クロスリージョンOCI Data Integrationワークスペースからプライベートエンドポイント対応Autonomous Databaseにアクセスする方法とは? (2022/09/26)

クロスリージョンOCI Data Integrationワークスペースからプライベートエンドポイント対応Autonomous Databaseにアクセスする方法とは? (2022/09/26)

https://medium.com/@bijendra.behera/how-to-access-private-endpoint-enabled-adw-from-cross-region-oci-data-integration-workspace-1b9ad653835b

投稿者:Bijendra Behera


現在、IADリージョンにData Integrationワークスペースがあり、同じサブネット(10.0.2.0/24)で構成され、Autonomous Databaseはプライベートエンドポイントとして設定されています。そして、このワークスペースから、それはプライベートで保護された通信でADWに到達することができます。


今、私はいくつかの要件のために私のワークスペースを別のリージョン(サンノゼ)に移動する必要がありますが、Data Integrationサービスは、リージョンのサービスであるため、それを行うための可能な方法はありません。今、私は他のリージョンのサブネットで新しいワークスペースを作成する場合、どのようにこのADWは、新しいワークスペースからアクセスすることができますか?何かご意見はありますか?


IADとSJCの間でリモートVCNピアリングを確立すれば、可能です。

DRG経由のリモートピアリング


では、次のステップで、どのようにそれを行うことができるかを見ていきます。


    VCNピアリングでは、重複しないように異なるCIDRブロックを持つ必要があるので、私はSJCリージョンでこのCIDR(197.1.4.0/22)を持つVCN(testdevvcnSJC)を作成しました。

IAD VCN


San Jose VCN


次のステップは、両リージョンでDRGを作成し、それぞれのDRGにそれぞれのVCNを添付することです。

IADのDRGとtestdevvcnのDRGへのアタッチメント

SJCのDRGとtestdevvcnSJCをDRGにアタッチ


    次に、DRGの両方にリモートピアリング接続を作成し、ピアリング接続を確立します。

IADのRPCにピアリングされるSJCのRPC


    DRGは、VCNとリモートピアリング接続が作成されると、自動生成されたルートテーブルを作成します。しかし、IADリージョンのVCN CIDRにトラフィックを送るために、SJCリージョンのRPC、VC、IPSecアタッチメント用の自動生成Drgルートテーブルに1つのスタティックルートルートが必要です。

DRGの静的ルートルール SJC DRGの自動生成されたルートテーブル


    これで DRG の設定は完了です。各リージョンのVCNのサブネットのルーティングルールに移りましょう。


SJC VCNにサブネット(197.1.5.0/24)を作成し、PEに設定されているIAD VCNサブネットcidr(10.0.2.0/24)を目的IPとするDRG Gatewayをルートテーブルに追加して、ルートテーブルをサブネットにアタッチします。

SJCサブネットのルート表

SJCサブネット


同様に、IADの既存サブネットで、SJCサブネットを宛先とするDRG Gatewayを持つ経路規則を作成します。

IADサブネットのルートテーブル


    次に、トラフィックフローのセキュリティリストを設定します。


SJCサブネットのセキュリティリストでは、トラフィックフローを全てに退出させ、IADサブネットのセキュリティリストでは、送信元がSJCサブネット(197.1.5.0/24)だけで、宛先ポートが1522(Autonomous Databaseが1522で動作するため)であるトラフィックに制限をかけます。

SJCサブネットのイグレスルール

IADサブネットのイングレスルール


    では、SJCリージョンにワークスペースを作成し、ADWデータアセットの接続をテストしてみましょう。

SJCサブネットでSJCリージョンに作成されたワークスペース

テスト接続に失敗しました :(


:( . このエラーは、実際のエラーではありません(DISのバグかもしれません)。何が起こったのか、深く掘り下げてみましょう。


    Caused by: java.net.UnknownHostException: sthwf1qj.adb.us-ashburn-1.oraclecloud.com


Autonomous DatabaseホストのDNS解決がDIS側で行われていないようです。プライベートDNSリゾルバを使って解決しましょう(独自のDNSソリューションを作るのはスケーラブルでないため良いアイデアではありません)。


    IAD VCN DNSリゾルバでエンドポイント(フォワーダとリスナ)を作成し、SJC VCN DNSリゾルバルールで使用できるリスナIPを取得して、Autonomous Databaseホストドメイン(adb.us-ashburn-1.oraclecloud.com)解決に利用できるようにする。

IAD VCN DNSリゾルバエンドポイント

SJC VCN リゾルバルール


    DNSリゾルバのピアリングが設定されましたが、どうしますか???

    SJCサブネットソースのIAD VCNサブネットルートテーブルのイングレスルールで、DNSリゾルバのためのポートも許可する必要があります。

イングレスルールのDNSポート追加


テスト接続を行い、今度はうまくいくことを祈ります。



ほらね . テスト接続に成功


まとめ:

SJCリージョンのDISワークスペースから、IADリージョンにあるプライベートエンドピントのADWへのテスト接続が成功した。同じ方法で、クロステナントのリモートVCNピアリングも可能です(ポリシーを追加する追加手順が必要です)。


免責事項:この文書に記載された見解は私個人のものであり、必ずしもOracleの見解を反映するものではありません。


コメント

コメントを投稿

このブログの人気の投稿

Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01)

イメージ
Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01) https://database-heartbeat.com/2023/11/01/draining-ac-rac/ はじめに Oracle RACは、Oracle Databaseのスケーラビリティと高可用性を提供します。1つのサーバー(RACノード)に障害が発生した場合、またはメンテナンスのためにオフラインになった場合でも、追加のノードを介してデータベースにアクセスできます。ただし、メンテナンスの開始時に、データの読取りまたは変更に関係なく、一部の作業を実行しているクライアント・セッションはどうなりますか。この作業は中断され、ドレインを実装してアプリケーション・コンティニュイティまたは透過的アプリケーション・コンティニュイティを有効にしないかぎり、エンドユーザーまたはアプリケーションによって再度実行する必要があります。 環境 2ノードのOracle RACを例に挙げて、高速アプリケーション通知(FAN)、ドレインおよびアプリケーション・コンティニュイティによってメンテナンス・イベントがエンドユーザーに透過的になる方法を理解しましょう。アプリケーションは、30個のセッションを保持するように構成された接続プールを使用しています。 通常の操作 通常の操作中は、両方のRACノードが起動し、アプリケーションを実行しています。ロード・バランシング戦略によっては、セッションの数が両方のノード間で異なるか、均等に分散される場合があります。次の図をよりよく視覚化するために、ノード2のノード1および20のセッションに10のセッションがあるとします。 セッションは、アイドル状態(接続されているが何もしていない)またはアクティブ状態(リクエストの途中)にできます。リクエストは、データの読取り(SELECT)または操作(INSERT、DELETE、UPDATE)が可能です。 ドレインによるサービスの停止 ある時点で、システムのメンテナンスが必要になります。2ノードRACがあるため、メンテナンスはローリング方式で、1つのノードを順番に(ほとんどの場合)実行できます。メンテナンスは、たとえば、オペレーティング・システム、Grid Infrastructureまたはデ
続きを読む

Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28)

イメージ
Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28) https://blogs.oracle.com/cloud-infrastructure/post/secure-desktops-cloud-native-virtualization 投稿者: Joost Pronk Van Hoogeveen Jan Hendrik Mangold | Principal Product Manager Oracleは、Oracle Cloud Infrastructure(OCI)Secure Desktopsという新しいクラウド・ネイティブ・サービスをリリースしています。このエキサイティングな開発により、顧客はOCIテナンシから簡単にすばやく仮想デスクトップ・インフラストラクチャ(VDI)をデプロイできます。 OCIの使用状況は大幅に拡大しています。組織は、OCI内でデータを安全に保つことの価値を実現しています。ゼロトラストなセキュリティ優先アーキテクチャを実装することで、OCI Compute、Storage、およびNetworkingサービスは、グローバル・アクセスのためのエンタープライズ・アプリケーションを導入するための信頼できるプラットフォームを提供します。 データ・セキュリティとVDIがどのように役立つか 業界のアナリストによると 、ラップトップは53秒ごとに盗まれています。その事実と現実を結び付けると、会社のデータは、公共の場所を経由したり、従業員の自宅に座ったりするラップトップやデスクトップへと移行します。ローカル・ディスクの暗号化、データ・アクセス権限の強制、VPNアクセスの保護によってデータを保護するためにテクノロジが使用されていますが、いずれも許容可能なセキュリティ・レベルが適用されるため、リスクは依然として高くなる可能性があります。盗難または準拠していないいくつかのマシンでは、企業データ、さらには顧客データのデータ侵害が発生する可能性があります。 VDIテクノロジは長年にわたって存在してきましたが、従業員はローカル・マシンを使用して、会社のデータ・センター内の仮想マシンで実行されているデスクトップ・アプリケー
続きを読む

Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13)

イメージ
Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13) https://database-heartbeat.com/2021/12/13/three-ways-backup-cloud/ はじめに Oracle Cloudでは、ボタンをクリックするだけで自動バックアップを有効にするオプションが用意されています。バックアップの要件が異なる場合でも、手動でバックアップ設定を行い、コマンドライン・ツールやRMANを直接使用してバックアップを作成する柔軟性があります。これは、VM DB Systems、Exadata Cloud Service、およびExadata Cloud at Customerに適用されます。 このブログ記事では、Oracle Cloud Object Storageをバックアップ先として使用する場合の、さまざまなバックアップ・オプションの主な違いと、それに伴うコストについて紹介します。Object Storageは、内蔵されたトリプル・ミラーリングと99.999999%(イレブンナイン)の耐久性を提供します。 ハイブリッド・クラウドとマルチ・クラウド Oracle Cloud Object StorageへのOracle Databaseのバックアップは、Oracle Cloud上のOracle Databaseに限らず、ハイブリッドクラウド上のオンプレミスのOracle Databaseや、マルチクラウド環境のOracle以外のクラウド上で稼働しているOracle Databaseに対しても、RMANを介して実装することができます。 プライベートおよび専用のネットワーク接続は、FastConnect、Azure Interconnect、またはサードパーティのネットワーク接続プロバイダを介して提供できます。マルチクラウド環境では、クラウドプロバイダー、リージョン、転送するデータ量に応じて、追加のアウトバウンドトラフィックコストが発生する可能性があります。オラクルをはじめとする多くのクラウドプロバイダーは、すでに Bandwidth Alliance に参加しており、ネットワークエグレス料金を削減または排除しています。 環境について     Oracle Cloud VM DB Sy
続きを読む