Oracle AI Database@AWSおよびカスタムNSG (2026/07/03)
Oracle AI Database@AWSおよびカスタムNSG (2026/07/03)
https://www.ateam-oracle.com/oracle-ai-databaseaws-and-custom-nsg
投稿者:Andrei Stoian | Master Principal Cloud Architect | North America Cloud Engineering
前提条件:Oracle AI Database@AWS – FAQ – ネットワーク構成
2026年5月、 Oracle AI Database@AWS向けにカスタムNSGが追加されました。このブログでは、この新機能について詳しく説明していきます。というのも、いつ使用すべきかについて混乱が生じることがあるからです。
Oracle AI Database@AWS の組み込みセキュリティがどのように機能するかを改めて確認しましょう。ODB ネットワークの設定が完了すると、関連するサブネット (Exadata のクライアントとバックアップ、および ADB のクライアント)、クライアントサブネットのルーティングテーブル、および NSG を含むシャドウ OCI VCN が作成されます。ここでは、新しいピア CIDR が追加されたときに自動化によって自動的に更新される NSG について具体的に見ていきます。
2つのNSGは以下のとおりです。
- EXA_1521_ADJUSTABLE_NSG
- ADB_1521_2484_ADJUSTABLE_NSG
EXA_1521_ADJUSTABLE_NSGはExadata Databaseに使用され、ADB_1521_2484_ADJUSTABLE_NSGはAutonomous AI Databaseに使用されます。
自動的に作成されるこれら 2 つの NSG は非常に重要であり、追加された各ピア CIDR ごとに 4 つのセキュリティ エントリ(執筆時点)、3 つのイングレス セキュリティ ルール、および 1 つのエグレス ルールで更新されます。詳細は以下のとおりです。

NSGには、デフォルトで120個のセキュリティルール(イングレス+エグレス)という制限があります。単純計算すると、デフォルトのNSG構成では、120 / 4 = 30個のピアリングされたCIDRに対応できます。お客様によっては、30個を超えるピアリングされたCIDRを追加したいという要望があり、NSGが120個を超えるセキュリティエントリをサポートできるように制限を引き上げる必要があります。
Oracle AI Database@AWS向けカスタムNSGのリリースに伴い、いくつかの点について明確化する必要がある。
自動化によって作成されたデフォルトの NSG (上記に挙げた 2 つの NSG) を切り離し、カスタムで作成した NSG をアタッチすれば、デフォルトの NSG は全く使用されず、ODB ピアリング用に新しいピア CIDR が追加されてもデータが書き込まれなくなり、セキュリティ エントリ数の制限に直面することもなくなる、と考えるかもしれません。これは、必要なエントリだけを追加するために、完全に制御できるカスタム NSG を使用するようになるためです。ここに混乱が生じます。
実際は少し異なります。カスタムNSGを使用して許可するトラフィックを細かく制御する場合(これがカスタムNSGを使用する唯一の目的です)、デフォルトのNSGを削除せずにデタッチし、カスタムNSGをアタッチする必要があります。デフォルトのNSGをデタッチしたとしても、新しいピアCIDRが追加されると、このNSGには4つのセキュリティエントリがまだ含まれており、セキュリティエントリ数の制限に達する可能性があります。
とはいえ、カスタム NSG を追加しても、デフォルトの NSG が自動化によって入力されなくなるわけではなく、制限の問題は依然として発生する可能性があります。
ピアリングされたCIDRを30個以上追加する必要がある場合の解決策は、毎回制限の引き上げを求めるチケットを発行し、カスタムNSGを使用しないことです。カスタムNSGは、より詳細なセキュリティエントリを設定したり、ポート1521に10.0.0.0/8のような汎用エントリを作成して簡素化したりするために使用できますが、NSGでサポートされるセキュリティエントリの数に関する制限を解決するために使用することはできません。
このブログが、Oracle AI Database@AWSにおけるカスタムNSGの使用方法を明確にする一助となれば幸いです。
コメント
コメントを投稿