附註:
- 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶,請參閱開始使用 Oracle Cloud Infrastructure Free Tier 。
- 它會使用 Oracle Cloud Infrastructure 證明資料、租用戶及區間的範例值。完成實驗室時,請將這些值替代為您雲端環境特定的值。
設定 Oracle Integration 上 Visual Builder Cloud Service App 的自訂 App URL 和 OCI Web 應用程式防火牆
簡介
依照預設,PaaS Visual Builder Cloud Service Apps (VBCS) /Oracle Integration 執行處理會產生含有 Oracle 網域的 URL。不過,客戶可以使用個人化網域存取部署的應用程式,以進行品牌建立,或保護基礎架構免於直接曝光。若要設定此自訂,VBCS 提供為部署在 VBCS/Oracle Integration 執行處理之 App 設定自訂 URL 或虛名網域的選項。
使用虛名網域的優點:
- 商標
- 改進的使用者體驗 (容易使用且備忘的)
- 行銷與促銷
- 網域所有權
- 安全與隱私權
- 輕鬆移轉應用程式 (如果未來需要變更基礎基礎架構或雲端提供者,使用虛名網域可讓您更輕鬆地移轉應用程式,而不影響使用者導向的 URL)。
VBCS/Oracle Integration 執行處理的預設 URL 通常以下列格式建構:
https://<instance-display-name>-<tenancy-name>-<region-code>.integration.ocp.oraclecloud.com
目標
本教學課程將示範為部署在 Oracle Integration 執行處理之 VBCS 執行處理上的 App 設定自訂 URL 的逐步程序。
為進行示範,請考慮在執行處理上部署兩個 App。
| 應用程式名稱 | 自訂 URL |
|---|---|
| VBCS APP1 | myapp1.mydomain.com |
| VBCS APP2 | myapp2.mydomain.com |
必要條件
- 設定 OCI Python SDK。
組態
為了讓組態簡單明瞭,讓我們將組態分成兩個主要作業。第一個工作會詳細說明 Oracle Integration 層所需的組態,而第二個工作則詳述 VBCS 層所需的組態。
-
設定 Oracle Integration 執行處理的自訂端點。
-
設定 VBCS App 的自訂 URL。
作業 1:設定 Oracle Integration 執行處理的自訂端點
若要設定 VBCS App 的自訂 URL,必須使用自訂端點設定 Oracle Integration 執行處理。
Oracle Integration 執行處理可以設定單一主要自訂端點和多個替代自訂端點。主要端點可透過 Oracle Cloud Infrastructure (OCI) 主控台設定,而替代的自訂端點目前只透過 Python 和 Java 等 OCI SDK 來支援。若要為 VBCS 中的每個 APP 設定自訂 URL,則需要替代自訂端點。
本教學課程將引導您使用 Python SDK 在 Oracle Integration 設定替代自訂端點。
Task 1.1:取得 CA 簽署的憑證
為所需的自訂 URL 取得 CA 簽署憑證。
myapp1.mydomain.com
myapp2.mydomain.com
作業 1.2:在 OCI 保存庫中將憑證鏈結儲存為加密密碼
Oracle Integration 會接受 OCI 保存庫加密密碼作為憑證鏈的輸入。如需加密密碼語法的詳細資訊,請參閱設定執行處理的自訂端點。
高階步驟包括建立保存庫、建立金鑰以及建立加密密碼。
複製保存庫加密密碼的 Oracle Cloud ID (OCID)。
{
"key": "-----BEGIN PRIVATE KEY-----\n<key string>..-----END PRIVATE KEY-----\n",
"cert": "-----BEGIN CERTIFICATE-----\n<cert string>-----END CERTIFICATE-----\n",
"intermediates": [
"-----BEGIN CERTIFICATE-----\n<cert string>-----END CERTIFICATE-----\n",
"-----BEGIN CERTIFICATE-----\n<cert string>-----END CERTIFICATE-----\n"
],
"passphrase": "<private key password if encrypted key is provided>"
}
作業 1.3:建立替代自訂端點
現在,讓我們使用 Python SDK 建立替代的自訂端點。
注意:
- Oracle Integration 執行處理的替代端點限制預設為 0,請透過 OCI 主控台記錄「增加服務限制」要求以增加限制。
- Oracle Integration 執行處理最多只支援 5 個替代自訂端點。
-
建立 Python 文稿 。
import oci config = oci.config.from_file(file_location="<location to the OCI config file>") # Initialize service client with default config file integration_client = oci.integration.IntegrationInstanceClient(config) # Send the request to service, some parameters are not required, see API # doc for more info update_integration_instance_response = integration_client.update_integration_instance( integration_instance_id="<OIC Instance OCID>", update_integration_instance_details=oci.integration.models.UpdateIntegrationInstanceDetails( alternate_custom_endpoints=[ oci.integration.models.UpdateCustomEndpointDetails( hostname="myapp1.mydomain.com", certificate_secret_id="<OCID of the Secret>"), oci.integration.models.UpdateCustomEndpointDetails( hostname="myapp2.mydomain.com", certificate_secret_id="<OCID of the Secret>")]), ) # Get the data from response print(update_integration_instance_response.headers){OIC 執行處理 OCID} - 取代為 OIC 執行處理 OCID。
{OCID of the Secret} - 取代為上一個步驟中複製的保存庫加密密碼 OCID。
-
執行 Python 命令檔。
python <scriptname.py> -
驗證 OCI 主控台中的
workrequest工作狀態,大約需要 15 分鐘。
注意:您也可以透過 OCI CLI 設定替代自訂端點,請參閱更新整合執行處理。
作業 1.4:取得自訂端點別名詳細資訊
每個建立的自訂端點都會有與其關聯的唯一別名。您可以透過 API 查看此資訊,而且在主控台上看不到此資訊。
執行下列命令檔以取得詳細資訊:
import oci
config = oci.config.from_file(file_location="<config file>")
integration_client = oci.integration.IntegrationInstanceClient(config)
# Send the request to service, some parameters are not required, see API
# doc for more info
get_integration_instance_response = integration_client.get_integration_instance(
integration_instance_id="<OIC Instance OCID>")
print(get_integration_instance_response.data)
{OIC 執行處理 OCID} - 取代為 OIC 執行處理 OCID。
以下為範例輸出:
作業 1.5:建立 DNS 記錄
若要存取 VBCS/Oracle Integration 執行處理,請建立會解析為與個別自訂 URL 關聯之替代自訂端點別名的 CNAME DNS 記錄。
CNAME 記錄
| 自訂主機名稱 | 別名目標 |
|---|---|
| myapp1.mydomain.com | <alias1-xxxyyyy.integration.ocp.oraclecloud.com> |
| myapp2.mydomain.com | <alias2-xxxyyyy.integration.ocp.oraclecloud.com> |
現在可以使用設定的替代自訂端點 URL 存取 VBCS 產生器頁面。
https://myapp1.mydomain.com/ic/builder (app1 的 VBCS 產生器頁面)。
https://myapp1.mydomain.com/ic/home (Oracle Integration 頁面)。
https://myapp2.mydomain.com/ic/builder (app2 的 VBCS 產生器頁面)。
https://myapp2.mydomain.com/ic/home (Oracle Integration 頁面)。
作業 2:設定 VBCS APPS 的自訂 URL
設定 VBCS APPS 的自訂 URL 需要更新 App 設定選項中 VBCS App 的自訂 URL。
-
登入產生器頁面,確定使用 APP1
https://myapp1.mydomain.com/ic/builder的自訂主機。 -
按一下應用程式上的漢堡功能表。
-
選取新版本。
-
應用程式處於開發模式之後,請按一下設定值。
-
使用自訂 URL 更新虛名 URL 欄位。
-
接下來,請安裝應用程式。
-
最後,發佈應用程式。
注意: VBCS 應用程式的自訂 URL 僅適用於已發布的應用程式,無法在開發模式下存取自訂 URL。
-
重複上述 APP2 步驟。
現在,讓我們使用自訂 URL 存取應用程式。
APP1 影像:
https://myapp1.mydomain.com
APP2 影像:
https://myapp2.mydomain.com
工作 3:設定 WAF
Web 應用程式防火牆可保護 Web 應用程式免於各種線上威脅,包括 SQL 隱碼攻擊、跨網站命令檔 (XSS)、遠端程式碼執行等等。因此,強烈建議您使用 OCI WAF (邊緣或區域) 保護 VBCS 應用程式。
如需詳細資訊,請參閱使用 Oracle Integration 上的 OCI Web Application Firewall 保護 Visual Builder Cloud Service App 。
結論
虛名網域或自訂 URL 會為客戶提供寶貴的機會,讓他們能夠強化由 VBCS 執行處理代管的應用系統。藉由選擇個人化網域,客戶可以強化品牌身分、推廣專業線上影像,並為使用者創造更難忘的體驗。利用虛名網域 / 自訂 URL,客戶可以遮蔽其應用程式的基礎架構,防止直接接觸到實際的主機名稱。
此外,客戶可以在應用系統前方導入 Web 應用系統防火牆 (WAF),以採取安全性措施。WAF 作為主動防禦機制,可分析和篩選內送 Web 流量,藉此降低惡意攻擊的風險,並確保一般使用者能夠獲得更安全的瀏覽體驗。
總而言之,虛名網域 / 自訂 URL 的組合與 WAF 的導入可強化 VBCS 執行處理上代管應用系統的品牌與安全性層面,為企業提供全方位且健全的解決方案,以便在數位環境中蓬勃發展。
相關連結
確認
- 作者:Anil Guttala (Oracle Cloud Infrastructure 資深雲端工程師)
其他學習資源
探索 docs.oracle.com/learn 的其他實驗室,或者存取更多 Oracle Learning YouTube 頻道上的免費學習內容。此外,請瀏覽 education.oracle.com/learning-explorer 以成為 Oracle Learning 檔案總管。
如需產品文件,請造訪 Oracle Help Center 。
Configure Custom App URL and OCI Web Application Firewall for Visual Builder Cloud Service Apps on Oracle Integration
F87547-03
October 2023
Copyright © 2023, Oracle and/or its affiliates.