1. 안전한 운영 지원 Oracle Autonomous Database 및 Oracle APEX 애플리케이션 배포
  2. 안전한 운영 지원 Oracle Autonomous Database 및 Oracle APEX 애플리케이션 배포

보안 운영 지원 Oracle Autonomous Database 및 Oracle APEX 애플리케이션 배포

세계 최고 수준의 기능을 통해 Oracle APEX를 사용하여 어디서나 배포할 수 있는 확장 가능하고 안전한 엔터프라이즈 애플리케이션을 구축할 수 있습니다. Oracle APEX는 코딩이 적게 필요한 개발 플랫폼입니다. 애플리케이션을 실행하면 Terraform을 사용하여 Oracle Cloud Infrastructure 환경으로의 배포를 자동화할 수 있습니다.

구조

이 구조는 로드 밸런서를 활용하여 별도의 전용 서브넷에서 Oracle Autonomous Transaction Processing 데이터베이스를 격리합니다. Terraform에 의해 자동화된 OCI(Oracle Cloud Infrastructure) 랜딩 영역은 전용 끝점이 노출하는 공유 Oracle Autonomous Database 위에서 Oracle APEX 애플리케이션을 실행할 수 있는 보안 인프라를 제공합니다.

다음 다이어그램은 이 참조 구조를 보여 줍니다.

다음은 apex-app-adb.png에 대한 설명입니다.
apex-app-adb.png 그림에 대한 설명

apex-app-adb-oracle.zip

구조에는 다음과 같은 구성 요소가 있습니다.

  • 테넌시

    테넌시는 Oracle Cloud Infrastructure에 등록할 때 Oracle이 Oracle Cloud 내에서 설정하는 안전하고 격리된 파티션입니다. 테넌시 내 Oracle Cloud에서 리소스를 생성, 구성 및 관리할 수 있습니다. 테넌시는 회사 또는 조직과 동의어입니다. 일반적으로 회사는 단일 테넌시를 가지며 해당 테넌시 내의 조직 구조를 반영합니다. 단일 테넌시는 일반적으로 단일 구독과 연관되며, 단일 구독에는 일반적으로 하나의 테넌시만 포함됩니다.

  • 지역

    Oracle Cloud Infrastructure 지역은 가용성 도메인이라고 하는 하나 이상의 데이터 센터를 포함하는 지역화된 지리적 영역입니다. 지역은 다른 지역과 독립적이며, 방대한 거리로 이들을 분리할 수 있습니다(국가 또는 대륙 간).

  • 구획

    구획은 Oracle Cloud Infrastructure 테넌시 내의 지역 간 논리적 파티션입니다. 구획을 사용하여 Oracle Cloud에서 리소스를 구성하고, 리소스에 대한 액세스를 제어하고, 사용 할당량을 설정합니다. 제공된 구획의 리소스에 대한 액세스를 제어하려면 리소스에 액세스할 수 있는 사용자 및 수행할 수 있는 작업을 지정하는 정책을 정의합니다.

  • 가용성 도메인

    가용성 도메인은 한 지역 내의 독립형 데이터 센터입니다. 각 가용성 도메인의 물리적 리소스는 내결함성을 제공하는 다른 가용성 도메인의 리소스와 분리됩니다. 가용성 도메인은 전원, 냉각 또는 내부 가용성 도메인 네트워크와 같은 인프라를 공유하지 않습니다. 따라서 하나의 가용성 도메인에서 장애가 발생하면 해당 영역의 다른 가용성 도메인에 영향을 주지 않습니다.

  • VCN(가상 클라우드 네트워크) 및 서브넷

    VCN은 Oracle Cloud Infrastructure 영역에서 설정하는 커스터마이징 가능한 소프트웨어 정의 네트워크입니다. 기존의 데이터 센터 네트워크와 마찬가지로 VCN도 네트워크 환경을 완벽하게 제어할 수 있습니다. VCN에는 VCN을 생성한 후 변경할 수 있는 겹치지 않는 여러 CIDR 블록이 있을 수 있습니다. VCN을 서브넷으로 분할할 수 있으며, 지역 또는 가용성 도메인으로 범위가 지정될 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속적인 주소 범위로 구성됩니다. 서브넷을 생성한 후 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.

  • 로드 밸런서

    Oracle Cloud Infrastructure Load Balancing 서비스는 단일 시작점에서 백엔드의 여러 서버로 트래픽을 자동으로 분산합니다.

  • NSG(네트워크 보안 그룹)

    NSG는 클라우드 리소스에 대한 가상 방화벽 역할을 합니다. Oracle Cloud Infrastructure의 신뢰할 수 없는 보안 모델을 사용하면 모든 트래픽이 거부되며, VCN 내에서 네트워크 트래픽을 제어할 수 있습니다. NSG는 단일 VCN의 지정된 VNIC 집합에만 적용되는 일련의 수신 및 송신 보안 규칙으로 구성됩니다.

  • NAT(네트워크 주소 변환) 게이트웨이

    NAT 게이트웨이를 사용하면 VCN의 전용 리소스가 수신 인터넷 연결에 리소스를 노출하지 않고도 인터넷의 호스트에 접근할 수 있습니다.

  • 서비스 게이트웨이

    서비스 게이트웨이는 VCN에서 Oracle Cloud Infrastructure Object Storage와 같은 다른 서비스에 대한 접근을 제공합니다. VCN에서 Oracle 서비스로의 트래픽은 Oracle 네트워크 패브릭을 통해 이동하며 인터넷을 경유하지 않습니다.

  • 인터넷 게이트웨이

    인터넷 게이트웨이는 VCN의 공용 서브넷과 공용 인터넷 사이의 트래픽을 허용합니다.

  • 독립 데이터베이스

    Oracle Cloud Infrastructure 자율운영 데이터베이스는 트랜잭션 처리 및 데이터 웨어하우징 워크로드에 사용할 수 있는 사전 구성된 전담 관리 데이터베이스 환경입니다. 하드웨어를 구성 또는 관리하거나 소프트웨어를 설치할 필요가 없습니다. Oracle Cloud Infrastructure는 데이터베이스 생성과 데이터베이스 백업, 패치, 업그레이드 및 튜닝을 처리합니다.

  • Autonomous Transaction Processing

    Oracle Autonomous Transaction Processing은 트랜잭션 처리 워크로드에 최적화된 자동 구동, 자가 보안 및 자가 복구 데이터베이스 서비스입니다.

  • 배스천 서비스

    Oracle Cloud Infrastructure Bastion은 공용 엔드포인트가 없는 리소스 및 베어메탈 및 가상 머신, Oracle MySQL Database Service, Autonomous Transaction Processing(ATP), Oracle Container Engine for Kubernetes(OKE) 및 SSH(Secure Shell Protocol) 접근을 허용하는 기타 리소스에 대한 제한적이고 시간 제한적인 보안 접근을 제공합니다. Oracle Cloud Infrastructure 배스천 서비스를 사용하면 점프 호스트를 배치하고 유지 관리하지 않고도 전용 호스트에 액세스할 수 있습니다. 또한 ID 기반 권한과 중앙 집중식, 감사 및 시간 제한 SSH 세션을 통해 보안 상태를 개선할 수 있습니다. Oracle Cloud Infrastructure Bastion은 배스천 접근을 위해 공용 IP가 필요하지 않으며 원격 접근을 제공할 때 원활하고 잠재적인 공격 표면을 없앨 수 있습니다.

권장 사항

다음 권장 사항을 시작점으로 사용합니다. 요구 사항은 여기에 설명된 구조와 다를 수 있습니다.
  • VCN

    VCN은 terraform 솔루션에 배포되지만, 이 솔루션은 모듈식이며 기존 VCN을 사용할 수 있습니다.

    VCN을 생성할 때 VCN의 서브넷에 연결할 리소스의 수에 따라 필요한 CIDR 블록 수 및 각 블록의 크기를 결정합니다. 표준 전용 IP 주소 공간 내에 있는 CIDR 블록을 사용합니다.

    전용 접속을 설정하려는 다른 네트워크(Oracle Cloud Infrastructure, 온프레미스 데이터 센터 또는 다른 클라우드 제공자)와 겹치지 않는 CIDR 블록을 선택합니다.

    VCN을 생성한 후 해당 CIDR 블록을 변경, 추가 및 제거할 수 있습니다.

    서브넷을 설계할 때는 트래픽 플로우와 보안 요구사항을 고려하십시오. 특정 계층 또는 역할 내의 모든 리소스를 보안 경계로 사용할 수 있는 동일한 서브넷에 연결합니다.

  • NSG(네트워크 보안 그룹)

    NSG를 사용하여 특정 VNIC에 적용되는 일련의 수신 및 송신 규칙을 정의할 수 있습니다. NSG를 사용하면서 VCN 서브넷 아키텍처를 애플리케이션의 보안 요구사항과 분리할 수 있으므로 보안 목록이 아닌 NSG를 사용하는 것이 좋습니다.

  • Cloud Guard

    Oracle에서 제공하는 기본 레시피를 복제하고 사용자정의하여 사용자정의 감지기 및 응답기 레시피를 생성합니다. 이러한 레시피를 사용하면 경고를 생성하는 보안 위반 유형과 이에 대해 수행할 수 있는 작업을 지정할 수 있습니다. 예를 들어 가시성이 공용으로 설정된 오브젝트 스토리지 버킷을 감지할 수 있습니다.

    테넌시 레벨에서 Cloud Guard를 적용하여 가장 광범위한 범위를 포괄하고 다중 구성 유지 관리에 대한 관리 부담을 줄입니다.

    관리 목록 기능을 사용하여 감지기에 특정 구성을 적용할 수도 있습니다.

  • 로드 밸런서 대역폭

    로드 밸런서를 생성하는 동안 고정 대역폭을 제공하는 사전 정의된 구성을 선택하거나, 대역폭 범위를 설정하는 커스터마이징(가변형) 구성을 지정하고 서비스에서 트래픽 패턴을 기반으로 대역폭을 자동으로 확장할 수 있습니다. 어느 접근 방식이든 로드 밸런서를 생성한 후에는 언제든지 구성을 변경할 수 있습니다.

고려 사항

이 참조 구조를 배치할 때는 다음 사항을 고려하십시오.

  • 성능

    Terraform 솔루션은 몇 분 만에 프로비저닝되며 Oracle APEX 애플리케이션이 새 자율운영 데이터베이스에서 실행되고 있습니다.

  • 보안

    컴퓨트 인스턴스 및 자율운영 데이터베이스는 전용 서브넷에 있어야 하며 네트워크 보안 그룹으로 보호되어야 합니다.

  • 가용성

    컴퓨트 인스턴스의 고가용성을 계획하려면 고려해야 할 주요 설계 전략은 다음과 같습니다.

    • 가용성 도메인의 세 장애 도메인을 적절히 활용하거나 여러 가용성 도메인에 인스턴스를 배포하여 단일 장애 지점을 제거합니다.
    • 유동 IP 주소를 사용합니다.
    • 설계 시 컴퓨트 인스턴스의 데이터 가용성과 무결성을 모두 보호합니다.

배치

Oracle Autonomous Transaction Processing(ATP) 배포를 위한 Terraform 코드는 GitHub에서 사용할 수 있습니다.

  1. GitHub로 이동하십시오.
  2. 저장소를 로컬 컴퓨터에 복제하거나 다운로드합니다.
  3. Cloud Foundation Library README 문서의 지침을 따릅니다.

추가 탐색

Oracle Cloud Infrastructure에 대해 자세히 알아봅니다.

다음 추가 리소스를 검토합니다.

수락

Author: Corina Todea