Um eine sichere und zuverlässige Netzwerkverbindung für verschiedene Anwendungs- und Verwaltungsfunktionen bereitzustellen, verwendet Exadata Database Service on Cloud@Customer verschiedene Netzwerke.

In der folgenden Liste werden die Mindestnetzwerkanforderungen für die Installation eines Exadata Database Service on Cloud@Customer-Systems beschrieben:

• Exadata Cloud@Customer-Servicenetzwerk: Dieses Netzwerk wird nach Oracle-Spezifikationen eingerichtet und darf nicht ohne Einverständnis von Oracle vom Kunden geändert werden.
  • Control-Plane-Netzwerk

    Dieses virtuelle private Netzwerk (VPN) verbindet die beiden Control-Plane-Server im Exadata Database Service on Cloud@Customer-Rack mit Oracle Cloud Infrastructure. Das VPN erleichtert sichere, vom Kunden initiierte Vorgänge über die Oracle Cloud Infrastructure-Konsole und -APIs. Außerdem erleichtert es sicheres Monitoring und sichere Administration der von Oracle verwalteten Infrastrukturkomponenten in Exadata Database Service on Cloud@Customer.

    • Überlegungen zur Konnektivität auf Control-Plane-Ebene

      Damit die Control Plane funktioniert, muss der Control-Plane-Server eine Verbindung zu bestimmten Oracle Cloud Infrastructure-(OCI-)Adressen herstellen können. Sie müssen den ausgehenden Zugriff von TCP-Port 443 auf die Endpunkte in einer bestimmten OCI-Region aktivieren:

      Tabelle 3-2: Ports für die Control-Plane-Konnektivität

      Beschreibung/Zweck	Zu öffnender Port	Speicherort
      Ausgehender Tunnelservice für Bereitstellung der Cloud-Automatisierung	443 ausgehend	Verwenden Sie dieses URL-Format, und ersetzen Sie oci_region durch Ihre Region: https://wss.exacc.oci_region.oci.oraclecloud.com
      Sicherer Tunnelservice für Remotezugriff durch Oracle-Bediener	443 ausgehend	Verwenden Sie die folgenden URL-Formate, und ersetzen Sie oci_region durch Ihre Region: https://mgmthe1.exacc.oci_region.oci.oraclecloud.com https://mgmthe2.exacc.oci_region.oci.oraclecloud.com
      Object Storage-Service zum Abrufen von Systemupdates, Infrastrukturüberwachung und Logerfassung	443 ausgehend	Verwenden Sie dieses URL-Format, und ersetzen Sie oci_region durch Ihre Region: https://objectstorage.oci_region.oraclecloud.com https://swiftobjectstorage.oci_region.oraclecloud.com https://*.objectstorage.oci_region.oci.customer-oci.com
      Monitoringservice zur Aufzeichnung und Verarbeitung von Infrastructure Monitoring-Metriken (IMM)	443 ausgehend	Verwenden Sie dieses URL-Format, und ersetzen Sie oci_region durch Ihre Region: https://telemetry-ingestion.oci_region.oraclecloud.com
      Identity Service für Autorisierung und Authentifizierung	443 ausgehend	Verwenden Sie dieses URL-Format, und ersetzen Sie oci_region durch Ihre Region: https://identity.oci_region.oraclecloud.com https://auth.oci_region.oraclecloud.com
      Ausgehender Tunnelservice für Bereitstellung der Cloud-Automatisierung	443 ausgehend	Verwenden Sie dieses URL-Format, und ersetzen Sie oci_region durch Ihre Region: https://wsshe.adbd-exacc.oci_region.oci.oraclecloud.com
      Loggingservice	443 ausgehend	Verwenden Sie dieses URL-Format, und ersetzen Sie oci_region durch Ihre Region: https://frontend.logging.ad1.oci_region.oracleiaas.com https://frontend.logging.ad2.oci_region.oracleiaas.com https://frontend.logging.ad3.oci_region.oracleiaas.com https://controlplane.logging.ad1.oci_region.oracleiaas.com https://controlplane.logging.ad2.oci_region.oracleiaas.com https://controlplane.logging.ad3.oci_region.oracleiaas.com
      Resource Principal-basierte Authentifizierung und Autonomous Database-Servicebereitstellung	443 ausgehend	Verwenden Sie dieses URL-Format, und ersetzen Sie oci_region durch Ihre Region: https://database.oci_region.oraclecloud.com
      VM-Konsole	443 ausgehend	Verwenden Sie dieses URL-Format, und ersetzen Sie oci_region durch Ihre Region: https://console1.exacc.oci_region.oci.oraclecloud.com https://console2.exacc.oci_region.oci.oraclecloud.com
      Temporärer sicherer Tunnelservice für Remote-Zugriff durch Oracle-Bediener für ADB-D-Ressourcen	443 ausgehend	Verwenden Sie dieses URL-Format, und ersetzen Sie region durch Ihre Region: https://mgmthe.adbd-exacc.region.oci.oraclecloud.com
      Monitoring Service zur Aufzeichnung und Verarbeitung von Infrastructure Monitoring-(IMM-)Ressourcen	443 ausgehend	Verwenden Sie dieses URL-Format, und ersetzen Sie region durch Ihre Region: https://ingestion.logging.region.oci.oraclecloud.com
      Messung und Überwachung	443 ausgehend	Verwenden Sie dieses URL-Format, und ersetzen Sie oci_region durch Ihre Region: https://*.oci_region.functions.oci.oraclecloud.com https://*.functions.oci_region.oci.oraclecloud.com

      Hinweis
      
      Der Infrastrukturzugriff auf ExaDB-C@C zu den angegebenen Serviceendpunkten in Tabelle 3-2 Ports, die für die Control-Plane-Konnektivität geöffnet werden sollen, ist für die Full-Service-Funktionalität obligatorisch. Wenn Sie nicht alle obligatorischen URIs zulassen, kann dies zu einer Servicereduzierung führen oder Funktionen nicht wie geplant funktionieren.

      Beachten Sie, dass der Control-Plane-Server nur in der Lage sein darf, ausgehenden Zugriff auf TCP-Port 443 einzurichten. Während ausgehende Verbindungen zu Port 443 zulässig sein müssen, ist kein eingehender Zugriff auf TCP-Port 443 erforderlich. Aus Sicherheitsgründen ist es möglicherweise wünschenswert, eingehende Verbindungen zu blockieren. (Funktional ist bidirektionaler Traffic nach dem Herstellen der sicheren ausgehenden Verbindung weiterhin möglich.)

      Der Control-Plane-Server erfordert, dass DNS- und NTP-Kundenservices funktionsfähig sind. Die Mindestbandbreite für die Internetverbindung zwischen dem Control-Plane-Server und OCI beträgt 50/10 Mbit/s im Download/Upload.

      Einige Kunden haben Sicherheitsrichtlinien, die den Einsatz von Proxys für alle Internetverbindungen zur IT-Infrastruktur erfordern. Der HTTP-Proxy des Kunden. Beispiel: Passiver/Unternehmensproxy, der für die Control-Plane-Serververbindung zu OCI unterstützt wird. Kunden-HTTPS, Proxychallenge und Trafficprüfung werden nicht unterstützt.

      Wenn Sie Firewallregeln verwenden, die auf IP-Adressfiltern basieren, müssen Sie aufgrund der dynamischen Funktionsweise von Cloud-Schnittstellen Traffic mit allen relevanten IP-CIDR-Bereichen zulassen, die mit Ihrer OCI-Region verknüpft sind. Diese sind in https://docs.oracle.com/en-us/iaas/tools/public_ip_ranges.json aufgeführt.
  • Administrationsnetzwerk

    Dieses Netzwerk verbindet Exadata Database Service on Cloud@Customer-Server- und -Switches mit den beiden Control-Plane-Servern, die sich im Exadata Database Service on Cloud@Customer-Rack befinden. Es erleichtert die Ausführung von Vorgängen, die vom Kunden über die Oracle Cloud Infrastructure-Konsole und -APIs initiiert werden. Außerdem erleichtert es das Monitoring und die Administration der von Oracle verwalteten Infrastrukturkomponenten in Exadata Database Service on Cloud@Customer.

    Dieses Netzwerk ist vollständig im Exadata Database Service on Cloud@Customer-Rack enthalten und ist nicht mit dem Unternehmensnetzwerk verbunden. Die Exadata-Infrastruktur ist jedoch über die Control-Plane-Server indirekt mit dem Unternehmensnetzwerk verbunden. Mit dieser Verbindung können Sie Domain Name System-(DNS-) und NTP-Services für die Exadata-Infrastruktur bereitstellen. Daher dürfen die IP-Adressen, die dem Administrationsnetzwerk zugewiesen werden, an keiner anderen Stelle im Unternehmensnetzwerk verwendet werden.

    Jeder Oracle Database-Server und Exadata Storage Server verfügt über zwei Netzwerkschnittstellen, die mit dem Administrationsnetzwerk verbunden sind. Die eine dient zum Zugriff auf den Server über einen der eingebetteten Ethernetports (NET0). Die andere dient zum Zugriff auf das Integrated Lights-Out-Management-(ILOM-)Subsystem über einen dedizierten Ethernetport. Bei Auslieferung von Exadata Database Service Cloud@Customer sind die ILOM- und NET0-Anschlüsse mit dem Ethernet-Switch im Rack verbunden. Änderungen an der Verkabelung oder Konfiguration dieser Schnittstellen sind nicht zulässig.

  • InfiniBand- oder RDMA Over Converged Ethernet-(ROCE-)Netzwerk

    Dieses Netzwerk verbindet die Datenbankserver, Exadata Storage Server und Control-Plane-Server mit den InfiniBand- oder ROCE-Switches im Rack. Jeder Server verfügt über zwei InfiniBand-Netzwerkschnittstellen (IB0 und IB1) oder ROCE-Schnittstelle (re0 und re1), die mit separaten InfiniBand- oder ROCE-Switches im Rack verbunden sind. In erster Linie verwendet Oracle Database dieses Netzwerk für Oracle RAC-Cluster-Interconnect-Traffic und für den Zugriff auf Daten auf Exadata Storage Servern.

    Dieses nicht routbare Netzwerk ist vollständig im Exadata Cloud@Customer-Rack enthalten und wird nicht mit dem Unternehmensnetzwerk verbunden. Da die Control-Plane-Server jedoch mit dem InfiniBand- oder ROCE-Netzwerk und dem Unternehmensnetzwerk verbunden sind, dürfen die dem InfiniBand- oder ROCE-Netzwerk zugewiesenen IP-Adressen an keiner anderen Stelle im Unternehmensnetzwerk verwendet werden.

• Kundennetzwerk: Netzwerke, die im Besitz des Kunden sind und von ihm verwaltet werden und die benötigt werden, damit die Data Plane von Exadata Cloud@Customer auf zugehörige Systeme zugreifen kann.
  • Clientnetzwerk

    Dieses Netzwerk verbindet die Exadata Cloud@Customer-Datenbankserver mit dem vorhandenen Clientnetzwerk und wird für den Clientzugriff auf die virtuellen Maschinen verwendet. Anwendungen greifen über dieses Netzwerk auf Datenbanken auf Exadata Database Service on Cloud@Customer zu. Dies erfolgt über Single Client Access Name-(SCAN-) und Oracle Real Application Clusters-(Oracle RAC-)Virtual-IP-(VIP-)Schnittstellen.

    Das Clientzugriffsnetzwerk verwendet zwei Netzwerkschnittstellen auf jedem Datenbankserver, die mit dem Kundennetzwerk verbunden sind.

    Hinweis
    
    Wenn Sie Data Guard aktivieren, erfolgt die Replikation von Daten standardmäßig über das Clientnetzwerk.
  • Backupnetzwerk

    Dieses Netzwerk ähnelt dem Clientzugriffsnetzwerk, da es die Oracle Database-Server von Exadata Database Service on Cloud@Customer mit dem vorhandenen Netzwerk verbindet. Es kann für den Zugriff auf die virtuellen Maschinen zu verschiedenen Zwecken verwendet werden, einschließlich Backups und Bulkdatenübertragungen.

    Wie das Clientnetzwerk verwendet auch das Backupnetzwerk zwei Netzwerkschnittstellen auf jedem Datenbankserver, die mit dem Kundennetzwerk verbunden sind. Eine physische Verbindung zwischen dem Backupnetzwerk und einem Kundennetzwerk ist erforderlich.

    Wenn der On-Premise-Speicher (NFS oder ZDLRA) des Kunden ausschließlich als Backupziel für Datenbanken verwendet werden soll, ist für das Backupnetzwerk keine externe Konnektivität zu OCI erforderlich.

    Exadata Cloud@Customer bietet außerdem ein von Oracle verwaltetes Backupziel für den Cloud-Objektspeicher. Wenn Oracle Object Storage Service als Backupziel für Datenbankbackups verwendet werden soll, stellen Sie sicher, dass das Backupnetzwerk den Object Storage Service über eine externe Verbindung erreichen kann. Sie müssen den ausgehenden Zugriff von TCP-Port 443 für das Backupnetzwerk wie folgt aktivieren:

    Tabelle 3-3: Ports für das Backupnetzwerk

    Beschreibung/Zweck	Zu öffnender Port	Speicherort
    Object Storage-Service für cloudbasierte Datenbankbackups (optional)	443 ausgehend	Verwenden Sie dieses URL-Format, und ersetzen Sie oci_region durch Ihre Region: https://objectstorage.oci_region.oraclecloud.com https://swiftobjectstorage.oci_region.oraclecloud.com

  • Disaster Recovery Network (nur autorisierte Kunden)
    Hinweis
    
    Dieses zusätzliche Netzwerk steht nur bestimmten autorisierten Kunden unter besonderen Umständen zur Verfügung. Ihr System ist möglicherweise nicht damit ausgestattet.

    Das Disaster-Recovery-Netzwerk ist ähnlich wie das Clientzugriffsnetzwerk konfiguriert, ist jedoch ausschließlich für die Übertragung von Data Guard-Datenverkehr dediziert. Wenn Ihr System dieses Netzwerk enthält, wird Data Guard-Traffic über dieses Netzwerk anstelle des Clientnetzwerkes geleitet. Dabei werden SCAN-(Single Client Access Name-) und VIP-(Oracle Real Application Clusters-)Schnittstellen (Oracle RAC) verwendet.

    Nur die Data Guard-Vorabprüfungen erfordern, dass das Clientnetzwerk geöffnet ist. Sobald die Vorabprüfungsphase abgeschlossen ist, registriert das Data Guard-Provisioning die Datenbank automatisch beim Disaster-Recovery-Netzwerk und verwendet sie sowohl für die Wiederherstellung der Datendatei als auch für den Redo-Transport. Wenn das Öffnen des Clientnetzwerks keine Option ist, müssen Sie die Primärdatenbank manuell beim Disaster Recovery-Netzwerk-Listener registrieren, bevor Sie das Data Guard-Provisioning starten.

    Das Disaster Recovery-Netzwerk besteht aus zwei Netzwerkschnittstellen auf jedem Datenbankserver, die direkt mit dem Kundennetzwerk verbunden sind.

Stellen Sie vor dem Deployment von Oracle Exadata Database Service on Cloud@Customer sicher, dass Ihr Data Center-Netzwerk die Anforderungen erfüllt.

Sie müssen dem Administrationsnetzwerk und dem privaten RoCE-Netzwerk je einen Bereich von IP-Adressen zuweisen.

/23

/16

/22

/19

/28

/27

/27

/26

/29

/28

/28

/27

/28

/27

/27

/26

Stellen Sie sicher, dass Ihr Oracle Exadata Database Service on Cloud@Customer-System die Uplinkanforderungen für Control-Plane-Server und Datenbankserver erfüllt.

Sie können die mitgelieferten Netzwerkgeräte verwenden oder ein eigenes SFP-Netzwerk erstellen.

Ziehen Sie die unten angegebene Lösung in Betracht, bei der der FastConnect-Service von OCI genutzt wird, wenn Sie neben der Standard-TLS-Tunnelmethode zusätzliche Isolation für die Verbindung zwischen dem CPS und OCI wünschen.

Weitere Informationen finden Sie unter Oracle Cloud Infrastructure FastConnect.

Der Oracle Exadata Database Service on Cloud@Customer-Service unterstützt das Public- oder Private-Peering-Konnektivitätsmodell von FastConnect.

Abbildung 3-1: Oracle Exadata Database Service on Cloud@Customer-FastConnect-Konnektivität zu OCI über Public Peering

Wie in der Abbildung dargestellt, tritt das Oracle Exadata Database Service on Cloud@Customer-Control-Plane-Netzwerk zum FastConnect-Provider und zur Oracle-Edge aus. Kunden, die bereits über FastConnect-Konnektivität verfügen, können damit Oracle Exadata Database Service on Cloud@Customer über Public Peering mit der OCI-Region verbinden.

Abbildung 3-2: Oracle Exadata Database Service on Cloud@Customer-FastConnect-Konnektivität zu OCI über Private Peering