Oracle Cloud Infrastructureドキュメント

DBシステムのネットワーク設定

ノート

このトピックは、Exadata DBシステムには適用されません。 Exadata DBシステムのネットワーク設定の詳細は、「Exadata DBシステムのネットワーク設定」を参照してください。

ベアメタルまたは仮想マシンDBシステムを設定する前に、仮想クラウド・ネットワーク(VCN)およびその他のネットワーキング・サービス・コンポーネントを設定する必要があります。 このトピックでは、VCNの推奨構成について説明します。

VCNおよびサブネット

DBシステムを起動するには、次が必要です:

  • DBシステムが必要なリージョン内のVCN
  • VCN (パブリック・サブネットまたはプライベート・サブネット)の少なくとも1つのサブネット

一般に、Oracleはリージョン内のすべての可用性ドメインにまたがるリージョンのサブネットを使用することをお薦めします。 ベアメタルまたは仮想マシンDBシステムの場合、リージョン・サブネットまたはAD固有のサブネットが機能します。 詳細は、「リージョンのサブネットについて」を参照してください。

カスタム・ルート表を作成します。 また、DBシステムのコンピュート・ノートとの間のトラフィックを制御するセキュリティ・ルールも作成します。 その詳細は次のとおりです。

オプション1: インターネット・ゲートウェイでのパブリック・サブネット

このオプションは、コンセプトの校正作業や開発作業を行う場合に便利です。 VCNでインターネット・ゲートウェイを使用する場合、またはパブリック・ネットワークでのみ実行されデータベースへのアクセスが必要なサービスがある場合は、本番でこの設定を使用できます。 次の図および説明を参照してください。

このイメージは、パブリック・サブネットを使用したネットワーク設定を示しています。

次を設定します:

重要

パブリック・サブネットに関連付けられたルート表のターゲットとして「サービス・ゲートウェイ」にルート・ルールを構成する方法の詳細は、この「既知の問題」を参照してください。

オプション2: プライベート・サブネット

Oracleでは、本番システムに対してこのオプションが推奨されています。 サブネットはプライベートで、インターネットからアクセスできません。 次の図および説明を参照してください。

このイメージは、プライベート・サブネットを使用したネットワーク設定を示しています。

次を設定します:

IPアドレス・スペースの要件

複数のリージョンでDBシステム(およびVCN)を設定している場合は、VCNのIPアドレス領域が重複していないことを確認してください。

ベアメタルまたは仮想マシンDBシステム用に作成するサブネットは、データベース・インスタンス上のOracle Clusterwareプライベート・インターコネクトによって使用される192.168.16.16/28と重なることはできません。

次の表に、「最小」で必要なサブネット・サイズを示します。

ヒント

ネットワーキング・サービス「予約されている各サブネット内の3つのIPアドレス」
サブネットの領域を最小必要数(たとえば、/28ではなく少なくとも/25)よりも大きくすると、使用可能なサブネット領域への予約されているアドレスの相対的な影響を抑えることができます。

DBシステム・タイプ 必須IPアドレス数 最小サブネット・サイズ
1-nodeベアメタルまたは仮想マシン

1 + 3 reserved in subnet = 4

/30 (4 IPアドレス)
2-node RAC仮想マシン (2 addresses * 2 nodes) + 3 for SCANs + 3 reserved in subnet = 10 /28 (16 IPアドレス)

VCN作成ウィザード: 本番用ではない

コンソールネットワーキング・セクションには、関連するリソースとともにVCNを作成する便利なウィザードがあります。 インスタンスの起動を試行するのみの場合に便利です。 ただし、ウィザードによってアドレス範囲が自動的に選択され、パブリック・サブネットおよびインターネット・ゲートウェイが作成されます。 この動作は本番ネットワークでは必要としない場合があるため、Oracleでは、ウィザードではなく、VCNおよびその他のリソースを単独で作成することをお薦めします。

ベア・メタルDBシステムのDNS

ベアメタルDBシステムの場合、システムでスイッチ・エンドポイント(データベースのバックアップ、パッチ適用およびDBシステム・クラウド・ツールチップの更新のため)およびOracle YUM再移入エンドポイントを解決できるようにする必要があります。 これらのエンドポイントの解決は、「インターネットおよびVCNリゾルバ」によって自動的にカバーされます。これは、VCNのデフォルトのは、DNSのVCNです。 詳細は、「あなたの仮想クラウド・ネットワークのDNS」および「DHCPオプション」も参照してください。

仮想マシンDBシステムのDNS

この情報は、1-nodeまたは2-node仮想マシンDBシステムに適用できます。

ノード(複数可)を通信させるには、VCNが「インターネットおよびVCNリゾルバ」を使用する必要があります。 これにより、ノードへのホスト名の割当て、およびVCNのリソースによるホスト名のDNS解決が可能になります。 また、データベースの単一クライアント・アクセス名(SCANs)の解決も可能になります。 最後に、SwiftエンドポイントとOracle YUMレポ・エンドポイントの解決も可能にします。 InternetおよびVCN Resolverは、VCNのDNSのVCNデフォルト選択です。 詳細は、「あなたの仮想クラウド・ネットワークのDNS」および「DHCPオプション」も参照してください。

VCN、サブネットおよびDBシステムを作成する場合、VCNのDNSに関連する次の識別子を慎重に設定する必要があります:

  • VCNドメイン・ラベル
  • サブネット・ドメイン・ラベル
  • DBシステムのホスト名接頭辞

これらの値はノード完全修飾ドメイン名(FQDN)を構成します:

<hostname_prefix><RAC_node_#>.<subnet_domain_label>.<vcn_domain_label>.oraclevcn.com

RACシステムの場合のみ、データベース・サービスはホスト名の接頭辞の後にノード番号を自動的に追加します。

例えば:

  • ノード1: dbsys1.ad1.acmevcniad.oraclevcn.com
  • ノード2: dbsys2.ad1.acmevcniad.oraclevcn.com

ホスト名接頭辞の要件:

  • 最大で16文字です
  • 文字列localhostは指定できません

VCNおよびサブネット・ドメインのラベルの要件:

  • 推奨最大: 15文字
  • ハイフンまたはアンダースコアは使用できません
  • おすすめ: VCN名にリージョン名を含め、サブネット名に「可用性ドメイン」名を含めます。

FQDNには最大合計制限63文字が含まれているため、その要件を満たすのに十分なVCNおよびサブネット・ドメイン・ラベルを短く設定してください。 安全な一般ルールは次のとおりです:

<16_chars_max>#.<15_chars_max>.<15_chars_max>.oraclevcn.com

VCNおよびサブネットを作成する場合、前述の最大値は適用されません。 ただし、ホスト名接頭辞が16文字を超える場合、またはFQDNが63文字を超える場合は、DBシステムのデプロイメントに失敗します。

DNS: オンプレミス・ネットワークとVCN間

オンプレミス・ホストとVCNリソースが相互に通信する際にホスト名を使用できるようにするために、次の2つのオプションがあります:

  • カスタムDNSサーバーとしてなるようにVCNにインスタンスを設定します。 Oracle Terraformプロバイダを使用したこのシナリオの実装例については、「ハイブリッドDNS構成」を参照してください。
  • ホスト名の手動解決を管理します。

VCNのサービス・ゲートウェイ

VCNは、オブジェクト・ストレージ (データベースのバックアップ、パッチ適用、DBシステムのクラウド・ツールの更新用)とOS更新用のOracle YUMリポジトリの両方にアクセスする必要があります。

前述の「オプション1」または「オプション2」のどちらを使用するかによって、サービス・ゲートウェイは様々な方法で使用します。 次の2つのセクションを参照してください。

オプション1: オブジェクト・ストレージへのサービス・ゲートウェイ・アクセスのみ
オプション2: オブジェクト・ストレージとYUMリポジトリの両方へのサービス・ゲートウェイ・アクセス

DB Systemのセキュリティ・ルール

このセクションには、DBシステムで使用する「セキュリティ・ルール」がリストされます。 セキュリティ・ルールは、DBシステムのコンピュート・ノードの内外で許可されるトラフィックのタイプを制御します。 ルールは2つのセクションに分かれています。

これらのルールを実装するには様々な方法があります。 詳細は、「セキュリティ・ルールの実装方法」を参照してください。

重要

Oracle提供のDBシステム・イメージを実行しているインスタンスにも、インスタンスへのアクセスを制御するファイアウォール・ルールがあります。
インスタンス・セキュリティ・ルールとファイアウォール・ルールの両方が正しく設定されていることを確認します。 「DBシステム上のポートを開く」も参照してください。

基本接続に必要な一般的なルール

この項では、VCNのホストに不可欠な接続を有効にするいくつかの一般的なルールについて説明します。

セキュリティ・リストを使用してセキュリティ・ルールを実装する場合: 次のルールは、デフォルトで「デフォルト・セキュリティ・リスト」に含まれています。

一般イングレス・ルール1: 任意の場所からのSSHトラフィックを許可
一般イングレス・ルール2: Path MTU Discoveryのフラグメンテーション・メッセージを許可
一般イングレス・ルール3: VCN内の接続エラー・メッセージを許可
一般エグレス・ルール1: すべてのエグレス・トラフィックを許可

カスタム・セキュリティ・ルール

DBシステム・ファンクションには、次のルールが必要です。

カスタム・イングレス・ルール1: VCN内からのONSおよびFANトラフィックを許可
カスタム・イングレス・ルール2: VCN内からのSQL*NETトラフィックを許可

重要

前のカスタム・イングレス・ルール1と2は、VCN内から開始された接続のみに対応します。
VCN外にあるクライアントがある場合は、そのクライアントのパブリックIPアドレスにソースCIDRが代わりに設定されている、2つの追加の同様なルールを設定することをお薦めします。

カスタム・エグレス・ルール1: アウトバウンドSSHアクセスの許可
カスタム・エグレス・ルール2: オブジェクト・ストレージおよびYUM reposへのアクセスを許可

セキュリティ・ルールの実装方法

「ネットワーキング」サービスでは、VCN内にセキュリティ・ルールを実装する方法として次の2つが提供されます:

2つのメソッドの比較は、「セキュリティ・リストとネットワーク・セキュリティ・グループの比較」を参照してください。

ネットワーク・セキュリティ・グループを使用する場合
セキュリティ・リストを使用する場合