Mit Oracle Cloud Marketplace den Kubernetes-Operator TimesTen bereitstellen
Die Oracle TimesTen In-Memory Database for Kubernetes - BYOL-Liste in Oracle Cloud Marketplace besteht aus einem Containerimage von TimesTen, seinen Softwarevoraussetzungen und allem, was Sie für die Ausführung von TimesTen in einer containerisierten Umgebung benötigen. Das Containerimage enthält die YAML-Manifestdateien und Helm-Diagramme, die zum Bereitstellen des Kubernetes-Operators TimesTen (Operator TimesTen) und zum Erstellen von TimesTen-Datenbanken auf OKE- oder On-Premise-Infrastruktur erforderlich sind.
Architektur
Diese Architektur verwendet eine Region mit regionalen Subnetzen und mindestens zwei Availability-Domains. Die gleiche Referenzarchitektur kann in einer Region mit einer einzelnen Availability-Domain verwendet werden. Wir empfehlen die Verwendung regionaler Subnetze für Ihr Deployment, unabhängig von der Anzahl der Availability-Domains.
Bei der Bereitstellung umfasst diese Referenzarchitektur Folgendes:
-
Ein OKE-Cluster, das in separaten privaten Subnetzen für den Kubernetes-API-Endpunkt, den Knotenpool und den Load Balancer bereitgestellt wird.
-
Ein TimesTen-Operator, der auf einem Worker-Knoten in demselben privaten Subnetz wie der Knotenpool bereitgestellt wird.
-
Ein Paar von TimesTen-Datenbanken in einem Active/Standby-Replikationsschema, das auf Worker-Knoten in verschiedenen Availability-Domains bereitgestellt wird.
-
Eine Bastion, die in einem öffentlichen Subnetz für den Zugriff auf die in privaten Subnetzen bereitgestellten Ressourcen bereitgestellt wird.
Das folgende Diagramm veranschaulicht diese Referenzarchitektur.

Beschreibung der Abbildung timesten-kubernetes-byol.png
Die Architektur umfasst die folgenden Komponenten:
- Audit
Der Oracle Cloud Infrastructure Audit-Service zeichnet Aufrufe von allen öffentlichen Oracle Cloud Infrastructure-API-Endpunkten automatisch als Logereignisse auf. Alle OCI-Services unterstützen das Logging durch Oracle Cloud Infrastructure Audit.
- Availability-Domains
Availability-Domains sind eigenständige, unabhängige Data Center innerhalb einer Region. Die physischen Ressourcen in jeder Availability-Domain sind von den Ressourcen in den anderen Availability-Domains isoliert, was eine Fehlertoleranz sicherstellt. Availability-Domains haben keine gemeinsame Infrastruktur wie Stromversorgung oder Kühlung oder das interne Availability-Domainnetzwerk. Daher sollte ein Fehler in einer Availability-Domain sich nicht auf die anderen Availability-Domains in der Region auswirken.
- Bastionservice
Oracle Cloud Infrastructure Bastion bietet eingeschränkten und zeitlich begrenzten sicheren Zugriff auf Ressourcen, die keine öffentlichen Endpunkte haben und strenge Ressourcenzugriffskontrollen erfordern, wie Bare-Metal- und virtuelle Maschinen, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) und alle anderen Ressourcen, die Secure Shell Protocol-(SSH-)Zugriff ermöglichen. Mit dem OCI Bastion-Service können Sie den Zugriff auf private Hosts aktivieren, ohne einen Jump-Host bereitzustellen und zu verwalten. Darüber hinaus erhalten Sie eine verbesserte Sicherheitslage mit identitätsbasierten Berechtigungen und einer zentralisierten, auditierten und zeitgebundenen SSH-Session. Mit OCI Bastion ist keine öffentliche IP für Bastionzugriff erforderlich. Dadurch entfällt der Aufwand und die potenzielle Angriffsfläche bei der Bereitstellung von Remotezugriff.
- Block-Volume
Mit Oracle Cloud Infrastructure Block Volumes können Sie Speicher-Volumes erstellen, anhängen, verbinden und verschieben sowie die Volume-Performance entsprechend Ihren Speicher-, Performance- und Anwendungsanforderungen ändern. Nachdem Sie ein Volume an eine Instanz angehängt und damit verbunden haben, können Sie es wie eine herkömmliche Festplatte verwenden. Sie können ein Volume auch trennen und an eine andere Instanz anhängen, ohne Daten zu verlieren.
-
Cloud Guard
Mit Oracle Cloud Guard können Sie die Sicherheit Ihrer Ressourcen in Oracle Cloud Infrastructure überwachen und verwalten. Cloud Guard verwendet Detektorrezepte, die Sie definieren können, um Ihre Ressourcen auf Sicherheitsschwächen zu untersuchen und Operatoren und Benutzer auf bestimmte riskante Aktivitäten zu überwachen. Wenn eine falsche Konfiguration oder unsichere Aktivität erkannt wird, empfiehlt Cloud Guard Korrekturmaßnahmen und unterstützt Sie bei der Ausführung dieser Aktionen basierend auf den Responder-Rezepten, die Sie definieren können.
- Compartment
Compartments sind regionsübergreifende logische Partitionen innerhalb eines Oracle Cloud Infrastructure-Mandanten. Mit Compartments können Sie Nutzungs-Quotas für Ihre Oracle Cloud-Ressourcen organisieren, den Zugriff kontrollieren und festlegen. In einem bestimmten Compartment definieren Sie Policys, die den Zugriff kontrollieren und Berechtigungen für Ressourcen festlegen.
- Container Registry
Oracle Cloud Infrastructure Registry ist eine von Oracle verwaltete Registry, mit der Sie Ihren Workflow von der Entwicklung bis zur Produktion vereinfachen können. Die Registry erleichtert Ihnen das Speichern, Freigeben und Verwalten von Entwicklungsartefakten wie Docker-Images. Die hochverfügbare und skalierbare Architektur von Oracle Cloud Infrastructure stellt sicher, dass Sie Ihre Anwendungen zuverlässig bereitstellen und verwalten können.
- Faultdomains
Eine Faultdomain ist eine Gruppierung aus Hardware und Infrastruktur innerhalb einer Availability-Domain. Jede Availability-Domain umfasst drei Faultdomains mit unabhängiger Stromversorgung und Hardware. Wenn Sie Ressourcen auf mehrere Faultdomains verteilen, können Ihre Anwendungen physische Serverausfälle, Systemwartungen und Stromausfälle innerhalb einer Faultdomain tolerieren.
- Identity and Access Management (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) ist die Zugriffskontrollebene für Oracle Cloud Infrastructure (OCI) und Oracle Cloud Applications. Mit der IAM-API und der Benutzeroberfläche können Sie Identitätsdomains und die Ressourcen innerhalb der Identitätsdomain verwalten. Jede OCI-IAM-Identitätsdomain stellt eine eigenständige Identity and Access Management-Lösung oder eine andere Benutzerpopulation dar.
- Internetgateway
Das Internetgateway ermöglicht Traffic zwischen den öffentlichen Subnetzen in einem VCN und dem öffentlichen Internet.
- Load Balancer
Der Oracle Cloud Infrastructure Load Balancing-Service ermöglicht automatisierte Trafficverteilung von einem einzelnen Einstiegspunkt auf mehrere Server im Backend.
- LoggingLogging ist ein hoch skalierbarer und vollständig verwalteter Service, der Zugriff auf die folgenden Logtypen von Ihren Ressourcen in der Cloud ermöglicht:
- Auditlogs: Logs zu Ereignissen, die vom Audit-Service ausgegeben werden.
- Servicelogs:: Logs, die von einzelnen Services wie API Gateway, Events, Functions, Load Balancing, Object Storage und VCN-Flowlogs ausgegeben werden.
- Benutzerdefinierte Logs: Logs, die Diagnoseinformationen von benutzerdefinierten Anwendungen, anderen Cloud-Providern oder einer On-Premise-Umgebung enthalten.
- Network Address Translation-(NAT-)Gateway
Ein NAT-Gateway ermöglicht privaten Ressourcen in einem VCN den Zugriff auf Hosts im Internet, ohne dass diese Ressourcen für eingehende Internetverbindungen freigegeben werden.
- OCI Kubernetes Engine
Oracle Cloud Infrastructure Kubernetes Engine (OCI Kubernetes Engine oder OKE) ist ein vollständig verwalteter, skalierbarer und hoch verfügbarer Service, mit dem Sie Ihre Containeranwendungen in der Cloud bereitstellen können. Sie geben die Compute-Ressourcen an, die Ihre Anwendungen benötigen, und Kubernetes Engine stellt sie in Oracle Cloud Infrastructure in einem vorhandenen Mandanten bereit. OKE automatisiert mit Kubernetes das Deployment, die Skalierung und die Verwaltung containerisierter Anwendungen über Cluster von Hosts hinweg.
- Region
Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Center enthält, das als Availability-Domain bezeichnet wird. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können sie trennen (über Länder oder sogar Kontinente).
- Sicherheitsliste
Für jedes Subnetz können Sie Sicherheitsregeln erstellen, die Quelle, Ziel und Typ des Traffics angeben, der im Subnetz und aus dem Subnetz zugelassen werden muss.
- Servicegateway
Das Servicegateway bietet Zugriff von einem VCN auf andere Services, wie Oracle Cloud Infrastructure Object Storage. Der Traffic vom VCN zum Oracle-Service wird über die Oracle-Netzwerkstruktur geleitet und durchläuft nicht das Internet.
- Tenancy
Ein Mandant ist eine sichere und isolierte Partition, die Oracle in Oracle Cloud einrichtet, wenn Sie sich für Oracle Cloud Infrastructure registrieren. Sie können Ihre Ressourcen in Oracle Cloud in Ihrem Mandanten erstellen, organisieren und verwalten. Ein Mandant ist ein Synonym für ein Unternehmen oder eine Organisation. In der Regel verfügt ein Unternehmen über einen einzigen Mandanten und spiegelt seine Organisationsstruktur innerhalb dieses Mandanten wider. Ein einzelner Mandant ist in der Regel mit einem einzelnen Abonnement verknüpft, und ein einzelnes Abonnement hat in der Regel nur einen Mandanten.
- Operator TimesTen
Der Operator TimesTen verfügt über mehrere wichtige Features für die Verwaltung von TimesTen-Datenbanken in einer Kubernetes-Umgebung. Eine TimesTen-Datenbank wird als benutzerdefinierte Ressource in der Kubernetes-Konfigurationsdatei modelliert. Der Operator verwendet diese Konfiguration und die Kubernetes-API, um TimesTen-Datenbankvorgänge wie Provisioning, Failover, Patching und Sicherheit zu automatisieren.
- Virtuelles Cloud-Netzwerk (VCN) und Subnetze
Ein VCN ist ein anpassbares, softwaredefiniertes Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region einrichten können. Wie herkömmliche Data Center-Netzwerke erhalten Sie mit VCNs die Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die sich auf eine Region oder eine Availability-Domain beschränken. Jedes Subnetz besteht aus einem Bereich zusammenhängender Adressen, die sich nicht mit anderen Subnetzen im VCN überschneiden. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.
Empfehlungen
- Bastion
Stellen Sie sicher, dass nur autorisierte Benutzer Bastionsessions erstellen können. In dieser Architekturreferenz bietet Bastion sicheren Zugriff auf den Kubernetes-API-Endpunkt und SSH auf die Worker-Knoten, auf denen die TimesTen-Datenbanken bereitgestellt werden.
- Cloud Guard
Klonen und passen Sie die von Oracle bereitgestellten Standardrezepte an, um benutzerdefinierte Detektorrezepte und Responder-Rezepte zu erstellen. Mit diesen Rezepten können Sie angeben, welche Art von Sicherheitsverletzungen eine Warnung generieren und welche Aktionen für sie ausgeführt werden dürfen. Beispiel: Sie möchten Objektspeicher-Buckets ermitteln, deren Sichtbarkeit auf "Öffentlich" gesetzt ist.
Wenden Sie Cloud Guard auf Mandantenebene an, um den breitesten Geltungsbereich abzudecken und den Verwaltungsaufwand für die Verwaltung mehrerer Konfigurationen zu reduzieren.
Sie können auch das Feature "Verwaltete Liste" verwenden, um bestimmte Konfigurationen auf Detektoren anzuwenden.
- Container Registry
Stellen Sie sicher, dass die erforderlichen IAM-Policys erstellt werden und nur autorisierte Benutzer Zugriff auf das Repository in Container Registry haben.
- Load-Balancer-Bandbreite
Beim Erstellen des Load Balancers können Sie entweder eine vordefinierte Ausprägung auswählen, die eine feste Bandbreite bereitstellt, oder eine benutzerdefinierte (flexible) Ausprägung angeben, in der Sie einen Bandbreitenbereich festlegen und den Service die Bandbreite automatisch basierend auf Trafficmustern skalieren lassen. Bei beiden Verfahren können Sie die Ausprägung nach dem Erstellen des Load Balancers jederzeit ändern.
- Sicherheit
Mit Oracle Cloud Guard können Sie die Sicherheit Ihrer Ressourcen in Oracle Cloud Infrastructure proaktiv überwachen und verwalten. Cloud Guard verwendet Detektorrezepte, die Sie definieren können, um Ihre Ressourcen auf Sicherheitsschwächen zu untersuchen und Operatoren und Benutzer auf bestimmte riskante Aktivitäten zu überwachen. Wenn eine falsche Konfiguration oder eine unsichere Aktivität erkannt wird, empfiehlt Cloud Guard Korrekturmaßnahmen und unterstützt Sie bei der Ausführung dieser Aktionen basierend auf Responder-Rezepten, die Sie definieren können.
Für Ressourcen, die maximale Sicherheit erfordern, empfiehlt Oracle die Verwendung von Sicherheitszonen. Eine Sicherheitszone ist ein Compartment, das mit einem von Oracle definierten Rezept von Sicherheits-Policys verknüpft ist, die auf Best Practices basieren. Beispiel: Die Ressourcen in einer Sicherheitszone dürfen nicht über das öffentliche Internet zugänglich sein und müssen mit vom Kunden verwalteten Schlüsseln verschlüsselt werden. Wenn Sie Ressourcen in einer Sicherheitszone erstellen und aktualisieren, validiert Oracle Cloud Infrastructure die Vorgänge anhand der Policys im Rezept der Sicherheitszone und lehnt Vorgänge ab, die gegen eine der Policys verstoßen.
- VCN
Wenn Sie ein VCN erstellen, bestimmen Sie die Anzahl der erforderlichen CIDR-Blöcke und die Größe jedes Blocks basierend auf der Anzahl der Ressourcen, die Sie an Subnetze im VCN anhängen möchten. Verwenden Sie CIDR-Blöcke, die sich innerhalb des privaten IP-Standardadressraums befinden.
Wählen Sie CIDR-Blöcke aus, die sich nicht mit einem anderen Netzwerk (in Oracle Cloud Infrastructure, Ihrem On-Premise-Data Center oder einem anderen Cloud-Provider) überschneiden, zu dem Sie private Verbindungen einrichten möchten.
Nachdem Sie ein VCN erstellt haben, können Sie die CIDR-Blöcke ändern, hinzufügen und entfernen.
Berücksichtigen Sie beim Entwerfen der Subnetze Ihren Trafficfluss und Ihre Sicherheitsanforderungen. Hängen Sie alle Ressourcen innerhalb einer bestimmten Ebene oder Rolle an dasselbe Subnetz an, das als Sicherheitsgrenze dienen kann.
Verwenden Sie regionale Subnetze.
Hinweise
Beachten Sie beim Deployment dieser Referenzarchitektur die folgenden Punkte:
- Verfügbarkeit
Im Allgemeinen stellen Sie eine Anwendung in der Region bereit, in der sie am stärksten genutzt wird, da die Verwendung nahegelegener Ressourcen schneller ist als die Verwendung entfernterer Ressourcen. Die Availability-Domains in derselben Region verbinden sich über ein Netzwerk mit niedriger Latenz und hoher Bandbreite miteinander. Dieses Netzwerk bietet eine Hochverfügbarkeitsverbindung zum Internet und zu On-Premise-Geräten, sodass Sie replizierte Systeme in mehreren Availability-Domains für High Availability und Disaster Recovery erstellen können.
- Container Registry
Diese Architektur stellt Container Registry als private Docker-Registry zur internen Verwendung bereit. Docker-Images werden in die Registry übertragen und daraus abgerufen. Sie können Container Registry auch als öffentliche Docker Registry verwenden, sodass jeder Benutzer mit Internetzugang und Kenntnis der entsprechenden URL Images aus öffentlichen Repositorys in OCI abrufen kann. In dieser Architektur wird das Repository aus Container Registry verwendet, um ein Image von TimesTen zu speichern, das die YAML-Manifestdateien und Helm-Diagramme enthält, die für das Deployment des Operators TimesTen und das Erstellen von TimesTen-Datenbanken erforderlich sind.
- Sicherheit
Mit Policys können Sie einschränken, wer auf die OCI-Ressourcen zugreifen kann.
Stellen Sie
Rufen Sie das Containerimage TimesTen von Oracle Cloud Marketplace ab:
- Gehen Sie zu Oracle Cloud Marketplace.
- Klicken Sie auf Paket exportieren.
- Befolgen Sie die auf dem Bildschirm angezeigten Prompts.
Mehr erfahren
Weitere Informationen zum Deployment von TimesTen-Datenbanken in OKE mit einem Containerimage aus Marketplace finden Sie in den folgenden zusätzlichen Ressourcen:
- Oracle Cloud Marketplace zum Abrufen eines TimesTen-Containerimages verwenden (BYOL)
- Benutzerhandbuch für Oracle TimesTen In-Memory Database Kubernetes Operator
- Oracle Cloud Infrastructure-Dokumentation
- Ausgefeiltes Framework für Oracle Cloud Infrastructure
- Netzwerkressourckonfiguration für Clustererstellung und -Deployment