Oracle Cloud Infrastructureドキュメント

DBシステムのネットワーク設定

ノート

このトピックは、Exadata DBシステムには適用されません。 Exadata DBシステムのネットワーク設定の詳細は、「Exadata DBシステムのネットワーク設定」を参照してください。

ベアメタルまたは仮想マシンDBシステムを設定する前に、仮想クラウド・ネットワーク(VCN)およびその他のネットワーキング・サービス・コンポーネントを設定する必要があります。 このトピックでは、VCNの推奨構成について説明します。

VCNおよびサブネット

DBシステムを起動するには、次が必要です:

  • DBシステムが必要なリージョン内のVCN
  • VCN (パブリック・サブネットまたはプライベート・サブネット)の少なくとも1つのサブネット

一般に、Oracleはリージョン内のすべての可用性ドメインにまたがるリージョンのサブネットを使用することをお薦めします。 ベアメタルまたは仮想マシンDBシステムの場合、リージョン・サブネットまたはAD固有のサブネットが機能します。 詳細は、「リージョンのサブネットについて」を参照してください。

カスタム・ルート表を作成します。 また、DBシステムのコンピュート・ノートとの間のトラフィックを制御するセキュリティ・ルールも作成します。 その詳細は次のとおりです。

VCNおよびサブネット構成の詳細は、VCN内でのDNSの解決の選択に応じて異なります。 詳細は、「DB System用のDNS」を参照してください。

オプション1: インターネット・ゲートウェイでのパブリック・サブネット

このオプションは、コンセプトの校正作業や開発作業を行う場合に便利です。 VCNでインターネット・ゲートウェイを使用する場合、またはパブリック・ネットワークでのみ実行されデータベースへのアクセスが必要なサービスがある場合は、本番でこの設定を使用できます。 次の図および説明を参照してください。

このイメージは、パブリック・サブネットを使用したネットワーク設定を示しています。

次を設定します:

重要

パブリック・サブネットに関連付けられたルート表のターゲットとして「サービス・ゲートウェイ」にルート・ルールを構成する方法の詳細は、この「既知の問題」を参照してください。

オプション2: プライベート・サブネット

Oracleでは、本番システムに対してこのオプションが推奨されています。 サブネットはプライベートで、インターネットからアクセスできません。 次の図および説明を参照してください。

このイメージは、プライベート・サブネットを使用したネットワーク設定を示しています。

次を設定します:

IPアドレス・スペースの要件

複数のリージョンでDBシステム(およびVCN)を設定している場合は、VCNのIPアドレス領域が重複していないことを確認してください。

ベアメタルまたは仮想マシンDBシステム用に作成するサブネットは、データベース・インスタンス上のOracle Clusterwareプライベート・インターコネクトによって使用される192.168.16.16/28と重なることはできません。

次の表に、「最小」で必要なサブネット・サイズを示します。

ヒント

ネットワーキング・サービス「予約されている各サブネット内の3つのIPアドレス」
サブネットの領域を最小必要数(たとえば、/28ではなく少なくとも/25)よりも大きくすると、使用可能なサブネット領域への予約されているアドレスの相対的な影響を抑えることができます。

DBシステム・タイプ 必須IPアドレス数 最小サブネット・サイズ
1-nodeベアメタルまたは仮想マシン

1 + 3 reserved in subnet = 4

/30 (4 IPアドレス)
2-node RAC仮想マシン (2 addresses * 2 nodes) + 3 for SCANs + 3 reserved in subnet = 10 /28 (16 IPアドレス)

VCN作成ウィザード: 本番用ではない

コンソールネットワーキング・セクションには、関連するリソースとともにVCNを作成する便利なウィザードがあります。 インスタンスの起動を試行するのみの場合に便利です。 ただし、ウィザードによってアドレス範囲が自動的に選択され、パブリック・サブネットおよびインターネット・ゲートウェイが作成されます。 この動作は本番ネットワークでは必要としない場合があるため、Oracleでは、ウィザードではなく、VCNおよびその他のリソースを単独で作成することをお薦めします。

DB System用のDNS

DNSとDBシステムのホスト名解決には、次の2つの選択肢があります:

  • 推奨: VCNのデフォルトのDNS機能(「インターネットおよびVCNリゾルバ」)を使用
  • カスタムDNSリゾルバを使用してください

次の表に、DBシステムの各タイプでサポートされる選択肢と、DBシステムが機能するために解決する必要があるエンドポイントを示します。

DBシステム・タイプ サポートされるDNSの選択 解決対象のエンドポイント
1-nodeベアメタルまたは仮想マシン
  • 推奨: デフォルト(インターネットとVCNリゾルバ)
  • カスタムDNSリゾルバ
  • オブジェクト・ストレージ・エンドポイント(オブジェクト・ストレージ・エンドポイントとSwiftエンドポイントの両方を含む)
  • Oracle YUMレポート・エンドポイント
2-node RAC仮想マシン
  • デフォルト(インターネットとVCNリゾルバ)
  • オブジェクト・ストレージ・エンドポイント(オブジェクト・ストレージ・エンドポイントとSwiftエンドポイントの両方を含む)
  • Oracle YUMレポート・エンドポイント
  • 「単一クライアント・アクセス名(SCAN)」

次の各項では、DNSの選択肢について詳しく説明します。

デフォルト(インターネットとVCNリゾルバ)

Internet and VCN ResolverをサポートするDBシステムのタイプについては、前の表を参照してください。

Oracleでは、DNSにInternet and VCN Resolverの使用をお薦めします。 これは、各VCNに付属するデフォルトの組込みDNS機能です。 これにより、VCNのホストが次のアイテムを解決できます:

  • 同じVCN内の他のホストのホスト名
  • インターネット上で公開されるホスト名

Internet and VCN Resolverの全般的な情報は、「仮想クラウド・ネットワーク内のDNS」を参照してください。

DBシステムでは、Internet and VCN Resolverは必要なすべてのエンドポイントの解決処理を行います: オブジェクト・ストレージ・エンドポイント(オブジェクト・ストレージ・エンドポイントおよびSwiftエンドポイントの両方を含む)、YUMリポジトリおよびSCAN (SCANは、2ノードのRACシステムでのみ使用されます)。

デフォルトでは、各VCNはInternet and VCN Resolverを使用するように構成されています。 カスタムDNSリゾルバを使用する予定の場合は、VCNを別の方法で構成する必要があります。 詳細は、「カスタムDNSリゾルバ」を参照してください。

DB SystemでInternet and VCN Resolverを使用するには
Internet and VCN Resolverを使用する際のホスト名の制限

カスタムDNSリゾルバ

カスタムDNSリゾルバの使用をサポートするDBシステムのタイプについては、前の表を参照してください。

カスタムDNSリゾルバは、オンプレミス・ネットワークで設定し、自分で管理しているDNSサーバーです。 これは、DBシステムに必要なエンドポイントを解決する必要があります。

デフォルトでは、VCNはInternet and VCN Resolverを使用するように構成されています。 したがって、カスタムDNSリゾルバを使用する場合は、VCNとDHCPのオプションを別の方法で構成する必要があります。 次のプロセスを参照してください。

DBシステムでカスタムDNSリゾルバを使用するには
カスタムDNSリゾルバ使用時のホスト名の制限

DNS: オンプレミス・ネットワークとVCN間

Internet and VCN Resolverを使用していて、オンプレミス・ホストとVCNリソースが相互に通信するときにホスト名の使用を有効にする場合、VCNのインスタンスをカスタムDNSサーバーにするように設定できます。 Oracle Terraformプロバイダを使用したこのシナリオの実装例については、「ハイブリッドDNS構成」を参照してください。

VCNのサービス・ゲートウェイ

VCNは、オブジェクト・ストレージ (データベースのバックアップ、パッチ適用、DBシステムのクラウド・ツールの更新用)とOS更新用のOracle YUMリポジトリの両方にアクセスする必要があります。

前述の「オプション1」または「オプション2」のどちらを使用するかによって、サービス・ゲートウェイは様々な方法で使用します。 次の2つのセクションを参照してください。

オプション1: オブジェクト・ストレージへのサービス・ゲートウェイ・アクセスのみ
オプション2: オブジェクト・ストレージとYUMリポジトリの両方へのサービス・ゲートウェイ・アクセス

DB Systemのセキュリティ・ルール

このセクションには、DBシステムで使用する「セキュリティ・ルール」がリストされます。 セキュリティ・ルールは、DBシステムのコンピュート・ノードの内外で許可されるトラフィックのタイプを制御します。 ルールは2つのセクションに分かれています。

これらのルールを実装するには様々な方法があります。 詳細は、「セキュリティ・ルールの実装方法」を参照してください。

重要

Oracle提供のDBシステム・イメージを実行しているインスタンスにも、インスタンスへのアクセスを制御するファイアウォール・ルールがあります。
インスタンス・セキュリティ・ルールとファイアウォール・ルールの両方が正しく設定されていることを確認します。 「DBシステム上のポートを開く」も参照してください。

基本接続に必要な一般的なルール

この項では、VCNのホストに不可欠な接続を有効にするいくつかの一般的なルールについて説明します。

セキュリティ・リストを使用してセキュリティ・ルールを実装する場合: 次のルールは、デフォルトで「デフォルト・セキュリティ・リスト」に含まれています。

一般イングレス・ルール1: 任意の場所からのSSHトラフィックを許可
一般イングレス・ルール2: Path MTU Discoveryのフラグメンテーション・メッセージを許可
一般イングレス・ルール3: VCN内の接続エラー・メッセージを許可
一般エグレス・ルール1: すべてのエグレス・トラフィックを許可

カスタム・セキュリティ・ルール

DBシステム・ファンクションには、次のルールが必要です。

カスタム・イングレス・ルール1: VCN内からのONSおよびFANトラフィックを許可
カスタム・イングレス・ルール2: VCN内からのSQL*NETトラフィックを許可

重要

前のカスタム・イングレス・ルール1と2は、VCN内から開始された接続のみに対応します。
VCN外にあるクライアントがある場合は、そのクライアントのパブリックIPアドレスにソースCIDRが代わりに設定されている、2つの追加の同様なルールを設定することをお薦めします。

カスタム・エグレス・ルール1: アウトバウンドSSHアクセスの許可
カスタム・エグレス・ルール2: オブジェクト・ストレージおよびYUM reposへのアクセスを許可

セキュリティ・ルールの実装方法

「ネットワーキング」サービスでは、VCN内にセキュリティ・ルールを実装する方法として次の2つが提供されます:

2つのメソッドの比較は、「セキュリティ・リストとネットワーク・セキュリティ・グループの比較」を参照してください。

ネットワーク・セキュリティ・グループを使用する場合