OCI Secure Landing Zone for Exadata Cloud Serviceの導入方法 (2021/09/30)

https://www.ateam-oracle.com/post/how-to-deploy-oci-secure-landing-zone-for-exadata-cloud-service

投稿者：Andre Correa Neto

はじめに

OCI Secure Landing Zoneは、Exadata Cloud Service (ExaCS)の導入のためにテナントを構成することができ、ExaCSシステムのプロビジョニング作業を迅速かつ一貫性のあるものにします。

ランディング・ゾーンは、https://docs.oracle.com/en-us/iaas/Content/Database/Tasks/exanetwork.htm に記載されているネットワーク要件に従って、ExaCS 用に構成された 1 つまたは複数の VCN を作成します。また、ExaCSインフラストラクチャ用のコンパートメントを作成することもでき、その場合、ExaCS用の管理者グループがプロビジョニングされます。オプションとして、顧客はこのコンパートメントを作成しないことを選択でき、ExaCSはDatabase管理者グループによって管理される。

注：ランディング・ゾーンは、ExaCSインフラストラクチャ、VMクラスタ、データベース・システムのプロビジョニングは行いません。それらのリソースがさらにデプロイされる環境（ネットワークとIAM）を構成することがすべてです。

ネットワーキング

ExaCS用に作成されたVCNは、クライアントとバックアップの2つのリージョンのプライベートサブネットで構成されている。すべてのルーティングとセキュリティのルールは、Landing Zoneのネットワーキングと接続性のための所定のパラメータに従って、Landing Zone全体のセットアップと連動して構成される。Landing Zoneは、ICMP、SQLNet、ONS（Oracle Notification Service）、およびSSH接続に必要なすべてのルールを作成します。

Landing Zoneは、ExaCS構成のために以下の入力変数を定義する。

•     exacs_vcn_cidrs：VCN作成時に使用するCIDRのリスト。各CIDRは、1つのVCNの作成を示します。192.168.128.0/20と重複しないようにしてください。
•     exacs_vcn_names：デフォルトの名前を上書きするVCNの名前のリスト。各名前は1つのVCNに適用され、n番目の要素はexa_vcn_cidrsのn番目の要素に対応する。
•     exacs_client_subnet_cidrs： クライアントサブネットのCIDRのリスト。各CIDRは1つのVCNに適用され、n番目の要素はexa_vcn_cidrsのn番目の要素に対応する。
•     exacs_backup_subnet_cidrs： バックアップサブネットのCIDRのリスト。各CIDRは1つのVCNに適用され、n番目の要素はexa_vcn_cidrsのn番目の要素に対応する。

注：exacs_client_subnet_cidrs、exacs_backup_subnet_cidrs、exacs_vcn_namesは、ExaCSを導入する際のオプションである。

exacs_client_subnet_cidrs, exacs_backup_subnet_cidrsが提供されない場合、ランディングゾーンは、クライアントサブネットから順に、ネットワークマスク(CIDRプレフィックス)に4ビット、プレフィックスに追加されたビットを表すネット番号に1を加えて、サブネットのCIDR範囲を計算する。VCNのCIDRが10.0.0.0/20の場合、クライアントサブネットのCIDRは10.0.0.0/24となり、バックアップサブネットのCIDRは10.0.1.0/24となります。Landing Zoneは、Terraformのcidrsubnet組み込み関数を使用してこれを実現します。

exacs_vcn_namesが提供されない場合、Landing Zoneは<service-label>-<index>-exa-vcnというパターンでデフォルトのVCN名を作成します。<service-label>は、作成するリソース名のプレフィックスとして使用されるLanding Zoneの変数で、<index>はexacs_vcn_cidrs変数のVCN CIDRを0（ゼロ）から順に参照します。

ExaCSのIPアドレスとネーミングの要件

ExaCSラックは、そのサイズに応じて、https://docs.oracle.com/en-us/iaas/Content/Database/Tasks/exanetwork.htm の「IPアドレス空間の要件」のセクションで説明されているように、IPアドレスの要件が異なります。ExaCSデータベースシステムをデプロイするために、顧客はExaCS VCNとサブネットのためのCIDR範囲を定義する際に、それに応じて計画しなければなりません。

命名に関しては、ExaCS RAC（Real Application Clusters）ノードには、ネットワークリソースの命名方法に影響を与える特定の命名要件があります。ExaCSノードのFQDN（完全修飾ドメイン名）は次のような形式です。

<hostname>-<suffix>.<subnet_domain_label>.<vcn_domain_label>.oraclevcn.com

一般に、FQDNの文字列は、合計で最大63文字の制限があり、各部分文字列の推奨最大文字数は以下のとおりです。

•     <hostname>：最大12文字。localhostの文字列は使用できません。実際にExaCSインフラを展開する際に提供されます。
•     <suffix>：ランダムな5文字の文字列で、最後にノード番号が付きます。これはDatabaseサービスによって自動的に付加される。直前のハイフンもDatabaseサービスによって追加されます。
•     <subnet_domain_name>：最大14文字です。ハイフンとアンダースコアは使用できません。
•     <vcn_domain_label>: 14文字以内。ハイフンとアンダースコアは使用できません。

FQDN部分文字列は、ランディングゾーンが次のようなロジックで作成する。

<vcn_domain_label>（ドメイン名ラベル)

•     VCN名から英数字以外の文字を削除
•     結果の部分文字列から最初の11文字を取り出す
•     リージョンキーを付加

例として、Ashburnリージョンのexavcn-devというVCNの場合、<vcn_domain_name>はexavcndeviadとなります。

<サブネット_ドメイン名>の場合

•     サブネット名でできています。クライアントサブネットはcli、バックアップサブネットはbkpとなります。

IAM

デフォルトでは、Landing Zoneは、ExaCS管理グループと関連するポリシーとともに、ExaCSインフラストラクチャのためのコンパートメントを作成します。一部の組織では、より強力な分離のためにこのような分離が必要な場合があることを理解しています。一方で、データベース管理者がデータベース区画でExaCSインフラストラクチャを管理している組織もあります。この動作を制御する入力変数は1つです。

•     deploy_exainfra_cmp: ExaCSインフラストラクチャ用のコンパートメントをデプロイするかどうか。デフォルトはtrueで、この場合、管理者グループと関連するポリシーも作成されます。データベース管理者は、データベースシステムをデプロイする際にインフラストラクチャを使用する権利があります。falseに設定すると、コンパートメントも管理者グループも作成されず、ExaCSインフラストラクチャを管理するポリシーはDatabase管理者に付与されます。

構成例

仮に、2つのExaCS VCN、devとprd、およびExaCSインフラストラクチャを同じグループが所有するように設定したいとします。このようなアプローチは、一般的なアーキテクチャの推奨事項ではなく、Landing Zoneの機能と入力変数の使用方法の仕組みを説明するためにここに記載しています。ExaCSデータベースの分離にはいくつかの可能性があり、複数のポータブルデータベース（PDB）を持つ単一のVCN内の単一のExaCSインフラストラクチャから、それぞれが異なるグループによって管理される別のVCN内の複数のExaCSインフラストラクチャまであります。

Landing Zoneの入力変数ファイルで変数がどのように割り当てられるべきかを説明します。

ネットワーク変数は、各列が1つのVCNを表すマトリックスと見なす必要があり、ハイライトされています。

OCI Resource Managerでは、これらの変数はよく似た方法で公開されています。

この構成では、以下の図のようなアーキテクチャが展開され、ExaCSに関連するリソースは赤でハイライトされています（図をクリックすると拡大表示されます）。

ネットワークコンパートメントには、DMZ VCN、DRG、DRG Attachmentsなどのグレーアウトしたリソースが表示されていますが、これはExaCS VCNがHub & Spokeアーキテクチャのスポークになっている場合のランディングゾーン展開の可能性の1つです。ExaCS VCNが上記のLanding Zone変数の割り当てとどのように一致するかをご覧ください。

deploy_exainfra_cmpがtrueであるため、Landing Zoneは、ExaCSインフラストラクチャ管理のためのadminグループに沿ってExaCSコンパートメント（exainfra-cmp）をデプロイし、以下のポリシー・グラントが割り当てられている。

Allow group exainfra-admin-group to manage cloud-exadata-infrastructures in compartment exainfra-cmp

Allow group exainfra-admin-group to manage cloud-vmclusters in compartment exainfra-cmp

Allow group exainfra-admin-group to read work-requests in compartment exainfra-cmp

データベースの導入と管理は、データベース管理者の責任です。以下のポリシーグラントが割り当てられています。

Allow group database-admin-group to read cloud-exadata-infrastructures in compartment exainfra-cmp

Allow group database-admin-group to use cloud-vmclusters in compartment exainfra-cmp

Allow group database-admin-group to read work-requests in compartment exainfra-cmp

Allow group database-admin-group to manage db-nodes in compartment exainfra-cmp

Allow group database-admin-group to manage db-homes in compartment exainfra-cmp

Allow group database-admin-group to manage databases in compartment exainfra-cmp

Allow group database-admin-group to manage backups in compartment exainfra-cmp

注：これはLanding Zoneのデフォルトの動作です。これを変更するには、deploy_exainfra_cmpをfalseに設定し、データベース管理者をExaCSインフラストラクチャの所有者にする必要があります。

次のデプロイメントステップ

基本的なネットワークとIAM構成が整ったところで、次のステップはExaCSインフラストラクチャ、VMクラスタ、データベース・システムのプロビジョニングです（これらはLanding Zoneではプロビジョニングされません）。

OCIコンソールの次の図は、Landing Zoneでプロビジョニングされたリソース（赤）の上に、そのようなリソース（青）が作成されていることを示しています。

詳細はこちら

•     OCI Secure Landing Zone Git Hubリポジトリ: https://github.com/oracle-quickstart/oci-cis-landingzone-quickstart
•     Exadata Cloud Service: https://docs.oracle.com/en-us/iaas/Content/Database/Concepts/exaoverview.htm