ここのところ、職場で毎日OCIを触っているのですが、なんとなくノリで適当にさわっていました。今回参加して、普段もやもやしてたことがはっきり、すっきりしたので、参加してよかった。
2020.10.30 fri 13:00-17:00
楽しかった!
ということで、メモ。
SLA
- 1年に以上%以上動きます、動かなければ返金保障あり。
- オラクルではSLAに3つのことを定義している。
- なんだっけ(資料にかいてある)
- 可用性
- 性能性
- 管理性←APIのエラー率
OCIは、
- Zoomで利用されている。7ペタさばく。
- 理化学研究所の富岳スパコンで使われている。
- データ転送量なし。
データセンターファシリティ(設備)
- AD(建屋)
- フォルトドメイン(ハードウエア。ひとつのRACのイメージ)
- ADの中には3つのフォルトドメインがある。
- フォルトドメインを分けることで可用性を実現できる。
トラフィック
- 従来のネットワークは上下のトラフィックに強いが横が弱い。
- クラウドは横のトラフィックが増えていく。
- OCIはSpine&Leaf クラウドに適した環境で構築されている。
OCIの仮想ネットワーク
- オフ・ボックス・ネットワーク仮想化。
- Hyperviserの脆弱性を軽減できる。
- ネットワーク仮想化部分だけ外にだしている。
OCID、OCIで一意の番号
CSI番号、お客様番号
サービス制限
- ガバナンス>制限・割当および使用状況
オラクルアカウント
- ふたつの管理基盤がある、パスワードが違う。
IDCS
IAM
VCN
- お客さん固有のネットワーク空間。
- ローカルVCNピアリングを使うとプライベートネットワーク間でつなげられる。
- 異なるテナントをつなぐことができる。
- リモートVCNピアリング、リージョン間でプライベートIPでつなぐことができる。
- オンプレをクラウドに拡張できる。
セキュリティリスト
- Ingressルール→サブネットの外から中に入ってくる通信(はいっていく
- えぐれするーる→サブネットの中から外に入ってくる通信(でていく
- ステートレス
- ステートフル(入ってきたらでていくのも許可する)
ブートボリューム
- iSCSI SLA準拠、難易度が高いコマンドつかってアタッチする(めんどくさいが準仮想化よりパフォーマンスがよい)
- 準仮想化、iSCSIパフォーマンスがおとるが、設定が楽。
Q&A
Q
VCNを分ければ、サブネットは同一でも問題なのでしょうか?
VCNを分けてさえいれば、別のVCNへ干渉(影響)はないという認識で良いのでしょうか?
A
はい、VCNを別々に独立してご利用されるのであれば、中のアドレス空間が重複していても問題ありません。
Q
東京リージョンはADひとつということでしたが、P34のサブネットの図は変わってきますでしょうか?
A
はい、現状では東京リージョンではリージョン内には可用性ドメインが一つですので、リージョナルサブネットも可用性ドメイン固有サブネットもどちらも一つの可用性ドメインの上に存在する形になります。
Q
セキュリティリストのイングレス・ルールにICMPの許可ポリシーが複数デフォルトで登録されている理由は何でしょうか?
A
ICMPのtype3 code4のルールは Path MTU discovery (PMTUD) によるMTU値の自動検出を行う際に必要になるケースがあるためデフォルトで設定が行われています。
ICMP tyep3 を消せば、外からping通せるらしい?
Q
カスタム・イメージから2台目の同じ環境のサーバを構築することは可能でしょうか?
A
はい、可能です。カスタムイメージを作成し保存しておけば、その後何度でもインスタンス作成時に利用することができますので、複製環境を作成できます。
Q(私の質問)
シェイプの意味がわかっていないのですが、教えていただけますか。
A
コンピュート・インスタンスを作成する際のスペックの定義(カタログ)です。プロセッサの種類やコア数やメモリサイズ、ネットワーク帯域などがセットになって「シェイプ」が定義されています。
Q
オンプレミスとOCIをIPSECで拠点間接続する場合かつ、コンピュートがプライベートIPの場合、NATゲートウェイと動的ゲートウェイを設定することによりローカルからOCIのコンピュートに接続することが可能と考えてよろしいでしょうか。
A
OCIのVCN内に作成したコンピュートにプライベートIPでアクセスしたい場合は、動的ルーティングゲートウェイ(DRG)と、IPsec VPNの設定でOKです。
NATゲートウェイは特になくても大丈夫です。
IPsec VPNでオンプレミスとプライベートに接続した場合には、IPsec接続は動的ルーティングゲートウェイ経由で接続します。動的ルーティングゲートウェイがあって、適切なルーティングルールが設定されていれば接続可能です。NATゲートウェイはVCN内からインターネット向けに通信する際のゲートウェイですので、この場合は必要はありません。
Q
1アカウントに2人でサインインし2つのコンパートメントを作成してそれぞれ作業を進めてきたのですが、これからの作業に影響はありますか。
A
リソースのサービス制限に空きがあれば問題ありません。データベースのOCPU数のサービス制限がデフォルトで合計2 OCPUまでなので、1 OCPUずつで作成いただければと思います。
Q(私の質問)
Windowsのインスタンスを作成しセットアップしたのち、そこにアタッチしたブートボリュームから、さらに複数のインスタンスを作成した場合、それぞれのインスタンスに対応したブートボリュームを新たに作成する必要はありますか?
A
ブートボリュームから複数のインスタンスは作成できない。
カスタムイメージからインスタンスを作成する。
カスタムイメージからインスタンスを作成したときは、ブロックボリュームを新たに作成し、インスタンスにアタッチしなければならない。
カスタムイメージを作成するときは、もとのやつの停止起動がはいるので、やるときは注意してね。
Q
ひとつのブロックボリュームから複数のインスタンスが作成できないとのことですが、ブロックボリュームのクローンの作成からできますでしょうか。またカスタムイメージの作成方法のドキュメントがありましたら教えていただけますか。
A
はい、少ない数であれば、ブロックボリュームをクローンして、そこから別のインスタンスを立ち上げることができます。
また、ある時点のインスタンスをゴールドイメージとして、そこから多数のインスタンスを起動したい場合は、カスタムイメージを作成し、そこからインスタンスを複数立ち上げることができます。
https://objectstorage.ap-tokyo-1.oraclecloud.com/p/a59aI_LKf-_Li1Seo971d76-1tvLGGcKIB9ztcZ1X6astiqi3ZN6eG5COXYGyCC-/n/nrs9xfelfpav/b/bucket-20201030-1605/o/image-1
カスタムイメージの作成についてのドキュメントとしては、マニュアルは
https://docs.cloud.oracle.com/ja-jp/iaas/Content/Compute/Tasks/managingcustomimages.htm
になります。
また、1ページだけですが、こちらにカスタムイメージの作成の画面ショットがあります。
https://speakerdeck.com/ocise/ociji-shu-zi-liao-konpiyutosabisu-xiang-xi?slide=28
Q
バックアップしたリカバリはどのようになるのでしょうか?
A
自動バックアップで取得されたバックアップがある場合は、同じくOCIのコンソールやAPIから、最新の地点、時間指定、SCN指定、でリストアすることが可能です。マニュアルでは以下の部分にあたります。
https://docs.cloud.oracle.com/ja-jp/iaas/Content/Database/Tasks/recoveringOS.htm
Q
DBシステムへ作成したものを、インスタンスのようにバックアップから複製することは可能ですか?
A
残念ながらDBシステムのOS領域については、コンピュートインスタンスのようにバックアップ取得する機能はございません。
Q(私の質問)
ブートボリュームのバックアップや作成したカスタムイメージを、別のテナントに移動することはできますか?
A
ブートボリュームはOracle内でしか扱えないため、別テナントへ移すことはできない。
カスタムイメージは、オブジェクトストレージおけば、テナントの移動は可能。
感想
VCNとインスタンスを作成して、はいおわり!かなぁと思ったのですが、コンソールの使い方を細かく説明してくれたり、オブジェクトストレージとかDBとか、Linuxにログインして、ブートボリュームアタッチ前とアタッチ後の状況をみたりとか、、解説も細かく丁寧で、とても勉強になったのでした。
オラクルのイベントに出るたびに登場する丸川氏、今日もいらっしゃった~とパパに言ったら、ご存知で。飲みにいったことあるよ~と。そしてパパはそのまま14時過ぎに出勤し18時に帰宅していたのであった。コロナが始まってから、パパさん一日3~4時間くらいしか働いていない、しかも暇らしい。収入は据え置き。勉強し放題なのにテニスばっかなんだな。時間あって羨ましい。
