Oracle Cloud Marketplace를 사용하여 TimesTen Kubernetes Operator 배포
Oracle Cloud Marketplace의 Oracle TimesTen In-Memory Database for Kubernetes - BYOL 목록은 컨테이너 이미지 TimesTen, 해당 소프트웨어 필요 조건 및 컨테이너화된 환경에서 TimesTen를 실행하는 데 필요한 모든 것으로 구성됩니다. 컨테이너 이미지에는 TimesTen Kubernetes Operator(TimesTen Operator)를 배치하고 OKE 또는 온프레미스 인프라에 TimesTen 데이터베이스를 생성하는 데 필요한 YAML 매니페스트 파일 및 Helm 차트가 포함됩니다.
구조
이 아키텍처는 지역 서브넷이 있는 리전과 적어도 2개의 가용성 도메인을 사용합니다. 단일 가용성 도메인이 있는 지역에서 동일한 참조 아키텍처를 사용할 수 있습니다. 가용성 도메인 수에 관계없이, 배포에 지역별 서브넷을 사용하는 것이 좋습니다.
프로비저닝 시 이 참조 아키텍처에는 다음이 포함됩니다.
-
OKE 클러스터는 Kubernetes API 끝점, 노드 풀 및 로드 밸런서를 위해 별도의 프라이빗 서브넷에 배치됩니다.
-
노드 풀과 동일한 프라이빗 서브넷의 워커 노드에 배치된 TimesTen 연산자입니다.
-
서로 다른 가용성 도메인의 작업자 노드에 배치된 활성 대기 쌍 복제 체계의 TimesTen 데이터베이스 쌍입니다.
-
프라이빗 서브넷에 배치된 리소스에 액세스하기 위해 퍼블릭 서브넷에 배치된 배스천입니다.
다음 다이어그램은 이 참조 아키텍처를 보여 줍니다.
그림 timesten-kubernetes-byol.png에 대한 설명
구조에는 다음과 같은 구성 요소가 있습니다.
- 감사
Oracle Cloud Infrastructure Audit 서비스는 지원되는 모든 Oracle Cloud Infrastructure API(퍼블릭 애플리케이션 프로그래밍 인터페이스) 끝점에 대한 호출을 로그 이벤트로 자동 기록합니다. 모든 OCI 서비스는 Oracle Cloud Infrastructure Audit의 로깅을 지원합니다.
- 가용성 도메인
가용성 도메인은 한 지역 내의 독립형 독립 데이터 센터입니다. 각 가용성 도메인의 물리적 리소스는 결함 허용을 제공하는 다른 가용성 도메인의 리소스와 격리됩니다. 가용성 도메인은 전원, 냉각 또는 내부 가용성 도메인 네트워크와 같은 인프라를 공유하지 않습니다. 따라서 한 가용성 도메인의 장애가 해당 영역의 다른 가용성 도메인에 영향을 미치지 않아야 합니다.
- 배스천 서비스
Oracle Cloud Infrastructure Bastion은 퍼블릭 엔드포인트가 없고 베어메탈 및 가상 머신, Oracle MySQL Database Service, Autonomous Transaction Processing(ATP), Oracle Cloud Infrastructure Kubernetes Engine(OKE) 및 SSH(Secure Shell Protocol) 액세스를 허용하는 기타 리소스와 같은 엄격한 리소스 액세스 제어가 필요한 리소스에 대해 제한적이고 시간 제한적인 보안 액세스를 제공합니다. OCI Bastion 서비스를 사용하면 점프 호스트를 배포 및 유지 관리하지 않고도 개인 호스트에 대한 액세스를 활성화할 수 있습니다. 또한 ID 기반 권한과 중앙 집중식, 감사 및 시간 제한 SSH 세션을 통해 보안 상태를 개선할 수 있습니다. OCI Bastion은 배스천 액세스를 위한 공용 IP가 필요하지 않으므로 원격 액세스를 제공할 때 번거롭고 잠재적인 공격 표면을 제거합니다.
- 블록 볼륨
Oracle Cloud Infrastructure Block Volumes를 사용하면 스토리지, 성능 및 애플리케이션 요구 사항을 충족하기 위해 스토리지 볼륨을 생성, 연결, 연결 및 이동하고 볼륨 성능을 변경할 수 있습니다. 볼륨을 연결한 후 인스턴스에 연결하면 일반 하드 드라이브처럼 볼륨을 사용할 수 있습니다. 데이터 손실 없이 볼륨 연결을 해제하고 다른 인스턴스에 연결할 수도 있습니다.
-
Cloud Guard
Oracle Cloud Guard를 사용하여 Oracle Cloud Infrastructure에서 리소스의 보안을 모니터링하고 유지 관리할 수 있습니다. Cloud Guard는 정의 가능한 감지자 레시피를 사용하여 리소스에서 보안 취약점을 검사하고 운영자 및 사용자에게 특정 위험한 작업을 모니터합니다. 잘못 구성되거나 안전하지 않은 작업이 감지되면 Cloud Guard는 정의할 수 있는 응답기 레시피를 기반으로 수정 조치를 권장하고 해당 작업을 수행하는 데 도움을 줍니다.
- 구획
구획은 Oracle Cloud Infrastructure 테넌시 내의 지역 간 논리적 파티션입니다. 구획을 사용하여 Oracle Cloud 리소스에 대한 사용 할당량을 구성, 제어 및 설정할 수 있습니다. 지정된 구획에서 액세스를 제어하고 리소스에 대한 권한을 설정하는 정책을 정의합니다.
- 컨테이너 레지스트리
Oracle Cloud Infrastructure Registry는 개발-운영 워크플로우를 간소화할 수 있는 Oracle 관리 레지스트리입니다. 레지스트리를 사용하면 Docker 이미지와 같은 개발 아티팩트를 쉽게 저장, 공유 및 관리할 수 있습니다. Oracle Cloud Infrastructure의 가용성과 확장성이 뛰어난 아키텍처는 애플리케이션을 안정적으로 배포하고 관리할 수 있도록 보장합니다.
- 결함 도메인
장애 도메인은 가용성 도메인 내의 하드웨어 및 인프라 그룹입니다. 가용성 도메인에는 독립적인 전원 및 하드웨어를 갖춘 3개의 장애 도메인이 있습니다. 여러 결함 도메인에 리소스를 분배할 때 응용 프로그램은 결함 도메인 내의 물리적 서버 오류, 시스템 유지 관리 및 전원 오류를 허용할 수 있습니다.
- IAM(ID 및 액세스 관리)
Oracle Cloud Infrastructure Identity and Access Management(IAM)는 Oracle Cloud Infrastructure(OCI) 및 Oracle Cloud Applications의 액세스 제어 플레인입니다. IAM API 및 사용자 인터페이스를 통해 ID 도메인 및 ID 도메인 내의 리소스를 관리할 수 있습니다. 각 OCI IAM ID 도메인은 독립형 ID 및 액세스 관리 솔루션 또는 다른 사용자 모집단을 나타냅니다.
- 인터넷 게이트웨이
인터넷 게이트웨이는 VCN의 공용 서브넷과 공용 인터넷 간의 트래픽을 허용합니다.
- 로드 밸런서
Oracle Cloud Infrastructure Load Balancing 서비스는 단일 시작점에서 백엔드에 있는 여러 서버로 트래픽을 자동으로 배포합니다.
- 로깅로깅은 클라우드의 리소스에서 다음 유형의 로그에 액세스할 수 있는 확장성이 뛰어난 완전 관리형 서비스입니다.
- 감사 로그: 감사 서비스에서 내보낸 이벤트와 관련된 로그입니다.
- 서비스 로그: API 게이트웨이, 이벤트, 함수, 로드 밸런싱, 오브젝트 스토리지, VCN 플로우 로그와 같은 개별 서비스에서 내보낸 로그입니다.
- 사용자 정의 로그: 사용자 정의 응용 프로그램, 다른 클라우드 공급자 또는 온프레미스 환경의 진단 정보를 포함하는 로그입니다.
- NAT(Network Address Translation) 게이트웨이
NAT 게이트웨이를 사용하면 VCN의 전용 리소스가 수신 인터넷 연결에 이러한 리소스를 노출시키지 않고 인터넷의 호스트에 액세스할 수 있습니다.
- OCI Kubernetes 엔진
Oracle Cloud Infrastructure Kubernetes Engine(OCI Kubernetes Engine 또는 OKE)는 컨테이너화된 애플리케이션을 클라우드에 배포하는 데 사용할 수 있는 확장 가능한 고가용성 완전 관리형 서비스입니다. 애플리케이션에 필요한 컴퓨트 리소스를 지정하면 Kubernetes Engine이 기존 테넌시의 Oracle Cloud Infrastructure에서 프로비저닝합니다. OKE는 Kubernetes를 사용하여 호스트 클러스터 전반에서 컨테이너화된 애플리케이션의 배포, 확장 및 관리를 자동화합니다.
- 지역
Oracle Cloud Infrastructure 리전은 가용성 도메인이라고 하는 데이터 센터가 하나 이상 포함된 지역화된 지리적 영역입니다. 지역은 다른 지역과 독립적이며, 먼 거리가 그들을 분리 할 수 있습니다 (국가 또는 대륙에 걸쳐).
- 보안 목록
각 서브넷에 대해 서브넷에 들어오고 나가도록 허용해야 하는 트래픽의 소스, 대상 및 유형을 지정하는 보안 규칙을 생성할 수 있습니다.
- 서비스 게이트웨이
서비스 게이트웨이는 VCN에서 Oracle Cloud Infrastructure Object Storage와 같은 다른 서비스로의 액세스를 제공합니다. VCN에서 Oracle 서비스로의 트래픽은 Oracle 네트워크 패브릭을 통해 이동하며 인터넷을 순회하지 않습니다.
- Tenancy
테넌시는 Oracle Cloud Infrastructure에 등록할 때 Oracle이 Oracle Cloud 내에서 설정하는 격리된 보안 분할영역입니다. 테넌시 내 Oracle Cloud에서 리소스를 생성, 구성 및 관리할 수 있습니다. 테넌시는 회사 또는 조직과 동의어입니다. 일반적으로 회사는 단일 테넌시를 가지며 해당 테넌시 내의 조직 구조를 반영합니다. 단일 테넌시는 대개 단일 구독과 연관되며, 단일 구독에는 일반적으로 하나의 테넌시만 포함됩니다.
- TimesTen 연산자
TimesTen Operator에는 Kubernetes 환경에서 TimesTen 데이터베이스를 관리하는 데 도움이 되는 몇 가지 주요 기능이 있습니다. TimesTen 데이터베이스는 Kubernetes 구성 파일에서 사용자정의 리소스로 모델링됩니다. 운영자는 이 구성과 Kubernetes API를 사용하여 프로비저닝, 페일오버, 패치 및 보안과 같은 TimesTen 데이터베이스 작업을 자동화합니다.
- VCN(가상 클라우드 네트워크) 및 서브넷
VCN은 Oracle Cloud Infrastructure 지역에서 설정한 맞춤형 소프트웨어 정의 네트워크입니다. 기존의 데이터 센터 네트워크와 마찬가지로 VCN을 통해 네트워크 환경을 제어할 수 있습니다. VCN에는 VCN 생성 후 변경할 수 있는 겹치지 않는 CIDR 블록이 여러 개 있을 수 있습니다. VCN을 서브넷으로 분할할 수 있습니다. 서브넷은 지역 또는 가용성 도메인으로 범위가 지정될 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속적인 주소 범위로 구성됩니다. 서브넷 생성 후 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.
권장사항
- 배스천
권한이 부여된 사용자만 배스천 세션을 생성할 수 있는지 확인하십시오. 이 아키텍처 참조에서 배스천은 TimesTen 데이터베이스가 배치된 작업자 노드에 대한 Kubernetes API 끝점 및 SSH에 대한 보안 액세스를 제공합니다.
- Cloud Guard
사용자정의 감지기 및 응답기 레시피를 생성하도록 Oracle에서 제공하는 기본 레시피를 복제 및 사용자정의합니다. 이러한 레시피를 통해 경고를 생성하는 보안 위반 유형과 경고에 대해 수행할 수 있는 작업을 지정할 수 있습니다. 예를 들어 가시성이 퍼블릭으로 설정된 오브젝트 스토리지 버킷을 감지할 수 있습니다.
테넌시 레벨에서 Cloud Guard를 적용하여 가장 광범위한 범위를 다루고 여러 구성을 유지 관리하는 데 따르는 관리 부담을 줄이십시오.
관리 목록 기능을 사용하여 감지기에 특정 구성을 적용할 수도 있습니다.
- 컨테이너 레지스트리
필요한 IAM 정책이 생성되고 권한이 부여된 사용자만 컨테이너 레지스트리의 저장소에 액세스할 수 있는지 확인하십시오.
- 로드 밸런서 대역폭
로드 밸런서를 생성하는 동안 고정 대역폭을 제공하는 미리 정의된 구성을 선택하거나, 대역폭 범위를 설정하고 서비스가 트래픽 패턴에 따라 대역폭을 자동으로 확장하도록 하는 사용자 정의(유연한) 구성을 지정할 수 있습니다. 두 접근 방법 중 하나를 사용하면 로드 밸런서를 생성한 후 언제든지 구성을 변경할 수 있습니다.
- 보안
Oracle Cloud Guard를 사용하여 Oracle Cloud Infrastructure에서 리소스의 보안을 사전에 모니터링하고 유지 관리할 수 있습니다. Cloud Guard는 정의 가능한 감지기 레시피를 사용하여 리소스의 보안 취약성을 검사하고 운영자 및 사용자를 모니터하여 특정 위험한 작업을 모니터합니다. 잘못된 구성 또는 안전하지 않은 작업이 감지되면 Cloud Guard는 정의할 수 있는 응답기 레시피를 기반으로 수정 조치를 권장하고 해당 작업을 수행하는 데 도움을 줍니다.
최대 보안이 필요한 리소스의 경우 Oracle은 보안 영역을 사용할 것을 권장합니다. 보안 영역은 모범 사례를 기반으로 하는 Oracle 정의 보안 정책 레시피와 연관된 컴파트먼트입니다. 예를 들어, 보안 영역의 리소스는 공용 인터넷에서 액세스할 수 없어야 하며 고객 관리 키를 사용하여 암호화해야 합니다. 보안 영역에서 리소스를 생성 및 업데이트할 때 Oracle Cloud Infrastructure는 보안 영역 레시피의 정책에 대해 작업을 검증하고 정책을 위반하는 작업을 거부합니다.
- VCN
VCN을 생성할 때 VCN의 서브넷에 연결하려는 리소스 수에 따라 필요한 CIDR 블록 수와 각 블록의 크기를 결정합니다. 표준 전용 IP 주소 공간 내에 있는 CIDR 블록을 사용합니다.
프라이빗 접속을 설정하려는 다른 네트워크(Oracle Cloud Infrastructure, 온프레미스 데이터 센터 또는 다른 클라우드 제공자)와 겹치지 않는 CIDR 블록을 선택합니다.
VCN을 생성한 후 해당 CIDR 블록을 변경, 추가 및 제거할 수 있습니다.
서브넷을 설계할 때는 트래픽 플로우 및 보안 요구사항을 고려하십시오. 특정 계층 또는 역할 내의 모든 리소스를 동일한 서브넷에 연결합니다. 이 서브넷은 보안 경계 역할을 할 수 있습니다.
지역 서브넷을 사용합니다.
고려사항
이 참조 아키텍처를 배치할 때는 다음 사항을 고려하십시오.
- 가용성
일반적으로 근처에 있는 리소스를 사용하는 것이 원거리 리소스를 사용하는 것보다 빠르기 때문에 응용 프로그램을 가장 많이 사용하는 지역에 배치합니다. 동일한 리전 내의 가용성 도메인은 짧은 대기 시간의 고대역폭 네트워크를 사용하여 서로 연결합니다. 이 네트워크는 인터넷 및 온프레미스 장비에 고가용성 연결을 제공하므로 고가용성 및 재해 복구를 위해 여러 가용성 도메인에 복제된 시스템을 구축할 수 있습니다.
- 컨테이너 레지스트리
이 아키텍처는 내부용으로 Container Registry를 전용 Docker 레지스트리로 배포합니다. Docker 이미지는 레지스트리로 푸시되고 레지스트리에서 풀링됩니다. 또한 컨테이너 레지스트리를 퍼블릭 Docker 레지스트리로 사용하여 인터넷에 액세스하고 해당 URL에 대해 알고 있는 모든 사용자가 OCI의 퍼블릭 저장소에서 이미지를 가져올 수 있습니다. 이 구조에서 컨테이너 레지스트리의 저장소는 TimesTen의 이미지를 저장하는 데 사용됩니다. 여기에는 TimesTen 연산자를 배치하고 TimesTen 데이터베이스를 생성하는 데 필요한 YAML 매니페스트 파일 및 Helm 차트가 포함됩니다.
- 보안
정책을 사용하여 OCI 리소스에 액세스할 수 있는 사용자를 제한합니다.
배치
Oracle Cloud Marketplace에서 TimesTen 컨테이너 이미지를 가져옵니다.
- Oracle Cloud Marketplace로 이동합니다.
- 패키지 익스포트를 누릅니다.
- 화면 프롬프트를 따릅니다.