使用专用端点实现安全的网络架构,支持将本地数据库备份到 OCI Object Storage
场外备份对于业务连续性至关重要。Oracle Cloud Infrastructure (OCI) 为 OCI Object Storage 提供专用端点作为备份目标,OCI 可从客户本地部署位置构建安全专用连接,而无需与 OCI Object Storage 关联的公共 IP 地址。
体系结构
此参考架构展示了安全的高性能专用网络设计,可将 Oracle Exadata Database Service on Cloud@Customer 数据备份到 OCI Object Storage 。
为了实现最佳网络性能,Oracle Cloud Infrastructure FastConnect 与专用对等连接本地数据中心与客户租户的 OCI 区域。
通过 OCI 对象存储专用端点,您可以使用 VCN 内客户子网中的专用 IP 安全地访问对象存储。
OCI 专用 DNS 区域仅为通过 VCN 连接的客户端提供响应。通过配置 OCI DNS 监听端点并在内部部署客户数据中心实施转发规则,可以实现无缝的混合 DNS 解析。
下图说明了此参考体系结构。
安全备份 -oci-object-storage-oracle.zip
该体系结构包含以下组件:
- 区域
OCI 区域是一个本地化的地理区域,其中包含一个或多个托管可用性域的数据中心。区域独立于其他区域,并且很远的距离可以将它们分开(跨越国家甚至大洲)。
- 可用性域
可用性域是区域中独立的数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,从而提供容错能力。可用性域不共用基础设施(例如电源或冷却设备)或内部可用性域网络。因此,一个可用性域出现故障不会影响该区域中的其他可用性域。
- 虚拟云技术网络 (VCN) 和子网
VCN 是您可以在 OCI 区域中设置的可定制软件定义网络。与传统数据中心网络一样,VCN 允许您控制网络环境。一个 VCN 可以具有多个不重叠的无类域间路由 (classless inter-domain routing,CIDR) 块,在创建 VCN 后可以更改这些块。您可以将 VCN 细分为多个子网,这些子网可以限定为某个区域或某个可用性域。每个子网由一系列不与 VCN 中的其他子网重叠的连续地址组成。您可以在创建子网后更改子网的大小。子网可以是公共子网,也可以是专用子网。
- 动态路由网关 (DRG)
DRG 是一个虚拟路由器,用于为同一区域中的 VCN、VCN 与该区域之外的网络(例如另一个 OCI 区域中的 VCN、内部部署网络或其他云提供商中的网络)之间的专用网络流量提供路径。
- FastConnect
Oracle Cloud Infrastructure FastConnect 可在您的数据中心与 OCI 之间创建专用连接。与基于互联网的连接相比,FastConnect 提供了更高的带宽选项和更可靠、更稳定的网络体验。
- 对象存储
OCI Object Storage 可访问任意内容类型的大量结构化和非结构化数据,包括数据库备份、分析数据以及图像和视频等丰富内容。您可以直接从互联网或云平台安全地存储数据。您可以扩展存储,而不会出现性能或服务可靠性下降的情况。
将标准存储用于您需要快速、立即和频繁访问的“热”存储。将归档存储用于长期保留且很少或很少访问的“冷”存储。
- 对象存储专用端点
通过对象存储专用端点,您可以从 OCI VCN 或内部部署网络安全地访问对象存储。专用端点是您在 VNC 中选择的子网中具有专用 IP 地址的 VNIC。此方法可以替代使用与 OCI 服务关联的公共 IP 地址的服务网关。
- 专用 DNS 解析器
专用 DNS 解析程序可回答 VCN 的 DNS 查询。可以将专用解析程序配置为使用视图和区域以及条件转发规则来定义如何响应 DNS 查询。
- 监听端点
监听端点接收来自 VCN 或其他 VCN 解析器、来自其他云服务提供商(例如 AWS、GCP 或 Azure)的 DNS 或来自内部部署网络的 DNS 的查询。创建后,无需对监听端点进行进一步配置。
推荐
- VCN
创建 VCN 时,根据您计划附加到 VCN 中的子网的资源数,确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。
选择与要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure 、内部部署数据中心或其他云提供商中)不重叠的 CIDR 块。
创建 VCN 后,您可以更改、添加和删除其 CIDR 块。
设计子网时,请考虑流量和安全要求。将特定层或角色中的所有资源附加到同一子网,该子网可以用作安全边界。
- IAM 策略和网络源
在 VCN 中创建专用端点并将其与存储桶关联并不会限制您从互联网或其他网络源访问存储桶。您需要使用存储桶上的 IAM 策略定义规则,因此仅当请求来自特定 VCN 或该 VCN 中的 CIDR 块时,请求才会获得授权。所有其他访问(包括通过互联网)都被阻止访问这些存储桶。
- 安全
将网络安全组 (NSG) 分配给 OCI 监听端点,并按照拒绝所有安全状态配置安全组,仅允许在端口 UDP:53 上使用内部部署 DNS IP。可以对对象存储专用端点进行配置,以限制对特定存储桶和区间的访问。
- 高可用性
此架构展示了简化的设计。在生产部署中,请确保您的设计遵循高可用性优秀实践。
Deploy
要在上述架构图中配置从内部部署到 OCI 的网络通信和 DNS 解析,请完成以下高级步骤。
网络配置
- 创建 VCN。
- 为对象存储专用端点创建专用子网。
- 部署对象存储专用端点。
- 为 DNS 端点创建专用子网。
- 创建 DRG。
- 将 VCN 连接到 DRG。
- 创建包含专用虚拟线路的 FastConnect 以连接到内部部署并将其连接到 DRG。
DNS 配置
- 在 VCN DNS 解析器中创建监听端点,并将其部署到 DNS 子网中。
- In the DNS Subnet Security list, allow UDP:53 with source IP for the on-premises DNS server.
- 在内部部署 DNS 服务器中创建 DNS 转发规则。从下表中配置规则。
域名 * 目标 IP:端口 objectstorage. <oci-region-identifier>.oci.customer-oci.comOCI 监听端点 IP。端口 53 swiftobjectstorage. <oci-region-identifier>.oci.customer-oci.comOCI 监听端点 IP。端口 53 * 有关区域和可用性域的最新信息,请参见 Regions and Availability Domain 。