AWSエンドポイント・サービスを使用したOracle Autonomous Databaseへのアプリケーションの安全な接続

AWSにデプロイされたアプリケーションは、マルチクラウドの分割スタック・アーキテクチャをデプロイすることで、Oracle Cloud Infrastructure (OCI)で実行されているOracle Autonomous Databaseのすべての利点を活用できます。

このリファレンス・アーキテクチャは、OCIで実行されているAutonomous DatabaseのAWSエンドポイント・サービスを作成する方法と、AWSエンドポイントでAWS内でAutonomous Databaseをセキュアに共有する方法を示しています。

アーキテクチャ

このリファレンス・アーキテクチャのマルチクラウド・トポロジには、Oracle Autonomous Databaseがあり、Amazon Web Services (AWS)リージョンを提供するOracle Cloud Infrastructure (OCI)リージョンにプライベート・エンドポイントがあります。

AWSエンドポイント・サービスを使用することで、AWSでホストされているアプリケーションはエンドポイントに接続するだけで済みます。AWSエンドポイント・サービスの背後にあるネットワーク・ロード・バランサは、OCIでホストされているAutonomous Databaseのプライベート・エンドポイントにアクセスする必要があります。

このアーキテクチャは、ルーティングとドメイン・ネーム・システム(DNS)の両方の簡素化を表します。AWSエンドポイント・サービスは、Autonomous Databaseプライベート・エンドポイントIPを解決するための有効なドメインを指定しながら、エンドポイントにプライベートで接続します。

このアーキテクチャでは、OCIリージョンとAWSリージョンの間の接続が、次のいずれかの方法ですでに確立されていることを前提としています。

• OCI FastConnectパートナを使用してAWS DirectConnectに接続したOracle Cloud Infrastructure FastConnectを使用します。ワークロードで、2つのクラウド間で高帯域幅かつ低レイテンシのプライベート接続が必要な場合です。
• ワークロードに低レイテンシおよび高帯域幅が不要な場合は、インターネットを介したサイト間VPNを使用します。

次の図は、このリファレンス・アーキテクチャを示しています。

図adb-aws-endpoint-arch.pngの説明

adb-aws-endpoint-arch-oracle.zip

アーキテクチャには、次のOracleコンポーネントがあります。

• リージョン

  Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含むローカライズされた地理的領域です。リージョンは他のリージョンから独立しており、広大な距離で(国間や大陸間でも)リージョンを分離できます。

• 仮想クラウド・ネットワーク(VCN)およびサブネット

  VCNは、Oracle Cloud Infrastructureリージョンで設定するカスタマイズ可能なソフトウェア定義ネットワークです。VCNは、従来のデータ・センター・ネットワークと同様に、ネットワーク環境の完全な制御を可能にします。VCNには重複しない複数のCIDRブロックを含めることができ、VCNの作成後にそれらを変更できます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。

• 動的ルーティング・ゲートウェイ(DRG)

  DRGは、VCNとリージョン外部のネットワーク(別のOracle Cloud InfrastructureリージョンのVCN、オンプレミス・ネットワーク、別のクラウド・プロバイダ内のネットワークなど)間の、同じリージョン内のVCN間のプライベート・ネットワーク・トラフィックのパスを提供する仮想ルーターです。

• FastConnect

  Oracle Cloud Infrastructure FastConnectでは、データ・センターとOracle Cloud Infrastructure間に専用のプライベート接続を簡単に作成できます。FastConnectは、インターネットベースの接続と比較して、より高い帯域幅オプションとより信頼性の高いネットワーク・エクスペリエンスを提供します。

• Autonomous Database

  Oracle Cloud Infrastructure Autonomous Databaseは、トランザクション処理およびデータ・ウェアハウス・ワークロードに使用できるフルマネージドの事前構成済データベース環境です。ハードウェアの構成や管理、ソフトウェアのインストールを行う必要はありません。Oracle Cloud Infrastructureでは、データベースの作成、およびデータベースのバックアップ、パッチ適用、アップグレードおよびチューニングが処理されます。

アーキテクチャには、次のAWSコンポーネントがあります。

• 仮想プライベート・クラウド(VPC)

  VPCは、AWSリージョンに作成する仮想ネットワークです。

• プライベート・リンク

  独自のプライベート・リンク駆動型サービスは、エンドポイント・サービスとも呼ばれます。

  AWS PrivateLinkは、VPCをVPCのようにサービスにプライベート接続できる、可用性の高いスケーラブルなテクノロジーです。プライベート・サブネットからのサービスとの通信を可能にするために、インターネット・ゲートウェイ、NATデバイス、パブリックIPアドレス、AWS Direct ConnectまたはAWS Site-to-Site VPN接続を使用する必要はありません。VPCからアクセス可能な特定のAPIエンドポイント、サイトおよびサービスを制御します。

• ルート53

  Amazon Route 53は、可用性の高いスケーラブルなドメインネームシステム(DNS) Webサービスです。ルート53は、ユーザー・リクエストをAWSまたはオンプレミスで実行されているインターネット・アプリケーションに接続します。

推奨事項

初期設計段階から次の推奨事項を検討してください。

• サービス・プロバイダとして機能する専用VPC

  Oracle Autonomous DatabaseのネットワークLoad BalancerおよびAWSエンドポイント・サービスをホストするための専用VPCを作成します。

• エンドポイント・サービス受入れ設定

  受入れが必要な場合にAutonomous DatabaseのAWSエンドポイント・サービスを構成します。これにより、エンドポイントがデプロイされるコンシューマVPCを制御できます。

• エンドポイント・セキュリティ・グループ

  すべてのセキュリティ体制を拒否し、必要な接続のみを許可するように、エンドポイント・セキュリティ・グループを構成します。

• 高可用性

  アーキテクチャは、単一の可用性ゾーンのAWSエンドポイントを示しています。本番デプロイメントでは、複数の可用性ゾーンにエンドポイントを構成することをお薦めします。

• パフォーマンス

  可能なかぎり低いレイテンシを目指すOCIおよびAWSリージョンを選択してください。OCIおよびAWSに接続する場合は、OCI FastConnectおよびAWS DirectConnectに基づく専用接続を使用します。

注意事項

このリファレンス・アーキテクチャをデプロイするときは、次の要因を考慮してください。

• パフォーマンス

  レイテンシに加えて、パフォーマンスに影響するもう1つの重要な要因は、コンポーネント間で使用可能なスループットです。OCI FastConnect、AWS Direct Connectおよび接続プロバイダの場合、予想されるニーズに対応するサイズを選択します。

• コスト

  このアーキテクチャのデプロイの合計コストは、次のリソースのコストによって異なります。

  • AWS
    • AWSエンドポイント
    • AWS転送ゲートウェイ
    • 直接接続
    • エグレス・データ転送
  • Oracle Cloud Infrastructure
    • FastConnectポート
    • Autonomous Database
  • 接続パートナ

デプロイ

AWSリージョン内でAutonomous Databaseをプライベート・エンドポイントと共有するには、次の概要レベルのステップを実行します。

「詳細の参照」セクションには、一部のステップのサポート・ドキュメントへのリンクがあります。

1. プライベート・エンドポイントを含むAutonomous DatabaseをOCIリージョンにデプロイします。
2. AWSでネットワークLoad Balancerを作成します。
   1. ネットワークLoad Balancerを作成します。
   2. TCP 1522へのリスナーを作成します。
   3. ターゲット・タイプがIP addressesのターゲット・グループを作成します。
   4. Autonomous Databaseプライベート・エンドポイントをターゲットとして登録します。
3. AWSにエンドポイント・サービスを作成します。
   1. AWS PrivateLinkを利用したサービスを作成します。
   2. 前のステップで作成したネットワークLoad Balancerを選択して、エンドポイント・サービスを作成します。
4. エンドポイントを作成します。
   1. 「他のエンドポイント・サービス」を選択し、Autonomous Databaseエンドポイント・サービスのサービス名を指定して、エンドポイントを作成します。
   2. エンドポイントが作成されるVPCを選択します。
5. カスタム・ドメイン名を指定します(オプション)。
   1. カスタム・ゾーンのルート53プライベート・ホスト・ゾーンを作成します。
   2. ホスト・ゾーンをエンドポイントVPCに関連付けます。
   3. 「別名」を選択し、「Autonomous Database VPCエンドポイント」を選択して、Aタイプのレコードを作成します。

詳細の参照

関連するアーキテクチャおよびこのリファレンス・アーキテクチャの機能の詳細は、次の追加リソースを参照してください。

• Equinixを使用した、Oracle Cloudおよび他のプロバイダにわたるスプリット・スタック・アーキテクチャの実現

• OCI、AWS、GCPにマルチクラウドの分割スタック・ソリューションを導入

• Oracle Cloud Infrastructure向けベスト・プラクティス・フレームワーク

• Oracle Cloud Infrastructureドキュメント

• Oracle Cloudコスト試算ツール

• OCI FastConnect - リージョン別パートナ

• プライベート・エンドポイントを使用したネットワーク・アクセスの構成

• AWSネットワークLoad Balancerの作成

• AWSを利用したサービスの作成 PrivateLink

• Oracle Multicloud

承認

• Authors: Ricardo Anda, Emiel Ramakers
• Contributors: Ejaz Akram, Robert Lies