你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍 Oracle Database@Azure 中的网络拓扑和约束。
通过 Azure 市场购买套餐并预配 Oracle Exadata 基础结构后,下一步是创建虚拟机群集来托管 Oracle Exadata Database@Azure 实例。 Oracle 数据库群集从你的委托子网(委托到 Oracle.Database/networkAttachment)通过虚拟网络适配卡(虚拟 NIC)连接到你的 Azure 虚拟网络。
网络功能
有两种类型的网络功能:默认和提前。
默认网络功能
默认网络功能为新的和现有的 Oracle Database@Azure 部署启用基本的网络连接。 这些功能适用于所有受支持的 Oracle Database@Azure 区域,并提供部署所需的基础网络
高级网络功能
高级网络功能增强了虚拟网络体验,提高了安全性、性能和控制能力,类似于标准 Azure VM。 这些功能通常用于以下区域中的新部署:
- Australia East
- 澳大利亚东南部
- 巴西南部
- 加拿大中部
- 印度中部
- 美国中部
- 美国东部
- 美国东部 2
- 法国中部
- 德国北部
- 德国中西部
- 意大利北部
- 日本东部
- 日本西部
- 北欧
- 美国中南部
- 东南亚
- 西班牙中部
- 瑞典中部
- 阿拉伯联合酋长国中部
- 阿拉伯联合酋长国北部
- 英国南部
- 英国西部
- 美国西部
- 美国西部 2
- 美国西部 3
Note
目前仅支持新的 Oracle Database@Azure部署的高级网络功能。 具有以前创建的 Oracle Database@Azure委托子网的现有虚拟网络目前不支持这些功能。 计划于今年晚些时候支持现有部署。
委托子网所需的注册
若要使用高级网络功能,请使用以下命令(通过 AZCLI)注册,然后为 Oracle Database@Azure部署创建新的委托子网。
Register-AzProviderFeature -FeatureName "EnableRotterdamSdnApplianceForOracle" -ProviderNamespace "Microsoft.Baremetal"
Register-AzProviderFeature -FeatureName "EnableRotterdamSdnApplianceForOracle" -ProviderNamespace "Microsoft.Network"
Note
在更改为“已注册”之前,注册状态可能处于“注册”状态长达 60 分钟。 等待状态为“已注册”,然后继续创建委托的子网。
支持的拓扑
下表描述了 Oracle Database@Azure的每个网络功能配置支持的网络拓扑。
| Topology | 默认网络功能 | 高级网络功能 |
|---|---|---|
| 连接到本地虚拟网络中的 Oracle 数据库群集 | Yes | Yes |
| 连接到对等虚拟网络(同一区域)中的 Oracle 数据库群集 | Yes | Yes |
| 使用虚拟广域网(虚拟 WAN)连接到不同区域中辐射虚拟网络内的 Oracle 数据库群集 | Yes | Yes |
| 连接到不同区域的对等互连虚拟网络中的 Oracle 数据库群集(全球对等互连) | No | Yes |
| 通过全球和本地 ExpressRoute 本地连接到 Oracle 数据库群集 | Yes | Yes |
| Azure ExpressRoute FastPath | No | Yes |
| 通过 ExpressRoute 网关和具有网关传输的虚拟网络对等互连,从本地连接到分支虚拟网络中的 Oracle 数据库群集 | Yes | Yes |
| 通过虚拟专用网络 (VPN) 网关本地连接到委派子网 | Yes | Yes |
| 通过 VPN 网关和具有网关传输的虚拟网络对等互连,从本地连接到分支虚拟网络中的 Oracle 数据库 | Yes | Yes |
| 通过主动/被动 VPN 网关进行连接 | Yes | Yes |
| 通过主动/主动 VPN 网关进行连接 | No | Yes |
| 通过区域冗余、区域 ExpressRoute 网关建立的连接 | Yes | Yes |
| 通过分支虚拟网络中预配的 Oracle 数据库群集的虚拟 WAN 传输连接 | Yes | Yes |
| 通过虚拟 WAN 和连接的软件定义的广域网 (SD-WAN) 本地连接到 Oracle 数据库群集 | No | Yes |
| 通过安全中心(防火墙网络虚拟设备)进行本地连接 | Yes | Yes |
| 从 Oracle Database@Azure 节点上的 Oracle 数据库群集连接到 Azure 资源 | Yes | Yes |
| 高级网络功能支持的 Azure 容器应用 | No | Yes |
Constraints
下表描述了受支持的网络功能的必需配置。
| Features | 默认网络功能 | 高级网络功能 |
|---|---|---|
| 每个虚拟网络的委托子网 | 1 | 1 |
| Oracle Database@Azure 委托子网上的网络安全组 | No | Yes |
| Oracle Database@Azure 委托子网上的用户定义的路由 (UDR) | Yes | Yes |
| 从 Oracle 数据库群集连接到 Azure 委托子网上相同虚拟网络中的专用终结点 | No | Yes |
| 从 Oracle 数据库群集连接到与虚拟 WAN 连接的其他分支虚拟网络中的专用终结点 | Yes | Yes |
| 专用链接上的 NSG 支持 | No | Yes |
| 通过专用终结点连接到 Azure Functions 等无服务器应用 | No | Yes |
| 针对 Oracle 数据库群集流量的 Azure SLB 和 ILB 支持 | No | No |
| 双堆栈(IPv4 和 IPv6)虚拟网络 | 仅支持 IPv4 | 仅支持 IPv4 |
| 服务标记支持 | No | Yes |
| 虚拟网络流日志 | No | Yes |
Note
在 Azure 端使用 NSG(网络安全组)时,请确保查看 Oracle (OCI) 端配置的任何安全规则以避免冲突。 虽然在 Azure 和 OCI 上应用安全策略可以增强整体安全态势,但它在管理方面也引入了额外的复杂性,并且需要仔细手动同步这两个环境。 这些政策之间的不一致可能会导致意外的访问问题或运营中断。
关于将流量路由到 Oracle Database@Azure 的 UDR 要求
通过网络虚拟设备(NVA)/防火墙将流量路由到 Oracle Database@Azure时,User-Defined 路由(UDR)前缀 必须至少与委托给 Oracle Database@Azure 实例的子网一样具体。 更宽泛的前缀可能会导致流量被丢弃。
如果您的实例被分配的子网为 x.x.x.x/27,请将网关子网上的 UDR 配置为:
| 路由前缀 | 路由结果 |
|---|---|
| x.x.x.x/27 | (与子网相同) ✅ |
| x.x.x.x/32 | (更具体) ✅ |
| x.x.x.x/24 | (太宽) ❌ |
特定于拓扑的指南
中心辐射型拓扑
- 定义网关子网上的 UDR。
- 使用路由前缀
x.x.x.x/27或更具体。 - 将下一个跃点设置为 NVA/防火墙。
虚拟 WAN (VWAN)
具有路由意向:
- 将委托的子网前缀 (
x.x.x.x/27) 添加到路由意向的前缀列表。
- 将委托的子网前缀 (
没有路由意向:
- 将
x.x.x.x/27路由添加到 VWAN 的路由表中,并将下一跳指向 NVA/防火墙。
- 将
Note
如果未启用高级网络功能,并且对于源自 Oracle Database@Azure委托子网的流量,需要遍历网关(例如,若要访问本地网络、AVS、其他云等),则必须在委托的子网上配置特定的 UDR。
这些 UDR 应定义特定的目标 IP 前缀,并将下一个跃点设置为中心内的相应 NVA/防火墙。
如果没有这些路由,出站流量可能会绕过所需的检查路径或未能到达预期目标。
Note
若要通过虚拟网络网关(ExpressRoute 或 VPN)和防火墙从本地网络访问 Oracle Database@Azure 实例,请将分配给虚拟网络网关的路由表配置为包含列出的 Oracle Database@Azure 实例的 /32 IPv4 地址,并将其指向防火墙作为下一跃点。 使用包含 Oracle Database@Azure实例 IP 地址的聚合地址空间不会将 Oracle Database@Azure流量转发到防火墙。
Note
如果要配置路由表(UDR 路由),以控制通过网络虚拟设备或防火墙发往 Oracle Database@Azure 实例的数据包路由,这些数据包的来源可能在同一虚拟网络或对等虚拟网络中,则 UDR 前缀必须更具体或等于 Oracle Database@Azure 的委托子网大小。 如果 UDR 前缀的具体程度不如委托子网大小,则将无效。
例如,如果委托子网为 x.x.x.x/24,则必须将 UDR 配置为 x.x.x.x/24(同等)或 x.x.x.x/32(更具体)。 如果将 UDR 路由配置为 x.x.x.x/16,则非对称路由等未定义的行为可能会导致网络在防火墙受阻中断。
FAQ
什么是高级网络功能?
高级网络功能通过提供更好的安全性、性能和控制(类似于标准 Azure 虚拟机)来增强虚拟网络体验。 借助此功能,客户可以使用网络安全组 (NSG)、用户定义的路由 (UDR)、专用链接、全局 VNet 对等互连和 ExpressRoute FastPath 等本机 VNet 集成,而无需采取任何变通方法。
高级网络功能是否会适用于现有部署?
暂时不需要。 对现有部署的支持在我们的路线图中,我们正在积极努力启用它。 在不久的将来,请随时关注更新。
是否需要自行注册才能为新部署启用高级网络功能?
Yes. 若要利用新部署的高级网络功能,必须完成注册过程。 在现有或新的 VNet 中为 Oracle Database@Azure部署创建新的委托子网之前,请运行注册命令。
如何检查我的部署是否支持高级网络功能?
目前,无法直接验证 VNet 是否支持高级网络功能。 建议跟踪功能注册时间线,并将其与之后创建的 VNet 相关联。 还可以使用 VNet 下的“活动日志”边栏选项卡查看创建详细信息,但请注意,日志默认仅适用于过去 90 天。