Oracle Database@ で Amazon VPC への ODB ピアリングを設定するAWS - Oracle Database@AWS
ODB ピアリングの設定ODB ピアリング用の VPC ルートテーブルの設定DNS の設定の Amazon VPC Transit Gateway の設定 Oracle Database@AWSの AWS クラウド WAN の設定 Oracle Database@AWS

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Oracle Database@ で Amazon VPC への ODB ピアリングを設定するAWS

ODB ピアリングは、Amazon VPC と ODB ネットワーク間でトラフィックをプライベートにルーティングできるようにする、ユーザーが作成したネットワーク接続です。VPC と ODB ネットワークの間には one-to-one の関係があります。コンソール、CLI、または API を使用してピアリング接続を作成したら、VPC ルートテーブルを更新し、DNS 解決を設定してください。ODB ピアリングの概念的な概要については、「」を参照してくださいODB ピアリング

Oracle Database@ での ODB ピアリング接続の作成AWS

ODB ピアリング接続を使用すると、Oracle Exadata インフラストラクチャと Amazon VPCs で実行されているアプリケーションとの間にプライベートネットワーク接続を確立できます。各 ODB ピアリング接続は、ODB ネットワークとは独立して作成、表示、削除できる個別のリソースです。

ODB ピアリング接続を作成するときは、ピアネットワーク CIDR 範囲を指定できます。この手法は、必要なサブネットへのネットワークアクセスを制限し、攻撃の潜在的なターゲットを減らし、コンプライアンス要件に応じてより詳細なネットワークセグメンテーションを可能にします。

次のタイプの ODB ピアリング接続を作成できます。

同一アカウントの ODB ピアリング

同じ AWS アカウントの ODB ネットワークと Amazon VPC の間に ODB ピアリング接続を作成できます。

クロスアカウント ODB ピアリング

ODB ネットワークが を使用して共有された後、あるアカウントの ODB ネットワークと別のアカウントの Amazon VPC の間に ODB ピアリング接続を作成できます AWS RAM。VPC 所有者アカウントは、ODB ネットワークを所有することなく、ピアリング接続で指定された CIDR 範囲を管理できます。

VPC と ODB ネットワークの間には 1:1 の関係があります。VPC と複数の ODB ネットワーク間、または ODB ネットワークと複数の VPCs 間で ODB ピアリング接続を作成することはできません。

  1. にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/odb/ で Oracle Database@AWS コンソールを開きます。

  2. ナビゲーションペインで、ODB ピアリング接続を選択します。

  3. 「ODB ピアリング接続の作成」を選択します。

  4. (オプション) ODB ピアリング名には、接続の一意の名前を入力します。

  5. ODB ネットワークの場合は、ピアリングする ODB ネットワークを選択します。

  6. ピアネットワークの場合は、ODB ネットワークとピア接続する Amazon VPC を選択します。

  7. (オプション) ピアネットワーク CIDRs、ODB ネットワークにアクセスできるピア VPC から追加の CIDR ブロックを指定します。CIDRs を指定しない場合、ピア VPC からのすべての CIDRs へのアクセスが許可されます。

  8. (オプション) タグで、キーと値のペアを追加します。

  9. 「ODB ピアリング接続の作成」を選択します。

ODB ピアリング接続を作成したら、ピアリングされた ODB ネットワークにトラフィックをルーティングするように Amazon VPC ルートテーブルを設定します。詳細については、「ODB ピアリング用の VPC ルートテーブルの設定」を参照してください。Oracle Database@AWS は ODB ネットワークルートテーブルを自動的に設定することに注意してください。

ODB ピアリング接続を作成するには、 create-odb-peering-connection コマンドを使用します。

aws odb create-odb-peering-connection \
    --odb-network-id odbnet-1234567890abcdef \
    --peer-network-id vpc-abcdef1234567890

ODB ネットワークへのアクセスを特定の CIDR 範囲に制限するには、 --peer-network-cidrs-to-be-addedパラメータを使用します。CIDR 範囲を指定しない場合、すべての範囲にアクセスできます。

aws odb create-odb-peering-connection \
    --odb-network-id odbnet-1234567890abcdef \
    --peer-network-id vpc-abcdef1234567890 \
    --peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.2.0/24"

ODB ピアリング接続を一覧表示するには、 list-odb-peering-connections コマンドを使用します。

aws odb list-odb-peering-connections

特定の ODB ピアリング接続に関する詳細を取得するには、 get-odb-peering-connection コマンドを使用します。

aws odb get-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef

ODB ピアリング接続の更新

既存の ODB ピアリング接続を更新して、ピアネットワーク CIDRs を追加または削除できます。ピア VPC 内のどのサブネットが ODB ネットワークにアクセスできるかを制御します。

  1. にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/odb/ で Oracle Database@AWS コンソールを開きます。

  2. ナビゲーションペインで、ODB ピアリング接続を選択します。

  3. 更新する ODB ピアリング接続を選択します。

  4. 「アクション」を選択し、「ピアリング接続の更新」を選択します。

  5. ピアネットワーク CIDRsセクションで、必要に応じて CIDR ブロックを追加または削除します。

    • CIDRs を追加するには、CIDR の追加 を選択し、CIDR ブロックを入力します。

    • CIDRs を削除するには、削除する CIDR ブロックの横にある X を選択します。

  6. ピアリング接続の更新を選択します。

ODB ピアリング接続にピアネットワーク CIDRs を追加するには、 update-odb-peering-connection コマンド--peer-network-cidrs-to-be-addedで パラメータを指定します。

aws odb update-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef \
    --peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.3.0/24"

ODB ピアリング接続からピアネットワーク CIDRs を削除するには、 update-odb-peering-connection コマンド--peer-network-cidrs-to-be-removedで パラメータを指定します。

aws odb update-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef \
    --peer-network-cidrs-to-be-removed "10.0.1.0/24,10.0.3.0/24"

ODB ピアリング用の VPC ルートテーブルの設定

ルートテーブルには、サブネットまたはゲートウェイからのネットワークトラフィックの経路を判断する、ルートと呼ばれる一連のルールが含まれます。ルートテーブルの送信先 CIDR は、トラフィックの送信先となる IP アドレスの範囲です。ODB ネットワークへの ODB ピアリング用に VPC を指定した場合は、ODB ネットワークの宛先 IP 範囲を使用して VPC ルートテーブルを更新します。ODB ピアリングの詳細については、「」を参照してくださいODB ピアリング

ルートテーブルを更新するには、 コマンドを使用します AWS CLI ec2 create-route。次の の例では、Amazon VPC ルートテーブルを更新します。詳細については、「ODB ピアリング用の VPC ルートテーブルの設定」を参照してください。

aws ec2 create-route \
    --route-table-id rtb-1234567890abcdef \
    --destination-cidr-block 10.0.0.0/16 \
    --odb-network-arn arn:aws:odb:us-east-1:111111111111:odb-network/odbnet_1234567890abcdef

ODB ネットワークルートテーブルは VPC CIDRsで自動的に更新されます。VPC 内のすべての CIDRs ではなく、特定のサブネット CIDRs に対してのみ ODB ネットワークへのアクセスを許可するには、ODB ピアリング接続を作成するときにピアネットワーク CIDRs を指定するか、既存の ODB ピアリング接続を更新してピアリング CIDR 範囲を追加または削除できます。詳細については、「Oracle Database@ での ODB ピアリング接続の作成AWS」および「ODB ピアリング接続の更新」を参照してください。

VPC ルートテーブルの詳細については、Amazon Virtual Private Cloud ユーザーガイド」の「サブネットルートテーブル」およびAWS CLI 「 コマンドリファレンス」の「ec2 create-route」を参照してください。

の DNS の設定 Oracle Database@AWS

Amazon Route  53 は、DNS ルーティングに使用できる高可用性でスケーラブルなドメインネームシステム (DNS) ウェブサービスです。ODB ネットワークと VPC の間に ODB ピアリング接続を作成する場合、VPC 内から ODB ネットワークリソースの DNS クエリを解決するメカニズムが必要です。Amazon Route  53 を使用して、次のリソースを設定できます。

  • アウトバウンドエンドポイント

    エンドポイントは、ODB ネットワークに DNS クエリを送信するために必要です。

  • リゾルバールール

    このルールは、Route  53 Resolver が ODB ネットワークの DNS に転送する DNS クエリのドメイン名を指定します。

での DNS の仕組み Oracle Database@AWS

Oracle Database@AWS は、ODB ネットワークのドメインネームシステム (DNS) 設定を自動的に管理します。ドメイン名には、デフォルトのドメイン名にカスタムプレフィックスoraclevcn.comを指定するか、完全にカスタムのドメイン名を指定できます。詳細については、「ステップ 1: で ODB ネットワークを作成する Oracle Database@AWS」を参照してください。

が ODB ネットワークを Oracle Database@AWS プロビジョニングすると、次のリソースが作成されます。

  • ODB ネットワークと同じ CIDR ブロックを持つ Oracle Cloud Infrastructure (OCI) 仮想クラウドネットワーク (VCN)

    この VCN は、お客様のリンクされた OCI テナンシーにあります。ODB ネットワークと OCI VCN の間には 1:1 のマッピングがあります。すべての ODB ネットワークは OCI VCN に関連付けられます。

  • OCI VCN 内のプライベート DNS リゾルバー

    この DNS リゾルバーは、OCI VCN 内の DNS クエリを処理します。OCI オートメーションは VM クラスターのレコードを作成します。スキャンでは、*.oraclevcn.com完全修飾ドメイン名 (FQDN) を使用します。

  • プライベート DNS リゾルバーの OCI VCN 内の DNS リッスンエンドポイント

    DNS リッスンエンドポイントは、コンソールの ODB ネットワークの詳細ページで Oracle Database@AWS 確認できます。

での ODB ネットワークでのアウトバウンドエンドポイントの設定 Oracle Database@AWS

アウトバウンドエンドポイントを使用すると、DNS クエリを VPC からネットワークまたは IP アドレスに送信できます。エンドポイントは、クエリの送信元の IP アドレスを指定します。VPC から ODB ネットワークに DNS クエリを転送するには、Route 53 コンソールを使用してアウトバウンドエンドポイントを作成します。詳細については、「アウトバウンド DNS クエリをネットワークに転送する」を参照してください。

ODB ネットワークでアウトバウンドエンドポイントを設定するには

  1. にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/route53/ で Route 53 コンソールを開きます。

  2. 左側のペインで、アウトバウンドエンドポイントを選択します。

  3. ナビゲーションバーで、アウトバウンドエンドポイントを作成する VPC のリージョンを選択します。

  4. [Create outbound endpoint (アウトバウンドエンドポイントの作成)] を選択します。

  5. アウトバウンドエンドポイントの全般設定セクションを次のように入力します。

    1. 以下へのアウトバウンド TCP および UDP 接続を許可するセキュリティグループを選択します。

      • リゾルバーが ODB ネットワークの DNS クエリに使用する IP アドレス

      • リゾルバーが ODB ネットワークの DNS クエリに使用するポート

    2. Endpoint Type で、IPv4 を選択します。

    3. このエンドポイントのプロトコルでDo53 を選択します。

  6. IP アドレスで、次の情報を指定します。

    • IP アドレスを指定するか、Route  53 Resolver がサブネット内の使用可能なアドレスから IP アドレスを選択できるようにします。DNS クエリには、最小 2 つから最大 6 つの IP アドレスを選択します。少なくとも 2 つの異なるアベイラビリティーゾーンで IP アドレスを選択することをお勧めします。

    • Subnet で、以下を含むサブネットを選択します。

      • ODB ネットワーク上の DNS リスナーの IP アドレスへのルートを含むルートテーブル

      • リゾルバーが ODB ネットワークの DNS クエリに使用する IP アドレスとポートへの UDP および TCP トラフィックを許可するネットワークアクセスコントロールリスト (ACLs)

      • 送信先ポート範囲 1024-65535 のリゾルバーからのトラフィックを許可するネットワーク ACLs

  7. (オプション) タグには、エンドポイントのタグを指定します。

  8. [Submit] を選択してください。

でのリゾルバールールの設定 Oracle Database@AWS

リゾルバールールは、DNS クエリをルーティングする方法を決定する一連の基準です。再使用するか、リゾルバーが ODB ネットワークの DNS に転送する DNS クエリのドメイン名を指定するルールを作成します。

既存のリゾルバールールの使用

既存のリゾルバールールを使用するには、アクションはルールのタイプによって異なります。

の VPC と同じ AWS リージョンにある同じドメインのルール AWS アカウント

新しいルールを作成する代わりに、ルールを VPC に関連付けます。ルールダッシュボードからルールを選択し、 AWS リージョン内の該当する VPCs に関連付けます。

VPC と同じリージョンにあるが、別のアカウントにある同じドメインのルール

を使用して AWS Resource Access Manager 、リモートアカウントから アカウントにルールを共有します。ルールを共有するときは、対応するアウトバウンドエンドポイントも共有します。ルールをアカウントと共有したら、ルールダッシュボードからルールを選択し、アカウントの VPCs に関連付けます。詳細については、「転送ルールの管理」を参照してください。

新しいリゾルバールールの作成

既存のリゾルバールールを再利用できない場合は、Amazon Route  53 コンソールを使用して新しいルールを作成します。

新しいリゾルバールールを作成するには

  1. にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/route53/ で Route 53 コンソールを開きます。

  2. 左側のペインで、ルールを選択します。

  3. ナビゲーションバーで、アウトバウンドエンドポイントが存在する VPC のリージョンを選択します。

  4. [‬ルールを作成]‭ を選択します。

  5. アウトバウンドトラフィックのルールセクションを次のように入力します。

    1. ルールタイプで、転送ルールを選択します。

    2. ドメイン名には、ODB ネットワークから完全なドメイン名を指定します。

    3. このルールを使用する VPCs、DNS クエリが ODB ネットワークに転送される VPC に関連付けます。

    4. アウトバウンドエンドポイント で、 で作成したアウトバウンドエンドポイントを選択しますでの ODB ネットワークでのアウトバウンドエンドポイントの設定 Oracle Database@AWS

      注記

      このルールに関連付けられた VPC は、アウトバウンドエンドポイントを作成したのと同じ VPC である必要はありません。

  6. ターゲット IP アドレスセクションを次のように入力します。

    1. IP アドレスには、ODB ネットワーク上の DNS リスナー IP の IP アドレスを指定します。

    2. ポートには、53 を指定します。これは、リゾルバーが DNS クエリに使用するポートです。

      注記

      Route 53 Resolver は、このルールに一致する DNS クエリを、このルールに関連付けられた VPC から参照されるアウトバウンドエンドポイントに転送します。これらのクエリは、ターゲット IP アドレスで指定したターゲット IP アドレスに転送されます。

    3. Transmission プロトコルで、Do53 を選択します。

  7. (オプション) タグには、ルールのタグを指定します。

  8. [Submit] を選択してください。

での DNS 設定のテスト Oracle Database@AWS

アウトバウンドエンドポイントとリゾルバールールを作成したら、DNS が正しく解決することをテストします。アプリケーション VPC で Amazon EC2 インスタンスを使用して、次のように DNS 解決を実行します。

Linux または MacOS の場合

形式のコマンドを使用しますdig record-name record-type

Windows の場合

形式のコマンドを使用しますnslookup -type=record-name record-type

の Amazon VPC Transit Gateway の設定 Oracle Database@AWS

Amazon VPC Transit Gateway は、仮想プライベートクラウド (VPCs) とオンプレミスネットワークを相互接続するネットワークトランジットハブです。hub-and-spokeアーキテクチャの各 VPC は、トランジットゲートウェイに接続して、他の接続された VPCsにアクセスできます。 は、IPv4 と IPv6 の両方のトラフィック AWS Transit Gateway をサポートします。

では Oracle Database@AWS、ODB ネットワークは 1 つの VPC へのピア接続のみをサポートします。ODB ネットワークにピア接続されている VPC にトランジットゲートウェイを接続する場合は、複数の VPCs をこのゲートウェイに接続できます。これらの異なる VPCs で実行されているアプリケーションは、ODB ネットワークで実行されている Exadata VM クラスターにアクセスできます。

次の図は、2 つの VPCs と 1 つのオンプレミスネットワークに接続されているトランジットゲートウェイを示しています。

トランジットゲートウェイに接続されている VPC とピア接続された ODB ネットワークを表示します。ゲートウェイは VPC とオンプレミスネットワークに接続されます。

前の図では、1 つの VPC が ODB ネットワークにピア接続されています。この設定では、ODB ネットワークはトランジットゲートウェイにアタッチされたすべての VPCs にトラフィックをルーティングできます。各 VPC のルートテーブルには、ローカルルートと、ODB ネットワーク宛てのトラフィックをトランジットゲートウェイに送信するルートの両方が含まれます。

では AWS Transit Gateway、トランジットゲートウェイへの 1 時間あたりの接続数と、 が通過するトラフィック量に対して課金されます AWS Transit Gateway。コスト情報については、「 AWS Transit Gateway の料金」を参照してください。

要件

Oracle Database@AWS 環境が次の要件を満たしていることを確認します。

  • ODB ネットワークにピア接続されている VPC は同じ にある必要があります AWS アカウント。ピア接続された VPC が ODB ネットワークとは異なるアカウントにある場合、Transit Gateway アタッチメントは共有設定に関係なく失敗します。

  • ODB ネットワークにピア接続されている VPC には、トランジットゲートウェイアタッチメントが必要です。

    注記

    トランジットゲートウェイが共有用に設定されている場合、任意のアカウントに存在することができます。したがって、ゲートウェイ自体が VPC および ODB ネットワークと同じアカウントに存在する必要はありません。

  • トランジットゲートウェイアタッチメントは、ODB ネットワークと同じアベイラビリティーゾーン (AZ) にある必要があります。

制限事項

Amazon VPC Transit Gateway の以下の制限に注意してください Oracle Database@AWS。

  • Amazon VPC Transit Gateway は、ODB ネットワークをアタッチメントとして使用するネイティブ統合を提供していません。したがって、次のような VPC 機能は利用できません。

    • パブリック DNS ホスト名のプライベート IP アドレスへの解決

    • ODB ネットワークトポロジ、ルーティング、および接続ステータスの変更に関するイベント通知

  • ODB ネットワークへのマルチキャストトラフィックはサポートされていません。

Transit Gateway のセットアップと設定

Amazon VPC コンソールまたは aws ec2 コマンドを使用して、トランジットゲートウェイを作成して設定します。次の手順では、 の VPC にピア接続された ODB ネットワークがないことを前提としています AWS アカウント。ODB ネットワークと VPC がアカウントに既にピアリングされている場合は、ステップ 1~3 をスキップします。

注記

VPC にアタッチメントをアタッチまたは再アタッチする場合は、必ず CIDR 範囲を ODB ODB ネットワークに再入力します。

のトランジットゲートウェイを設定および設定するには Oracle Database@AWS

  1. ODB ネットワークを作成します。詳細については、「ステップ 1: で ODB ネットワークを作成する Oracle Database@AWS」を参照してください。

  2. ODB ネットワークを含むのと同じアカウントを使用して VPC を作成します。詳細については、「Amazon VPC ユーザーガイド」の「VPC の作成」を参照してください。

  3. ODB ネットワークと VPC の間に ODB ピアリング接続を作成します。詳細については、「Oracle Database@ で Amazon VPC への ODB ピアリングを設定するAWS」を参照してください。

  4. 「Amazon VPC Transit Gateway の使用を開始する」の手順に従って、トランジットゲートウェイを設定します。ゲートウェイは、ODB ネットワークおよび VPC AWS アカウント と同じ にあるか、別のアカウントによって共有されている必要があります。

    重要

    ODB ネットワークと同じ AZ に Transit Gateway アタッチメントを作成します。

  5. コアネットワークにアタッチする VPCs およびオンプレミスネットワークの ODB ネットワークに CIDR 範囲を追加します。詳細については、「での ODB ネットワークの更新 Oracle Database@AWS」を参照してください。

    CLI を使用している場合は、 コマンドを --peered-cidrs-to-be-addedおよび update-odb-networkで実行します--peered-cidrs-to-be-removed。詳細については、『AWS CLI コマンドリファレンス』を参照してください。

の AWS クラウド WAN の設定 Oracle Database@AWS

AWS クラウド WAN は、マネージド型ワイドエリアネットワーキング (WAN) サービスです。 AWS Cloud WAN を使用して、クラウド環境とオンプレミス環境全体で実行されているリソースを接続する統合グローバルネットワークを構築、管理、モニタリングできます。

AWS クラウド WAN では、グローバルネットワークは、ネットワークオブジェクトの高レベルコンテナとして機能する単一のプライベートネットワークです。コアネットワークは、 が管理するグローバルネットワークの一部です AWS。

AWS クラウド WAN には、次の主な利点があります。

  • 複数のリージョンでセキュリティを維持しながら運用を簡素化する一元化されたネットワーク管理

  • 複数のルーティングドメインを介してトラフィックを分離するセグメンテーションが組み込まれたコアネットワーク

  • ネットワーク管理を自動化し、グローバルネットワーク全体で一貫した設定を定義するポリシーのサポート

Oracle Database@ ではAWS、ODB ネットワークは 1 つの VPC へのピア接続のみをサポートします。 AWS クラウド WAN コアネットワークをピア接続された VPC に接続すると、グローバルトラフィックルーティングが有効になります。複数のリージョンにまたがるアタッチされた VPCs 内のアプリケーションは、ODB ネットワーク内の Exadata VM クラスターにアクセスできます。ODB ネットワークトラフィックを独自のセグメントに分離したり、他のセグメントへのアクセスを有効にしたりできます。

次の図は、3 つの VPCs と 1 つのオンプレミスネットワークに接続されている AWS Cloud WAN コアネットワークを示しています。

AWS Cloud WAN コアネットワークに接続されている VPC とピア接続された ODB ネットワークを表示します。ネットワークは 3 つの VPCsとオンプレミスネットワークに接続されます。

AWS クラウド WAN は、ODB ネットワークをアタッチメントとして使用するネイティブ統合を提供していません。したがって、次のような VPC 機能は利用できません。

  • パブリック DNS ホスト名のプライベート IP アドレスへの解決

  • ODB ネットワークトポロジ、ルーティング、および接続ステータスの変更に関するイベント通知

AWS Cloud WAN では、以下に対して時間単位で課金されます。

  • リージョンの数 (コアネットワークエッジ)

  • コアネットワークアタッチメントの数

  • アタッチメントを介してコアネットワークを通過するトラフィックの量

料金の詳細については、AWS 「Cloud WAN の料金」を参照してください。

のコアネットワークを設定するには Oracle Database@AWS

  1. コアネットワークにアタッチする VPCs およびオンプレミスネットワークの ODB ネットワークに CIDR 範囲を追加します。詳細については、「での ODB ネットワークの更新 Oracle Database@AWS」を参照してください。

    注記

    VPC にアタッチメントをアタッチまたは再アタッチする場合は、必ず CIDR 範囲を ODB ODB ネットワークに再入力します。

  2. AWS 「 クラウド WAN グローバルネットワークとコアネットワークを作成する」のステップに従います。