Java- und Java-Anwendungsinstallationen überwachen und verwalten

Mit Java Management Service (JMS) können Sie Ihre Java- und Java-Anwendungsinstallationen in Ihren Umgebungen (Java- und Anwendungsinstallation auf Oracle Cloud Infrastructure (OCI), On Premise und Drittanbieter-Cloud) überwachen und verwalten. JMS bietet grundlegende Funktionen, wie das Anzeigen von Details der in der verwalteten Instanz installierten Java Runtime Environment (JRE), das Anzeigen von Java-Versionen, die von der Anwendung in der verwalteten Instanz verwendet werden, oder das Anzeigen von JRE in der verwalteten Instanz unterhalb der Sicherheits-Baseline. Wenn Sie ein Oracle Java SE-Abonnement besitzen, können Sie erweiterte JMS-Funktionen verwenden, wie z.B. die Verwaltung Ihrer Oracle Java-Installationen, die Ausführung des Java Development Kit-(JDK-)Flugrekorder, die Auswertung der Migration Ihrer Anwendungen in eine andere JRE und die Suche nach Java-Librarys, die von der ausgeführten Anwendung verwendet werden.

Bevor Sie beginnen

Bei dieser Referenzarchitektur wird davon ausgegangen, dass Sie das Onboarding für OCI erfolgreich durchgeführt haben.

JMS ist ein nativer OCI-Service, den Sie in kommerziellen und eingeschränkten Bereichen bereitstellen können. Der Zugriff erfolgt über die API (OCI Software Development Kit (SDK) für JMS) oder die JMS-Konsole.

Sie erstellen JMS-Flotten in einem Compartment Ihres Mandanten. Sie können über mehrere JMS-Flotten und -Ressourcen in einem oder mehreren Regionen verfügen. Mit Flotten können Sie den Zugriff auf die zugeordnete Ressource steuern und sie Abteilungen in Ihrem Unternehmen zuweisen. Mit diesem Ansatz kann jede Abteilung im Kundenunternehmen ihre eigene Flotte und Ressourcen kontrollieren.

Führen Sie die folgenden Schritte aus, um das JMS-Onboarding abzuschließen:

  1. Richten Sie Oracle Cloud Infrastructure für JMS ein (verwalten Sie Policys manuell oder verwenden Sie einen Assistenten).
  2. Erstellt eine JMS-Flotte.
  3. Stellen Sie einen Agent bereit, oder konfigurieren Sie den Agent, und aktivieren Sie das JMS-Plug-in.
  4. Überwachen Sie die Java-Installationen und -Anwendungen in der verwalteten Instanz.
  5. Führen Sie bei Bedarf erweiterte Featurevorgänge aus.

Weitere Informationen finden Sie unter Java Management-Service in der OCI-Dokumentation.

Architektur

Diese Architektur zeigt, wie Sie mit JMS Einblicke in Java-Installationen und Java-Anwendungen sammeln können, die in Ihren verwalteten Instanzumgebungen ausgeführt werden. JMS verwendet Agents, um das JDK/JRE in Ihrer Umgebung zu überwachen. Sie können die Verantwortung für die Installation, Konfiguration und Aktivierung dieser JMS-Agents übernehmen.

JMS-Agent wird auf den verwalteten Instanzen installiert, um Telemetrie zur Java-Nutzung und Metadaten zur Java-Nutzung zu erfassen. Die Telemetriedaten werden zum Schutz der Privatsphäre an Ihren Mandanten ausgegeben und dort gespeichert.

Die Java-Nutzungsmetadaten werden von dem in Ihren Mandanten installierten Agent aus Ihrem Mandanten exfiltriert. JMS verwendet diese Metadaten, um Insights wie Java-Version, Sicherheits-Baseline und bevorstehende Java-Updates und Anwendungsnutzung zu generieren. Diese werden bei der Anmeldung bei der OCI-Konsole angezeigt. Über die Verarbeitung der exfiltrierten Metadaten hinaus gibt es keinen Oracle-Zugriff.

Mit den erweiterten Features in JMS können Sie die Nutzung von Java-Anwendungsservern analysieren, potenzielle Sicherheitslücken in den Java-Librarys identifizieren, die von Anwendungen verwendet werden, die in Ihrer Umgebung ausgeführt werden, den Java Flight Recorder für Performance- und Kryptoanalysen verwenden und Oracle Java Runtimes (JDK-Versionen) in Ihrer Umgebung verwalten. Mit dem erweiterten Feature können Sie Java verwalten, das in Ihrer Umgebung ausgeführt wird.

Das folgende Diagramm veranschaulicht die Topologie des JMS-Service in der Produktion. Das Diagramm zeigt Agents, die zur Verfolgung von Java bereitgestellt werden, das auf OCI ausgeführt wird, Ihre On-Premises-Desktops, Laptops und Server sowie Cloud-Services von Drittanbietern. Diese Agents werden in Ihren verwalteten Instanzen bereitgestellt und mit Ihren erstellten Ressourcen (Flotten) in Ihren Mandanten verknüpft.

Das folgende Diagramm veranschaulicht diese Referenzarchitektur.

Beschreibung von jms-oci-topology.png folgt
Beschreibung der Abbildung jms-oci-topology.png

jms-oci-topology-oracle.zip

Im Folgenden wird allgemein dargestellt, wie Daten zwischen dem auf der verwalteten Instanz installierten JMS-Agent und dem JMS-Service auf OCI fließen:

  • Sie installieren den Agent auf der verwalteten Instanz, und der Agent registriert sich bei OCI.
  • Sie konfigurieren oder aktivieren das JMS-Plug-in (Übergabe der JMS-Flotte als Parameter). Der JMS-Agent ist jetzt mit der gewünschten JMS-Flotte verknüpft.
  • Der registrierte JMS-Agent fragt JMS nach der Arbeit ab. JMS beantwortet die Abfrage gegebenenfalls mit geeigneten Arbeitsanforderungen.
  • Der JMS-Agent scannt die verwaltete Instanz regelmäßig auf Java-Installationen oder -Einträge im Nutzungstracker und sendet die Java-Metriken und Java-Metadaten an OCI.

Der Datenfluss zwischen dem JMS-Agent und dem OCI-Service wird in der folgenden Abbildung dargestellt.

Beschreibung von jms-oci-workflow.png folgt
Beschreibung der Abbildung jms-oci-workflow.png

jms-oci-workflow-oracle.zip

Der Datenfluss zwischen dem JMS-Agent und dem OCI-Service ist wie folgt:
  1. Benutzer: Installiert den Agent auf dem JMS-Agent, und eine Anforderung wird an den JMS-Agent (Anforderung) gesendet.
  2. JMS-Agent: Sendet eine Registrierungsanforderung an OCI Services (Anforderung).
  3. OCI-Services: Validiert den Schlüssel und gibt Metadaten und Authentifizierungstoken zurück und sendet eine Antwort an den JMS-Agent (Antwort).
  4. JMS-Agent: Agent wird gestartet und sendet eine Antwort an den Benutzer (Antwort).
  5. JMS-Agent: Installiert angeforderte Plug-ins in OCI Services (Anforderung).
  6. JMS-Agent: fragt OCI-Services als Arbeitsanforderung ab (Anforderung).
  7. OCI-Services: Sendet eine Arbeitsanforderung (Antwort).
  8. JMS-Agent: Agent ruft Plug-in-Bundle ab und installiert (Anforderung).
  9. JMS-Agent: Fragt regelmäßig ab und sendet Bestand an OCI Services im Kundenmandanten (Anforderung).

Im folgenden Netzwerkdiagramm werden die Verkehrswerte zwischen dem auf Ihren Hostrechnern (On-Premise) installierten JMS-Agent und JMS beschrieben, die in OCI ausgeführt werden. Ein ähnliches Trafficmuster tritt zwischen Ihren Hostrechnern in OCI und JMS auf.

Beschreibung von jms-oci-network-traffic.png folgt
Beschreibung der Abbildung jms-oci-network-traffic.png

jms-oci-network-traffic-oracle.zip

  • Der JMS-Agent initiiert die Anforderung immer, indem er sich mit OCI authentifiziert, indem er einen offenen Port verwendet, der von der Firewall zulässig ist (443).
  • Der Management-Agent und der JMS-Service von OCI übertragen keine Daten an den Agent.
  • Der JMS-Agent fragt den Service nach Arbeitsanforderungen ab.
    • Polling-Intervall für JMS-Agent-Arbeitsanforderungen kann bis zu 30 Sekunden betragen.
    • Das JMS-Agent-Polling-Intervall ist konfigurierbar, das maximale Polling-Intervall beträgt 10 Minuten.
  • Die übertragenen Daten werden mit TLS verschlüsselt.
  • Die OCI-Services senden die Daten dann als Antwort auf diese Anforderung zurück, nachdem die Verbindung hergestellt wurde.

Die Architektur umfasst die folgenden Komponenten:

  • Region

    Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Center enthält, das als Availability-Domain bezeichnet wird. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können sie trennen (über Länder oder sogar Kontinente).

  • Availability-Domains

    Availability-Domains sind eigenständige, unabhängige Data Center innerhalb einer Region. Die physischen Ressourcen in jeder Availability-Domain sind von den Ressourcen in den anderen Availability-Domains isoliert, was eine Fehlertoleranz sicherstellt. Availability-Domains haben keine gemeinsame Infrastruktur wie Stromversorgung oder Kühlung oder das interne Availability-Domainnetzwerk. Daher sollte ein Fehler in einer Availability-Domain sich nicht auf die anderen Availability-Domains in der Region auswirken.

  • Compartment

    Compartments sind regionsübergreifende logische Partitionen innerhalb eines Oracle Cloud Infrastructure-Mandanten. Mit Compartments können Sie Nutzungs-Quotas für Ihre Oracle Cloud-Ressourcen organisieren, den Zugriff kontrollieren und festlegen. In einem bestimmten Compartment definieren Sie Policys, die den Zugriff kontrollieren und Berechtigungen für Ressourcen festlegen.

  • Dynamisches Routinggateway (DRG)

    Das DRG ist ein virtueller Router, der einen Pfad für privaten Netzwerktraffic zwischen VCNs in derselben Region zwischen einem VCN und einem Netzwerk außerhalb der Region bereitstellt, z.B. ein VCN in einer anderen Oracle Cloud Infrastructure-Region, ein On-Premise-Netzwerk oder ein Netzwerk in einem anderen Cloud-Provider.

  • Instanzpool

    Ein Instanzpool besteht aus einer Gruppe von Instanzen innerhalb einer Region, die mit derselben Instanzkonfiguration erstellt und als Gruppe verwaltet werden.

  • On-Premise-Netzwerk

    Dieses Netzwerk ist das lokale Netzwerk, das von Ihrer Organisation verwendet wird. Es ist einer der Speichen der Topologie.

  • Sicherheitsliste

    Für jedes Subnetz können Sie Sicherheitsregeln erstellen, die Quelle, Ziel und Typ des Traffics angeben, der im Subnetz und aus dem Subnetz zugelassen werden muss.

  • Sicherheitszone

    Sicherheitszonen stellen die Best Practices für die Sicherheit von Oracle von Anfang an sicher, indem sie Policys wie die Verschlüsselung von Daten durchsetzen und den öffentlichen Zugriff auf Netzwerke für ein gesamtes Compartment verhindern. Eine Sicherheitszone ist mit einem Compartment mit demselben Namen verknüpft und umfasst Sicherheitszonen-Policys oder ein "Rezept", das für das Compartment und die zugehörigen Sub-Compartments gilt. Sie können kein Standard Compartment in ein Sicherheitszonen-Compartment hinzufügen oder verschieben.

  • Dynamisches Routinggateway (DRG)

    Das DRG ist ein virtueller Router, der einen Pfad für privaten Netzwerktraffic zwischen VCNs in derselben Region zwischen einem VCN und einem Netzwerk außerhalb der Region bereitstellt, z.B. ein VCN in einer anderen Oracle Cloud Infrastructure-Region, ein On-Premise-Netzwerk oder ein Netzwerk in einem anderen Cloud-Provider.

  • Servicegateway

    Das Servicegateway bietet Zugriff von einem VCN auf andere Services, wie Oracle Cloud Infrastructure Object Storage. Der Traffic vom VCN zum Oracle-Service wird über die Oracle-Netzwerkstruktur geleitet und durchläuft nicht das Internet.

  • Tenancy

    Ein Mandant ist eine sichere und isolierte Partition, die Oracle in Oracle Cloud einrichtet, wenn Sie sich für Oracle Cloud Infrastructure registrieren. Sie können Ihre Ressourcen in Oracle Cloud in Ihrem Mandanten erstellen, organisieren und verwalten. Ein Mandant ist ein Synonym für ein Unternehmen oder eine Organisation. In der Regel verfügt ein Unternehmen über einen einzigen Mandanten und spiegelt seine Organisationsstruktur innerhalb dieses Mandanten wider. Ein einzelner Mandant ist in der Regel mit einem einzelnen Abonnement verknüpft, und ein einzelnes Abonnement hat in der Regel nur einen Mandanten.

  • Logging
    Logging ist ein hoch skalierbarer und vollständig verwalteter Service, der Zugriff auf die folgenden Logtypen von Ihren Ressourcen in der Cloud ermöglicht:
    • Auditlogs: Logs zu Ereignissen, die vom Audit-Service ausgegeben werden.
    • Servicelogs:: Logs, die von einzelnen Services wie API Gateway, Events, Functions, Load Balancing, Object Storage und VCN-Flowlogs ausgegeben werden.
    • Benutzerdefinierte Logs: Logs, die Diagnoseinformationen von benutzerdefinierten Anwendungen, andere Cloud-Provider oder eine On-Premise-Umgebung enthalten.
  • Monitoring

    Der Oracle Cloud Infrastructure Monitoring-Service überwacht Ihre Cloud-Ressourcen aktiv und passiv mit Metriken, um Ressourcen und Alarme zu überwachen und Sie zu benachrichtigen, wenn diese Metriken alarmspezifische Trigger erfüllen.

  • Policy

    Eine Oracle Cloud Infrastructure Identity and Access Management-Policy gibt an, wer auf welche Ressourcen zugreifen kann und wie. Der Zugriff wird auf Gruppen- und Compartment-Ebene erteilt. Sie können also eine Policy schreiben, die einer Gruppe einen bestimmten Zugriffstyp in einem bestimmten Compartment oder dem Mandanten erteilt.

  • Oracle Cloud Infrastructure Vault

    Mit Oracle Cloud Infrastructure Vault können Sie die Verschlüsselungsschlüssel, die Ihre Daten schützen, und die Secret-Zugangsdaten, mit denen Sie den Zugriff auf Ihre Ressourcen in der Cloud sichern, zentral verwalten. Mit dem Vault-Service können Sie Vaults, Schlüssel und Secrets erstellen und verwalten.

    OCI Vault bietet auch eine Vielzahl von Rest-APIs zur Verwaltung von Vaults und Schlüsseln.

  • Workflow

    Der Oracle Cloud Infrastructure Workflow-Service ist eine serverlose Workflow-Engine mit einem grafischen Ablaufdesigner für Entwickler und Architekten. Es beschleunigt die Erstellung und Ausführung der Orchestrierung von OCI-Services wie OCI Functions, KI/ML, um Unternehmenslogik, IT-Aufgaben und Datenjobs auszuführen.

  • Virtuelles Cloud-Netzwerk (VCN) und Subnetze

    Ein VCN ist ein anpassbares, softwaredefiniertes Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region einrichten können. Wie herkömmliche Data Center-Netzwerke erhalten Sie mit VCNs die Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die sich auf eine Region oder eine Availability-Domain beschränken. Jedes Subnetz besteht aus einem Bereich zusammenhängender Adressen, die sich nicht mit anderen Subnetzen im VCN überschneiden. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.

  • API-Gateway

    Mit Oracle Cloud Infrastructure API Gateway können Sie APIs mit privaten Endpunkten veröffentlichen, auf die Sie über Ihr Netzwerk zugreifen können, und die Sie bei Bedarf im öffentlichen Internet verfügbar machen können. Die Endpunkte unterstützen API-Validierung, Anforderungs- und Antworttransformation, CORS, Authentifizierung und Autorisierung sowie Anforderungsbegrenzung.

  • Autonomous Database

    Oracle Autonomous Database ist eine vollständig verwaltete, vorkonfigurierte Datenbankumgebung, die Sie für Transaktionsverarbeitungs- und Data Warehousing-Workloads verwenden können. Sie müssen keine Hardware konfigurieren oder verwalten oder Software installieren. Mit Oracle Cloud Infrastructure können Sie die Datenbank erstellen, sichern, patchen, aktualisieren und optimieren.

  • Bastionhost

    Der Bastionhost ist eine Compute-Instanz, die als sicherer, kontrollierter Einstiegspunkt in die Topologie von außerhalb der Cloud dient. Der Bastionhost wird in der Regel in einer entmilitarisierten Zone (DMZ) bereitgestellt. Sie können damit sensible Ressourcen schützen, indem Sie sie in privaten Netzwerken platzieren, auf die nicht direkt von außerhalb der Cloud zugegriffen werden kann. Die Topologie verfügt über einen einzigen, bekannten Einstiegspunkt, den Sie regelmäßig überwachen und auditieren können. Sie können also vermeiden, die empfindlicheren Komponenten der Topologie freizugeben, ohne den Zugriff auf sie zu beeinträchtigen.

  • Compute

    Mit Oracle Cloud Infrastructure Compute können Sie Compute-Hosts in der Cloud bereitstellen und verwalten. Sie können Compute-Instanzen mit Ausprägungen starten, die Ihre Ressourcenanforderungen für CPU, Speicher, Netzwerkbandbreite und Speicher erfüllen. Nach dem Erstellen einer Compute-Instanz können Sie sicher darauf zugreifen, die Compute-Instanz neu starten, Volumes zuordnen und trennen und die Compute-Instanz beenden, wenn Sie sie nicht mehr benötigen.

  • DNS

    Der Oracle Cloud Infrastructure Domain Name System-(DNS-)Service ist ein hoch skalierbares, globales Anycast-Domain-Namen-System-(DNS-)Netzwerk, das verbesserte DNS-Performance, Resilienz und Skalierbarkeit bietet, sodass Endbenutzer schnell und von überall aus eine Verbindung zu Internetanwendungen herstellen können.

  • Kafka-Streams

    Kafka Streams ist eine Clientbibliothek zum Erstellen von Anwendungen und Microservices, in der die Eingabe- und Ausgabedaten in Kafka-Clustern gespeichert werden. Es kombiniert die Einfachheit des Schreibens und Bereitstellens von standardmäßigen Java- und Scala-Anwendungen auf Clientseite mit den Vorteilen der serverseitigen Clustertechnologie von Kafka.

  • Objektspeicher

    Mit Oracle Cloud Infrastructure Object Storage können Sie schnell auf große Mengen an strukturierten und unstrukturierten Daten eines beliebigen Inhaltstyps zugreifen, darunter Datenbankbackups, Analysedaten und umfangreiche Inhalte, wie Bilder und Videos. Sie können Daten sicher und geschützt speichern und dann direkt aus dem Internet oder aus der Cloud-Plattform abrufen. Sie können den Speicher skalieren, ohne dass die Performance oder Servicezuverlässigkeit beeinträchtigt wird. Verwenden Sie Standardspeicher für "guten" Speicher, auf den Sie schnell, sofort und häufig zugreifen müssen. Verwenden Sie Archivspeicher für "Cold Storage", den Sie über lange Zeiträume beibehalten und auf den Sie nur selten zugreifen.

  • Oracle Management Agent

    Oracle Management Agent ist ein Service, der interaktive Kommunikation und Datenerfassung zwischen Oracle Cloud Infrastructure und verwalteten On-Premise-Instanzen mit geringer Latenz bereitstellt. Management-Agents erfassen Daten aus Quellen, die Sie überwachen möchten. Management Agent Service, ein Oracle Cloud Service, verwaltet den Lebenszyklus des Management Agent und die Plug-ins für die Services.

  • Oracle Cloud Agent

    Oracle Cloud Agent ist ein einfacher Prozess, der den Lebenszyklus von Plug-ins verwaltet, die auf Compute-Instanzen auf OCI ausgeführt werden. Die JMS-Plug-ins erfassen Java-Metadaten aus Ihrer Umgebung, die auf der verwalteten Instanz in OCI bereitgestellt ist. Das JMS-Plug-in überträgt diese Java-Metadaten an den JMS-Service in OCI.

  • Kiew als Dienstleistung (KaaS)

    KaaS ist ein vollständig verwalteter Datenplattformservice, der hauptsächlich von Control-Plane-Services auf OCI verwendet wird. KaaS bietet NoSQL-APIs auf hoher Ebene für einfache Integration, serialisierbare Scans, Change Feed-Streaming und andere Features. KaaS ist ein Service, der auf Kiew aufgebaut ist. Kiew ist ein "NoSQL Key-Value Store", der auch Minitransaktionen unterstützt. Um Bugs beim gleichzeitigen Zugriff in Anwendungen zu verhindern, verfügen die Minitransaktionen in Kiew über eine starke Isolation, die stärkere Garantien bietet als die schwächeren Isolationsebenen, die üblicherweise in Oracle und MySQL verwendet werden. Kiew hat ein Verfügbarkeits-SLA von 99,9%.

Empfehlungen

Verwenden Sie die folgenden Empfehlungen als Ausgangspunkt. Ihre Anforderungen können von der hier beschriebenen Architektur abweichen.
  • VCN

    Wenn Sie ein VCN erstellen, bestimmen Sie die Anzahl der erforderlichen CIDR-Blöcke und die Größe jedes Blocks basierend auf der Anzahl der Ressourcen, die Sie an Subnetze im VCN anhängen möchten. Verwenden Sie CIDR-Blöcke, die sich innerhalb des privaten IP-Standardadressraums befinden.

    Wählen Sie CIDR-Blöcke aus, die sich nicht mit einem anderen Netzwerk (in Oracle Cloud Infrastructure, Ihrem On-Premise-Data Center oder einem anderen Cloud-Provider) überschneiden, zu dem Sie private Verbindungen einrichten möchten.

    Nachdem Sie ein VCN erstellt haben, können Sie die CIDR-Blöcke ändern, hinzufügen und entfernen.

    Berücksichtigen Sie beim Entwerfen der Subnetze Ihren Trafficfluss und Ihre Sicherheitsanforderungen. Hängen Sie alle Ressourcen innerhalb einer bestimmten Ebene oder Rolle an dasselbe Subnetz an, das als Sicherheitsgrenze dienen kann.

    Verwenden Sie regionale Subnetze.

  • Sicherheit

    Mit Oracle Cloud Guard können Sie die Sicherheit Ihrer Ressourcen in Oracle Cloud Infrastructure proaktiv überwachen und verwalten. Verwenden Sie Sicherheitszonen für maximale Sicherheit.

  • Cloud Guard

    Klonen und passen Sie die von Oracle bereitgestellten Standardrezepte an, um benutzerdefinierte Detektorrezepte und Responder-Rezepte zu erstellen. Mit diesen Rezepten können Sie angeben, welche Art von Sicherheitsverletzungen eine Warnung generieren und welche Aktionen für sie ausgeführt werden dürfen. Beispiel: Sie möchten Objektspeicher-Buckets ermitteln, deren Sichtbarkeit auf "Öffentlich" gesetzt ist.

    Wenden Sie Cloud Guard auf Mandantenebene an, um den breitesten Geltungsbereich abzudecken und den Verwaltungsaufwand für die Verwaltung mehrerer Konfigurationen zu reduzieren.

    Sie können auch das Feature "Verwaltete Liste" verwenden, um bestimmte Konfigurationen auf Detektoren anzuwenden.

  • Sicherheitszonen

    Für Ressourcen, die maximale Sicherheit erfordern, empfiehlt Oracle die Verwendung von Sicherheitszonen. Eine Sicherheitszone ist ein Compartment, das mit einem von Oracle definierten Rezept von Sicherheits-Policys verknüpft ist, die auf Best Practices basieren. Beispiel: Die Ressourcen in einer Sicherheitszone dürfen nicht über das öffentliche Internet zugänglich sein und müssen mit vom Kunden verwalteten Schlüsseln verschlüsselt werden. Wenn Sie Ressourcen in einer Sicherheitszone erstellen und aktualisieren, validiert Oracle Cloud Infrastructure die Vorgänge anhand der Policys im Rezept der Sicherheitszone und lehnt Vorgänge ab, die gegen eine der Policys verstoßen.

  • Netzwerksicherheitsgruppen (NSGs)

    Mit NSGs können Sie eine Gruppe von Ingress- und Egress-Regeln definieren, die für bestimmte VNICs gelten. Wir empfehlen die Verwendung von NSGs und nicht von Sicherheitslisten, da NSGs es Ihnen ermöglichen, die Subnetzarchitektur des VCN von den Sicherheitsanforderungen Ihrer Anwendung zu trennen.

  • Load-Balancer-Bandbreite

    Beim Erstellen des Load Balancers können Sie entweder eine vordefinierte Ausprägung auswählen, die eine feste Bandbreite bereitstellt, oder eine benutzerdefinierte (flexible) Ausprägung angeben, in der Sie einen Bandbreitenbereich festlegen und den Service die Bandbreite automatisch basierend auf Trafficmustern skalieren lassen. Bei beiden Verfahren können Sie die Ausprägung nach dem Erstellen des Load Balancers jederzeit ändern.

Hinweise

Beachten Sie beim Deployment dieser Referenzarchitektur die folgenden Punkte:

  • Performance
    Beachten Sie die folgenden Punkte bei der Implementierung der Referenzarchitektur, um Java-Installationen und Java-Anwendungen in verwalteten Instanzen zu erkennen und zu verwalten, die sich On Premise befinden.
    • JMS verwendet Agent, um die Java-Metadaten zu exfiltrieren (Netzwerktraffic und sorgfältige Firewallkonfiguration sind zu berücksichtigen).
    • Der Agent benötigt die neueste JRE 8-Version für die Ausführung auf der verwalteten Instanz.
    • Der Agent benötigt 512 MB Heap-Speicher, der auf der verwalteten Instanz frei ist.
    • Der Agent konkurriert mit der Anwendung um CPU auf der verwalteten Instanz.

    Die exfiltrierten Metadaten sind in Ihrem Logobjekt verfügbar. JMS verarbeitet die Metadaten, um Insights zu generieren. Diese Erkenntnisse und Metriken werden in der serviceorientierten Oracle Autonomous Transaction Processing-Datenbank gespeichert. Mit der API können Sie den Service nach historischen Einblicken in Java abfragen, das in Ihrer Umgebung bereitgestellt ist. JMS ist kein Echtzeitsystem. Durch das Laden des Service durch zahlreiche andere Kundenanfragen kann es zu Latenzzeiten kommen, die aktuelle und historische Einblicke liefern.

  • Sicherheit

    Mit Policys können Sie einschränken, wer auf die Oracle Cloud Infrastructure-(OCI-)Ressourcen in Ihrem Unternehmen zugreifen kann und wie sie darauf zugreifen können. Die Java-Metadaten werden aus Ihrer Umgebung in ein Logobjekt exfiltriert, dessen Eigentümer Ihr Unternehmen ist. JMS verarbeitet diese Metadaten und die Insights werden Ihnen präsentiert. Die Insights werden in der Oracle Autonomous Transaction Processing-Datenbank gespeichert. Von Ihnen generierte Berichte werden in OCI Object Storage gespeichert.

    Die Verschlüsselung ist standardmäßig für OCI Object Storage aktiviert und kann nicht deaktiviert werden.

  • Verfügbarkeit

    JMS wurde als Service der Kategorie 10 mit dem veröffentlichten Service-Level-Ziel 3'9s (99.9) angegeben.

  • Kostenfaktor

    JMS ist ein kostenloser Service. Die grundlegenden Features für die Überwachung und Abfrage von Erkenntnissen zu Java in Ihrer Umgebung stehen allen zur Verfügung. Die erweiterten Features, die das Management von Java in Ihrer Umgebung umfassen, sind nur für Java SE-Abonnenten verfügbar, die On-Premise-verwaltete Instanzen ausführen. Die Vollfunktionsversion von JMS steht Ihnen auch zur Verfügung, wenn Sie die gesamte Workload auf OCI ausführen.

    Wenn Sie über On-Premise-verwaltete Instanzen verfügen und minimale Java-Workloads verwenden, ist es möglicherweise akzeptabel, JMS innerhalb der Grenzen der kostenlosen OCI-Tier zu arbeiten (um die minimalen monatlichen Kosten für Compute-, Speicher- und Netzwerk-Egress-Kosten zu vermeiden).

Danksagungen

  • Autoren: Atiq Ahamad
  • Mitwirkende: Amit Naik, Teck Kian Choo, Laura Hartman, Cindy Church