部署多云入站和出站专用网络连接

将在专用网络上运行的服务和应用与使用公共互联网的内部部署企业应用连接起来可能会给您的组织带来安全风险。相反，您可以在专用网络（例如 Amazon Virtual Private Cloud、Microsoft Azure Virtual Network、Google Cloud Virtual Private Cloud 或其他内部部署专用网络）上部署与应用程序的入站和出站专用连接。

使用 Oracle Integration Cloud Service 连接代理和 OCI Oracle Integration Cloud Service 专用端点，Oracle Integration Cloud Service 将入站和出站流量从 OCI 定向到内部部署应用。

体系结构

此架构在多云专用网络与 Oracle 云服务和应用之间提供必要的连接，而无需在 Oracle Integration Cloud Service 的出站和入站集成中通过公共互联网引导流量。当您需要使用 Oracle Integration Cloud Service 仅专用连接并与之交互时，请使用此体系结构。

Oracle Integration Cloud Service 将 REST API 触发器集成服务公开可用，并且默认情况下，所有 REST 触发器集成都可通过公共网络访问。使用 Oracle Integration Cloud Service 允许列表，您可以将对 Oracle Integration Cloud Service 的访问权限仅限于专用使用者。专用使用者不会直接访问 Oracle Integration Cloud Service ，而是通过 OCI API Gateway 表示的 OCI 服务虚拟化层访问。

入站 OCI 交互由 OCI API 网关启用，支持您使用可从网络中访问的专用端点发布 API。在此体系结构中，您将发布 Oracle Integration Cloud Service 集成服务作为私有 API 与 Oracle Integration Cloud Service 结合使用。其他 OCI 服务用于为 Oracle Integration Cloud Service 入站和出站交互启用专用连接。

此体系结构中有 3 种交互类型：

• Oracle Integration Cloud Service 连接代理

  订阅业务服务、应用和专用平台。此体系结构使用 Oracle Integration Cloud Service 连接代理与专用业务服务或应用程序通信。Oracle Integration Cloud Service 连接代理安装在 OCI 计算实例上的 OCI VCN 专用子网中。连接代理通过一端的服务网关与 Oracle Integration Cloud Service 通信，通过动态路由网关 (DRG) 和 FastConnect 专用对等连接或 VPN 与另一端的专用网络上运行的服务或应用程序通信。连接代理实施 Oracle Integration Cloud Service 出站方案，但它能够订阅和轮询业务服务、平台和应用程序（例如 java 消息服务、消息传送队列或数据库）。

• OCI 专用端点连接

  Oracle Integration Cloud Service 中的所有出站流量都通过基于适配器的连接。在为实例创建专用端点时，可以使用各个适配器来保护出站流量和专用端点。例如，Kafka 适配器和 FTP 适配器支持通过专用端点的连接，不需要 Oracle Integration Cloud Service 连接代理。每次 Oracle Integration Cloud Service 更新都会增加专用端点连接适配器支持。

• OCI API 网关

  利用 OCI 服务，无需通过公共网络路由 OCI 入站流量。在 VCN 中使用服务网关扩展 OCI API 网关 专用模式，在其中预配了 OCI API 网关以允许与 Oracle 服务的通信。OCI API Gateway 支持专用平台和应用调用在 OCI 中运行的服务和函数。在此架构中， OCI API 网关支持通过专用连接访问基于 REST API 适配器触发的集成和 Oracle Integration Cloud Service 管理 API。

下图说明了此参考体系结构。

插图 integration-cloud-private-inbound-outbound.png 的说明

integration-cloud-private-inbound-outbound.zip（集成 - 云 - 专用 - 入站 -outbound.zip）

体系结构具有以下组成部分：

• 区域

  Oracle Cloud Infrastructure 区域是一个本地化的地理区域，其中包含一个或多个称为可用性域的数据中心。区域独立于其他区域，远距离可以区分它们（跨国家甚至大陆）。

• 可用性域

  可用性域是区域中的独立数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离，从而提供容错功能。可用性域不共享基础设施（例如电源或冷却设备），也不共享内部可用性域网络。因此，一个可用性域出现故障不应影响区域中的其他可用性域。

• 容错域

  容错域是可用性域内一组硬件和基础设施。每个可用性域具有三个具有独立电源和硬件的容错域。在多个容错域之间分配资源时，应用可以承受容错域内的物理服务器故障、系统维护和电源故障。

• 虚拟云网络 (VCN) 和子网

  VCN 是您在 Oracle Cloud Infrastructure 区域中设置的可定制软件定义网络。与传统数据中心网络一样，VCN 允许您完全控制您的网络环境。一个 VCN 可以具有多个不重叠的 CIDR 块，您可以在创建 VCN 后更改这些块。您可以将 VCN 细分为多个子网，这些子网可以限定在某个区域或可用性域中。每个子网都包含一系列不与 VCN 中的其他子网重叠的地址。您可以在创建后更改子网的大小。子网可以是公共子网，也可以是专用子网。

• 路由表

  虚拟路由表包含用于将流量从子网路由到 VCN 外部（通常通过网关）的目标的规则。

• 安全列表

  对于每个子网，您可以创建安全规则来指定必须允许传入和传出子网的通信的源、目的地和类型。

• Dynamic routing gateway，DRG（动态路由网关）

  DRG 是一个虚拟路由器，它为同一区域中的 VCN 之间、区域外的 VCN 与网络之间的专用网络流量提供路径，例如另一个 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或另一个云提供商中的网络。

• Customer-premises equipment，CPE（客户终端设备）

  表示位于内部部署网络中并建立 VPN 连接的网络资产的对象。大多数边界防火墙充当 CPE，但单独的设备（如设备或服务器）可以是 CPE。

• 站点到站点 VPN

  站点到站点 VPN 可在本地网络与 Oracle Cloud Infrastructure 中的 VCN 之间提供 IPSec VPN 连接。IPSec 协议套件会在数据包从源传输到目标之前对 IP 通信进行加密，并在数据包到达时对通信进行解密。

• FastConnect

  Oracle Cloud Infrastructure FastConnect 提供了一种在您的数据中心与 Oracle Cloud Infrastructure 之间创建专用私有连接的简单方式。与基于 Internet 的连接相比，FastConnect 提供了更高的带宽选项和更可靠的网络体验。

• OCI 专用端点

  OCI 专用端点是专用 OCI 资源，可用于从 Oracle Cloud Infrastructure Resource Manager 访问租户中的非公共云资源。Oracle Integration Cloud Service 通过专用端点路由流量和程序包。所有流量都保留在您的专用网络上，而无需通过公共互联网。

• API 网关

  通过 Oracle API Gateway，您可以使用可从网络访问的专用端点发布 API，并且您可以根据需要向公共互联网公开这些端点。端点支持 API 验证、请求和响应转换、CORS、验证和授权以及请求限制。

• Oracle Integration Cloud Service

  Oracle Integration Cloud Service 是一项完全托管的服务，允许您集成应用、自动执行流程、交换业务文档 B2B 和创建可视化应用。

• 函数

  Oracle Cloud Infrastructure Functions 是一个完全托管、多租户、高度可扩展的按需函数即服务 (FaaS) 平台。它由 Fn Project 开源引擎提供支持。使用函数可以部署代码，并可直接调用代码或触发代码以响应事件。Oracle Functions 使用 Oracle Cloud Infrastructure Registry 中托管的 Docker 容器。

• Oracle Cloud Infrastructure AI 服务

  Oracle Cloud Infrastructure AI Services 是一个包含预构建机器学习模型的服务集合，可帮助开发人员更轻松地将 AI 应用到应用和业务运营中。可以对模型进行自定义训练，以获得更准确的业务结果。有关详细信息，请参阅 Oracle Cloud Infrastructure Generative AI 、Oracle Cloud Infrastructure Language 、Oracle Cloud Infrastructure Speech 、Oracle Cloud Infrastructure Vision 和 Oracle Cloud Infrastructure 文档理解。

• 机器学习服务 (ML)

  Oracle 提供的机器学习服务可以更轻松地构建、训练、部署和管理定制学习模型。这些服务提供数据科学功能，支持您使用常用的开源库和工具，或通过数据库内机器学习和直接访问清理的数据。请参阅 Oracle Cloud Infrastructure Data Science 、Machine Learning in Oracle Database、Oracle Cloud Infrastructure Data Labeling 和 OCI Virtual Machines for Data Science。

• Oracle Digital Assistant

  数字助手是一种虚拟设备，可帮助用户通过自然语言对话完成任务，而无需管理各种应用和网站。

• 身份和访问管理 (IAM)

  Oracle Cloud Infrastructure Identity and Access Management (IAM) 是 Oracle Cloud Infrastructure (OCI) 和 Oracle Cloud Applications 的访问控制层。通过 IAM API 和用户界面，您可以管理身份域和身份域中的资源。每个 OCI IAM 身份域表示一个独立的身份和访问管理解决方案或不同的用户群体。

• 策略

  Oracle Cloud Infrastructure Identity and Access Management 策略指定谁可以访问哪些资源以及如何访问这些资源。在组和区间级别授予访问权限，这意味着您可以编写策略，为组提供特定区间内或租户的特定类型的访问权限。

• 审计

  Oracle Cloud Infrastructure Audit 服务将对所有受支持的 Oracle Cloud Infrastructure 公共应用编程接口 (API) 端点的调用自动记录为日志事件。目前，所有服务都支持 Oracle Cloud Infrastructure Audit 进行日志记录。

• 日志记录
  日志记录是一项高度可扩展且完全托管的服务，它支持从云中的资源访问以下类型的日志：

  • 审计日志：与审计服务发出的事件相关的日志。
  • 服务日志：各个服务发出的日志，如 API 网关、事件、函数、负载平衡、对象存储和 VCN 流日志。
  • 定制日志：包含来自定制应用程序、其他云提供商或内部部署环境的诊断信息的日志。
• Oracle Cloud Infrastructure Logging Analytics

  Oracle Cloud Infrastructure Logging Analytics 是一项基于机器学习的云服务，可监视、聚合、索引和分析来自本地部署环境和多云环境的所有日志数据。使用户能够搜索和研究这些数据并进行关联，从而更快地排除和解决问题，并获得洞察力，从而做出更好的运营决策。

• 对象存储

  通过对象存储，可以快速访问任意内容类型的大量结构化和非结构化数据，包括数据库备份、分析数据以及图像和视频等丰富内容。您可以安全、安全地存储数据，然后直接从互联网或云平台检索数据。您可以无缝扩展存储，而不会在性能或服务可靠性方面出现任何下降。将标准存储用于“热”存储，以便您快速、立即和频繁地访问。将归档存储用于长时间保留的“冷”存储，很少或很少访问。

推荐

使用以下建议作为起点。您的要求可能不同于此处所述的体系结构。

• VCN

  创建 VCN 时，请根据您计划附加到 VCN 中的子网的资源数确定所需的 CIDR 块数和每个块的大小。使用位于标准专用 IP 地址空间内的 CIDR 块。

  选择与您打算设置专用连接的任何其他网络（在 Oracle Cloud Infrastructure 、内部部署数据中心或其他云提供商中）不重叠的 CIDR 块。

  创建 VCN 后，您可以更改、添加和删除其 CIDR 块。

  设计子网时，请考虑流量和安全要求。将特定层或角色内的所有资源连接到同一子网，该子网可以充当安全边界。

• 连接

  将资源部署到 Oracle Cloud Infrastructure 时，您可以从小规模起步，只需与内部部署网络建立单个连接。此单个连接可以通过 FastConnect 或 IPSec VPN 进行。要规划冗余，请考虑本地网络与 Oracle Cloud Infrastructure 之间的所有组件（硬件设备、设备、电路和电源）。还要考虑多样性，以确保设施不会在路径之间共享。

• 限制对 Oracle Integration Cloud Service 实例的访问

  通过配置允许列表（以前是白名单）来限制有权访问 Oracle Integration Cloud Service 实例的网络。只有来自您指定的特定 IP 地址、无类域间路由 (Classless Inter-Domain Routing，CIDR) 块和虚拟云网络的用户才能访问 Oracle Integration Cloud Service 实例。

• 专用端点网络

  VCN 必须与 Oracle Integration Cloud Service 实例位于同一区域中。VCN 和子网可以位于任何区间中，并且可以位于相同或不同的区间中。子网可以是公共子网或专用子网，但必须是专用的子网才能进行专用访问。

注意事项

部署此引用体系结构时，请考虑以下几点。

• 可扩展性

  创建 Oracle Integration Cloud Service 实例时，管理员指定他们计划为每个实例使用的消息包数。

• 资源限制

  考虑您的租户的最佳实践、按服务列出的限制以及区间限额。

• 安全

  使用 Oracle Cloud Infrastructure Identity and Access Management 策略控制谁可以访问您的云资源以及可以执行哪些操作。OCI 云服务使用 Oracle Cloud Infrastructure Identity and Access Management 策略，例如允许 OCI API Gateway 调用函数。OCI API Gateway 还可以使用 OAuth 验证和授权来控制访问。Oracle Cloud Infrastructure Identity and Access Management 允许通过 Oracle Cloud Infrastructure Identity and Access Management 联合进行身份验证和授权，因此， OCI API Gateway 能够针对各种服务和身份验证设置进行身份验证。

• 性能和成本

  OCI 提供可满足各种应用和用例需求的计算配置。仔细为您的计算实例选择配置。选择能够以最低成本为您的负载提供最佳性能的配置。如果您需要更高的性能、内存或网络带宽，则可以更改为更大的配置。

  OCI API Gateway 通过与外部高速缓存服务器（例如 Redis 或 KeyDB 服务器）集成来支持响应高速缓存，以帮助避免在后端服务上进行不必要的负载。缓存响应时，如果收到类似请求，则可以通过从响应高速缓存检索数据来完成响应，而不是将请求发送到后端服务。这样可以减少后端服务的负载，从而有助于提高性能和降低成本。

  OCI API 网关还缓存授权令牌（根据其离开时间），减少身份提供商的负载并提高性能。

• 可用性

  请考虑根据您的部署要求和区域使用高可用性选项。这些选件包括在一个区域中的多个可用性域之间分配资源，以及在可用性域中的容错域之间分配资源。对于在单个可用性域中部署的工作负载，容错域可提供卓越的弹性。为了在应用层实现高可用性，请在不同的容错域中部署应用服务器，并使用负载平衡器在应用服务器之间分配客户端流量。

• 监视和预警

  对节点的 CPU 和内存使用情况设置监视和预警，以便您可以根据需要纵向扩展或收缩配置。

部署

您可以按照以下步骤在 Oracle Cloud Infrastructure 上部署此参考架构：

1. 登录到 OCI 控制台。
2. 按架构图所示设置所需的网络基础设施：VCN、子网、动态路由网关、安全列表、路由表、服务网关、FastConnect/VPN、CPE 和 OCI 专用端点。
3. 预配 Oracle Integration Cloud Service 实例。
4. 安装 Oracle Integration Cloud Service 连接代理。
   1. 导航到 Oracle Integration Cloud Service 控制台并创建代理组。
   2. 按照说明下载和运行连接代理安装程序。
   3. 导航到 OCI 控制台，并根据 Oracle Integration Cloud Service 系统要求选择计算配置。
5. 配置 Oracle Integration Cloud Service 专用端点。
6. 创建 OCI API 网关实例。
7. 如果需要，通过配置允许列表来限制具有 Oracle Integration Cloud Service 实例访问权限的网络。

浏览更多

有关通过 Oracle Integration Cloud Service 部署多云专用网络连接的说明和上下文，请查看这些资源。

Oracle Integration Cloud Service

• Download and Run the Connectivity Agent Installer in Provisioning and Administering Oracle Integration 3
• Provisioning and Administering Oracle Integration 3 中的 System Requirements
• Provisioning and Administering Oracle Integration 3 中的 Prerequisites for Configuring a Private Endpoint
• Provisioning and Administering Oracle Integration 3 中的 About Connecting to Endpoints Using a Private Virtual Cloud Network (VCN)
• Provisioning and Administering Oracle Integration 3 中的 Connect to Private Resources

Oracle Cloud Infrastructure API 网关

• Oracle Cloud Infrastructure 文档中的 API Gateway QuickStart 指南
• Oracle API Gateway 文档

Oracle Cloud Infrastructure

• Oracle Cloud Infrastructure 优秀实践框架
• Oracle Cloud 成本估算器
• Oracle API 管理
• Oracle Cloud Infrastructure 文档中的 FastConnect 概述
• Oracle Cloud Infrastructure 文档中的 "Networking Overview"
• Oracle Cloud Infrastructure 文档中的安全概述
• 通过 Oracle Integration Cloud 建立多云专用网络连接

确认

操作员：

• Peter Obert, Pavan Rajalbandi

内容提供者：

• Marcel Straka