デプロイします。Oracle Cloud Infrastructure上のNETアプリケーション
アプリケーション・コンテナは不変であり、ポータブル・インフラストラクチャを提供し、簡単にスケーリングできるので、多くのメリットが得られます。組織が実行中です。NETアプリケーションは、このような利点を活用し、コンテナ化および配置できます。Oracle Cloud Infrastructure (OCI)上のNETアプリケーション。
。NETアプリケーションは から移植する必要があります。NET Framework to.Linuxコンテナで実行されるNET。このアーキテクチャでは、Oracleデータベースはアプリケーションの基礎となるデータベースです。既存のNETアプリケーションは別のデータベースを使用しています。特定のツールおよび移行方法を使用して、そのようなデータベースをOCIのOracleデータベースに移行できます。
アーキテクチャ
このアーキテクチャは、 の導入に必要なインフラストラクチャの基盤となります。OCI上のNETアプリケーション。
次の図は、この参照アーキテクチャを示しています。
Deploy-net-oci-arch-oracle.zip
- テナント
Oracle Cloud Infrastructureに登録すると、Oracleによって会社のテナンシが作成されます。テナンシは、クラウド・リソースを作成、整理および管理するための、Oracle Cloud Infrastructure内のセキュアで分離されたパーティションです。
- リージョン
OCIリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含むローカライズされた地理的領域です。地方は他の地域から独立し、たくさんの距離(国や大陸など)を分けることができます。
- コンパートメント
コンパートメントは、OCIテナンシ内のリージョン間論理パーティションです。コンパートメントを使用してOracle Cloud内のリソースを編成し、リソースへのアクセスを制御し、使用割当てを設定します。特定のコンパートメント内のリソースへのアクセスを制御するには、誰がリソースにアクセスできるか、および誰が実行できるアクションを指定するポリシーを定義します。
- 可用性ドメイン
アベイラビリティ・ドメインは、リージョン内のスタンドアロンで独立したデータ・センターです。各可用性ドメインの物理リソースは、フォルト・トレランスを提供する他の可用性ドメインのリソースから分離されます。アベイラビリティ・ドメインは電源や冷却、内部アベイラビリティ・ドメイン・ネットワークなどのインフラを共有しません。そのため、1つの可用性ドメインで障害が発生しても、リージョン内の他の可用性ドメインには影響しません。
- フォルト・ドメイン
フォルト・ドメインは、可用性ドメイン内のハードウェアおよびインフラのグループです。アベイラビリティ・ドメインごとに3つのフォルト・ドメインがあり、独立した電源とハードウェアです。複数のフォルト・ドメインにリソースを分散する場合、アプリケーションは、物理サーバーの障害、システムのメンテナンス、およびフォルト・ドメイン内の電源障害を許容できます。
- 仮想クラウド・ネットワーク(VCN)およびサブネット
VCNは、OCIリージョンで設定する、カスタマイズ可能なソフトウェア定義ネットワークです。従来のデータ・センター・ネットワークと同様に、VCNではネットワーク環境を完全に制御できます。VCNには複数の重複しないCIDRブロックを含めることができ、VCNの作成後に変更できます。VCNをサブネットに分割できます。サブネットはリージョンまたは可用性ドメインにスコープ指定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックまたはプライベートにできます。
- ロード・バランサ
Oracle Cloud Infrastructure Load Balancingサービスは、1つのエントリ・ポイントからバック・エンド内の複数のサーバーへの自動トラフィック分散を提供します。ロード・バランサは、様々なアプリケーションへのアクセスを提供します。
-
セキュリティ・リスト
サブネットごとに、サブネットとの間で送受信を許可する必要があるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。
- インターネットゲートウェイ
インターネット・ゲートウェイは、VCNに追加してインターネットへの直接接続を有効にできます。
- コンテナ・レジストリ
Oracle Cloud Infrastructure Registry (Container Registryとも呼ばれる)は、本番ワークフローの開発を簡略化できる、Oracle管理のレジストリです。Container Registryは、コンテナ・イメージ(Dockerイメージなど)の格納、共有および管理を容易にします。また、OCIの高可用性とスケーラブルなアーキテクチャにより、アプリケーションを確実にデプロイできるため、運用上の問題や基盤となるインフラストラクチャの拡大を心配する必要がありません。
- クラウド・ガード
Oracle Cloud Guardを使用して、Oracle Cloud Infrastructure内のリソースのセキュリティを監視および維持できます。クラウド・ガードでは、セキュリティの弱みについてリソースを調査し、オペレータとユーザーのリスクのあるアクティビティを監視するために定義できるディテクタ・レシピを使用します。構成ミスまたはセキュアでないアクティビティが検出されると、クラウド・ガードは、定義できるレスポンダ・レシピに基づいて修正アクションを推奨し、それらのアクションの実行を支援します。
- セキュリティ・ゾーン
セキュリティ・ゾーンは、データの暗号化やコンパートメント全体のネットワークへのパブリック・アクセスの防止などのポリシーを適用することで、Oracleのセキュリティのベスト・プラクティスを確実に開始します。セキュリティ・ゾーンは同じ名前のコンパートメントに関連付けられ、そのコンパートメントおよびそのサブコンパートメントに適用されるセキュリティ・ゾーン・ポリシーまたはレシピが含まれます。標準コンパートメントをセキュリティ・ゾーン・コンパートメントに追加または移動することはできません。
- オブジェクト・ストレージ
オブジェクト・ストレージは、データベースのバックアップ、分析データ、イメージやビデオなどの豊富なコンテンツなど、あらゆるコンテンツ・タイプの構造化および非構造化データにすばやくアクセスできます。インターネットから直接またはクラウド・プラットフォームから、安全かつセキュアにデータを格納し、取得できます。パフォーマンスやサービスの信頼性が低下することなく、ストレージをシームレスにスケーリングできます。迅速、即時、頻繁にアクセスするために必要な「ホット」ストレージには、標準ストレージを使用します。長期間保持し、ほとんどアクセスできない「コールド」ストレージのアーカイブ・ストレージを使用します。
- Container Engine for Kubernetes
Oracle Container Engine for Kubernetes (OKE)は、最新のクラウド・ネイティブ・アプリケーションを構築するための時間とコストを削減できるOracle管理のコンテナ・オーケストレーション・サービスです。DevOpsエンジニアは、アプリケーション・ワークロードの移植性のために未変更のオープン・ソースKubernetesを使用し、自動更新およびパッチ適用で操作を簡素化できます。
- Oracle Database Cloud Service
Oracle Database Cloud ServiceではOracleデータベースをクラウド内で簡単に構築、スケーリングおよび保護できます。データベースはDB System上に、ブロック・ボリュームを備えた仮想マシンとして作成します。どちらの場合も、高パフォーマンスでコスト効率的な価格が実現します。このサービスにより、仮想クラウド・ネットワーク・レイヤーにある仮想マシン・サーバーへの「クラウドファースト」なOracle RAC実装のサポートが可能になります。
推奨
- VCN
VCNを作成する際、必要なCIDRブロックの数と、VCNのサブネットにアタッチする予定のリソース数に基づいて各ブロックのサイズを決定します。標準のプライベートIPアドレス領域内にあるCIDRブロックを使用します。
プライベート接続を設定する他のネットワーク(Oracle Cloud Infrastructure、オンプレミス・データ・センターまたは他のクラウド・プロバイダ)と重複しないCIDRブロックを選択します。
VCNを作成した後、そのCIDRブロックを変更、追加および削除できます。
サブネットを設計する際は、トラフィック・フローおよびセキュリティ要件を考慮してください。セキュリティ境界として機能する、特定の層またはロール内のすべてのリソースを同じサブネットにアタッチします。
リージョナル・サブネットを使用します。
- セキュリティ
Oracle Cloud Guardを使用して、OCIのリソースのセキュリティをプロアクティブに監視および保守します。クラウド・ガードでは、セキュリティの弱みについてリソースを調査し、オペレータとユーザーのリスクのあるアクティビティを監視するために定義できるディテクタ・レシピを使用します。構成ミスまたはセキュアでないアクティビティが検出されると、クラウド・ガードは、定義できるレスポンダ・レシピに基づいて修正アクションを推奨し、それらのアクションの実行を支援します。
最大限のセキュリティが必要なリソースの場合、Oracleではセキュリティ・ゾーンを使用することをお薦めします。セキュリティ・ゾーンは、ベスト・プラクティスに基づいたセキュリティ・ポリシーのOracle定義のレシピに関連付けられたコンパートメントです。たとえば、セキュリティ・ゾーン内のリソースにパブリック・インターネットからアクセスできず、顧客管理キーを使用して暗号化する必要があります。セキュリティ・ゾーンでリソースを作成および更新すると、OCIでは、セキュリティ・ゾーン・レシピのポリシーに対して操作が検証され、ポリシーに違反する操作が拒否されます。
- クラウド・ガード
Oracleが提供するデフォルトのレシピをクローニングおよびカスタマイズし、カスタム・ディテクタおよびレスポンダ・レシピを作成します。これらのレシピでは、警告を生成するセキュリティ違反のタイプと、警告に対して実行できるアクションを指定できます。たとえば、可視性がパブリックに設定されているオブジェクト・ストレージ・バケットを検出できます。
テナンシ・レベルでクラウド・ガードを適用して、広範なスコープをカバーし、複数の構成を維持するための管理負荷を軽減します。
管理対象リスト機能を使用して、特定の構成をディテクタに適用することもできます。
- セキュリティ・ゾーン
セキュリティ・ゾーンを使用すると、コンピュート、ネットワーキング、オブジェクト・ストレージおよびデータベース・リソースを含むOracle Cloud Infrastructure内のリソースがOracleのセキュリティ原則に準拠していることを確信できます。
セキュリティ・ゾーンは、コンパートメントおよびセキュリティ・ゾーン・レシピに関連付けられます。セキュリティ・ゾーンでリソースを作成して更新すると、Oracle Cloud Infrastructureでは、これらの操作がセキュリティ・ゾーン・レシピで定義されたポリシーのリストに対して検証されます。セキュリティ・ゾーン・ポリシーに違反している場合、操作は拒否されます。
- ネットワーク・セキュリティ・グループ(NSG)
NSGを使用して、特定のVNICに適用されるイングレスおよびエグレス・ルールのセットを定義できます。NSGではVCNのサブネット・アーキテクチャをアプリケーションのセキュリティ要件から分離できるため、セキュリティ・リストではなくNSGを使用することをお薦めします。NSGを使用して、特定のVNICに適用されるイングレスおよびエグレス・ルールのセットを定義できます。NSGではVCNのサブネット・アーキテクチャをアプリケーションのセキュリティ要件から分離できるため、セキュリティ・リストではなくNSGを使用することをお薦めします。
- ロード・バランサの帯域幅
ロード・バランサの作成時に、固定帯域幅を提供する事前定義済のシェイプを選択するか、帯域幅範囲を設定してトラフィック・パターンに基づいて帯域幅を自動的にスケールさせるカスタム(フレキシブル)シェイプを指定できます。どちらの方法でも、ロード・バランサの作成後いつでもシェイプを変更できます。
注意事項
このリファレンス・アーキテクチャをデプロイする際には、次の点を考慮してください。
- アプリケーション・ポート
.NETアプリケーションは から移植する必要があります。NET Framework to.NET。
- アクセシビリティ
提案されたアーキテクチャではデフォルトではCDNは使用されませんが、OCIにCDNを組み込むのに必要な場合は拡張できます。
- 状態管理
状態可用性をより適切に管理するために、データベースはコンテナの外部にデプロイされます。
- 可用性
アーキテクチャでは、KubernetesイングレスではなくOCIロード・バランサを使用します。