1. 使用专用端点管理从 OCI 资源管理器访问专用资源
  2. 使用专用端点管理从 OCI 资源管理器访问专用资源

使用专用端点管理从 OCI 资源管理器访问专用资源

通过专用端点管理功能,可以从 OCI 资源管理器访问 Oracle Cloud Infrastructure (OCI) 或内部部署(连接到 OCI 租户)上的私有云资源。

资源管理器是一项 OCI 服务,可用于自动执行 Oracle Cloud Infrastructure 资源的预配过程。使用 Terraform,资源管理器可帮助您通过“基础设施即代码”模型安装、配置和管理资源。

使用专用端点管理可以:
  • 在 Terraform 的应用中,通过远程执行(包括计算和数据库实例)连接到专用网络 (VCN) 中的专用资源。
  • 连接到专用网络 (VCN) 中的专用 Git 服务器(例如 GitHub 和 GitLab),以检索配置堆栈资源所需的 terraform 配置。

    例如,您可以使用 Terraform 的远程执行功能配置专用计算实例,并在专用 GitHub 服务器中访问 Terraform 配置。

  • 在作业执行期间从资源管理器远程执行脚本,而不向公共 Internet 公开资源。

体系结构

此参考架构介绍了 OCI 资源管理器,并提供了自动部署和利用专用端点访问,以及在专用子网中托管的计算实例上执行某些命令。

此引用体系结构提供了基于 Terraform 的解决方案,它创建了所有必要资源(VCN、实例、专用端点)并使用远程执行验证专用端点连接。

该自动化嵌入到 OCI Terraform 提供程序中。该代码创建 VCN。在 VCN 中,它创建用于托管实例的专用子网。实例是在专用子网下创建和启动的。子网上定义了一组安全规则,以确保它允许通过专用端点进行远程执行调用。

该自动化将为 VCN 专用子网中的租户创建专用端点资源。此外,它还会向用户组中添加用户,并在用户组之上定义策略,以便提供对 VCN 和专用端点的必要访问权限。

最后,它对未暴露在公共网络中的实例执行远程执行并捕获结果。

下图说明了此引用体系结构。


下面是 oci-orm-private-endpoint-arch.png 的说明
插图 oci-orm-private-endpoint-arch.png 的说明

oci-orm-private-endpoint-arch-oracle.zip

该体系结构具有以下组成部分:

  • 资源管理器

    资源管理器是一项 Oracle Cloud Infrastructure 服务,可用于自动执行资源管理器资源的预配过程。它可帮助您使用基础设施即代码模型安装、配置和管理资源。

  • 专用端点

    专用端点是 OCI 资源管理器中的一项功能,您可以通过该功能从资源管理器访问租户中的非公共云资源。

  • 堆栈操作

    堆栈操作是在堆栈(Terraform 代码集)上执行的各种操作,例如应用/计划/销毁。

  • 堆栈定义

    堆栈定义是一组 Terraform 代码和有关基础结构的方案定义。

  • 安全列表

    对于每个子网,您可以创建安全规则来指定必须允许传入和传出子网的通信的源、目标和类型。

  • 策略

    Oracle Cloud Infrastructure Identity and Access Management 策略指定谁可以访问哪些资源以及如何访问哪些资源。在组和区间级别授予了访问权限,这意味着您可以编写策略向组授予特定区间或租户中特定类型的访问权限。

  • 虚拟云网络 (VCN) 和子网

    VCN 是可在 Oracle Cloud Infrastructure 区域中设置的可定制的软件定义网络。与传统的数据中心网络一样,VCN 允许您完全控制您的网络环境。VCN 可以具有多个不可重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 分段到子网,这些子网可以限定到区域或可用性域。每个子网包含一个连续的地址范围,这些地址与 VCN 中的其他子网不重叠。您可以在创建子网后更改其大小。子网可以是公共子网,也可以是专用子网。

  • 专用子网

    专用子网是您在 VCN 中定义的子区域(例如,10.0.0.0/24、10.0.1.0/24 或 2001:DB8::/64)。子网包含连接到实例的虚拟网络接口卡 (virtual network interface card,VNIC)。专用表示子网中的 VNIC 不能有公共 IPv4 地址,禁止与 IPv6 端点进行互联网通信。

建议

使用以下建议作为起点。您的要求可能不同于此处所述的体系结构。
  • 计算配置

    此体系结构使用具有 E4 弹性配置的 Oracle Linux OS 映像和最小资源来托管实例。如果您的应用需要更多内存或核心,您可以选择其他配置。

  • VCN

    创建 VCN 时,根据计划连接到 VCN 中的子网的资源数量,确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。

    创建 VCN 后,您可以更改、添加和删除其 CIDR 块。

    此体系结构使用 VCN 在专用子网内托管 OCI VM 以及安全规则,该规则仅允许端口 22 用于出站和入站规则。

考虑事项

部署此引用体系结构时,请考虑以下几点。

  • 可用性

    将此架构用于生产用例时,请确保资源之间具备适当的弹性并实现负载平衡。

  • 成本

    请参阅 OCI 实例的成本并相应地管理使用情况。

  • 安全性

    该解决方案仅允许与子网建立 ssh 连接。您可以根据需要更改更新。

部署

此参考体系结构的 Terraform 代码在 Oracle Cloud Infrastructure Resource Manager 中作为样例堆栈提供。您还可以从 GitHub 下载代码,并对其进行定制以满足您的特定需求。

  • 使用 Oracle Cloud Infrastructure Resource Manager 中的示例堆栈进行部署:
    1. 单击 部署到 Oracle Cloud

      如果您尚未登录,请输入租户和用户凭据。

    2. 选择要部署堆栈的区域。
    3. 按照屏幕上的提示和说明创建堆栈。
    4. 创建堆栈后,单击 Terraform 操作,然后选择计划
    5. 等待任务完成,然后复核计划。

      要进行任何更改,请返回到 "Stack Details"(堆栈详细信息)页面,单击 Edit Stack(编辑堆栈),然后进行所需的更改。然后,再次运行计划操作。

    6. 如果不需要进一步更改,请返回“堆栈详细信息”页,单击 Terraform 操作,然后选择应用
  • 在 GitHub 中使用 Terraform 代码进行部署:
    1. 转至 GitHub
    2. 将存储库克隆或下载到本地计算机。
    3. 按照 README 文档中的说明进行操作。

浏览更多

查看这些其他资源,了解有关此参考体系结构功能的更多信息。

确认

  • Author: Rahul M R
  • Contributor: Vimal Meena