在 Oracle Cloud 上设计安全的观测和管理区间结构

观测和管理服务是云基础设施解决方案的支柱，为系统可用性、性能和安全态势提供关键的监视和观测洞察。

在 Oracle Cloud Infrastructure 中设计安全有效的观测和管理区间组织是一项战略性工作，可以满足这些要求。区间结构是实现有效的云资源和数据组织、访问控制监管的基础。此参考架构采用 Oracle Cloud 的优秀实践来提供系统运行状况、行为和风险的全面视图。它旨在为利益相关者提供可操作的情报，从而实现及时和明智的决策。

体系结构

此参考架构概述了设计 Oracle Cloud Observability and Management Platform 区间的关键组件和方法，该区间在云生态系统中提供安全性、可恢复性和运营灵活性。

下图说明了此 Oracle Cloud Observability and Management Platform 区间参考体系结构。

下面是 oracle-cloud-observability-arch.png 的说明

插图 oracle-cloud-observability-arch.png 的说明

oracle-cloud-observability-arch-oracle.zip

此区间设计反映了在不同组织中观察到的基本功能结构，通常在网络、安全性、应用程序开发和数据库管理员之间分离 IT 职责。此引用体系结构中的资源在以下区间中预配：

Oracle Cloud Observability and Management Platform 区间，适用于所有观测和管理服务度量和资源以及度量名称空间资料档案库。
用于所有网络资源的网络区间，包括所需的网络网关和与网络相关的日志数据。
一个安全区间，用于记录安全和事件、密钥管理和与安全相关的日志。
与应用相关的服务的应用区间，包括计算、存储、函数、流、Kubernetes 节点、API 网关以及应用相关的日志。
一个数据库区间，其中包含所有数据库资源以及与数据库相关的日志。
包含以上所有区间的可选封闭区间。

体系结构具有以下组成部分：

租户
租户是 Oracle 在您注册 Oracle Cloud Infrastructure 时在 Oracle Cloud 中设置的安全隔离分区。您可以在您的租户内的 Oracle Cloud 中创建、组织和管理您的资源。租户是公司或组织的同义词。通常，公司将具有单个租户，并在该租户内反映其组织结构。单个租户通常与单个订阅关联，而单个订阅通常只有一个租户。
策略
Oracle Cloud Infrastructure Identity and Access Management 策略指定谁可以访问哪些资源以及如何访问这些资源。在组和区间级别授予访问权限，这意味着您可以编写策略，为组提供特定区间内或租户的特定类型的访问权限。
区间
区间是 Oracle Cloud Infrastructure 租户中的跨区域逻辑分区。使用区间在 Oracle Cloud 中组织资源、控制对资源的访问以及设置使用限额。要控制对给定区间中资源的访问，您可以定义策略来指定哪些人可以访问资源以及他们可以执行哪些操作。
监视
Oracle Cloud Infrastructure Monitoring 服务主动和被动监视云资源，使用指标监视资源和预警，并在这些指标满足警报指定的触发器时通知您。
预警
监视服务的预警功能与配置的目标服务配合使用，以便在度量满足预警指定的触发器时通知您。
日志记录
日志记录是一项高度可扩展且完全托管的服务，它支持从云中的资源访问以下类型的日志：
- 审计日志：与审计服务发出的事件相关的日志。
- 服务日志：各个服务发出的日志，如 API 网关、事件、函数、负载平衡、对象存储和 VCN 流日志。
- 定制日志：包含来自定制应用程序、其他云提供商或内部部署环境的诊断信息的日志。
事件
Oracle Cloud Infrastructure 服务会发出事件，这些事件是描述资源变化的结构化消息。将针对创建、读取、更新或删除 (CRUD) 操作、资源生命周期状态更改以及影响云资源的系统事件发出事件。
服务连接器
Oracle Cloud Infrastructure Service Connector Hub 是一个云消息总线平台，可协调 OCI 中的服务之间的数据移动。可以使用服务连接器将数据从源服务移动到目标服务。服务连接器还允许您根据需要指定在将数据交付到目标服务之前对数据执行的任务（例如函数）。

您可以使用 Oracle Cloud Infrastructure Service Connector Hub 快速构建用于安全信息和事件管理 (SIEM) 系统的日志记录聚合框架。
通知
Oracle Cloud Infrastructure Notifications 服务通过发布 - 订阅模式向分布式组件广播消息，为 Oracle Cloud Infrastructure 上托管的应用提供安全、高度可靠、低延迟和持久的消息。
流
Oracle Cloud Infrastructure 流处理提供了一个完全托管、可扩展且持久的存储解决方案，可以摄取连续的大量数据流，以供您实时使用和处理。您可以使用流处理来摄取大量数据，例如应用日志、运行状况遥测、Web 点击流数据；或者用于发布 - 订阅消息传递模式中连续生成和处理数据的其他用例。
数据库管理
数据库管理为 Oracle 数据库和 MySQL HeatWave 数据库系统提供全面的数据库性能诊断和管理功能。此外，您可以使用数据库管理来搜索和监视内部部署 Oracle Database System（外部数据库系统）组件和 Exadata 存储基础结构。
操作洞察
Oracle Cloud Infrastructure Operations Insights 是一项 OCI 原生服务，可提供关于数据库和主机资源利用率和容量的全面洞察。借助运行洞察分析，您可以：
- 分析整个企业中数据库和主机的资源使用情况。
- 根据历史趋势预测资源的未来需求。
- 比较各个数据库的 SQL 性能并识别常见模式。
- 了解整个企业级数据库的 SQL 性能趋势。
- 分析 AWR 统计信息，了解数据库组中的数据库性能、诊断和优化。
- 创建和接收每周新闻报告，为您提供数据库、主机和 Exadata 系统组中新利用率高、高利用率更改和库存更改的细分。
应用程序性能监视
Oracle Cloud Infrastructure Application Performance Monitoring 可深入了解应用的性能，并支持快速诊断问题，从而提供一致的服务水平。这包括监视分散在客户、第三方服务和后端计算层（本地部署或云端）中的多个组件和应用逻辑。
堆栈监视
通过堆栈监视，您可以主动监视应用及其底层应用堆栈，包括应用服务器和数据库。它首先搜索应用程序的所有组件，包括应用程序拓扑。搜索到后，它将自动收集所有应用程序组件的状态、负载、响应、错误和利用率度量。
日志分析
Oracle 日志分析是 Oracle Cloud Infrastructure 中的云解决方案，可让您对云或内部部署中的应用和系统基础设施中的所有日志数据进行索引、扩充、聚合、浏览、搜索、分析、关联、可视化和监视。
管理代理
管理代理（代理）允许服务插件从安装管理代理的主机收集数据。它可以使用管理代理云服务直接连接到 Oracle Cloud Infrastructure。管理代理安装在主机上。它监视和收集驻留在主机或虚拟主机上的源中的数据。
管理代理网关
Management Agent Cloud Service (MACS) 也称为 Management Agent 服务，是 Oracle Cloud Infrastructure 的云服务。它管理管理代理及其生命周期。管理代理允许 Oracle Cloud 服务与由其管理的实体进行交互和收集数据。
管理仪表盘
通过管理仪表盘，您可以在 Oracle Cloud Infrastructure 平台、基础设施和应用资源上构建性能监视、诊断和数据分析解决方案。它具有强大的数据可视化选项，可以收集实时和历史数据并将其显示在小部件中。管理仪表盘作为以下 Oracle Cloud Infrastructure 观测和管理服务的一部分提供：
- 应用程序性能监视
- 数据库管理
- 日志分析
- 管理代理
- 运行洞察分析
虚拟云网络 (VCN) 和子网
VCN 是您在 Oracle Cloud Infrastructure 区域中设置的可定制软件定义网络。与传统的数据中心网络一样，VCN 可以让您控制您的网络环境。一个 VCN 可以具有多个不重叠的 CIDR 块，您可以在创建 VCN 后更改这些块。您可以将 VCN 细分为多个子网，这些子网可以限定在某个区域或可用性域中。每个子网都包含一系列不与 VCN 中的其他子网重叠的地址。您可以在创建后更改子网的大小。子网可以是公共子网，也可以是专用子网。
Internet gateway（Internet 网关）
互联网网关允许 VCN 中的公共子网与公共互联网之间的通信。
Dynamic routing gateway，DRG（动态路由网关）
DRG 是一个虚拟路由器，它为同一区域中的 VCN 之间、区域外的 VCN 与网络之间的专用网络流量提供路径，例如另一个 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或另一个云提供商中的网络。
网络地址转换 (network address translation，NAT) 网关
NAT 网关可使 VCN 中的专用资源访问互联网上的主机，同时不会向传入的互联网连接公开这些资源。
服务网关
通过服务网关，您可以从 VCN 访问其他服务，例如 Oracle Cloud Infrastructure Object Storage 。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传输，不会通过互联网传输。
Oracle 服务网络
Oracle 服务网络 (OSN) 是 Oracle Cloud Infrastructure 中为 Oracle 服务预留的概念性网络。这些服务具有可通过互联网访问的公共 IP 地址。Oracle Cloud 外部的主机可以使用 Oracle Cloud Infrastructure FastConnect 或 VPN Connect 通过私密方式访问 OSN。您的 VCN 中的主机可以通过服务网关私密地访问 OSN。
Network security group，NSG（网络安全组）
网络安全组 (NSG) 充当云资源的虚拟防火墙。借助 Oracle Cloud Infrastructure 的零信任安全模型，所有流量都会被拒绝，您可以控制 VCN 中的网络流量。NSG 由一组入站和出站安全规则组成，这些规则仅应用于单个 VCN 中指定的一组 VNIC。
Vault
借助 Oracle Cloud Infrastructure Vault ，您可以集中管理加密密钥，保护您的数据和密钥凭证，以保护对云中资源的访问。可以使用 Vault 服务创建和管理 Vault、密钥和密钥。
Cloud Guard
您可以使用 Oracle Cloud Guard 监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用可以定义的检测器配方来检查资源是否存在安全弱点，并监视操作员和用户是否存在某些风险活动。检测到任何配置错误或不安全活动时，Cloud Guard 会根据您可以定义的响应器配方建议更正操作并帮助采取这些操作。
Security zone（安全区域）
安全区域会从一开始就确保 Oracle 的安全优秀实践，即实施加密数据等策略，并防止对整个区间的网络进行公共访问。安全区域与同名的区间关联，包括适用于区间及其子区间的安全区域策略或“配方”。无法将标准区间添加到或移动到安全区域区间。
漏洞扫描服务
Oracle Cloud Infrastructure 漏洞扫描服务通过例行检查端口和主机是否存在潜在漏洞来帮助改善 Oracle Cloud 中的安全状况。该服务生成报告，其中包含有关这些漏洞的度量和详细信息。
堡垒服务
Oracle Cloud Infrastructure 堡垒可为没有公共端点且需要严格资源访问控制的资源（例如裸金属和虚拟机、Oracle MySQL Database Service 、自治事务处理 (ATP)、Oracle Container Engine for Kubernetes (OKE) 以及允许安全 Shell 协议 (Secure Shell Protocol，SSH) 访问的任何其他资源提供受限且时间限制的安全访问。借助 Oracle Cloud Infrastructure 堡垒服务，您可以在不部署和维护跳转主机的情况下启用对专用主机的访问。此外，您还可以通过基于身份的权限和集中、经过审计且有时限的 SSH 会话来改善安全状况。Oracle Cloud Infrastructure Bastion 消除了对堡垒访问的公共 IP 的需求，消除了提供远程访问时的麻烦和潜在攻击面。
对象存储
通过对象存储，可以快速访问任意内容类型的大量结构化和非结构化数据，包括数据库备份、分析数据以及图像和视频等丰富内容。您可以安全、安全地存储数据，然后直接从互联网或云平台检索数据。您可以扩展存储，而不会在性能或服务可靠性方面出现任何下降。将标准存储用于“热”存储，以便您快速、立即和频繁地访问。将归档存储用于长时间保留的“冷”存储，很少或很少访问。
适用于 Kubernetes 的容器引擎
Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE) 是一个完全托管、可扩展且高可用性服务，可用于将容器化应用部署到云中。您可以指定应用所需的计算资源，并且 Container Engine for Kubernetes 可在现有租户的 Oracle Cloud Infrastructure 上预配这些资源。Container Engine for Kubernetes 使用 Kubernetes 自动部署、扩展和管理跨主机集群的容器化应用。
计算
借助 Oracle Cloud Infrastructure Compute 服务，您可以在云中设置和管理计算主机。您可以启动计算实例并使用配置来满足对 CPU、内存、网络带宽和存储的资源要求。创建计算实例后，可以安全地访问计算实例，重新启动计算实例，附加和分离卷，然后在不再需要计算实例时终止计算实例。
自治数据库
Oracle Cloud Infrastructure 自治数据库是完全托管的预配置数据库环境，可用于事务处理和数据仓库工作负载。您不需要配置或管理任何硬件，也不需要安装任何软件。Oracle Cloud Infrastructure 负责数据库创建以及数据库备份、打补丁、升级和调优。
专用基础设施上的 Exadata 数据库
Exadata 云基础结构允许您利用云端 Exadata 的强大功能。您可以预配灵活的 X8M 和 X9M 系统，以便随着需求的增长将数据库计算服务器和存储服务器添加到系统中。X8M 和 X9M 系统提供基于聚合以太网的 RDMA (RoCE) 网络，可实现高带宽和低延迟、持久性内存 (PMEM) 模块以及智能 Exadata 软件。X8M 和 X9M 系统可以使用等同于四分之一机架 X8 或 X9M 系统的配置进行预配，然后在预配后随时添加数据库和存储服务器。
Oracle Base Database Service
借助 Oracle Base Database Service，您可以在使用 Oracle Database 和 Oracle Cloud Infrastructure 的组合功能的同时，保持对数据的绝对控制。Oracle Base Database Service 在虚拟机上提供数据库系统（DB 系统）。它们在 Oracle Cloud Infrastructure (OCI) 上作为单节点数据库系统和多节点 RAC 数据库系统提供。
文件存储
Oracle Cloud Infrastructure File Storage 服务提供持久、可扩展、安全的企业级网络文件系统。您可以从 VCN 中的任何裸金属、虚拟机或容器实例连接到文件存储服务文件系统。您还可以使用 Oracle Cloud Infrastructure FastConnect 和 IPSec VPN 从 VCN 外部访问文件系统。

注意事项

在实施此参考体系结构时，请考虑这些选项。

Oracle Cloud Observability and Management Platform 相关区间层次结构设计
Oracle Cloud Observability and Management Platform 相关的区间层次结构设计可帮助运营和工程团队简化云运营，同时保持适当的云治理和安全态势。OCI 中的两个可区分的监视和日志记录相关数据：
- 度量数据：聚合数据点，例如高级观测和管理服务从云资源收集的全面可用性和性能度量。
- 日志记录数据：来自主机、数据库、中间件或应用程序（如系统日志、数据库预警日志、原始日志数据）的原始日志数据可能包含敏感数据。
- 可能包含应用程序或用户名空间敏感信息的日志数据的性质。
- 日志数据安全边界应与云资源定义在同一区间中。
- 需要访问日志数据的支持团队或业务单位应具有与云资源及其底层配置相同的访问权限级别。
OCI 中的其他 Oracle Cloud Observability and Management Platform 资源
- 服务度量：OCI 云资源默认在 OCI 监视服务中提供基本服务度量。现成的服务度量存储在与云资源位于同一区间的指定度量名称空间中。云资源服务度量是免费的，您无法更改服务度量的区间。
- 日志分析日志源、语法分析器和字段是租户级别资源，它们将与租户（根区间）关联。
- Oracle Cloud Observability and Management Platform 区间资源为诊断生成的日志（如管理代理日志、服务连接器日志）应存储在 Oracle Cloud Observability and Management Platform 区间中。

浏览更多

查看这些附加解决方案，以了解有关此参考体系结构功能的更多信息。

确认

Author: Royce Fu

Contributors: Leon Shaner, Sriram Vrinda

体系结构

推荐

注意事项

浏览更多

确认