Mit Oracle Cloud Marketplace den Kubernetes-Operator TimesTen bereitstellen

Sie können Oracle TimesTen In-Memory Database (TimesTen) in Kubernetes-Clustern On Premise oder auf der Oracle Cloud Infrastructure Kubernetes Engine (OKE) bereitstellen. TimesTen ist eine einfache, vollständig persistente und hochverfügbare In-Memory-relationale Datenbank, die eine Antwort von Mikrosekunden und einen hohen Durchsatz für OLTP-Anwendungen liefert. Sie können TimesTen als Datensatzdatenbank oder als Cache für Oracle Database verwenden.

Die Oracle TimesTen In-Memory Database for Kubernetes - BYOL-Liste in Oracle Cloud Marketplace besteht aus einem Containerimage von TimesTen, seinen Softwarevoraussetzungen und allem, was Sie für die Ausführung von TimesTen in einer containerisierten Umgebung benötigen. Das Containerimage enthält die YAML-Manifestdateien und Helm-Diagramme, die zum Bereitstellen des Kubernetes-Operators TimesTen (Operator TimesTen) und zum Erstellen von TimesTen-Datenbanken auf OKE- oder On-Premise-Infrastruktur erforderlich sind.

Architektur

Diese Architektur verwendet eine Region mit regionalen Subnetzen und mindestens zwei Availability-Domains. Die gleiche Referenzarchitektur kann in einer Region mit einer einzelnen Availability-Domain verwendet werden. Wir empfehlen die Verwendung regionaler Subnetze für Ihr Deployment, unabhängig von der Anzahl der Availability-Domains.

Bei der Bereitstellung umfasst diese Referenzarchitektur Folgendes:

  • Ein OKE-Cluster, das in separaten privaten Subnetzen für den Kubernetes-API-Endpunkt, den Knotenpool und den Load Balancer bereitgestellt wird.

  • Ein TimesTen-Operator, der auf einem Worker-Knoten in demselben privaten Subnetz wie der Knotenpool bereitgestellt wird.

  • Ein Paar von TimesTen-Datenbanken in einem Active/Standby-Replikationsschema, das auf Worker-Knoten in verschiedenen Availability-Domains bereitgestellt wird.

  • Eine Bastion, die in einem öffentlichen Subnetz für den Zugriff auf die in privaten Subnetzen bereitgestellten Ressourcen bereitgestellt wird.

Das folgende Diagramm veranschaulicht diese Referenzarchitektur.

Beschreibung von timesten-kubernetes-byol.png folgt
Beschreibung der Abbildung timesten-kubernetes-byol.png

zeitesten-kubernetes-byol.zip

Die Architektur umfasst die folgenden Komponenten:

  • Audit

    Der Oracle Cloud Infrastructure Audit-Service zeichnet Aufrufe von allen öffentlichen Oracle Cloud Infrastructure-API-Endpunkten automatisch als Logereignisse auf. Alle OCI-Services unterstützen das Logging durch Oracle Cloud Infrastructure Audit.

  • Availability-Domains

    Availability-Domains sind eigenständige, unabhängige Data Center innerhalb einer Region. Die physischen Ressourcen in jeder Availability-Domain sind von den Ressourcen in den anderen Availability-Domains isoliert, was eine Fehlertoleranz sicherstellt. Availability-Domains haben keine gemeinsame Infrastruktur wie Stromversorgung oder Kühlung oder das interne Availability-Domainnetzwerk. Daher sollte ein Fehler in einer Availability-Domain sich nicht auf die anderen Availability-Domains in der Region auswirken.

  • Bastionservice

    Oracle Cloud Infrastructure Bastion bietet eingeschränkten und zeitlich begrenzten sicheren Zugriff auf Ressourcen, die keine öffentlichen Endpunkte haben und strenge Ressourcenzugriffskontrollen erfordern, wie Bare-Metal- und virtuelle Maschinen, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) und alle anderen Ressourcen, die Secure Shell Protocol-(SSH-)Zugriff ermöglichen. Mit dem OCI Bastion-Service können Sie den Zugriff auf private Hosts aktivieren, ohne einen Jump-Host bereitzustellen und zu verwalten. Darüber hinaus erhalten Sie eine verbesserte Sicherheitslage mit identitätsbasierten Berechtigungen und einer zentralisierten, auditierten und zeitgebundenen SSH-Session. Mit OCI Bastion ist keine öffentliche IP für Bastionzugriff erforderlich. Dadurch entfällt der Aufwand und die potenzielle Angriffsfläche bei der Bereitstellung von Remotezugriff.

  • Block-Volume

    Mit Oracle Cloud Infrastructure Block Volumes können Sie Speicher-Volumes erstellen, anhängen, verbinden und verschieben sowie die Volume-Performance entsprechend Ihren Speicher-, Performance- und Anwendungsanforderungen ändern. Nachdem Sie ein Volume an eine Instanz angehängt und damit verbunden haben, können Sie es wie eine herkömmliche Festplatte verwenden. Sie können ein Volume auch trennen und an eine andere Instanz anhängen, ohne Daten zu verlieren.

  • Cloud Guard

    Mit Oracle Cloud Guard können Sie die Sicherheit Ihrer Ressourcen in Oracle Cloud Infrastructure überwachen und verwalten. Cloud Guard verwendet Detektorrezepte, die Sie definieren können, um Ihre Ressourcen auf Sicherheitsschwächen zu untersuchen und Operatoren und Benutzer auf bestimmte riskante Aktivitäten zu überwachen. Wenn eine falsche Konfiguration oder unsichere Aktivität erkannt wird, empfiehlt Cloud Guard Korrekturmaßnahmen und unterstützt Sie bei der Ausführung dieser Aktionen basierend auf den Responder-Rezepten, die Sie definieren können.

  • Compartment

    Compartments sind regionsübergreifende logische Partitionen innerhalb eines Oracle Cloud Infrastructure-Mandanten. Mit Compartments können Sie Nutzungs-Quotas für Ihre Oracle Cloud-Ressourcen organisieren, den Zugriff kontrollieren und festlegen. In einem bestimmten Compartment definieren Sie Policys, die den Zugriff kontrollieren und Berechtigungen für Ressourcen festlegen.

  • Container Registry

    Oracle Cloud Infrastructure Registry ist eine von Oracle verwaltete Registry, mit der Sie Ihren Workflow von der Entwicklung bis zur Produktion vereinfachen können. Die Registry erleichtert Ihnen das Speichern, Freigeben und Verwalten von Entwicklungsartefakten wie Docker-Images. Die hochverfügbare und skalierbare Architektur von Oracle Cloud Infrastructure stellt sicher, dass Sie Ihre Anwendungen zuverlässig bereitstellen und verwalten können.

  • Faultdomains

    Eine Faultdomain ist eine Gruppierung aus Hardware und Infrastruktur innerhalb einer Availability-Domain. Jede Availability-Domain umfasst drei Faultdomains mit unabhängiger Stromversorgung und Hardware. Wenn Sie Ressourcen auf mehrere Faultdomains verteilen, können Ihre Anwendungen physische Serverausfälle, Systemwartungen und Stromausfälle innerhalb einer Faultdomain tolerieren.

  • Identity and Access Management (IAM)

    Oracle Cloud Infrastructure Identity and Access Management (IAM) ist die Zugriffskontrollebene für Oracle Cloud Infrastructure (OCI) und Oracle Cloud Applications. Mit der IAM-API und der Benutzeroberfläche können Sie Identitätsdomains und die Ressourcen innerhalb der Identitätsdomain verwalten. Jede OCI-IAM-Identitätsdomain stellt eine eigenständige Identity and Access Management-Lösung oder eine andere Benutzerpopulation dar.

  • Internetgateway

    Das Internetgateway ermöglicht Traffic zwischen den öffentlichen Subnetzen in einem VCN und dem öffentlichen Internet.

  • Load Balancer

    Der Oracle Cloud Infrastructure Load Balancing-Service ermöglicht automatisierte Trafficverteilung von einem einzelnen Einstiegspunkt auf mehrere Server im Backend.

  • Logging
    Logging ist ein hoch skalierbarer und vollständig verwalteter Service, der Zugriff auf die folgenden Logtypen von Ihren Ressourcen in der Cloud ermöglicht:
    • Auditlogs: Logs zu Ereignissen, die vom Audit-Service ausgegeben werden.
    • Servicelogs:: Logs, die von einzelnen Services wie API Gateway, Events, Functions, Load Balancing, Object Storage und VCN-Flowlogs ausgegeben werden.
    • Benutzerdefinierte Logs: Logs, die Diagnoseinformationen von benutzerdefinierten Anwendungen, anderen Cloud-Providern oder einer On-Premise-Umgebung enthalten.
  • Network Address Translation-(NAT-)Gateway

    Ein NAT-Gateway ermöglicht privaten Ressourcen in einem VCN den Zugriff auf Hosts im Internet, ohne dass diese Ressourcen für eingehende Internetverbindungen freigegeben werden.

  • OCI Kubernetes Engine

    Oracle Cloud Infrastructure Kubernetes Engine (OCI Kubernetes Engine oder OKE) ist ein vollständig verwalteter, skalierbarer und hoch verfügbarer Service, mit dem Sie Ihre Containeranwendungen in der Cloud bereitstellen können. Sie geben die Compute-Ressourcen an, die Ihre Anwendungen benötigen, und Kubernetes Engine stellt sie in Oracle Cloud Infrastructure in einem vorhandenen Mandanten bereit. OKE automatisiert mit Kubernetes das Deployment, die Skalierung und die Verwaltung containerisierter Anwendungen über Cluster von Hosts hinweg.

  • Region

    Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Center enthält, das als Availability-Domain bezeichnet wird. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können sie trennen (über Länder oder sogar Kontinente).

  • Sicherheitsliste

    Für jedes Subnetz können Sie Sicherheitsregeln erstellen, die Quelle, Ziel und Typ des Traffics angeben, der im Subnetz und aus dem Subnetz zugelassen werden muss.

  • Servicegateway

    Das Servicegateway bietet Zugriff von einem VCN auf andere Services, wie Oracle Cloud Infrastructure Object Storage. Der Traffic vom VCN zum Oracle-Service wird über die Oracle-Netzwerkstruktur geleitet und durchläuft nicht das Internet.

  • Tenancy

    Ein Mandant ist eine sichere und isolierte Partition, die Oracle in Oracle Cloud einrichtet, wenn Sie sich für Oracle Cloud Infrastructure registrieren. Sie können Ihre Ressourcen in Oracle Cloud in Ihrem Mandanten erstellen, organisieren und verwalten. Ein Mandant ist ein Synonym für ein Unternehmen oder eine Organisation. In der Regel verfügt ein Unternehmen über einen einzigen Mandanten und spiegelt seine Organisationsstruktur innerhalb dieses Mandanten wider. Ein einzelner Mandant ist in der Regel mit einem einzelnen Abonnement verknüpft, und ein einzelnes Abonnement hat in der Regel nur einen Mandanten.

  • Operator TimesTen

    Der Operator TimesTen verfügt über mehrere wichtige Features für die Verwaltung von TimesTen-Datenbanken in einer Kubernetes-Umgebung. Eine TimesTen-Datenbank wird als benutzerdefinierte Ressource in der Kubernetes-Konfigurationsdatei modelliert. Der Operator verwendet diese Konfiguration und die Kubernetes-API, um TimesTen-Datenbankvorgänge wie Provisioning, Failover, Patching und Sicherheit zu automatisieren.

  • Virtuelles Cloud-Netzwerk (VCN) und Subnetze

    Ein VCN ist ein anpassbares, softwaredefiniertes Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region einrichten können. Wie herkömmliche Data Center-Netzwerke erhalten Sie mit VCNs die Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die sich auf eine Region oder eine Availability-Domain beschränken. Jedes Subnetz besteht aus einem Bereich zusammenhängender Adressen, die sich nicht mit anderen Subnetzen im VCN überschneiden. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.

Empfehlungen

Verwenden Sie die folgenden Empfehlungen als Ausgangspunkt. Ihre Anforderungen können von der hier beschriebenen Architektur abweichen.
  • Bastion

    Stellen Sie sicher, dass nur autorisierte Benutzer Bastionsessions erstellen können. In dieser Architekturreferenz bietet Bastion sicheren Zugriff auf den Kubernetes-API-Endpunkt und SSH auf die Worker-Knoten, auf denen die TimesTen-Datenbanken bereitgestellt werden.

  • Cloud Guard

    Klonen und passen Sie die von Oracle bereitgestellten Standardrezepte an, um benutzerdefinierte Detektorrezepte und Responder-Rezepte zu erstellen. Mit diesen Rezepten können Sie angeben, welche Art von Sicherheitsverletzungen eine Warnung generieren und welche Aktionen für sie ausgeführt werden dürfen. Beispiel: Sie möchten Objektspeicher-Buckets ermitteln, deren Sichtbarkeit auf "Öffentlich" gesetzt ist.

    Wenden Sie Cloud Guard auf Mandantenebene an, um den breitesten Geltungsbereich abzudecken und den Verwaltungsaufwand für die Verwaltung mehrerer Konfigurationen zu reduzieren.

    Sie können auch das Feature "Verwaltete Liste" verwenden, um bestimmte Konfigurationen auf Detektoren anzuwenden.

  • Container Registry

    Stellen Sie sicher, dass die erforderlichen IAM-Policys erstellt werden und nur autorisierte Benutzer Zugriff auf das Repository in Container Registry haben.

  • Load-Balancer-Bandbreite

    Beim Erstellen des Load Balancers können Sie entweder eine vordefinierte Ausprägung auswählen, die eine feste Bandbreite bereitstellt, oder eine benutzerdefinierte (flexible) Ausprägung angeben, in der Sie einen Bandbreitenbereich festlegen und den Service die Bandbreite automatisch basierend auf Trafficmustern skalieren lassen. Bei beiden Verfahren können Sie die Ausprägung nach dem Erstellen des Load Balancers jederzeit ändern.

  • Sicherheit

    Mit Oracle Cloud Guard können Sie die Sicherheit Ihrer Ressourcen in Oracle Cloud Infrastructure proaktiv überwachen und verwalten. Cloud Guard verwendet Detektorrezepte, die Sie definieren können, um Ihre Ressourcen auf Sicherheitsschwächen zu untersuchen und Operatoren und Benutzer auf bestimmte riskante Aktivitäten zu überwachen. Wenn eine falsche Konfiguration oder eine unsichere Aktivität erkannt wird, empfiehlt Cloud Guard Korrekturmaßnahmen und unterstützt Sie bei der Ausführung dieser Aktionen basierend auf Responder-Rezepten, die Sie definieren können.

    Für Ressourcen, die maximale Sicherheit erfordern, empfiehlt Oracle die Verwendung von Sicherheitszonen. Eine Sicherheitszone ist ein Compartment, das mit einem von Oracle definierten Rezept von Sicherheits-Policys verknüpft ist, die auf Best Practices basieren. Beispiel: Die Ressourcen in einer Sicherheitszone dürfen nicht über das öffentliche Internet zugänglich sein und müssen mit vom Kunden verwalteten Schlüsseln verschlüsselt werden. Wenn Sie Ressourcen in einer Sicherheitszone erstellen und aktualisieren, validiert Oracle Cloud Infrastructure die Vorgänge anhand der Policys im Rezept der Sicherheitszone und lehnt Vorgänge ab, die gegen eine der Policys verstoßen.

  • VCN

    Wenn Sie ein VCN erstellen, bestimmen Sie die Anzahl der erforderlichen CIDR-Blöcke und die Größe jedes Blocks basierend auf der Anzahl der Ressourcen, die Sie an Subnetze im VCN anhängen möchten. Verwenden Sie CIDR-Blöcke, die sich innerhalb des privaten IP-Standardadressraums befinden.

    Wählen Sie CIDR-Blöcke aus, die sich nicht mit einem anderen Netzwerk (in Oracle Cloud Infrastructure, Ihrem On-Premise-Data Center oder einem anderen Cloud-Provider) überschneiden, zu dem Sie private Verbindungen einrichten möchten.

    Nachdem Sie ein VCN erstellt haben, können Sie die CIDR-Blöcke ändern, hinzufügen und entfernen.

    Berücksichtigen Sie beim Entwerfen der Subnetze Ihren Trafficfluss und Ihre Sicherheitsanforderungen. Hängen Sie alle Ressourcen innerhalb einer bestimmten Ebene oder Rolle an dasselbe Subnetz an, das als Sicherheitsgrenze dienen kann.

    Verwenden Sie regionale Subnetze.

Hinweise

Beachten Sie beim Deployment dieser Referenzarchitektur die folgenden Punkte:

  • Verfügbarkeit

    Im Allgemeinen stellen Sie eine Anwendung in der Region bereit, in der sie am stärksten genutzt wird, da die Verwendung nahegelegener Ressourcen schneller ist als die Verwendung entfernterer Ressourcen. Die Availability-Domains in derselben Region verbinden sich über ein Netzwerk mit niedriger Latenz und hoher Bandbreite miteinander. Dieses Netzwerk bietet eine Hochverfügbarkeitsverbindung zum Internet und zu On-Premise-Geräten, sodass Sie replizierte Systeme in mehreren Availability-Domains für High Availability und Disaster Recovery erstellen können.

  • Container Registry

    Diese Architektur stellt Container Registry als private Docker-Registry zur internen Verwendung bereit. Docker-Images werden in die Registry übertragen und daraus abgerufen. Sie können Container Registry auch als öffentliche Docker Registry verwenden, sodass jeder Benutzer mit Internetzugang und Kenntnis der entsprechenden URL Images aus öffentlichen Repositorys in OCI abrufen kann. In dieser Architektur wird das Repository aus Container Registry verwendet, um ein Image von TimesTen zu speichern, das die YAML-Manifestdateien und Helm-Diagramme enthält, die für das Deployment des Operators TimesTen und das Erstellen von TimesTen-Datenbanken erforderlich sind.

  • Sicherheit

    Mit Policys können Sie einschränken, wer auf die OCI-Ressourcen zugreifen kann.

Stellen Sie

Oracle Cloud Marketplace bietet ein Containerimage von TimesTen, mit dem Sie den Operator TimesTen in Ihrem OKE-Cluster oder Ihrer On-Premise-Infrastruktur bereitstellen können.

Rufen Sie das Containerimage TimesTen von Oracle Cloud Marketplace ab:

  1. Gehen Sie zu Oracle Cloud Marketplace.
  2. Klicken Sie auf Paket exportieren.
  3. Befolgen Sie die auf dem Bildschirm angezeigten Prompts.

Danksagungen

  • Autor: Ricardo Rosas

  • Mitwirkende: Dario Vega, Daniel Ramirez, Deborah Steiner, Silviano Diaz Barriga