完善的 OCI 体系框架入门
您可以从以下两个 OCI 体系框架区域中进行选择:
- 核心体系框架
核心体系框架包含可用于各种工作负载的蓝图,适用于组织内的集中化运营
- 运营实体登录区域
运营实体体系框架包含用于在分布式运营中引入运营实体 (OE)、组织和合作伙伴及其工作负载的蓝图。有三种适用于不同大小的不同蓝图:(M) One-OE、(L) - Multi-OE 和 (XL) - Multi-Tenancy。
所有 OCI 体系框架蓝图都已准备就绪,可以一键部署,也可以将其用作创建自定义模型的参考。它们符合 CIS 标准,可满足附加组件和工作负载需求,并涵盖所有安全、网络和可观察性云服务。所有这些都是 OCI Landing Zone 框架的一部分,可在 GitHub 上免费提供。
总而言之,OCI Landing Zones 为实施 Oracle Cloud Infrastructure 优秀实践的精心设计框架提供了强大的部署策略,可确保企业从一开始就采用弹性、合规且经济高效的安全云环境来减少入职工作并加快生产速度。
关于体系框架和 OCI 架构良好的支柱
安全性和合规性
安全性是构建云架构时最关键的问题之一,OCI Landing Zones 以安全性为核心。
CIS OCI Benchmark 是 OCI Landing Zones Framework 的关键合规性要素,包含在所有蓝图、工作负载和模块中。OCI 体系框架可为实施安全优秀实践提供必要的自动化功能,并可根据 CIS OCI 基准进行验证。
-
Identity and Access Management
每个蓝图都会设置其 OCI Identity and Access Management (IAM),从而创建一个可理解的区间结构,相关 OCI 组与策略一起提供职责分离。此外,还创建了身份域来将紧急情况用户与其他类型的用户隔离。
-
网络安全
每个蓝图都使用 OCI 虚拟云网络 (VCN) 和子网设置和部署具有网络隔离的集线器和分支网络拓扑。不同的 VCN 针对不同的网络区域。还会为每个元素创建安全列表和网络安全组 (NSG)。集线器区域包含共享网络元素,例如动态路由网关 (DRG)、网络防火墙、负载平衡器、VPN、 OCI FastConnect 或用于连接的专用端点。网关还根据网络区域在 VCN 级别定义,以实现安全的 OCI 入站或出站通信。
零信任包路由 (Zero Trust Packet Routing,ZPR) 也可在 Terraform 模块级别进行设置,以实现网络安全覆盖。
-
加密
云中的所有敏感数据都应加密。OCI Landing Zones 可自动配置 OCI 的加密服务,确保静态和传输中的数据加密。Terraform 模块可确保在所有组件(包括块存储和数据库)中应用加密优秀实践来降低安全风险。
-
安全监视
所有体系框架蓝图均已准备就绪,并预先配置了 Oracle Cloud Guard 和 Oracle Security Zones。这些服务持续评估环境的安全状况,确保自动检测和修复任何错误配置或漏洞。通过使用这些安全监控工具,您可以实时主动管理安全风险。此外,还会创建包含预警的 OCI 事件、 OCI 日志记录和 OCI 通知,从而实现两天的端到端观测。
-
运营安全
由于 Terraform 模块是通用的,因此可以采用 JSON 或
.tfvars
文件形式接收任何 OCI 配置。这种方法意味着配置没有代码,代码没有配置,这可以在云操作不接触代码和编码器不接触云配置的情况下实现运营安全性。此方法还支持使用版本控制操作模型,例如 GitOps,其中配置是基础设施的真实来源。
可靠性和弹性
-
高可用性与灾难恢复
体系框架区域设置了一些可以利用多个可用性域 (Availability Domain,AD) 的服务,并且体系框架区域可以跨多个区域部署。此多区域设置有助于确保在一个区域中的资源出现故障时,另一个 OCI 体系框架部署在另一个区域中,可以随时使用镜像资源运行。
-
容错
通过设置容错网络配置并使用负载平衡等功能,Landing Zones 可以帮助确保即使单个实例或服务发生故障,服务仍保持可用。
性能效率和成本优化
OCI 的性能效率旨在确保云资源得到最佳利用,以满足性能要求。OCI Landing Zones 通过使用自动扩展、资源大小调整和性能监视功能,整合了高性能的实践。
成本优化有助于确保云环境设计为高效使用资源,减少浪费并避免不必要的成本。OCI Landing Zones 通过自动执行经济高效的实践并提供对资源利用率的可见性来支持这一支柱。
-
性能监视和优化
OCI Landing Zones 自动集成 OCI Monitoring ,以提供实时性能洞察。借助这些工具,您可以监视云环境中的性能瓶颈,优化资源分配并进行调整,以保持高应用性能。
-
成本控制
OCI Landing Zones 可以自动配置预算和成本跟踪,确保支出保持在预算范围内。这可帮助您保持对云成本的可见性,从而避免意外情况并优化资源使用。
-
资源标记和成本分配
登陆区域配置资源标记以实现详细的成本分配和可见性。标记可以应用于不同的部门、应用或项目,以便您更有效地跟踪和管理成本。
运营效率
-
基础设施即代码 (IaC)
Landing Zones 利用广泛使用的 IaC 工具 Terraform。此方法可确保所有基础设施都可重复、受版本控制且可维护,从而降低人为错误风险并确保多个环境的一致性。此外,还有一组易于理解的模块,如操作安全主题中提到的,这种方法还可以使用高度可扩展的版本控制操作模型,例如 GitOps,其中配置是基础设施的真实来源。
-
自动部署
Landing Zones 支持自动预配完整、安全、合规的 OCI 环境,包括网络配置、身份管理和治理。这消除了手动配置、加快部署速度并降低了运营复杂性。
-
监视和日志记录
Landing Zones 将部署 OCI Monitoring 和 OCI Logging ,从而自动实施强大的监视和日志记录。通过集中监视整个云服务,管理员可以实时了解其基础设施,尽早发现问题,并采取纠正措施,从而提高卓越运营。
-
可扩展性和灵活性
登陆区域可以适应各种组织需求,从小型环境到大型企业系统。这种灵活性使组织能够保持较高的运营标准,即使它们可以扩展。
了解更多信息
- 介绍新的标准化 OCI Landing Zones 框架,以便更轻松地迁移到 OCI (博客)
- OCI 体系框架 (GitHub)
- OCI 核心体系框架 (GitHub)
- OCI 运营实体体系框架 (GitHub)
- 快速部署 OCI 核心体系框架。转至
。
- 快速部署 OCI 操作实体体系框架。转至
。