1. メンテナンス・ガイド
  2. Oracle Linux KVMゲストの管理
  3. Oracle Linux KVMと組み合せたExadata Secure RDMA Fabric Isolationの使用

6.22 Oracle Linux KVMと組み合せたExadata Secure RDMA Fabric Isolationの使用

このトピックでは、Oracle Linux KVMと組み合せたExadata Secure RDMA Fabric Isolationの実装について説明します。

Secure Fabricにより、Oracle Exadataの複数テナント間のセキュアな統合および厳密な分離が可能になります。各テナントは、Oracle Linux KVMで実行されるデータベース・サーバーVMを使用した、専用の仮想マシン(VM)クラスタに存在します。

Secure Fabricでは、それぞれのデータベース・クラスタが、Oracle Real Application Clusters (Oracle RAC)ノード間メッセージングをサポートするデータベース・サーバー間のクラスタ・ネットワーキングに、専用のネットワーク・パーティションとVLAN IDを使用します。このパーティションでは、すべてのデータベース・サーバーが完全なメンバーです。これらは、パーティション内では自由に通信できますが、他のパーティションのデータベース・サーバーとは通信できません。

別のVLAN IDを持つ別のパーティションでは、ストレージ・ネットワーク・パーティションがサポートされます。ストレージ・サーバーはストレージ・ネットワーク・パーティション内の完全なメンバーで、それぞれのデータベース・サーバーVMは制限されたメンバーでもあります。ストレージ・ネットワーク・パーティションを使用すると、次のようになります。

  • 各データベース・サーバーは、すべてのストレージ・サーバーと通信できます。
  • 各ストレージ・サーバーは、サポートしているすべてのデータベース・サーバーと通信できます。
  • ストレージ・サーバーは、セルからセルへの操作を実行するために、相互に直接通信できます。

次の図は、Exadata Secure RDMA Fabric Isolationをサポートするネットワーク・パーティションを示しています。図のSales VMを接続する線は、Salesクラスタ・ネットワークを示しています。Salesクラスタ・ネットワークは、Sales VM間のクラスタ通信をサポートする専用ネットワーク・パーティションです。HR VMを接続する線は、HRクラスタ・ネットワークを示しています。HRクラスタ・ネットワークは、HR VM間のクラスタ通信をサポートする別の専用ネットワーク・パーティションです。データベース・サーバーVM (SalesおよびHR)をストレージ・サーバーに接続する線は、ストレージ・ネットワークを示しています。ストレージ・ネットワークは、データベース・サーバーVMとストレージ・サーバー間の通信をサポートする共有ネットワーク・パーティションです。ただし、SalesクラスタとHRクラスタ間の通信は許可されません。

図6-3 Secure Fabricネットワーク・パーティション

図6-3の説明が続きます
「図6-3 Secure Fabricネットワーク・パーティション」の説明

図に示すように、各データベース・サーバー(KVMホスト)は、別々のデータベース・クラスタで複数のVMをサポートできます。ただし、Secure Fabricでは、同じデータベース・クラスタに属する複数のVMが1つのデータベース・サーバーに含まれる構成はサポートされません。つまり、前述の例を使用すると、1つのデータベース・サーバーで複数のSales VMまたは複数のHR VMをサポートすることはできません。

クラスタ・ネットワーク・パーティションおよびストレージ・ネットワーク・パーティションをサポートするために、各データベース・サーバーVMは4つの仮想インタフェースでplumbされます。

  • clre0およびclre1は、クラスタ・ネットワーク・パーティションをサポートします。

  • stre0およびstre1は、ストレージ・ネットワーク・パーティションをサポートします。

    対応するstre0およびstre1のインタフェースも、各ストレージ・サーバーでplumbされます。

各サーバーで、RoCEネットワーク・インタフェース・カードは、VLANタグの強制を実行するハイパーバイザのスイッチのように機能します。このことはKVMホスト・レベルで行われるため、データベース・サーバーVMでのソフトウェアの悪用または構成ミスによって、クラスタの分離がバイパスされることはありません。

Secure Fabricは、Oracle Exadata Deployment Assistant (OEDA)を使用した最初のシステム・デプロイメントの一環としてのみ有効化できます。既存のシステムでのSecure Fabricは、システムをワイプしてOEDAを使用してそれを再デプロイしないと、有効化できません。有効にすると、Secure Fabricは、同じRoCEネットワーク・ファブリックを共有するすべてのサーバーおよびクラスタに適用されます。

関連トピック

親トピック: Oracle Linux KVMゲストの管理