Oracle Cloud Infrastructureドキュメント

DBシステムのネットワーク設定

ノート

このトピックは、Exadata DBシステムには適用されません。 Exadata DBシステムのネットワーク設定の詳細は、「Exadata DBシステムのネットワーク設定」を参照してください。

ベアメタルまたは仮想マシンDBシステムを設定する前に、仮想クラウド・ネットワーク(VCN)およびその他のNetworkingサービス・コンポーネントを設定する必要があります。 このトピックでは、VCNの推奨構成について説明します。

VCNおよびサブネット

DBシステムを起動するには、次が必要です:

  • DBシステムが必要なリージョン内のVCN
  • VCN (パブリック・サブネットまたはプライベート・サブネット)の少なくとも1つのサブネット

一般に、Oracleはリージョン内のすべての可用性ドメインにまたがるリージョンのサブネットを使用することをお薦めします。 ベアメタルまたは仮想マシンDBシステムの場合、リージョン・サブネットまたはAD固有のサブネットが機能します。 詳細は、「リージョンのサブネットについて」を参照してください。

サブネットのカスタム・ルート表およびセキュリティ・リストを作成します。 その詳細は次のとおりです。

オプション1: インターネット・ゲートウェイでのパブリック・サブネット

このオプションは、コンセプトの校正作業や開発作業を行う場合に便利です。 VCNでインターネット・ゲートウェイを使用する場合、またはパブリック・ネットワークでのみ実行されデータベースへのアクセスが必要なサービスがある場合は、本番でこの設定を使用できます。 次の図および説明を参照してください。

このイメージは、パブリック・サブネットを使用したネットワーク設定を示しています。

次を設定します:

オプション2: プライベート・サブネット

このオプションは、本番システムの場合にお薦めします。 サブネットはプライベートで、インターネットからアクセスできません。 次の図および説明を参照してください。

このイメージは、プライベート・サブネットを使用したネットワーク設定を示しています。

次を設定します:

IPアドレス・スペースの要件

複数のリージョンでDBシステム(およびvcn)を設定している場合は、vcnのIPアドレス領域が重複していないことを確認してください。

ベアメタルまたは仮想マシンDBシステム用に作成するサブネットは、データベース・インスタンス上のOracle Clusterwareプライベート・インターコネクトによって使用される192.168.16.16/28と重なることはできません。

次の表に、「最小」で必要なサブネット・サイズを示します。

ヒント

Networkingサービス「予約されている各サブネット内の3つのIPアドレス」
サブネットの領域を最小必要数(たとえば、 /28ではなく少なくとも/25)よりも大きくすると、使用可能なサブネット領域への予約されているアドレスの相対的な影響を抑えることができます。

DBシステム・タイプ 必須IPアドレス数 最小サブネット・サイズ
1-nodeベアメタルまたは仮想マシン

1 + サブネットに3予約 = 4

/30 (4 IPアドレス)
2-node RAC仮想マシン (2アドレス * 2ノード) + SCANsに3 + サブネットに3予約 = 10 /28 (16 IPアドレス)

VCN作成ウィザード: 本番用ではない

コンソールNetworkingセクションには、関連するリソースとともにVCNを作成する便利なウィザードがあります。 インスタンスの起動を試行するのみの場合に便利です。 ただし、ウィザードによってアドレス範囲が自動的に選択され、パブリック・サブネットおよびインターネット・ゲートウェイが作成されます。 この動作は本番ネットワークでは必要としない場合があるため、Oracleでは、ウィザードではなく、VCNおよびその他のリソースを単独で作成することをお薦めします。

Bare Metal DBシステムのDNS

ベアメタルDBシステムの場合、システムでスイッチ・エンドポイント(データベースのバックアップ、パッチ適用およびDBシステム・クラウド・ツールチップの更新のため)およびOracle YUM再移入エンドポイントを解決できるようにする必要があります。 これらのエンドポイントの解決は、「インターネットとVCNリゾルバ」によって自動的にカバーされます。これは、VCNのデフォルトのは、DNSのVCNです。 詳細は、「あなたのVirtual Cloud NetworkのDNS」および「DHCPオプション」も参照してください。

Virtual Machine DBシステムのDNS

この情報は、1-nodeまたは2-node仮想マシンDBシステムに適用できます。

ノード(複数可)を通信させるには、VCNが「インターネットとVCNリゾルバ」を使用する必要があります。 これにより、ノードへのホスト名の割当て、およびVCNのリソースによるホスト名のDNS解決が可能になります。 また、データベースの単一クライアント・アクセス名(SCANs)の解決も可能になります。 最後に、SwiftエンドポイントとOracle YUM repoエンドポイントの解決も可能にします。 InternetおよびVCN Resolverは、VCNのDNSのVCNデフォルト選択です。 詳細は、「あなたのVirtual Cloud NetworkのDNS」および「DHCPオプション」も参照してください。

VCN、サブネットおよびDBシステムを作成する場合、VCNのDNSに関連する次の識別子を慎重に設定する必要があります:

  • VCNドメイン・ラベル
  • サブネット・ドメイン・ラベル
  • DBシステムのホスト名プレフィクス

これらの値はノード完全修飾ドメイン名(FQDN)を構成します:

<hostname_prefix><RAC_node_#>.<subnet_domain_label>.<vcn_domain_label>.oraclevcn.com

RACシステムの場合のみ、Databaseサービスはホスト名のプレフィクスの後にノード番号を自動的に追加します。

次に例を示します。

  • ノード1: dbsys1.ad1.acmevcniad.oraclevcn.com
  • ノード2: dbsys2.ad1.acmevcniad.oraclevcn.com

ホスト名プレフィクスの要件:

  • 最大で16文字です
  • 文字列localhostは指定できません

VCNおよびサブネット・ドメインのラベルの要件:

  • 推奨最大: 15文字
  • ハイフンなし
  • おすすめ: VCN名にリージョン名を含め、サブネット名に「可用性ドメイン」名を含めます。

FQDNには最大合計制限63文字が含まれているため、その要件を満たすのに十分なVCNおよびサブネット・ドメイン・ラベルを短く設定してください。 安全な一般ルールは次のとおりです:

<16_chars_max>#.<15_chars_max>.<15_chars_max>.oraclevcn.com

VCNおよびサブネットを作成する場合、前述の最大値は適用されません。 ただし、ホスト名プレフィクスが16文字を超える場合、またはFQDNが63文字を超える場合は、DBシステムのデプロイメントに失敗します。

DNS: オンプレミス・ネットワークとVCN間

オンプレミス・ホストとVCNリソースが相互に通信する際にホスト名を使用できるようにするために、次の2つのオプションがあります:

  • カスタムDNSサーバーとしてなるようにVCNにインスタンスを設定します。 Oracle Terraformプロバイダを使用したこのシナリオの実装例については、「ハイブリッドDNS構成」を参照してください。
  • ホスト名の手動解決を管理します。

VCNのサービス・ゲートウェイ

VCNは、Object Storage (データベースのバックアップ、パッチ適用、DBシステムのクラウド・ツールの更新用)とOS更新用のOracle YUMリポジトリの両方にアクセスする必要があります。

前述の「オプション1」または「オプション2」のどちらを使用するかによって、サービス・ゲートウェイは様々な方法で使用します。 次の2つのセクションを参照してください。

オプション1: Object Storageへのサービス・ゲートウェイ・アクセスのみ
オプション2: Object StorageとYUMリポジトリの両方へのサービス・ゲートウェイ・アクセス

サブネットのセキュリティ・リスト

Oracleでは、少なくとも2つのセキュリティ・リストをサブネットとともに使用することをお薦めします:

  • VCN 「デフォルト・セキュリティ・リスト」(すべてのデフォルト・ルールを使用)。 このセキュリティ・リストには、DBシステムで必要な基本的なルールがいくつか含まれています(DBシステムへのイングレスSSHアクセスの抑止、DBシステムからの一般的なエグレスなど)。
  • 次のセクションにルールが含まれるカスタム・セキュリティ・リスト。

ユーザー自身で「カスタム・セキュリティ・リストの作成」を行う必要があります。 VCNデフォルトのセキュリティ・リストは、VCNを作成すると自動的に作成されます。 サブネットを作成するときは、サブネットが使用するセキュリティ・リストを選択するか、サブネットの作成後にセキュリティ・リストを選択できます。

警告

「デフォルトのエグレス・ルールはデフォルトのセキュリティ・リストから削除しないでください」 その場合は、かわりにサブネットのカスタム・セキュリティ・リストに置換エグレス・ルールを含めてください。そのようにします:

  • ステートレス:いいえ(すべてのルールがステートフルである必要があります)
  • 宛先タイプ: CIDR
  • 宛先CIDR: 0.0.0.0/0
  • IPプロトコル:すべて

カスタム・セキュリティ・リストのルール

サブネットのカスタム・セキュリティ・リストに次のセキュリティ・リスト・ルールを作成し、セキュリティ・リストをサブネットに関連付けます。

イングレス・ルール1: インバウンドSSHアクセスを許可
イングレス・ルール2: VCN内からのONSおよびFANトラフィックを許可
イングレス・ルール3: VCN内からのSQL*NETトラフィックを許可

重要

前述のイングレス・ルール2および3は、VCN内から開始された接続のみをカバーしています。
VCN外にあるクライアントがある場合は、そのクライアントのパブリックIPアドレスにソースCIDRが設定されている、2台のadditionalというルールを設定することをお薦めします。

エグレス・ルール1: アウトバウンドSSHアクセスの許可
エグレス・ルール2: Object StorageおよびYUMリポジトリへのアクセスを許可