使用 AWS 端點服務將應用系統安全地連線至 Oracle Autonomous Database
在 AWS 上部署的應用系統藉由部署多雲端的分割堆疊架構,可運用在 Oracle Cloud Infrastructure (OCI) 中執行的所有 Oracle Autonomous Database 優點。
此參考架構展示如何為在 OCI 中執行的 Autonomous Database 建立 AWS 端點服務,以及 AWS 端點如何允許在 AWS 內安全地共用 Autonomous Database 。
架構
此參考架構中的多雲端拓樸在為 Amazon Web Services (AWS) 區域服務的 Oracle Cloud Infrastructure (OCI) 區域中具有專用端點的 Oracle Autonomous Database 。
使用 AWS 端點服務時,由 AWS 代管的應用系統只需連線至端點。AWS 端點服務背後的網路負載平衡器負責連線至 OCI 上代管之 Autonomous Database 的專用端點。
此架構代表路由以及網域名稱系統 (DNS) 的簡化方式。AWS 端點服務負責以私密方式連線至端點,同時提供有效的網域來解析 Autonomous Database 專用端點 IP。
- 當工作負載需要兩個雲端之間的高頻寬和低延遲專用連線時,請使用 OCI FastConnect 合作夥伴連線至 AWS DirectConnect 的 Oracle Cloud Infrastructure FastConnect 。
- 如果工作負載不需要低延遲和高頻寬,請透過網際網路使用站對站 VPN。
下圖說明此參照架構。
adb-aws-endpoint-arch-oracle.zip
此架構具有下列 Oracle 元件:
- 區域
Oracle Cloud Infrastructure 區域是一個本地化的地理區域,包含一或多個資料中心 (稱為可用性網域)。區域與其他區域無關,因此廣大的距離可加以區隔 (跨國家或甚至洲)。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。就像傳統的資料中心網路,VCN 可讓您完全控制網路環境。VCN 可以有多個非重疊 CIDR 區塊,而您可以在建立 VCN 之後進行變更。您可以將 VCN 區隔成子網路,然後對區域或可用性網域進行調整。每個子網路都是由不與 VCN 中其他子網路重疊的連續位址範圍所組成。您可以在建立子網路後變更其大小。子網路可以是公用網路或專用子網路。
- 動態路由閘道 (DRG)
DRG 是一個虛擬路由器,可為 VCN 與區域外部網路之間的 VCN (例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、企業內部部署網路或其他雲端提供者中的網路) 之間的專用網路流量提供路徑。
- FastConnect
Oracle Cloud Infrastructure FastConnect 可讓您在資料中心與 Oracle Cloud Infrastructure 之間建立專屬的專用連線。FastConnect 與網際網路連線相比,提供更高的頻寬選項和更可靠的網路體驗。
- Autonomous Database
Oracle Cloud Infrastructure Autonomous Database 是一個完全受管理且預先設定的資料庫環境,可用來處理交易和資料倉儲工作負載。您不需要設定或管理任何硬體,或是安裝任何軟體。Oracle Cloud Infrastructure 可處理建立資料庫,以及備份、打補丁、升級及調整資料庫。
此架構具有下列 AWS 元件:
- 虛擬私有雲 (VPC)
VPC 是您在 AWS 區域中建立的虛擬網路。
- 隱私鏈結
您自己的專用連結支援服務也稱為端點服務
AWS PrivateLink 是一種高可用性、可擴展的技術,可讓您將 VPC 以私密的方式連結至您的 VPC 中的服務。您不需要使用網際網路閘道、NAT 裝置、公用 IP 位址、AWS 直接連線連線或 AWS 網站至網站 VPN 連線,就能與來自專用子網路的服務進行通訊。您可以控制可從 VPC 連線的特定 API 端點、網站和服務。
- 路線 53
Amazon Rout 53 是高可用性且可擴展的網域名稱系統 (DNS) Web 服務。路由 53 可將使用者要求連線至 AWS 或企業內部部署環境執行的網際網路應用系統。
建議
- 作為服務提供者的專用 VPC
建立專用的 VPC 來代管 Oracle Autonomous Database 的網路負載平衡器和 AWS 端點服務。
- 端點服務接受設定值
將 Autonomous Database 的 AWS 端點服務設定為要求接受。這將允許控制部署端點的用戶 VPC。
- 端點安全群組
在拒絕所有安全狀況後設定端點安全群組,而且只允許必要的連線。
- 高可用性
此架構以單一可用性區域顯示 AWS 端點。在生產部署中,建議在多個可用性區域中設定端點。
- 效能
選取旨在實現最低延遲的 OCI 和 AWS 區域。連線 OCI 和 AWS 時,請以 OCI FastConnect 和 AWS DirectConnect 為基礎使用專用連線。
注意事項
部署此參考架構時,請考量下列因素。
- 效能
除了延遲之外,另一個影響效能的重要因素就是元件之間可用的傳輸量。對於 OCI FastConnect、AWS Direct Connect 和連線提供者,請選取涵蓋預期需求的大小。
- 成本
部署此架構的總成本取決於下列資源的成本:
- AWS
- AWS 端點
- AWS 傳輸閘道
- 直接連線
- 輸出資料傳輸
- Oracle Cloud Infrastructure
- FastConnect 連接埠
- Autonomous Database
- 連線合作夥伴
- AWS
部署
若要與 AWS 區域內的專用端點共用 Autonomous Database ,請執行下列高階步驟。
「瀏覽更多」區段提供支援文件的連結,以取得部分步驟。
- 在 OCI 區域中部署具有專用端點的 Autonomous Database 。
- 在 AWS 中建立網路負載平衡器。
- 建立網路負載平衡器。
- 建立 TCP 1522 的監聽器。
- 建立目標類型為
IP addresses的目標群組。 - 將 Autonomous Database 專用端點註冊為目標。
- 在 AWS 中建立端點服務。
- 建立由 AWS PrivateLink 提供的服務。
- 選取上一個步驟中建立的網路負載平衡器,以建立端點服務。
- 建立端點。
- 選取其他端點服務並提供 Autonomous Database 端點服務的服務名稱,以建立端點。
- 選取將建立端點的 VPC。
- 提供自訂網域名稱 (選擇性)。
- 為自訂區域建立路由 53 專用代管區域。
- 將代管區域與端點 VPC 建立關聯。
- 選取別名並選取 Autonomous Database VPC 端點,即可建立 A 類型記錄。