Oracle FLEXCUBEデータ・ストレージによるディザスタ・リカバリの有効化
規制では、多くの場合、銀行はデータを国内に保存して処理する必要があります。これにより、信頼性の高いディザスタ・リカバリ戦略の設定は困難になりますが、リージョン間バックアップがこの問題を解決できます。
銀行は、システム障害やその他の災害からデータを保護する重要なニーズを持っています。銀行は、データの格納場所を制限する規制など、様々な規制の対象となります。銀行がデータをクラウドに保存できる場合でも、多くの場合、そのデータは銀行と同じ国または地域に存在する必要があります。これにより、障害回復のためにデータを確実にバックアップすることが困難になります。
Oracle Cloud Infrastructure (OCI)は多くのリージョンで使用可能であるため、特定の地理にデータを保持しながら完全なディザスタ・リカバリを提供するリージョン間レプリケーションを設定できます。たとえば、米国西部リージョンでプライマリ・クラウド・サービスをホストし、バックアップ・データを米国東部リージョンにコピーできます。クリティカルな障害の場合、システム全体が米国東部リージョンにフェイルオーバーして、すべてのサービスをオンデマンドで有効にできます。これは規制上の懸念を満たすだけでなく、両方のサイトが同時に問題を経験する可能性が非常に低いことを保証します。
アーキテクチャ
このアーキテクチャは、ディザスタ・リカバリのためにリージョン間レプリケーションを使用します。アクティブ・リージョンのFLEXCUBEデータは定期的に第2リージョンにバックアップされ、最初のリージョンで障害が発生した場合にアクティブ化されます。
図flexcube-disaster-recovery-flow.pngの説明
Oracle Autonomous Transaction Processing (ATP)は、自動ストレージ管理(ASM)を使用して、ブロックおよびファイルをOracle Cloud Infrastructure Object Storageに格納します。ストレージ・ポリシーは、時系列バックアップを作成するためにObject Storageのデータに適用されます。このバックアップは、フェイルオーバー・イベント中にFLEXCUBEのクローン・インスタンスをリストアできるセカンダリ・リージョンに自動的にレプリケートされます。
次の図は、アーキテクチャ・トポロジを示しています。
図flexcube-disaster-recovery.pngの説明
Flexcub-disaster-recovery-oracle.zip
このアーキテクチャでは、Oracle Cloud Infrastructure Storage Gatewayを使用してNFSターゲットを提供します。すべてのオンプレミス・アプリケーションをそのNFSターゲットに書き込むことができ、これにより、データはオブジェクト・ストレージに書き込まれます。
また、Oracle Cloud Infrastructure FastConnectを使用してセキュアで効率的な転送を実現し、その他のデータ(データベース・データなど)をObject Storageに直接転送することもできます。
Storage Gatewayを設定するには:
- Storage Gatewayを、OCIまたはオンプレミスのいずれかのコンピュート・インスタンスにインストールします。
- Object Storageを使用してデータを保存および取得するファイル・システムをStorage Gatewayで作成します。
- Storage Gatewayの公開されているNFSマウント・ポイントを、NFSv4クライアントをサポートする任意のホストにマップします。Storage Gatewayのマウント・ポイントは、同じ名前のObject Storageバケットにマップされます。
Storage Gatewayは、簡単なバックアップに加えて、次の機能を提供します。
- オブジェクトの自動削除
Storage Gatewayのファイル・システムからファイルを削除すると、Object Storage内の対応するオブジェクトが自動的に削除されます。
- キャッシュ・ピンニング
ファイルをファイル・システム・キャッシュに固定してすばやくアクセスします。
- ヘルス・チェック
サービスおよびリソース、ローカル・ストレージ、ファイル・システム・キャッシュ、メタデータ・ストレージおよびログ・ストレージの自動ヘルス・チェック。
- クラウド同期
オブジェクト・ストレージからファイルを格納および取得する統合ユーティリティ。
アーキテクチャには次のコンポーネントがあります。
- テナント
テナンシは、Oracle Cloud Infrastructureのサインアップ時にOracleがOracle Cloud内で設定するセキュアで分離されたパーティションです。テナンシ内のOracle Cloudでリソースを作成、編成および管理できます。テナンシは、会社または組織と同義です。通常、会社は1つのテナンシを持ち、そのテナンシ内の組織構造を反映します。通常、単一のテナンシは単一のサブスクリプションに関連付けられ、1つのサブスクリプションには通常1つのテナンシのみが含まれます。
- コンパートメント
コンパートメントは、Oracle Cloud Infrastructureテナンシ内のリージョン間論理パーティションです。コンパートメントを使用して、Oracle Cloudでリソースを編成し、リソースへのアクセスを制御して、使用割当て制限を設定します。特定のコンパートメントのリソースへのアクセスを制御するには、リソースにアクセスできるユーザーおよび実行できるアクションを指定するポリシーを定義します。
- リージョン
Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的な領域です。リージョンは他のリージョンから独立しており、巨大な距離は(国全体または大陸にわたって)分離できます。
- 仮想クラウド・ネットワーク(VCN)とサブネット
VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義のネットワークです。従来のデータ・センター・ネットワークと同様に、CNはネットワーク環境を完全に制御できます。VCNには、VCNの作成後に変更できる複数の重複しないCIDRブロックを含めることができます。VCNをサブネットにセグメント化できます。これは、リージョンまたは可用性ドメインにスコープを設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックでもプライベートでもかまいません。
- ロード・バランサ
Oracle Cloud Infrastructure Load Balancingサービスは、1つのエントリ・ポイントからバックエンド内の複数のサーバーへの自動トラフィック分散を提供します。
- サービス・ゲートウェイ
サービス・ゲートウェイは、VCNからOracle Cloud Infrastructure Object Storageなどの他のサービスへのアクセスを提供します。VCNからOracle Serviceへのトラフィックは、Oracleネットワーク・ファブリック上を移動し、インターネットを経由することはありません。
- サイト間VPN
Site-to-Site VPNは、オンプレミス・ネットワークとOracle Cloud InfrastructureのVCNとの間にIPSec VPN接続を提供します。IPSecプロトコル・スイートは、パケットがソースから宛先に転送される前にIPトラフィックを暗号化し、到着時にトラフィックを復号します。
- FastConnect
Oracle Cloud Infrastructure FastConnectは、データ・センターとOracle Cloud Infrastructureとの専用のプライベート接続を簡単に作成する方法を提供します。FastConnectは、インターネットベースの接続と比較して、高帯域幅オプションとより信頼性の高いネットワーキング体験を提供します。
- クラウド・ガード
Oracle Cloud Guardを使用して、Oracle Cloud Infrastructureでリソースのセキュリティを監視および保守できます。Cloud Guardでは、ディテクタ・レシピを使用して、セキュリティの弱点を調べたり、オペレータおよびユーザーにリスクのあるアクティビティを監視したりするために定義できます。構成の誤りや安全でないアクティビティが検出されると、クラウド・ガードは、定義できるレスポンダ・レシピに基づいて、修正アクションを推奨し、それらのアクションの実行を支援します。
- オブジェクト・ストレージ
オブジェクト・ストレージを使用すると、データベース・バックアップ、分析データ、イメージやビデオなどのリッチ・コンテンツなど、あらゆるコンテンツ・タイプの構造化データおよび非構造化データにすばやくアクセスできます。安全かつセキュアに保存して、インターネットから直接またはクラウド・プラットフォーム内部からデータを取得できます。パフォーマンスまたはサービスの信頼性を低下させることなく、シームレスにストレージを拡張できます。迅速、即時、頻繁にアクセスする必要があるホット・ストレージには、標準ストレージを使用します。長期間保持し、めったにアクセスしない「コールド」ストレージにはアーカイブ・ストレージを使用します。
- Autonomous Transaction Processing
Oracle Autonomous Transaction Processingは、トランザクション処理ワークロード用に最適化された、自動運転、自己保護、自動修復データベース・サービスです。ハードウェアの構成や管理、ソフトウェアのインストールを行う必要はありません。Oracle Cloud Infrastructureでは、データベースの作成、およびデータベースのバックアップ、パッチ適用、アップグレードおよびチューニングが処理されます。
推奨
次の推奨事項を開始点として使用します。要件は、ここで説明するアーキテクチャとは異なる場合があります。
- オブジェクト・ストレージ・ポリシー
- ライフサイクル・ポリシー
ポリシーが保存ルールと一致していること、および適用可能なサービス・レベル契約(SLA)に準拠していることを確認します。
- 不変オブジェクト
オブジェクトがストレージにコミットされると、変更が行われないようにします。これにより、ランサムウェア攻撃、オペレータエラー、およびその他のアプリケーション・エラーから保護できます。
- オブジェクト・バージョニング(オプション)
オブジェクト・バージョニングは、以前のバックアップをリストアできるように強制される場合があります。これはSLAで必要になる場合があります。
- バケット・レプリケーション
すべてのデータが代替リージョンに自動的にレプリケートされるため、SLAの目標が満たされます。
- ライフサイクル・ポリシー
- VCN
VCNを作成する際、VCNのサブネットにアタッチする予定のリソース数に基づいて、必要なCIDRブロックの数および各ブロックのサイズを決定します。標準のプライベートIPアドレス領域内にあるCIDRブロックを使用します。
プライベート接続を設定する他のネットワーク(Oracle Cloud Infrastructure、オンプレミス・データ・センターまたは別のクラウド・プロバイダ)と重複しないCIDRブロックを選択します。
VCNを作成した後、そのCIDRブロックを変更、追加および削除できます。
サブネットを設計する際は、トラフィック・フローおよびセキュリティ要件を考慮してください。特定の層またはロール内のすべてのリソースを、セキュリティ境界として機能する同じサブネットにアタッチします。
リージョナル・サブネットを使用します。
- クラウド・ガード
Oracleが提供するデフォルトのレシピをクローニングおよびカスタマイズして、カスタム・ディテクタおよびレスポンダ・レシピを作成します。これらのレシピでは、警告を生成するセキュリティ違反のタイプと、それに対して実行できるアクションを指定できます。たとえば、可視性がpublicに設定されているオブジェクト・ストレージ・バケットを検出できます。
クラウド・ガードをテナンシ・レベルで適用して、広範な範囲に対応し、複数の構成を維持する管理上の負担を軽減します。
管理対象リスト機能を使用して、特定の構成をディテクタに適用することもできます。
注意事項
FLEXCUBEのリージョン間のディザスタ・リカバリを有効にする場合は、これらの要因を考慮してください。
- パフォーマンス
転送するデータ量に応じて、FastConnectまたはIPSec VPN toを使用してコストを管理できます。頻繁にアクセスする必要があるファイルは、アクセスを高速化するためにObject Storage標準層に格納できます。
- セキュリティ
デフォルトでは、Oracle CloudはObject Storageバケットに格納されているすべてのオブジェクトを暗号化します。セキュリティを強化するために、顧客管理キーを使用してこれらのオブジェクトを暗号化することもできます。
- 可用性
Object Storageは非常に可用性が高いが、リージョンに障害が発生する可能性があります。このアーキテクチャは、このような障害から保護するためにリージョン間レプリケーションを構成する方法を示しています。
- コスト
価格は、選択したオブジェクト・ストレージ層によって異なります。一部のオブジェクトには保持要件があり、これらの要件に違反すると追加料金がトリガーされる場合があります。どの層がニーズに最も適しているかを慎重に検討する必要があります。
- OCIへの移行
オンプレミス・ソリューションから移行する場合、Storage Gatewayはネストされたディレクトリをフラット化することに注意してください。ファイル・システムのディレクトリ構造は、オブジェクト・メタデータおよび接頭辞によって保持されます。これにより、オブジェクトとして格納されたファイルの検索方法が変更される場合があります。