プライベート・エンドポイントを使用したOCIオブジェクト・ストレージへのオンプレミス・データベース・バックアップ用のセキュアなネットワーク・アーキテクチャ

オフサイト・バックアップは、ビジネスの継続性にとって重要です。Oracle Cloud Infrastructure (OCI)は、プライベート・エンドポイントをバックアップ・ターゲットとしてOCI Object Storageを提供します。OCIは、OCI Object Storageに関連付けられたパブリックIPアドレスを使用せずに、お客様のオンプレミス・ロケーションからセキュアでプライベートな接続を構築します。

アーキテクチャ

このリファレンス・アーキテクチャは、Oracle Exadata Database Service on Cloud@CustomerデータをOCIオブジェクト・ストレージにバックアップするためのセキュアで高パフォーマンスなプライベート・ネットワーク設計を示しています。

最適なネットワーク・パフォーマンスを実現するために、プライベート・ピアリングを備えたOracle Cloud Infrastructure FastConnectは、オンプレミス・データ・センターを顧客テナントのOCIリージョンに接続します。

OCIオブジェクト・ストレージ・プライベート・エンドポイントは、VCN内の顧客サブネットのプライベートIPを使用して、オブジェクト・ストレージへのセキュアなアクセスを提供します。

OCIプライベートDNSゾーンは、VCNを介して接続しているクライアントに対してのみレスポンスを提供します。OCI DNSリスニング・エンドポイントを構成し、オンプレミスの顧客データ・センターに転送ルールを実装することで、シームレスなハイブリッドDNS解決を実現します。

次の図は、このリファレンス・アーキテクチャを示しています。

図secure-backup-oci-object-storage.pngの説明

secure-backup-oci-object-storage-oracle.zip

アーキテクチャには次のコンポーネントがあります。

• リージョン

  OCIリージョンとは、可用性ドメインをホストする1つ以上のデータ・センターを含む、ローカライズされた地理的領域のことです。リージョンは他のリージョンから独立しており、長距離の場合は複数の国または大陸にまたがる領域を分離できます。

• 可用性ドメイン

  可用性ドメインは、リージョン内の独立したスタンドアロン・データ・センターです。各可用性ドメイン内の物理リソースは、他の可用性ドメイン内のリソースから分離されているため、フォルト・トレランスが提供されます。可用性ドメインどうしは、電力や冷却、内部可用性ドメイン・ネットワークなどのインフラを共有しません。そのため、ある可用性ドメインでの障害が、リージョン内の他の可用性ドメインに影響することはありません。

• 仮想クラウド・ネットワーク(VCN)およびサブネット

  VCNは、OCIリージョンで設定した、カスタマイズ可能なソフトウェア定義ネットワークです。従来のデータ・センター・ネットワークと同様に、VCNsではネットワーク環境を制御できます。VCNには、VCNの作成後に変更できる複数の非重複クラスレス・ドメイン間ルーティング(CIDR)ブロックを含めることができます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。

• 動的ルーティング・ゲートウェイ(DRG)

  The DRG is a virtual router that provides a path for private network traffic between VCNs in the same region, between a VCN and a network outside the region, such as a VCN in another OCI region, an on-premises network, or a network in another cloud provider.

• FastConnect

  Oracle Cloud Infrastructure FastConnectは、データセンターとOCI間に専用のプライベート接続を作成します。FastConnectは、インターネット・ベースの接続と比較して、より高帯域幅のオプションとより信頼性の高いネットワーキング体験を提供します。

• オブジェクト・ストレージ

  OCIオブジェクト・ストレージでは、データベースのバックアップ、分析データ、イメージおよびビデオなどのリッチ・コンテンツなど、あらゆるコンテンツ・タイプの構造化データおよび非構造化データの大量へのアクセスを提供します。インターネットから直接またはクラウド・プラットフォーム内から、安全かつセキュアにデータを格納できます。パフォーマンスやサービスの信頼性を低下させることなく、ストレージを拡張することができます。

  迅速、即時、頻繁にアクセスする必要のあるホット・ストレージに標準ストレージを使用します。長期間保存し、ほとんどまたはめったにアクセスしないコールド・ストレージにアーカイブ・ストレージを使用します。

• Object Storageプライベート・エンドポイント

  Object Storageプライベート・エンドポイントは、OCI VCNsまたはオンプレミス・ネットワークからObject Storageへのセキュアなアクセスを提供します。プライベート・エンドポイントは、VNC内で選択したサブネット内のプライベートIPアドレスを持つVNICです。この方法は、OCIサービスに関連付けられたパブリックIPアドレスを使用してサービス・ゲートウェイを使用する代替方法です。

• プライベートDNSリゾルバ

  プライベートDNSリゾルバは、VCNのDNS問合せの回答を行います。プライベート・リゾルバは、ビューとゾーンに加え、条件付き転送ルールを使用してDNS問合せへの応答方法を定義するように構成できます。

• リスニング・エンドポイント

  リスニング・エンドポイントは、VCN内または他のVCNリゾルバから、他のクラウド・サービス・プロバイダ(AWS、GCP、Azureなど)のDNSから、またはオンプレミス・ネットワークのDNSから問合せを受信します。作成後は、リスニング・エンドポイントに追加の構成は必要ありません。

レコメンデーション

プライベート・エンドポイントを介してOracle Exadata Database Service on Cloud@CustomerデータをOCI Object Storageにバックアップするためにネットワークを設計する場合は、次の推奨事項を使用します。実際の要件は、ここで説明するアーキテクチャとは異なる場合があります。

• VCN

  VCNを作成するときには、必要なCIDRブロックの数を決定し、VCN内のサブネットにアタッチする予定のリソースの数に基づいて各ブロックのサイズを決定します。標準のプライベートIPアドレス領域内にあるCIDRブロックを使用します。

  プライベート接続を設定する他のネットワーク(Oracle Cloud Infrastructure、オンプレミス・データ・センターまたは別のクラウド・プロバイダ)と重複しないCIDRブロックを選択します。

  VCNを作成した後、そのCIDRブロックを変更、追加および削除できます。

  サブネットを設計するときには、トラフィック・フローおよびセキュリティ要件を考慮してください。特定の層またはロール内のすべてのリソースを同じサブネットにアタッチします。このサブネットはセキュリティ境界として機能します。

• IAMポリシーおよびネットワーク・ソース

  VCNでプライベート・エンドポイントを作成してバケットに関連付けると、インターネットまたはその他のネットワーク・ソースからのバケットへのアクセスは制限されません。バケットでIAMポリシーを使用してルールを定義する必要があるため、リクエストは、そのVCN内の特定のVCNまたはCIDRブロックから発生した場合にのみ認可されます。インターネット経由を含む他のすべてのアクセスは、これらのバケットに対してブロックされます。

• セキュリティ

  ネットワーク・セキュリティ・グループ(NSG)をOCIリスニング・エンドポイントに割り当て、すべての拒否セキュリティ・ポスチャに従ってセキュリティ・グループを構成し、ポートUDP:53のオンプレミスDNS IPのみを許可します。オブジェクト・ストレージのプライベート・エンドポイントは、特定のバケットおよびコンパートメントへのアクセスを制限するように構成できます。

• 高可用性

  このアーキテクチャは、簡略化された設計を示しています。本番デプロイメントでは、設計が高可用性のベスト・プラクティスに従っていることを確認します。

Deploy

前述のアーキテクチャ図で、オンプレミスからOCIへのネットワーク通信およびDNS解決を構成するには、次の大まかなステップを実行します。

ネットワーク構成

1. VCNを作成します。
2. オブジェクト・ストレージのプライベート・エンドポイントのプライベート・サブネットを作成します。
3. オブジェクト・ストレージのプライベート・エンドポイントをデプロイします。
4. DNSエンドポイントのプライベート・サブネットを作成します。
5. DRGを作成します。
6. VCNをDRGにアタッチします。
7. プライベート仮想回線を使用してFastConnectを作成し、オンプレミスに接続してDRGにアタッチします。

DNS構成

1. VCN DNSリゾルバにリスニング・エンドポイントを作成し、DNSサブネットにデプロイします。
2. 「DNS Subnet Security」リストで、オンプレミスDNSサーバーのソースIPを含むUDP:53を許可します。
3. オンプレミスDNSサーバーにDNS転送ルールを作成します。次の表からルールを構成します。

   ドメイン名*	宛先IP: ポート
   objectstorage. <oci-region-identifier>.oci.customer-oci.com	OCIリスニング・エンドポイントIP。ポート 53
   swiftobjectstorage. <oci-region-identifier>.oci.customer-oci.com	OCIリスニング・エンドポイントIP。ポート 53

   *リージョンおよび可用性ドメインの最新情報については、リージョンおよび可用性ドメインを参照してください

詳細の参照

このリファレンス・アーキテクチャの機能の詳細は、次の追加リソースを参照してください。

• オブジェクト・ストレージのプライベート・エンドポイント
• Oracle Exadata Database Service on Cloud@Customerのドキュメント
• Oracle Cloud Infrastructureドキュメンテーション
• Oracle Cloud Infrastructure用のWell-architectedフレームワーク
• Oracle Cloudコスト見積り機能
• クラウド導入フレームワーク

確認

• 作成者: Ricardo Anda, Ejaz Akram