使用 Oracle Cloud Marketplace 部署 TimesTen Kubernetes 操作员

您可以在本地部署的 Kubernetes 集群或 Oracle Cloud Infrastructure Kubernetes Engine (OKE) 中部署 Oracle TimesTen In-Memory Database (TimesTen)。TimesTen 是一个轻量级、完全持久且高可用性的内存中关系数据库,可以为 OLTP 应用提供微秒级响应和高吞吐量。可以使用 TimesTen 作为记录数据库或 Oracle Database 的高速缓存。

Oracle Cloud Marketplace 中的 Oracle TimesTen In-Memory Database for Kubernetes - BYOL 列表包含容器映像 TimesTen、其软件先决条件以及在容器化环境中运行 TimesTen 所需的一切。容器映像包括在 OKE 或内部部署基础结构上部署 TimesTen Kubernetes Operator (TimesTen Operator) 和创建 TimesTen 数据库所需的 YAML 清单文件和 Helm 图表。

体系结构

此架构使用具有区域子网的区域以及至少两个可用性域。在具有单个可用性域的区域中,可以使用相同的参考架构。我们建议在您的部署中使用区域子网,与可用性域的数量无关。

预配时,此引用体系结构包括以下内容:

  • 在 Kubernetes API 端点、节点池和负载平衡器的单独专用子网中部署的 OKE 集群。

  • 在与节点池相同的专用子网中的 worker 节点上部署的 TimesTen 操作员。

  • 在不同可用性域中的 worker 节点上部署的活动备用对复制方案中的一对 TimesTen 数据库。

  • 在公共子网中部署的堡垒,用于访问专用子网中部署的资源。

下图说明了此引用体系结构。

下面是 timesten-kubernetes-byol.png 的说明
插图 timesten-kubernetes-byol.png 的说明

timesten-kubernetes-byol.zip

该体系结构具有以下组件:

  • 审计

    Oracle Cloud Infrastructure Audit 服务将对所有受支持的 Oracle Cloud Infrastructure 公共应用编程接口 (API) 端点的调用自动记录为日志事件。所有 OCI 服务都支持 Oracle Cloud Infrastructure Audit 日志记录。

  • 可用性域

    可用性域是区域中的独立数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,从而提供容错能力。可用性域不共享电源或冷却设备等基础设施,也不共享内部可用性域网络。因此,一个可用性域出现故障不会影响区域中的其他可用性域。

  • 堡垒服务

    Oracle Cloud Infrastructure Bastion 提供对没有公共端点且需要严格资源访问控制的资源(例如裸金属和虚拟机、Oracle MySQL Database ServiceAutonomous Transaction Processing (ATP)、Oracle Cloud Infrastructure Kubernetes Engine ( OKE ) 以及允许安全 Shell 协议 (SSH) 访问的任何其他资源)的受限和限时安全访问。通过 OCI Bastion 服务,您可以启用对专用主机的访问,而无需部署和维护跳转主机。此外,您还可以利用基于身份的权限以及集中、经过审计和有时限的 SSH 会话来改善安全状况。OCI Bastion 消除了对堡垒访问的公共 IP 的需求,消除了提供远程访问的麻烦和潜在攻击面。

  • 块存储卷

    借助 Oracle Cloud Infrastructure Block Volumes ,您可以创建、附加、连接和移动存储卷,以及更改卷性能,从而满足您的存储、性能和应用要求。将卷附加到实例并将卷连接到实例后,您可以像常规硬盘驱动器那样使用该卷。还可以断开卷连接并将其连接到其他实例,而不会丢失数据。

  • Cloud Guard

    您可以使用 Oracle Cloud Guard 监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用检测器配方,您可以定义该配方来检查资源是否存在安全漏洞,以及监视操作员和用户是否存在某些风险活动。检测到任何配置错误或不安全活动时,Cloud Guard 会根据您可以定义的响应器配方推荐更正操作并协助执行这些操作。

  • 区间

    区间是 Oracle Cloud Infrastructure 租户中的跨区域逻辑分区。使用区间来组织、控制访问并设置 Oracle Cloud 资源的使用限额。在给定的区间中,您可以定义用于控制资源访问和设置权限的策略。

  • 容器注册表

    Oracle Cloud Infrastructure Registry 是一个由 Oracle 管理的注册表,可帮助您简化开发到生产工作流。通过注册表,您可以轻松地存储、共享和管理开发对象,例如 Docker 映像。Oracle Cloud Infrastructure 的高可用性和可扩展性架构可确保您能够可靠地部署和管理应用。

  • 容错域

    容错域是可用性域内的一组硬件和基础设施。每个可用性域都有三个容错域,它们具有独立的电源和硬件。在多个容错域之间分配资源时,应用可以承受容错域内的物理服务器故障、系统维护和电源故障。

  • 身份和访问管理 (IAM)

    Oracle Cloud Infrastructure Identity and Access Management (IAM) 是 Oracle Cloud Infrastructure (OCI) 和 Oracle Cloud Applications 的访问控制层。通过 IAM API 和用户界面,您可以管理身份域和身份域中的资源。每个 OCI IAM 身份域代表一个独立的身份和访问管理解决方案或不同的用户群体。

  • Internet 网关

    通过互联网网关,可以在 VCN 中的公共子网与公共互联网之间进行流量传输。

  • 负载平衡器

    Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端多个服务器的自动流量分配。

  • 日志记录
    日志记录是一项高度可扩展且完全托管的服务,它允许您从云端资源访问以下类型的日志:
    • 审计日志:与审计服务发出的事件相关的日志。
    • 服务日志:由各个服务发出的日志,如 API 网关、事件、函数、负载平衡、对象存储和 VCN 流日志。
    • 定制日志:包含来自定制应用程序、其他云提供商或内部部署环境的诊断信息的日志。
  • 网络地址转换 (NAT) 网关

    通过 NAT 网关,VCN 中的专用资源可以访问 Internet 上的主机,而不会向传入的 Internet 连接公开这些资源。

  • OCI Kubernetes 引擎

    Oracle Cloud Infrastructure Kubernetes EngineOCI Kubernetes EngineOKE )是一项完全托管、可扩展的高可用性服务,可用于将容器化应用部署到云中。您可以指定应用所需的计算资源,Kubernetes Engine 在现有租户的 Oracle Cloud Infrastructure 上预配这些资源。OKE 使用 Kubernetes 跨主机集群自动部署、扩展和管理容器化应用。

  • 区域

    Oracle Cloud Infrastructure 区域是包含一个或多个数据中心(称为可用性域)的本地化地理区域。地区独立于其他地区,远距离可以把它们分开(跨越国家甚至大陆)。

  • 安全列表

    对于每个子网,可以创建安全规则来指定必须允许进出子网的通信的源、目标和类型。

  • 服务网关

    通过服务网关,您可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage 。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传输,不会通过互联网传输。

  • Tenancy

    租户是 Oracle 在您注册 Oracle Cloud Infrastructure 时在 Oracle Cloud 中设置的安全隔离分区。您可以在您的租户内的 Oracle Cloud 中创建、组织和管理资源。租户是公司或组织的同义词。通常,公司将具有单个租户并反映其在该租户中的组织结构。单个租户通常与单个订阅关联,单个订阅通常只有一个租户。

  • TimesTen 运算符

    TimesTen 操作员具有几个关键功能来帮助管理 Kubernetes 环境中的 TimesTen 数据库。TimesTen 数据库在 Kubernetes 配置文件中建模为定制资源。操作员使用此配置和 Kubernetes API 自动执行 TimesTen 数据库操作,例如预配、故障转移、打补丁和安全性。

  • 虚拟云网络 (VCN) 和子网

    VCN 是一个可定制的软件定义网络,您可以在 Oracle Cloud Infrastructure 区域中设置。与传统的数据中心网络一样,VCN 允许您控制您的网络环境。VCN 可以具有多个不重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 划分为子网,子网可以限定为区域或可用性域。每个子网都包含一系列不与 VCN 中的其他子网重叠的连续地址。可以在创建后更改子网的大小。子网可以是公共子网,也可以是专用子网。

推荐

使用以下建议作为起点。 您的要求可能与此处描述的体系结构不同。
  • 堡垒

    确保只有授权用户才能创建堡垒会话。在此架构参考中,Bastion 提供对 Kubernetes API 端点的安全访问,以及对部署了 TimesTen 数据库的 worker 节点的 SSH 访问。

  • Cloud Guard

    克隆和定制 Oracle 提供的默认配方,以创建定制检测器和响应器配方。通过这些配方,您可以指定哪种类型的安全违规会生成警告,以及允许对它们执行哪些操作。例如,您可能希望检测可见性设置为公共的对象存储桶。

    在租户级别应用 Cloud Guard,以涵盖最广泛的范围并减轻维护多个配置的管理负担。

    还可以使用“托管列表”功能将某些配置应用于检测器。

  • 容器注册表

    确保创建了必要的 IAM 策略,并且只有授权用户才能访问容器注册表中的资料档案库。

  • 负载平衡器带宽

    创建负载平衡器时,您可以选择提供固定带宽的预定义配置,也可以指定定制(灵活)配置,在其中设置带宽范围并允许服务根据流量模式自动扩展带宽。通过任一方法,您都可以在创建负载平衡器后随时更改配置。

  • 安全

    使用 Oracle Cloud Guard 主动监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用检测器配方,您可以定义这些配方来检查资源是否存在安全漏洞,以及监视操作员和用户是否存在某些风险活动。检测到配置错误或不安全活动时,Cloud Guard 会根据您可以定义的响应器配方推荐更正操作并协助执行这些操作。

    对于需要最高安全性的资源,Oracle 建议您使用安全区域。安全区域是与 Oracle 定义的基于优秀实践的安全策略配方关联的区间。例如,安全区域中的资源必须无法从公共 Internet 访问,并且必须使用客户管理的密钥对它们进行加密。在安全区域中创建和更新资源时,Oracle Cloud Infrastructure 会根据安全区域配方中的策略验证操作,并拒绝违反任何策略的操作。

  • VCN

    创建 VCN 时,请根据您计划附加到 VCN 中子网的资源数量,确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。

    选择不与要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure 、您的内部部署数据中心或其他云提供商中)重叠的 CIDR 块。

    创建 VCN 后,您可以更改、添加和删除其 CIDR 块。

    设计子网时,请考虑流量和安全要求。将特定层或角色中的所有资源附加到可以用作安全边界的同一子网。

    使用区域子网。

注意事项

部署此引用体系结构时,请考虑以下几点。

  • 可用性

    通常,您在应用使用量最大的区域中部署应用,因为使用附近资源比使用远距离资源更快。同一区域中的可用性域使用低延迟、高带宽网络相互连接。通过此网络,您可以与互联网和内部部署设备建立高可用性连接,以便您可以在多个可用性域中构建复制的系统,从而实现高可用性和灾难恢复。

  • 容器注册表

    此架构将容器注册表部署为供内部使用的专用 Docker 注册表。Docker 映像会推送到注册表并从中拉取。您还可以将容器注册表用作公共 Docker 注册表,使任何具有 Internet 访问权限且知道相应 URL 的用户能够从 OCI 中的公共资料档案库中提取映像。在此体系结构中,容器注册表中的资料档案库用于存储 TimesTen 映像,其中包括部署 TimesTen Operator 和创建 TimesTen 数据库所需的 YAML 清单文件和 Helm 图表。

  • 安全

    使用策略来限制谁可以访问 OCI 资源。

部署

Oracle Cloud Marketplace 提供了 TimesTen 的容器映像,可用于在 OKE 集群或内部部署基础结构上部署 TimesTen 操作员。

Oracle Cloud Marketplace 获取 TimesTen 容器映像:

  1. 转至 Oracle Cloud Marketplace
  2. 单击导出程序包
  3. 按照屏幕上的提示操作。

确认

  • 作者Ricardo Rosas

  • 贡献者Dario Vega、Daniel Ramirez、Deborah Steiner、Silviano Diaz Barriga