通过 Oracle Integration Cloud 建立多云专用网络连接
如果需要将在专用网络上运行的服务或应用程序(例如 Amazon Web Services VPC、Azure Vnet、Google Cloud Computing VPC)或者内部部署专用网络 ) 与 SaaS 或内部部署企业应用程序集成,则可以使用 Oracle Integration Cloud Service (OIC) 和连接代理建立专用端点连接。
此体系结构提供多云专用网络与 Oracle 云服务或应用之间的必要连接,而不通过公共互联网引导流量,这是从 Oracle Integration Cloud Service 进行出站集成的一部分。
体系结构
此参考体系结构说明如何通过 Oracle Integration Cloud 从 OSN 的 Oracle 自治事务处理数据库 - 共享数据库 (ATP-S) 连接到在 AWS 专用网络的虚拟专用云 (Virtual Private Cloud, VPC) 上运行的服务或应用程序,而无需通过公共互联网进行通信路由。
此方案用作 OIC 连接代理与 AWS 专用服务或应用程序通信。OIC 连接代理安装在 VCN 的专用子网上的 Oracle Cloud Infrastructure Compute 实例上。该代理通过一端服务网关与 OIC 集成,并通过动态路由网关 (dynamic routing gateway, DRG) 和 FastConnect 专用对等连接或 VPN 与另一端在 AWS 专用网络上运行的服务或应用进行通信。
下图说明了此引用体系结构。
插图 multicloud-oic-arch.png 的说明
multicloud-oic-arch-oracle.zip
- 区域
Oracle Cloud Infrastructure 区域是一个局部地理区域,其中包含一个或多个数据中心,称为可用性域。区域独立于其他区域,而广阔的距离可以分离它们(跨国家甚至大陆)。
- 区间
区间是 Oracle Cloud Infrastructure 租户中的跨区域逻辑分区。使用区间在 Oracle Cloud 中组织资源,控制对资源的访问并设置使用限额。要控制对给定区间中资源的访问,您需要定义策略来指定谁可以访问资源以及他们可以执行的操作。
- 可用性域
可用性域是一个区域中的独立数据中心。每个可用性域中的物理资源都与其他可用性域中的资源隔离,因而具备容错能力。可用性域不共享电源、冷却设备或内部可用性域网络等基础设施。因此,一个可用性域出现故障不会影响区域中的其他可用性域。
- 虚拟云网络 (VCN) 和子网
VCN 是可在 Oracle Cloud Infrastructure 区域中设置的可定制的软件定义网络。与传统的数据中心网络一样,VCN 允许您完全控制您的网络环境。VCN 可以具有多个不可重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 分段到子网,这些子网可以限定到区域或可用性域。每个子网包含一个连续的地址范围,这些地址与 VCN 中的其他子网不重叠。您可以在创建子网后更改其大小。子网可以是公共子网,也可以是专用子网。
- 安全列表
对于每个子网,您可以创建安全规则来指定必须允许传入和传出子网的通信的源、目标和类型。
- 服务网关
通过服务网关,可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传输,永远不会经过互联网。
- FastConnect
Oracle Cloud Infrastructure FastConnect 提供了在数据中心与 Oracle Cloud Infrastructure 之间创建专用专用连接的简单方法。FastConnect 提供比基于互联网的连接更高的带宽选项和更可靠的网络体验。
- 专用对等连接
使用专用 IP 地址扩展现有基础结构。
- VPN 连接
Oracle Cloud Infrastructure VPN 连接是 IPsec VPN,可用于通过公共互联网在 Oracle Cloud 与专用 IT 基础设施之间创建加密连接。
- 动态路由网关 (DRG)
添加到 VCN 的虚拟路由器,用于为 VCN 与其他云专用或内部部署网络之间的专用网络流量提供路径。
- 自治数据库
Oracle Cloud Infrastructure 自治数据库是完全托管的预配置数据库环境,可用于事务处理和数据仓库负载。您无需配置或管理任何硬件,也不需要安装任何软件。Oracle Cloud Infrastructure 负责创建数据库以及备份、打补丁、升级和优化数据库。
- Autonomous Transaction Processing
Oracle Autonomous Transaction Processing 是一种具有自我驱动、自我保护和自我修复功能的数据库服务,针对事务处理工作负载进行了优化。您无需配置或管理任何硬件,也不需要安装任何软件。Oracle Cloud Infrastructure 负责创建数据库以及备份、打补丁、升级和优化数据库。
- Oracle Integration Cloud (Oic)
借助 Oracle Integration Cloud,您可以集成云和内部部署应用、自动执行业务流程、深入了解业务流程、开发可视化应用、使用符合 SFTP 的文件服务器存储和检索文件,以及与 B2B 贸易伙伴交换业务文档。
- OIC 连接代理
使用连接代理,可以在专用或内部部署网络和 Oracle Integration Cloud 中的应用程序之间创建混合集成和交换消息。
- 主干
通过专用安全网络将 Oracle IaaS 和 PaaS 服务连接到在相同或任何其他 OCI 区域运行的 Oracle SaaS。
- 客户终端设备 (CPE)
表示驻留在内部部署网络中的网络资产并建立 VPN 连接的对象。大多数边界防火墙充当 CPE,但单独的设备(例如设备或服务器)可以是 CPE。
- AWS Virtual Private Cloud (Amazon Web Services VPC)
使您可以将 AWS 资源启动到您定义的虚拟网络中。该虚拟网络与您在自己的数据中心运营的传统网络非常相似,并且具备使用 AWS 可扩展基础设施的优势。
建议
- VCN
创建 VCN 时,根据计划连接到 VCN 中的子网的资源数量,确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。
选择与要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure、您的内部部署数据中心或其他云提供商)不重叠的 CIDR 块。
创建 VCN 后,您可以更改、添加和删除其 CIDR 块。
设计子网时,请考虑流量和安全性要求。将特定层或角色中的所有资源连接到可以用作安全边界的同一子网。
使用区域子网。
- 限制对 OIC 实例的访问
通过配置允许列表(以前称为白名单),限制可以访问 Oracle Integration 实例的网络。只有来自您指定的特定 IP 地址、无类域间路由 (Classless Inter-Domain Routing, CIDR) 块和虚拟云网络的用户才能访问 Oracle Integration 实例。
- 连接
将资源部署到 Oracle Cloud Infrastructure 时,您可能会从小规模开始,与内部部署网络建立单一连接。此单一连接可以通过 FastConnect 或通过 IPSec VPN 进行。要规划冗余,请考虑内部部署网络与 Oracle Cloud Infrastructure 之间的所有组件(硬件设备、设备、电路和电源)。同时考虑多样性,以确保在路径之间不共享设施。
- 在高可用性环境中使用连接代理
您可以将高可用性环境中的连接代理与 Oracle Integration 一起使用。您在不同的主机上安装两次连接代理。连接代理可以横向扩展,从而为代理组运行多个代理的所有好处。这样可以提高性能并扩大故障转移优势。
考虑事项
部署此引用体系结构时,请考虑以下几点。
- 可扩展性
创建 Oracle Integration 实例时,管理员指定他们计划用于每个实例的消息包数。
- 资源限制
考虑租户的最佳实践、按服务限制以及区间限额。
- 安全性
使用 OCI 身份和访问管理 (Identity and Access Management, IAM) 策略控制谁可以访问云资源以及可以执行的操作。要保护数据库密码或任何其他密钥,请考虑使用 OCI Vault 服务。
- 绩效和成本
OCI 提供了计算配置,可满足各种应用和用例的需要。请仔细选择计算实例的配置。选择以最低成本为负载提供最佳性能的配置。如果需要更高的性能、内存或网络带宽,您可以更改为更大的配置。
- 可用性
可以考虑根据您的部署要求和区域使用高可用性选项。这些选项包括在一个区域中的多个可用性域之间分配资源,以及在可用性域中的容错域之间分配资源。
容错域可以为在单个可用性域中部署的工作负载提供卓越的弹性。要在应用层中实现高可用性,请在不同的容错域中部署应用服务器,并使用负载平衡器在应用服务器之间分配客户端流量。
- 监视和预警
设置对节点的 CPU 和内存使用情况的监视和预警,以便您可以根据需要扩展或收缩配置。