Oracle Database@Google CloudでのDNS解決について

信頼性の高いセキュアなドメイン・ネーム・サーバー(DNS)解決は、Oracle Database@Google Cloudの基本コンポーネントです。円滑なDNS解決をサポートするために、Oracle Database@Google CloudはDNS転送を使用し、VPC内のGoogle CloudワークロードがOracle Database ODBネットワークでプロビジョニングされたデータベースの完全修飾ドメイン名(FQDN)を解決できるようにします。

このソリューション・プレイブックでは、ユース・ケースを学習し、Oracle Database@Google Cloud環境のセキュアで自動化されたスケーラブルなDNS解決を構成します。

アーキテクチャ

デプロイメント中に、Google Cloud DNSゾーンが作成され、次のようにOracle Database@Google CloudリソースがFQDNにマップされます:

• *.oraclevcn.com for Oracle Exadata Database Service, Oracle Exadata Database Service on Exascale Infrastructure, and Oracle Base Database Service.
• Oracle Autonomous Databaseの*.oraclecloud.comおよび*.oraclecloudapps.com。

OCIプライベートDNSリスナー・エンドポイントは、Oracle Database@Google Cloudデプロイメント中に作成され、OCI DNSサービスの名前およびIPを解決するために、プライベート・リゾルバ、デフォルト・プライベート・ビューおよびOCI VCNへのプライベート・ゾーンに関連付けられます。

次のアーキテクチャは、OCIプライベートDNSリスナー・エンドポイントに転送されるGoogle Cloud DNSゾーンを示しています:

図resolve-dns-oci-google-cloud.pngの説明

resolve-dns-oci-google-cloud-oracle.zip

このアーキテクチャにより、Google CloudのアプリケーションからOracle Database@Google Cloudへのプライベートで制御された接続が可能になります。また、プライベート・リスナーを介してOCI DNSによって処理されるDNS解決も可能です。

アーキテクチャには次のコンポーネントがあります。

• OCI仮想クラウド・ネットワークおよびサブネット

  仮想クラウド・ネットワーク(VCN)は、ソフトウェアで定義されたカスタマイズ可能なネットワークであり、OCIリージョン内に設定します。従来のデータ・センター・ネットワークと同様に、VCNsではネットワーク環境を制御できます。VCNには、VCNの作成後に変更できる重複しない複数のクラスレス・ドメイン間ルーティング(CIDR)ブロックを複数含むことができます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。

• セキュリティ・リスト

  サブネットごとに、サブネット内外で許可されるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。

• ネットワーク・セキュリティ・グループ(NSG)

  NSGは、クラウド・リソースのバーチャル・ファイアウォールとして機能します。OCIのゼロトラスト・セキュリティ・モデルでは、VCN内のネットワーク・トラフィックを制御します。NSGは、単一のVCN内の指定された仮想ネットワーク・インタフェース・カード(VNIC)のセットにのみ適用される、イングレスおよびエグレス・セキュリティ・ルールのセットで構成されます。

• プライベートDNSリゾルバ

  プライベートDNSリゾルバは、VCNのDNS問合せの回答を行います。プライベート・リゾルバは、ビュー、ゾーンおよび条件付き転送ルールを使用して問合せの解決方法を定義するように構成できます。

• リスナー・終端

  リスナー・エンドポイントは、VCN内から、他のVCNリゾルバから、またはオンプレミス・ネットワークのDNSから問合せを受け取ります。作成後は、これ以上の構成は必要ありません。

• 転送エンドポイント

  A forwarder endpoint forwards DNS queries to the listener endpoint for resolvers in other peered VCNs or an on-premises DNS. 転送の決定は、リゾルバ・ルールによって管理されます。

• リゾルバ・規則

  リゾルバ・ルールは、リゾルバのビューで応答されない問合せへの応答方法を定義します。これらは順番に処理され、適用されるクエリーを制限するオプションの条件を持つことができます。条件が一致すると、転送アクションが実行されます。

• Google仮想プライベート・クラウド

  Google Virtual Private Cloud(VPC)は、Compute Engine仮想マシン(VM)インスタンス、Google Kubernetes Engine(GKE)コンテナ、データベース・サービスおよびサーバーレス・ワークロードにネットワーキング機能を提供します。VPCは、クラウドベースのサービスに、グローバルでスケーラブル、かつ柔軟なネットワーキングを提供します。

• Google Cloud DNS

  クラウドDNSは、パブリック・ゾーンとプライベート管理DNSゾーンの両方を提供します。パブリック・ゾーンはインターネット上に表示され、プライベート・ゾーンは指定されたVPCネットワーク内でのみ表示されます。

• Google Cloud DNSフォワーダー

  Google Cloudでは、プライベート・ゾーンのインバウンドおよびアウトバウンドDNS転送がサポートされています。DNS転送を構成するには、転送ゾーンまたはクラウドDNSサーバー・ポリシーを作成します。

• Google Cloudプロジェクト

  Google Cloudプロジェクトは、Google Workspace APIを使用し、Google Workspaceアドオンまたはアプリを構築するために必要です。クラウド・プロジェクトは、APIの管理、請求の有効化、コラボレータの追加と削除、権限の管理など、すべてのGoogle Cloudサービスの作成、有効化および使用の基礎となります。

• ODBネットワーク

  ODBネットワークは、すべてのデータベース・プロビジョニングの基盤となるGoogle Virtual Private Cloud (VPC)を中心としたメタデータ構成を作成します。ODBネットワークでは、サブネット、CIDR範囲、ルーティングなどのネットワーク構成を抽象化および集中化することで、共有VPCをサポートできます。これにより、ネットワーク管理者は、データベース・デプロイメント・ワークフローとは関係なく接続を管理できます。

開始する前に

DNSのユースケースを実装するには、次のロールおよび権限があることを確認します。

• クラウドDNSは、プロジェクト・レベルと個々のDNSゾーン・レベルの両方でIAM権限をサポートします。Google Cloud DNS権限のドキュメントを参照してください。
• OCI DNSはIAMをサポートしています。OCI IAM権限のドキュメントを参照してください。