クロスリージョンOCI Data Integrationワークスペースからプライベートエンドポイント対応Autonomous Databaseにアクセスする方法とは? (2022/09/26)
クロスリージョンOCI Data Integrationワークスペースからプライベートエンドポイント対応Autonomous Databaseにアクセスする方法とは? (2022/09/26)
投稿者:Bijendra Behera
現在、IADリージョンにData Integrationワークスペースがあり、同じサブネット(10.0.2.0/24)で構成され、Autonomous Databaseはプライベートエンドポイントとして設定されています。そして、このワークスペースから、それはプライベートで保護された通信でADWに到達することができます。
今、私はいくつかの要件のために私のワークスペースを別のリージョン(サンノゼ)に移動する必要がありますが、Data Integrationサービスは、リージョンのサービスであるため、それを行うための可能な方法はありません。今、私は他のリージョンのサブネットで新しいワークスペースを作成する場合、どのようにこのADWは、新しいワークスペースからアクセスすることができますか?何かご意見はありますか?
IADとSJCの間でリモートVCNピアリングを確立すれば、可能です。
DRG経由のリモートピアリング
では、次のステップで、どのようにそれを行うことができるかを見ていきます。
VCNピアリングでは、重複しないように異なるCIDRブロックを持つ必要があるので、私はSJCリージョンでこのCIDR(197.1.4.0/22)を持つVCN(testdevvcnSJC)を作成しました。
IAD VCN
San Jose VCN
次のステップは、両リージョンでDRGを作成し、それぞれのDRGにそれぞれのVCNを添付することです。
IADのDRGとtestdevvcnのDRGへのアタッチメント
SJCのDRGとtestdevvcnSJCをDRGにアタッチ
次に、DRGの両方にリモートピアリング接続を作成し、ピアリング接続を確立します。
IADのRPCにピアリングされるSJCのRPC
DRGは、VCNとリモートピアリング接続が作成されると、自動生成されたルートテーブルを作成します。しかし、IADリージョンのVCN CIDRにトラフィックを送るために、SJCリージョンのRPC、VC、IPSecアタッチメント用の自動生成Drgルートテーブルに1つのスタティックルートルートが必要です。
DRGの静的ルートルール SJC DRGの自動生成されたルートテーブル
これで DRG の設定は完了です。各リージョンのVCNのサブネットのルーティングルールに移りましょう。
SJC VCNにサブネット(197.1.5.0/24)を作成し、PEに設定されているIAD VCNサブネットcidr(10.0.2.0/24)を目的IPとするDRG Gatewayをルートテーブルに追加して、ルートテーブルをサブネットにアタッチします。
SJCサブネットのルート表
SJCサブネット
同様に、IADの既存サブネットで、SJCサブネットを宛先とするDRG Gatewayを持つ経路規則を作成します。
IADサブネットのルートテーブル
次に、トラフィックフローのセキュリティリストを設定します。
SJCサブネットのセキュリティリストでは、トラフィックフローを全てに退出させ、IADサブネットのセキュリティリストでは、送信元がSJCサブネット(197.1.5.0/24)だけで、宛先ポートが1522(Autonomous Databaseが1522で動作するため)であるトラフィックに制限をかけます。
SJCサブネットのイグレスルール
IADサブネットのイングレスルール
では、SJCリージョンにワークスペースを作成し、ADWデータアセットの接続をテストしてみましょう。
SJCサブネットでSJCリージョンに作成されたワークスペース
テスト接続に失敗しました :(
:( . このエラーは、実際のエラーではありません(DISのバグかもしれません)。何が起こったのか、深く掘り下げてみましょう。
Caused by: java.net.UnknownHostException: sthwf1qj.adb.us-ashburn-1.oraclecloud.com
Autonomous DatabaseホストのDNS解決がDIS側で行われていないようです。プライベートDNSリゾルバを使って解決しましょう(独自のDNSソリューションを作るのはスケーラブルでないため良いアイデアではありません)。
IAD VCN DNSリゾルバでエンドポイント(フォワーダとリスナ)を作成し、SJC VCN DNSリゾルバルールで使用できるリスナIPを取得して、Autonomous Databaseホストドメイン(adb.us-ashburn-1.oraclecloud.com)解決に利用できるようにする。
IAD VCN DNSリゾルバエンドポイント
SJC VCN リゾルバルール
DNSリゾルバのピアリングが設定されましたが、どうしますか???
SJCサブネットソースのIAD VCNサブネットルートテーブルのイングレスルールで、DNSリゾルバのためのポートも許可する必要があります。
イングレスルールのDNSポート追加
テスト接続を行い、今度はうまくいくことを祈ります。
ほらね . テスト接続に成功
まとめ:
SJCリージョンのDISワークスペースから、IADリージョンにあるプライベートエンドピントのADWへのテスト接続が成功した。同じ方法で、クロステナントのリモートVCNピアリングも可能です(ポリシーを追加する追加手順が必要です)。
免責事項:この文書に記載された見解は私個人のものであり、必ずしもOracleの見解を反映するものではありません。
コメント
コメントを投稿