使用 Oracle Cloud Marketplace 部署 TimesTen Kubernetes 操作员
Oracle Cloud Marketplace 中的 Oracle TimesTen In-Memory Database for Kubernetes - BYOL 列表包含容器映像 TimesTen、其软件先决条件以及在容器化环境中运行 TimesTen 所需的一切。容器映像包括在 OKE 或内部部署基础结构上部署 TimesTen Kubernetes Operator (TimesTen Operator) 和创建 TimesTen 数据库所需的 YAML 清单文件和 Helm 图表。
体系结构
此架构使用具有区域子网的区域以及至少两个可用性域。在具有单个可用性域的区域中,可以使用相同的参考架构。我们建议在您的部署中使用区域子网,与可用性域的数量无关。
预配时,此引用体系结构包括以下内容:
-
在 Kubernetes API 端点、节点池和负载平衡器的单独专用子网中部署的 OKE 集群。
-
在与节点池相同的专用子网中的 worker 节点上部署的 TimesTen 操作员。
-
在不同可用性域中的 worker 节点上部署的活动备用对复制方案中的一对 TimesTen 数据库。
-
在公共子网中部署的堡垒,用于访问专用子网中部署的资源。
下图说明了此引用体系结构。
插图 timesten-kubernetes-byol.png 的说明
该体系结构具有以下组件:
- 审计
Oracle Cloud Infrastructure Audit 服务将对所有受支持的 Oracle Cloud Infrastructure 公共应用编程接口 (API) 端点的调用自动记录为日志事件。所有 OCI 服务都支持 Oracle Cloud Infrastructure Audit 日志记录。
- 可用性域
可用性域是区域中的独立数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,从而提供容错能力。可用性域不共享电源或冷却设备等基础设施,也不共享内部可用性域网络。因此,一个可用性域出现故障不会影响区域中的其他可用性域。
- 堡垒服务
Oracle Cloud Infrastructure Bastion 提供对没有公共端点且需要严格资源访问控制的资源(例如裸金属和虚拟机、Oracle MySQL Database Service 、 Autonomous Transaction Processing (ATP)、Oracle Cloud Infrastructure Kubernetes Engine ( OKE ) 以及允许安全 Shell 协议 (SSH) 访问的任何其他资源)的受限和限时安全访问。通过 OCI Bastion 服务,您可以启用对专用主机的访问,而无需部署和维护跳转主机。此外,您还可以利用基于身份的权限以及集中、经过审计和有时限的 SSH 会话来改善安全状况。OCI Bastion 消除了对堡垒访问的公共 IP 的需求,消除了提供远程访问的麻烦和潜在攻击面。
- 块存储卷
借助 Oracle Cloud Infrastructure Block Volumes ,您可以创建、附加、连接和移动存储卷,以及更改卷性能,从而满足您的存储、性能和应用要求。将卷附加到实例并将卷连接到实例后,您可以像常规硬盘驱动器那样使用该卷。还可以断开卷连接并将其连接到其他实例,而不会丢失数据。
-
Cloud Guard
您可以使用 Oracle Cloud Guard 监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用检测器配方,您可以定义该配方来检查资源是否存在安全漏洞,以及监视操作员和用户是否存在某些风险活动。检测到任何配置错误或不安全活动时,Cloud Guard 会根据您可以定义的响应器配方推荐更正操作并协助执行这些操作。
- 区间
区间是 Oracle Cloud Infrastructure 租户中的跨区域逻辑分区。使用区间来组织、控制访问并设置 Oracle Cloud 资源的使用限额。在给定的区间中,您可以定义用于控制资源访问和设置权限的策略。
- 容器注册表
Oracle Cloud Infrastructure Registry 是一个由 Oracle 管理的注册表,可帮助您简化开发到生产工作流。通过注册表,您可以轻松地存储、共享和管理开发对象,例如 Docker 映像。Oracle Cloud Infrastructure 的高可用性和可扩展性架构可确保您能够可靠地部署和管理应用。
- 容错域
容错域是可用性域内的一组硬件和基础设施。每个可用性域都有三个容错域,它们具有独立的电源和硬件。在多个容错域之间分配资源时,应用可以承受容错域内的物理服务器故障、系统维护和电源故障。
- 身份和访问管理 (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) 是 Oracle Cloud Infrastructure (OCI) 和 Oracle Cloud Applications 的访问控制层。通过 IAM API 和用户界面,您可以管理身份域和身份域中的资源。每个 OCI IAM 身份域代表一个独立的身份和访问管理解决方案或不同的用户群体。
- Internet 网关
通过互联网网关,可以在 VCN 中的公共子网与公共互联网之间进行流量传输。
- 负载平衡器
Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端多个服务器的自动流量分配。
- 日志记录日志记录是一项高度可扩展且完全托管的服务,它允许您从云端资源访问以下类型的日志:
- 审计日志:与审计服务发出的事件相关的日志。
- 服务日志:由各个服务发出的日志,如 API 网关、事件、函数、负载平衡、对象存储和 VCN 流日志。
- 定制日志:包含来自定制应用程序、其他云提供商或内部部署环境的诊断信息的日志。
- 网络地址转换 (NAT) 网关
通过 NAT 网关,VCN 中的专用资源可以访问 Internet 上的主机,而不会向传入的 Internet 连接公开这些资源。
- OCI Kubernetes 引擎
Oracle Cloud Infrastructure Kubernetes Engine ( OCI Kubernetes Engine 或 OKE )是一项完全托管、可扩展的高可用性服务,可用于将容器化应用部署到云中。您可以指定应用所需的计算资源,Kubernetes Engine 在现有租户的 Oracle Cloud Infrastructure 上预配这些资源。OKE 使用 Kubernetes 跨主机集群自动部署、扩展和管理容器化应用。
- 区域
Oracle Cloud Infrastructure 区域是包含一个或多个数据中心(称为可用性域)的本地化地理区域。地区独立于其他地区,远距离可以把它们分开(跨越国家甚至大陆)。
- 安全列表
对于每个子网,可以创建安全规则来指定必须允许进出子网的通信的源、目标和类型。
- 服务网关
通过服务网关,您可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage 。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传输,不会通过互联网传输。
- Tenancy
租户是 Oracle 在您注册 Oracle Cloud Infrastructure 时在 Oracle Cloud 中设置的安全隔离分区。您可以在您的租户内的 Oracle Cloud 中创建、组织和管理资源。租户是公司或组织的同义词。通常,公司将具有单个租户并反映其在该租户中的组织结构。单个租户通常与单个订阅关联,单个订阅通常只有一个租户。
- TimesTen 运算符
TimesTen 操作员具有几个关键功能来帮助管理 Kubernetes 环境中的 TimesTen 数据库。TimesTen 数据库在 Kubernetes 配置文件中建模为定制资源。操作员使用此配置和 Kubernetes API 自动执行 TimesTen 数据库操作,例如预配、故障转移、打补丁和安全性。
- 虚拟云网络 (VCN) 和子网
VCN 是一个可定制的软件定义网络,您可以在 Oracle Cloud Infrastructure 区域中设置。与传统的数据中心网络一样,VCN 允许您控制您的网络环境。VCN 可以具有多个不重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 划分为子网,子网可以限定为区域或可用性域。每个子网都包含一系列不与 VCN 中的其他子网重叠的连续地址。可以在创建后更改子网的大小。子网可以是公共子网,也可以是专用子网。
推荐
- 堡垒
确保只有授权用户才能创建堡垒会话。在此架构参考中,Bastion 提供对 Kubernetes API 端点的安全访问,以及对部署了 TimesTen 数据库的 worker 节点的 SSH 访问。
- Cloud Guard
克隆和定制 Oracle 提供的默认配方,以创建定制检测器和响应器配方。通过这些配方,您可以指定哪种类型的安全违规会生成警告,以及允许对它们执行哪些操作。例如,您可能希望检测可见性设置为公共的对象存储桶。
在租户级别应用 Cloud Guard,以涵盖最广泛的范围并减轻维护多个配置的管理负担。
还可以使用“托管列表”功能将某些配置应用于检测器。
- 容器注册表
确保创建了必要的 IAM 策略,并且只有授权用户才能访问容器注册表中的资料档案库。
- 负载平衡器带宽
创建负载平衡器时,您可以选择提供固定带宽的预定义配置,也可以指定定制(灵活)配置,在其中设置带宽范围并允许服务根据流量模式自动扩展带宽。通过任一方法,您都可以在创建负载平衡器后随时更改配置。
- 安全
使用 Oracle Cloud Guard 主动监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用检测器配方,您可以定义这些配方来检查资源是否存在安全漏洞,以及监视操作员和用户是否存在某些风险活动。检测到配置错误或不安全活动时,Cloud Guard 会根据您可以定义的响应器配方推荐更正操作并协助执行这些操作。
对于需要最高安全性的资源,Oracle 建议您使用安全区域。安全区域是与 Oracle 定义的基于优秀实践的安全策略配方关联的区间。例如,安全区域中的资源必须无法从公共 Internet 访问,并且必须使用客户管理的密钥对它们进行加密。在安全区域中创建和更新资源时,Oracle Cloud Infrastructure 会根据安全区域配方中的策略验证操作,并拒绝违反任何策略的操作。
- VCN
创建 VCN 时,请根据您计划附加到 VCN 中子网的资源数量,确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。
选择不与要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure 、您的内部部署数据中心或其他云提供商中)重叠的 CIDR 块。
创建 VCN 后,您可以更改、添加和删除其 CIDR 块。
设计子网时,请考虑流量和安全要求。将特定层或角色中的所有资源附加到可以用作安全边界的同一子网。
使用区域子网。
注意事项
部署此引用体系结构时,请考虑以下几点。
- 可用性
通常,您在应用使用量最大的区域中部署应用,因为使用附近资源比使用远距离资源更快。同一区域中的可用性域使用低延迟、高带宽网络相互连接。通过此网络,您可以与互联网和内部部署设备建立高可用性连接,以便您可以在多个可用性域中构建复制的系统,从而实现高可用性和灾难恢复。
- 容器注册表
此架构将容器注册表部署为供内部使用的专用 Docker 注册表。Docker 映像会推送到注册表并从中拉取。您还可以将容器注册表用作公共 Docker 注册表,使任何具有 Internet 访问权限且知道相应 URL 的用户能够从 OCI 中的公共资料档案库中提取映像。在此体系结构中,容器注册表中的资料档案库用于存储 TimesTen 映像,其中包括部署 TimesTen Operator 和创建 TimesTen 数据库所需的 YAML 清单文件和 Helm 图表。
- 安全
使用策略来限制谁可以访问 OCI 资源。
部署
从 Oracle Cloud Marketplace 获取 TimesTen 容器映像:
- 转至 Oracle Cloud Marketplace 。
- 单击导出程序包。
- 按照屏幕上的提示操作。