1. 设置基础结构以承载多个单租户 SaaS 应用程序
  2. 了解用于托管单租户 SaaS 应用程序的基础结构

了解用于托管单租户 SaaS 应用程序的基础结构

为独立软件供应商(ISV),提供软件作为服务(SaaS),您需要安全可扩展的企业级基础设施来托管服务并管理租户。此解决方案为所验证的网络拓扑提供样例 Terraform 模块,以便在 Oracle Cloud 上托管多个单租户 SaaS 应用程序。

使用须知

查看 SaaS 应用程序的部署模式,了解一般网络体系结构,并了解设计注意事项。请参阅设计用于托管 SaaS 应用程序的基础结构

体系结构

此体系结构显示解决方案提供 Terraform 代码的示例网络拓扑。样例拓扑支持四个租户。拓扑中的所有组件都位于 Oracle Cloud Infrastructure 租户的单个区域中。


承载多个 SaaS 租户的 ISV 租户的体系结构

SaaS 供应商的管理基础结构和每个租户的应用资源都将隔离在单独的区间和虚拟云网络(vcn)中。网络隔离确保将应用程序和数据与租户中的其他部署隔离。划分可以确保资源的逻辑隔离并实现精细的访问控制。

此拓扑包含以下组件:

  • 管理区间

    管理区间是用于管理各个租户应用程序部署的公用基础结构所需的所有 Isv-特定资源的逻辑容器。它包含以下资源:

    • ISV VCN

      SaaS ISV 访问和管理其租户所需的资源附加到 ISV VCN。

    • 基础

      Bastion 服务器是 ISV VCN 中公共子网内的计算实例。互联网与 bastion 服务器之间的流量通过互联网网关进行路由。

      ISV 的管理用户可以通过基础主机访问租户中的所有资源,包括租户区间中资源的专用地址。ISV 的管理用户还可以通过使用 IPSec VPN 隧道或 Oracle Cloud Infrastructure FastConnect 电路访问租户中的专用资源。

    • 管理服务器

      管理服务器是专用子网中的一个计算实例。它连接到 ISV VCN 中的专用子网。管理服务器可以通过路由网关与租户区间中的服务器进行通信。

      可以使用管理服务器安装和运行基础结构监视应用程序,例如,Nagios Core。

  • 对等连接区间

    要在 ISV VCN 中的资源与租户资源之间建立专用通信,必须在 ISV VCN 与每个租户 VCN 之间建立一个本地对等连接关系。但是,VCN 最多只能有 10 个本地对等连接关系。为了解这种缩放限制,体系结构使用可连接到多个对等 Vcn 的路由网关。每个对等连接 VCN 可以具有一个本地对等连接关系,最多可以有 10 个租户 VCN。因此,您可以通过在对等连接区间中添加路由网关和对等 Vcn 来扩展拓扑。

    • 对等连接子网

      对等连接子网是 ISV VCN 的一部分。所有路由网关都附加到此子网。

    • 路由网关和对等 Vcn

      每个路由网关都是一个 Oracle Linux 计算实例,它通过对等 VCN 将流量从管理服务器路由到租户 VCN。

      为了演示路由网关的高可用性(HA),具有浮动 IP 地址的主动-被动式计算实例对将用于其中一个路由网关。已安装定位器和 Corosync 以确保自动故障转移。第二个路由网关是单个(非 HA)实例。

      每个路由网关实例的主要 VNIC 都会连接到 ISV VCN 中的对等连接子网。

      路由网关实例使用 VM.Standard.2.2 配置,该配置支持一个辅助 VNIC。每个路由网关实例的辅助 VNIC 都连接到对等连接 VCN 的子网。每个对等连接 VCN 最多可以连接到 10 个租户 VCN。在样例拓扑中,每个对等 VCN 连接到两个租户 VCN。

      • 通过为路由网关实例使用较大的形状,可以扩展拓扑以支持更多对等 Vcn。例如,如果将 VM.Standard.2.4 形状用于路由网关实例,则最多可以将三个辅助 vnic 连接到该实例,并将路由网关连接到最多三个对等 vcn。因此,路由网关最多支持 30 个租户 Vcn。请记住,路由网关实例的可用网络带宽由其所有 Vnic 共享。

      • 每个租户 VCN 与 ISV VCN 之间的网络带宽取决于您为路由网关选择的计算配置。可用的网络带宽在网关实例的所有 Vnic 中共享。例如,如果为路由网关实例选择 VM.Standard2.4 配置,则最大可用带宽为4.1 Gbps,主 VNIC 和最多三个辅助 VNIC 共享该带宽。当您决定网关实例的形状以及您希望每个网关处理的对等 Vcn 数量时,请考虑使用此因素。

  • 租户区间

    此拓扑中四个租户中的每一个资源都位于单独的区间中。每个租户区间都包含一个 VCN,其中将该租户的所有资源附加到该 VCN。因此,每个租户的资源都使用网络中的唯一地址空间,该空间与拓扑中的所有其他租户隔离。

    在每个租户区间中,将创建一个计算实例。可以使用此实例安装和运行基础结构监视代理。例如,如果在 ISV VCN 中的管理服务器中安装了 Nagios Core,则可以在每个租户区间的计算实例中安装 Nagios 代理。代理可以监视区间中的服务器,并将度量发送到广域监视服务器。

    添加新应用程序租户时,新租户的必需资源将预配到新区间中。

    租户可以通过公共互联网或通过专用连接(IPSec VPN 或 FastConnect)访问其应用程序。要从公共互联网访问,每个租户 VCN 需要一个互联网网关。对于使用 VPN 或 FastConnect 的访问,需要 DRG。该体系结构图未显示租户 Vcn 的互联网关和 drg。

关于所需服务和策略

此解决方案需要以下服务和访问管理策略:

服务 需要策略至...
Oracle Cloud Infrastructure Identity and Access Management 创建和管理区间。
Oracle Cloud Infrastructure 网络 创建和管理 Vcn、子网、互联网网关、路由表、安全列表、lpg 和 drg
Oracle Cloud Infrastructure Compute 创建和管理计算实例。

请参阅了解如何获取适用于 Oracle 解决方案的 Oracle Cloud 服务以获取所需的云服务。