部署符合安全生產需求的 Oracle Autonomous Database 和 Oracle APEX 應用程式
使用 Oracle APEX 建置可擴展、安全的企業應用系統,其中提供世界級的功能,任您可在任何地方進行部署。Oracle APEX 是低程式碼開發平台。應用程式啟動並執行時,您可以使用 Terraform 將部署自動化至 Oracle Cloud Infrastructure 環境。
架構
此架構利用負載平衡器,在個別的專用子網路中隔離 Oracle Autonomous Transaction Processing 資料庫。Terraform 自動化的 Oracle Cloud Infrastructure (OCI) 登陸區域提供安全基礎架構,讓您在專用端點公開的共用 Oracle Autonomous Database 上執行 Oracle APEX 應用程式。
下圖說明此參考架構。
apex-app-adb.png 圖解說明
架構具有下列元件:
- 用戶
租用戶是 Oracle 會在註冊 Oracle Cloud Infrastructure 時,於 Oracle Cloud 內設定安全且隔離的分割區。您可以在租用戶內,在 Oracle Cloud 中建立、組織及管理您的資源。租用戶與公司或組織同義字。通常,公司會有一個租用戶,並反映其在該租用戶內的組織結構。單一租用戶通常與單一訂閱關聯,而單一訂閱通常只有一個租用戶。
- 區域
Oracle Cloud Infrastructure 區域是一個包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關,而且遠距離也能分隔它們 (跨國家或甚至大陸)。
- 區間
區間是 Oracle Cloud Infrastructure 租用戶的跨區域邏輯分割區。使用區間在 Oracle Cloud 中組織您的資源、控制對資源的存取,以及設定使用狀況配額。若要控制對指定區間中資源的存取,您需要定義可指定誰存取資源的原則,以及可執行哪些動作。
- 可用性網域
可用性網域是區域內的獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域並不共用基礎架構,例如電源或冷卻系統,或內部可用性網域網路。因此,一個可用性網域發生失敗並不會影響區域中的其他可用性網域。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可客製化的軟體定義網路。與傳統資料中心網路一樣,VCN 可讓您完整控制您的網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更這些區塊。您可以將 VCN 區段成子網路,可以將範圍擴展到區域或可用性網域。每個子網路都包含一個連續的位址範圍,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。
- 負載平衡器
Oracle Cloud Infrastructure Load Balancing 服務可將單一進入點自動分配給後端多部伺服器的流量。
- 網路安全群組 (NSG)
NSG 是您雲端資源的虛擬防火牆。藉由 Oracle Cloud Infrastructure 的零信任安全模型,系統會拒絕所有流量,您可以控制 VCN 中的網路流量。NSG 包含一組輸入和輸出安全規則,這些規則只適用於單一 VCN 中一組指定的 VNIC。
- 網路位址轉譯 (NAT) 閘道
NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不會將這些資源暴露給內送網際網路連線。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務,例如 Oracle Cloud Infrastructure Object Storage。從 VCN 到 Oracle 服務的流量透過 Oracle 網路架構旅行,而一律不透過網際網路。
- 網際網路閘道
網際網路閘道可允許 VCN 中公用子網路與公用網際網路之間的流量。
- 自治式資料庫
Oracle Cloud Infrastructure 自治式資料庫完全受到管理,可用來進行交易處理和資料倉儲工作負載預先設定的資料庫環境。您不需要設定或管理任何硬體,或安裝任何軟體。Oracle Cloud Infrastructure 可處理建立資料庫,以及備份、打補丁、升級和調整資料庫。
- Autonomous Transaction Processing,自治式異動處理
Oracle Autonomous Transaction Processing 是一種自我驅動、自我保護、自我修復的資料庫服務,可為交易處理工作負載最佳化。
- 堡壘主機服務
Oracle Cloud Infrastructure 堡壘主機針對沒有公用端點的資源,並且需要嚴格的資源存取控制,例如裸機和虛擬機器、Oracle MySQL Database Service、Autonomous Transaction Processing (ATP)、Oracle Container Engine for Kubernetes (OKE) 以及允許 Secure Shell 協定 (SSH) 存取的其他資源,提供有限且時間的安全存取。您可以使用 Oracle Cloud Infrastructure 堡壘主機,無須部署和維護跳躍主機,即可存取專用主機。此外,您還可以使用身分識別型權限以及集中化、稽核且有時間限制的 SSH 階段作業來改善安全態勢。Oracle Cloud Infrastructure 堡壘主機不再需要公用 IP 進行堡壘主機存取,因此在提供遠端存取時,完全免除此麻煩和潛在攻擊面。
建議
- VCN
VCN 是由 terraform 解決方案部署,但此解決方案具有模組化特性,您可以使用現有的 VCN。
建立 VCN 時,請根據計畫要在 VCN 中連附至子網路的資源數目,決定所需的 CIDR 區塊數目與每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與任何其他網路重疊的 CIDR 區塊 (在 Oracle Cloud Infrastructure 中、企業內部部署資料中心或其他雲端提供者),以設定專用連線。
建立 VCN 之後,您可以變更、新增以及移除其 CIDR 區塊。
設計子網路時,請考量您的流量和安全需求。將特定層或角色中的所有資源連附至相同的子網路,作為安全界限。
- 網路安全群組 (NSG)
您可以使用 NSG 定義一組套用至特定 VNIC 的輸入和輸出規則。我們建議您使用 NSG 而非安全清單,因為 NSG 可讓您將 VCN 的子網路架構與應用系統的安全需求分開。
- 雲端保全
複製並自訂 Oracle 提供的預設處方,以建立自訂偵測器和回應器處方。這些方法可讓您指定哪些類型的安全違規會產生警告,以及允許對這些違規執行的動作。例如,您可以偵測設為公用的物件儲存的儲存桶。
在租用戶層級套用雲端保全,以涵蓋最廣泛的範圍並降低維護多個組態的管理負擔。
您也可以使用「受管理清單」功能,將特定組態套用至偵測器。
- 負載平衡器頻寬
建立負載平衡器時,您可以選取預先定義的資源配置以提供固定頻寬,或指定自訂 (彈性) 資源配置供您設定頻寬範圍,並讓服務根據流量模式自動調整頻寬。有了其中一種方法,您便可以在建立負載平衡器之後,隨時變更資源配置。
注意事項
部署此參考架構時,請考量下列各點:
- 效能
只需幾分鐘,即可佈建 Terraform 解決方案,在新的自治式資料庫啟動及執行 Oracle APEX 應用程式。
- 安全
運算執行處理和自治式資料庫應位於專用子網路中,並受到網路安全群組的保護。
- 使用狀態
為了規劃高可用性運算執行處理,您應該考慮的重要設計策略包括:
- 透過正確運用可用性網域的三個容錯域,或跨多個可用性網域部署執行處理,消除單點失敗。
- 使用浮動 IP 位址。
- 確保您的設計可保護運算執行處理的資料可用性和完整性。