itアーキテクトのためのoracle cloud platform設計・構築入門 [oracle cloud days tokyo...
Post on 16-Apr-2017
127 views
TRANSCRIPT
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
日本オラクル株式会社
クラウド・プラットフォーム推進室
ソリューションアーキテクト部
丸川祐考
ITアーキテクトのためのOracle Cloud Platform 設計・構築入門
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
•以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。
2
OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
はじめに
•本セッションの目的– Oracle Cloud Platform を利用したシステム設計・構築の考え方の基礎を理解する
•本セッションの対象者– Oracle Cloud Platform を上でシステム構築を行うインフラ・アーキテクト
•資料のつくり– Oracle Cloud 特有の考え方、機能をなるべく網羅
–個別機能の詳細には踏み込まず、ドキュメントへのリンクを掲示
–理解に必要な Oracle Cloud の機能については都度補足的に説明
3
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
もくじITアーキテクトのための Oracle Cloud Platform 設計・構築入門
1. クラウド・サービスの選択
2. キャパシティの考慮
3. 可用性の考慮
4. バックアップ、リカバリの考慮
5. ネットワーク構成の考慮
6. アクセス管理とセキュリティの考慮
7. 監視の考慮
8. 運用の考慮
4
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
1. クラウド・サービスの選択選択のポイント
1. オンプレミス vs. パブリック・クラウド vs. Oracle Cloud@Customer
2. PaaS vs. IaaS
3. 顧客管理PaaS vs. Oracle管理PaaS
4. 従量制(Metered) vs. 定額制(Non-Metered)
5
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
1. クラウド・サービスの選択1. オンプレミス vs. パブリック・クラウド vs. Oracle Cloud@Customer
6
Public CloudOn-Premises
オンプレミス
– クローズドネットワーク
– データを自社内に保持
– 機器、ソフトウェアを資産として保有
Cloud @ Customer
– クローズドネットワーク
– データを自社内に保持
– 機器、ソフトウェアはサブスクリプションで従量支払い
パブリック・クラウド
– オープンネットワーク
– データはクラウドDCに保持
– 機器、ソフトウェアはサブスクリプションで従量支払い
Oracle Cloud @ Customer の詳細については、D1-I2 セッションの資料をご覧ください
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
1. クラウド・サービスの選択2. PaaS vs. IaaS – PaaS利用のメリット
• 数クリックでDBサーバー、APサーバーが起動
– Real Application Clusters(RAC), Data Guard 構成や、WebLogicクラスター、ロードバランサー、Coherenceクラスタも構成可能
• 管理機能が実装済み
– バックアップ
– 監視
– パッチ適用
• ただし一部の利用制限あり ->次頁
7
PaaSを選択するメリット = アジリティ、管理工数の削減
クラスター,HA,DR
ワンクリックでパッチ適用
データ/通信デフォルト暗号化
プロビジョニング
専用モニタリングツール
環境クローン作成
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
1. クラウド・サービスの選択2. PaaS vs. IaaS – PaaS利用時の制限
PaaS IaaS
ハードウェア利用形態 サブスクリプション サブスクリプション
ソフトウェア利用形態 サブスクリプション BYOL
ソフトウェアの選択 あるものから選択 自由
Oracle製品の持ち込み 不可 自由
ソフトウェア・バージョン選択 一部制限あり 自由
構成の選択 一部制限あり 自由
サードパーティ製品の選択 自由 自由
OSのROOT権限付与 サービスによる あり
バックアップ等の運用主体 サービスによる 顧客
8
• Oracle Cloud における PaaSと IaaSの違いは一般的なパブリック・クラウドとは違う点がある
• 赤字の部分が差異、この部分に注目して選択
• 黒字の部分は選択の決め手にはならない
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
1. クラウド・サービスの選択3. 顧客管理PaaS vs. オラクル管理PaaS
• 顧客管理PaaS (Customer-managed Public Cloud Service)
– 仮想マシンベース
– 顧客はroot権限を持ち仮想OS以上を管理
– Oracle IaaSと同じ管理タイプ
– Database, MySQL, Java, SOA, App Container, GoldenGate , Exadata等 (*1)
• オラクル管理PaaS (Oracle-managed Public Cloud Service)
– Oracleによるフルマネージドサービス
– Exadata Express, DB Backup, BI, Mobile, Developer, App Builder, Integration, IoT, Management , Documents 等
9
(*1) racle PaaS/IaaS Public Cloud Services Pillar Document http://www.oracle.com/us/corporate/contracts/paas-iaas-public-cld-srvs-pillar-3089816.pdf
データセンター
ハードウェア機器
OS
ミドルウェア
アプリケーション
オラクル管理
顧客管理
顧客管理PaaS オラクル管理PaaS
オラクル管理
顧客管理
ハイパーバイザー
仮想マシン
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
1. クラウド・サービスの選択4. 従量制(Metered) vs. 定額制(Non-Metered)
10
10
Non-metered (定額制)
定常的なサービス利用向き
• 一年以上の定期契約
• 使用量に関わらず定額の支払
• 割安な単価
• 一時的に契約数量の2倍までのリソースを利用可能 (バースティング機能)→超過利用分は後払いで精算
Metered (従量制)
自由度を求めるシステム向き
• プリペイド・クレジットを事前に購入し、利用した分だけクレジットから引き落とし
• クレジットは随時追加可能
• リソースの利用量制限なし
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
2. サイジングの考慮キャパシティ・サイジングに対する2つのアプローチ
• オンプレミス的アプローチ
– サイジング要件を明確にした上で見積 -> 予算化 -> 実施と進む
– 定額制サービスまたはバースティング付き定額制サービスを軸に検討• メリット : サービス単価が安い(50~75%)
• デメリット : 柔軟性に欠ける、初期はキャパシティ見積の精緻化が難しい
• クラウド的アプローチ
– サイジング要件を明確にせずに開始、プロジェクトの中で実機でサイジング
– 従量制(Metered)サービスを軸に検討• メリット:キャパシティ見積を初期に突き詰める必要がない
• デメリット:単価が高い、予算額が確定しにくい
11
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
2. サイジングの考慮おすすめのアプローチ
12
• 開発、検証環境→クラウド的アプローチ
– 従量制(Metered)契約
– 契約前にサイジングに時間をかけない、使いながらボリュームを見極める
– クレジットは少なめに購入、後から追加できるように予算化
– トライアル(30日)を有効活用
• 本番環境→状況に応じアプローチを選択
– 定額制(Non-metered)をメインで検討、検証環境での実機サイジングで決定
– ある程度の負荷変動はバースティングで対応、定常的であれば契約追加を検討
– 現時点では1つのアイデンティティ・ドメインへの従量制(Metered)と定額制(Non-metered)の同居は不可(2つ契約する必要あり)
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
2. サイジングの考慮サービス毎の物理的なキャパシティを知る
• キャパシティ上限の例
– コンピュート・シェイプの上限 => 16 oCPU 240GB
– ブロック・ストレージ 1ボリュームあたりの最大サイズ => 2048GB
– 1インスタンスに同時にアタッチできるボリュームの最大数 => 10
– RAC サービスのノード数上限 => 2
– Exadata Express のストレージ上限 => 50GB
などなど・・・
• キャパシティ上限(下限)については使用する各サービス毎のマニュアル(*1)を参照
13
(*1) Cloud Documentation - https://docs.oracle.com/cloud/latest/
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
2. サイジングの考慮コンピュート・インスタンス性能
• OCPU (Oracle Computing Unit)
– 『1 OCPUは、ハイパー・スレッドが使用可能なIntel Xeonプロセッサの1物理コア相当のCPU性能を提供します。各OCPUが2つのハードウェア実行スレッド(vCPU)に対応しています。』
• 特徴 = CPUピニング
– オーバーサブスクリプションなし
– コンピュート処理性能はかなり確実に見込める
• 使用CPU (非公開、実績ベース)
– Xeon E5-2690 v2 (25M Cache, 3.00 GHz)
– Xeon E5-2690 v3 (30M Cache, 2.60 GHz)
– Xeon E5-2699 v4 (55M Cache, 2.20 GHz)
14
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
datadata
2. サイジングの考慮ブロック・ストレージとオブジェクト・ストレージ
15
boot data boot
コンテナ コンテナ
Database CloudCompute Cloud
コンピュートインスタンス
(VM)
datadatadata
データベースインスタンス
(VM)
DBバックアップスナップショット
Storage Cloud
ファイル転送
ブロック・ストレージ (Oracle Compute Cloud Block Storage)• 高いIOPSを必要とするアプリケーションに効率的なデータの保存および取出しを提供
• ブロック・ベース・アクセス• 拡張性の面では制限(<=2TB)、保存データの粒度の細かいメタデータ定義をサポートしない
• インスタンスで使用するファイルシステムに使用
オブジェクト・ストレージ (Oracle Storage Cloud Service)
• 大量の非構造化データを保存する場合に、パフォーマンス、スケーラビリティおよび管理の最適なブレンドを提供
• APIベース・アクセス• 使いやすく、機能性がよく、事実上無制限の容量まで拡張可能• バックアップやスナップショットの配置先に使用
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
2. サイジングの考慮ブロック・ストレージ性能
• IaaS(Compute Cloud)ではボリューム作成時に2種類から選択
– スループット型 : storage/default
• HDDのみで構成
– レスポンス型 : storage/latency
• HDD + SSDキャッシュ(Read, Write)
• 価格は同じ、迷ったらlatency
• 帯域保証プランはなし→次頁の性能参考値を元に検討
16
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
2. サイジングの考慮ブロック・ストレージ性能の参考値
処理内容 IOPS MB/s Avg Time(ms) 同時IO(job数 x IO Depth)
8k rand read 30,934 242 3.0 96
8k rand write 24,718 193 4.8 64
8k rand read write 30,206 236 R 3.4/W 5.1 128
1024k seq read 223 223 142.3 32
1024k seq write 417 417 18.7 8
1024k seq read write
318 318 R 39.1/W 61.1 16
17
LVMext4
storage/latency4デバイス
FIOで測定
※上記は参考値です、実際の性能を保証するものではありません
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
3. 可用性の考慮基本的な考え方
• 使用するクラウド・サービスの可用性レベルを知る
– サービス毎にターゲット稼働時間(SLO)がポリシー文書(*1)で規定
– 顧客管理PaaSと Oracle管理PaaSで対象範囲が異なる
– カバーするのは非計画停止、計画停止はSLOの対象範囲外計画停止スケジュールはMy Oracle Supportで公開(*2)されている
• もし要件には不足する場合には、その上のソフトウェア/ツール/実装でカバーすることを考える→ 具体的にはサービス・インスタンスの冗長化を検討
18
(*1) Contracts – Oracle Cloud Services - http://www.oracle.com/us/corporate/contracts/cloud-services/index.html(*2) Technology Cloud Services (PaaS and IaaS) Maintenance Schedule (Doc ID 2131053.2) - https://support.oracle.com/epmos/faces/DocumentDisplay?id=2131053.2
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
3. 可用性の考慮サービスのターゲット稼働時間記述の抜粋(*1)
19
(*1) Oracle PaaS and IaaS Public Cloud Services Pillar Documentation July 2016 - http://www.oracle.com/us/corporate/contracts/paas-iaas-public-cloud-pillar-jp-3229524.pdf
カテゴリ サービス名称 目標稼働率
カテゴリ1
・Oracle Database Cloud Service ・Oracle API Manager Cloud Service
99.95%・Oracle Java Cloud Service ・Oracle Managed File Transfer Cloud Service
・Oracle Application Container Cloud Service ・Oracle Database Exadata Cloud Service
・Oracle SOA Cloud Service ・Oracle Golden Gate Cloud Service
カテゴリ2 ・Oracle Database Backup Service ・Oracle Storage Cloud Service 99.90%
カテゴリ3
・Oracle Messaging Cloud Service ・Oracle Internet of Things Cloud Service
99.95%
・Oracle Database Cloud Service – Multitenant Edition ・Oracle Application Performance Monitoring Cloud Service
・Oracle Java Cloud Service – SaaS Extension ・Oracle IT Analytics Cloud Service
・Oracle Application Builder Cloud Service ・Oracle Log Analytics Cloud Service
・Oracle Business Intelligence Cloud Service ・Oracle Mobile Cloud Service
・Oracle Data Visualization Cloud Service ・Oracle Process Cloud Service
・Oracle Documents Cloud Service ・Oracle Big Data Preparation Cloud Service
・Oracle Sites Cloud Service ・Oracle Big Data Discovery Cloud Service
・Oracle Integration Cloud Service
カテゴリ4 ・Oracle Big Data SQL Cloud Service ・Oracle Big Data Cloud Service – Starter Pack – 3 Nodes 99.95%
カテゴリ5 ・Oracle Compute Cloud Service ・Oracle Public Cloud Machine 99.95%
カテゴリ6 ・Oracle Network Cloud Service 99.90%
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
3. 可用性の考慮サービスのターゲット稼働時間記述例(*1)
20
(*1)Oracle PaaS/IaaS Public Cloud Services Pillar Document – Japanese - http://www.oracle.com/us/corporate/contracts/paas-iaas-public-cloud-pillar-jp-3229524.pdf
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
緑:インスタンス (VM)停止なし赤:インスタンス 停止の可能性あり
3. 可用性の考慮Oracle Cloud メンテナンスカレンダー(*1)
21
作業内容 作業時間
日付
(*1) Technology Cloud Services (PaaS and IaaS) Maintenance Schedule (Doc ID 2131053.2) - https://support.oracle.com/epmos/faces/DocumentDisplay?id=2131053.2
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
DC2DC1
3. 可用性の考慮PaaS利用時のインスタンス冗長化の検討
22
冗長化は各サービス・レイヤー毎に検討、DRは別DCを利用
BlockStorage
DB1 DB2 DB3 DB4
BlockStorage
BlockStorage
Coherence1
Coherence2
Coherence3
WebLogic1
WebLogic2
WebLogic3
Coherence4
Virtual Load Balancer VLBR
Object StorageObjectStorageGeoreplication
バックアップ
RAC
Data Guard(HA)
Data Guard (DR)
• ロードバランサー層(LBaaS)
– LBaaSはデータセンター内で冗長化済(データセンターを跨った冗長化は将来提供予定)
• アプリケーション層(JCS)
– クラスタリング(WebLogic, Coherence)
– Active – Standby構成(OTD)
– DR : 別データセンターにインスタンスを配置トランザクションログはDBに永続化しDB機能で保護
• データベース層(DBCS)
– Active-Active クラスタリング(RAC) または HA(Data Guard)
– DR : 別データセンターへのレプリケーション(Data Guard)
• ストレージ層(Storage Cloud / Database Backup Cloud)
– データセンター内は三重冗長化済
– DR : ジオ・レプリケーションを設定
クラスタリング
Virtual Load Balancer VLBR
Java CloudService
DatabaseCloud
Service
Load Balanceras a Service
Storage CloudService
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
3. 可用性の考慮PaaS利用時のインスタンス冗長化の検討
23
• PaaSの冗長構成はデプロイメント時に選択
• Java Cloud Service
– WebLogicクラスター
– Coherence クラスター
– Oracle Traffic Director アクティブ-スタンバイ
• Database Cloud Service
– RAC (2ノードクラスター)
– Data Guard (High Availability: 同じDC)
– Data Guard (Disaster Recovery : 別のDC)
データベース
WebLogic
OTD(ロードバランサー)
Coherence(インメモリキャッシュ)
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
3. 可用性の考慮IaaS利用時の可用性検討
• Oracle IaaSの可用性補助機能の活用を検討–インスタンスの自動リスタート機能
–オーケストレーションによるインスタンスの分散配置
–モニタリング・メトリック + アクションの利用
–スナップショットを利用したインスタンス・リカバリー
+ アプリケーションに応じモニタリングや自動化をある程度作り込んで実装
24
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle IaaSの可用性補助機能 -インスタンスの自動リスタート(*1)
• インスタンス(仮想マシン)の状態を監視し、エラーの場合には再起動をかける機能
• Compute Cloud と、すべての Database Cloud / Java Cloud などの顧客管理PaaSサービスで利用可 (関連するOracle Database等のアプリケーションも自動起動)
• サーバー障害等に対応
• RTO > 数分程度の可用性要件に対応
• 設定方法– Compute Cloud : インスタンス作成ウィザードで高可用性ポリシーをアクティブに設定
– 顧客管理PaaS : 自動で設定済
25
インスタンスの状態を監視しエラーなら強制再起動
NG?Restart!!
OK OK OK
3. 可用性の考慮
(*1) Oracle Cloud Oracle Compute Cloud Service (IaaS)の使用 -オーケストレーション内の高可用性ポリシーについてhttps://docs.oracle.com/cd/E60665_01/stcomputecs/STCSG/GUID-1896C799-49A6-42B8-9813-7DE5695267FE.htm#GUID-1896C799-49A6-42B8-9813-7DE5695267FE__HIGHAVAILABILITYPOLICIES-581418A5
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle IaaSの可用性補助機能 –オーケストレーションによるインスタンス分散配置
• オーケストレーション = Oracle Cloud のオブジェクト(インスタンス、ネットワーク、ストレージなど) の関係を定義し、一斉制御を行うための定義ファイル、JSONで記述
– ウィザードが自動生成
– 複雑なものはテンプレート(*1) を元に自由に記述可能
• オーケストレーションの中に複数インスタンスを記述し、その関係を定義
– 左図の例では、 instanceA と instance Bを異なる物理サーバーノード “differenct_node” に起動するように関係性を記述
• クラスタリング構成で、物理サーバー障害によってすべてのインスタンスがダウンすることを防止
26
3. 可用性の考慮
relationships": [ { "instances": [ "instanceA", "instanceB“ ], "type": "different_node“ }]
Server1 A
Server2
Server3
Server4
C
D
G
E
B
B
B
B
インスタンスBが起動(再起動)する際、インスタンスAが配置されているサーバー1とは別のサーバーで必ず起動する
samplecluster.json
(*1) Oracle Cloud Oracle Compute Cloud Serviceの使用 -オーケストレーション・テンプレート - https://docs.oracle.com/cd/E60665_01/stcomputecs/STCSG/GUID-F6861C70-1A76-4F65-B58F-B3C42DB162F7.htm
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle IaaSの可用性補助機能 –モニタリング・メトリック + アクションの利用
27
3. 可用性の考慮
• モニタリング・メトリック(*1)
– 7つの基本メトリック (CPU, ネットワーク, ストレージ)+ PaaSサービス毎の追加メトリック
– (将来)メトリック追加予定、エージェントタイプもサポート
• 閾値に基づくアラート
– 電子メール + コンソールでの通知
– REST API(*2)経由でのステータス取得
– JCSオートスケーリング連携、OPC-CLI(*3)連携(将来)
New!!
New!!
(*1) Managing and Monitoring Oracle Cloud - Monitoring Service Status, Account Balance, and Utilization in a Domain - http://docs.oracle.com/en/cloud/get-started/subscriptions-cloud/mmocs/monitoring-service-status-account-balance-and-utilization-domain.html
(*2) REST API for Oracle Monitoring Cloud Service - http://docs.oracle.com/en/cloud/get-started/subscriptions-cloud/ramoc/api-Metrics.html(*3) Command Line Reference for Oracle Compute Cloud Service (IaaS) - http://docs.oracle.com/cloud/latest/stcomputecs/STCLR/toc.htm
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle IaaSの可用性補助機能 –スナップショット(*1)を利用したインスタンス・リカバリー
28
3. 可用性の考慮
• 動作
– ストレージ・クラウドにスナップショットを取得
– 初回はフル取得、その後は差分取得
– ストレージ・クラウドのジオレプリケーション機能で、他のデータセンターにスナップショットをコピー
– 別データセンターAZで、スナップショットからブロック・ストレージのボリュームを作成
– 新たに作成したコンピュート・インスタンスにボリュームをアタッチ
• REST API(*2) による自動化なども検討
Zone01
ジオレプリケーション
Zone02
Data Center 1
Zone01
Data Center 2
リモート・スナップショット(Storage Cloud Service)
リモート・スナップショット(Storage Cloud Service)
ブロック・ストレージ
インスタンス
ブロック・ストレージ
インスタンス
ブロック・ストレージ
インスタンス
(*1) Using Oracle Compute Cloud Service (IaaS) - Backing Up and Restoring Storage Volumes Using Snapshots - http://docs.oracle.com/cloud/latest/stcomputecs/STCSG/GUID-0C04E7C5-0D24-4D16-9D83-92EC1E737622.htm
(*2) REST API for Oracle Compute Cloud Service (IaaS) - Storage Volume Snapshots REST Endpoints - http://docs.oracle.com/cloud/latest/stcomputecs/STCSA/api-Storage%20Volume%20Snapshots.html
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
3. 可用性の考慮クラウドでのDR構築時の応用
• Oracle Cloud では、DR用の環境を普段は最小限で作成しておいて、DR発動後に大きくすることが可能
– 特に PaaSサービスのデータベースにおいて費用削減効果が高い
29
本番DB 8コア
DR用DB 1コア
– 左図は、本番環境 8コア、DR環境1コアで稼働中の Oracle Database Cloud Service の Data Guard 環境
– DR発動後に下段のDBを8コアにスケールアップして使用(スケールアップはインスタンスの再起動が発生するために切替時間が余分にかかる点に注意)
– 従量制のほか定額制でも利用可能(バースティング機能)
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
4. バックアップの考慮基本的な考え方
• Oracle管理PaaS– Oracle がバックアップを取得
– 取得間隔や保管期間はサービス毎に定義 (例 : Exadata Express -> 週次フル、日次差分)
– 基本的にはこれで十分、足りなければデータや設定を手動でエクスポート
• 顧客管理PaaSおよび IaaS– 顧客がバックアップを取得する必要がある
– サービスで用意しているバックアップ / リカバリーのツールを活用
30
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
4. バックアップの考慮顧客管理 PaaS / IaaSでのバックアップ
• PaaSの Automated サービスに付属するバックアップ・ツールの利用を推奨
– Java Cloud Service : メタデータの定期バックアップ(*1)
– Database Cloud Service : RMANを使ったデータと設定の定期バックアップ(*2)
• IaaS(Compute Cloud Service)の機能も補完的に利用
– ストレージ・ボリュームの定期バックアップ(*3)の設定(現在はREST APIのみ)
– リモート・スナップショット(*4)の取得
31
(*1) Oracle Java Cloud Serviceインスタンスのバックアップの構成 - https://docs.oracle.com/cd/E60665_01/jcs_gs/JSCUG/GUID-F9A3A1B3-2705-4265-AFC9-6398E3B3D494.htm(*2) Database as a Serviceのデータベースのバックアップとリストア - https://docs.oracle.com/cd/E60665_01/dbcs_dbaas/CSDBI/GUID-0864AA36-8FE4-4D62-9F18-A0550D4BC89B.htm(*3) Scheduling Backups of Storage Volumes and Restoring from Backups - http://docs.oracle.com/cloud/latest/stcomputecs/STCSG/GUID-7F3C0A24-5108-4279-BC72-8D516AF9DA42.htm(*4) Backing Up and Restoring Storage Volumes Using Snapshots - http://docs.oracle.com/cloud/latest/stcomputecs/STCSG/GUID-0C04E7C5-0D24-4D16-9D83-92EC1E737622.htm
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
4. バックアップの考慮Oracle Database Cloud Service のバックアップ設定
• ベストプラクティスに沿ったオンライン・バックアップが構成済
32
Oracle Storage Cloud
コンテナ
Block Storage
インスタンス(VM)
DB
DB設定
OS設定
RMANfra
(/u03)
crond
日次起動
tar
イメージコピーのコピーバックアップセットのコピー
1週間で削除
SBT
30日で削除一世代のフルバックアップ+ 7日分の差分バックアップ
バックアップはすべて暗号化
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
4. バックアップの考慮Oracle IaaSのスナップショット機能
• ブロック・ストレージ・ボリュームのスナップショット機能
• 2種類の取得先
– コロケーテッド・スナップショット
• ブロック・ストレージ内のコピー・オン・ライトスナップショット
• バックアップとしての用途は不適
– リモート・スナップショット
• Oracle Storage Cloud Service へのスナップショット
• バックアップ用途として適する
• 定期バックアップとして設定可能
33
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
5. ネットワーク構成の考慮Oracle Cloud までのネットワーク接続
• 基本 = パブリック・インターネット接続
– インターネット向けに公開するシステムを作る場合、小規模クラウド利用の場合はこの形
– SSL、SSH(鍵認証)、IPホワイトリスト、SAMLによるID連携などでセキュリティを確保
• VPNや専用線接続を構成
– システムをプライベート・ネットワークに組み込む必要がある場合、大規模利用の場合
– 最初はVPNで開始、利用規模やトラフィックが大きくなれば専用線を検討
– 【注意】一部のコンポーネントはインターネット接続限定• Oracle Cloudのポータル( https://cloud.oracle.com) 、マイ・サービス、マイ・アカウントなどでの管理作業
• REST API による操作
• Oracle Storage Cloud Service / Oracle Database Backup Cloud Service
34
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
5. ネットワーク構成の考慮VPN、専用線接続の選択
35
Performance Hub
ハードウェアVPN
– IPSec機器間で拠点間VPNを構築
– 対象 : Exadata Cloud Service, Bigdata Cloud Service, Dedicated Compute Cloud Service
Oracle FastConnect
– 専用線接続
–DCへの直接接続
–with Equinix Cloud Exchange
– MPLS接続
–BT、Verison
ソフトウェアVPN
– Cloud側はソフトウェアVPN、ローカル側はソフトウェアまたはIPSec機器
– 対象 : PaaS(Database/Java Cloud)、IaaS(Compute Cloud Service)
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
5. ネットワーク構成の考慮ソフトウェアVPNの構成例
• クラウド側ゲートウェイ
– Corente Services Gateway• コンピュート・インスタンス上にイメージを展開
• ローカル側ゲートウェイ
方法1. Corente Software Gateway(*1)
• 物理サーバー
• または仮想サーバー
– Oracle VM, VMware, Hyper-V, etc
方法2. ハードウェア機器(*2)
• Cisco 2921 / Cisco ASA5505
36
(+1) Setting Up VPN from a Corente Services Gateway to an IP Network in Oracle Cloud - https://docs.oracle.com/cloud/latest/stcomputecs/CGIPV/GUID-E434EFA5-BBEC-4647-8A27-F0743C6D203B.htm(*2) Setting Up VPN from a Third-Party Gateway to an IP Network in Oracle Cloud - https://docs.oracle.com/cloud/latest/stcomputecs/TPIPV/GUID-4163901B-514E-4328-8AA1-CE1FE27086DB.htm
方法1 Corente Services Gateway同士でSite-to-site VPNを構築する場合
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle Cloud 内のネットワーク : 新機能「IPネットワーク」
• Oracle Cloud の中に、顧客が自由にIPサブネットを構築できる
– サブネットの大きさ、アドレス範囲を自由に設定可能
• インスタンスに対して自由にプライベートIPを設定することができる、IP固定や予約も可能
• 複数NICを設定可能
• 旧来のネットワークは存続(共有ネットワーク)、インターネットへのゲートウェイはこのネットワークを利用
• ソフトウェアVPN(Corente Services Gateway)と組み合わせると「VPC」的な利用ができるようになる
37
Instance1
eth0 eth1
IPネットワーク : 192.168.3.0/24
IPネットワーク : 192.168.2.0/24
IPネットワーク : 192.168.2.0/24
Instance2 Instance3 Instance4
eth1 eth2 eth1 eth2 eth0 eth1
共有ネットワーク : 10.32.1.0/24
Instance5
eth1 eth1
internet
.21 .42.1 .2
Identity Domain 1 Identity Domain 2
.3.1 .2 .1 .2
129.152.148.130(グローバルIP)
129.152.148.131(グローバルIP)
2016年10月以降の Oracle Cloud のネットワーク
5. ネットワーク構成の考慮
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
5. ネットワーク構成の考慮セキュリティ・リストか? IPネットワークか?
• どう使い分けるか?
→ 正解はない、ぜひ最適な使い方を模索してみてください
• おすすめ
– IPネットワークは本番/テスト等の交わらないネットワークの分離に利用• 本番用IPネットワークとテスト用IPネットワークを同じIPアドレス範囲で準備(アドレス重複可能)
– ファイアウォールはセキュリティ・リストで設定• セキュリティ・リストはインスタンス間の通信制御を細かく設定可能
• IPネットワークのセキュリティ機能(ACL)は将来リリースで実装予定実装されれば、IPネットワークを第2層ファイアウォールとしても活用できる
38
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Test-DB-Subnet192.168.2.0/24
5. ネットワーク構成の考慮クラウド・ネットワーク構成例
39
Oracle Cloud
凡例
セキュリティリスト
IPネットワーク(Subnet)
セキュリティIPリスト
IP予約
セキュリティ・ルール
インスタンスMgmt-Subnet
192.168.3.0/24
bastion
Storage Cloud
Public IP
社内ネットワーク(WAN)
SSH(22) +X
WebアプリユーザーHTTPS(443)
• APサーバー2台(クラスター)DBサーバー2台(Active-Standby)
• メンテナンス経路としてSSH踏み台サーバーを設置
– メンテナンスを行わないときにはインスタンスを停止してバックドアを閉じる
– ソフトウェアVPNゲートウェイによる代替も可能
• アプリケーション・ユーザーはインターネットからロードバランサー経由でアクセス
インターネット
Test-App-Subnet192.168.1.0/24
Prod-DB-Subnet192.168.2.0/24
Prod-App-Subnet192.168.1.0/24
SQL*Net(1521)
JCS2 JCS1
DB(プライマリ) DB(スタンバイ)
Data Guard(HA)
SSH(22)HTTPS(443)
EMExp(5500)
SSH(22)Admin(7002)
Load Balancer
HTTPS(443)
HTTPS(443)
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
アイデンティティ・ドメインA
6. アクセス管理とセキュリティの考慮Oracle Cloud のユーザーとロール(*1) に関するポイント
• アイデンティティ・ドメイン管理者はクラウド環境のスーパーユーザー– 誰にこのロールを与えるのかをよく考える
– 必ず2人以上にこのロールを付与
40
アカウント管理者
購入者
アイデンティティ・ドメイン管理者
サービス(DBaaS) サービス(JCS) サービス(Backup)
DBaaSサービス管理者 JCSサービス管理者 DBBCSサービス管理者
インスタンス
OS管理者DB管理者
インスタンス インスタンス
OS管理者WLS管理者
インスタンス
アクティブ化時に指定/後から作成
契約時にActivatorとして指定
Oracle.com
OS管理者DB管理者
OS管理者DB管理者
(*1) Oracle Cloud Service PaaSスタートアップ・ガイド - http://www.slideshare.net/oracle4engineer/oracle-cloud-service-paas
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
6. アクセス管理とセキュリティの考慮外部の認証プロバイダーとの間のSSO構成
• 外部の認証プロバイダー(ADFS, Oracle Access Managerなど) との間でSAMLによる認証連携が可能
• 設定すると、サインイン画面に認証プロバイダーのサインイン画面へのリダイレクトが構成される
• 現時点ではマイ・サービスのみ(REST APIには未対応) →将来対応を予定
41
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
6. アクセス管理とセキュリティの考慮クラウドで利用する暗号鍵の管理が重要
42
• Oracle Cloud では様々な暗号鍵を使用
– SSHアクセス時の秘密鍵
– ネットワーク暗号化鍵(Oracle Net, SSLなど)
– データの暗号化鍵(TDE)
– バックアップの暗号化鍵 ・・・など
• これらはすべてローカルで顧客管理→どう安全に管理するかは大きな課題
• 大規模な場合は Oracle Key Vault(*1)等の鍵管理ソフトウェアの活用も検討
!
アプリケーション
ユーザー
GATEWAY
SSH TUNNEL
アプリケーション
ユーザー
OKV ENDPOINT
OKV ENDPOINT
OKV ENDPOINT
OKV ENDPOINT
OKV ENDPOINT
OKV ENDPOINT
Reports
Alerts
Oracle Key Vault
(*1) Oracle® Key Vault管理者ガイド 12cリリース1 - Oracle Key Vaultの概要 - https://docs.oracle.com/cd/E59503_01/doc.1210/e57731/okv_intro.htm
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
6. アクセス管理とセキュリティの考慮アクセス用のOSユーザーとSSH鍵の追加に関するポイント
• opc / oracle の初期ユーザーは強い権限を持つため、 OS操作の実施にあたり別OSユーザーを用意し、異なる鍵でログインできるようにすることを推奨
• Oracle Compute Cloud Service: Creating an SSH-Enabled User on Oracle Linuxhttps://apexapps.oracle.com/pls/apex/f?p=44785:24:115903629497293::NO:RP,24:P24_CONTENT_ID,P24_PREV_PAGE:11506,2
43
インスタンス (VM)
opc oracle newuser
root
sudo -s
A.pub A.pub B.pub
OS管理者A.ppk
DBAA.ppk
一般ユーザーB.ppk
新しいユーザーを作成し別の鍵を登録
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
7. 監視の考慮大きく2つの方法
• インスタンスにエージェントを導入する(顧客管理PaaS, IaaS)
– Oracle Enterprise Manager 13c Hybrid Cloud Agent(*1)
– Zabbix、Hinemos、サードパーティ製ソフトウェアなど
• Oracle Cloudの監視の仕組みを活用する
– モニタリング・メトリック(*2)
– 各PaaSサービスの付属ツール(DBaaSモニター(*3), WebLogic管理コンソール(*4), EM Express(*5)等)
– REST API(*6)による外部からのアクティブ監視
44
(*1) Enterprise Manager ハイブリッド・クラウドの管理 - http://www.oracle.com/technetwork/jp/oem/hybrid-cloud-management/index.html(*2) Managing and Monitoring Oracle Cloud - Monitoring Service Status, Account Balance, and Utilization in a Domain - http://docs.oracle.com/en/cloud/get-started/subscriptions-cloud/mmocs/monitoring-service-
status-account-balance-and-utilization-domain.html(*3) Oracle Database Cloud - Database as a Serviceの使用 - Oracle DBaaSモニターへのアクセス - https://docs.oracle.com/cd/E60665_01/dbcs_dbaas/CSDBI/GUID-B3A91C63-713B-458B-ABA7-C0DB7B3362DE.htm(*4) Oracle Java Cloud Serviceの使用 - Oracle Java Cloud Serviceで使用される管理コンソールへのアクセス - https://docs.oracle.com/cd/E60665_01/jcs_gs/JSCUG/GUID-D2461227-4463-471D-A2E2-
41E63AE0D092.htm(*5) Oracle Database Cloud - Database as a Serviceの使用 - Enterprise Manager Database Express 12cへのアクセス - https://docs.oracle.com/cd/E60665_01/dbcs_dbaas/CSDBI/GUID-EAB971AC-3BF3-4370-B8DF-
B72F777A5575.htm(*6) REST APIs for Oracle Cloud Services - https://apicatalog.oraclecloud.com/ui/
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle Enrerprise Manager 13c Hybrid Cloud Agent
45
クラウド
オンプレミス
7. 監視の考慮
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
7. 監視の考慮PaaSサービスの付属ツール – DBaaSモニター
46
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
7. 監視の考慮REST API による外部からのアクティブ監視
• Oracle Cloud の全APIが集約(API Catalog Cloud Service)
–Webドキュメント(*1)
–REST APIによるAPIカタログ(*2)閲覧
– Swagger形式でのダウンロード
47
(*1) REST APIs for Oracle Cloud Services - https://apicatalog.oraclecloud.com/ui/(*2) Oracle API Catalog Cloud Service - https://apicatalog.oraclecloud.com/ui/views/apicollection/oracle-public/apicatalog/1.0
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
8. 運用の考慮運用に役立つクラウドの機能
• オーケストレーション機能の活用による自動化
– 複数インスタンスの一斉起動/停止、依存関係の定義(DB - APサーバー)
• REST API / CLI
– クラウドの外部からの監視、運用スクリプトの実行
• opc-init(*1)
– インスタンスの起動時にユーザー・スクリプトを実行するツール
• Cloud Stack Manager(*2)
– テンプレートによるクラウド・コンポーネントの自動デプロイ、オートスケール
48
New!!
Updated!!
(*1) Automating Instance Initialization Using opc-init -http://docs.oracle.com/cloud/latest/stcomputecs/STCSG/GUID-C63680F1-1D97-4984-AB02-285B17278CC5.htm#STCSG-GUID-5A51BB72-D48A-4288-B980-B94D5183AA36
(*2) Oracle Cloud Stack Manager - https://docs.oracle.com/cloud/latest/stack-manager-cloud/index.html
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 49
Oracle Cloud 最新情報サイト
http://qiita.com/organizations/oracle
http://www.slideshare.net/oracle4engineer/
Oracle Cloud Serviceサービス情報• https://cloud.oracle.com/ja_JP/d(サービス詳細、価格、トライアル申込)
Oracle Cloud 日本語版ブログ• https://community.oracle.com/groups/oracle-
cloud-japan-blog
www.facebook.com/OracleCloudComputing
@OracleCloudZone #OracleCloud
最新ニュースはここで!!
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 50
http://www.slideshare.net/oracle4engineer/
オラクルエンジニア通信@Slideshare
Oracle Cloud Service PaaSスタートアップ・ガイド
Oracle Cloud Platform デザインパターン
Oracle Database Cloud Service を初めて使用する方にむけたスタートアップガイド一通りの操作について、画面ショット付きでステップ・バイ・ステップで解説しています
Oracle Cloud (PaaS/IaaS) のアーキテクチャを検討する際の設計カタログしてて、典型的な過大に対し設計・構築・運用Tipsという形式でまとめています
Oracle Database Cloud Data Guard機能について
Oracle Database Cloud を使ってみよう
Oracle Public Cloud Service を初めて契約されたお客様のためのスタートアップ・ガイドサービス契約完了時点から、アクティベート化処理を経て、最初のインスタンスを作成するところまでを扱っています
Oracle Database Cloud Service の高可用性機能である Data Guard について、機能の詳細を解説した資料です
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle Cloud Service 30日間無料トライアル
51
トライアルのお申し込みサイト
Database Cloudトライアル申し込みご案内
トライアルのお申し込みサイト
トライアルのお申し込みサイトはコチラ
- 上記サイトより、ご利用したいクラウドサービスを選択し、お申し込み頂けます。- Oracle PaaSの各サービスは「プラットフォームとインフラ」項目をご参照ください。
https://cloud.oracle.com/ja_JP/tryit
Database Cloudトライアル申し込みご案内
お申し込みは数ステップでカンタン!30日間お試し放題!!
- Database Cloud Serviceのトライアルを申し込むと、Database Backup ServiceやJava Cloud Serviceなどもトライアル可能です!- 上記FAQサイトにてチュートリアルも提供しております:
- Oracle Database Cloud Serviceを使ってみよう- Oracle Database Cloud Service 体験チュートリアル - トライアル環境を使用したAPEXアプリケーション作成
DBCSの詳細なお申込み方法はFAQにてご案内しております。https://faq.oracle.co.jp/app/answers/detail/a_id/2809へアクセス
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 52
Oracle Digitalは、オラクル製品の導入をご検討いただく際の総合窓口。電話とインターネットによるダイレクトなコニュニケーションで、どんなお問い合わせにもすばやく対応します。
もちろん、無償。どんなことでも、ご相談ください。
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 53
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 54