使用管理网关保护内部部署的可观察性数据上载
对于企业级内部部署环境的观察和管理,必须确保安全高效的数据传输,并限制对管理工具的访问。
可观察性和管理应用通常通过互联网公开和访问,但偶尔客户可能更愿意限制对公司网络的访问,并提供与 Oracle Cloud 中运行的 SaaS 应用程序的专用高带宽连接。
体系结构
此参考架构展示了如何在安全区域内传输 Oracle Cloud Observability and Management Platform 数据(在内部部署或第三方云网络中收集)。该解决方案建议将通过代理收集的数据路由到管理网关,然后通过安全隧道将流量路由到 Oracle Cloud Observability and Management Platform 服务。
使用服务网关通过动态路由网关进行路由的参考架构
您可以通过 VCN 的服务网关,通过专用访问 Oracle 服务来设置内部部署网络。服务网关允许内部部署网络中的主机使用专用 IP 地址与任何受支持的 Oracle 服务进行通信。
有关服务网关支持的服务的信息,请参阅了解更多信息部分中的服务网关:Oracle 服务网络中支持的云服务链接。建议在内部部署边缘节点上设置安全列表,以仅允许 OCI 服务 IP 范围的流量。
下图说明了参考体系结构。
mgmtgw-secure-upload-sgw-arch-oracle.zip
具有网关对等连接的引用体系结构
您可以通过管理网关对等连接通过安全隧道设置内部部署网络,并对其访问 Oracle 服务进行专用访问。内部部署管理网关配置为将流量重定向到云 VCN 中的管理网关。
使用服务网关,可以将此流量转发到 Oracle Cloud Observability and Management Platform 服务。
下图说明了参考体系结构。
mgmtgw-secure-upload-peering-arch-oracle.zip
该体系结构包含以下组件:
- 区域
Oracle Cloud Infrastructure 区域是一个局部地理区域,包含一个或多个称为可用性域的数据中心。区域独立于其他区域,广阔的距离可以将其分开(跨国家甚至大陆)。
- 虚拟云网络 (VCN) 和子网
VCN 是您在 Oracle Cloud Infrastructure 区域中设置的可定制软件定义网络。与传统数据中心网络一样,VCN 允许您完全控制您的网络环境。一个 VCN 可以具有多个不重叠的 CIDR 块,您可以在创建 VCN 后对其进行更改。您可以将 VCN 细分为多个子网,这些子网可以限定到区域或可用性域。每个子网包含一系列不与 VCN 中的其他子网重叠的连续地址。创建后可以更改子网的大小。子网可以是公共子网,也可以是专用子网。
- VCN 附件
您可以将多个 VCN 连接到单个 DRG。每个 VCN 可以与 DRG 位于同一租户中,也可以位于不同的租户中。
- 路由表
虚拟路由表包含将流量从子网路由到 VCN 外部的目标(通常通过网关)的规则。
- 安全列表
对于每个子网,您可以创建安全规则来指定必须允许进出子网的流量源、目标和类型。
- 站点到站点 VPN
站点到站点 VPN 可以在内部部署网络与 Oracle Cloud Infrastructure 中的 VCN 之间建立 IPSec VPN 连接。IPSec 协议套件在将数据包从源传输到目标之前加密 IP 通信,并在到达时解密通信。
- 动态路由网关 (DRG)
DRG 是虚拟路由器,用于为同一区域中的 VCN 之间、VCN 与区域外的网络(例如另一个 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或其他云提供商中的网络)的专用网络流量提供路径。
- 服务网关
通过服务网关,可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage 。从 VCN 到 Oracle 服务的流量会通过 Oracle 网络网状结构网络传输,并且从不通过互联网传输。
- 管理网关
管理网关为管理代理和其他客户端提供了一个用于连接到 OCI 服务的出站点。
- 管理代理
管理代理允许管理服务插件从驻留在安装了管理代理的主机或虚拟主机上的源监视和收集数据。管理代理可以使用管理代理服务直接连接到 OCI。
- 日志分析
Oracle Cloud Infrastructure Logging Analytics 是一项完全托管的 SaaS 区域服务,在 27 个以上的区域中提供收集、索引编制、扩充、查询、可视化和预警功能,可用于从在内部部署、OCI 或第三方云上运行的任何 IT 组件收集日志。
- 应用程序性能监视
通过 Oracle Cloud Infrastructure Application Performance Monitoring,您可以深入了解应用的性能,并能够快速诊断问题,从而提供一致的服务级别。这包括监视多个组件和应用逻辑,这些逻辑分布在内部部署或云中的客户端、第三方服务以及后端计算层。
- 数据库管理
Database Management Cloud Service 提供了 DBA,可为内部部署和云数据库提供统一的控制台,其中包含用于监视、性能管理、优化和管理的生命周期数据库管理功能。使用高级数据库组诊断和优化来解决问题并优化性能。通过实时 SQL 监视优化 SQL 并简化数据库配置。
- 运行洞察分析
借助 Oracle Cloud Infrastructure Operations Insights,管理员可以使用基于机器学习的历史和 SQL 数据分析来发现性能问题、预测使用量和规划容量。组织可以使用这些功能来制定数据驱动的决策,从而优化资源使用、主动避免停机并提高性能。
考虑事项
实施此引用体系结构时,请考虑这些选项。
- 成本
管理网关、管理代理、VCN、子网、DRG、安全列表和路由表没有额外成本。部署中的测试 VM 可以使用空闲层配置。
如果使用免费套餐实例,请将测试 VM 设置为常规配置实例。
- 可用性和冗余
- 管理网关 HA 支持在负载平衡器后面部署。
- DRG 是冗余的,会自动进行故障转移。
- 每个连接可以有多个隧道。
- 考虑在生产环境中使用来自不同提供商的多个 Internet 链接。