データ・センター・ネットワーク環境の準備

Oracle Private Cloud Applianceのネットワーク・アーキテクチャは、物理高速イーサネット接続に依存しています。アプライアンスを組み込むための要件を満たすように、データセンターのネットワーク構成を準備します。

Private Cloud Applianceのネットワーク・インフラストラクチャはシステムに不可欠であるため、変更しないでください。ネットワークは、Cisco ACI、Network Directorなどのデータセンター管理フレームワークやプロビジョニングフレームワークには統合されません。

ただし、Private Cloud Applianceは、Cisco ACIが提供するL3Out機能(静的ルートまたはeBGP)を使用して、データ・センター内のCisco ACIファブリックと通信できます。このCisco機能の詳細は、Cisco ACI Fabric L3Outガイドを参照してください。

注意

Oracle Supportから指示された場合、またはMy Oracle Support Webサイトのナレッジ記事を通じて指示された場合を除き、Private Cloud Applianceのネットワーキング・スイッチに対する変更はサポートされていません。

アプライアンス・ネットワーキングに関する重要な概念情報は、プライベート・クラウド・アプライアンス・ネットワーク・インフラストラクチャを参照してください。様々なネットワークとその役割、データ・センター・ネットワークに接続するアップリンク、およびアプライアンス操作用に予約されているネットワーク・リソースについて説明します。

アプライアンスアップリンクの要件

Private Cloud Applianceのインストールを準備するときは、アップリンク構成を選択し、この構成を受け入れるようにデータ・センター・ネットワークを設定します。

各スパイン・スイッチで、ポート1から4をデータ・センター・ネットワークへのアップリンクに使用できます。10Gbpsまたは25Gbpsの速度の場合、スパイン・スイッチ・ポートは4方向スプリッタまたはブレークアウト・ケーブルを使用して分割する必要があります。40Gbpsまたは100Gbpsの高速化のために、各スイッチ・ポートは単一の直接ケーブル接続を使用します。

アップリンクは、システムの初期化中に、Initial System Installation Checklistの一部として指定した情報に基づいて構成されます。未使用のスパイン・スイッチ・アップリンク・ポート(未使用のブレークアウト・ポートを含む)は、セキュリティ上の理由から無効になっています。

両方のスパイン・スイッチが次のレベルのデータ・センター・スイッチに同じ接続を持つことが重要です。この構成では、スパイン・スイッチ、ポートおよびデータ・センター・スイッチのレベルでの冗長性と負荷分散が提供されます。このアウトバウンド配線は、配備するネットワークトポロジによって異なります。ケーブル配線パターンは、フェイルオーバーシナリオにおけるサービスの継続において重要な役割を果たします。

適切な構成の選択、および使用可能なトポロジ(メッシュ、正方形、三角形)の詳細は、「アップリンク」を参照してください。構成のガイダンスおよびリファレンスの例も提供されています。

インストールする前に、既存のネットワーク・インフラストラクチャからPrivate Cloud Applianceインストール・サイトにネットワーク・ケーブルを実行する必要があります。手順については、データ・センター・ネットワークへのPrivate Cloud Applianceの接続を参照してください。
各スパイン・スイッチの少なくとも1つの高速イーサネット・ポートをデータ・センターのパブリック・イーサネット・ネットワークに接続するように計画してください。
オプションの管理ネットワークを構成するには、2つの追加ケーブル接続(2つのスパインスイッチのポート5からそれぞれ1つずつ)から次のレベルのデータセンタースイッチのペアへのケーブル接続が必要です。
アップリンク接続は、OSIモデルのレイヤー3に基づいています。
アプライアンスソフトウェアバージョン 3.0.2-b892153以前からアップグレードし、vPC/HSRPを実行するときに、新しい機能をサポートするようにネットワーク構成を変更する場合は、Oracleに連絡してください。

Private Cloud Applianceのデータ・センターDNS構成

専用プライベート・クラウド・アプライアンスDNSゾーンのデータをデータ・センターDNS構成に統合するには、ゾーンの委任または手動構成の2つのオプションがサポートされています。

推奨される方法は、ゾーン委任を構成することです。ただし、手動構成を選択した場合は、初期構成の前に、データ・センター・ドメイン・ネーム・システム(DNS)に管理ネットワーク、クライアント・ネットワークおよび追加のパブリック・ネットワーク用のネットワーク・ホスト名およびIPアドレスを登録することをお薦めします。特に、すべてのパブリック・アドレス、VIPアドレスおよびインフラストラクチャ・サービス・エンドポイントは、インストール前にDNSに登録する必要があります。

DNSに登録されているすべてのアドレスは、フォワード解決のために構成する必要があります。リバース解決は、Private Cloud Applianceサービス・ゾーンではサポートされていません。

ゾーン委任(推奨)

ゾーン委任が機能するには、データセンターの再帰的キャッシュが、アプライアンス管理ノードによって共有される仮想IPアドレスのTCP/UDPポート53に到達できる必要があります。ファイアウォール構成の変更が必要な場合があります。

データ・センターDNSサーバーをアプライアンスDNSゾーンの親ゾーンとして動作するように構成します。したがって、子ゾーンのすべての DNSリクエストは、アプライアンスの内部 DNSサーバーに委任されます。データ・センターのDNS構成で、子ゾーンのネーム・サーバー・レコードと、そのゾーンの認可サーバーのアドレス・レコードを追加します。

この例では、データ・センターのDNSドメインがexample.comで、アプライアンスの名前がmypcaで、管理ノード・クラスタの仮想IPアドレスが192.0.2.102であると想定しています。アプライアンス内部DNSサーバー・ホスト名はns1です。

$ORIGIN example.com.
[...]
mypca       IN    NS    ns1.mypca.example.com.
ns1.mypca   IN    A     192.0.2.102

注意

サービス・エンドポイントのDNSルックアップは、コントローラ・ソフトウェア・バージョン3.0.2-b1483396で変更されました。サービスごとの個々の住所レコードは、共通のサービス・レコードまたは管理サービス・レコードを参照するCNAMEレコードに統合されています。アプライアンス・サブドメインのゾーン委任では、定義されたRTYPEの参照によって、CNAMEレコードおよびRTYPEが返されます。以前にアンサーを返さなかった未定義のRTYPEの参照で、CNAMEレコードのみが返されるようになりました。

手動構成

アプライアンスに必要なすべてのラベルまたはホスト名の DNSレコードを手動で追加します。

この例では、データ・センターのDNSドメインがexample.comで、アプライアンスの名前がmypcaで、管理ノード・クラスタの仮想IPアドレスがデータ・ネットワークでは192.0.2.102、管理ネットワークでは203.0.113.12であると想定しています(オプション)。

ノート

オブジェクト・ストレージの場合、DNSラベルをオブジェクト・ストレージのパブリックIPに指定する必要があります。これは、初期設定時にデータ・センターのパブリックIP範囲を設定する際に、この目的のために特に割り当てるパブリックIPアドレスです。


アプライアンス・インフラストラクチャ・サービスおよびDNSラベル	データ・センターDNSレコード	管理ネットワークが有効なデータ・センターDNSレコード
管理者サービス `admin.mypca.example.com`	`admin A 192.0.2.102`	`admin A 203.0.113.12`
ネットワーキング、コンピュート、ブロック・ストレージ、作業リクエスト・サービス `iaas.mypca.example.com`	`iaas A 192.0.2.102`	`iaas A 192.0.2.102`
アイデンティティおよびアクセス管理サービス `identity.mypca.example.com`	`identity A 192.0.2.102`	`identity A 192.0.2.102`
DNSサービス `dns.mypca.example.com`	`dns A 192.0.2.102`	`dns A 192.0.2.102`
オブジェクト・ストレージ `objectstorage.mypca.example.com` アプライアンス初期設定のオブジェクト・ストレージ・パブリックIPを使用します。	`objectstorage A 198.51.100.33`	`objectstorage A 198.51.100.33`
ファイル・ストレージ `filestorage.mypca.example.com`	`filestorage A 192.0.2.102`	`filestorage A 192.0.2.102`
アラート・マネージャ `alertmanager.mypca.example.com`	`alertmanager A 192.0.2.102`	`alertmanager A 203.0.113.12`
API `api.mypca.example.com`	`api A 192.0.2.102`	`api A 203.0.113.12`
OKEサービス `containerengine.mypca.example.com`	`containerengine A 192.0.2.102`	`containerengine A 192.0.2.102`
リソース・プリンシパル・サービス `rps.mypca.example.com`	`rps A 192.0.2.102`	`rps A 203.0.113.12`
Grafana `grafana.mypca.example.com`	`grafana A 192.0.2.102`	`grafana A 203.0.113.12`
Prometheus `prometheus.mypca.example.com`	`prometheus A 192.0.2.102`	`prometheus A 203.0.113.12`
プロメテウスgw `prometheus-gw.mypca.example.com`	`prometheus-gw A 192.0.2.102`	`prometheus-gw A 203.0.113.12`
サービスWeb UI `adminconsole.mypca.example.com`	`adminconsole A 192.0.2.102`	`adminconsole A 203.0.113.12`
コンピュートWeb UI `console.mypca.example.com`	`console A 192.0.2.102`	`console A 192.0.2.102`

データ・センター・ネットワーク構成のガイドライン

Private Cloud Applianceをデータ・センター・ネットワークにスムーズに統合するには、次の重要なガイドラインに従ってください。

データ・センター・スイッチ・ノート

すべてのアップリンク(デフォルトおよび顧客)は、リンクアグリゲーション(LACP)を使用するように構成されます。アップリンク構成に含まれるすべてのスイッチポートは、同じリンクアグリゲーショングループ(LAG)に属している必要があります。アップリンクのデータセンター側にあるスイッチポートを適切に構成する必要があります。
スパインスイッチは、静的ルーティング構成で有効な仮想ポートチャネル(vPC)機能で動作します。
Private Cloud Applianceは、顧客データセンターへのレイヤー3ベースのアップリンク接続をサポートしています。静的ルーティングおよびBGP4ベースの動的ルーティングは、レイヤー3でサポートされています。
アップリンクポートでは自動ネゴシエーションを使用できません。転送速度は、お客様のスイッチの端で指定する必要があります。

詳細は、UplinksおよびUplink Protocolsを参照してください。

管理ネットワークのガイドライン

管理アプライアンス・アクセスをデータ・トラフィックから分離することを選択した場合は、すべてのトラフィックを管理ネットワークとデータ・ネットワークの両方で適切な宛先にルーティングできるように、データ・センター・ネットワークが適切に構成されていることを確認してください。

サービス・エンドポイントへのアクセス

管理ネットワークが有効な場合、一部のアプライアンス・インフラストラクチャ・サービスには、通常の管理ノードVIPではなく管理管理VIPを介してアクセスされます。これらのサービス・エンドポイントは次のとおりです。

'管理者'
'管理コンソール'
'プロメテウス'
'プロメテウス'
'grafana'
'api'
'alertmanager'
'rps'

次のサービス・エンドポイントには、常にデータ・ネットワークの管理ノードVIPを介してアクセスされます。

'console'
'iaas'
'アイデンティティ'
'filestorage'
'オブジェクト・ストレージ'
'dns'
'コンテナエンジン'

このトラフィックを許可するようにデータ・センター・ファイアウォールが構成されていることを確認します。アプライアンスで必要なDNSレコードをデータ・センターDNS構成で管理する場合は、Data Center DNS Configuration for Private Cloud Appliance (Manual Configuration)に示すように、正しいネットワークおよびアドレスを指していることを確認してください。

OKEクラスタ管理

別個の管理ネットワークで構成されたシステムでKubernetes Engineを使用する場合、OKEコントロール・プレーンとCompute EnclaveユーザーがデプロイしたOKEクラスタ間のトラフィックを許可するように、データ・センター・ファイアウォールを構成する必要があります。

OKEコントロール・プレーンは管理ネットワークの管理ノードで実行され、OKEクラスタはデータ・ネットワークにデプロイされます。OKEクラスタの管理インタフェースは、そのロード・バランサのパブリックIPアドレスのポート6443です。このアドレスは、アプライアンスの初期設定時に予約および構成したデータセンターのIP範囲から割り当てられます。

ネットワーク分離のため、OKEコントロール・プレーンからのトラフィックは、管理ネットワークを介してアプライアンスを終了し、データ・ネットワークを介して再入力してOKEクラスタに到達する必要があります。データ・センターのネットワーク・インフラストラクチャでは、両方向のトラフィックが許可されている必要があります。必要なファイアウォールおよびルーティング・ルールがないと、ユーザーはOKEクラスタをデプロイできません。

デフォルトのシステムIPアドレス

管理IPアドレスは、内部管理ネットワークへのコンポーネントの接続を表します。

注意

ハードウェア管理の場合、Private Cloud Applianceはシステム内部のネットワークを使用します。管理ポートまたは内部管理ネットワーク・スイッチをデータ・センター・ネットワーク・インフラストラクチャに接続することはお薦めしません。

この項の表には、Private Cloud Applianceベース構成のサーバーおよびその他のハードウェア・コンポーネントに割り当てられたデフォルトの管理IPアドレスがリストされています。


ラックユニット	ラックコンポーネント	製造時に割り当てられた管理IPアドレス
32	スパインスイッチ	`100.96.2.21`
31	スパインスイッチ	`100.96.2.20`
26	管理スイッチ	`100.96.2.1` `100.96.0.1`
25	リーフ/データ・スイッチ	`100.96.2.23`
24	リーフ/データ・スイッチ	`100.96.2.22`
	管理ノードVIP	`100.96.2.32` イロム: `100.96.0.32`
7	管理ノード	`100.96.2.35` イロム: `100.96.0.35`
6	管理ノード	`100.96.2.34` イロム: `100.96.0.34`
5	管理ノード	`100.96.2.33` イロム: `100.96.0.33`
	ストレージVIP	パフォーマンス・プール`100.96.2.5` 容量プール `100.96.2.4`
3-4	Oracle ZFS Storage Applianceコントローラサーバー(2ラックユニット)	`100.96.2.3` イロム: `100.96.0.3`
1-2	Oracle ZFS Storage Applianceコントローラサーバー(2ラックユニット)	`100.96.2.2` イロム: `100.96.0.2`

コンピュート・ノードには、プロビジョニング・プロセス中に内部管理ネットワークでIPアドレスが割り当てられます。システムIPアドレスはDHCPベースで、ILOMにはシステムIPが割り当てられ、3番目のオクテットは2から0に変更されます。たとえば、計算ノードがIP 100.96.2.64を受信した場合、そのILOMにはIP 100.96.0.64があります。ホストに割り当てられると、これらのIPアドレスはDHCPデータベースに格納され、永続化されます。

Oracle Cloud Infrastructureドキュメント