使用 Oracle Cloud Infrastructure 体系框架部署 Internet 销售门户
为了帮助联邦、州和地方政府机构在云中配置和保护工作负载,Mythics 在符合 Internet 安全中心 (Center for Internet Security,CIS) 基准的 Oracle Cloud Infrastructure (OCI) 上部署了一个安全登陆区域。
Mythics 使用 OCI 体系框架,可以在创建实例后数小时内快速定制、配置和保护任何环境。
Mythics 在自己的 OCI 租户中部署了一个互联网销售门户,支持其营销、销售、合同、法律、会计和运营组。Mythics 使用与 Oracle NetSuite 集成的 APEX 表单和向导以及数据仓库,现在能够跟踪和路由每个部门的内部审批,每月生成数十万个销售事务处理和电子邮件工作流审批事务处理。
通过使用 OCI Landing Zone 部署其互联网销售门户,Mythics 拥有:
- 提高性能和可用性: Mythics 现在能够通过使用多个计算核心来快速处理事务,并且能够通过使用负载平衡器保持高可用性。Mythics 利用其灾难恢复功能,即使在季节性爆发(如月末、季度或年末关账)期间,也可以快速按需扩展或扩展。
- 自动化复杂安全配置: Mythics 能够在创建实例的数小时内快速定制、配置和保护其环境。
- 创建的可定制安全状况: Mythics 还可以重用和修改 OCI 体系框架模板,并将其应用于任何公共部门或商业客户环境,并在 OCI 上运行任何类型的工作负载。
体系结构
Mythics 部署了一个 Oracle Cloud Infrastructure (OCI) 体系框架来保护其互联网销售门户的环境。
Mythics 使用 OCI 体系框架模板自动创建虚拟云网络 (VCN) 以及多个子网和区间。子网是使用网络隔离和分段、安全列表、路由表和网络安全组 (NSG) 创建的:
- appdev-pvt:应用程序资源的专用子网
- mgmt-pvt:管理资源的专用子网
- db-pvt:数据库资源的专用子网
- bastion-pvt:用于堡垒主机访问的专用子网
- bastion-pub:用于堡垒主机访问的公共子网
神话使用区间对资源访问进行分组和控制。神话通过创建组和策略,然后分配适当的权限来控制谁可以访问资源来实施最低权限访问模型。默认情况下,着陆区域会创建五个区间:
- megprod-network-cmpt:网络资源的区间
- megprod-security-cmpt:用于安全资源的区间,包括通知、Cloud Guard 和日志
- megprod-appdev-cmpt:APEX 和应用服务器的区间
- megprod-database-cmpt:数据库服务器的区间
- megprod-mgmt-cmpt:管理资源的区间
Mythics 还使用 OCI Landing Zone 自动部署安全工具,例如用于安全态势管理的 Oracle Cloud Guard、用于合并日志的 OCI Logging 和 OCI Notifications 。然后,神话层在其组件中,其中包括:
- 用于开发表单、向导和工作流的低代码应用 APEX
- 两个虚拟机 (Virtual Machine,VM) 实例(适用于应用进程),均衡负载以实现高可用性
- 在虚拟机和数据仓库上运行的 Oracle Database Cloud Service ,可存储 200,000 多个当前和历史销售事务处理
- OCI Kubernetes Engine (OKE) 集群,可自动执行资源管理
- OKE 集群中包含 Jenkins、Git 资料档案库和 Oracle Linux Automation Manager (OLAM) 等工具,可自动执行软件开发、测试、部署和管理
- 提供从专用子网通过内部部署网络以及可从 Internet 访问的公共子网访问的堡垒主机
用户通过互联网网关访问互联网销售门户。Mythics 开发人员和管理员使用 Tailscale 从内部部署位置管理环境,以提高安全性。通过使用 VPN IPSec 隧道连接内部部署网络,将客户的内部部署设备 (CPE) 连接到动态路由网关 (DRG)。在互联网上,Mythics 开发人员通过使用 Tailscale 来访问环境,Tailscale 是一项 VPN 服务,可以保护可以在任何地方访问的设备和应用程序。除了使用组、策略和网络规则外,Tailscale 还允许 Mythics 控制边缘网络访问,从而优化他们授予的确切访问级别。例如,Mythics 开发人员可以访问 OKE 集群和应用程序,而管理员只能访问应用服务器实例,在零信任访问网络中创建额外的安全层。
NAT 网关用于与 Oracle NetSuite 集成。Oracle NetSuite CRM/ERP 每 15 分钟更新一次,每天都会通过一系列 APEX 仪表盘和即席报告进行挖掘。REST API 用作自动化点,并将更改从数据库推送到 NetSuite。借助其他集成点,Mythics 可以将应用用作许可证编排器,通过无限许可协议 (ULA) 管理大型合同。
对于灾难恢复,应用程序部署在主动 - 被动配置中。美国东部地区 - 阿什本是主要地区,美国西部地区 - 凤凰城是灾难恢复 (DR) 站点。这两个区域通过在两个 DRG 之间使用远程对等连接进行连接。在阿什本出现故障时,负载平衡器会将用户重定向到 DR 站点。使用 Oracle Data Guard 将数据库从阿什本复制到菲尼克斯。文件存储服务和对象存储将从阿什本复制到菲尼克斯。OCI 原生备份服务用于备份基础设施。
- 利用更多平台即服务 (PaaS) 选项
- 将数据库从虚拟机上运行的 Oracle Database Cloud Service 迁移到 Oracle Autonomous Database ,以缓解 Mythics 团队的数据库运营和维护负担
下图说明了网络和灾难恢复体系结构:
mythics-oci-architecture-oracle.zip
该体系结构具有以下组件:
- Tenancy
租户是 Oracle 在您注册 Oracle Cloud Infrastructure 时在 Oracle Cloud 中设置的安全隔离分区。您可以在您的租户内的 Oracle Cloud 中创建、组织和管理资源。租户是公司或组织的同义词。通常,公司将具有单个租户并反映其在该租户中的组织结构。单个租户通常与单个订阅关联,单个订阅通常只有一个租户。
- 区域
Oracle Cloud Infrastructure 区域是包含一个或多个数据中心(称为可用性域)的本地化地理区域。地区独立于其他地区,远距离可以把它们分开(跨越国家甚至大陆)。
- 区间
区间是 Oracle Cloud Infrastructure 租户中的跨区域逻辑分区。使用区间来组织、控制访问并设置 Oracle Cloud 资源的使用限额。在给定的区间中,您可以定义用于控制资源访问和设置权限的策略。
- 可用性域
可用性域是区域中的独立数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,从而提供容错能力。可用性域不共享电源或冷却设备等基础设施,也不共享内部可用性域网络。因此,一个可用性域出现故障不会影响区域中的其他可用性域。
- 容错域
容错域是可用性域内的一组硬件和基础设施。每个可用性域都有三个容错域,它们具有独立的电源和硬件。在多个容错域之间分配资源时,应用可以承受容错域内的物理服务器故障、系统维护和电源故障。
- 虚拟云网络 (VCN) 和子网
VCN 是一个可定制的软件定义网络,您可以在 Oracle Cloud Infrastructure 区域中设置。与传统的数据中心网络一样,VCN 允许您控制您的网络环境。VCN 可以具有多个不重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 划分为子网,子网可以限定为区域或可用性域。每个子网都包含一系列不与 VCN 中的其他子网重叠的连续地址。可以在创建后更改子网的大小。子网可以是公共子网,也可以是专用子网。
- 路由表
虚拟路由表包含用于将流量从子网路由到 VCN 之外目的地的规则,通常是通过网关。
- 安全列表
对于每个子网,可以创建安全规则来指定必须允许进出子网的通信的源、目标和类型。
- 站点到站点 VPN
站点到站点 VPN 在您的内部部署网络与 Oracle Cloud Infrastructure 中的 VCN 之间提供 IPSec VPN 连接。IPSec 协议套件在数据包从源传输到目标之前对 IP 流量进行加密,并在数据包到达时对流量进行解密。
- Internet 网关
通过互联网网关,可以在 VCN 中的公共子网与公共互联网之间进行流量传输。
- 动态路由网关 (DRG)
DRG 是虚拟路由器,用于为同一区域中的 VCN 之间、VCN 与区域外的网络(例如另一个 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或另一个云提供商中的网络)之间的专用网络流量提供路径。
- 网络地址转换 (NAT) 网关
通过 NAT 网关,VCN 中的专用资源可以访问 Internet 上的主机,而不会向传入的 Internet 连接公开这些资源。
- 服务网关
通过服务网关,您可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage 。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传输,不会通过互联网传输。
- 远程对等
通过远程对等连接,VCN 的资源可以使用专用 IP 地址进行通信,而无需通过互联网或内部部署网络路由流量。对于需要与不同区域中的其他 VCN 通信的实例,使用远程对等连接无需互联网网关和公共 IP 地址。
- 负载平衡器
Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端多个服务器的自动流量分配。
- Oracle Base Database Service
Oracle Base Database Service 是一项 Oracle Cloud Infrastructure (OCI) 数据库服务,支持您在虚拟机上构建、扩展和管理功能齐全的 Oracle 数据库。Oracle Base Database Service 使用 OCI Block Volumes 存储而非本地存储,并且可以运行 Oracle Real Application Clusters (Oracle RAC) 来提高可用性。
- Data Guard
Oracle Data Guard 和 Oracle Active Data Guard 提供一组全面的服务,用于创建、维护、管理和监视一个或多个备用数据库,并使生产 Oracle 数据库在不中断的情况下保持可用。Oracle Data Guard 使用内存中复制将这些备用数据库作为生产数据库的副本进行维护。如果生产数据库由于计划内或计划外停机而变得不可用,则 Oracle Data Guard 可以将任何备用数据库切换到生产角色,从而最大限度地减少与停机关联的停机时间。Oracle Active Data Guard 提供了将以读为主的负载卸载到备用数据库的额外功能,并且还提供了高级数据保护功能。
- Cloud Guard
您可以使用 Oracle Cloud Guard 监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用检测器配方,您可以定义该配方来检查资源是否存在安全漏洞,以及监视操作员和用户是否存在某些风险活动。检测到任何配置错误或不安全活动时,Cloud Guard 会根据您可以定义的响应器配方推荐更正操作并协助执行这些操作。
- APEX 服务
Oracle APEX 是一个低代码开发平台,您可以在该平台上构建可扩展的、功能丰富的、安全的企业应用程序,这些应用程序可以在安装 Oracle Database 的任何位置部署。您无需成为众多技术的专家即可提供复杂的解决方案。Oracle APEX 包含用户界面主题、导航控制、表单处理程序和灵活报告等内置功能,可加快应用程序开发过程。
- 通知
Oracle Cloud Infrastructure Notifications 服务通过发布 - 订阅模式向分布式组件广播消息,为托管在 Oracle Cloud Infrastructure 上的应用提供安全、高度可靠、低延迟和持久的消息。
- 日志记录日志记录是一项高度可扩展且完全托管的服务,它允许您从云端资源访问以下类型的日志:
- 审计日志:与审计服务发出的事件相关的日志。
- 服务日志:由各个服务发出的日志,如 API 网关、事件、函数、负载平衡、对象存储和 VCN 流日志。
- 定制日志:包含来自定制应用程序、其他云提供商或内部部署环境的诊断信息的日志。
- Kubernetes 引擎
Oracle Cloud Infrastructure Kubernetes Engine ( OCI Kubernetes Engine 或 OKE )是一项完全托管、可扩展的高可用性服务,可用于将容器化应用部署到云中。您可以指定应用所需的计算资源,Kubernetes Engine 在现有租户的 Oracle Cloud Infrastructure 上预配这些资源。OKE 使用 Kubernetes 跨主机集群自动部署、扩展和管理容器化应用。
- 对象存储
Oracle Cloud Infrastructure Object Storage 支持您快速访问任意内容类型的大量结构化和非结构化数据,包括数据库备份、分析数据以及图像和视频等丰富内容。您可以安全地存储数据,然后直接从互联网或云平台检索数据。您可以在不降低性能或服务可靠性的情况下扩展存储。将标准存储用于需要快速、立即和频繁访问的“热”存储。将归档存储用于长期保留、很少访问或很少访问的“冷”存储。
- 文件存储
Oracle Cloud Infrastructure File Storage 服务提供持久、可扩展、安全的企业级网络文件系统。您可以从 VCN 中的任何裸金属、虚拟机或容器实例连接到文件存储服务文件系统。您还可以使用 Oracle Cloud Infrastructure FastConnect 和 IPSec VPN 从 VCN 外部访问文件系统。
- DNS
Oracle Cloud Infrastructure 域名系统 (Domain Name System,DNS) 服务是一个高度可扩展的全局任播域名系统 (DNS) 网络,可提供增强的 DNS 性能、可恢复性和可扩展性,以便最终用户随时随地快速连接到互联网应用。
- 注册表
Oracle Cloud Infrastructure Registry 是一个由 Oracle 管理的注册表,可帮助您简化开发到生产工作流。通过注册表,您可以轻松地存储、共享和管理开发对象,例如 Docker 映像。Oracle Cloud Infrastructure 的高可用性和可扩展性架构可确保您能够可靠地部署和管理应用。