由意圖:
- 將委派的子網前綴 (
x.x.x.x/27) 新增至路由意圖的前置詞清單。
- 將委派的子網前綴 (
沒有路由意圖:
- 將
x.x.x.x/27路由新增至 VWAN 的路由表,以及將下一個躍點指向 NVA/防火牆。
- 將
Note
如果未啟用進階網路功能,並且對於來自 Oracle Database@Azure 委派子網且需要通過閘道的流量(例如,連接到內部部署網路、AVS、其他雲端等),您必須在委派的子網上設置特定的 UDR。
這些 UDR 應該定義特定的目的地 IP 前置詞,以及將下一個躍點設為中樞中適當的 NVA/防火牆。
如果沒有這些路由,輸出流量可能會略過必要的檢查路徑,或無法到達預期的目的地。
Note
若要透過虛擬網路閘道 (ExpressRoute 或 VPN) 和防火牆從內部部署網路存取 Oracle Database@Azure 執行個體,請設定指派給虛擬網路閘道的路由表,以包含列出的 Oracle Database@Azure 執行個體的 /32 IPv4 位址,並指向防火牆作為下一個躍點。 使用包含 Oracle Database@Azure 執行個體 IP 位址的彙總位址空間不會將 Oracle Database@Azure 流量轉送至防火牆。
Note
如果您要設定路由表 (UDR 路由) 來控制從相同虛擬網路或對等虛擬網路中的來源傳送到 Oracle Database@Azure 執行個體的封包通過網路虛擬設備或防火牆的路由,則 UDR 前置詞必須更具體或等於 Oracle Database@Azure 的委派子網路大小。 如果 UDR 前置詞小於委派的子網路大小,則沒有作用。
例如,如果您的委派子網路是 x.x.x.x/24,則您必須將 UDR 設定為 x.x.x.x/24 (等於) 或 x.x.x.x/32 (更具體)。 如果您將 UDR 路由設定為 x.x.x.x/16,則非對稱式路由之類的未定義行為可能會導致網路在防火牆中斷。
FAQ
什麼是進階網路功能?
進階網路功能透過提供更佳的安全性、效能和控制功能來增強虛擬網路體驗,類似於標準 Azure 虛擬機。 客戶可以透過這項功能,使用原生 VNet 整合,例如網路安全性群組 (NSG)、使用者定義路由 (UDR)、Private Link、Global VNet 對等互連,以及 ExpressRoute FastPath,而不需要任何因應措施。
進階網路功能適用於現有的部署嗎?
目前沒有。 我們的計畫中已包括對現有部署的支援,我們正積極努力使其實現。 請隨時留意近期的更新。
我需要自我註冊才能啟用新部署的進階網路功能嗎?
Yes. 若要利用新部署的進階網路功能,您必須完成註冊程式。 在現有或新的 VNet 中為 Oracle Database@Azure部署建立新的委派子網之前,請先執行註冊命令。
如何檢查我的部署是否支援進階網路功能?
目前,沒有直接方法可驗證 VNet 是否支援進階網路功能。 建議您追蹤您的功能註冊時程表,並將它與之後建立的 VNet 產生關聯。 您也可以使用 VNet 底下的 [活動記錄] 頁面來檢閱建立詳情,但請注意,記錄預設僅保留最近 90 天的資料。