了解如何设置安全多层拓扑
构建和维护多层拓扑可以是复杂项目。要在 Oracle Cloud 中高效地管理安全、多层拓扑,请在通过源控制的资料档案库中编码所需资源,然后应用配置。当您要调整基础结构时,请对适当模块进行版本控制,更新资源定义,然后应用修订后的配置。必要时,可以轻松地回退到上一版本的基础结构。基本上,您可以使用简单的代码开发、部署和运行云中的基础结构。
使用此解决方案中提供的 Terraform 构建块来实施支持多层多用户环境的安全网络拓扑的基本结构。通过创建此基本拓扑,然后针对您的业务需求进行优化,可以节省时间和工作量。
体系结构
此解决方案的体系结构将以单独的区间组织资源,具体取决于管理资源的用户组。
插图 multitier-network-Architecture e.png 的说明
以下是此体系结构中的资源。定制特定需求的体系结构。
- 虚拟云网络(VCN)和网关位于网络区间中。您可以在包含使用子网的资源的划分中创建子网。
- 您附加到公共子网的资源(例如基本主机)可以通过 Internet 网关从公共 Internet 访问。如果发生网络安全问题,例如分布式拒绝服务(DDoS)攻击,则可以通过终止网关来阻止 VCN 的所有流量。
- 专用子网中的资源可以通过 NAT 网关访问公共互联网。例如,专用子网中的计算实例可以通过 NAT 网关从外部站点获取补丁程序。
- Shared Services 区间包含在拓扑中共享的资源。
- 基础主机位于管理区间中。
- 业务逻辑区间保存 Web 服务器、应用程序服务器和负载平衡器。
- 数据库位于数据库区间中。
您定义的策略(在体系结构图表中未显示)可控制每个用户组对区间中资源拥有的访问级别。
注 :
- 此体系结构中的资源分布在三个可用性域(AD)中。在具有单个 AD 的区域中,可以在 AD 中的故障域中分配计算实例以实现高可用性。
- 此体系结构中的所有划分都是同级划分,但是您可以设置划分层次结构。
- 为简单起见,体系结构图仅显示一个区域。划分跨所有区域。
关于必需的服务和角色
需要以下服务和权限:
您需要 Oracle Cloud Infrastructure 订阅。
要创建所需资源,您需要满足以下条件的身份证明:
-
您必须位于
Administrators组或任何有权创建区间的组中。 -
如果您希望在现有区间中创建资源,则您必须位于有权为这些区间定义策略并管理其中的 Vcn 的组中。
-
如果要创建验证标记和 API 密钥,则必须是本地用户;即 Oracle Cloud Infrastructure Identity and Access Management 中管理员创建的用户。或者,您必须是由联合身份提供方自动创建的同步用户。
请参阅了解如何为 Oracle 解决方案获取 Oracle Cloud 服务以获取所需的服务。