Exadata Cloud@Customer がオンプレミスにあるのに VCN と接続できる理由
Exadata Cloud@Customer (ExaC@C) は物理ハードウェアが顧客データセンターに置かれていますが、 OCI との接続は コントロールプレーン と データプレーン の 2 系統で実現されています。 コントロールプレーンはラック内の 2 台の Control Plane Server (CPS) が OCI リージョンへの アウトバウンド HTTPS トンネルを張ることで、OCI コンソール・API からのプロビジョニングや 監視を可能にします。データプレーンは顧客が OCI 上に作成した VCN の クライアントサブネット・バックアップサブネットに DB VM の VNIC が論理的に属することで、 OCI のネットワーク機能(セキュリティリスト・NSG・ルート表など)が適用されます。 SQL やデータそのものはオンプレミスを出ず、WAN を経由しません。
2 系統の接続:コントロールプレーンとデータプレーン
ExaC@C の OCI 接続は目的の異なる 2 系統から成ります。
① コントロールプレーン(管理・自動化)
各 Exadata ラックには Control Plane Server (CPS) が 2 台同梱されています。 CPS はラック内のすべての DB サーバー・ストレージサーバーと管理ネットワーク(Administration Network)で接続されており、 OCI リージョンにある Oracle 管理の Admin VCN へ向けて アウトバウンド HTTPS の永続的な自動化トンネルを張ります。 このトンネルを通じて OCI コンソール・API からの操作(VM クラスター作成、パッチ適用、スケーリング等)が CPS を経由してラック内ハードウェアに届きます。 また、OCI 監視・ログ・テレメトリのデータも同じ経路で OCI リージョンへ送られます。
顧客が用意するのは TCP 443 のアウトバウンド通信(特定の OCI エンドポイント 5 つへ)のみで、 インバウンドのポート開放は不要です。
② データプレーン(データベースアクセス・バックアップ)
顧客は OCI 上に VCN(Virtual Cloud Network) を作成し、 最低 2 つのプライベートサブネットを用意します。
- クライアントサブネット:アプリケーションや DBA が DB に接続するための経路。DB VM の
bondeth0インタフェースがこのサブネットに属します。 - バックアップサブネット:RMAN バックアップや Autonomous Recovery Service への転送専用。DB VM の
bondeth1インタフェースが属します。クライアントトラフィックと分離することで帯域競合を防ぎます。
DB VM の VNIC は OCI のコントロールプレーン(CPS トンネル経由)によって各サブネットに 論理的に登録されます。つまり、IP アドレスは VCN サブネットの CIDR から払い出され、 OCI の Security List・Network Security Group・Route Table がそのまま適用されます。 ただし、実際のデータパケットは 顧客の物理ネットワーク上を流れるだけで OCI リージョンには届きません。
オンプレミスの物理ネットワーク構成
ラック内の DB VM は以下の複数のネットワークを持ちます。 これらは VLAN とポリシーベースルーティングで厳密に分離されています。
| ネットワーク | インタフェース | 用途 |
|---|---|---|
| クライアントネットワーク | bondeth0 |
アプリ・DBA から DB への接続(VCN クライアントサブネット) |
| バックアップネットワーク | bondeth1 |
RMAN バックアップ・リカバリ(VCN バックアップサブネット) |
| 管理ネットワーク(Admin Network) | — | CPS とハードウェア間の管理通信。顧客クライアントからは見えない |
| InfiniBand ネットワーク | — | DB サーバー〜ストレージサーバー間の高速 I/O(Oracle 管理) |
OCI サービスへのアクセス方法
Object Storage・バックアップなど OCI サービスへ
VCN に Service Gateway をアタッチすることで、
バックアップサブネットから OCI Object Storage や Autonomous Recovery Service へ
インターネットを経由せずアクセスできます。
Service Gateway は VCN 内のルート表に 0.0.0.0/0 → Service Gateway のルートを
追加するだけで使えます。
他の OCI コンピュートリソースから Exadata DB へ
DB VM の IP は VCN クライアントサブネット上に存在するため、 同じ VCN 内の OCI Compute インスタンスからは通常の VCN ルーティングで接続できます。 オンプレミスのアプリや他のネットワークからは、 FastConnect または Site-to-Site VPN を Dynamic Routing Gateway (DRG) 経由で VCN に接続することでアクセス可能です。
# Service Gateway 向けルートの例(oci CLI)
oci network route-table update \
--rt-id ocid1.routetable.oc1..example \
--route-rules '[
{
"destination": "all-iad-services-in-oracle-services-network",
"destinationType": "SERVICE_CIDR_BLOCK",
"networkEntityId": "ocid1.servicegateway.oc1..example"
}
]'まとめ:データ主権とクラウド運用を両立する仕組み
ExaC@C は「管理は OCI、データはオンプレミス」という分離によって データ主権規制への対応とクラウドネイティブな運用体験を両立しています。 CPS の自動化トンネルはコントロールプレーン専用で、SQL クエリの結果やバックアップデータは WAN を経由しません。VCN サブネットへの論理登録により、 OCI のセキュリティ機能やネットワーク機能がオンプレミスの DB VM に適用される点が 他のオンプレミスソリューションとの大きな違いです。
参照(一次情報)
- Oracle Docs — Exadata Cloud@Customer Network(公式)
- Oracle Docs — Exadata Cloud@Customer Network Interfaces(公式)
- Oracle Docs — Network Requirements for Oracle Exadata Database Service on Cloud@Customer(公式)
- Oracle Docs — Exadata Cloud@Customer Technical Architecture(公式)
- Oracle A-Team — An Intro to Oracle Exadata Cloud@Customer (ExaC@C) Networking