異なるアプリケーションおよび管理機能に対して安全で信頼性の高いネットワーク接続を提供するために、Exadata Database Service on Cloud@Customerでは異なるネットワークを使用します。

次のリストに、Exadata Database Service on Cloud@Customerシステムをインストールするための最小ネットワーク要件の概要を示します:

• Exadata Cloud@Customer Serviceネットワーク: これらのネットワークはOracle仕様に従って設定されるため、Oracleの承諾なしに顧客が変更することはできません。
  • コントロール・プレーン・ネットワーク

    この仮想プライベート・ネットワーク(VPN)は、Exadata Database Service on Cloud@Customerラックにある2つのコントロール・プレーン・サーバーをOracle Cloud Infrastructureに接続します。VPNにより、Oracle Cloud InfrastructureコンソールおよびAPIを使用して、顧客はセキュアな操作を容易に開始できます。また、Exadata Database Service on Cloud@CustomerでのOracle管理インフラストラクチャ・コンポーネントのセキュアなモニタリングおよび管理も容易になります。

    • コントロール・プレーン接続の考慮事項

      コントロール・プレーンが機能するには、コントロール・プレーン・サーバーが特定のOracle Cloud Infrastructure (OCI)アドレスに接続できる必要があります。次のように、特定のOCIリージョンのエンドポイントに対するTCPポート443のアウトバウンド・アクセスを有効にする必要があります:

      表3-2 コントロール・プレーン接続用にオープンするポート

      説明/目的	オープン・ポート	場所
      クラウド自動化配信用の送信トンネル・サービス	443アウトバウンド	次のURL形式を使用して、 oci_regionを実際のリージョンに置き換えます: https://wss.exacc.oci_region.oci.oraclecloud.com
      リモートOracleオペレータ・アクセス用のセキュア・トンネル・サービス	443アウトバウンド	次のURL形式を使用して、oci_regionを実際のリージョンに置き換えます: https://mgmthe1.exacc.oci_region.oci.oraclecloud.com https://mgmthe2.exacc.oci_region.oci.oraclecloud.com
      システム更新、インフラストラクチャ監視およびログ収集を取得するオブジェクト・ストレージ・サービス	443アウトバウンド	次のURL形式を使用して、 oci_regionを実際のリージョンに置き換えます: https://objectstorage.oci_region.oraclecloud.com https://swiftobjectstorage.oci_region.oraclecloud.com https://*.objectstorage.oci_region.oci.customer-oci.com
      インフラストラクチャ・モニタリング・メトリック(IMM)の記録および処理用のモニタリング・サービス	443アウトバウンド	次のURL形式を使用して、 oci_regionを実際のリージョンに置き換えます: https://telemetry-ingestion.oci_region.oraclecloud.com
      認可および認証用のアイデンティティ・サービス	443アウトバウンド	次のURL形式を使用して、 oci_regionを実際のリージョンに置き換えます: https://identity.oci_region.oraclecloud.com https://auth.oci_region.oraclecloud.com
      クラウド自動化配信用の送信トンネル・サービス	443アウトバウンド	次のURL形式を使用して、 oci_regionを実際のリージョンに置き換えます: https://wsshe.adbd-exacc.oci_region.oci.oraclecloud.com
      ロギング・サービス	443アウトバウンド	次のURL形式を使用して、oci_regionを実際のリージョンに置き換えます: https://frontend.logging.ad1.oci_region.oracleiaas.com https://frontend.logging.ad2.oci_region.oracleiaas.com https://frontend.logging.ad3.oci_region.oracleiaas.com https://controlplane.logging.ad1.oci_region.oracleiaas.com https://controlplane.logging.ad2.oci_region.oracleiaas.com https://controlplane.logging.ad3.oci_region.oracleiaas.com
      リソース・プリンシパル・ベースの認証とAutonomous Databaseサービスの提供	443アウトバウンド	次のURL形式を使用して、 oci_regionを実際のリージョンに置き換えます: https://database.oci_region.oraclecloud.com
      VMコンソール	443アウトバウンド	次のURL形式を使用して、 oci_regionを実際のリージョンに置き換えます: https://console1.exacc.oci_region.oci.oraclecloud.com https://console2.exacc.oci_region.oci.oraclecloud.com
      ADB-Dリソースに対するリモートOracleオペレータ・アクセス用の一時セキュア・トンネル・サービス	443アウトバウンド	次のURL形式を使用して、regionを実際のリージョンに置き換えます: https://mgmthe.adbd-exacc.region.oci.oraclecloud.com
      Monitoring ServiceによるInfrastructure Monitoringメトリック(IMM)リソースの記録と処理	443アウトバウンド	次のURL形式を使用して、regionを実際のリージョンに置き換えます: https://ingestion.logging.region.oci.oraclecloud.com
      測定と監視	443アウトバウンド	次のURL形式を使用して、oci_regionを実際のリージョンに置き換えます: https://*.oci_region.functions.oci.oraclecloud.com https://*.functions.oci_region.oci.oraclecloud.com

      ノート
      
      ExaDB-C@Cインフラストラクチャは、完全なサービス機能には、表3-2コントロール・プレーン接続用に開くポートの指定されたサービス・エンドポイントにアクセスする必要があります。すべての必須URIを許可しないと、サービスの削減または機能が設計どおりに機能しない可能性があります。

      コントロール・プレーン・サーバーは、TCPポート443のアウトバウンド・アクセスのみを確立できる必要があります。ポート443のアウトバウンド接続は許可する必要がありますが、TCPポート443のインバウンド・アクセスは必要ありません。セキュリティの観点からは、インバウンド接続をブロックすることをお薦めします。(機能的には、セキュアなアウトバウンド接続が確立されれば、接続を介して双方向トラフィックを引き続き使用できます。)

      コントロール・プレーン・サーバーでは、顧客のDNSおよびNTPサービスが機能している必要があります。コントロール・プレーン・サーバーによるOCIへのインターネット接続の最小帯域幅要件は、50/10 mbs (ダウンロード/アップロード)です。

      一部の顧客には、ITインフラストラクチャへのすべてのインターネット接続にプロキシを使用する必要があるセキュリティ・ポリシーがあります。顧客HTTPプロキシ(パッシブ/企業プロキシなど)は、OCIへのコントロール・プレーン・サーバー接続でサポートされます。顧客HTTPS、チャレンジ・プロキシおよびトラフィック検査は、サポートされません。

      IPアドレス・フィルタリング・ベースのファイアウォール・ルールを使用している場合、クラウド・インタフェースの動的性質のために、https://docs.oracle.com/en-us/iaas/tools/public_ip_ranges.jsonで識別されるOCIリージョンに関連付けられたすべての関連するIP CIDR範囲とのトラフィックを許可する必要があります。
  • 管理ネットワーク

    このネットワークは、Exadata Database Service on Cloud@Customerサーバーおよびスイッチを、Exadata Database Service on Cloud@Customerラックにある2つのコントロール・プレーン・サーバーに接続します。これにより、Oracle Cloud InfrastructureコンソールおよびAPIを使用して、顧客は操作を容易に開始できます。また、Exadata Database Service on Cloud@CustomerでのOracle管理インフラストラクチャ・コンポーネントのモニタリングおよび管理も容易になります。

    このネットワークは、Exadata Database Service on Cloud@Customerラック内にすべて格納されており、企業ネットワークには接続しません。ただし、Exadataインフラストラクチャは、コントロール・プレーン・サーバーを介して企業ネットワークに間接的に接続されています。この接続は、Exadataインフラストラクチャにドメイン・ネーム・システム(DNS)およびネットワーク・タイム・プロトコル(NTP)サービスを提供するために必要です。したがって、管理ネットワークに割り当てられるIPアドレスは、企業ネットワーク内の他の場所に存在していない必要があります。

    各Oracle DatabaseサーバーおよびExadata Storage Serverには、管理ネットワークに接続されたネットワーク・インタフェースが2つあります。1つは、埋込みイーサネット・ポート(NET0)のいずれかを使用してサーバーへの管理アクセスを提供します。もう1つは、専用ILOMイーサネット・ポートを使用して統合電源管理(ILOM)サブシステムへのアクセスを提供します。Exadata Database on Cloud@Customerには、ラック内のEthernetスイッチに接続されたILOMおよびNET0ポートが付属しています。これらのインタフェースの配線や構成を変更することは許可されていません。

  • InfiniBandまたはRDMA Over Converged Ethernet (ROCE)ネットワーク

    このネットワークは、ラックのInfiniBandまたはROCEスイッチを使用して、データベース・サーバー、Exadata Storage Serverおよびコントロール・プレーン・サーバーを接続します。各サーバーには、ラック内の別々のInfiniBandまたはROCEスイッチに接続されている2つのInfiniBandネットワーク・インタフェース(IB0およびIB1)またはROCEインタフェース(re0およびre1)が含まれます。Oracle Databaseでは、主としてOracle RACクラスタ・インターコネクト・トラフィックおよびExadata Storage Server上のデータへのアクセスにこのネットワークを使用します。

    このルーティング不可ネットワークは、Exadata Cloud@Customerラック内にすべて格納されており、企業ネットワークには接続しません。ただし、コントロール・プレーン・サーバーはInfiniBandまたはROCEネットワークおよび企業ネットワークに接続されるため、InfiniBandまたはROCEネットワークに割り当てられるIPアドレスは、企業ネットワーク内の他の場所に存在していない必要があります。

• 顧客ネットワーク: Exadata Cloud@Customerデータ・プレーンが関連するシステムにアクセスするために必要な、顧客が所有および管理するネットワーク。
  • クライアント・ネットワーク

    このネットワークは、Exadata Cloud@Customerデータベース・サーバーを既存のクライアント・ネットワークに接続するもので、仮想マシンへのクライアント・アクセスに使用されます。アプリケーションは、単一クライアント・アクセス名(SCAN)およびOracle Real Application Clusters (Oracle RAC)仮想IP (VIP)インタフェースを使用して、このネットワークからExadata Database Service on Cloud@Customer上のデータベースにアクセスします。

    クライアント・アクセス・ネットワークは、顧客ネットワークに接続されている各データベース・サーバー上のネットワーク・インタフェースのペアを使用します。

    ノート
    
    Data Guardを有効にすると、データのレプリケーションはデフォルトでクライアント・ネットワークを介して行われます。
  • バックアップ・ネットワーク

    このネットワークは、Exadata Database Service on Cloud@Customer Oracle Databaseサーバーを既存のネットワークに接続するため、クライアント・アクセス・ネットワークに似ています。様々な目的(バックアップや一括データ転送など)で仮想マシンにアクセスするために使用できます。

    クライアント・ネットワークと同様に、バックアップ・ネットワークは、顧客ネットワークに接続されている各データベース・サーバー上のネットワーク・インタフェースのペアを使用します。バックアップ・ネットワークを顧客ネットワークに物理的に接続する必要があります。

    顧客のオンプレミス・ストレージ(NFSまたはZDLRA)をデータベースのバックアップ保存先として排他的に使用する場合、バックアップ・ネットワークにOCIに対する外部接続は必要ありません。

    Exadata Cloud@Customerは、Oracle管理クラウド・オブジェクト・ストレージのバックアップ保存先も提供します。Oracleのオブジェクト・ストレージ・サービスをデータベース・バックアップのバックアップ保存先として利用する場合は、バックアップ・ネットワークが外部接続を介してオブジェクト・ストレージ・サービスにアクセスできることを確認します。次のように、バックアップ・ネットワークのTCPポート443のアウトバウンド・アクセスを有効にする必要があります:

    表3-3 バックアップ・ネットワーク用にオープンするポート

    説明/目的	オープン・ポート	場所
    クラウドベースのデータベース・バックアップ用のオブジェクト・ストレージ・サービス(オプション)	443アウトバウンド	次のURL形式を使用して、 oci_regionを実際のリージョンに置き換えます: https://objectstorage.oci_region.oraclecloud.com https://swiftobjectstorage.oci_region.oraclecloud.com

  • ディザスタ・リカバリ・ネットワーク(認可されたお客様のみ)
    ノート
    
    この追加ネットワークは、特別な状況下にある特定の認可された顧客のみが使用できます。システムに装備されていない可能性があります。

    ディザスタ・リカバリ・ネットワークは、クライアント・アクセス・ネットワークと同様に構成されますが、Data Guardトラフィックの送信専用です。システムにこのネットワークが含まれている場合、Data Guardトラフィックは、単一クライアント・アクセス名(SCAN)およびOracle Real Application Clusters (Oracle RAC)仮想IP (VIP)インタフェースを使用して、クライアント・ネットワークではなくクライアント・ネットワークを介してルーティングされます。

    クライアント・ネットワークを開く必要があるのは、Data Guardの事前チェックのみです。事前チェック・ステージが完了すると、Data Guardプロビジョニングによって、データベースが自動的にディザスタ・リカバリ・ネットワークに登録され、データファイルのリストアとREDO転送の両方に使用されます。クライアント・ネットワークを開くことがオプションではない場合、Data Guardのプロビジョニングを開始する前に、プライマリ・データベースを障害時リカバリ・ネットワーク・リスナーに手動で登録する必要があります。

    ディザスタ・リカバリ・ネットワークは、顧客ネットワークに直接接続されている各データベース・サーバー上のネットワーク・インタフェースのペアで構成されます。

Oracle Exadata Database Service on Cloud@Customerをデプロイする前に、データ・センター・ネットワークが要件を満たしていることを確認します。

一定の範囲のIPアドレスを管理ネットワークに割り当て、別の範囲のIPアドレスをRoCEプライベート・ネットワークに割り当てる必要があります。

/23

/16

/22

/19

/28

/27

/27

/26

/29

/28

/28

/27

/28

/27

/27

/26

Oracle Exadata Database Service on Cloud@Customerシステムがコントロール・プレーン・サーバーおよびデータベース・サーバーのアップリンク要件を満たしていることを確認します。

付属のネットワーク機器を使用することも、独自のSFPネットワークを構築することもできます。

デフォルトのTLSトンネル・アプローチに加えて、CPSとOCIの間の接続に対して追加の分離が必要な場合は、OCIのFastConnectサービスを利用した次に示すソリューションを検討してください。

詳細は、Oracle Cloud Infrastructure FastConnectを参照してください。

Oracle Exadata Database Service on Cloud@Customerサービスは、FastConnectのパブリックまたはプライベート・ピアリング接続モデルをサポートします。

図3-1 パブリック・ピアリングを介したOCIへのOracle Exadata Database Service on Cloud@Customer FastConnect接続

図に示されているとおり、Oracle Exadata Database Service on Cloud@Customerコントロール・プレーン・ネットワークは、FastConnectプロバイダおよびOracleエッジに出力されます。既存のFastConnect接続をすでに使用している顧客は、パブリック・ピアリングを使用してOracle Exadata Database Service on Cloud@CustomerをOCIリージョンに接続できます。

図3-2 プライベート・ピアリングを介したOCIへのOracle Exadata Database Service on Cloud@Customer FastConnect接続