1. OCIマルチクラウド・アーキテクチャでDNSレコードをシームレスに解決
  2. OCIマルチクラウド・アーキテクチャでDNSレコードをシームレスに解決

OCIマルチクラウド・アーキテクチャでDNSレコードをシームレスに解決

Oracle Cloud Infrastructure (OCI)マルチクラウド・アーキテクチャで実行されているワークロードの場合、Azureで実行されているサービスは、OCIでホストされているDNSレコードをシームレスに解決できます。

アーキテクチャ

このアーキテクチャは、Oracle Cloud Infrastructure (OCI)で実行されているマルチクラウド・ワークロードと、スプリットスタック、ワークロード・モビリティ、アプリケーションからアプリケーションへの統合、SaaSからプラットフォームへの統合、データ分析パイプラインなど、さまざまなトポロジでMicrosoft Azureをサポートします。

ハブVNetは、DNS転送ルール・セットをホストします。Azure DNS Private Resolverを使用することで、DNS転送ルール・セットにリンクされているスポークVNetsがOCIドメインを解決します。これにより、次の2つの方法でDNS設計が簡略化されます。

  • AzureでOCIレコードを手動で更新する必要はありません。
  • 一元化されたDNS転送ルール・セットは、異なるAzureスポークVNetsに対応できます。

このアーキテクチャでは、OCIとAzure間の接続がOracle Interconnect for Microsoft Azureで確立されていることを前提としています。

次のダイアグラムにアーキテクチャを示します。


dns-resolve-oci-azure.pngの説明が続きます
図dns-resolve-oci-azure.pngの説明

dns-resolve-oci-azure-oracle.zip

このアーキテクチャには、次のOracleコンポーネントがあります。

  • テナント

    テナンシは、Oracle Cloud Infrastructureのサインアップ時にOracleがOracle Cloud内で設定するセキュアで分離されたパーティションです。テナンシ内のOracle Cloudでリソースを作成、編成および管理できます。テナンシは、会社または組織と同義です。通常、会社は単一のテナンシを持ち、そのテナンシ内の組織構造を反映します。通常、単一のテナンシは単一のサブスクリプションに関連付けられ、単一のサブスクリプションには1つのテナンシのみが含まれます。

  • リージョン

    Oracle Cloud Infrastructureリージョンとは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的領域です。リージョンは他のリージョンから独立しており、長距離では(複数の国または大陸にまたがる)、それらを分離できます。

  • 仮想クラウド・ネットワーク(VCN)およびサブネット

    VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義のネットワークです。VCNは、従来のデータ・センター・ネットワークと同様に、ネットワーク環境の完全な制御を可能にします。VCNには重複しない複数のCIDRブロックを含めることができ、VCNの作成後にそれらを変更できます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。

  • ルート表

    仮想ルート表には、サブネットからVCN外の宛先(通常はゲートウェイ経由)にトラフィックをルーティングするルールが含まれます。

  • セキュリティ・リスト

    サブネットごとに、サブネットの内外で許可される必要があるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。

  • ネットワーク・セキュリティ・グループ(NSG)

    ネットワーク・セキュリティ・グループ(NSG)は、クラウド・リソースの仮想ファイアウォールとして機能します。Oracle Cloud Infrastructureのゼロ・トラスト・セキュリティ・モデルを使用すると、すべてのトラフィックが拒否され、VCN内のネットワーク・トラフィックを制御できます。NSGは、単一のVCN内の指定されたVNICのセットにのみ適用されるイングレスおよびエグレス・セキュリティ・ルールのセットで構成されます。

  • 動的ルーティング・ゲートウェイ(DRG)

    DRGは、同じリージョン内のVCN間、VCNとリージョン外のネットワーク(別のOracle Cloud Infrastructureリージョン内のVCN、オンプレミス・ネットワーク、別のクラウド・プロバイダのネットワークなど)間のプライベート・ネットワーク・トラフィックのパスを提供する仮想ルーターです。

  • プライベートDNSリゾルバ

    プライベートDNSリゾルバは、VCNのDNS問合せに応答します。ビューとゾーンに加え、条件付き転送ルールを使用してDNS問合せへの応答方法を定義するようにプライベート・リゾルバを構成できます。

  • リスニング・エンドポイント

    リスニング・エンドポイントは、VCN内または他のVCNリゾルバから、他のクラウド・サービス・プロバイダ(AWS、GCP、Azureなど)のDNSから、またはオンプレミス・ネットワークのDNSから問合せを受信します。作成後は、リスニング・エンドポイントに追加の構成は必要ありません。

  • Oracle Interconnect for Microsoft Azure

    Oracle Interconnect for Microsoft Azureは、OCIとMicrosoft Azureの間のネットワークトラフィック用の高パフォーマンスで低レイテンシ、かつ低ジッターのプライベート・トンネル接続であるネットワーク・リンクを作成します。OracleはMicrosoftと提携し、世界中の指定されたOCIリージョン・セットでこの接続を提供しています。

    Oracle Database Service for Microsoft Azureにサインアップすると、サービスにより、アカウント・リンク・プロセスの一環として、データベース・リソースへのプライベート接続が構成されます。

このアーキテクチャには、次のMicrosoft Azureコンポーネントがあります。

  • 仮想ネットワーク(VNet)およびサブネット

    VNetは、Microsoft Azureで定義する仮想ネットワークです。VNetには、VNetの作成後に追加できる重複しない複数のCIDRブロック・サブネットを含めることができます。VNetをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ゾーンに設定できます。各サブネットは、VNet内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。VNetを使用して、ネットワーク・レベルでAzureリソースを論理的に分離します。

  • DNSプライベート・リゾルバ

    Azure Private DNSは、仮想ネットワークに信頼性が高く安全な DNSサービスを提供します。Azure Private DNSは、カスタム DNSソリューションを構成することなく、仮想ネットワーク内のドメイン名を管理および解決します。

  • DNS転送ルール・セット

    DNS転送ルール・セットを使用すると、1つ以上のカスタムDNSサーバーを指定して、特定のDNSネームスペースの問合せに応答できます。ルール・セット内の個々のルールによって、これらのDNS名の解決方法が決まります。ルール・セットは、1つ以上の仮想ネットワークにリンクすることもできます。これにより、VNets内のリソースが、構成する転送ルールを使用できるようになります。

  • アウトバウンド・エンドポイント

    リゾルバのアウトバウンド・エンドポイントは、DNS転送ルール・セットに基づいてDNS問合せを処理します。

  • 仮想ネットワーク・リンク

    ルール・セットを仮想ネットワークにリンクすると、その仮想ネットワーク内のリソースは、ルール・セットで有効になっているDNS転送ルールを使用します。リンクされた仮想ネットワークは、アウトバウンド・エンドポイントが存在する仮想ネットワークとピア接続する必要はありませんが、これらのネットワークをピアとして構成できます。

レコメンデーション

Oracle Cloud Infrastructure (OCI)マルチクラウド・トポロジでDNSレコードを解決するには、次の推奨事項を開始点として使用します。

お客様の要件は、ここで説明するアーキテクチャと異なる場合があります。

  • セキュリティ

    ネットワーク・セキュリティ・グループ(NSG)をOCIリスニング・エンドポイントに割り当て、すべての拒否セキュリティ・ポスチャに従ってセキュリティ・グループを構成し、AzureアウトバウンドIPおよびDNSポートUDP:53のみを許可します。

  • 高可用性

    このアーキテクチャは、シンプルなAzure設計を示しています。本番デプロイメントでは、設計がAzureの高可用性のベスト・プラクティスに従っていることを確認します。OCIでは、OCI DNSリスニング・エンドポイントにリージョナル・サブネットを使用することをお薦めします。

  • アーキテクチャ

    DNSアウトバウンド・エンドポイントおよびリスニング・エンドポイントをホストするための専用サブネットをAzureおよびOCIに作成します。高度なOCIネットワーク設計では、カスタマイズされたプライベート・ビューでプライベートOCI DNSリゾルバを使用することを検討してください。

考慮事項

マルチクラウドDNS解決アーキテクチャを実装する場合、DNSアーキテクチャの総コストは、次のAzureリソースのコストに依存することに注意してください。

  • Azure DNS Private Resolverアウトバウンド・エンドポイント
  • Azure DNSプライベート・リゾルバのルールセット
  • DNS問合せ/月

デプロイ

Microsoft Azureハブとスポーク・トポロジからOCIへのシームレスなDNS解決を行うには、次の大まかなステップを実行します:
  1. OCI VCNのDNSリゾルバでリスニング・エンドポイントを作成します。
  2. AzureハブVNetにDNSプライベート・リゾルバを作成し、アウトバウンド・エンドポイントを構成します。
  3. DNS転送ルール・セットを作成します。
    1. 前のステップで作成したアウトバウンド・エンドポイントを設定します。
    2. スポークVNetsへの仮想ネットワーク・リンクを作成します。
    3. 次の表からルールを構成します。これらは一般的に必要なルールであり、特定のOCIサービスには追加のルールが必要になる場合があることに注意してください。
ドメイン名* 宛先IP: ポート 次のように使用します。
<oci-region-identifier>.oraclevcn.com. OCIリスニング・エンドポイントIP。ポート 53 VCN DNSホスト名
<oci-region-identifier>.oraclecloudapps.com. OCIリスニング・エンドポイントIP。ポート 53 Oracle Tools (Apex、DB Actions)
<oci-region-identifier>.oraclecloud.com. OCIリスニング・エンドポイントIP。ポート 53 データベース接続

*リージョンおよび可用性ドメインの最新情報は、リージョンおよび可用性ドメインを参照してください。

承認

  • Authors: Ricardo Anda, Ejaz Akram, Thomas Van Buggenhout
  • Contributors: Robert Lies

詳細の参照

このアーキテクチャの機能および関連するアーキテクチャについてさらに学習します。