ODBネットワーク設計
Oracle AI Database@AWSのODBネットワーク要件について学習し、ネットワーク設計に関するリファレンス情報を見つけます。
ODBネットワークは、指定されたAWSアベイラビリティ・ゾーン(AZ)内のOracle Exadata VMクラスタおよびAutonomous VMクラスタをホストするプライベートで分離されたネットワークです。ODBネットワークは、CIDR範囲のIPアドレスで構成されます。ODBネットワークは、Oracle Cloud Infrastructure (OCI)子サイト内に存在するネットワークに直接マップされるため、AWSとOCI間の通信手段として機能します。Oracle Multicloudアーキテクチャでは、ODBネットワークは、Oracle AI Database@AWSの一部であるOCIコンポーネントに対応し、ネットワーク接続を提供するように設計されています。
ODBネットワークはプライベート・ネットワークであり、デフォルトではAWS VPC、オンプレミス・ネットワークまたはインターネットに接続できません。ODBピアリングは、Amazon VPCとODBネットワーク間でトラフィックをプライベートにルーティングできるようにする、ユーザー作成のネットワーク接続です。Oracle Multicloudアーキテクチャでは、VPC内のアプリケーションとODBネットワーク内のOracleデータベース間のトラフィックは、パブリック・インターネットを経由せずにODBピアリングを介してプライベートにルーティングされます。
ODBネットワークには、Exadata VMクラスタおよびAutonomous VMクラスタ作成用のクライアント・サブネットCIDRが必要です。また、ネットワークでは、Exadata Database Serviceからバックアップ保存先にOracle管理バックアップのトラフィックをルーティングするために、Exadata VMクラスタ作成のバックアップ・サブネットCIDRも必要です。
次の項では、ODBネットワークの作成に必要なCIDR要件および計画について説明します。
クライアント・サブネットCIDRの要件
クライアント・サブネットの最小CIDRサイズは/27で、最大サイズは/16です。次の表に、Oracle AI Database@AWSサービスで使用されるIPアドレスと、クライアント・サブネットCIDRのインフラストラクチャ・コンポーネントを示します。
| IPアドレスの数 | 消費者 | サマリー |
|---|---|---|
| 6 | Oracle AI Database@AWS | これらのIPアドレスは、ODBネットワークでプロビジョニングするVMクラスタの数に関係なく予約されます。Oracle AI Database@AWSでは、次のものが使用されます。
|
| 3 | 各VMクラスタ | これらのIPアドレスは、各VMクラスタに存在する仮想マシン数に関係なく、単一クライアント・アクセス名(SCAN)用に予約されています。 |
| 4 | 各VM | 作成された各VMは4つのIPアドレスを消費します。 |
|
1 (オプション1) |
OCI DNSリスニング・エンドポイント (オプション)OCI DNS転送エンドポイント |
ODBネットワークは、AWSからOCIにDNSトラフィックを転送するために、1つのOCI DNSリスニング・エンドポイントを作成します。 (オプションで、OCI DNS転送エンドポイントを作成して、DNSトラフィックをOCIからAWSに転送できます。) |
バックアップ・サブネットCIDRの要件
バックアップ・サブネットの最小CIDRサイズは/28で、最大サイズは/16です。次の表に、Oracle AI Database@AWSサービスで使用されるIPアドレスと、バックアップ・サブネットCIDRのインフラストラクチャ・コンポーネントを示します。
| IPアドレスの数 | 消費者 | サマリー |
|---|---|---|
| 3 | Oracle AI Database@AWS | これらのIPアドレスは、ODBネットワークでプロビジョニングするVMクラスタの数に関係なく予約されます。Oracle AI Database@AWSでは、次のものが使用されます。
|
| 3 | 各VM | 作成された各VMは3つのIPアドレスを消費します。 |
IP消費シナリオ
次の表に、様々なVMクラスタ構成でODBネットワークでIPアドレスがどのように使用されるかを示します。
| 設定 | 消費されたクライアント・サブネットIP | クライアント・サブネットの最小CIDR | 消費されたバックアップ・サブネットIP | バックアップ・サブネットの最小CIDR |
|---|---|---|---|---|
| 2つのVMを持つ1つのVMクラスタ | 18 (6サービス+ 3クラスタ+ 4*2 + 1) | /27 CIDR範囲、32 IP | 9 (3サービス+ 3*2) | /28 CIDR範囲、16 IP |
| 3つのVMを持つ1つのVMクラスタ | 22 (6サービス+ 3クラスタ+ 4*3 + 1) | /27 CIDR範囲、32 IP | 12 (3サービス+ 3*3) | /28 CIDR範囲、16 IP |
| 4つの仮想マシンを含む1つのVMクラスタ | 26 (6サービス+ 3クラスタ+ 4*4 + 1) | /27 CIDR範囲、32 IP | 15 (3サービス+ 3*4) | /28 CIDR範囲、16 IP |
| 8つのVMを含む1つのVMクラスタ | 42 (6サービス+ 3クラスタ+ 4*8 + 1) | /26 CIDR範囲、64 IP | 27 (3サービス+ 3*8) | /27 CIDR範囲、32 IP |
VMクラスタ・シナリオ: クライアント・サブネットCIDR
次の表に、特定のクライアント・サブネットCIDR範囲で可能な各構成のインスタンスの数を示します。この表は、考えられるすべてのシナリオを示しているわけではありません。
| シナリオ(VMクラスタの構成) | /27 (32 IP)のVMクラスタの数 | /26 (64 IP)のVMクラスタの数 | /25 (128 IP)のVMクラスタの数 | /24 (256 IP)のVMクラスタの数 | /23 (512 IP)のVMクラスタの数 | /22 (1024 IP)のVMクラスタの数 |
|---|---|---|---|---|---|---|
| 2つの仮想マシンを含む1つのVMクラスタ(17のIP) | 1 | 3 | 7 | 15 | 30 | 60 |
| 3つの仮想マシンを含む1つのVMクラスタ(21のIP) | 1 | 3 | 6 | 12 | 24 | 48 |
| 4つの仮想マシンを含む1つのVMクラスタ(25のIP) | 1 | 2 | 5 | 10 | 20 | 40 |
| 2つのVMクラスタと2つの仮想マシン(28以上のIP) | 1 | 2 | 4 | 9 | 18 | 36 |
| 2つのVMクラスタと3つの仮想マシン(36のIP) | 0 | 1 | 3 | 7 | 14 | 28 |
| 2つのVMクラスタと4つの仮想マシン(44のIP) | 0 | 1 | 2 | 5 | 11 | 23 |
VMクラスタ・シナリオ: バックアップ・サブネットCIDR
次の表に、特定のバックアップ・サブネットCIDR範囲で可能な各構成のインスタンスの数を示します。この表は、考えられるすべてのシナリオを示しているわけではありません。
| シナリオ(VMクラスタの構成) | /27 (32 IP)のVMクラスタの数 | /26 (64 IP)のVMクラスタの数 | /25 (128 IP)のVMクラスタの数 | /24 (256 IP)のVMクラスタの数 | /23 (512 IP)のVMクラスタの数 | /22 (1024 IP)のVMクラスタの数 |
|---|---|---|---|---|---|---|
| 2つの仮想マシンを含む1つのVMクラスタ(9つのIP) | 3 | 7 | 14 | 28 | 56 | 113 |
| 3つの仮想マシンを含む1つのVMクラスタ(12のIP) | 2 | 5 | 10 | 21 | 42 | 85 |
| 4つの仮想マシンを含む1つのVMクラスタ(15のIP) | 2 | 4 | 8 | 17 | 34 | 68 |
| 2つのVMクラスタと2つの仮想マシン(15のIP) | 2 | 4 | 8 | 17 | 34 | 68 |
| 2つのVMクラスタと3つの仮想マシン(21のIP) | 1 | 3 | 6 | 12 | 24 | 48 |
| 2つのVMクラスタと4つの仮想マシン(27のIP) | 1 | 2 | 7 | 9 | 18 | 37 |
考慮事項
- ODBネットワークは、最大45個のODBピアリング接続をサポートします。
- AWS配置グループは、ODBネットワークの設定後に作成されます。作成された配置グループにAmazon EC2インスタンスを配置する方法を学習するには、High Performance NetworkingのAWSドキュメントを参照してください。
- ODBネットワークが米国東部(N)にある場合。バージニア州または米国西部(オレゴン州)で、ネットワークは2026年2月7日より前に作成されたため、ODBピアリングを追加する前にネットワークをアップグレードする必要があります。アップグレードでは、ODBネットワークを完全に再作成する必要があります。複数のODBピアリングの削除。アップグレードするには、ODBネットワークを完全に再作成する必要があります。ODBネットワークを削除するには、すべてのExadata VMを削除する必要がありますが、Exadataインフラストラクチャを削除または再作成する必要はありません。
IPアドレスの制限事項
ODBネットワーク・サブネットのCIDR範囲には、次の制限が適用されます。
- 有効なプライベートIPv4 CIDR範囲が必要です: CIDRブロックは、プライベートおよびIPv4である必要があります。たとえば、10.0.0.0/16、 172.16.0.0/16、 192.168.1.0/26です。
-
制限されたCIDRブロック
次のIPアドレスは、ODBネットワークには使用できません。
- 100.64.0.0/10 - OCI自動化によるクラスタ・インターコネクト用に予約済
- 169.254.0.0/16 - Oracle Cloudの予約済範囲CIDR
- 224.0.0.0 - 239.255.255.255 - 予約クラスD
- 240.0.0.0 - 255.255.255.255 - 予約クラスE
- 制限付きアソシエーション: IPv4 CIDRブロック・アソシエーションの制限の表で、「制限付きアソシエーション」列のVPC CIDR範囲を使用することはできません。
- クライアント・サブネットおよびバックアップ・サブネットのIPアドレスCIDR範囲を重複させることはできません。
- クライアントおよびバックアップ・サブネットのIPアドレスCIDR範囲を、ODBネットワークへの接続に使用されるVPC CIDR範囲と重複させることはできません。
- クライアントおよびバックアップ・サブネットのIPアドレスCIDR範囲を、購入者または所有者AWSアカウントのリージョン内の既存のVPC CIDR範囲と重複させることはできません。これらのアカウント・タイプの詳細は、「AWSアカウント」を参照してください。
- クライアント・サブネットおよびバックアップ・サブネットに割り当てられたIPアドレスCIDR範囲を、AWS Transit GatewayまたはAWS Cloud WANを介してODBネットワークに接続するために必要なオンプレミスまたはその他のネットワークと重複させることはできません。
ネットワーク・セキュリティ・グループ(NSG)
Oracle AI Database@AWSは、Oracle管理のNSGを使用して、ODBネットワーク内のシステム・レベルの通信およびデフォルトのクライアント接続を行います。NSGルールを変更するか、VMクラスタをアタッチする前に、これらの動作を確認します。
リソースおよびネットワーク構成に応じて、Oracle管理NSGには次のNSGを含めることができます。
EXA_STATIC_NSGEXA_1521_ADJUSTABLE_NSGEXA_BACKUP_STATIC_NSGEXA_BACKUP_ADJUSTABLE_NSGADB_STATIC_NSGADB_1521_2484_ADJUSTABLE_NSGDNS_NSGZRCV_NSG
- Oracle管理NSG:このサービスは、ODBネットワーク構成の一部としてNSG (静的、調整可能、DNSおよびZRCV)を自動的に作成および管理します。これらのNSGは、クラスタ内通信、SCANリスナー、ICMPトラフィック、関連するサービス依存関係など、必要なサービス機能をサポートしています。ピアリングされたCIDRに基づいてセキュリティ・ルールが自動的に移入され、Oracle管理NSGがVMクラスタに自動的にアタッチされます。
- 自動化およびリコンシリエーション: ODBネットワークの変更および更新操作中に、システムはOracle管理NSGを予期されるベースライン状態にリコンサイルします。手動で追加したルールを削除したり、変更したルールを元の状態に戻したり、削除したデフォルト・ルールを再適用できます。この動作が期待され、サービスの一貫性、安定性およびサポート性が保証されます。
- 顧客アクセス:デフォルトでは、調整可能なNSGにより、ピアリングされたすべてのCIDRおよび環境からOracle AI Database@AWSリソースへのアクセスが許可されます。このデフォルト・アクセス・モデルを使用する前に、セキュリティ要件に照らしてレビューしてください。
- 推奨アプローチ:顧客固有の接続性およびより厳しいセキュリティ要件の場合は、顧客管理(カスタム)NSGを使用します。カスタムNSGを作成し、必要なイングレスおよびエグレス・ルールのみを定義し、カスタムNSGをVMクラスタにアタッチして、デフォルトの調整可能なNSGをVMクラスタからデタッチします。このアプローチにより、自動照合動作との競合を回避しながら、セキュリティ・ルールを完全に永続的に制御できます。
Oracle管理の静的NSGを変更またはオーバーライドしないでください。これらのNSGは、クライアント・サブネット内のクラスタ内トラフィックを含む、システム・レベルの通信を目的としています。Oracle管理NSG (静的、調整可能)を削除またはデタッチしないでください。
NSGセキュリティ・ルール
NSGごとに次のセキュリティ・ルールが追加されます。
EXA_STATIC_NSG
クライアントおよびバックアップCIDRのベースラインExadata接続を確立します。
| 方向 | ソース | 搬送先 | プロトコル | ポート | その他のオプション | 摘要 |
|---|---|---|---|---|---|---|
| イングレス | クライアントのサブネット | ICMP |
タイプ: すべて コード: すべて |
すべてのICMPトラフィックを許可するイングレス・ルール | ||
| イングレス | バックアップ・サブネット | ICMP |
タイプ: すべて コード: すべて |
すべてのICMPトラフィックを許可するイングレス・ルール | ||
| イングレス | クライアントのサブネット | TCP |
ソース・ポート: すべて 宛先ポート: すべて |
すべてのTCPトラフィックを許可するイングレス・ルール | ||
| イングレス | バックアップ・サブネット | TCP |
ソース・ポート: すべて 宛先ポート: すべて |
すべてのTCPトラフィックを許可するイングレス・ルール | ||
| エグレス | クライアント・サブネット | すべてのプロトコル | クライアント・サブネットへのエグレスを許可 | |||
| エグレス | バックアップ・サブネット | すべてのプロトコル | バックアップ・サブネットへのエグレスを許可 | |||
| エグレス | OCIオブジェクト・ストレージ | TCP |
ソース・ポート: ALL 接続先ポート: 443 |
オブジェクト・ストレージへのアクセスを許可するエグレス・ルール |
EXA_1521_ADJUSTABLE_NSG
デフォルトのポートおよびサービス統合を使用して、アプリケーション・サブネットおよびAWS CSP CIDRからのExadataアクセスをサポートします。
| 方向 | ソース | 搬送先 | プロトコル | ポート | その他のオプション | 摘要 |
|---|---|---|---|---|---|---|
| エグレス | アプリケーション・サブネット | すべて | アプリケーション・サブネットへのエグレスを許可 | |||
| イングレス | アプリケーション・サブネット | ICMP |
タイプ: 3 コード: すべて |
イングレス・ルールで接続エラー・メッセージを許可する | ||
| イングレス | アプリケーション・サブネット | TCP |
ソース・ポート: all 接続先ポート1521 |
TCP SQL*NETトラフィックを許可するイングレス・ルール | ||
| イングレス | アプリケーション・サブネット | TCP |
ソース・ポート: all 接続先ポート2484 |
TCP(SSL) SQL*NETトラフィックを許可するイングレス・ルール | ||
| イングレス | サービス、VPC、CIDR | TCP |
ソース・ポート: all 接続先ポート2484 |
TCP SQL*NETトラフィックを許可するETLイングレス・ルールがありません | ||
| エグレス | サービス、VPC、CIDR | TCP |
ソース・ポート: all 接続先ポート443 |
OCIサービスがAWS KMSサービスと通信するために必要なルール | ||
| エグレス | サービス。VPC、CIDR | TCP |
ソース・ポート: all 接続先ポート443 |
OCIサービスがAWS STSサービスと通信するために必要なルール |
EXA_BACKUP_STATIC_NSG
信頼できるCIDRを使用したバックアップ、リカバリおよびAutonomous Recovery Serviceのプライベート・エンドポイント・ワークフローをサポートします。
| 方向 | ソース | 搬送先 | プロトコル | ポート | その他のオプション | 摘要 |
|---|---|---|---|---|---|---|
| エグレス | クライアント・サブネット | すべてのプロトコル | 両方のクライアント・サブネットのエグレスを許可 | |||
| エグレス | バックアップ・サブネット | すべてのプロトコル | クライアント・サブネットとバックアップ・サブネットの両方でエグレスを許可 | |||
| イングレス | クライアントのサブネット | ICMP |
タイプ: 3 コード: すべて |
イングレス・ルールで接続エラー・メッセージを許可する | ||
| イングレス | バックアップ・サブネット | ICMP |
タイプ: 3 コード: すべて |
イングレス・ルールで接続エラー・メッセージを許可 | ||
| イングレス | クライアントのサブネット | ICMP |
タイプ: 3 コード: 4 |
Path MTU Discoveryフラグメンテーション・メッセージを許可するイングレス・ルール
|
||
| イングレス | バックアップ・サブネット | ICMP |
タイプ: 3 コード: 4 |
Path MTU Discoveryフラグメンテーション・メッセージを許可するイングレス・ルール
|
||
| イングレス | クライアントのサブネット | TCP |
ソース・ポート: すべて 接続先ポート: 22 |
SSHトラフィックを許可するイングレス・ルール | ||
| イングレス | バックアップ・サブネット | TCP |
ソース・ポート: すべて 接続先ポート: 22 |
SSHトラフィックを許可するイングレス・ルール | ||
| エグレス | OCIオブジェクト・ストレージ | TCP |
ソース・ポート: ALL 接続先ポート: 443 |
オブジェクト・ストレージへのアクセスを許可するエグレス・ルール | ||
| エグレス | zrv_nsg | TCP | 2484 | RCVプライベート・エンドポイント・エグレス・ルール | ||
| エグレス | zrv_nsg | TCP | 8005 | RCVプライベート・エンドポイント・エグレス・ルール |
EXA_BACKUP_ADJUSTABLE_NSG
静的バックアップ・フローから分離された、Amazon S3へのクラウド間バックアップを有効にします。
| 方向 | ソース | 搬送先 | プロトコル | ポート | その他のオプション | 摘要 |
|---|---|---|---|---|---|---|
| イングレス | アプリケーション・サブネット | ICMP |
タイプ: 3 コード: 全 |
Path MTU Discoveryフラグメンテーション・メッセージを許可するイングレス・ルール | ||
| イングレス | アプリケーション・サブネット | ICMP |
タイプ: 3 コード: 4 |
イングレス・ルールで接続エラー・メッセージを許可 | ||
| エグレス | サービス、VPC、CIDR | TCP |
ソース・ポート: ALL 接続先ポート: 443 |
Amazon S3へのOCI管理対象データベースのバックアップに必要なルール | ||
| エグレス | サービス、VPC、CIDR | TCP |
ソース・ポート: ALL 接続先ポート: 443 |
Amazon S3への顧客アクセスに必要なルール | ||
| エグレス | サービス、VPC、CIDR | TCP |
ソース・ポート: ALL 接続先ポート: 443 |
Amazon S3からのクロス・リージョン・リストアにはルールが必要です | ||
| エグレス | サービス、VPC、CIDR | TCP |
ソース・ポート: ALL 接続先ポート: 443 |
Amazon S3からのクロス・リージョン・リストアにはルールが必要です |
アドビ_静的_NSG
サービス主導のCIDRを公開することなく、Autonomous AI Databaseの信頼できる静的なクライアントおよびバックアップ・アクセスを可能にします。
| 方向 | ソース | 搬送先 | プロトコル | ポート | その他のオプション | 摘要 |
|---|---|---|---|---|---|---|
| イングレス | クライアントのサブネット | ICMP |
タイプ: すべて コード: すべて |
すべてのICMPトラフィックを許可するイングレス・ルール | ||
| エグレス | クライアントのサブネット | ICMP |
タイプ: すべて コード: すべて |
すべてのアウトバウンドICMPトラフィックを許可するエグレス・ルール | ||
| イングレス | クライアントのサブネット | TCP | ALL | すべてのTCPトラフィックを許可するイングレス・ルール | ||
| エグレス | クライアントのサブネット | TCP | ALL | すべてのアウトバウンドtcpトラフィックを許可するエグレス・ルール | ||
| エグレス | Oracle Services NetworkのすべてのIADサービス | TCP | ALL | オブジェクト・ストレージへのアクセスを許可するエグレス・ルール |
ADB_1521_2484_ADJUSTABLE_NSG
APEX、Zero ETLおよびAWSサービス統合をサポートしながら、アプリケーションおよびAWS CSPネットワークからのセキュアなAutonomous AI Databaseアクセスを提供します。
| 方向 | ソース | 搬送先 | プロトコル | ポート | その他のオプション | 摘要 |
|---|---|---|---|---|---|---|
| エグレス | アプリケーション・サブネット | すべて | アプリケーション・サブネットへのエグレスを許可 | |||
| イングレス | アプリケーション・サブネット | ICMP |
タイプ: 3 コード: すべて |
イングレス・ルールで接続エラー・メッセージを許可 | ||
| イングレス | アプリケーション・サブネット | TCP |
ソース・ポート: all 接続先ポート1521 |
TCP SQL*NETトラフィックを許可するイングレス・ルール | ||
| イングレス | アプリケーション・サブネット | TCP |
ソース・ポート: all 接続先ポート2484 |
TCP(SSL) SQL*NETトラフィックを許可するイングレス・ルール | ||
| イングレス | アプリケーション・サブネット | TCP |
ソース・ポート: all 接続先ポート443 |
APEXトラフィックを許可するイングレス・ルール | ||
| イングレス | アプリケーション・サブネット | TCP |
ソース・ポート: all 宛先ポート6200 |
ONSおよびFANトラフィックを許可するイングレス・ルール | ||
| イングレス | サービス、VPC、CIDR | TCP |
ソース・ポート: all 接続先ポート2484 |
TCP SQL*NETトラフィックを許可するETLイングレス・ルールがありません | ||
| エグレス | サービス、VPC、CIDR | TCP |
ソース・ポート: all 接続先ポート443 |
Amazon S3へのOCI管理対象データベースのバックアップに必要なルール | ||
| エグレス | サービス、VPC、CIDR | TCP |
ソース・ポート: all 接続先ポート443 |
Amazon S3への顧客アクセスに必要なルール | ||
| エグレス | サービス、VPC、CIDR | TCP |
ソース・ポート: all 接続先ポート443 |
OCIサービスがAWS KMSサービスと通信するために必要なルール | ||
| エグレス | サービス、VPC、CIDR | TCP |
ソース・ポート: all 接続先ポート443 |
OCIサービスがAWS STSサービスと通信するために必要なルール | ||
| エグレス | サービス、VPC、CIDR | TCP |
ソース・ポート: ALL 接続先ポート: 443 |
Amazon S3からのクロス・リージョン・リストアにはルールが必要です | ||
| エグレス | サービス、VPC、CIDR | TCP |
ソース・ポート: ALL 接続先ポート: 443 |
Amazon S3からのクロス・リージョン・リストアにはルールが必要です |
DNSG
ゼロETLを含む、アプリケーションおよびサービス・トラフィックのDNSアクセスを一元化します。
| 方向 | ソース | 搬送先 | プロトコル | ポート | その他のオプション | 摘要 |
|---|---|---|---|---|---|---|
| イングレス | アプリケーション・サブネット | TCP |
ソース・ポート: すべて 接続先ポート53 |
DNSのTCPイングレス・ルール | ||
| イングレス | アプリケーション・サブネット | UDP |
ソース・ポート: すべて 接続先ポート53 |
DNSのUDPイングレス・ルール | ||
| イングレス | サービス、VPC、CIDR | TCP |
ソース・ポート: すべて 接続先ポート53 |
DNSのETL TCPイングレス・ルールなし | ||
| イングレス | サービス、VPC、CIDR | UDP |
ソース・ポート: すべて 接続先ポート53 |
DNS用のETL UDPイングレス・ルールがゼロ |
郵便番号
承認されたバックアップNSGからのイングレスのみを許可することで、Zero Data Loss Autonomous Recovery Serviceのプライベート・エンドポイントを保護します。
| 方向 | ソース | 搬送先 | プロトコル | ポート | その他のオプション | 摘要 |
|---|---|---|---|---|---|---|
| イングレス | EXA_BACKUP_STATIC_NSG | TCP |
ソース・ポート: すべて 接続先ポート: 2484 |
RCVプライベート・エンドポイント・イングレス・ルール | ||
| イングレス | EXA_BACKUP_STATIC_NSG | UDP |
ソース・ポート: すべて 接続先ポート: 8005 |
RCVプライベート・エンドポイント・イングレス・ルール |