了解设计注意事项
此解决方案中介绍的体系结构包含的设计选项旨在提供企业级拓扑,您可以轻松安全、访问并有效地运作。
- 资源隔离租户中的资源以区间逻辑分隔。对每个区间中的资源的访问权限是通过租户管理员定义的策略来控制的。
- 根区间可以是租户的根区间,也可以是指定为根的其他区间。它包含拓扑中的所有其他区间。您还可以定义此区间中的所有访问管理策略。
- 管理区间包含一个 VCN,其中包含基础服务器和管理服务器连接到的子网。
- 对等连接区间包含路由网关和对等 Vcn。
- 租户区间包含特定于每个租户的应用程序资源。
从网络角度来看,该体系结构将拓扑分为隔离的网络,每个 VCN 都具有唯一的专用地址空间。- 该基础服务器、管理服务器和路由网关连接到 ISV VCN,也称为管理 VCN。
- 特定于每个租户的应用程序资源部署在单独的租户 VCN 中。
- 一个或多个对等 Vcn 用作管理网络和租户 vcn 之间的网桥。
- 高可用性
为实现路由网关的高可用性,您可以在单独的容错域中部署主备用网关对。可以将路由网关配置为使用浮动专用 IP 地址。如果主网关失败,浮动地址可以移至备用网关的 Vnic。
- 缩放
- 每个租户的应用程序资源都部署在单独区间的特定于租户的 VCN 中。因此,您可以将体系结构扩展到的租户的最大数量取决于租户对区间和 Vcn 的限制。另请注意,您可以连接到对等 VCN 的最大租户 VCN 数量是在 10 处固定的。规划拓扑时,请考虑这些限制。
例如,如果您预计向 100 次租户提供服务,则Oracle Cloud Infrastructure 租户至少应具有以下服务限制:
- 102 区间(管理区间+对等连接区间+ 100 个租户区间)
- 111 VCN(ISV VCN + 10 对等 VCN + 100 个租户 VCN)
- 如果您的任何租户需要专用连接,请考虑针对 Drg、IPSec VPN 连接、FastConnect 电路和客户前部设备(cpe)的Oracle Cloud Infrastructure 租户的服务限制。例如,如果您的租户 25 需要专用连接,则需要配置 25 个 Drg,并且可能需要两倍的 IPSec VPN 连接数以确保冗余。在设置拓扑(以及之后的定期间隔)时,预测您预期处理的租户数,并使用 Oracle 增加服务限制。
- 从路由网关到对等 VCN 的每个连接都使用网关的辅助 VNIC。因此,网关实例可以确定网关可以使用的对等 Vcn 数量的辅助 vnic 数量。选择网关实例的形状时,请考虑使用此因素。
例如,如果为每个对等连接 VCN 提供了 10 个租户的默认限制,则如果使用具有三个辅助 vnic 的路由网关,则路由网关最多可以为 30 个租户。
- 每个租户的应用程序资源都部署在单独区间的特定于租户的 VCN 中。因此,您可以将体系结构扩展到的租户的最大数量取决于租户对区间和 Vcn 的限制。另请注意,您可以连接到对等 VCN 的最大租户 VCN 数量是在 10 处固定的。规划拓扑时,请考虑这些限制。
- 管理网络带宽
每个租户 VCN 与 ISV VCN 之间的网络带宽取决于您为路由网关选择的计算配置。可用的网络带宽在网关实例的所有 Vnic 中共享。例如,如果为路由网关实例选择
VM.Standard2.4配置,则最大可用带宽为4.1 Gbps,主 VNIC 和最多三个辅助 VNIC 共享该带宽。当您决定网关实例的形状以及您希望每个网关处理的对等 Vcn 数量时,请考虑使用此因素。