전용 끝점 관리를 사용하여 OCI Resource Manager에서 전용(private) 리소스에 액세스
전용 끝점 관리 기능을 사용하면 OCI 리소스 관리자에서 OCI(Oracle Cloud Infrastructure) 또는 온프레미스(OCI 테넌시에 연결)의 프라이빗 클라우드 리소스에 액세스할 수 있습니다.
Resource Manager는 Oracle Cloud Infrastructure 리소스 프로비저닝 프로세스를 자동화할 수 있는 OCI 서비스입니다. 리소스 관리자는 Terraform을 사용하여 "infrastructure-as-code" 모델을 통해 리소스를 설치, 구성 및 관리할 수 있습니다.
- Terraform의 일부로 컴퓨트 및 DB 인스턴스를 포함한 원격 실행을 통해 전용 네트워크(VCN)의 전용 리소스에 연결합니다.
- VCN(전용 네트워크)에서 GitHub 및 GitLab 등의 전용 Git 서버에 연결하여 스택 리소스를 구성하는 데 필요한 terraform 구성을 검색합니다.
예를 들어 Terraform의 원격 실행 기능을 사용하여 전용 컴퓨트 인스턴스를 구성하고 전용 GitHub 서버의 Terraform 구성에 접근할 수 있습니다.
- 리소스를 공용 인터넷에 노출시키지 않고 작업 실행 중에 Resource Manager의 스크립트를 원격으로 실행합니다.
구조
이 참조 아키텍처는 자동화 기능을 설명하고 제공하여 OCI Resource Manager에서 전용 끝점 액세스를 배포 및 활용하고 전용 서브넷에 호스팅된 컴퓨트 인스턴스에서 특정 명령을 실행합니다.
이 참조 아키텍처는 필요한 모든 리소스(VCN, 인스턴스, 전용 끝점)를 생성하고 원격 실행을 사용하여 전용 끝점 접속을 검증하는 Terraform 기반 솔루션을 제공합니다.
자동화는 OCI Terraform 제공자에 내장되어 있습니다. 코드는 VCN을 생성합니다. VCN에는 인스턴스를 호스트하는 전용 서브넷이 생성됩니다. 인스턴스가 생성되고 전용 서브넷 아래에 실행됩니다. 전용 끝점을 통해 원격 실행 호출을 허용하도록 서브넷에서 일련의 보안 규칙이 정의됩니다.
자동화를 수행하면 VCN 전용 서브넷 내에서 테넌시에 대한 전용 끝점 리소스가 생성됩니다. 또한 사용자를 사용자 그룹에 추가하고 사용자 그룹 위에 정책을 정의하여 VCN과 전용 끝점에 필요한 접근 권한을 제공합니다.
마지막으로, 공용 네트워크에 노출되지 않고 결과를 캡처하는 Instance에서 원격 실행을 수행합니다.
다음 다이어그램은 이 참조 구조를 보여 줍니다.
oci-orm-private-endpoint-arch-oracle.zip
구조에는 다음과 같은 구성 요소가 있습니다.
- 리소스 관리자
Resource Manager는 Resource Manager 리소스 프로비저닝 프로세스를 자동화할 수 있는 Oracle Cloud Infrastructure 서비스입니다. 코드 서비스형 인프라 모델을 사용하여 리소스를 설치, 구성 및 관리할 수 있습니다.
- 전용 끝점
전용 끝점은 OCI 리소스 관리자 내 기능으로, 리소스 관리자에서 테넌시의 비공용 클라우드 리소스에 액세스할 수 있습니다.
- 스택 작업
스택 작업은 apply/plan/destroy와 같은 스택(Terraform 코드 집합)에 대해 수행할 수 있는 다양한 작업입니다.
- 스택 정의
스택 정의는 인프라에 대한 Terraform 코드 세트와 스키마 정의입니다.
- 보안 목록
각 서브넷에 대해 서브넷에 들어오고 나가야 하는 트래픽의 소스, 대상, 유형을 지정하는 보안 규칙을 생성할 수 있습니다.
- 정책
Oracle Cloud Infrastructure Identity and Access Management 정책은 어떤 리소스에 접근할 수 있는 사용자와 방법을 지정합니다. 접근 권한은 그룹 및 구획 레벨에서 부여되므로 특정 구획 또는 테넌시 내에서 그룹에 특정 유형의 접근 권한을 부여하는 정책을 작성할 수 있습니다.
- VCN(가상 클라우드 네트워크) 및 서브넷
VCN은 Oracle Cloud Infrastructure 영역에서 설정하는 커스터마이징 가능한 소프트웨어 정의 네트워크입니다. 기존의 데이터 센터 네트워크와 마찬가지로 VCN도 네트워크 환경을 완벽하게 제어할 수 있습니다. VCN에는 VCN을 생성한 후 변경할 수 있는 겹치지 않는 여러 CIDR 블록이 있을 수 있습니다. VCN을 서브넷으로 분할할 수 있으며, 지역 또는 가용성 도메인으로 범위가 지정될 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속적인 주소 범위로 구성됩니다. 서브넷을 생성한 후 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.
- 전용 서브넷
전용 서브넷은 VCN에 정의한 세분화입니다(예: 10.0.0.0/24, 10.0.1.0/24 또는 2001:DB8::/64). 서브넷에는 인스턴스에 연결되는 VNIC(가상 네트워크 인터페이스 카드)가 포함됩니다. 전용은 서브넷의 VNIC가 공용 IPv4 주소를 가질 수 없음을 의미하며 IPv6 엔드포인트와 인터넷 통신이 금지됩니다.
권장 사항
- 컴퓨트 구성
이 구조는 인스턴스 호스트를 위해 최소 리소스와 함께 E4 가변 구성의 Oracle Linux OS 이미지를 사용합니다. 애플리케이션에 더 많은 메모리 또는 코어가 필요한 경우 다른 구성을 선택할 수 있습니다.
- VCN
VCN을 생성할 때 VCN의 서브넷에 연결할 리소스의 수에 따라 필요한 CIDR 블록 수 및 각 블록의 크기를 결정합니다. 표준 전용 IP 주소 공간 내에 있는 CIDR 블록을 사용합니다.
VCN을 생성한 후 해당 CIDR 블록을 변경, 추가 및 제거할 수 있습니다.
이 구조는 VCN을 사용하여 송신 및 수신 규칙에 대해 포트 22만 허용하는 보안 규칙과 함께 전용 서브넷 내에서 OCI VM을 호스트합니다.
고려 사항
이 참조 구조를 배치할 때는 다음 사항을 고려하십시오.
- 가용성
운용 환경에서 이 구조를 사용하는 경우 리소스 간에 적절한 복원력과 로드 밸런싱을 보장합니다.
- 비용
OCI 인스턴스 비용을 보고 그에 따라 사용량을 관리합니다.
- 보안
이 솔루션은 서브넷에 대한 SSH 연결만 허용합니다. 요구 사항에 따라 업데이트를 변경할 수 있습니다.
배치
이 참조 아키텍처의 Terraform 코드는 Oracle Cloud Infrastructure Resource Manager에서 샘플 스택으로 사용할 수 있습니다. GitHub에서 코드를 다운로드하고 특정 요구 사항에 맞게 사용자 정의할 수도 있습니다.
- Oracle Cloud Infrastructure Resource Manager의 샘플 스택을 사용하여 배포합니다.
을 누릅니다.아직 사인인하지 않은 경우 테넌시 및 사용자 인증서를 입력합니다.
- 스택을 배치할 영역을 선택합니다.
- 화면의 프롬프트와 지침에 따라 스택을 생성합니다.
- 스택을 생성한 후 Terraform 작업을 누르고 계획을 선택합니다.
- 작업이 완료될 때까지 기다린 후 계획을 검토합니다.
내용을 변경하려면 [스택 세부정보] 페이지로 돌아가서 스택 편집을 누르고 필요에 따라 변경합니다. 그런 다음 계획 작업을 다시 실행합니다.
- 추가 변경이 필요하지 않은 경우 스택 세부정보 페이지로 돌아가서 Terraform 작업을 누르고 적용을 선택합니다.
- GitHub에서 Terraform 코드를 사용하여 배포합니다.
- GitHub로 이동하십시오.
- 저장소를 로컬 컴퓨터에 복제하거나 다운로드합니다.
README문서의 지침을 따릅니다.