在混合环境中部署 Oracle API Gateway 服务
体系结构
此体系结构描述了内部部署客户数据中心和 Oracle Cloud Infrastructure (OCI) 区域,其中包含区间和两个可用性域,它们使用 API Gateway 服务器提供公共互联网访问环境。
内部部署客户数据中心利用 API 网关在安全、可扩展的环境中规划、创建、构建、部署和管理 API。内部部署环境可以是专用 API 环境,也可以是公共 API 环境的一部分,其中 API 可以与公共互联网共享。
API 网关充当 API 设计器门户和开发人员门户。API 设计器是 API 设计器创建、测试、部署和管理 API 的位置,开发人员门户是 API 使用者可以查看 API、API 文档并尝试 API 的位置。
下图说明了此参考体系结构。
图示 api-gateway-hybrid.png的说明
该体系结构包含以下组件:
- 区域
Oracle Cloud Infrastructure 区域是一个本地化地理区域,包含一个或多个称为可用性域的数据中心。区域独立于其他区域,大片距离可以分开(跨国家甚至大陆)。
- 可用性域
可用性域是区域内的独立数据中心。每个可用性域中的物理资源都与其他可用性域中的资源隔离,从而提供容错能力。可用性域不共用电源或冷却设备等基础设施,也不共享内部可用性域网络。因此,一个可用性域出现故障不太可能影响区域中的其他可用性域。
- 故障域
故障域是可用性域内一组硬件和基础设施。每个可用性域都有三个容错域,具有独立电源和硬件。在多个容错域之间分配资源时,您的应用可以在容错域内承受物理服务器故障、系统维护和电源故障。
- 虚拟云网络 (VCN) 和子网
VCN 是在 Oracle Cloud Infrastructure 区域中设置的可定制软件定义的网络。与传统的数据中心网络类似,VCN 允许您完全控制您的网络环境。VCN 可以有多个不重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 细分为多个子网,这些子网可以限定于某个区域或可用性域。每个子网都包含与 VCN 中的其他子网不重叠的连续地址范围。您可以在创建子网后更改其大小。子网可以是公共的,也可以是专用的。
- FastConnect
Oracle Cloud Infrastructure FastConnect 提供了一种在数据中心与 Oracle Cloud Infrastructure 之间创建专用专用专用连接的方式。与基于 Internet 的连接相比,FastConnect 提供更高带宽选项和更可靠的网络体验。
- Oracle Cloud Infrastructure Web Application Firewall (WAF)
Oracle Cloud Infrastructure Web Application Firewall 是基于云的支付卡行业 (Payment Card Industry, PCI) 合规性全球安全服务,可以保护应用,使其免受恶意和不需要的互联网流量干扰。WAF 可以保护任何面向互联网的端点,并在客户应用之间实现一致的规则实施。
- Internet 网关
互联网网关允许 VCN 中的公共子网与公共互联网之间的流量。
- 负载平衡器
Oracle Cloud Infrastructure Load Balancing服务提供从单个入口点到后端多个服务器的自动流量分配。
- 动态路由网关 (DRG)
DRG 是虚拟路由器,用于为 VCN 与区域外网络之间的专用网络通信提供路径,例如另一个 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或其他云提供商中的网络。
- 本地对等连接网关 (LPG)
通过 LPG,您可以将一个 VCN 与同一区域中的另一个 VCN 对等。对等连接意味着 VCN 使用专用 IP 地址进行通信,而不通过互联网或通过内部部署网络进行路由。
- API 网关
通过 API 网关服务,您可以发布具有可通过网络访问的专用端点的 API,并且可以在需要时公开到公共互联网。端点支持 API 验证、请求和响应转换、CORS、验证和授权以及请求限制。
建议
- VCN
创建 VCN 时,请根据您计划附加到 VCN 中的子网的资源数量确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。
选择与要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure、内部部署数据中心或其他云提供商中)不重叠的 CIDR 块。
创建 VCN 后,可以更改、添加和删除其 CIDR 块。
设计子网时,请考虑您的流量和安全性要求。将特定层或角色中的所有资源连接到可充当安全边界的同一子网。
使用区域子网。
- 安全性
使用 Oracle Cloud Guard 可主动监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用检测器配方,您可以定义这些配方来检查资源是否存在安全漏洞,并监视操作员和用户是否有风险活动。检测到任何错误配置或不安全活动时,Cloud Guard 会建议您采取纠正措施,并根据可以定义的响应方配方来帮助采取这些操作。
对于需要最大安全性的资源,Oracle 建议您使用安全区域。安全区域是与基于优秀实践的 Oracle 定义的安全策略配方关联的区间。例如,安全区域中的资源不能从公共互联网访问,必须使用客户管理的密钥进行加密。在安全区域中创建和更新资源时,Oracle Cloud Infrastructure 将根据安全区域配方中的策略验证操作,并拒绝违反任何策略的操作。
考虑事项
部署 Oracle API Gateway 时,请考虑以下事项:
- 性能
您可以使用各种配置选项来优化 API Gateway 性能。例如,常规性能优化选项包括跟踪、监视和日志记录。更高级的性能优化选项包括数据库池、HTTP 保持活动状态、分块编码、客户机线程和 Java 内存。
- 安全性
使用 Oracle Cloud Infrastructure Identity and Access Management 策略控制谁可以访问云资源以及可以执行哪些操作。
要保护密码或任何其他密钥,请考虑使用 Oracle Cloud Infrastructure Vault 服务。
- 可用性
请考虑根据您的部署需求和区域使用高可用性选项。这些选项包括在区域中的多个可用性域之间分配资源,以及在可用性域内的容错域之间分配资源。
容错域为在一个可用性域中部署的工作负荷提供了最佳弹性。为了在应用层实现高可用性,请在不同的容错域中部署应用服务器,并使用负载平衡器在应用服务器之间分配客户机流量。