マルチクラウド・インバウンドおよびアウトバウンドのプライベート・ネットワーク接続のデプロイ
プライベート・ネットワーク上で実行されているサービスとアプリケーションを、パブリック・インターネットを使用してオンプレミスのエンタープライズ・アプリケーションに接続すると、組織のセキュリティ・リスクが発生する可能性があります。かわりに、Amazon Virtual Private Cloud、Microsoft Azure Virtual Network、Google Cloud Virtual Private Cloud、または別のオンプレミス・プライベート・ネットワークなどのプライベート・ネットワーク上のアプリケーションとのインバウンドおよびアウトバウンドのプライベート接続をデプロイできます。
Oracle Integration Cloud Service接続エージェントおよびOCI Oracle Integration Cloud Serviceプライベート・エンドポイントを使用して、Oracle Integration Cloud Serviceは、OCIからオンプレミス・アプリケーションへのインバウンドおよびアウトバウンド・トラフィックを送信します。
アーキテクチャ
このアーキテクチャは、Oracle Integration Cloud Serviceからのアウトバウンドおよびインバウンド統合の一部としてパブリック・インターネットを介してトラフィックを転送することなく、マルチクラウド・プライベート・ネットワークとOracleのクラウド・サービスおよびアプリケーション間の必要な接続を提供します。このアーキテクチャは、Oracle Integration Cloud Serviceのプライベート専用接続を使用および操作する必要がある場合に使用します。
Oracle Integration Cloud Serviceは、REST APIトリガー統合サービスをパブリックに使用可能なものとして公開し、すべてのRESTトリガー統合は、デフォルトでパブリック・ネットワークを介してアクセスできます。Oracle Integration Cloud Service許可リストを使用すると、Oracle Integration Cloud Serviceへのアクセスをプライベート・コンシューマのみに制限できます。プライベート・コンシューマは、Oracle Integration Cloud Serviceに直接アクセスせず、OCI API Gatewayで表されるOCIサービス仮想化レイヤーを介してアクセスします。
インバウンドOCIインタラクションは、OCI APIゲートウェイによって有効化され、ネットワーク内からアクセス可能なプライベート・エンドポイントを使用してAPIを公開できます。このアーキテクチャでは、Oracle Integration Cloud Service統合サービスを、Oracle Integration Cloud Serviceと組み合せてプライベートAPIとして公開します。追加のOCIサービスは、Oracle Integration Cloud Serviceのインバウンドおよびアウトバウンド相互作用のプライベート接続を有効にするために使用されます。
このアーキテクチャには、次の3つの相互作用タイプがあります。
- Oracle Integration Cloud Service接続エージェント
ビジネス・サービス、アプリケーションおよびプライベート・プラットフォームをサブスクライブします。このアーキテクチャでは、Oracle Integration Cloud Service接続エージェントを使用して、プライベート・ビジネス・サービスまたはアプリケーションと通信します。Oracle Integration Cloud Service接続エージェントは、OCI VCN内のプライベート・サブネットのOCIコンピュート・インスタンスにインストールされます。接続エージェントは、一方のサービス・ゲートウェイを介してOracle Integration Cloud Serviceと通信し、もう一方のサービスまたはアプリケーションは、動的ルーティング・ゲートウェイ(DRG)およびFastConnectプライベート・ピアリング(VPN)を介して、他方の側のプライベート・ネットワークで実行されます。接続エージェントはOracle Integration Cloud Serviceアウトバウンド・シナリオを実装しますが、ビジネス・サービス、プラットフォームおよびアプリケーション(javaメッセージ・サービス、メッセージング・キュー、データベースなど)をサブスクリプションおよびポーリングできます。
- OCIプライベート・エンドポイント接続
Oracle Integration Cloud Serviceからのすべてのアウトバウンド・トラフィックは、アダプタに基づく接続を経由します。インスタンスのプライベート・エンドポイントの作成時に、プライベート・エンドポイントによるアウトバウンド・トラフィックの保護はアダプタごとに使用できます。たとえば、KafkaアダプタおよびFTPアダプタはプライベート・エンドポイントを介した接続をサポートし、Oracle Integration Cloud Service接続エージェントは必要ありません。プライベート・エンドポイント接続アダプタのサポートは、Oracle Integration Cloud Serviceの更新ごとに拡大します。
- OCI APIゲートウェイ
パブリック・ネットワークを介してOCIインバウンド・トラフィックをルーティングすることなく、OCIサービスを活用します。Oracleサービスへのトラフィックを許可するためにOCI APIゲートウェイがプロビジョニングされているVCNのサービス・ゲートウェイを使用して、OCI APIゲートウェイのプライベート・パターンを拡張します。OCI API Gatewayでは、プライベート・プラットフォームおよびアプリケーションがOCIで実行されているサービスおよびファンクションを呼び出すことができます。このアーキテクチャでは、OCI APIゲートウェイによって、REST APIアダプタのトリガーベースの統合およびプライベート接続を使用したOracle Integration Cloud Service管理APIにアクセスできます。
次の図は、このリファレンス アーキテクチャを示しています。
統合- クラウド- プライベート- インバウンド-outbound.zip
このアーキテクチャには、次のコンポーネントがあります。
- リージョン
Oracle Cloud Infrastructureリージョンとは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的領域です。リージョンは他のリージョンから独立しており、長距離では(複数の国または大陸にまたがる)、それらを分離できます。
- 可用性ドメイン
可用性ドメインは、リージョン内の独立したスタンドアロン・データ・センターです。各可用性ドメイン内の物理リソースは、他の可用性ドメイン内のリソースから分離されているため、フォルト・トレランスが提供されます。可用性ドメインどうしは、電力や冷却、内部可用性ドメイン・ネットワークなどのインフラを共有しません。そのため、1つの可用性ドメインでの障害がリージョン内の他の可用性ドメインに影響を及ぼすことはありません。
- フォルト・ドメイン
フォルト・ドメインは、可用性ドメイン内のハードウェアおよびインフラストラクチャのグループです。各アベイラビリティ・ドメインに3つのフォルト・ドメインがあり、電源とハードウェアが独立しています。リソースを複数のフォルト・ドメインに分散すると、アプリケーションは、フォルト・ドメイン内の物理サーバー障害、システム・メンテナンスおよび電源障害を許容できます。
- 仮想クラウド・ネットワーク(VCN)およびサブネット
VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義のネットワークです。VCNは、従来のデータ・センター・ネットワークと同様に、ネットワーク環境の完全な制御を可能にします。VCNには重複しない複数のCIDRブロックを含めることができ、VCNの作成後にそれらを変更できます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。
- ルート表
仮想ルート表には、サブネットからVCN外の宛先(通常はゲートウェイ経由)にトラフィックをルーティングするルールが含まれます。
- セキュリティ・リスト
サブネットごとに、サブネットの内外で許可される必要があるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。
- 動的ルーティング・ゲートウェイ(DRG)
DRGは、同じリージョン内のVCN間、VCNとリージョン外のネットワーク(別のOracle Cloud Infrastructureリージョン内のVCN、オンプレミス・ネットワーク、別のクラウド・プロバイダのネットワークなど)間のプライベート・ネットワーク・トラフィックのパスを提供する仮想ルーターです。
- 顧客オンプレミス機器(CPE)
オンプレミス・ネットワークに存在し、VPN接続を確立するネットワーク・アセットを表すオブジェクト。ほとんどのボーダー・ファイアウォールはCPEとして機能しますが、個別のデバイス(アプライアンスやサーバーなど)はCPEにできます。
- サイト間VPN
サイト間VPNは、オンプレミス・ネットワークとOracle Cloud InfrastructureのVCNとの間にIPSec VPN接続を提供します。IPSecプロトコル・スイートでは、パケットがソースから宛先に転送される前にIPトラフィックが暗号化され、到着時にトラフィックが復号化されます。
- FastConnect
Oracle Cloud Infrastructure FastConnectでは、データ・センターとOracle Cloud Infrastructureとの間に、専用のプライベート接続を簡単に作成できます。FastConnectは、インターネット・ベースの接続と比較して、高帯域幅のオプションと、より信頼性の高いネットワーキング・エクスペリエンスを提供します。
- OCIプライベート・エンドポイント
OCIプライベート・エンドポイントは、Oracle Cloud Infrastructure Resource Managerからテナンシ内の非パブリック・クラウド・リソースにアクセスするために使用できるプライベートOCIリソースです。Oracle Integration Cloud Serviceは、プライベート・エンドポイントを介してトラフィックおよびパッケージをルーティングします。すべてのトラフィックは、パブリック・インターネットを経由せずにプライベート・ネットワーク上に保持されます。
- APIゲートウェイ
Oracle API Gatewayでは、ネットワーク内からアクセス可能なプライベート・エンドポイントとともに、必要に応じてパブリック・インターネットに公開できるAPIを公開できます。エンドポイントは、API検証、リクエストとレスポンス変換、CORS、認証と認可およびリクエスト制限をサポートします。
- Oracle Integration Cloud Service
Oracle Integration Cloud Serviceは、アプリケーションの統合、プロセスの自動化、ビジネス・ドキュメントB2Bの交換およびビジュアル・アプリケーションの作成を可能にするフルマネージド・サービスです。
- 関数
Oracle Cloud Infrastructure Functionsは、完全に管理された、マルチテナントでスケーラビリティが高いオンデマンドのFunctions-as-a-Service (FaaS)プラットフォームです。これは、Fn Projectのオープン・ソース・エンジンによって機能します。ファンクションを使用すると、コードをデプロイし、直接コールするか、イベントに応答してトリガーできます。Oracle Functionsは、Oracle Cloud Infrastructure RegistryでホストされているDockerコンテナを使用します。
- Oracle Cloud Infrastructure AI Services
Oracle Cloud Infrastructure AI Servicesは、開発者がアプリケーションや業務にAIを簡単に適用できるようにする、事前構築済の機械学習モデルを備えたサービスの集合体です。モデルは、より正確なビジネス結果を得るためにカスタム・トレーニングできます。詳細は、Oracle Cloud Infrastructure Generative AI、Oracle Cloud Infrastructure Language、Oracle Cloud Infrastructure Speech、Oracle Cloud Infrastructure VisionおよびOracle Cloud Infrastructureドキュメントの理解を参照してください。
- 機械学習サービス(ML)
Oracleの機械学習サービスにより、カスタム学習モデルの構築、トレーニング、導入、管理が容易になります。これらのサービスは、お気に入りのオープン・ソース・ライブラリやツールからのサポート、またはデータベース内の機械学習やクレンジングされたデータへの直接アクセスを通じて、データ・サイエンス機能を提供します。Oracle Cloud Infrastructure Data Science、Oracle Databaseの機械学習、Oracle Cloud Infrastructure Data Labeling、データ・サイエンスのOCI仮想マシンを参照してください。
- Oracle Digital Assistant
デジタル・アシスタントは、様々なアプリケーションやWebサイトを管理しなくても、ユーザーが自然言語での会話を介してタスクを完了するのに役立つ仮想デバイスです。
- アイデンティティおよびアクセス管理(IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM)は、Oracle Cloud Infrastructure (OCI)およびOracle Cloud Applicationsのアクセス制御プレーンです。IAM APIおよびユーザー・インタフェースを使用すると、アイデンティティ・ドメインおよびアイデンティティ・ドメイン内のリソースを管理できます。各OCI IAMアイデンティティ・ドメインは、スタンドアロンのアイデンティティおよびアクセス管理ソリューションまたは異なるユーザー移入を表します。
- ポリシー
Oracle Cloud Infrastructure Identity and Access Managementポリシーでは、誰がどのリソースにどのようにアクセスできるかを指定します。アクセス権はグループ・レベルおよびコンパートメント・レベルで付与されます。つまり、特定のコンパートメント内またはテナンシへの特定のタイプのアクセス権をグループに付与するポリシーを作成できます。
- 監査
Oracle Cloud Infrastructure Auditサービスでは、Oracle Cloud Infrastructureのサポートされるすべてのパブリック・アプリケーション・プログラミング・インタフェース(API)エンドポイントへのコールがログ・イベントとして自動的に記録されます。現在、すべてのサービスがOracle Cloud Infrastructure Auditによるロギングをサポートしています。
- ロギングLoggingは、クラウド内のリソースから次のタイプのログへのアクセスを提供する、高度にスケーラブルな完全管理型のサービスです:
- 監査ログ: 監査サービスによって発行されたイベントに関連するログ。
- サービス・ログ: APIゲートウェイ、イベント、ファンクション、ロード・バランシング、オブジェクト・ストレージ、VCNフロー・ログなどの個々のサービスによって発行されたログ。
- カスタム・ログ: カスタム・アプリケーション、他のクラウド・プロバイダまたはオンプレミス環境からの診断情報を含むログ。
- Oracle Cloud Infrastructure Logging Analytics
Oracle Cloud Infrastructure Logging Analyticsは、オンプレミスおよびマルチクラウド環境からのすべてのログ・データをモニター、集計、索引付けおよび分析する機械学習ベースのクラウド・サービスです。ユーザーは、このデータの検索や調査を行い、相互に関連付けることで、問題の解決を早め、インサイトを導出して、運用上の意思決定を改善できます。
- オブジェクト・ストレージ
オブジェクト・ストレージでは、データベースのバックアップ、分析データ、イメージやビデオなどのリッチ・コンテンツなど、すべてのコンテンツ・タイプの構造化データおよび非構造化データにすばやくアクセスできます。インターネットから直接またはクラウド・プラットフォーム内から、安全かつセキュアにデータを格納し、取得できます。パフォーマンスやサービスの信頼性を低下させることなく、シームレスにストレージを拡張できます。迅速、即時、頻繁にアクセスする必要のあるホット・ストレージには、標準ストレージを使用します。アーカイブ・ストレージは、長時間保持し、ほとんどまたはめったにアクセスしないコールド・ストレージに使用します。
レコメンデーション
- VCN
VCNを作成する場合、必要なCIDRブロックの数を決定し、VCN内のサブネットにアタッチする予定のリソースの数に基づいて各ブロックのサイズを決定します。標準のプライベートIPアドレス空間内にあるCIDRブロックを使用します。
プライベート接続を設定する他のネットワーク(Oracle Cloud Infrastructure、オンプレミス・データ・センターまたは別のクラウド・プロバイダ)と重複しないCIDRブロックを選択します。
VCNを作成した後、そのCIDRブロックを変更、追加および削除できます。
サブネットを設計するときには、トラフィック・フローおよびセキュリティ要件を考慮してください。特定の層またはロール内のすべてのリソースを、セキュリティ境界として機能する同じサブネットにアタッチします。
- 接続性
リソースをOracle Cloud Infrastructureにデプロイする場合は、オンプレミス・ネットワークへの単一の接続で小規模に開始できます。この単一の接続は、FastConnectまたはIPSec VPNを介して行うことができます。冗長性を計画するには、オンプレミス・ネットワークとOracle Cloud Infrastructure間のすべてのコンポーネント(ハードウェア・デバイス、施設、回線および電源)を検討します。また、施設がパス間で共有されないようにするために、多様性を考慮してください。
- Oracle Integration Cloud Serviceインスタンスへのアクセスの制限
許可リスト(以前のホワイトリスト)を構成して、Oracle Integration Cloud Serviceインスタンスにアクセスできるネットワークを制限します。特定のIPアドレスのユーザー、クラスレス・ドメイン間ルーティング(CIDR)ブロックおよび指定した仮想クラウド・ネットワークのみがOracle Integration Cloud Serviceインスタンスにアクセスできます。
- プライベート・エンドポイント・ネットワーク
VCNは、Oracle Integration Cloud Serviceインスタンスと同じリージョンに存在する必要があります。VCNおよびサブネットは任意のコンパートメント内にあり、同じコンパートメント内でも異なるコンパートメント内でもかまいません。サブネットはパブリックまたはプライベートにできますが、プライベートのみのアクセスにはプライベートである必要があります。
考慮事項
このリファレンス・アーキテクチャをデプロイする場合は、次の点を考慮してください。
- スケーラビリティー
Oracle Integration Cloud Serviceインスタンスの作成時に、管理者は、インスタンスごとに使用する予定のメッセージ・パックの数を指定します。
- Resource Limits
テナンシのベスト・プラクティス、サービスごとの制限およびコンパートメント割当てについて検討します。
- セキュリティ
Oracle Cloud Infrastructure Identity and Access Managementポリシーを使用して、クラウド・リソースにアクセスできるユーザー、および実行できる操作を制御します。OCIクラウド・サービスは、OCI APIゲートウェイによるファンクションの呼出しを許可するなどのOracle Cloud Infrastructure Identity and Access Managementポリシーを使用します。OCI APIゲートウェイは、OAuth認証および認可を使用してアクセスを制御することもできます。Oracle Cloud Infrastructure Identity and Access Managementでは、Oracle Cloud Infrastructure Identity and Access Managementを介してフェデレートできる認証および認可が可能です。その結果、OCI API Gatewayには、様々なサービスおよび認証設定に対して認証を行う権限があります。
- パフォーマンスとコスト
OCIは、幅広いアプリケーションやユースケースに対応するコンピュート・シェイプを提供しています。コンピュート・インスタンスのシェイプは慎重に選択してください。最低コストで負荷に最適なパフォーマンスを提供するシェイプを選択します。より多くのパフォーマンス、メモリーまたはネットワーク帯域幅が必要な場合は、より大きなシェイプに変更できます。
OCI APIゲートウェイは、バックエンド・サービスの不要な負荷を回避するために、外部キャッシュ・サーバー(RedisやKeyDBサーバーなど)と統合することでレスポンス・キャッシュをサポートします。レスポンスがキャッシュされると、同様のリクエストを受信した場合は、リクエストをバックエンド・サービスに送信するのではなく、レスポンス・キャッシュからデータを取得することでレスポンスを完了できます。これにより、バックエンド・サービスの負荷が軽減され、パフォーマンスの向上とコストの削減に役立ちます。
OCI API Gatewayでは、(終了時間に基づいて)認可トークンもキャッシュされるため、アイデンティティ・プロバイダの負荷が軽減され、パフォーマンスが向上します。
- 可用性
デプロイメント要件およびリージョンに基づいて高可用性オプションを使用することを検討してください。オプションには、リージョン内の複数の可用性ドメインにリソースを分散したり、可用性ドメイン内のフォルト・ドメインにリソースを分散したりすることが含まれます。フォルト・ドメインは、単一の可用性ドメイン内にデプロイされたワークロードに最適な自己回復性を提供します。アプリケーション層の高可用性を実現するには、アプリケーション・サーバーを異なるフォルト・ドメインにデプロイし、ロード・バランサを使用してクライアント・トラフィックをアプリケーション・サーバーに分散します。
- 監視とアラート
ノードのCPUおよびメモリー使用量の監視およびアラートを設定して、必要に応じてシェイプをスケール・アップまたはスケール・ダウンできるようにします。
デプロイ
このリファレンス・アーキテクチャは、次のステップに従ってOracle Cloud Infrastructureにデプロイできます:
- OCIコンソールにサインインします。
- アーキテクチャ図(VCN、サブネット、動的ルーティング・ゲートウェイ、セキュリティ・リスト、ルーティング表、サービス・ゲートウェイ、FastConnect/VPN、CPEおよびOCIプライベート・エンドポイント)に示すように、必要なネットワーキング・インフラストラクチャを設定します。
- Oracle Integration Cloud Serviceインスタンスをプロビジョニングします。
- Oracle Integration Cloud Service接続エージェントをインストールします。
- Oracle Integration Cloud Serviceコンソールに移動し、エージェント・グループを作成します。
- エージェント・インストーラのダウンロードと実行および接続の手順に従います。
- OCIコンソールに移動し、Oracle Integration Cloud Serviceのシステム要件に従ってコンピュート・シェイプを選択します。
- Oracle Integration Cloud Serviceプライベート・エンドポイントを構成します。
- OCI APIゲートウェイ・インスタンスを作成します。
- 必要に応じて許可リストを構成して、Oracle Integration Cloud Serviceインスタンスへのアクセス権を持つネットワークを制限します。
詳細の参照
Oracle Integration Cloud Serviceを介してマルチクラウド・プライベート・ネットワーク接続をデプロイする手順およびコンテキストについては、次のリソースを確認してください。
Oracle Integration Cloud Service
- Oracle Integration 3のプロビジョニングおよび管理の接続エージェント・インストーラのダウンロードと実行
- Oracle Integration 3のプロビジョニングと管理のシステム要件
- 『Oracle Integration 3のプロビジョニングと管理』のプライベート・エンドポイントの構成の前提条件に関する項
- Oracle Integration 3のプロビジョニングおよび管理のプライベートVirtual Cloudネットワーク(VCN)を使用したエンドポイントへの接続について
- "Connect to Private Resources" in Provisioning and Administering Oracle Integration 3
Oracle Cloud Infrastructure API Gateway
Oracle Cloud Infrastructure