Oracle Cloud Infrastructureドキュメント

プライベート・アクセスによるAutonomous Databaseからの収集

収集は、データ・ソースからデータ・カタログに技術メタデータを抽出するプロセスです。このチュートリアルでは、プライベートでのみアクセス可能なデータ・ソースから収集するステップについて説明します。

このチュートリアルでは:

  1. プライベートURLを使用した自律型データベースの収集に必要なポリシーを作成します。
  2. 自律型データベース・アクセス詳細を取得します。
  3. データ・カタログにプライベート・エンドポイントを作成します。
  4. プライベート・エンドポイントをデータ・カタログにアタッチします。
  5. データ・アセットを作成します。
  6. データ・アセットの接続を追加します。
  7. データ・アセットを収集します。

詳細は、プライベート・ネットワークの構成を参照してください。

開始する前に

このチュートリアルを正常に実行するには、次のものが必要です:

収集元の自律型データベースがすでにある場合は、そのデータベースの詳細を使用してこのチュートリアルを完了できます。プライベート・アクセス権を持つ既存の自律型データベースがなく、このチュートリアルを試す場合は、次の手順に従って、このチュートリアルの実行に必要なリソースを設定できます。

このチュートリアルに必要なリソースの設定

1. ネットワーク・リソースのアクセス・ポリシーの作成

Oracle Cloud Infrastructureでポリシーを作成して、様々なリソースへのアクセスを許可します。

テナンシでプライベート・ネットワークを作成する前に、必要なネットワーキング権限が必要です。

この設定では、テナンシ内の任意のコンパートメントですべてのネットワーキング操作を実行できるポリシーを作成します。

次のステップを実行します:

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします。
  2. ポリシーの作成をクリックします。
  3. 「ポリシーの作成」パネルで、ポリシーの一意の名前を入力します。この名前は、テナンシ内のすべてのポリシー間で一意である必要があります。名前は後で変更できません。たとえば、create-private-network-policyです。
  4. プライベート・ネットワークを作成するための権限の付与などの「説明」を入力します。
  5. 「ポリシー・ビルダー」セクションで、スライダを「手動エディタの表示」に移動して、ポリシー・ルールを入力します。たとえば、data-catalog-usersグループには、次のポリシー・ルールを入力します: 
    allow group data-catalog-users to manage virtual-network-family in tenancy
    ノート

    このポリシーにより、data-catalog-usersグループのユーザーは、テナンシ内の任意のコンパートメントですべてのネットワーク関連操作を実行できます。
  6. 「作成」をクリックします。
ネットワーキング・リソースにアクセスするポリシーが正常に作成されました。
2. 仮想クラウド・ネットワークの作成

仮想クラウド・ネットワーク(VCN)は、単一のOracle Cloud Infrastructureリージョンに設定する仮想プライベート・ネットワークです。VCNは、選択した単一の連続したIPv4 CIDRブロックを持ちます。

VCNの許容サイズ範囲は/16から/30です。VCNを作成する前にCIDRブロックを決定します。CIDR値は後で変更できません。参考までに、CIDRカリキュレータを示します。

VCNを作成するには、次のステップを実行します:

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 「VCNの作成」をクリックします。
  3. VPNを識別するための名前を入力し、作業権限のあるコンパートメントを選択します。
  4. VCNのCIDRブロックを入力します。このチュートリアルでは、10.0.0.0/16と入力します。
  5. DNS解決を選択し、DNSラベルを入力します。
  6. 「VCNの作成」をクリックします。

VCNが作成され、VCNの「仮想クラウド・ネットワークの詳細」ページが表示されます。

デフォルトでは、VCNに対してルート表DHCPオプションおよびセキュリティ・リストが自動的に作成されます。これらのデフォルト・コンポーネントは、プライベート・サブネットの作成時に使用します。

3 プライベート・サブネットの作成

サブネットはVCNに作成する区分です。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のIPアドレスで構成されます。プライベート・サブネットは、サブネットに作成されたリソースがパブリックIPアドレスを持たないようにする場合に作成します。

次のステップを実行してプライベート・サブネットを作成します:

  1. 前のステップで作成したVCNの「Virtual Cloud Networksの詳細」ページから「サブネットの作成」をクリックします。
  2. プライベート・サブネットの名前を入力します。
  3. サブネット・タイプのデフォルトのリージョナル選択を保持します。
  4. プライベート・サブネットのCIDRブロックを入力します。このチュートリアルでは、10.0.0.0/24と入力します。
  5. デフォルト・ルート表を選択します。
  6. サブネット・アクセスに「プライベート・サブネット」を選択します。
  7. 「DNS解決」に「このサブネットでDNSホスト名を使用」を選択します。
  8. DNSラベルを入力します。
  9. デフォルトのDHCPオプションとデフォルトのセキュリティ・リストを選択します。
  10. 「サブネットの作成」をクリックします。

プライベート・サブネットが作成され、選択したコンパートメントの「サブネット」ページに表示されます。

4. ネットワーク・セキュリティ・グループの作成

VCNに自律型データベースを作成する場合、データベースのネットワーク・セキュリティ・グループ(NSG)を指定する必要があります。NSGは、VNICのグループにのみ適用されるセキュリティ・ルールで構成されます。

セキュリティ・ルールがない場合、VCN内のVNICに対してトラフィックを送受信することはできません。

イングレス・ルールを使用してNSGを作成するには、次のステップを実行します:

  1. 前に作成したVCNの「Virtual Cloud Networksの詳細」ページから「ネットワーク・セキュリティ・グループ」をクリックします。
  2. 「ネットワーク・セキュリティ・グループの作成」をクリックします。
  3. NSGの名前を入力します。
  4. 選択したコンパートメントで作業する権限を持っていることを確認し、「次」をクリックします。
  5. 「方向」に「イングレス」を選択します。
  6. 「ソース・タイプ」に「CIDR」を選択し、「ソースCIDR」にプライベート・サブネットのCIDRを入力します。このチュートリアルでは、10.0.0.0/24と入力します。
  7. 「IPプロトコル」に「TCP」を選択します。
  8. 「宛先ポート範囲」に1522と入力します。
  9. 「+ 別のルール」をクリックします。
  10. 「方向」に「エグレス」を選択します。
  11. 「宛先タイプ」に「CIDR」を選択し、「宛先CIDR」にプライベート・サブネットのCIDRを入力します。このチュートリアルでは、10.0.0.0/24と入力します。
  12. 「IPプロトコル」の「すべてのプロトコル」を保持します。
  13. 「作成」をクリックします。
セキュリティ・ルールがNSGに追加されます。
重要

このチュートリアルでは、自律型データベースは、プライベート・ネットワークを収集用に構成するためにデータ・カタログで使用されるものと同じサブネットに作成されます。このシナリオでは、プライベート・サブネットのCIDRを指定するイングレスおよびエグレス・ルールを作成しました。

Autonomous Databaseが、収集用にプライベート・ネットワークを構成するためにデータ・カタログで使用されるサブネットとは異なるプライベート・サブネットにある場合があります。その場合は、VCNのCIDRを指定するイングレスおよびエグレス・ルールを作成する必要があります。

5. プライベート・アクセスを使用した自律型データベースの作成

プライベート・アクセス権を持つAutonomous Databaseを作成するには、次のステップを実行します。

たとえば、データ・ウェアハウス・ワークロード・タイプを使用してAutonomous Databaseを作成するには:

  1. ナビゲーション・メニューを開き、「Oracle Database」をクリックします。「Autonomous Database」で、「Autonomous Data Warehouse」をクリックします。
  2. 「Autonomous Databaseの作成」をクリックします。
  3. 選択したコンパートメントで作業する権限があることを確認し、自律型データベースの表示名とデータベース名を入力します。
  4. ワークロード・タイプとして「データ・ウェアハウス」を保持します。
  5. サーバーレスをデプロイメント・タイプとして保持します。
  6. データベース・バージョンは19c、OCPU数は1、ストレージは1TBでデータベースを構成し、自動スケーリングを有効にします。
  7. ADMINユーザーのパスワードを入力します。このパスワードは、このチュートリアルの後半でこのデータベースに接続するときに必要になります。
  8. 「ネットワーク・アクセスの選択」セクションで、「プライベート・エンドポイント・アクセスのみ」を選択します。
  9. 前のステップで作成したVCN、サブネットおよびNSGを選択します。
  10. ホスト名接頭辞を入力します。このテキストは、データベースのプライベートURLに表示されます。
  11. ライセンス・タイプのBYOLオプションを保持します。
  12. 「Autonomous Databaseの作成」をクリックします。
6 セキュリティ・ルールの作成

VCNを作成すると、VCNのセキュリティ・リストがデフォルトで作成されます。このデフォルト・セキュリティ・リストにさらにセキュリティ・ルールを追加したり、VCNとの間のトラフィックを許可するセキュリティ・リストを作成できます。このチュートリアルでは、デフォルトのセキュリティ・リストにセキュリティ・ルールを追加します。

必要なセキュリティ・ルールでセキュリティ・リストを作成するには、次のステップを実行します:

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. VCNの詳細を表示するには、前に作成したVCNをクリックします。
  3. 前に作成したVCNの「Virtual Cloud Networksの詳細」ページから「セキュリティ・リスト」をクリックします。
  4. 「<your vcn>のデフォルト・セキュリティ・リスト」をクリックします。
  5. 「エグレス・ルール」をクリックします。
  6. 「エグレス・ルールの追加」をクリックします
  7. プライベート・サブネットのCIDRを入力します。このチュートリアルでは、10.0.0.0/24と入力します。
  8. 「IPプロトコル」に「すべてのプロトコル」を選択します。
  9. 「エグレス・ルールの追加」をクリックします
  10. 「イングレス・ルール」をクリックします。
  11. 「イングレス・ルールの追加」をクリックします
  12. プライベート・サブネットのCIDRを入力します。このチュートリアルでは、10.0.0.0/24と入力します。
  13. 「IPプロトコル」に「TCP」を選択します。
  14. 「宛先ポート範囲」に1521–1522と入力します。
  15. 「イングレス・ルールの追加」をクリックします
セキュリティ・ルールがデフォルトのセキュリティ・リストに追加されます。
重要

このチュートリアルでは、自律型データベースは、収集用にプライベート・ネットワークを構成するためにデータ・カタログで使用されるものと同じサブネットに作成されます。このシナリオでは、プライベート・サブネットのCIDRを指定するイングレスおよびエグレス・ルールを作成しました。

自律型データベースが、収集用にプライベート・ネットワークを構成するためにデータ・カタログで使用されるサブネットとは異なるプライベート・サブネットにある場合があります。その場合は、VCNのCIDRを指定するイングレスおよびエグレス・ルールを作成する必要があります。

1. アクセス・ポリシーの作成

データ・ソースのプライベート・ネットワークにアクセスするようにデータ・カタログを構成するには、ネットワーキングおよびデータ・カタログ・リソースにアクセスする必要があります。

必要なコンパートメントですべてのデータ・カタログおよびネットワーキング操作を実行するためのアクセス権がすでにある場合は、このステップをスキップできます。

データ・カタログでプライベート・ネットワークを構成するために必要なポリシーを作成するには、次のステップを実行します:

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします。
  2. 「ポリシー」ページで、「ポリシーの作成」をクリックします。
  3. 「ポリシーの作成」パネルで、次の詳細を入力します:
    • 名前: ポリシーの一意の名前を入力します。この名前は、テナンシ内のすべてのポリシー間で一意である必要があります。名前は後で変更できません。たとえば、 data-catalog-private-endpoint-policyです。
    • 説明: プライベート・エンドポイントを作成するための権限の付与などの説明を入力します。
    • コンパートメント: ポリシーを作成するコンパートメントを選択します。
    • ポリシー・ビルダー: このセクションでは、スライダを「手動エディタの表示」に移動して、ポリシー・ルールを入力します。たとえば、data-catalog-usersグループには、次のポリシー・ルールを入力します:
      allow group data-catalog-users to manage data-catalog-private-endpoints in tenancy
      ノート

      このポリシーにより、data-catalog-usersグループのユーザーは、テナンシの任意のコンパートメントですべてのデータ・カタログ・プライベート・エンドポイント操作を実行できます。
    • 「別のポリシーの作成」を選択し、次のポリシー・ルールを入力します: 
      allow group data-catalog-users to manage virtual-network-family in tenancy
      ノート

      このポリシーにより、data-catalog-usersグループのユーザーは、テナンシ内の任意のコンパートメントですべてのネットワーク関連操作を実行できます。
  4. 「作成」をクリックします。
データ・カタログでプライベート・ネットワークを構成するために必要なリソースにアクセスするポリシーが正常に作成されました。

2. データ・ソースの詳細の取得

収集する自律型データベースのプライベート・ネットワークおよびデータベース接続情報が必要です。

自律型データベースの次の詳細を取得します:

必要な情報 情報を取得する手順
プライベート・ネットワークを構成するには、VCNとサブネット名、およびデータベースのプライベートURLが必要です。
  1. コンソールのナビゲーション・メニューから、「Autonomous Data Warehouse」をクリックします。
  2. 収集するデータベースの詳細を表示します。
  3. 「ネットワーク」セクションから、VCN、サブネットおよびデータベースのプライベート・エンドポイントURLをメモします。

ノート:このネットワーク(同じVCNおよびサブネット)に収集対象のデータベースがさらにある場合は、それらのデータベースのプライベートURLもノートにとります。
データ・アセットを作成するには、データベース名が必要です。 自律型データベースの詳細ページで、「一般情報」セクションのデータベース名をメモします。
接続を追加するには、データベース・ウォレットとサインイン資格証明が必要です。
  1. 自律型データベースの詳細ページで、「DB接続」をクリックします。
  2. 「ウォレットのダウンロード」をクリックします。
  3. このウォレットのパスワードを入力します。このチュートリアルでは、このパスワードは使用しません。
  4. 「ダウンロード」をクリックします。
  5. ローカル・マシンにウォレット・ファイルを保存します。

また、自律型データベースの作成時に指定したデータベースの資格証明(ユーザー名とパスワード)も必要です。Autonomous Databaseを作成しなかった場合は、管理者から資格証明を取得します。収集中、表示できるのは、アクセス権があるデータベース・エンティティのみです。

3. プライベート・エンドポイントの作成

データ・カタログのプライベート・エンドポイントを作成して、収集する自律型データベース・データ・ソースのネットワーク・アクセス詳細を構成します。

データ・カタログにプライベート・エンドポイントを作成するには、次のステップを実行します:

  1. ナビゲーション・メニューを開き、「アナリティクスとAI」をクリックします。「データ・レイク」で、「データ・カタログ」をクリックします。
  2. 「プライベート・エンドポイント」をクリックします。「プライベート・エンドポイント」ページが表示されます。
  3. 「プライベート・エンドポイントの作成」をクリックします。「プライベート・エンドポイントの作成」パネルが表示されます。
  4. 選択したコンパートメントで作業する権限があることを確認し、プライベート・エンドポイントの名前を入力します。たとえば、XYZ Private Endpointです。
  5. 自律型データベースがホストされるVCNおよびサブネットを選択します。
  6. 自律型データベースのDNSゾーン(プライベート・エンドポイントURL)を入力します。カンマを使用して、複数のデータ・ソース・プライベートURLを入力します。
    ノート

    コンソールで自律型データベースのプライベート・エンドポイントURLを表示するには、ナビゲーション・メニューから「自律型データベース」をクリックし、自律型データベースの詳細を表示します。プライベートURLが「ネットワーク」の下に表示されます。
  7. 「作成」をクリックします。
プライベート・エンドポイントが作成されています。作成プロセスには数分かかることがあります。プライベート・エンドポイントが正常に作成されると、プライベート・エンドポイントのステータスはACTIVEになります。

プライベート・エンドポイントのステータスがFAILEDになる場合は、アクセス・ポリシーが作成され、プライベート・ネットワークが正しく設定されていることを確認します。

4. プライベート・エンドポイントのアタッチ

プライベート・エンドポイントをデータ・カタログにアタッチして、プライベート・ネットワークで使用可能なデータ・ソースに対してデータ・アセットを作成できるようにします。

プライベート・エンドポイントをデータ・カタログにアタッチするには、次のステップを実行します:

  1. 「データ・カタログ」をクリックします。
  2. プライベート・エンドポイントをアタッチするデータ・カタログの「Actions」メニューをクリックし、「Attach Private Endpoint」を選択します。
  3. 前のステップで作成したプライベート・エンドポイントを選択し、「アタッチ」をクリックします。
データ・カタログのステータスがUpdating,に変わり、プライベート・エンドポイントがアタッチされています。プライベート・エンドポイントが正常にアタッチされると、データ・カタログのステータスはActiveに変更されます。

5Autonomous Databaseデータ・アセットの作成

これで、プライベートIP自律型データベースをデータ・アセットとしてデータ・カタログに登録する準備ができました。このチュートリアルでは、Autonomous Data Warehouseデータ・アセットを作成します。

自律型データベース・データ・アセットを作成するには、次のステップを実行します:

  1. 前のステップでプライベート・エンドポイントをアタッチしたデータ・カタログ・インスタンスをクリックします。
  2. データ・カタログの「ホーム」タブで、「クイック・アクション」タイルから「データ・アセットの作成」をクリックします。
  3. 「データ・アセットの作成」パネルで、データ・アセットを一意に識別する名前を入力します。必要に応じて説明も入力します。
  4. 「タイプ」リストから、「Autonomous Data Warehouse」を選択します。
  5. 「データベース名」フィールドに、自律型データベースの作成時に指定したデータベース名を入力します。
    ノート

    コンソールで自律型データベース名を表示するには、ナビゲーション・メニューから「自律型データベース」をクリックし、自律型データベースの詳細を表示します。データベース名は「一般情報」の下に表示されます。
  6. 「プライベート・エンドポイントの使用」チェック・ボックスを選択します。
  7. 「作成」をクリックします。
自律型データベース・データ・アセットが正常に作成されました。

6. 接続の追加

データ・ソースをデータ・アセットとしてデータ・カタログに登録した後、データ・アセットへの接続を作成してそれを収集します。データ・ソースに対して複数の接続を作成できます。データ・アセットを収集するには、少なくとも1つの接続が必要です。

自律型データベースのデータ・ソース・タイプでは、Oracle Cloud Infrastructure Vaultのシークレットを使用して、接続によってソースに接続するために必要なパスワードを格納できます。OCI Vaultを使用する場合、接続詳細を指定するときにシークレットのOCIDを指定するため、データ・アセットの作成時に実際のパスワードを入力する必要はありません。データ・アセットの作成時にウォレットをアップロードするかわりに、Oracleウォレットとパスワードのシークレットを使用することもできます。

ボールトとは、キーおよびシークレットのためのコンテナです。シークレットには、データ・ソースへの接続に必要なパスワードなどの資格証明が格納されます。ボールトの暗号化キーを使用して、シークレット・コンテンツを暗号化し、ボールトにインポートします。シークレット・コンテンツはbased64でエンコードされます。データ・カタログは、データ・アセットをデータ・ソースに接続する際に、同じキーを使用してシークレットを取得および復号化します。ボールト、キーおよびシークレットの詳細は、ボールトの概要に関する項を参照してください。シークレットOCIDのコピーの詳細は、シークレット詳細の表示に関する項を参照してください。

Oracle WalletをOCI Vaultのシークレットとともに使用するには、次のようにする必要があります:
  • ウォレットをダウンロードするときに、ウォレット・パスワードを指定します。
  • ダウンロードしたウォレットzipから.p12ファイルを削除します。
  • 任意のbase64エンコーダを使用して、変更したウォレットzipをbase64にエンコードします。
  • base64でエンコードしたデータをボールトのシークレットにコピーします。
  • データベース・パスワードにシークレットを作成します。

自律型データベース・データ・アセットの接続を追加するには、次のステップに従います:

  1. 「ホーム」タブで、「データ・アセット」をクリックします。
  2. 「データ・アセット」リストで、作成した自律型データベース・データ・アセットを選択します。
  3. データ・アセットの詳細ページの「サマリー」で、「接続」セクションの「接続の追加」をクリックします。
  4. 「接続の追加」パネルで、次の表の説明に従って詳細を入力します:
    フィールド 説明
    名前 接続の一意の名前を入力します。
    説明 接続の簡単な説明を入力します。
    タイプ 「汎用」を選択します。
    ウォレットの使用 Autonomous Databaseからダウンロードしたクライアント資格証明を使用してファイルをアップロードするには、このオプションを選択します。このオプションを選択すると、次のフィールドが表示されます:
    • ウォレット - 自律型データベースからダウンロードしたクライアント資格証明を使用してファイルをアップロードします。詳細は、クライアント資格証明のダウンロードに関する項を参照してください。
    • TNS別名 - 「TNS別名」ドロップダウン・リストから、「TNS別名」を選択します。パフォーマンスを向上させるためには、<name>_lowオプションを選択します。
    • ユーザー名 - 自律型データベースの作成時に設定された管理ユーザー名を入力します。
    • パスワード - 自律型データベースの管理ユーザー名のパスワードを入力します。
    ボールト・シークレットOCIDの使用 クライアント資格証明ファイルおよびファイル・パスワード用にOCI Vaultで作成されたシークレットのOCIDを入力するには、このオプションを選択します。このオプションを選択すると、次のフィールドが表示されます:
    • ウォレットのボールト・シークレットOCID - ウォレット用にOCI Vaultで作成されたシークレットのOCIDを入力します。シークレットOCIDのコピーの詳細は、シークレット詳細の表示に関する項を参照してください。
    • ユーザー名 - 自律型データベースの作成時に設定された管理ユーザー名を入力します。
    • パスワードのボールト・シークレットOCID - 自律型データベースの管理ユーザー名のパスワード用にOCI Vaultで作成されたシークレットのOCIDを入力します。
    これをデータ・アセットのデフォルト接続にします。 この接続をデータ・アセットのデフォルト接続にするには、このチェック・ボックスを選択します。
    テスト接続 ボタンをクリックして、接続をテストします。
  5. 「追加」をクリックします。

7. データ・アセットの収集

自律型データベース・データ・アセットを収集する準備ができました。自律型データベースには、技術メタデータを収集するデータが必要です。このチュートリアルの設定手順を使用した場合は、Autonomous Databaseで使用可能なデフォルト・データからメタデータを収集できます。

自律型データベース・データ・アセットを収集するには、次のステップを実行します:

  1. データ・アセットのデータ・アセット詳細ページで「収集」をクリックします。
  2. 「接続の選択」ページが表示され、デフォルトの接続が選択されています。「次」をクリックします。
  3. 「データ・エンティティの選択」ページが表示されます。「使用可能なADWスキーマ」セクションから、収集するすべてのデータ・エンティティを表示して追加します。
    1. 収集ジョブに含める各データ・エンティティの追加アイコンをクリックします。
    2. 「すべて追加」をクリックして、収集するすべてのエンティティを選択します。
    3. 「ADWスキーマのフィルタ」ボックスを使用して、使用可能なデータ・エンティティからデータ・エンティティを検索します。
    4. ページ・ナビゲーション・アイコンを使用して、すべてのデータ・エンティティを参照します。
    5. 収集ジョブから削除する、選択済データ・エンティティの削除アイコンをクリックします。
    6. 最初からやりなおす必要がある場合は、「すべて削除」をクリックし、やりなおします。
    「選択したADWスキーマ/データ・エンティティ」セクションで、収集するデータ・エンティティを確認したら、「次」をクリックします。
  4. 「ジョブの作成」ページが表示されます。「ジョブ名」フィールドで、収集ジョブを識別する一意の名前を入力します。
  5. オプションで、「説明」を入力します。
  6. 「今すぐジョブを実行」を選択し、「ジョブの作成」をクリックします。
  7. 自律型データベース・データ・アセットを収集するジョブが正常に作成され、「ジョブ」タブが表示されます。ジョブの詳細を表示するには、ジョブ名をクリックします。
データ・アセットが正常に収集され、収集ジョブの詳細を確認できます。