Multinode-Cluster von Oracle Managed File Transfer mit Oracle Cloud Marketplace bereitstellen
Architektur
Diese Architektur zeigt das Deployment von Oracle Managed File Transfer in einer Clusterkonfiguration in einer Oracle Cloud-Infrastrukturregion mit Oracle Cloud Marketplace. Das folgende Diagramm veranschaulicht diese Referenzarchitektur.
Beschreibung der Abbildung deployment-mft-orm.png
- Region
Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Center enthält, das als Availability-Domains bezeichnet wird. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können sie voneinander trennen (innerhalb von Ländern oder sogar Kontinenten).
- Availability-Domains
Availability-Domains sind eigenständige, unabhängige Data Center innerhalb einer Region. Die physischen Ressourcen in jeder Availability-Domain sind von den Ressourcen in den anderen Availability-Domains isoliert, was eine Fehlertoleranz sicherstellt. Availability-Domains haben keine gemeinsame Infrastruktur wie Stromversorgung oder Kühlung oder das interne Availability-Domainnetzwerk. Aus diesem Grund ist es wahrscheinlich, dass ein Fehler in einer Availability-Domain sich auf die anderen Availability-Domains in der Region auswirkt.
- Virtual Cloud Network (VCN) und Subnetze
Ein VCN ist ein anpassbares, Software-definiertes Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region einrichten können. Wie herkömmliche Data Center-Netzwerke erhalten Sie mit VCNs vollständige Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die sich auf eine Region oder eine Availability-Domain beschränken. Jedes Subnetz besteht aus einem Bereich zusammenhängender Adressen, die sich nicht mit anderen Subnetzen im VCN überschneiden. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.
- Route-Tabelle
Virtuelle Routentabellen enthalten Regeln, mit denen Traffic von Subnetzen zu Zielen außerhalb eines VCN, normalerweise über Gateways, weitergeleitet wird.
- Sicherheitsliste
Für jedes Subnetz können Sie Sicherheitsregeln erstellen, die Quelle, Ziel und Typ des Traffics angeben, der in das und aus dem Subnetz zugelassen werden muss.
- Internetgateway
Das Internetgateway lässt Traffic zwischen den öffentlichen Subnetzen in einem VCN und dem öffentlichen Internet zu.
- Bastionhost
Der Bastionhost ist eine Compute-Instanz, die als sicherer, kontrollierter Einstiegspunkt zu der Topologie von außerhalb der Cloud dient. Der Bastionhost wird in der Regel in einer entmilitarisierten Zone (DMZ) bereitgestellt. Damit können Sie sensible Ressourcen schützen, indem Sie sie in privaten Netzwerken platzieren, auf die nicht direkt von außerhalb der Cloud zugegriffen werden kann. Die Topologie hat einen einzelnen, bekannten Einstiegspunkt, den Sie regelmäßig überwachen und auditieren können. Sie können also vermeiden, die sensibleren Komponenten der Topologie freizugeben, ohne den Zugriff darauf zu beeinträchtigen.
- Load Balancer
Der Oracle Cloud Infrastructure Load Balancing-Service ermöglicht automatisierte Trafficverteilung von einem einzelnen Einstiegspunkt zu mehreren Servern im Backend.
- MFT-Cluster
Oracle MFT ermöglicht sicheren Datenaustausch und sichere Verwaltung zwischen der Cloud und SaaS- oder On-Premise-Unternehmensanwendungen. Mit Oracle Cloud erhalten Sie die erforderliche Cloud-Plattform und -Infrastruktur für die Bereitstellung Ihrer MFT-Umgebung. In Kombination bieten Sie in jedem Schritt der End-to-End-Dateiübertragung Schutz vor unbeabsichtigtem Zugriff auf ungesicherte Dateien.
- Autonomous Database
Autonome Datenbanken von Oracle Cloud Infrastructure sind vollständig verwaltete, vorkonfigurierte Datenbankumgebungen, die Sie für Transaktionsverarbeitungs- und Data Warehousing-Workloads verwenden können. Sie müssen keine Hardware konfigurieren oder verwalten und keine Software installieren. Oracle Cloud Infrastructure verwaltet das Erstellen der Datenbank sowie Backup, Patching, Upgrade und Optimierung der Datenbank.
Empfehlungen
- VCN
Bestimmen Sie beim Erstellen eines VCN die Anzahl der erforderlichen CIDR-Blöcke und die Größe jedes Blocks basierend auf der Anzahl der Ressourcen, die Sie an Subnetze im VCN anhängen möchten. Verwenden Sie CIDR-Blöcke innerhalb des standardmäßigen privaten IP-Adressraums.
Wählen Sie CIDR-Blöcke aus, die sich mit keinem anderen Netzwerk (in Oracle Cloud Infrastructure, Ihrem On-Premise-Data Center oder einem anderen Cloud-Provider) überschneiden, zu dem Sie private Verbindungen einrichten möchten.
Nachdem Sie ein VCN erstellt haben, können Sie die zugehörigen CIDR-Blöcke ändern, hinzufügen und entfernen.
Berücksichtigen Sie bei der Entwicklung der Subnetze Ihren Verkehrsfluss und Ihre Sicherheitsanforderungen. Hängen Sie alle Ressourcen innerhalb einer bestimmten Ebene oder Rolle an dasselbe Subnetz an, das als Sicherheitsgrenze dienen kann.
- Netzwerksicherheitsgruppen (NSGs)
Mit NSGs können Sie eine Gruppe von Ingress- und Egress-Regeln definieren, die für bestimmte VNICs gelten. Wir empfehlen die Verwendung von NSGs und nicht von Sicherheitslisten, da NSGs die Subnetzarchitektur des VCN von den Sicherheitsanforderungen Ihrer Anwendung trennen können.
- Sicherheitszonen
Für Ressourcen, die maximale Sicherheit erfordern, empfiehlt Oracle die Verwendung von Sicherheitszonen. Eine Sicherheitszone ist ein Compartment, das mit einem von Oracle definierten Rezept für Sicherheits-Policys verknüpft ist, die auf Best Practices basieren. Beispiel: Auf die Ressourcen in einer Sicherheitszone kann nicht über das öffentliche Internet zugegriffen werden. Sie müssen mit vom Kunden verwalteten Schlüsseln verschlüsselt werden. Wenn Sie Ressourcen in einer Sicherheitszone erstellen und aktualisieren, validiert Oracle Cloud Infrastructure die Vorgänge anhand der Policys im Rezept der Sicherheitszone und verweigert Vorgänge, die eine der Policys verletzen.
- Cloud Guard
Klonen und passen Sie die von Oracle bereitgestellten Standardrezepte an, um benutzerdefinierte Detektor- und Responder-Rezepte zu erstellen. Mit diesen Rezepten können Sie angeben, welche Art von Sicherheitsverletzungen eine Warnung generiert und welche Aktionen für sie ausgeführt werden dürfen. Beispiel: Sie möchten Object Storage-Buckets ermitteln, deren Sichtbarkeit auf "Öffentlich" gesetzt ist. Wenden Sie Cloud Guard auf Mandantenebene an, um den größten Geltungsbereich abzudecken und den administrativen Aufwand für die Verwaltung mehrerer Konfigurationen zu reduzieren. Sie können das Feature "Verwaltete Liste" auch verwenden, um bestimmte Konfigurationen auf Detektoren anzuwenden.
Hinweise
Berücksichtigen Sie diese Faktoren beim Deployment eines MFT-Multinode-Clusters auf OCI Marketplace.
- Skalierbarkeit
- Application Tier:
Sie können den Anwendungsserver vertikal skalieren, indem Sie die Ausprägung der Compute-Instanz ändern. Eine Ausprägungen mit einer höheren Anzahl an Cores liefert ebenfalls mehr Speicher und Netzwerkbandbreite. Wenn mehr Speicher erforderlich ist, erhöhen Sie die Größe der Block-Volumes, die an den Anwendungsserver angeschlossen sind.
- Database Tier:
Sie können die Datenbank vertikal skalieren, indem Sie zusätzliche Cores für die Datenbank aktivieren. Die Cores und der Speicher können ohne Ausfallzeiten der Datenbank vertikal skaliert werden.
- Application Tier:
- Ressourcengrenzwerte
Berücksichtigen Sie die Best Practices, Limits nach Service und Compartment-Quotas für Ihren Mandanten.
- Sicherheit
- Mit Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Policys können Sie steuern, wer auf Ihre Cloud-Ressourcen zugreifen kann und welche Vorgänge ausgeführt werden können.
- Um die Datenbankkennwörter oder andere Secrets zu schützen, sollten Sie den Oracle Cloud Infrastructure Vault-Service verwenden.
- Performance und Kosten
Oracle Cloud Infrastructure bietet Compute-Ausprägungen für eine Vielzahl von Anwendungen und Anwendungsfällen. Wählen Sie die Ausprägungen für Ihre Compute-Instanzen sorgfältig aus. Wählen Sie Ausprägungen aus, die eine optimale Performance für Ihre Last zu den niedrigsten Kosten bieten. Wenn Sie mehr Performance, Arbeitsspeicher oder Netzwerkbandbreite benötigen, können Sie zu einer größeren Ausprägungen wechseln.
- Verfügbarkeit
Sie sollten eine High Availability-Option verwenden, die auf Ihren Deployment-Anforderungen und Ihrer Region basiert. Die Optionen umfassen das Verteilen von Ressourcen auf mehrere Availability-Domains in einer Region sowie das Verteilen von Ressourcen auf die Faultdomains innerhalb einer Availability-Domain. Faultdomains bieten die beste Resilienz für Workloads, die in einer Availability-Domain bereitgestellt sind. Für High Availability in der Anwendungsebene konfigurieren Sie den MFT mit einem Multi-Knoten-Cluster, in dem jeder verwaltete MFT-Server über verschiedene Availability-Domains in einer Region verteilt ist, und verwenden einen Load Balancer, um Clienttraffic auf die Anwendungsserver zu verteilen.
- Überwachung und Alerts
Richten Sie Monitoring und Alerts zur CPU- und Speicherauslastung für Ihre Knoten ein, damit Sie die Ausprägung nach Bedarf vertikal oder horizontal skalieren können.
- Datenbankstrategie
Wenn der Servicetyp "MFT-Cluster" und die Datenbankstrategie "Autonomous Transaction Processing-Datenbank" lautet. Die Konfiguration eines Dateispeichers ist für den MFT-Clusterservicetyp in einer Autonomous Transaction Processing-(ATP-)Datenbank obligatorisch.