Autonomous Database for Proof of Concept (POC)の構成

このユースケースでは、概念実証(POC)アプリケーションを開発するために、専用ExadataインフラストラクチャでAutonomous Databaseリソースを迅速に構成する方法を示します。

Oracle Autonomous Database on Dedicated Exadata Infrastructureは、コミットされたハードウェアおよびソフトウェア・リソースを使用して、Oracle Cloud Infrastructure (OCI)で実行される高度に自動化されたフルマネージド・データベース環境です。これらの分離されたリソースにより、企業は厳しいセキュリティ、可用性、パフォーマンスの要件を満たしながら、コストと複雑さを軽減できます。

Autonomous Database POC環境を迅速に作成する場合は、引き続きお読みください。

ヒント :

個別の開発環境および本番Autonomous Database環境の設定を含む包括的で推奨される構成については、リファレンス・アーキテクチャを使用したAutonomous Databaseの構成を参照してください。

前提知識

このユース・ケースを完全に理解し理解するには、デプロイメント・オプション、主要なインフラストラクチャ・コンポーネント、ユーザー・ロールおよび主な機能を含む専用Exadataインフラストラクチャ上のAutonomous Databaseの基本的な理解が必要です。詳細は、Autonomous Database on Dedicated Exadata Infrastructureを参照してください。

ユース・ケース

Acme Companyは、内部プロジェクト・アプリケーションにAutonomous Database on Dedicated Exadata Infrastructureを検討しています。Acme I.T.は、ファイナライズする前に、Autonomous Database on Dedicated Exadata Infrastructureを使用してPocAppという概念実証(POC)アプリケーションを開発し、サービス機能の評価を支援することを決定しました。

Acme社のIT部門は、会社のExadata Infrastructure (EI)およびAutonomous Exadata VMクラスタ(AVMC)リソースの作成および管理を担当するフリート管理者のロールを引き受けます。また、アプリケーションDBAロールを使用して、データベース・ユーザーのAutonomous Container Database (ACD)およびAutonomous Databaseを作成します。

ノート:

この例では、フリート管理者がAutonomous Container DatabaseおよびAutonomous Databaseリソースを作成および管理する方法を示します。ただし、組織では、アプリケーションDBAがこのタスクを実行することを希望する場合があります。

必要なリソース

OCI IAMコンポーネント



  • リソースを配置するために、AcmeCompという名前の1つのコンパートメント。
  • ユーザーを割り当てることができる AcmeGroupという名前の1つのグループ。

    ノート:

    このグループに追加されたユーザーは、フリート管理者、アプリケーションDBAまたは開発者として実行できます。
  • コンパートメントおよびテナンシ・レベルのリソースへのユーザー・アクセスを指定するAcmeCompPolicyという1つのポリシー。

ネットワーク・リソース



セキュリティ・リスト・アイコン セキュリティ・リストを表します。
  • Oracle Public Cloudデプロイメント:

    • すべての専用インフラストラクチャ・リソースへのネットワーク接続を提供する、1つのVCN。このVCNはIPSec VPNを使用してAcme Company VPNに接続し、受信するすべてのインターネット・トラフィックをブロックするインターネット・ゲートウェイ・リソースを持ちます。名前はAcmeVCNになります。
    • ネットワーク・アクセスの分離を提供する2つのサブネット。1つはAutonomous Databaseリソース用、もう1つはアプリケーションのクライアントおよび中間層リソース用です。これらのサブネットの名前は、それぞれ AcmeSubnetおよび AppSubnetになります。

    ノート:

    シンプルにするために、単一のVCNを使用し、サブネットを利用してネットワークを分離しています。ただし、複数のVCNsを作成して、必要なネットワーク・アクセス分離を提供することもできます。この例では、AcmeCompの下にAcmeSubnetAppSubnetの両方を作成して簡潔にします。必要に応じて、要件に応じて、これらのサブネットを別々のコンパートメントに配置できます。
  • Exadata Cloud@Customerデプロイメント:

    • Exadata Database Service on Cloud@Customerの準備Oracle Exadata Database Service on Cloud@Customerのネットワーク要件にリストされているネットワーク・ルールを設定します。
    • また、Autonomous Data Guard設定でプライマリ・データベースとスタンバイ・データベース間のTCPトラフィックを許可するために、ポート1522を開きます。

Autonomous Databaseリソース



前述の構成に基づくAutonomous Databaseリソース。
  • AcmeInfrastructureという名前の1つのExadataインフラストラクチャ
  • AcmeInfrastructure内の1つのAutonomous Exadata VMクラスタ(AVMC)。このAVMCの名前は PocAVMCです。
  • PocAVMCは、PocAppアプリケーションを開発するために、Autonomous Container Database (ACD)およびAutonomous Database (それぞれPocACDおよびPocADB)をホストします。

ステップの概要

Acme I.T.は、専用ExadataインフラストラクチャでのAutonomous Databaseリソースの構成を開始する前に、OCIコンソールを使用して、Exadataインフラストラクチャ・リソース(データベース・サーバーおよびストレージ・サーバー)をテナンシに追加するサービス制限の引上げをリクエストします。詳細は、サービス制限拡大のリクエストを参照してください。

次に、このユースケースを実装するステップの概要を示します。

  1. Acme Companyのクラウド・テナンシのAcme I.T.またはセキュリティ管理者は、リソース分離のためにAcmeCompコンパートメント、AcmeGroupグループおよびAcmePolicyコンパートメント・ポリシーを作成します。
  2. アクセス分離の場合:
    • Oracle Public Cloudデプロイメントの場合、Acme I.T.またはAcmeのネットワーク管理者は、AcmeCompコンパートメントに次のネットワーク・リソースを作成します:
      • VCN: AcmeVCN
      • プライベート・サブネット: AcmeSubnet
      • パブリック・サブネット: AppSubnet
    • Exadata Cloud@Customerデプロイメントの場合、Acme I.T.またはAcmeのネットワーク管理者は次のことを保証します:
      • Exadata Database Service on Cloud@Customerの準備Oracle Exadata Database Service on Cloud@Customerのネットワーク要件にリストされているネットワーク・ルールを設定します。
      • Autonomous Data Guard設定でプライマリ・データベースとスタンバイ・データベース間のTCPトラフィックを許可するには、ポート1522を開きます。
  3. ネットワーク・リソースの作成後、セキュリティ管理者は、指定されたAcme I.T.メンバーのクラウド・ユーザーをAcmeGroupに追加して、そのユーザーをフリート管理者として認可します。
  4. 新しく認可されたフリート管理者は、次の専用インフラストラクチャ・リソースをAcmeCompコンパートメントに次の順序で作成します:
    • AcmeInfrastructureという名前のExadataインフラストラクチャ・リソース。
    • 新しく作成されたExadataインフラストラクチャを指定する、PocAVMCという名前のAutonomous Exadata VMクラスタ(AVMC)。

      ノート:

      Oracle Public Cloudデプロイメントの場合は、VCNおよびサブネットとしてAcmeVCNおよびAcmeSubnetを使用します。
    • AcmeCompコンパートメント内のPocACDという名前のAutonomous Container Database (ACD)。基礎となるリソースとしてPocAVMCを指定します。
    • AcmeCompコンパートメントのPocADBという名前のAutonomous Databaseで、基礎となるリソースとしてPocACDを指定します。

ステップ1.OCI IAMコンポーネントの作成

このステップでは、Acme Companyのクラウド・テナンシのセキュリティ管理者が、リソース分離のために次のOCI IAMコンポーネントを作成します。
  • AcmeCompコンパートメント。

    このステップを実行するには、セキュリティ管理者がOracle Cloud Infrastructureドキュメントコンパートメントの管理の手順に従って、Oracle Cloudコンソールを使用してコンパートメントを作成します。これらの手順に従う際に、セキュリティ管理者は、テナンシのルート・コンパートメントをAcmeCompコンパートメントの親コンパートメントとして指定します。

  • AcmeGroupグループ。

    このステップを実行するには、セキュリティ管理者がOracle Cloud Infrastructureドキュメントグループの管理の手順に従って、Oracle Cloudコンソールを使用してグループを作成します。

  • AcmeCompPolicyポリシー

    このステップを実行するには、セキュリティ管理者がOracle Cloud Infrastructureドキュメントポリシーの管理の手順に従って、Oracle Cloudコンソールを使用してポリシーを作成します。

    ノート:

    この例では、セキュリティ管理者は、必要なポリシー・ステートメントを作成するだけでなく、"USE tag-namespaces"ポリシー・ステートメントも作成して、グループ・メンバーが作成したリソースに既存のタグを割り当てることができるようにします。グループ・メンバーにタグの使用だけでなくタグの作成も許可する場合は、セキュリティ管理者が"MANAGE tag-namespaces"ポリシー・ステートメントを作成します。

    次の手順に従ってAcmeCompPolicyを作成する場合、セキュリティ管理者は:

    1. サイド・メニューの「コンパートメント」をAcmeCompに設定してから「ポリシーの作成」をクリックします。

    2. デプロイメント・プラットフォームに応じて、次のいずれかのポリシー・ステートメントを追加します:

      • Oracle Public Cloudデプロイメント:
        • グループAcmeGroupに、コンパートメントAcmeCompのcloud-exadata-infrastructuresの管理を許可します
        • グループAcmeGroupに、コンパートメントAcmeCompのcloud-autonomous-vmclustersの管理を許可します
        • グループAcmeGroupに、コンパートメントAcmeCompのvirtual-network-familyの使用を許可します
        • グループAcmeGroupに、コンパートメントAcmeCompのautonomous-container-databasesの管理を許可します
        • グループAcmeGroupにコンパートメントAcmeCompのautonomous-databasesの管理を許可します
        • グループAcmeGroupにコンパートメントAcmeCompのAutonomous-backupsの管理を許可します
        • グループAcmeGroupに、コンパートメントAcmeCompのinstance-familyの管理を許可します
        • グループAcmeGroupにコンパートメントAcmeCompのメトリックの管理を許可します
        • グループAcmeGroupがコンパートメントAcmeCompの作業リクエストをINSPECTできるようにします
        • グループAcmeGroupにコンパートメントAcmeCompのタグ・ネームスペースの使用を許可します
      • Exadata Cloud@Customerデプロイメント:
        • グループAcmeGroupに、コンパートメントAcmeCompのexadata-infrastructuresの管理を許可します
        • グループAcmeGroupにコンパートメントAcmeCompのautonomous-vmclustersの管理を許可します
        • グループAcmeGroupに、コンパートメントAcmeCompのautonomous-container-databasesの管理を許可します
        • グループAcmeGroupにコンパートメントAcmeCompのautonomous-databasesの管理を許可します
        • グループAcmeGroupにコンパートメントAcmeCompのAutonomous-backupsの管理を許可します
        • グループAcmeGroupに、コンパートメントAcmeCompのinstance-familyの管理を許可します
        • グループAcmeGroupにコンパートメントAcmeCompのメトリックの管理を許可します
        • グループAcmeGroupがコンパートメントAcmeCompの作業リクエストをINSPECTできるようにします
        • グループAcmeGroupにコンパートメントAcmeCompのタグ・ネームスペースの使用を許可します

ステップ2.VCNおよびサブネットの作成

適用対象: 適用可能 Oracle Public Cloudのみ

このステップでは、Acme I.T.またはAcmeのネットワーク管理者が、AcmeCompコンパートメントにAcmeVCN VCNとAcmeSubnetおよびAppSubnetサブネットを作成します。

このステップを実行するには、Acme I.T.は、まずAcme I.T.部門のネットワーキングと協議して、会社のオンプレミス・ネットワークと競合しないCIDR IPアドレス範囲を予約します。(そうしない場合、VCNがオンプレミス・ネットワークと競合することになり、IPSec VPNを設定できません。)予約されている範囲はCIDR 10.0.0.0/16です。

次に、Acme I.T.は、Oracle Cloud InfrastructureドキュメントシナリオB: VPNを使用したプライベート・サブネットの手順を調整して、Oracle Cloudコンソールを使用してVCN、サブネットおよびその他のネットワーク・リソースを作成します。

この例では、次のCIDRブロックがAcmeVCNの2つのサブネットに使用されます。
  • AcmeSubnet (プライベート・サブネット)の10.0.10.0/24
  • AppSubnet (パブリック・サブネット)の10.0.100.0/24
これらの手順を適応させる場合、Acme I.T.は(デフォルトのセキュリティ・リストを使用せずに)セキュリティ・リストを手動で作成してセキュリティ・ルールを分離することで、ネットワーク管理を簡素化します。次のセキュリティ・リストがあります:
  • AcmeSeclist: AcmeSubnetの基本セキュリティ・リスト。AcmeSubnetサブネットの作成に使用されます。
  • AppSeclist: AppSubnetの基本セキュリティ・リスト。AppSubnetサブネットの作成に使用されます。

AVMCイングレスおよびエグレス要件の詳細は、Autonomous Exadata VMクラスタをプロビジョニングするための要件を参照してください。

AcmeSeclistのセキュリティ・ルール

AcmeSeclistで作成されたイングレス・ルールを次に示します:

ステートレス ソース: IPプロトコル ソース・ポート範囲 宛先ポート範囲 タイプおよびコード 許可
× 10.0.10.0/24 ICMP すべて すべて すべて ICMPトラフィック: すべて
× 10.0.10.0/24 TCP すべて すべて   ポートのTCPトラフィック: すべて
× 10.0.100.0/24 TCP すべて 1521   ポートのTCPトラフィック: 1521 Oracle Net
× 10.0.100.0/24 TCP すべて 2484   ポート: 2484 Oracle NetのTCPSトラフィック
× 10.0.100.0/24 TCP すべて 6200   ポート: 6200のONS/FAN
× 10.0.100.0/24 TCP すべて 443   ポートのHTTPSトラフィック: 443

AcmeSeclistで作成されたエグレス・ルールを次に示します:

ステートレス 宛先 IPプロトコル ソース・ポート範囲 宛先ポート範囲 タイプおよびコード 許可
× 10.0.10.0/24 ICMP すべて すべて すべて DevVMSubnet内のすべてのICMPトラフィック
× 10.0.10.0/24 TCP すべて すべて   DevVMSubnet内のすべてのTCPトラフィック

AppSeclistのセキュリティ・ルール

AppSeclistで作成されたイングレス・ルールを次に示します:

ステートレス ソース: IPプロトコル ソース・ポート範囲 宛先ポート範囲 タイプおよびコード 許可
× 0.0.0.0/0 TCP すべて 22 すべて 次のポートのSSHトラフィック: 22

ノート:

セキュリティ・ルールの0.0.0.0/0を、承認済のCIDR範囲/IPアドレスのリストに変更することをお薦めします。

AppSeclistで作成されたエグレス・ルールを次に示します:

ステートレス 宛先 IPプロトコル ソース・ポート範囲 宛先ポート範囲 タイプおよびコード 許可
× 10.0.10.0/24 TCP すべて 1521    
× 10.0.10.0/24 TCP すべて 2484  
× 10.0.10.0/24 TCP すべて 443    
× 10.0.10.0/24 TCP すべて 6200    

ステップ3.フリート管理者の割当て

このステップでは、セキュリティ管理者が、指定されたAcmeのIT部門のメンバーのクラウド・ユーザーをAcmeGroupに追加します。

このステップを実行するには、セキュリティ管理者がOracle Cloud Infrastructureドキュメントユーザーの管理の手順に従って、Oracle Cloudコンソールを使用してユーザーをグループに追加します。

ステップ4.Autonomous Databaseリソースの作成

このステップでは、フリート管理者は、次の順序に従って、AcmeCompコンパートメントに次の専用インフラストラクチャ・リソースを作成します:
  1. Exadataインフラストラクチャ

    このステップでは、フリート管理者がExadataインフラストラクチャ・リソースの作成の手順に従って、AcmeInfrastructureという名前のExadataインフラストラクチャ・リソースを作成します。

  2. Autonomous Exadata VMクラスタ

    このステップでは、フリート管理者がAutonomous Exadata VMクラスタの作成の手順に従って、次の仕様でPocAVMCを作成し、他のすべての属性をデフォルト設定のままにします。

    設定 Value
    AVMC名 PocAVMC
    基本となるExadataインフラストラクチャ AcmeInfrastructure
    仮想クラウド・ネットワーク(VCN)

    適用対象: 適用可能 Oracle Public Cloudのみ

    AcmeVCN
    サブネット

    適用対象: 適用可能 Oracle Public Cloudのみ

    AcmeSubnet
  3. Autonomous Container Database

    このステップでは、フリート管理者がAutonomous Container Databaseの作成の手順に従って、次の指定でPocACDを作成し、他のすべての属性をデフォルト設定のままにします。

    設定 Value
    ACD名 PocACD
    基礎となるAVMC PocAVMC
    コンテナ・データベース・ソフトウェア・バージョン 最新のソフトウェア・バージョン(N)
  4. Autonomous Database

    このステップでは、フリート管理者がAutonomous Databaseの作成の手順に従ってPocADBを作成します。これらのデータベースは次の仕様で作成され、他のすべての属性はデフォルト設定のままになります。

    設定 Value
    データベース名 PocADB
    基本ACD PocACD
    データベース・インスタンス Autonomous Databaseまたは開発者のためのAutonomous Databaseの作成を選択できます

専用Exadataインフラストラクチャ上のAutonomous Databaseは、概念実証アプリケーションを迅速に開発するように構成されるようになりました。