Oracle Database@AWS で Amazon VPC への ODB ピアリングを設定する - Oracle Database@AWS
ODB ピアリングの設定ODB ピアリング用の VPC ルートテーブルの設定DNS の設定Oracle Database@AWS の Amazon VPC Transit Gateway の設定Oracle Database@AWS の AWS Cloud WAN の設定

Oracle Database@AWS で Amazon VPC への ODB ピアリングを設定する

ODB ピアリングは、Amazon VPC と ODB ネットワーク間でトラフィックをプライベートにルーティングできるようにする、ユーザー作成のネットワーク接続です。VPC と ODB ネットワークの間には 1 対 1 の関係があります。コンソール、CLI、または API を使用してピアリング接続を作成したら、VPC ルートテーブルを更新し、DNS 解決を設定してください。ODB ピアリングの概念の概要については、「ODB ピアリング」を参照してください。

Oracle Database@AWS での ODB ピアリング接続の作成

ODB ピアリング接続を使用して、Oracle Exadata インフラストラクチャと Amazon VPC で実行されているアプリケーション間のプライベートネットワーク接続を確立できます。各 ODB ピアリング接続は、ODB ネットワークとは別に作成、表示、削除できる個別のリソースです。

ODB ピアリング接続を作成するときに、ピアネットワークの CIDR 範囲を指定できます。この手法により、必要なサブネットへのネットワークアクセスを制限し、攻撃の潜在的なターゲットを減らし、コンプライアンス要件に対して、より詳細なネットワークセグメンテーションができるようになります。

次のタイプの ODB ピアリング接続を作成できます。

同一アカウントの ODB ピアリング

ODB ネットワークと Amazon VPC 間の ODB ピアリング接続は、同じ AWS アカウントで作成できます。

クロスアカウント ODB ピアリング

AWS RAM を使用して ODB ネットワークを共有した後、あるアカウントの ODB ネットワークと別のアカウントの Amazon VPC の間に ODB ピアリング接続を作成できます。VPC 所有者アカウントは、ODB ネットワークを所有することなく、ピアリング接続で指定された CIDR 範囲を管理できます。

VPC と ODB ネットワークの間には 1 対 1 の関係があります。VPC と複数の ODB ネットワーク間、または ODB ネットワークと複数の VPC 間で ODB ピアリング接続を作成することはできません。

  1. AWS マネジメントコンソールにサインインして、Oracle Database@AWS コンソール (https://console.aws.amazon.com/odb/) を開きます。

  2. ナビゲーションペインで、[ODB ピアリング接続] を選択します。

  3. [ピアリング接続の作成] を選択します。

  4. (オプション) [ODB ピアリング名] には、接続の一意の名前を入力します。

  5. [ODB ネットワーク] で、ピアリングする ODB ネットワークを選択します。

  6. [ピアネットワーク] で、ODB ネットワークとピア接続する Amazon VPC を選択します。

  7. (オプション) [ピアネットワーク CIDR] で、ODB ネットワークにアクセスできるピア VPC から追加の CIDR ブロックを指定します。CIDR を指定しない場合、ピア VPC からのすべての CIDR へのアクセスが許可されます。

  8. (オプション) [タグ] で、キーと値のペアを追加します。

  9. [ピアリング接続の作成] を選択します。

ODB ピアリング接続を作成した後、ピアリングされた ODB ネットワークにトラフィックをルーティングするように Amazon VPC ルートテーブルを設定します。詳細については、「ODB ピアリング用の VPC ルートテーブルの設定」を参照してください。Oracle Database@AWS は ODB ネットワークルートテーブルを自動的に設定することに注意してください。

ODB ピアリング接続を作成するには、create-odb-peering-connection コマンドを使用します。

aws odb create-odb-peering-connection \
    --odb-network-id odbnet-1234567890abcdef \
    --peer-network-id vpc-abcdef1234567890

ODB ネットワークへのアクセスを特定の CIDR 範囲に制限するには、--peer-network-cidrs-to-be-added パラメータを使用します。CIDR 範囲を指定しない場合、すべての範囲にアクセスできます。

aws odb create-odb-peering-connection \
    --odb-network-id odbnet-1234567890abcdef \
    --peer-network-id vpc-abcdef1234567890 \
    --peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.2.0/24"

ODB ピアリング接続を一覧表示するには、list-odb-peering-connections コマンドを使用します。

aws odb list-odb-peering-connections

特定の ODB ピアリング接続に関する詳細を取得するには、get-odb-peering-connection コマンドを使用します。

aws odb get-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef

ODB ピアリング接続の更新

既存の ODB ピアリング接続を更新し、ピアネットワーク CIDR を追加または削除できます。ピア VPC 内のどのサブネットが ODB ネットワークにアクセスできるかを制御します。

  1. AWS マネジメントコンソールにサインインして、Oracle Database@AWS コンソール (https://console.aws.amazon.com/odb/) を開きます。

  2. ナビゲーションペインで、[ODB ピアリング接続] を選択します。

  3. 更新する ODB ピアリング接続を選択します。

  4. [アクション] を選択し、[ピアリング接続を更新] をクリックします。

  5. [ピアネットワーク CIDR] セクションで、必要に応じて CIDR ブロックを追加または削除します。

    • CIDR を追加するには、[CIDR を追加] を選択し、CIDR ブロックを入力します。

    • CIDR を削除するには、削除する CIDR ブロックの横にある [X] を選択します。

  6. [ピアリング接続を更新] を選択します。

ODB ピアリング接続にピアネットワーク CIDR を追加するには、update-odb-peering-connection コマンドで --peer-network-cidrs-to-be-added パラメータを指定します。

aws odb update-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef \
    --peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.3.0/24"

ODB ピアリング接続からピアネットワーク CIDR を削除するには、update-odb-peering-connection コマンドで --peer-network-cidrs-to-be-removed パラメータを指定します。

aws odb update-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef \
    --peer-network-cidrs-to-be-removed "10.0.1.0/24,10.0.3.0/24"

ODB ピアリング用の VPC ルートテーブルの設定

ルートテーブルには、サブネットまたはゲートウェイからのネットワークトラフィックの経路を判断する、ルートと呼ばれる一連のルールが含まれます。ルートテーブルの送信先 CIDR は、トラフィックの送信先となる IP アドレスの範囲です。ODB ネットワークへの ODB ピアリング用に VPC を指定した場合、ODB ネットワークの宛先 IP 範囲を使用して VPC ルートテーブルを更新します。ODB ピアリングの詳細については、「ODB ピアリング」を参照してください。

ルートテーブルを更新するには、AWS CLI ec2 create-route コマンドを使用します。次の例では、Amazon VPC ルートテーブルを更新します。詳細については、「ODB ピアリング用の VPC ルートテーブルの設定」を参照してください。

aws ec2 create-route \
    --route-table-id rtb-1234567890abcdef \
    --destination-cidr-block 10.0.0.0/16 \
    --odb-network-arn arn:aws:odb:us-east-1:111111111111:odb-network/odbnet_1234567890abcdef

ODB ネットワークのルートテーブルは、VPC CIDR で自動的に更新されます。VPC 内のすべての CIDR ではなく、特定のサブネット CIDR に対してのみ ODB ネットワークへのアクセスを許可するには、ODB ピアリング接続を作成するときにピアネットワーク CIDR を指定するか、既存の ODB ピアリング接続を更新してピアリング CIDR 範囲を追加または削除できます。詳細については、「Oracle Database@AWS での ODB ピアリング接続の作成」および「ODB ピアリング接続の更新」を参照してください。

VPC ルートテーブルの詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「サブネットルートテーブル」および「AWS CLI コマンドリファレンス」の「ec2 create-route」を参照してください。

Oracle Database@AWS の DNS の設定

Amazon Route 53 は、DNS ルーティングに使用できる可用性と拡張性に優れたドメインネームシステム (DNS) のウェブサービスです。ODB ネットワークと VPC の間に ODB ピアリング接続を作成する場合、VPC 内から ODB ネットワークリソースの DNS クエリを解決するメカニズムが必要です。Amazon Route 53 を使用して、以下のリソースを設定できます。

  • アウトバウンドエンドポイント

    ODB ネットワークに DNS クエリを送信するのに、エンドポイントが必要です。

  • リゾルバールール

    このルールは、Route 53 Resolver が ODB ネットワークの DNS に転送する DNS クエリのドメイン名を指定します。

Oracle Database@AWS での DNS の仕組み

Oracle Database@AWS は、ODB ネットワークのドメインネームシステム (DNS) 設定を自動的に管理します。ドメイン名には、デフォルトのドメイン名 oraclevcn.com にカスタムプレフィックスを指定するか、完全なカスタムドメイン名を指定できます。詳細については、「ステップ 1: Oracle Database@AWS で ODB ネットワークを作成する」を参照してください

Oracle Database@AWS が ODB ネットワークをプロビジョニングすると、次のリソースが作成されます。

  • ODB ネットワークと同じ CIDR ブロックを持つ Oracle Cloud Infrastructure (OCI) 仮想クラウドネットワーク (VCN)

    この VCN は、お客様のリンクされた OCI テナンシーにあります。ODB ネットワークと OCI VCN の間には 1:1 のマッピングがあります。すべての ODB ネットワークは OCI VCN に関連付けられています。

  • OCI VCN 内のプライベート DNS リゾルバー

    この DNS リゾルバーは、OCI VCN 内の DNS クエリを処理します。OCI オートメーションは VM クラスターのレコードを作成します。スキャンは、*.oraclevcn.com の完全修飾ドメイン名 (FQDN) を使用します。

  • プライベート DNS リゾルバーの OCI VCN 内の DNS リスニングエンドポイント

    DNS リスニングエンドポイントは、Oracle Database@AWS コンソールの ODB ネットワークの詳細ページで確認できます。

Oracle Database@AWS の ODB ネットワークでのアウトバウンドエンドポイントの設定

アウトバウンドエンドポイントを使用すると、DNS クエリを VPC からネットワークまたは IP アドレスに送信できます。エンドポイントは、クエリの送信元の IP アドレスを指定します。DNS クエリを VPC から ODB ネットワークに転送するには、Route 53 コンソールを使用してアウトバウンドエンドポイントを作成します。詳細については、「アウトバウンド DNS クエリのネットワークへの転送」を参照してください。

ODB ネットワークのアウトバウンドエンドポイントを設定するには

  1. AWS マネジメントコンソール にサインインし、Route 53 コンソール (https://console.aws.amazon.com/route53/) を開きます。

  2. 左のペインで、[アウトバウンドエンドポイント] を選択します。

  3. ナビゲーションバーで、アウトバウンドエンドポイントを作成する VPC の [リージョン] を選択します。

  4. [Create outbound endpoint (アウトバウンドエンドポイントの作成)] を選択します。

  5. [アウトバウンドエンドポイントの全般設定] セクションに、次のように入力します。

    1. 以下へのアウトバウンド TCP および UDP 接続を許可する [セキュリティグループ] を選択します。

      • リゾルバーが ODB ネットワークの DNS クエリに使用する IP アドレス

      • リゾルバーが ODB ネットワークの DNS クエリに使用するポート

    2. [エンドポイントタイプ] で、[IPv4] を選択します。

    3. [このエンドポイントのプロトコル] で、[Do53] を選択します。

  6. [IP アドレス] で以下の情報を提供してください。

    • IP アドレスを指定するか、Route 53 Resolver がサブネット内の使用可能なアドレスから IP アドレスを選択できるようにします。DNS クエリには、最小 2 つから最大 6 つの IP アドレスを選択します。少なくとも 2 つの異なるアベイラビリティーゾーンで IP アドレスを選択することをお勧めします。

    • [サブネット] で、以下を含むサブネットを選択します。

      • ODB ネットワーク上の DNS リスナーの IP アドレスへのルートを含むルートテーブル

      • IP アドレスとリゾルバーが ODB ネットワークの DNS クエリに使用するポートへの UDP および TCP トラフィックを許可するネットワークアクセスコントロールリスト (ACL)

      • 送信先ポート範囲 1024~65535 のリゾルバーからのトラフィックを許可するネットワーク ACL

  7. (オプション) [タグ] で、エンドポイントのタグを指定します。

  8. [Submit] を選択してください。

Oracle Database@AWS でのリゾルバールールの設定

リゾルバールールは、DNS クエリをルーティングする方法を決定する一連の基準です。リゾルバーが ODB ネットワークの DNS に転送する DNS クエリのドメイン名を指定するルールを再利用または作成します。

既存のリゾルバールールの使用

既存のリゾルバールールを使用するのに、アクションはルールのタイプによって異なります。

AWS アカウント の VPC と同じ AWS リージョンにある同じドメインのルール

新しいルールを作成する代わりに、ルールを VPC に関連付けます。ルールダッシュボードからルールを選択し、AWS リージョン内の該当する VPC に関連付けます。

VPC と同じリージョンにあるが、別のアカウントにある同じドメインのルール

AWS Resource Access Manager を使用して、リモートアカウントからアカウントにルールを共有します。ルールを共有するときは、対応するアウトバウンドエンドポイントも共有します。ルールをアカウントと共有した後、ルールダッシュボードからルールを選択し、アカウントの VPC に関連付けます。詳細については、「転送ルールの管理」を参照してください。

新しいリゾルバールールの作成

既存のリゾルバールールを再利用できない場合、Amazon Route 53 コンソールを使用して新しいルールを作成します。

新しいリゾルバールールを作成するには

  1. AWS マネジメントコンソール にサインインし、Route 53 コンソール (https://console.aws.amazon.com/route53/) を開きます。

  2. 左のペインで、[ルール] を選択します。

  3. ナビゲーションバーで、アウトバウンドエンドポイントが存在する VPC の [リージョン] を選択します。

  4. [Create rule] を選択してください。

  5. [アウトバウンドトラフィックのルール] セクションを次のように入力します。

    1. [ルールタイプ] で、[転送ルール] を選択します。

    2. [ドメイン名] には、ODB ネットワークから完全なドメイン名を指定します。

    3. [このルールを使用する VPC] で、DNS クエリが ODB ネットワークに転送される VPC に関連付けます。

    4. [アウトバウンドエンドポイント] で、Oracle Database@AWS の ODB ネットワークでのアウトバウンドエンドポイントの設定 で作成したアウトバウンドエンドポイントを選択します。

      注記

      このルールに関連付けられた VPC は、アウトバウンドエンドポイントを作成したのと同じ VPC である必要はありません。

  6. [ターゲット IP アドレス] セクションを次のように入力します。

    1. [IP アドレス] には、ODB ネットワーク上の DNS リスナー IP の IP アドレスを指定します。

    2. [ポート] で、[53] を指定します。これは、リゾルバーが DNS クエリに使用するポートです。

      注記

      Route 53 Resolver は、このルールに一致する DNS クエリを、このルールに関連付けられた VPC から参照されるアウトバウンドエンドポイントに転送します。これらのクエリは、[ターゲット IP アドレス] で指定したターゲット IP アドレスに転送されます。

    3. [伝送プロトコル] で、[Do53] を選択します。

  7. (オプション) [タグ] で、ルールのタグを指定します。

  8. [Submit] を選択してください。

Oracle Database@AWS の DNS 設定をテストする

アウトバウンドエンドポイントとリゾルバールールを作成した後、DNS が正しく解決することをテストします。アプリケーション VPC で Amazon EC2 インスタンスを使用して、次のように DNS 解決を実行します。

Linux または MacOS の場合

dig record-name record-type の形式のコマンドを使用します。

Windows の場合

nslookup -type=record-name record-type の形式のコマンドを使用します。

Oracle Database@AWS の Amazon VPC Transit Gateway の設定

Amazon VPC Transit Gateway は、仮想プライベートクラウド (VPC) とオンプレミスネットワークを相互接続するネットワークの中継ハブです。ハブアンドスポークアーキテクチャの各 VPC は、トランジットゲートウェイに接続して、他の接続VPC にアクセスできます。AWS Transit Gateway は、IPv4 と IPv6 の両方のトラフィックをサポートしています。

Oracle Database@AWS では、ODB ネットワークは 1 つの VPC へのピア接続のみをサポートします。ODB ネットワークにピア接続されている VPC に Transit Gateway を接続する場合は、複数の VPC をこのゲートウェイに接続できます。これら異なる VPC で実行されているアプリケーションは、ODB ネットワークで実行されている Exadata VM クラスターにアクセスできます。

次の図は、2 つの VPC と 1 つのオンプレミスネットワークに接続されているトランジットゲートウェイを示しています。

トランジットゲートウェイに接続されている VPC とピア接続された ODB ネットワークを表示します。ゲートウェイは VPC とオンプレミスネットワークに接続されています。

前述の図では、1 つの VPC が ODB ネットワークにピア接続されています。この設定では、ODB ネットワークはトランジットゲートウェイにアタッチされたすべての VPC にトラフィックをルーティングできます。VPC のそれぞれのルートテーブルには、ローカルルートと、ODB ネットワークを宛先とするトラフィックをトランジットゲートウェイに送信するルートの両方が含まれます。

AWS Transit Gateway では、トランジットゲートウェイへの 1 時間あたりの接続数と、AWS Transit Gateway を経由するトラフィック量に対して課金されます。コストに関する情報については、「AWS Transit Gateway 料金表」を参照してください。

要件

Oracle Database@AWS 環境が以下の要件を満たしていることを確認します。

  • ODB ネットワークにピア接続されている VPC は、同じ AWS アカウントにある必要があります。ピア接続された VPC が ODB ネットワークとは異なるアカウントにある場合、Transit Gateway アタッチメントは共有設定に関係なく失敗します。

  • ODB ネットワークにピア接続されている VPC には、Transit Gateway アタッチメントが必要です。

    注記

    トランジットゲートウェイが共有用に設定されている場合、任意のアカウントに存在することができます。したがって、ゲートウェイ自体が VPC および ODB ネットワークと同じアカウントに存在している必要はありません。

  • Transit Gateway アタッチメントは、ODB ネットワークと同じアベイラビリティーゾーン (AZ) にある必要があります。

制限

Oracle Database@AWS の Amazon VPC Transit Gateway には以下の制限があることに注意してください。

  • Amazon VPC Transit Gateway は、ODB ネットワークをアタッチメントとして使用するネイティブ統合は提供しません。したがって、次のような VPC 機能は利用できません。

    • パブリック DNS ホスト名のプライベート IP アドレスへの解決

    • ODB ネットワークトポロジ、ルーティング、接続ステータスの変更に関するイベント通知

  • ODB ネットワークへのマルチキャストトラフィックはサポートされていません。

トランジットゲートウェイのセットアップと設定

Amazon VPC コンソールまたは aws ec2 コマンドを使用して、トランジットゲートウェイを作成し、設定します。次の手順では、ODB ネットワークが AWS アカウントの VPC にピア接続されていないことを前提としています。ODB ネットワークと VPC がアカウントで既にピアリングされている場合、ステップ 1~3 をスキップします。

注記

VPC のアタッチメントをアタッチまたは再アタッチする場合、必ず CIDR 範囲を ODB ODB ネットワークに再入力します。

Oracle Database@AWS のトランジットゲートウェイをセットアップし設定するには

  1. ODB ネットワークを作成します。詳細については、「ステップ 1: Oracle Database@AWS で ODB ネットワークを作成する」を参照してください。

  2. ODB ネットワークを含むのと同じアカウントを使用して VPC を作成します。詳細については、「Amazon VPC ユーザーガイド」の「VPC を作成する」を参照してください。

  3. ODB ネットワークと VPC の間に ODB ピアリング接続を作成します。詳細については、「Oracle Database@AWS で Amazon VPC への ODB ピアリングを設定する」を参照してください。

  4. Amazon VPC Transit Gateways の使用を開始する」の手順に従って、トランジットゲートウェイを設定します。ゲートウェイは、ODB ネットワークおよび VPC と同じ AWS アカウント にあるか、別のアカウントによって共有されている必要があります。

    重要

    ODB ネットワークと同じ AZ に Transit Gateway アタッチメントを作成します。

  5. コアネットワークにアタッチする VPC およびオンプレミスネットワークの ODB ネットワークに CIDR 範囲を追加します。詳細については、「Oracle Database@AWS での ODB ネットワークの更新」を参照してください。

    CLI を使用している場合、--peered-cidrs-to-be-added--peered-cidrs-to-be-removed と使用して update-odb-network コマンドを実行します。詳細については、「AWS CLI Command Reference」を参照してください。

Oracle Database@AWS の AWS Cloud WAN の設定

AWS Cloud WAN は、マネージド型ワイドエリアネットワーク (WAN) サービスです。AWS Cloud WAN を使用して、クラウド環境とオンプレミス環境全体で実行されているリソースを接続する統合グローバルネットワークを構築、管理、モニタリングできます。

AWS Cloud WAN で、グローバルネットワークは、ネットワークオブジェクトの高レベルコンテナとして機能する単一のプライベートネットワークです。コアネットワークは、AWS によって管理されるグローバルネットワークの一部です。

AWS Cloud WAN には、以下のような主な利点があります。

  • 複数のリージョンでセキュリティを維持しながら運用を簡素化する一元化されたネットワーク管理

  • 複数のルーティングドメインを介してトラフィックを分離するセグメンテーションが組み込まれたコアネットワーク

  • ネットワーク管理を自動化し、グローバルネットワーク全体で一貫した設定を定義するポリシーのサポート

Oracle Database@AWS では、ODB ネットワークは 1 つの VPC へのピア接続のみをサポートします。AWS Cloud WAN コアネットワークをピア接続された VPC に接続すると、グローバルトラフィックルーティングが有効になります。複数のリージョンにまたがってアタッチされた VPC 内のアプリケーションは、ODB ネットワーク内の Exadata VM クラスターにアクセスできます。ODB ネットワークトラフィックを独自のセグメントに分離したり、他のセグメントへのアクセスを有効にしたりできます。

次の図は、3 つの VPC と 1 つのオンプレミスネットワークに接続されている AWS Cloud WAN コアネットワークを示しています。

AWS Cloud WAN コアネットワークに接続されている VPC とピア接続された ODB ネットワークを表示します。ネットワークは 3 つの VPC とオンプレミスネットワークに接続されています。

AWS Cloud WAN は、ODB ネットワークをアタッチメントとして使用するネイティブ統合は提供しません。したがって、次のような VPC 機能は利用できません。

  • パブリック DNS ホスト名のプライベート IP アドレスへの解決

  • ODB ネットワークトポロジ、ルーティング、接続ステータスの変更に関するイベント通知

AWS Cloud WAN では、以下に対して時間単位で課金されます。

  • リージョンの数 (コアネットワークエッジ)

  • コアネットワークアタッチメントの数

  • アタッチメントを介してコアネットワークを経由するトラフィックの量

料金の詳細については、「AWS Cloud WAN の料金表」を参照してください。

Oracle Database@AWS のコアネットワークを設定するには

  1. コアネットワークにアタッチする VPC およびオンプレミスネットワークの ODB ネットワークに CIDR 範囲を追加します。詳細については、「Oracle Database@AWS での ODB ネットワークの更新」を参照してください。

    注記

    VPC のアタッチメントをアタッチまたは再アタッチする場合、必ず CIDR 範囲を ODB ODB ネットワークに再入力します。

  2. AWS Cloud WAN グローバルネットワークとコアネットワークを作成する」の手順に従います。