Die Abbildung zeigt eine OCI-Region mit einem VCN, das sich über drei Availability-Domains mit den Bezeichnungen Availability Domain 1, Availability Domain 2 und Availability Domain 3 erstreckt und High Availability-Zonen darstellt. Das VCN hostet einen öffentlichen Load Balancer, ein Oracle Kubernetes Engine-(OKE-)Cluster und eine Oracle Autonomous AI Database. Die Region hostet Oracle Services Network mit einer OCI Container Registry

Das VCN umfasst fünf Subnetze wie folgt:

1. Öffentliches Subnetz für Service Load Balancer wird für Kundentraffic verwendet und umfasst einen öffentlichen Load Balancer in Availability-Domain 2, der für den Empfang und die Verteilung eingehenden Traffics an Anwendungskomponenten verantwortlich ist.
2. OKE-API/öffentliches Service-Subnetz: Enthält ein OCI Kubernetes Engine-(OKE-)Cluster, das alle drei Availability-Domains umfasst.
3. Private Knotensubnetze: OKE-Worker-Knoten führen Workloads aus und rufen Containerimages mit dem Oracle Services Network aus Oracle Cloud Infrastructure Container Registry (OCIR) ab.
4. Privates Podsubnetz: Pods führen Dify-Services aus und rufen die Oracle Autonomous AI Database zur Persistenz auf.
5. Privates Datenbanksubnetz: hostet die Oracle Autonomous AI Database als Anwendungsdatenspeicher.

Konnektivität und Verkehrsfluss werden durch Richtungspfeile dargestellt:

• Benutzer erreichen die Anwendung über den öffentlichen Load Balancer.
• Der Load Balancer leitet Anforderungen an Kubernetes-Services weiter, die in Pods auf den Worker-Knoten ausgeführt werden.
• Administratoren greifen über den Kubernetes-API-Endpunkt auf das Cluster zu.
• Worker-Knoten und -Pods rufen Containerimages über das Servicegateway aus OCI Container Registry ab.
• Private Subnetze verwenden NAT-Gateways für ausgehende Updates und Paketabruf, ohne private IP-Adressen verfügbar zu machen.
• Anwendungspods stellen eine private Verbindung zu Autonomous Database für Lese- und Schreibvorgänge her.

Sicherheit und Konnektivität:

• Nur die öffentliche Load bBalancer- und OKE-Control Plane werden öffentlich angezeigt. Knoten, Pods und die Datenbank bleiben in privaten Subnetzen.
• Private Service-Konnektivität und eingeschränkter Egress reduzieren die Exposition gegenüber dem öffentlichen Internet.
• Die Verwendung mehrerer Availability-Domains unterstützt High Availability und Resilienz.