プライベート・エンドポイントを使用したData Transforms (2025/05/31)

プライベート・エンドポイントを使用したData Transforms (2025/05/31)

https://blogs.oracle.com/ateam/post/data-transforms-private-endpoints

投稿者: Ricardo Morais | Cloud Solution Architect

 背景

Oracle Data Transformsは、直感的なグラフィカル・インタフェースを通じてデータ統合フローを設計・実行できるローコードのデータ統合ツールです。以下のものを作成できます。

  • データ ロード: Autonomous Databaseへのデータのロード プロセスを簡素化します
  • データフロー: 異なるシステム間でデータが移動および変換される方法を定義します。
  • ワークフロー: データ フローが実行される順序を調整します。

Oracle Data TransformsはOracle Autonomous Databaseとシームレスに統合されます。プロビジョニング時にリポジトリが自動的に作成され、ユーザーが開発または構成したすべてのオブジェクトが格納されます。様々なデータソースタイプをサポートしています。サポートされるコネクタのリストをご覧ください。

Oracle Data Transforms には、次の場所からアクセスまたはプロビジョニングできます。

  • Autonomous Database Data Studioページ:データベース アクションインターフェース内のData Studioコンポーネントとしてアクセスします。
  • Oracle Cloud Marketplace : 事前構成されたVMとしてプロビジョニングされます(ターゲットとしてAutonomous Databaseのみをサポート)

機能的には両方のバージョンは同じです。唯一の違いは、Marketplaceバージョンではデータ統合ターゲットとしてAutonomous Databaseのみをサポートしていることです。

この投稿では、プライベート エンドポイントを介してOracle Data TransformsAutonomous Database間の安全でプライベートな通信を可能にするために必要なネットワークとデータベースの構成について説明します。

アーキテクチャの概要

注: これはリファレンス アーキテクチャでも必須のアーキテクチャでもありません。これは単に、プライベート エンドポイント間のデータ変換接続をテストするために使用されるネットワーク構成です

このブログで使用する環境は、プライベートエンドポイントがプロビジョニングされた2つのAutonomous Databaseインスタンスで構成され、デフォルトの初期構成のみを使用して新しいVCNとサブネットにデプロイされています。OCI Bastionサービスは、サブネットの1つにプライベートエンドポイントがプロビジョニングされています。

Oracle Data TransformsBI Cloud Connector (BICC)、Object Storage、およびAutonomous Database間の接続は、このブログ投稿で説明されているネットワーク構成によってサポートされます。

。

    構成

    プライベートサブネットの作成

    1. VCNを作成する
    2. プライベートサブネットを構成する
    3. NAT ゲートウェイサービス ゲートウェイの両方にルーティングが構成されていることを確認します

    プライベート エンドポイントの前提条件と構成手順については、このドキュメントで詳しく説明します。

    プライベートエンドポイントとTLS認証を使用したAutonomous Databaseのプロビジョニング

    プライベート エンドポイント(プライベート サブネット内)を使用して2 つのAutonomous Database をプロビジョニングまたは構成します。

    相互TLS認証を「不要」に設定します。ネットワークセキュリティグループにアクセス制御リストを実装することで、特定のIPアドレスまたはCIDRがAutonomous Databaseインスタンスにアクセスできるようになります

    。

    OCI Bastion 経由でプライベートエンドポイントを使用してデータ変換にアクセスする

    Autonomous Databaseインスタンスはプライベートエンドポイントを持つため、データベース自体、データベースアクションデータ変換にはインターネットからアクセスできません。そのため、SSHポート転送を介してアクセスするには、 OCI Bastionサービスが必要です。

    これらの手順の詳細は以下のとおりです。

    OCI Bastion サービスのプロビジョニング

    OCI コンソールのメイン メニューで、 [Identity & Security]メニュー項目をクリックし、[Bastion] をクリックします。

    。

    次に、「Bastion を作成」ボタンをクリックします。Bastion に名前を付け、エンドポイントをプロビジョニングする VCN とプライベートサブネット(この場合はプライベートサブネット)を選択します。この Bastion によって管理されるセッションへの接続を許可する 1 つ以上のアドレス範囲を CIDR 表記で追加します。「Bastion を作成」をクリックします。

    。

    SSHポート転送セッションの作成

    作成した Bastion サービスをクリックし、[Create Session]をクリックします。 

    。

    セッションタイプとして「SSHポート転送セッション」を選択します。Bastionホスト経由でアクセスするAutonomous DatabaseプライベートエンドポイントのIPアドレス、ターゲットポート(HTTPSの場合は443)、およびSSH公開鍵を入力します。「セッションの作成」をクリックします。

    :セキュリティ上の理由から、Bastion セッションは最大 3 時間有効です。有効期限が切れると、新しいセッションを作成できます。

    。

    セッションがプロビジョニングされたら、行の末尾にあるメニュー (3 つのドット) をクリックし、[SSH コマンドのコピー]メニュー項目をクリックします。

    。

    ターミナルウィンドウを開きます。コマンドプロンプトにSSHコマンドを貼り付けます。例:

    ssh -i <privateKey> -N -L <localPort>:10.*.*.*:443 -p 22 ocid1.bastionsession.oc1.iad.aaaaaaaaabbbbbbbbbbccccccccdddddddeeeeeefff@somehost.bastion.west-region-9.oci.oraclecloud.com

    コマンドに含まれるIPアドレスとポートは、インスタンス作成時に指定したターゲットIPとポートです。<privateKey>をSSH秘密鍵のパスに、<localPort>をADBのリモートhttpsポートに転送するローカルポートに置き換えてください。例:

    ssh -i ~/.ssh/id_rsa -N -L 443:10.*.*.*:443 -p 22 ocid1.bastionsession.oc1.iad.aaaaaaaaabbbbbbbbbbccccccccdddddddeeeeeefff@somehost.bastion.west-region-9.oci.oraclecloud.com

    注意: macOS などの一部のプラットフォームでは、1024 未満のポートを転送するとエラーが発生します。

    bind [::1]:443: Permission denied
    channel_setup_fwd_listener_tcpip: cannot listen to port: 443

    その場合は、ssh コマンドに-gスイッチを追加します。

    ssh -i ~/.ssh/id_rsa -g -N -L 443:10.*.*.*:443 -p 22 ocid1.bastionsession.oc1.iad.aaaaaaaaabbbbbbbbbbccccccccdddddddeeeeeefff@somehost.bastion.west-region-9.oci.oraclecloud.com

    SSH転送セッションが確立されたら、 データベースアクションにアクセスします。データ変換にhttps://localhost/ords/sql-developer直接アクセスするには、次の手順に従ってください。  https://localhost/odi

    Autonomous Databaseでプライベートエンドポイントアクセスを有効にする

    Autonomous Databaseインスタンスでプライベート・エンドポイントを使用する場合、ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティを値に設定することで、セキュリティを強化できます。これにより、すべての送信接続が、 Autonomous Databaseインスタンスのプライベート・エンドポイントPRIVATE_ENDPOINTに関連付けられたVCNのエグレス・ルールに従うようになります。

    ADMINユーザーとして、SQL Developerを使用して、データベースアクションインターフェース経由で両方のAutonomous Databaseインスタンスで次の文を実行します。https://localhost/ords/sql-developer.


    クリップボードにコピーされました
    エラー: コピーできませんでした
    クリップボードにコピーされました
    エラー: コピーできませんでした
    ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = 'PRIVATE_ENDPOINT';

    詳細については、「プライベートエンドポイントを使用した送信接続のセキュリティ強化」を参照してください。

    ネットワークセキュリティグループ

    • Autonomous Databaseのネットワーク セキュリティ グループ ルールを構成します。 
      • OCI Bastion サービスがポート 443 (データ変換) で SSH ポート転送を介して接続できるようにする Ingress ステートフル ルール。
      • 以前に実行したデータベース ルートのアウトバウンド接続設定により、エンドポイント経由でAutonomous Databaseからのアウトバウンド トラフィックを許可する出力ステートフル ルール。

    このネットワーク・セキュリティ・グループをAutonomous Databaseインスタンスに関連付けます。必要に応じて、特定のCIDRまたはCIDR範囲を指定したイングレス・ルールを追加できます。ネットワーク・セキュリティ・グループとセキュリティ・リストのどちらも使用できますが、NSGを使用するとよりきめ細かな制御が可能になります。

    。

    データベースユーザー

    いずれかのAutonomous Databaseで、DWROLE権限とロールを持つデータベースユーザーを作成しますこのユーザーがData Transformsにログインします。DATA_TRANSFORM_USER

    Data Transforms接続

    Autonomous Database

    データベース コンソール ページで、データベース接続ボタンをクリックして接続の詳細を表示します。

    。

    TLS認証をTLSに設定し、希望するサービスレベル(低、中、高)のTNS接続記述をコピーします。このテストでは、低レベルのサービスを使用します。

    。

    SSHポート転送セッション確立されたら、ローカルマシン(https://localhost/odi )からData Transformsにアクセスします。ポート転送により、ローカルポート443がAutonomous Databaseのポート443にマッピングされます。先ほど作成したロールを持つユーザーでログインしてくださいDATA_TRANSFORM_USER

    。

    Data Transformsにログインしたら[接続]をクリックし、事前構成されたローカル データベース接続の 3 つのドット メニューをクリックして、[編集] をクリックします。

    。

    このData Transformsインスタンスに関連付けられているローカルAutonomous Databaseのデータベース資格情報を入力し、接続をテストします。成功した場合は、「更新」をクリックします。

    。

    「接続の作成」をクリックしOracleコネクタを選択して、プライベートエンドポイントを持つ 他のAutonomous DatabaseへのDB接続を構成します。 「接続の操作」を参照してください。

    。

    先ほどコピーしたTNS記述をJDBC URLフィールドに貼り付けます。TNS記述は jdbc:oracle:thin:@

    注意:TNS記述のホストパラメータからホスト名のプレフィックスを削除してください。ホスト名はadbで始まる必要があります。 

    例:

    abcdef.adb.west-region-9.oraclecloud.com

    に 

    adb.west-region-9.oraclecloud.com

    [接続テスト]をクリックし、成功した場合は[作成] をクリックします。

    。

    オブジェクトストレージ

    オブジェクトストレージへの接続はパブリックサブネットの場合と同じ方法で設定され、サービスゲートウェイへのルートが必要です「接続の作成」をクリックし、Oracle Object Storageコネクタを選択します。

    「Oracle Object Storage 接続の作成」を参照してください 

    。

    BIクラウドコネクタ - BICC

    BICCへの接続は、パブリックサブネットの場合と同様に、Fusion AppsObject Storageの資格情報を使用して構成します。サービスゲートウェイへのルートが必要です「接続の作成」をクリックし、 Oracle Object Storageコネクタを選択します

    Oracle Business Intelligence Cloud Connector接続の作成を参照してください 

    。

    4. データフロー

    Data Transformsに関連付けられたAutonomous Database(または別のソース/ターゲット)との間のテストデータフローを作成します。大まかな手順は次のとおりです。

    1. ソース データベースからデータ エンティティをインポートします。2 番目のインスタンスはこのData Transformsインスタンスに関連付けられていません。
    2. プロジェクトを作成する
    3. データロードまたはデータフローを作成します。データロードは直接的な1対1のロードですが、データフローはData Transformsを伴う場合があります。ターゲットテーブルは、データフローまたはデータロードを定義する際に作成できます。

    プライベートエンドポイント間のエンドツーエンドの接続性をテストするには、ソースとターゲット間の変換を伴わないシンプルな直接データフローで十分です。今回のテストでは、リモートサンプルテーブル がSH.PRODUCTSデータストアとしてマッピングされています。データフローはそこからデータを読み取り、ローカルテーブルにロードします。

    リモートソースからローカルターゲットへのデータフローを定義します。データフローを実行し、ジョブのステータスを確認します。以下のように「Done」と表示されれば、プライベートエンドポイント経由でジョブが正常に完了しており、ターゲットデータベースのテーブルを確認できます。

    同様のテストは、 BICCおよびオブジェクト ストレージデータ ソースでも実行できます。

    。

     

    参考文献

    Oracle Data Transforms - 始めましょう

    Autonomous Databaseからプライベートデータソースへのアクセスを有効にする

     さらに詳しく知りたいですか?

    新しい A チーム ブログが公開されたときに通知を受け取るには、ここをクリックして RSS フィードに登録してください。

     まとめ

    Oracle Data Transformsは、Autonomous Databaseのプライベートエンドポイントを使用することで、OCI内でのセキュアでプライベートなデータ統合をサポートします。プライベート接続を有効にするには、TLS認証とネットワーク・セキュリティ・グループ・ルールを設定し、ROUTE_OUTBOUND_CONNECTIONSプロパティを に設定しますPRIVATE_ENDPOINT。JDBC接続を定義する際は、TNS記述からホスト接頭辞を削除し、 で始まるようにしてくださいadb。この設定により、Data TransformsはプライベートIP経由で他のAutonomous DatabaseおよびOCIサービスに接続できるようになり、クラウド・ネットワーク内に完全に保持された、高パフォーマンスでセキュアなデータ・パイプラインをサポートします。

    コメント

    コメントを投稿

    このブログの人気の投稿

    Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

    イメージ
    Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
    続きを読む

    Oracle GoldenGate 23aiでMicrosoft Fabricでのオープン・ミラーリングがサポートされるようになりました (2024/11/19)

    イメージ
    Oracle GoldenGate 23aiでMicrosoft Fabricでのオープン・ミラーリングがサポートされるようになりました (2024/11/19) https://blogs.oracle.com/dataintegration/post/how-to-replicate-to-mirrored-database-in-microsoft-fabric-using-goldengate 投稿者: Shrinidhi Kulkarni | Principal Product Manager Oracle GoldenGate 23aiでは、オープン・ミラーリングを介したMicrosoft Fabricへの統合のパブリック・プレビューがサポートされるようになりました。この強力な組み合わせにより、リアルタイムのデータ統合が可能になり、ハイブリッド環境とマルチクラウド環境のデータをMicrosoft Fabricのミラー化されたデータベースに継続的に同期できるため、データは常にAIと分析に対応できます。 Microsoft Fabric統合のOpen Mirroring は、GoldenGate for Distributed Applications and Analytics 23ai (GG for DAA) (23.6)製品を介して提供されます。 既存の Azure統合の詳細については、 ドキュメント を参照してください。 オープン・ミラーリングは、オープン・デルタ・レイク表形式に基づいて、データISVがMicrosoft Fabricのミラーリングを拡張できるように設計されています。この機能により、Oracle GoldenGate 23aiは、オープン・ミラー化パブリックAPIおよびアプローチに基づいて、Microsoft Fabricのミラー化データベースに変更データを直接書き込むことができます。Microsoft FabricでのOpen Mirroringの詳細については、「 Microsoft FabricでのOpen Mirroringの概要 」を参照してください。 このブログ投稿では、この統合の実装の側面について深く掘り下げ、GoldenGate統合の構成方法を示します。 構成ステップ: リファレンス・アーキテクチャの理解 前提条件 ...
    続きを読む

    OCIサービスを利用したWebサイトの作成 その4~Identity Cloud Serviceでサイトの一部を保護 (2021/12/30)

    イメージ
    OCIサービスを利用したWebサイトの作成 その4~Identity Cloud Serviceでサイトの一部を保護 (2021/12/30) https://blogs.oracle.com/cloudsecurity/post/using-oci-services-part-4 投稿者: Christopher Johnson 今回は、OCI Native Servicesを使って完全にサーバーレスでWebサイトをホスティングするシリーズの第4弾です。     パート1 では、OCI WAF + API Gateway + Functionを使用して、OCI Object Store Bucketから静的コンテンツを提供する基本的な方法を紹介しました。     パート2 では、バケットを(公開ではなく)非公開にし、Resource Prinicpalを使用して安全にアクセスする方法を紹介しました。     パート3 では、ハードコードされた設定を削除し、代わりにそれらの設定をアプリケーションに保存する方法を紹介しました。 パート4では、サイトの一部をログインの後ろに置いてみようと思っています。 この記事は、ちょっとした「フクロウの描き方」のようなものになりそうです。でも、コードを見ればきっと理解できるはずです! IDCSでアプリケーションを作成 注:OCI Identity Domains は、OCI の新規顧客に対して IDCS の機能を直ちに提供します。現在 IDCS を使用している顧客については、既存の IDCS ストライプは今後数ヶ月の間に OCI Identity Domains に移行される予定です。詳細については、OCI Identity Domainの ドキュメント を参照してください。この変更は、このブログで説明したセキュリティ・パターンに影響を与えるものではありません。このブログで IDCS に起因するセキュリティ機能は、OCI Identity Domainsでも提供されます。 まず最初に、サイトを表現するために IDCS で実際にアプリケーションを作成する必要があります。 IDCSコンソールを開き、「アプリケーション」に移動し、「作成」をクリックします。Functionアプリケーシ...
    続きを読む