1. Sichere Webanwendungen, die auf Oracle Cloud VMware Solution gehostet werden, mit OCI-Zertifikaten
  2. Sichere Webanwendungen, die mit OCI-Zertifikaten auf Oracle Cloud VMware Solution gehostet werden

Sichere Webanwendungen, die auf Oracle Cloud VMware Solution mit OCI-Zertifikaten gehostet werden

Veröffentlichen Sie Ihre kritischen Anwendungen sicher, indem Sie Oracle Cloud VMware Solution mit Oracle Cloud Infrastructure Certificates und Oracle Cloud Infrastructure Load Balancing (LBaaS) integrieren.

In der sich ständig weiterentwickelnden Landschaft des Cloud Computing haben sich zwei wichtige Komponenten als wesentliche Säulen für die Optimierung der Performance, Sicherheit und Skalierbarkeit von Webanwendungen herausgestellt: Load Balancer und SSL/TLS-Zertifikate. Diese Elemente spielen eine entscheidende Rolle bei der Gewährleistung eines nahtlosen Betriebs, der Datenintegrität und des Vertrauens der Benutzer innerhalb der Cloud-Umgebung.

Load Balancer verteilen eingehenden Netzwerktraffic auf mehrere Server oder Instanzen, um zu verhindern, dass ein einzelner Server überlastet wird. Dadurch wird eine optimale Auslastung und Reaktionsfähigkeit sichergestellt.

Bei Datennetzwerken ist die Gewährleistung ihrer Vertraulichkeit und Integrität von entscheidender Bedeutung. Hier kommen SSL/TLS-Zertifikate ins Spiel. Mit diesen digitalen Zertifikaten wird ein verschlüsselter Kommunikationskanal ausgehandelt, der vor Lauschangriffen, Manipulation oder unbefugtem Zugriff geschützt wird.

Die Verbindung von Load Balancern und SSL/TLS-Zertifikaten innerhalb der Cloud-Infrastruktur ist eine leistungsstarke Kombination. Load Balancer stellen sicher, dass der Datenverkehr effizient verteilt wird, optimieren die Performance und verhindern Überlastungen, während SSL-/TLS-Zertifikate Datenübertragungen sichern, Vertraulichkeit und Integrität wahren. Diese Synergie verbessert nicht nur die Endbenutzererfahrung, sondern trägt auch wesentlich zum allgemeinen Sicherheitsstatus von Webservern bei, die in Oracle Cloud VMware Solution gehostet werden.

Oracle Cloud VMware Solution bietet eine vom Kunden verwaltete, native VMware-basierte Cloud-Umgebung, die im Mandanten eines Kunden installiert wird, und vollständige Kontrolle mit vertrauten VMware-Tools.

Oracle Cloud Infrastructure (OCI) ist ein Infrastructure-as-a-Service der nächsten Generation (IaaS), das auf Security-First-Designprinzipien aufgebaut ist. Zu diesen Grundsätzen gehören die isolierte Netzwerkvirtualisierung und die ursprüngliche Bereitstellung physischer Hosts, die zuvor mit früheren Public Cloud-Designs schwierig zu erreichen waren. Mit diesen Designprinzipien trägt OCI dazu bei, Risiken durch erweiterte persistente Bedrohungen zu reduzieren.

Diese Referenzarchitektur beschreibt die Integrationsoptionen für Oracle Cloud VMware Solution mit OCI-Zertifikaten und Oracle Cloud Infrastructure Load Balancing (LBaaS), mit denen Kunden ihre kritischen Anwendungen sicher veröffentlichen können. LBaaS kann jedoch auch ohne Zertifikatsservice verwendet werden.

Architektur

Diese logische Referenzarchitektur konzentriert sich auf die Verwendung von OCI-Zertifikaten vor den Webservern, die in den Oracle Cloud VMware Solution-Workloads ausgeführt werden.

Die Zertifikate werden mit nativen OCI-Zertifikaten generiert und vom OCI Layer 7-Load Balancer für SSL-Offloading genutzt. Die Webserver werden im Oracle Cloud VMware Solution-SDDC in Form von virtuellen Maschinen (VMs) ausgeführt.

Dieses logische Diagramm stellt den gesamten Trafficfluss dar, der das SSL-Offloading am OCI Layer 7-Load Balancer darstellt und von den von den OCI-Zertifikaten ausgestellten Zertifikaten als vertrauenswürdig eingestuft wird.


Beschreibung von ocvs-traffic-flow-diagram.png folgt
Beschreibung der Abbildung ocvs-traffic-flow-diagram.png

ocvs-Verkehrsflussdiagramm-oracle.zip

Das nächste Diagramm veranschaulicht die beiden Arten von Netzwerkkonnektivitätsoptionen vom OCI-Load Balancer bis zu den Webservern, die im Oracle Cloud VMware Solution-SDDC gehostet werden. Außerdem wird die Ausgabe der SSL-Zertifikate von der in OCI ausgeführten Certificate Authority (CA) für sicheren Zugriff auf die Webserver durch Integration in den OCI Load Balancer dargestellt.

Hinweis:

Die von OCI-Zertifikaten ausgestellten Zertifikate können nur im OCI-Load Balancer verwendet werden, und die Funktionalität kann nicht auf die Webserver für End-to-End-SSL erweitert werden.

Wenn Sie Ihre in Oracle Cloud VMware Solution gehosteten Webserver mit dem virtuellen Cloud-Netzwerk verbinden möchten, stehen Ihnen zwei Konnektivitätsoptionen zur Verfügung:

  • NSX-Segmente
  • Von Virtual Local Area Network (VLAN) unterstützte Portgruppen

NSX-Segmente nutzen Software Defined Networking (SDN), um isolierte und logisch segmentierte Netzwerke zu erstellen. Dieser Ansatz bietet mehrere Vorteile:

  • Mikrosegmentierung: NSX-Segmente ermöglichen die Mikrosegmentierung und ermöglichen die Isolierung und Sicherheit einzelner Workloads.
  • Dynamische Skalierung: NSX-Segmente sind hoch skalierbar und können bei Bedarf bereitgestellt werden, um Änderungen im Netzwerkverkehr und den Workload-Anforderungen gerecht zu werden.
  • Logische Gruppierung: VMs können basierend auf Anwendungsebenen oder Sicherheitsanforderungen gruppiert werden. Policys können auf Segmentebene angewendet werden, um eine konsistente Durchsetzung im gesamten Netzwerk sicherzustellen.
  • Verbesserte Verwaltung: NSX bietet eine zentralisierte Verwaltung für Netzwerkkonfiguration, Sicherheitsrichtlinien und Verkehrswerte.

Im Gegensatz zur Dynamik der NSX-Segmente nutzen VLAN-gestützte Portgruppen traditionelle VLAN-Technologie, um VMs innerhalb einer virtualisierten Umgebung zu isolieren. Hier sind einige wesentliche Merkmale dieses Ansatzes:

  • Einfachheit und Vertrautheit: Für Unternehmen, die bereits mit VLANs vertraut sind, kann die Verwendung von VLAN-unterstützten Portgruppen einfach und vertraut sein und erfordert nur minimale zusätzliche Schulungen.
  • Ressourcenfreigabe: Während VLANs den Netzwerkverkehr isolieren können, bieten sie möglicherweise nicht die gleiche Granularität wie NSX-Segmente, wenn es um Policy Enforcement und Mikrosegmentierung geht.

Die richtige Vorgehensweise wählen

Die Entscheidung, NSX-Segmente oder VLAN-gestützte Portgruppen zu verwenden, hängt von verschiedenen Faktoren ab, darunter den spezifischen Anforderungen eines Unternehmens, der vorhandenen Infrastruktur und den Sicherheitsanforderungen.

NSX-Segmente und VLAN-gestützte Portgruppen bieten jeweils deutliche Vorteile bei der Verwaltung virtueller Maschinen innerhalb einer virtualisierten Umgebung. NSX-Segmente zeichnen sich durch ihre Fähigkeit aus, Mikrosegmentierung, dynamische Skalierung und zentralisierte Verwaltung bereitzustellen, während VLAN-gestützte Portgruppen Einfachheit und Vertrautheit für diejenigen bieten, die bereits an herkömmliche VMware-Netzwerke gewöhnt sind.

In den folgenden Abschnitten werden LBaaS-Konnektivitätsaspekte zu Webservern angezeigt, die in NSX-Segmenten und VLAN-unterstützten Portgruppen bereitgestellt sind.

Webserver, die mit dem NSX-Overlay-Segment verbunden sind

Verbinden Sie Aspekte des OCI Load Balancers mit Webservern, die mit dem NSX-Overlay-Segment im OCVS verbunden sind, und stellen Sie mit OCI-Zertifikaten die Zertifikate für die sichere Veröffentlichung der Webserver aus, die im OCVS ausgeführt werden.

Das Hauptziel dieser Referenzarchitektur ist die Präsentation des folgenden Ziels.

  • Konnektivitätsaspekt des OCI-Load Balancers mit Webservern, die mit dem NSX-Overlay-Segment im Oracle Cloud VMware Solution-SDDC verbunden sind.
  • Mit Certificate Manager können Sie die Zertifikate für die sichere Veröffentlichung der Webserver ausstellen, die im Oracle Cloud VMware Solution-SDDC ausgeführt werden.

Die Architektur für die Webserver, die mit dem NSX-Overlay-Netzwerksegment verbunden sind, wird unten dargestellt.


Beschreibung von web-server-nsx-diagram.png folgt
Beschreibung der Abbildung web-server-nsx-diagram.png

Web-Server-nsx-Diagramm-oracle.zip

Architekturkomponenten

Die Architektur umfasst die folgenden Komponenten.

  • Oracle Cloud VMware Solution: Die Umgebung im Kundenmandanten, in dem die Webserver gehostet werden.
    • NSX-Überlagerungssegment: Das NSX-Überlagerungssegment bietet Netzwerkkonnektivität zu den Webservern.
    • Tier 0-Router: Ein logischer Router, der Gateway-Services zwischen dem logischen und physischen Netzwerk (Nord-Süd) bereitstellt.
    • Tier 1-Router: Die NSX-Overlay-Segmente sind mit dem Tier 1-Router verbunden und steuern den Ost-West-Verkehr.
    • NSX Edge-Uplink 1-VLAN: Dieses VLAN ist eine Schnittstelle zwischen dem OCI-Unterlagennetzwerk und dem NSX-Overlay-Netzwerk, um die Kommunikation zwischen Overlay-(NSX-) und Underlay-(VCN-)Netzwerken zu überbrücken.
    • Webserver: Bei den Webservern handelt es sich um die VMs, die im Oracle Cloud VMware Solution-SDDC bereitgestellt werden.
  • OCI Load Balancer (LBaaS): OCI Layer 7 Load Balancer, der den Traffic zu den Webservern ausgleicht. Die von OCI bereitgestellte öffentliche IP oder Ihre IP kann mit dem Load Balancer verwendet werden.
    • Health Check: Backend-Webserver sind mit HTTP-Health Checks konfiguriert.
    • Listener: Der Listener ist mit HTTPS für SSL-Offloading konfiguriert.
  • OCI Certificate Manager-Service: Mit dem OCI Certificate Manager-Service können Sie sicheren SSL-/TLS-Zugriff auf Server, Webanwendungen usw. bereitstellen. Der Administrator kann private Certificate Authority-(CA-)Hierarchien und TLS-Zertifikate erstellen und verwalten, die in OCI Load Balancing integriert sind.
    • Certificate Authority (CA): Private Certificate Authoritys sind für die Ausstellung der Zertifikate konfiguriert.
    • Vault: Vaults bieten Ihre wachsende Daten- und Anwendungsverschlüsselung mit skalierbarem Schlüsselspeicher.
    • Schlüssel: RSA (asymmetrischer Schlüssel) mit HSM-Modus ist der einzige unterstützte Schlüssel für Zertifikate.

Mit dem VLAN-Netzwerk verbundene Webserver

Verbinden Sie den OCI Load Balancer mit Webservern, die mit der vSphere DvPortGroup verbunden sind, die vom VLAN-Netzwerk unterstützt werden, und stellen Sie mit OCI-Zertifikaten die Zertifikate für Secure Publishing-Webserver aus, die im OCVS-SDDC ausgeführt werden.

Das Hauptziel dieser Referenzarchitektur ist die Präsentation des folgenden Ziels.

  • Konnektivitätsaspekt des OCI Load Balancers mit Webservern, die mit der vSphere DvPortGroup verbunden sind und vom VLAN-Netzwerk unterstützt werden.
  • Mit OCI Certificate Manager können Sie die Zertifikate für die sichere Veröffentlichung der Webserver ausstellen, die im Oracle Cloud VMware Solution-SDDC ausgeführt werden.

Die Architektur für die Webserver, die mit dem VLAN-gestützten Netzwerk verbunden sind, wird unten dargestellt.


Beschreibung von web-server-vlan-diagram.png folgt
Beschreibung der Abbildung web-server-vlan-diagram.png

Web-Server-VLAN-Diagramm-oracle.zip

Architekturkomponenten

Die Architektur umfasst die folgenden Komponenten.

  • Oracle Cloud VMware Solution: Die Umgebung im Kundenmandanten, in dem die Webserver gehostet werden.
    • VLAN-Netzwerk: Ein dediziertes VLAN, das im Oracle Cloud VMware Solution-VCN für die Webserver erstellt wurde. Dieses Netzwerk wird als Underlay-Netzwerk betrachtet.
    • vSphere Distributed Switch (VDS): Ein virtueller Switch in der vCenter zur Bereitstellung virtueller Netzwerkfunktionen für die Oracle Cloud VMware Solution-Workloads.
    • Verteilte Portgruppe vSphere: Portkonfigurationsoptionen für jeden Member-Port. VLAN-gestütztes Netzwerk zur Darstellung der Unterlage für Oracle Cloud VMware Solution-Workloads.
    • Webserver: Webserver sind die VMs, die im Oracle Cloud VMware Solution-SDDC bereitgestellt werden.
  • OCI Load Balancer (LBaaS): OCI Layer 7 Load Balancer, der den Traffic zu den Webservern ausgleicht. Die von OCI bereitgestellte öffentliche IP oder Ihre IP kann mit dem Load Balancer verwendet werden.
    • Health Check: Backend-Webserver sind mit HTTP-Health Checks konfiguriert.
    • Listener: Der Listener ist mit HTTPS für SSL-Offloading konfiguriert.
  • OCI-Zertifikate: Mit OCI-Zertifikaten können Sie sicheren SSL-/TLS-Zugriff auf Server, Webanwendungen usw. bereitstellen. Der Administrator kann private Certificate Authority-(CA-)Hierarchien und TLS-Zertifikate erstellen und verwalten, die in OCI Load Balancing integriert sind.
    • Certificate Authority (CA): Private Certificate Authoritys, die für die Ausstellung der Zertifikate konfiguriert sind.
    • Vault: Vaults bieten Ihre wachsende Daten- und Anwendungsverschlüsselung mit skalierbarem Schlüsselspeicher.
    • Schlüssel: RSA (asymmetrischer Schlüssel) mit HSM-Modus ist der einzige unterstützte Schlüssel für Zertifikate.

Erforderliche Services

Diese Lösung erfordert die folgenden Services:

  • Oracle Cloud VMware Solution
  • OCI Load Balancing
  • OCI-Zertifikate

Diese Rollen sind für jeden Service erforderlich.

Service-Name Erforderlich für...
Oracle Cloud VMware Solution Führen Sie Workloads mit VMware vSphere aus.
OCI Load Balancing Load Balancing des Datenverkehrs.
OCI-Zertifikate Zertifikate ausstellen und verwalten.

Unter Oracle-Produkte, -Lösungen und -Services erfahren Sie, was Sie benötigen.