1. 了解有关 Oracle 服务专用访问的选项
  2. 了解有关连接到 Oracle 服务的不同方法的信息

了解有关连接到 Oracle 服务的不同方法的信息

下面是一些示例说明如何在 Oracle Cloud Infrastructure 中启用服务专用端点连接以及在内部部署网络中运行的虚拟机。

专门将 VM 连接到服务

要将使用者的 VM 连接到 Oracle 服务,可以使用服务网关并连接到用户的 VCN 以使其成为专用服务。 另一方面,您可以使用服务专用端点,该端点由 VCN 中的服务自动创建,让 vm 通过该 IP 地址连接到服务。

服务网关针对该区域内支持的 Oracle 服务,提供了对专用子网中 vm 的专用访问。可以在专用子网中创建服务网关,并使其流量能够访问公共 Oracle 服务,例如自治数据仓库/可承诺量和对象存储。可以从子网中的 Vm 启动连接。

对于服务专用端点,可以在自己的 VCN 中以私密方式运行该服务,并且可以通过任何有权访问该 VCN 的资源来访问该服务。作为服务用户,在自己的 VCN 中创建服务专用端点,并专门使用 Oracle 服务,而不必打开任何访问控制列表 (acl) 到任何公共 IP 地址空间。

私有连接到 FastConnect 或 VPN

Oracle Cloud Infrastructure 允许使用者使用基于 FastConnect 或 VPN 的专用连接将内部部署系统中的流量路由到其服务网关。这为内部部署系统提供了一个专用且更安全的路径,可用于访问服务,与基于互联网的访问相比。

使用服务网关,数据通过 FastConnect 专用虚拟线路或站点传送到站点 VPN,通过 VCN 进行处理,然后通过服务网关传输到 Oracle 服务。

通过服务专用端点,可以通过使用者 VCN 中的专用 IP 地址访问资源,从而允许通过快速连接和/或站点到站点 VPN 进行连接。网络配置最多可以打开公共 IP 地址,从而确保其安全。可以简化公司防火墙和路由表中的配置以仅允许访问专用 IP 地址。

方案 1:转发与 Oracle 服务的连接

可以请求 Oracle 服务提供程序在专用网络中创建服务专用端点 (VNIC)。您的消费者将使用此 VNIC 访问服务。您将经历服务提供的通常入职工作流。除了创建服务实例所需的详细信息之外,您还需要提供首选项来使用服务专用端点(包括将在其中创建端点的特定 VCN 和子网)访问服务。服务提供方创建实例并在消费者VCN/子网中创建服务专用端点

后面是 Forward_connection_to_services.png 的说明
插图 forward_connection_to_services.png 的说明

使用者对 Oracle Cloud Infrastructure 的私有实例连接体验与使用者 VCN 中的任何其他专用 IP 相同。服务 2 实例具有消费者 VCN 中的服务专用端点。VCN 包括三个子网:子网 a (CIDR 10.1.20.0/24)、子网 b (CIDR 10.1.21.0/24) 和子网 c (CIDR 10.1.22.0/24)。

在内部部署中,对服务的访问不需要任何其他设置来路由、安全列表或防火墙,除了已有什么使用者从内部部署访问其 VCN 之外。数据流如下所示:
  • 服务专用端点
    • 从子网 A 中的专用实例到达子网 b 中的服务专用端点,子网 b 中的专用 IP 地址位于使用者的 VCN 中。
    • 根据每个服务专用端点配置的子网安全规则或网络安全组,将数据流传输到服务 2。
  • 服务网关
    • 从子网 C 上的主机,数据将转到使用者 VCN 上的服务网关。
    • 从消费者 VCN,它流向 Oracle 服务并到达服务 1。

对于服务专用端点,Oracle 资源映射到服务专用端点后,子网 a 中的专用实例的连接工作方式无需在路由表和 Oracle Cloud Infrastructure 网络安全组上进行任何其他配置。

如果您需要从数据中心向 Oracle Cloud 进行专用访问,则可以使用 Oracle Cloud Infrastructure FastConnect 或 IPSec VPN。您可以将您的内部部署网络扩展到使用者的 VCN,以提高带宽、更低的延迟和灵活性(如专用和/或公共)类型。您可以从消费者 VCN 连接到服务提供商。

后面是 fastconnect_vpn_connection.png 的说明
插图 fastconnect_vpn_connection.png 的说明

在此示例中,工作负荷是具有面向公众的负载平衡器的定制应用程序。自定义应用程序使用在 Oracle Cloud 中运行的专用数据库。云与内部部署之间的流量是隔离并确保其安全。请注意,在通过动态路由网关 (DRG) 进行内部部署访问和混合 DNS 配置是此连接的先决条件。
  • Oracle Cloud Infrastructure 中,FastConnect 虚拟线路终止于 DRG,后者连接到虚拟云网络 (VCN)。
  • 从消费者 VCN 到服务 VCN 的流量将通过专用 IP 地址路由。相反方向的通信通过 DRG 进行路由。在两个方向上,流量从不保留专用网络。
  • 您可以使用服务的公共 DNS 名称通过内部部署来公开连接到服务 VCN。

方案 2:从 Oracle 服务反向连接

一组服务需要启动与使用者网络的连接。例如,您可能希望 Oracle Analytics Cloud 连接到使用者数据库端点,这可以是 VCN 或内部部署,从而摄取数据并构建所需的仪表盘/报表。使用者不希望通过 Internet 访问这些数据源,并且希望限制对 Oracle Analytics Cloud 的访问。Oracle Cloud Infrastructure 服务专用端点中的反向连接功能使服务提供方能够专门访问使用者网络中的端点。Oracle Services 中的服务实例可以访问使用者指定的工作量而无需遍历 Internet。

后面是 reverse_connection_from_services.png 的说明
插图 reverse_connection_from_services.png 的说明

注:

服务网关不支持反向连接。

此产品从 Oracle 服务中的服务实例向消费者的 VCN 提供专用连接、内部部署网络以及可通过消费者 VCN 访问的其他网络。服务提供方可以创建多个服务专用端点,每个端点提供与不同使用者网络的连接。