この記事では、Oracle AI Database@Azureのネットワーク トポロジと制約について説明します。
Azure Marketplaceを通じてオファーを購入し、Oracle Exadata インフラストラクチャをプロビジョニングした後、次の手順は、Oracle Exadata Database@Azureのインスタンスをホストする仮想マシン クラスターを作成することです。 Oracle AI Database クラスターは、委任されたサブネット (Oracle.Database/networkAttachment に委任) から仮想ネットワーク インターフェイス カード (仮想 NIC) を介してAzure仮想ネットワークに接続されます。
ネットワーク機能
ネットワーク機能には、既定と事前の 2 種類があります。
既定のネットワーク機能
既定のネットワーク機能により、新規および既存の Oracle AI Database@Azureデプロイの両方で基本的なネットワーク接続が有効になります。 これらの機能は、サポートされているすべての Oracle AI Database@Azure リージョンで使用でき、デプロイに必要な基本的なネットワークを提供します
高度なネットワーク機能
高度なネットワーク機能により、仮想ネットワーク エクスペリエンスが強化され、標準のAzure VM と同様に、セキュリティ、パフォーマンス、制御が向上します。 これらの機能は、次のリージョンの新規展開で一般使用可能です。
- オーストラリア東部
- オーストラリア南東部
- ブラジル南部
- ブラジル南東部
- カナダ中部
- カナダ東部
- インド中部
- 米国中部
- 米国東部
- 米国東部 2
- フランス中部
- フランス南部
- ドイツ北部
- ドイツ中西部
- インド南部
- イタリア北部
- 東日本
- 西日本
- 米国中北部
- 北ヨーロッパ
- 米国中南部
- インド南部
- 東南アジア
- スペイン中部
- スウェーデン中部
- スイス北部
- アラブ首長国連邦中部
- アラブ首長国連邦北部
- 英国南部
- 英国西部
- 米国西部
- 米国西部 2
- 米国西部 3
- 西ヨーロッパ
Note
高度なネットワーク機能は、現在、新しい Oracle AI Database@Azureデプロイでのみサポートされています。 以前に作成された Oracle AI Database@Azure委任されたサブネットを持つ既存の仮想ネットワークでは、現時点ではこれらの機能はサポートされません。 既存のデプロイのサポートは、今年後半に予定されています。
委任されたサブネットに対する登録が必要です
高度なネットワーク機能を使用するには、Oracle AI Database@Azureデプロイ用の新しい委任されたサブネットを作成する前に、(AZCLI を介して) 次のコマンドを使用して登録します。
Register-AzProviderFeature -FeatureName "EnableRotterdamSdnApplianceForOracle" -ProviderNamespace "Microsoft.Baremetal"
Register-AzProviderFeature -FeatureName "EnableRotterdamSdnApplianceForOracle" -ProviderNamespace "Microsoft.Network"
Note
登録状態は、'Registered' に変更する前に最大 60 分間 'Registering' 状態にすることができます。 状態が "登録済み" になるまで待ってから、委任されたサブネットの作成を続行します。
サポートされているトポロジ
次の表では、Oracle AI Database@Azureのネットワーク機能の各構成でサポートされるネットワーク トポロジについて説明します。
| Topology | 既定のネットワーク機能 | 高度なネットワーク機能 |
|---|---|---|
| ローカル仮想ネットワーク内の Oracle AI Database クラスターへの接続 | Yes | Yes |
| ピアリングされた仮想ネットワーク (同じリージョン) 内の Oracle AI Database クラスターへの接続 | Yes | Yes |
| 仮想ワイド エリア ネットワーク (仮想 WAN) を使用した別のリージョンのスポーク仮想ネットワーク内の Oracle AI Database クラスターへの接続 | Yes | Yes |
| 異なるリージョンのピアリングされた仮想ネットワーク内の Oracle AI Database クラスターへの接続 (グローバル ピアリング) | No | Yes |
| グローバルおよびローカル Azure ExpressRouteを介した Oracle AI Database クラスターへのオンプレミス接続 | Yes | Yes |
| Azure ExpressRoute FastPath | No | Yes |
| オンプレミスからスポーク仮想ネットワーク内の Oracle AI Database クラスターへの接続は ExpressRoute ゲートウェイを経由し、ゲートウェイ転送を使用した仮想ネットワークピアリングが行われます | Yes | Yes |
| 仮想プライベート ネットワーク (VPN) ゲートウェイを介した、委任されたサブネットへのオンプレミス接続 | Yes | Yes |
| VPN ゲートウェイ経由のスポーク仮想ネットワーク内のオンプレミスから Oracle AI データベースへの接続と、ゲートウェイ転送を使用した仮想ネットワーク ピアリング | Yes | Yes |
| アクティブ/パッシブ VPN ゲートウェイを経由した接続 | Yes | Yes |
| アクティブ/アクティブ VPN ゲートウェイを経由した接続 | No | Yes |
| ゾーン冗長によるゾーン ExpressRoute ゲートウェイ経由の接続 | Yes | Yes |
| スポーク仮想ネットワークにプロビジョニングされた Oracle AI Database クラスターの仮想 WAN 経由のトランジット接続 | Yes | Yes |
| 仮想 WAN と接続されたソフトウェア定義ワイド エリア ネットワーク (SD-WAN) を介した Oracle AI Database クラスターへのオンプレミス接続 | No | Yes |
| セキュリティ保護されたハブ (ファイアウォール ネットワーク仮想アプライアンス) 経由でのオンプレミス接続 | Yes | Yes |
| Oracle AI Database@Azure ノード上の Oracle AI Database クラスターからAzure リソースへの接続 | Yes | Yes |
| Azure Container Apps高度なネットワーク機能でサポートされます | No | Yes |
| 基本的なネットワーク機能を使用したAzure NetApp Filesからの接続 (ANF と Oracle AI Database@Azureを別々の VNET にデプロイする必要があります) | No | Yes |
| Standard ネットワーク機能を使用したAzure NetApp Filesからの接続 (ANF と Oracle AI Database@Azureを別々の VNET にデプロイする必要があります) | Yes | Yes |
Constraints
次の表では、サポートされているネットワーク機能の必要な構成について説明します。
| Features | 既定のネットワーク機能 | 高度なネットワーク機能 |
|---|---|---|
| 仮想ネットワークごとの委任されたサブネット | 1 | 1 |
| Oracle AI Database@Azure 委任サブネットのネットワーク セキュリティ グループ | No | Yes |
| Oracle AI Database@Azure委任されたサブネット上のユーザー定義ルート (UDR) | Yes | Yes |
| Azure によって委任されたサブネット上の同じ仮想ネットワーク内で、Oracle AI Database クラスターからプライベート エンドポイントへの接続 | No | Yes |
| Oracle AI Database クラスターから、仮想 WAN に接続されている別のスポーク仮想ネットワーク内の プライベート エンドポイント への接続 | Yes | Yes |
| プライベート リンクでの NSG のサポート | No | Yes |
| プライベート エンドポイントを介したAzure機能などのサーバーレス アプリへの接続 | No | Yes |
| Azure の Oracle AI データベース クラスター トラフィック向けの SLB および ILB サポート | No | No |
| デュアル スタック (IPv4 および IPv6) 仮想ネットワーク | IPv4 のみがサポートされています | IPv4 のみがサポートされています |
| サービス タグのサポート | No | Yes |
| 仮想ネットワーク フロー ログ | No | Yes |
| プライベート エンドポイント経由で ODAA インスタンスに接続する | No | No |
| Standard V2 NAT GW のサポート | No | No |
Note
Azure側で NSG (ネットワーク セキュリティ グループ) を使用する場合は、競合を回避するために Oracle (OCI) 側で構成されているセキュリティ規則が確認されていることを確認します。 Azureと OCI の両方にセキュリティ ポリシーを適用すると、全体的なセキュリティ体制を強化できますが、管理の面でも複雑さが増し、2 つの環境間で慎重に手動で同期する必要があります。 これらのポリシー間の不整合は、意図しないアクセスの問題や運用の中断につながる可能性があります。
Oracle AI Database@Azureにトラフィックをルーティングするための UDR 要件
ネットワーク仮想アプライアンス (NVA)/ファイアウォールを介して Oracle AI Database@Azureにトラフィックをルーティングする場合、User-Defined ルート (UDR) プレフィックス少なくとも Oracle AI Database@Azure インスタンスに委任されたサブネットと同じになります。 プレフィックスが広い場合、トラフィックがドロップされる可能性があります。
インスタンスの委任されたサブネットが x.x.x.x/27 の場合は、ゲートウェイ サブネットの UDR を次のように構成します。
| ルート プレフィックス | ルーティングの結果 |
|---|---|
| x.x.x.x/27 | (サブネットと同じ) ✅ |
| x.x.x.x/32 | (より具体的) ✅ |
| x.x.x.x/24 | (広すぎる) ❌ |
トポロジ固有のガイダンス
ハブアンドスポーク トポロジ
- ゲートウェイ サブネットで UDR を定義します。
-
x.x.x.x/27以上の特定のルート プレフィックスを使用します。 - 次ホップを NVA/ファイアウォールに設定します。
Virtual WAN (VWAN)
ルーティング インテントを使用:
- 委任されたサブネット プレフィックス (
x.x.x.x/27) をルーティングインテントのプレフィックスの一覧に追加します。
- 委任されたサブネット プレフィックス (
ルーティング意図なし:
-
x.x.x.x/27用の VWAN のルート テーブルにルートを追加し、次ホップを NVA/ファイアウォールにポイントします。
-
Note
advanced ネットワーク機能が有効になっていない場合、ゲートウェイを走査する必要がある Oracle AI Database@Azure委任されたサブネット (たとえば、オンプレミス ネットワーク、AVS、その他のクラウドなど) から送信されるトラフィックの場合は、委任されたサブネットで特定の UDR を構成する必要があります。
これらの UDR では、特定の宛先 IP プレフィックスを定義し、次ホップをハブ内の適切な NVA/ファイアウォールに設定する必要があります。
これらのルートがないと、送信トラフィックが必要な検査パスをバイパスしたり、目的の宛先に到達できなかったりする可能性があります。
Note
仮想ネットワーク ゲートウェイ (ExpressRoute または VPN) とファイアウォールを介してオンプレミス ネットワークから Oracle AI Database@Azure インスタンスにアクセスするには、仮想ネットワーク ゲートウェイに割り当てられたルート テーブルを構成して、Oracle AI Database@Azure インスタンスの /32 IPv4 アドレスが一覧表示され、次ホップとしてファイアウォールを指すように構成します。 Oracle AI Database@Azure インスタンス IP アドレスを含む集約アドレス空間を使用しても、Oracle AI Database@Azureトラフィックはファイアウォールに転送されません。
Note
ルート テーブル (UDR ルート) を構成して、同じ仮想ネットワークまたはピアリングされた仮想ネットワーク内のソースから Oracle AI Database@Azure インスタンス宛てのネットワーク仮想アプライアンスまたはファイアウォール経由のパケットのルーティングを制御する場合、UDR プレフィックスは、Oracle AI Database@Azureの委任されたサブネット サイズ以上である必要があります。 UDR のプレフィックスが、委任されたサブネット サイズのプレフィックスよりも具体的ではない場合、それは有効ではありません。
たとえば、委任されたサブネットが x.x.x.x/24 の場合、UDR を x.x.x.x/24 (同等) または x.x.x.x/32 (より具体的) に構成する必要があります。 UDR ルートを x.x.x.x/16 に構成すると、非対称ルーティングなどの未定義の動作によって、ファイアウォールでネットワークが切断される場合があります。
FAQ
高度なネットワーク機能とは
高度なネットワーク機能は、標準的なAzure仮想マシンと同様に、より優れたセキュリティ、パフォーマンス、制御を提供することで、仮想ネットワーク エクスペリエンスを強化します。 この機能を使用すると、回避策を必要とせずに、ネットワーク セキュリティ グループ (NSG)、User-Defined ルート (UDR)、Private Link、グローバル VNet ピアリング、ExpressRoute FastPath などのネイティブ VNet 統合を使用できます。
高度なネットワーク機能は既存のデプロイで機能しますか?
現時点ではありません。 既存のデプロイのサポートはロードマップ上にあり、有効にするための取り組みを積極的に行っています。 近い将来の更新プログラムについてご期待ください。
新しいデプロイで高度なネットワーク機能を有効にするには、自己登録する必要がありますか?
Yes. 新しいデプロイで高度なネットワーク機能を利用するには、登録プロセスを完了する必要があります。 Oracle AI Database@Azure デプロイ用の既存または新しい VNet に新しい委任されたサブネットを作成する前に、登録コマンドを実行します。
展開で高度なネットワーク機能がサポートされているかどうかを確認するにはどうすればよいですか?
現時点では、VNet が高度なネットワーク機能をサポートしているかどうかを直接確認する方法はありません。 機能登録タイムラインを追跡し、後で作成した VNet に関連付けることをお勧めします。 VNet の下にある [アクティビティ ログ] ブレードを使用して作成の詳細を確認することもできますが、ログは既定で過去 90 日間のみ使用できます。
関連コンテンツ
Oracle AI Database@Azure - Oracle AI データベースを Azure に搭載
Oracle AI Database@Azure - Oracle AI Database@Azure のサポート
- Oracle AI Database@Azure のグループとロール