使用 OCI 证书在 Oracle Cloud VMware Solution 上托管的安全 Web 应用
通过将 Oracle Cloud VMware Solution 与 Oracle Cloud Infrastructure Certificates 和 Oracle Cloud Infrastructure Load Balancing (LBaaS) 集成,安全地发布关键应用。
在不断发展的云计算环境中,两个关键组件已成为优化 Web 应用性能、安全性和可扩展性的重要支柱:负载平衡器和 SSL/TLS 证书。这些元素在确保云环境中的无缝操作、数据完整性和用户信任方面发挥着关键作用。
负载平衡器在多个服务器或实例之间分配传入网络流量,以防止任何单个服务器被淹没,从而确保最佳利用率和响应能力。
通过数据遍历网络,确保其保密性和完整性至关重要。这就是 SSL/TLS 证书发挥作用的地方。这些数字证书用于协商加密通信通道,防止窃听、篡改或未经授权的访问。
云基础设施中的负载平衡器和 SSL/TLS 证书是强大的组合。负载平衡器可确保高效分配流量,优化性能并防止超载,而 SSL/TLS 证书可保护数据传输、维护机密性和完整性。这种协同作用不仅增强了最终用户体验,还显著增强了 Oracle Cloud VMware Solution 上托管的 Web 服务器的整体安全状况。
Oracle Cloud VMware Solution 提供客户管理的原生基于 VMware 的云环境,安装在客户租户中,并使用熟悉的 VMware 工具提供完全控制。
Oracle Cloud Infrastructure (OCI) 是新一代基础设施即服务 (IaaS),提供基于安全优先设计原则的架构。这些原则包括隔离网络虚拟化和原始物理主机部署,这些部署以前很难通过早期的公共云设计来实现。借助这些设计原则,OCI 有助于降低高级持久性威胁带来的风险。
此参考架构介绍了 Oracle Cloud VMware Solution 与 OCI Certificates 和 Oracle Cloud Infrastructure Load Balancing (LBaaS) 的集成选项,可帮助客户安全地发布关键应用。但是,LBaaS 也可以在没有证书服务的情况下使用。
体系结构
此逻辑参考体系结构侧重于在 Oracle Cloud VMware Solution 工作负载中运行的 Web 服务器前使用 OCI 证书。
这些证书使用原生 OCI 证书生成,并由 OCI 第 7 层负载平衡器用于 SSL 负载转移。Web 服务器以虚拟机 (VM) 的形式在 Oracle Cloud VMware Solution SDDC 内运行。
此逻辑图表示在 OCI 第 7 层负载平衡器上描述 SSL 负载转移的整体流量流,并受 OCI 证书颁发的证书信任。
ocvs-traffic-flow-diagram-oracle.zip
下图展示了从 OCI 负载平衡器到 Oracle Cloud VMware Solution SDDC 中托管的 Web 服务器的两种网络连接选项。它还描述了从 OCI 中运行的证书颁发机构 (CA) 颁发 SSL 证书,以便通过将其与 OCI 负载平衡器集成来安全访问 Web 服务器。
注意:
OCI 证书颁发的证书只能在 OCI 负载平衡器中使用,并且功能不能扩展到 Web 服务器以实现端到端 SSL。在将 Oracle Cloud VMware Solution 中托管的 Web 服务器连接到虚拟云网络时,有两个连接选项:
- NSX 段
- 虚拟局域网 (Virtual Local Area Network,VLAN) 支持的端口组
NSX 段利用软件定义的网络 (SDN) 创建隔离且逻辑分段的网络。这种方法有几个好处:
- 微分段:NSX 段允许微分段,从而实现单个工作负载的隔离和安全。
- 动态扩展:NSX 段具有高度的可扩展性,可以按需预配,从而适应网络流量和工作负载需求的变化。
- 逻辑分组:可以根据应用层或安全要求对 VM 进行分组,并且可以在段级别应用策略,从而确保在整个网络中实现一致的实施。
- 增强管理:NSX 为网络配置、安全策略和流量流提供集中管理。
与 NSX 段的动态性质不同,VLAN 支持的端口组使用传统 VLAN 技术在虚拟化环境中隔离 VM。以下是此方法的一些主要特征:
- 简单和熟悉:对于已经熟悉 VLAN 的组织,使用 VLAN 支持的端口组可以简单而熟悉,只需要很少的额外培训。
- 资源共享:虽然 VLAN 可以隔离网络流量,但在策略实施和微分段方面,它们可能无法提供与 NSX 段相同的粒度级别。
选择合适的方法
使用 NSX 段或 VLAN 支持的端口组的决定取决于各种因素,包括组织的特定需求、现有基础设施和安全要求。
NSX 段和 VLAN 支持的端口组在虚拟化环境中管理虚拟机方面都具有明显的优势。NSX 段在提供微分段、动态扩展和集中管理方面表现出色,而 VLAN 支持的端口组则为那些已经习惯于传统 VMware 网络的用户提供简单和熟悉。
在以下部分中,我们将显示与 NSX 段和 VLAN 支持的端口组中部署的 Web 服务器的 LBaaS 连接方面。
连接到 NSX 叠加段的 Web 服务器
将 OCI 负载平衡器的各个方面与连接到 OCVS 中 NSX 覆盖段的 Web 服务器连接,并使用 OCI 证书颁发证书以安全发布在 OCVS 中运行的 Web 服务器。
此引用体系结构的主要目标是展示以下目标。
- OCI 负载平衡器的连接方面,Web 服务器连接到 Oracle Cloud VMware Solution SDDC 中的 NSX 叠加段。
- 使用证书管理器颁发证书以安全发布在 Oracle Cloud VMware Solution SDDC 中运行的 Web 服务器。
连接到 NSX 叠加网络段的 Web 服务器的体系结构如下所示。
Web-server-nsx-diagram-oracle.zip
架构组件
体系结构具有以下组成部分。
- Oracle Cloud VMware Solution :托管 Web 服务器的客户租户中的环境。
- NSX 覆盖段:NSX 覆盖段提供与 Web 服务器的网络连接。
- 第 0 层路由器:在逻辑网络和物理网络(南北)之间提供网关服务的逻辑路由器。
- Tier 1 路由器:NSX 覆盖段连接到 Tier 1 路由器并控制东西流量。
- NSX Edge 上行链路 1 VLAN:此 VLAN 是 OCI 底层网络与 NSX 叠加网络之间的接口,用于桥接叠加 (NSX) 和底层 (VCN) 网络之间的通信。
- Web 服务器:Web 服务器是部署在 Oracle Cloud VMware Solution SDDC 中的 VM。
- OCI 负载平衡器 (LBaaS):用于平衡到 Web 服务器的流量的 OCI 第 7 层负载平衡器。OCI 提供的公共 IP 或您的 IP 可以与负载平衡器一起使用。
- 健康检查:后端 Web 服务器配置有 HTTP 健康检查。
- 监听程序:使用 HTTPS 配置监听程序以进行 SSL 卸载。
- OCI 证书管理器服务:OCI 证书管理器服务有助于提供对服务器、Web 应用程序等的 SSL/TLS 安全访问。管理员可以创建和管理与 OCI Load Balancing 集成的专用证书颁发机构 (CA) 层次结构和 TLS 证书。
- 证书颁发机构 (Certificate Authority,CA):将专用证书颁发机构配置为颁发证书。
- Vault:Vault 为不断增长的数据和应用加密提供可扩展的密钥存储。
- 密钥:具有 HSM 模式的 RSA(非对称密钥)是证书唯一支持的密钥。
连接到 VLAN 网络的 Web 服务器
将 OCI 负载平衡器与连接到 VLAN 网络支持的 vSphere DvPortGroup 的 Web 服务器连接,并使用 OCI 证书颁发证书以安全发布在 OCVS SDDC 中运行的 Web 服务器。
此引用体系结构的主要目标是展示以下目标。
- OCI 负载平衡器的连接方面,Web 服务器连接到 VLAN 网络支持的 vSphere DvPortGroup。
- 使用 OCI 证书管理器颁发证书以安全发布在 Oracle Cloud VMware Solution SDDC 中运行的 Web 服务器。
连接到 VLAN 支持网络的 Web 服务器的体系结构如下所示。
web-server-vlan-diagram-oracle.zip
架构组件
体系结构具有以下组成部分。
- Oracle Cloud VMware Solution :托管 Web 服务器的客户租户中的环境。
- VLAN 网络:在 Oracle Cloud VMware Solution VCN 中为 Web 服务器创建的专用 VLAN。此网络被视为底层网络。
- vSphere 分布式交换机 (VDS):vCenter 中的虚拟交换机,用于为 Oracle Cloud VMware Solution 工作负载提供虚拟网络功能。
- vSphere 分布式端口组:每个成员端口的端口配置选项。VLAN 支持的网络,表示 Oracle Cloud VMware Solution 工作负载的基础。
- Web 服务器:Web 服务器是部署在 Oracle Cloud VMware Solution SDDC 中的 VM。
- OCI 负载平衡器 (LBaaS):用于平衡到 Web 服务器的流量的 OCI 第 7 层负载平衡器。OCI 提供的公共 IP 或您的 IP 可以与负载平衡器一起使用。
- 健康检查:后端 Web 服务器配置有 HTTP 健康检查。
- 监听程序:使用 HTTPS 配置监听程序以进行 SSL 卸载。
- OCI 证书: OCI 证书有助于为服务器、Web 应用程序等提供 SSL/TLS 安全访问。管理员可以创建和管理与 OCI Load Balancing 集成的专用证书颁发机构 (CA) 层次结构和 TLS 证书。
- 证书颁发机构 (Certificate Authority,CA):配置为颁发证书的专用证书颁发机构。
- Vault:Vault 为不断增长的数据和应用加密提供可扩展的密钥存储。
- 密钥:具有 HSM 模式的 RSA(非对称密钥)是证书唯一支持的密钥。
关于必需的服务
此解决方案需要以下服务:
- Oracle Cloud VMware 解决方案
- OCI 负载平衡
- OCI 证书
这些是每项服务所需的角色。
| 服务名称 | 需要 ... |
|---|---|
| Oracle Cloud VMware 解决方案 | 使用 VMware vSphere 运行工作负载。 |
| OCI 负载平衡 | 负载平衡流量。 |
| OCI 证书 | 发放和管理证书。 |
要满足您的需求,请参阅 Oracle 产品、解决方案和服务。