LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

サービス・製品 | 

AzureとOCIをマルチクラウドで使いたい!簡単設定・構築ガイド

こんにちは。クラウドインテグレーションサービス部の石井です。

昨年度よりクラウドサービスの推進を行っており、そのなかで私は「Oracle Cloud Infrastructure(以下、OCI)」の推進を担当しています。今回、Azureと連携してAzureのサービスのように、簡単にOCI上にデータベースを構築・設定できる「Oracle Database Service for Azure(以下、ODSA)」というサービスを社内のAzure推進担当と一緒に検証しました。

実際にどの程度簡単に構築できたのか、構築手順とともに紹介していきます。

Oracle Database Service for Azure(ODSA)とは

ODSAとは、OCIで動作するOracle Database ServiceをAzureからシームレスに使用するためのサービスです。

AzureとOCI間の手動ネットワーク設定が不要で、Azureの他サービスと同じような操作感でOCI上にデータベースを構築および設定でき、Azureのサービスのように簡単にOCI上のデータベースを導入できます。

Azure上でもOracleのデータベース製品を使用できますが、OCI上のデータベース製品と異なり、使える機能に制限があります。そのため、主にAzureを使用しているもののDBだけはOracleのデータベースを制限なく利用したい方にはお勧めです。

使用するための前提条件

ODSAを使用するためにはAzure側、OCI側でそれぞれ条件を満たす必要があります。

Azure側の前提条件

Azure側でODSAの設定を行うユーザーには以下の権限、リソースが必要です。

①サブスクリプションの権限

サブスクリプションの所有者権限を設定します。

②ロール権限

以下のいずれかのロールを付与します。

  • アプリケーション管理者
  • クラウド・アプリケーション管理者
  • 特権ロール管理者
  • グローバル管理者

③仮想ネットワーク

データベースを作成するAzure側の仮想ネットワークを用意しておきます。

OCI側の前提条件

ODSAで使用するOCIテナントおよびユーザーには以下の設定が必要となります。

①ホームリージョンの設定

ホームリージョンがODASをサポートするリージョンである必要があります。例えば2023年5月現在、日本は東京リージョンのみがサポートされており大阪リージョンは使用できないため、日本で使用する場合は東京リージョンで使用してください。

②Identity Domains

テナンシがIdentity Domainsをサポートしているか確認してください。もしIdentity Domainsをサポートしていない場合は、新たに子テナンシを作成しそのテナンシを使用してください。

③ユーザー

Azureと紐づけるOCI側のユーザーはテナントの管理者権限が付与されている必要があります。

AzureとOCIのリンク

前提条件を満たせたらさっそくODSAの設定を行っていきます。
最初にAzureとOCIをリンクさせます。

アカウント・リンク

最初にAzureアカウントをOCIにリンクさせます。

①サインアップ・ページにアクセス

AzureのOracleDBサインアップ・ページにアクセスします。Microsoftアカウントのログイン・ダイアログが表示されますので、ODSAの設定を行うユーザーでログインします。

②アカウント・リンクの方法を選択

サインアップ・ページにログインしたら「完全に自動化されたアカウント・リンク」または「ガイド付きアカウント・リンク」のどちらかを選択します。
今回は「ガイド付きアカウント・リンク」を選択した場合の手順を記載します。

③OCI情報の入力

Oracle Cloudのアカウント情報が聞かれますので、Azureとリンクするテナント名を入力します。その後Oracle CloudのサインインページとなりますのでAzureと紐づけるOCIユーザーでサインインします。ODSAで利用するリージョンを聞かれるため、OCIのホームリージョンを選択します。

サブスクリプション・リンク

①マルチクラウド・リンク管理者ロールの割り当て

Azure Portalにログインし、「Azure Active Directory」->「エンタープライズアプリケーション」->「Oracle Database Service」->「ユーザーとグループの割当て」->「+ ユーザーまたはグループの追加」を選択します。
権限を付与するユーザー、「ODSA Multicloudlink Administrator」ロールを選択し権限を割り当てます。

②Oracle DatabaseエンタープライズアプリケーションへのARMロールの割り当て

Azure Portalにログインし、「サブスクリプション」->「使用するサブスクリプション名」->「アクセス制御(IAM)」->「+ 追加」->「ロールの割り当ての追加」を選択します。
以下4つのロールを「Oracle Database Service」に割り当てます。

特権管理者ロール

  • 共同作成者

職務ロール

  • EventGridデータ送信者
  • ネットワーク共同作成者
  • 監視メトリック発行者

③サブスクリプションのリンク

Oracle Database Service for Azureのポータルに戻り、Step2の「Get started」をクリックします。リンク可能なサブスクリプションの一覧が表示されますので、リンクするサブスクリプションにチェックを入れ「+ Link subscription」をクリックします。確認のポップが出ますので「OK」をクリックし、ステータスが「Linked」になるとリンクが完了します。

データベースの作成

ここまでの作業でAzureとOCIのリンクが完了します。
このあとは、いよいよデータベースの作成です。

Azureユーザーへの権限付与

この時点ではAzureとOCIのリンクは完了していますが、データベースを作成する権限は付与されていません。データベースを作成する前に権限を付与する必要があります。

①管理者ロールの割り当て

Azure Portalにログインし、「Azure Active Directory」->「エンタープライズアプリケーション」->「Oracle Database Service」->「ユーザーとグループの割当て」->「+ ユーザーまたはグループの追加」を選択します。
データベースの作成を行う場合、作成するデータベースサービスのadministratorsロールまたはODSA製品すべてを管理するデータベース・ファミリ・グループのadministratorsロールを割り当てます。

データベースの作成

権限の付与が終わったらデータベース作成の準備が整いますのでデータベースを作成していきます。

OracleDB for Azureポータル画面

①データベース作成画面へ移動

OracleDB for Azureポータルにログインし「Base Database」->「+ Create」または「Create Base Database」をクリックします。
データベースを作成する権限が不足している場合、この時点で権限が不足しているメッセージが表示されますので権限を確認してください。

②データベース情報の入力

作成するデータベースの情報を入力する画面へと移動しますので必要な情報を入力します。
入力内容に不備がある場合、「Review + create」タブに移動するとエラーメッセージが表示されますのでエラーを解消させます。不備がない状態で「Review + create」タブに移動すると「Validation passed.」と表示がされます。
再度内容を確認し問題がなければ「Create」ボタンを押しデータベースの作成を開始します。
SSHキーの新規作成を選択していた場合は、「Create」ボタンを押した直後にSSHキーを保存する画面が出てきますので忘れずに鍵を保存してください。

③データベース作成完了の確認

作成状況確認画面においてステータスがすべて「Created」になったら作成完了です。

作成状況確認画面においてステータスがすべて「Created」になっていることを確認

作成したデータベースへの接続確認

データベースの作成が完了したらAzure上の仮想マシンから接続を行います。

Azure上に構築した仮想マシンから接続

①Azure上の仮想マシンにログインし接続用のSSHキーをアップロード

データベースを作成した際に指定した仮想ネットワーク上に構築した仮想マシンにログインし、先ほど作成したデータベースサーバーに接続するためのSSHキーをアップロードします。

②データベースサーバーに接続

データベース作成後にOCI上のデータベースサーバーに接続するための準備は①のみです。あとは以下のコマンドでデータベースサーバーに接続を行います。データベースサーバーのプライベートIPは、ODSAポータルの接続したいデータベースのConnect情報から確認できます。

ssh -i opc@<データベースサーバーのプライベートIP>

データベースサーバーのプライベートIPをODSAポータルで確認

おわりに

ODSAを使用せず同じ構成を用意するには、OCI側で仮想クラウドネットワーク、セキュリティリスト、データベースの作成、およびAzureと通信を行う設定をして、Azure側でもOCIと接続させるための設定を行う、といった多くの手順が必要です。しかし、ODSAを使用すると、今挙げた作業についてはすべて自動で行ってくれるため、短時間で簡単に構築できます。

また、Azureポータルと同様のUIとなっているためAzureを使い慣れている方は操作しやすいのではないでしょうか。特定のクラウドだけ利用するのではなく各クラウドの良いところを組み合わせて使いたいという場合は、ぜひこのODSAも検討してみてください。

今回はAzure、OCIに関するご紹介でしたが、ラックではAWS、GCPについても対応を行っております。企業のニーズ、予算に合致するかの比較検討、マイグレーションやセキュリティなどクラウドに関するお悩みがございましたらぜひお問い合わせください。

※ この記事は2023年6月14日時点での情報となります。

「クラウドインテグレーション」に関するお問い合わせ

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • 頭を悩ませるOracle Databaseのコスト課題、ラックが考える3つの対応策

  • ラスベガス開催のOracle CloudWorld 2022参加レポート

  • セキュリティ診断レポート 2021 秋~クラウド時代のセキュリティマネジメント