2.3.3 Exadata Secure RDMA Fabric Isolationの使用
Oracle Exadata System Softwareリリース20.1.0以降、RoCE Network Fabricは、Exadata Secure RDMA Fabric Isolationを有効化するように構成できます。さらに、2024年10月から、すべての新しい構成でSecure Fabricがデフォルトで推奨されます。
Exadata Secure RDMA Fabric Isolationにより、RDMA over Converged Ethernet (RoCE)を使用するOracle Exadataシステムでは、仮想マシン(VM)クラスタの厳密なネットワーク分離が可能になります。
Secure Fabricは、Oracle Exadataにある複数のテナントの安全な統合に向けた重要なインフラストラクチャを提供します。ここでは、各テナントが専用のVMクラスタに配置されます。この機能を使用する場合は、次の事項を確認してください。
- 個別のクラスタ内のデータベース・サーバーは、相互に通信できません。それらは、ネットワーク上で相互に完全に分離されます。
- 複数のクラスタ内のデータベース・サーバーは、すべてのストレージ・サーバーのリソースを共有できます。ただし、異なるクラスタが同じストレージ・ネットワークを共有していても、クラスタ間のネットワーク・トラフィックが発生することはありません。
Exadata Secure RDMA Fabric Isolationでは、RoCE VLANを使用して、VMクラスタが別のVMクラスタからのネットワーク・パケットを認識できないようにします。Secure Fabricでは、二重VLANタグ付けシステムを使用します。このシステムでは、一方のタグでネットワーク・パーティションを識別し、もう一方のタグでパーティション内でのサーバーのメンバーシップ・レベルを指定します。それぞれのネットワーク・パーティション内では、完全なメンバーシップを持つパーティションは、その他のすべてのパーティション・メンバー(完全メンバーと制限メンバーを含む)と通信できます。制限付きメンバーシップを持つパーティション・メンバーは、その他の制限付きメンバーシップのパーティション・メンバーと通信できません。ただし、制限付きメンバーシップを持つパーティション・メンバーは、その他の完全メンバーシップのパーティション・メンバーと通信できます。
Secure Fabricでは、それぞれのデータベース・クラスタが、Oracle Real Application Clusters (Oracle RAC)ノード間メッセージングをサポートするデータベース・サーバー間のクラスタ・ネットワーキングに、専用のネットワーク・パーティションとVLAN IDを使用します。このパーティションでは、すべてのデータベース・サーバーが完全メンバーになります。これらは、パーティション内で無制限に通信できますが、別のパーティション内のデータベース・サーバーとは通信できません。
もう一方のパーティションでは、個別のVLAN IDによって、ストレージ・ネットワーク・パーティションをサポートします。ストレージ・サーバーは、ストレージ・ネットワーク・パーティション内の完全メンバーであり、どのデータベース・サーバーVMも制限付きメンバーです。ストレージ・ネットワーク・パーティションを使用することで、次のことが可能になります。
- 各データベース・サーバーは、すべてのストレージ・サーバーと通信できます。
- 各ストレージ・サーバーは、サポート対象のすべてのデータベース・サーバーと通信できます。
- ストレージ・サーバーは、セル間操作を実行するために相互に直接通信できます。
次の図は、Exadata Secure RDMA Fabric Isolationをサポートするネットワーク・パーティションを示しています。図のSales VMを接続する線は、Salesクラスタ・ネットワークを示しています。Salesクラスタ・ネットワークは、Sales VM間のクラスタ通信をサポートする専用ネットワーク・パーティションです。HR VMを接続する線は、HRクラスタ・ネットワークを示しています。HRクラスタ・ネットワークは、HR VM間のクラスタ通信をサポートする別の専用ネットワーク・パーティションです。データベース・サーバーVM (SalesおよびHR)をストレージ・サーバーに接続する線は、ストレージ・ネットワークを示しています。ストレージ・ネットワークは、データベース・サーバーVMとストレージ・サーバー間の通信をサポートする共有ネットワーク・パーティションです。ただし、SalesクラスタとHRクラスタ間の通信は許可されません。
図に示すように、各データベース・サーバー(KVMホスト)は、別々のデータベース・クラスタで複数のVMをサポートできます。ただし、Secure Fabricでは、同じデータベース・クラスタに属する複数のVMが1つのデータベース・サーバーに含まれる構成はサポートされません。つまり、前述の例を使用すると、1つのデータベース・サーバーで複数のSales VMまたは複数のHR VMをサポートすることはできません。
クラスタ・ネットワーク・パーティションとストレージ・ネットワーク・パーティションをサポートするために、各データベース・サーバーVMは4つの仮想インタフェースで配線されます。
clre0およびclre1では、クラスタ・ネットワーク・パーティションをサポートします。-
stre0およびstre1では、ストレージ・ネットワーク・パーティションをサポートします。該当する
stre0およびstre1インタフェースは、それぞれのストレージ・サーバーにも配線されます。
それぞれのサーバーでは、RoCEネットワーク・インタフェース・カードが、VLANタグの強制適用を実行するハイパーバイザのスイッチのように動作します。これはKVMホスト・レベルで実施されるため、データベース・サーバーVMのソフトウェア脆弱性の悪用や不適切な構成によってクラスタの分離をバイパスすることはできません。
Secure Fabricは、Oracle Exadata Deployment Assistant (OEDA)を使用した最初のシステム・デプロイメントの一環としてのみ有効化できます。既存のシステムのSecure Fabricは、システムをワイプしてから、OEDAを使用して再デプロイしないと有効化できません。有効化されている場合、Secure Fabricは、同じRoCE Network Fabricを共有するすべてのサーバーとクラスタに適用されます。
Secure Fabricを使用するには、次の操作が必要です。
-
Secure Fabricが有効になるようにRoCE Network Fabricスイッチ・ハードウェアを構成します。スイッチの構成が完了すると、リーフ・スイッチのポートは、複数のVLAN IDのネットワーク・トラフィックを伝送できるトランク・ポートになります。
スイッチの構成は、OEDAを使用した最初のシステム・デプロイメントよりも前に実施する必要があります。「Exadata Secure RDMA Fabric Isolationを有効にするためのRoCE Network Fabricスイッチの構成」を参照してください。
-
OEDAを使用した最初のシステム・デプロイメントの一環として、Secure Fabricを有効にするオプションを選択して、各VMクラスタに関連付けられたクラスタおよびストレージ・ネットワーク・パーティションのVLAN IDを指定します。
OEDA Webユーザー・インタフェースで、Secure Fabricを有効にするオプションは、クラスタ・ネットワーク・ページに関連付けられた拡張オプションの1つです。Secure Fabricを有効にするオプションが選択されている場合、クラスタ・ネットワーク・ページには、Secure Fabricの構成に必要なVLAN IDを指定するための追加のフィールドが自動的に表示されます。
2024年10月のOracle Exadata System Softwareリリース更新(24.1.5、23.1.19および22.1.28)以降、VMクラスタを使用するすべての新しい構成でSecure Fabricを有効にするオプションがデフォルトで選択されています。
ブラウザベース・バージョンのOracle Exadata Deployment Assistantの使用を参照してください。