部署 。Oracle Cloud Infrastructure 上的 NET 应用
应用容器具有许多优势,因为它们是不可变的,可以提供可移植的基础设施,而且可以轻松扩展。正在运行的组织。NET 应用可以利用此类优势,容器化和部署。Oracle Cloud Infrastructure (OCI) 上的 NET 应用程序。
。需要从 移植 NET 应用程序。将框架设置为 。在 Linux 容器上运行的 NET。在此体系结构中,Oracle 数据库是应用程序的基础数据库。如果存在。NET 应用使用不同的数据库,您可以使用某些工具和迁移方法将这些数据库迁移到 OCI 中的 Oracle 数据库。
体系结构
此体系结构基于部署所需的基础结构。在 OCI 上使用 NET 应用。
下图说明了此参考体系结构。
插图 deploy-net-oci-arch.png 的说明
deploy-net-oci-arch-oracle.zip
- 租户
注册 Oracle Cloud Infrastructure 时,Oracle 会为您的公司创建租户。租户是 Oracle Cloud Infrastructure 中的安全隔离分区,您可以在其中创建、组织和管理云资源。
- 区域
OCI 区域是一个局部地理区域,包含一个或多个数据中心,称为可用性域。区域与其他区域无关,它们的距离可以分离(跨国家 / 地区甚至大陆)。
- 区间
区间是 OCI 租户中的跨区域逻辑分区。使用区间在 Oracle Cloud 中组织资源、控制对资源的访问并设置使用限额。要控制对给定区间中资源的访问,您可以定义策略来指定谁可以访问资源以及他们可以执行的操作。
- 可用性域
可用性域是一个区域中的独立数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,以提供容错功能。可用性域不共享基础设施(例如电源或冷却设备)或内部可用性域网络。因此,一个可用性域出现故障不太可能影响区域中的其他可用性域。
- 容错域
容错域是可用性域内的一系列硬件和基础设施。每个可用性域都具有三个具有独立电源和硬件的容错域。当您在多个容错域中分配资源时,应用可以承受容错域中的物理服务器故障、系统维护和电源故障。
- 虚拟云网络 (VCN) 和子网
VCN 是您在 OCI 区域中设置的可定制软件定义网络。与传统的数据中心网络一样,VCN 允许您完全控制您的网络环境。一个 VCN 可以具有多个不重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 细分到子网,从而限定在区域或可用性域范围内。每个子网都包含不与 VCN 中的其他子网重叠的连续地址范围。创建子网后可以更改子网的大小。子网可以是公共子网,也可以是专用子网。
- 负载平衡器
Oracle Cloud Infrastructure Load Balancing 服务可提供从单个入口点到后端多个服务器的自动流量分配。通过负载平衡器可以访问不同的应用。
-
安全列表
对于每个子网,您可以创建安全规则来指定必须允许进出子网的源、目的地和流量类型。
- Internet 网关
互联网网关是可选的虚拟路由器,您可以将其添加到 VCN 来实现与互联网的直接连接。
- 容器注册表
Oracle Cloud Infrastructure Registry(也称为容器注册表)是一款由 Oracle 管理的注册表,可帮助您简化开发到生产工作流。作为一个开发人员,容器注册表帮助您轻松存储、共享和管理容器映像(例如 Docker 映像)。OCI 具有高可用性和可扩展性的架构可确保您可以可靠地部署应用,因此您不必担心运营问题或扩展底层基础设施。
- Cloud Guard
您可以使用 Oracle Cloud Guard 监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用您可以定义的检测器配方来检查资源是否存在安全漏洞,以及监视操作员和用户是否存在有风险的活动。检测到任何错误配置或不安全活动时,Cloud Guard 会根据您可定义的响应器配方建议采取更正操作并帮助执行这些操作。
- 安全区域
安全区域从一开始就确保 Oracle 的安全最佳实践:实施加密数据等策略并阻止对整个区间的公共网络访问。安全区域与同名区间关联,并包括安全区域策略或适用于区间及其子区间的“配方”。无法将标准区间添加到安全区域区间或将其移动到安全区域区间。
- 对象存储
通过对象存储,可以快速访问任意内容类型的大量结构化和非结构化数据,包括数据库备份、分析数据以及图像和视频等丰富内容。您可以安全可靠地存储数据,然后直接从互联网或云平台检索数据。您可以无缝扩展存储,而不会导致性能或服务可靠性降低。对于需要快速、立即和频繁访问的“热”存储,使用标准存储。将归档存储用于“冷”存储,您长时间保留这些存储并且很少或很少访问。
- Container Engine for Kubernetes
Oracle Container Engine for Kubernetes (OKE) 是一项由 Oracle 管理的容器编排服务,可以减少构建现代云原生应用的时间和成本。DevOps 工程师可以使用未修改的开源 Kubernetes 实现应用负载可移植性,并通过自动更新和打补丁简化操作。
- Oracle Database Cloud Service
Oracle Database Cloud Service 可帮助您轻松在云中构建、扩展和保护 Oracle 数据库。在数据库系统上创建数据库。作为具有块存储卷的虚拟机,两者都提供高性能和高成本效益的定价。该服务还在虚拟云网络层的虚拟机服务器上启用“云端先行”Oracle RAC 实施。
建议
- VCN
创建 VCN 时,根据您计划连接到 VCN 中子网的资源数,确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。
选择不与要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure、内部部署数据中心或其他云提供商中)重叠的 CIDR 块。
创建 VCN 后,您可以更改、添加和删除其 CIDR 块。
设计子网时,请考虑流量和安全要求。将特定层或角色中的所有资源连接到同一子网,这些子网可以用作安全边界。
使用区域子网。
- 安全性
使用 Oracle Cloud Guard 主动监视和维护 OCI 中资源的安全。Cloud Guard 使用您可以定义的检测器配方来检查资源是否存在安全漏洞,以及监视操作员和用户是否存在有风险的活动。检测到任何错误配置或不安全活动时,Cloud Guard 会根据您可定义的响应器配方建议采取更正操作并帮助执行这些操作。
对于需要最大安全性的资源,Oracle 建议使用安全区域。安全区域是与 Oracle 定义的安全策略配方关联的区间,这些策略基于最佳实践。例如,安全区域中的资源不能从公共互联网访问,必须使用客户管理的密钥进行加密。在安全区域中创建和更新资源时,OCI 将根据安全区域配方中的策略验证操作,并拒绝违反任何策略的操作。
- Cloud Guard
克隆和定制 Oracle 提供的默认配方来创建定制检测器和响应器配方。使用这些配方可以指定生成警告的安全违规类型以及允许对其执行哪些操作。例如,您可能希望检测可见性设置为“公共”的对象存储桶。
在租户级别应用 Cloud Guard,以覆盖最广的范围并减少维护多个配置的管理负担。
还可以使用托管列表功能将某些配置应用于检测器。
- 安全区域
通过安全区域,您可以确信 Oracle Cloud Infrastructure 中的资源(包括计算、网络、对象存储和数据库资源)符合 Oracle 安全原则。
安全区域与区间和安全区域配方关联。在安全区域中创建和更新资源时,Oracle Cloud Infrastructure 将根据安全区域配方中定义的策略列表验证这些操作。如果违反了任何安全区域策略,则拒绝该操作。
- 网络安全组 (NSG)
可以使用 NSG 定义一组适用于特定 VNIC 的入站和出站规则。我们建议使用 NSG 而不是安全列表,因为 NSG 使您可以将 VCN 的子网架构与应用的安全要求区分开来。可以使用 NSG 定义一组适用于特定 VNIC 的入站和出站规则。我们建议使用 NSG 而不是安全列表,因为 NSG 使您可以将 VCN 的子网架构与应用的安全要求区分开来。
- 负载平衡器带宽
创建负载平衡器时,您可以选择提供固定带宽的预定义配置,也可以指定定制(灵活)配置,在其中设置带宽范围,让服务根据流量模式自动缩放带宽。无论采用哪种方法,您都可以在创建负载平衡器后随时更改配置。
考虑事项
部署此引用体系结构时,请考虑以下几点。
- 应用程序传送
。需要从 移植 NET 应用程序。将框架设置为 。NET。
- 辅助功能
默认情况下,建议的体系结构不会使用 CDN,但是当需要将 CDN 整合到 OCI 中时,可以对其进行扩展。
- 状态管理
数据库将部署在容器外部,以便更好地管理其状态可用性。
- 可用性
该架构使用 OCI 负载平衡器而非 Kubernetes 入站。