Azure Data Lake Storageへの接続

OCI GoldenGateでターゲットとして使用するAzureデータ・レイク・ストレージへの接続の作成について学習します。

ノート: Azure Entra ID認証を使用したプライベート・エンドポイントでAzure Storage (ADLS)に接続する場合、OCI GoldenGateはOracle Services Network (OSN) NAT Gatewayを使用して、Azure Storage Entra ID認証に必要なトークンを取得することに注意してください。OCIリージョンでGoldenGate Service NAT GatewayのパブリックIPアドレスを取得するためのサポート・リクエストを作成し、そのIPアドレスをAzure VNetルールでホワイトリストに登録できます。

開始する前に

次を確認します:

• OCI GoldenGateがソースおよびターゲットに接続する方法を確認します。

• シークレットの使用、ボールトの使用、シークレット・バンドルの読取りなど、セキュアなVaultおよびシークレット・アクセスを有効にするために必要なポリシーを構成します。詳細は、「最小推奨ポリシー」を参照してください。

接続の作成

Azure Data Lake Storage接続を作成するには

1. OCI GoldenGateの「概要」ページで、「接続」を選択します。

   「はじめに」セクションの「接続の作成」を選択して、ステップ3にスキップすることも可能です。

2. 「接続」ページで、「接続の作成」を選択します。

3. 「接続の作成」ページで、次のようにフィールドに入力します:

   1. 「名前」に、接続の名前を入力します。

   2. (オプション)「説明」に、この接続を他の接続から区別するのに役立つ説明を入力します。

   3. (マルチクラウド上のGoldenGateの場合のみ)「サブスクリプション」を選択し、次のフィールドに入力します。

      1. 「コンパートメント」ドロップダウンで、リソース・アンカーが存在するコンパートメントを選択します。

      2. マルチクラウド・パートナ・リージョンを選択します。

      3. 「パートナ可用性ゾーン」を選択します。使用可能なオプションは、選択したマルチクラウド・パートナ・リージョンに基づいて移入されます。

   4. 「コンパートメント」で、接続を作成するコンパートメントを選択します。

   5. 「タイプ」ドロップダウンから、「Azure Data Lake Storage」を選択します。

   6. 「アカウント名」に、Azure Cloudストレージ・アカウント名を入力します。

   7. 「エンドポイント」を入力します。

   8. 「認証タイプ」で、次のいずれかを選択します。

      • 共有キー:

        • ストレージ・アカウント・キー: ストレージ・アカウント・キー・シークレットを選択します。別のコンパートメントにある場合は、ドロップダウンを使用してコンパートメントを変更します。ストレージ・アカウントのアクセス・キーの管理を参照してください。

      • 共有アクセス署名:

        • SASトークン: SASトークン・シークレットを選択します。別のコンパートメントにある場合は、ドロップダウンを使用してコンパートメントを変更します。Create an account SASを参照してください。

      • Azure Active Directory:

        ノート: Azure Active Directory認証タイプを構成する前に、Azure ADアプリケーション登録にアプリケーションを登録し、「ストレージBLOBデータ所有者」などの適切なロールを割り当てるようにしてください。ポータルを使用して、リソースにアクセスできるAzure ADアプリケーションおよびサービス・プリンシパルを作成を参照してください。

        • AzureテナントIDは、Azure Active Directory/アプリケーション登録にあり、アプリケーションを選択してテナントIDを入力します。

        • クライアントIDは、Azure Active Directory/アプリケーション登録にあり、アプリケーションを選択します。

        • 「クライアント・シークレット」を選択します。別のコンパートメントにある場合は、ドロップダウンを使用してコンパートメントを変更します。

      ノート:

      • シークレットとは、パスワード、証明書、SSHキー、OCIサービスで使用する認証トークンなどの資格証明です。シークレットを作成するには、シークレットの作成を参照してください。次を確認します:

        • 「手動シークレット生成」を選択します。

        • 資格証明をシークレット・コンテンツに貼り付けます。

      • パスワード・シークレットを使用しない場合は、このフォームの下部にある「拡張オプション」の下の「セキュリティ」セクションで「ボールトでシークレットを使用」の選択を解除してください。

      • シークレット・コンテンツを更新する必要がある場合は、次のことを確認してください:

        • プレーン・テキスト・テンプレートを使用して新しいシークレット・バージョンを作成し、更新されたコンテンツを指定します。詳細は、シークレットのコンテンツの更新を参照してください。

        • キャッシュされたシークレット・コンテンツをクリアするには、接続をリフレッシュします。

   9. 「Azure Authority host」に、認証および認可に使用されるMicrosoft Entra IDエンドポイントを入力します。

   10. 拡張オプションの表示を展開します。次のオプションを構成できます。

       • セキュリティ

         • この接続にパスワード・シークレットを使用しない「ボールト・シークレットの使用」の選択を解除します。選択されていない場合:

           • すべての暗号化キー管理をOracleに任せるには、「Oracle管理暗号化キーの使用」を選択します。

           • 「顧客管理暗号化キーの使用」を選択して、OCI Vaultに格納されている特定の暗号化キーを選択し、接続資格証明を暗号化します。

       • ネットワーク接続性

         • 共有エンドポイント: 割り当てられたデプロイメントとエンドポイントを共有します。デプロイメントのイングレスIPからの接続を許可する必要があります。

         • 専用エンドポイント: VCN内の割り当てられたサブネット内の専用エンドポイントを介したネットワーク・トラフィック用。この接続のイングレスIPからの接続を許可する必要があります。

           ノート:

           • 専用接続が7日間未割当てのままの場合、サービスはそれを共有接続に変換します。
           • Oracle GoldenGate接続についてさらに学習します。

       • セキュリティ属性: Zero Trust Packet Routing (ZPR)を使用して、この接続へのアクセスを制御するセキュリティ属性を追加します。

       • タグ: タグを追加すると、リソースを編成できます。

4. 「作成」を選択します。

接続が作成されると、「接続」リストに表示されます。接続をデプロイメントに割り当てて、データ・レプリケーションで使用するようにしてください。

次の手順

• デプロイメントへの接続の割当て
• 接続の管理

接続に関する問題のトラブルシューティング

ほとんどのAzure Data Lake Storage接続の問題は、Azure Data Lake Storageのプライベート・エンドポイント構成が原因で発生します。

次に、Replicatレポート・ファイルで発生する可能性のある一般的な接続関連のエラー・メッセージを示します。

•     =ERROR 2023-08-04 07:23:08.000008 [main] - Exception during initialisation of Azure blob service client for account[ociggtest].
      com.azure.storage.blob.models.BlobStorageException: Status code 400, "{"error":{"code":"InvalidUri","message":"The request URI is invalid.
  <pre class="copy"><code>
  -</code></pre>nocopybutton
      =ERROR 2023-08-01 20:23:24.000861 [main] - The Event Handler Framework failed to initialise.
  <pre class="copy"><code>
  -</code></pre>nocopybutton
      =ERROR 2023-08-04 08:13:30.000477 [main] - Exception during initialization of Azure blob service client for account[ociggtest].
      com.azure.storage.blob.models.BlobStorageException:Status code 403, "<?xml version="1.0" encoding="utf-8"?><Error><Code>AuthorizationFailure</Code><Message>This request is not authorized to perform this operation.
  

Azure Data Lake Storageのプライベート・エンドポイントを使用し、接続やレプリケーションに問題がある場合は、次のことを確認してください。

• OCI - Azure Interconnectの詳細を確認します。ステップバイステップ・ガイド: Oracle Cloud InfrastructureとMicrosoft Azureの相互接続を参照してください。

• プライベート・エンド・ポイントを使用したOCI GoldenGate ADLS接続のステップの概要に従います

• ターゲット・サブリソースBLOBを使用して、AzureでADLSプライベート・エンドポイント接続を構成します。OCI GoldenGateではBLOBのみがサポートされるため、接続がdfsまたは他のサブリソース・タイプで構成されている場合、接続は失敗します。

既知問題

Azure Entra ID認証で構成されたAzure Data Lake Storage接続の接続の問題をテストします

Azure Entra ID認証で構成されたAzure Data Lake Storageの接続をテストしようとすると、問題が発生する可能性があります。

回避策:エラーを無視して、Azure Data Lake Storage Replicatの作成および実行に進むことができます。