了解有关 Oracle 服务的专用访问的选项
Oracle 服务包括客户收藏夹,例如对象存储和自治数据库,以及与 Oracle Cloud Infrastructure 一起提供的许多其他基础服务。通过使用 Oracle Cloud Infrastructure 专用访问技术(例如 FastConnect 专用对等连接和 VPN 连接),您可以在 Oracle 服务中私密访问托管的服务。可以从 VCN 中的主机或内部部署网络中的主机进行访问。
关于服务专用端点
服务专用端点是 VCN 中的一个专用 IP 地址,可用于访问 Oracle Cloud Infrastructure 中的给定服务。
每个服务在使用者的 VCN 中都有一个专用 IP 地址(also-known-as 端点)。使用者将需要为其需要使用的每个 Oracle 服务(或服务实例)创建服务专用端点。使用者的专用网络中的实例将能够通过启动与专用 IP 地址的连接来访问服务。服务还可以通过使用者专用网络上的服务专用 IP 启动网络中其他专用 IP 的连接。
通过服务专用端点,VCN 中的主机和内部部署网络中的主机可以访问感兴趣的 Oracle 服务中的单个资源。例如,一个具有共享 Exadata 基础结构的自治数据库。如果您为给定 VCN 创建了五个自治数据库,则应有五个单独的服务专用端点:每个自治数据库一个,每个端点都有自己的专用 IP 地址。
关于服务网关
借助服务网关,VCN 中的资源可以通过专用的方式安全地访问 Oracle 服务网络中的自治数据仓库,而不会在互联网上公开数据。
服务网络中的每个服务都将由其公共 IP 地址标识。因此,服务网关提供了一种专用连接模型,该模型基于在使用者的专用网络与驻留在使用者专用网络外的服务公共端点之间建立虚拟链路。您需要将服务网关添加为 VCN 中的资源来访问服务。因此,使用者可以选择对象存储或使用标签的所有服务的访问权限。
要从 VCN 中的特定子网使用服务网关,可以在子网的路由表中设置路由规则,并将服务网关指定为规则的目标。您还可以设置安全规则来控制 VCN 中主机与通过服务网关提供的服务之间的访问。如果租户中有多个 VCN,则可以为每个 VCN 配置自己的服务网关。
服务专用端点与服务网关
虽然服务网关和服务专用端点可以实现专用客户网络与 Oracle 服务之间的专用连接,但是它们在满足专用访问要求方面存在细微差异。
| 功能 | 服务专用端点 | 服务网关 |
|---|---|---|
| 服务端点表示 | 在使用者网络中使用专用 IP 地址表示。 | 表示为网关以启用专用访问。服务是使用非使用者网络外部的公共 IP 地址表示的。 |
| 专用连接方向 | 服务专用端点支持双向连接。 | 使用者可以启动与服务的连接,但服务不能启动与使用者专用网络的连接。 |
| 选择性访问 | 单个端点可以授予对单个服务的访问权限。 | 单个网关可以授予对多个服务的访问权限。 |
| 支持的服务 | 自治数据库、Oracle Analytics Cloud、Oracle Data Safe、Streaming 和 Data Catalog 是唯一可以通过服务专用端点访问的服务。 | 可用服务可通过服务网关进行访问。 |
| 易于访问 | 使用者无法打开对具有一个服务专用端点的多个服务的访问。他们需要为其需要访问的每个服务(或服务实例)创建服务专用端点。 | 使用者可以选择打开对单个服务的访问,也可以选择使用单个服务网关的服务类别。 |
| 限制服务 | 使用服务 VNIC 的安全列表/网络安全组 (network Security Groups, NSG) 进一步限制流量。 | 无法限制服务。 |
| 特定地址 | 需要了解服务专用端点(在 VCN 的 CIDR 内部)的特定专用 IP 地址。 | 无需了解服务公共端点的特定 CIDR 块。 |