為 Oracle Cloud Infrastructure API 閘道部署災害復原解決方案
Oracle Cloud Infrastructure API Gateway 可在由服務層級協議 (SLA) 所管理的 OCI 區域中使用。此參考架構詳細說明導入 OCI API Gateway 的跨區域客戶管理災害復原解決方案的相關架構。
- 「主動 - 被動」拓樸,只有一個閘道會處理整個負載,即使兩個閘道都預期會啟動並在執行中。作用中閘道由其狀態 (作用中 / 刪除 / 更新) 決定,但會由流量導向並啟用以執行所有功能的閘道來決定。
- 客戶管理的 OCI API Gateway 類別複製;例如 API 部署、使用計畫及 API 訂閱者。
Before You Begin - 開始之前
- 在不同的 OCI 區域中佈建第二個 OCI API Gateway 。
- 取得自訂 DNS/ 主機名稱 (在您選擇的網域中) 和關聯的 SSL 憑證。
架構
此 OCI API Gateway 參考架構由兩個不同雲端區域中的 OCI API Gateway 組成,這些區域使用單一自訂端點 (URL) 進行存取。若要實作單一自訂端點,您可以使用 OCI 網域名稱系統 (DNS) 區域來解析自訂端點名稱。
您可以使用這些自訂 URL 作為 OCI API 閘道的進入點,例如 api.mycompany.com。如需有關設定自訂端點的詳細資訊,請參閱下面的「管理 DNS 服務區域」,您可以從下方的「深入瞭解」存取此區域。
架構中的兩個 OCI API 閘道會指定為主要和次要,且這兩個閘道會同時執行;不過,只有其中一個閘道會接收流量。主要閘道一開始會接收流量。如果主要區域無法使用,您可以更新 DNS 記錄,以便將流量遞送至次要區域。
下圖說明公用閘道 ( OCI API 閘道的登陸區域模式) 的參考架構:
apigw-oci-customer-managed-dr-topology.png 圖解描述
apigw-oci-customer-managed-dr-topology-oracle.zip
- Tenancy
租用戶是 Oracle 在您註冊 Oracle Cloud Infrastructure 時設定在 Oracle Cloud 內的安全隔離分割區。您可以在租用戶內的 Oracle Cloud 中建立、組織及管理您的資源。租用戶與公司或組織同義。通常,公司會擁有單一租用戶,並在該租用戶內反映其組織結構。單一租用戶通常與單一訂閱相關聯,單一訂閱通常只有一個租用戶。
- 地區
Oracle Cloud Infrastructure 區域是一個本地化地理區域,其中包含一或多個稱為可用性網域的資料中心。區域獨立於其他區域,而廣大的距離可以將其分開 (跨國家或大陸)。
- 區間
區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間來組織、控制存取,以及為您的 Oracle Cloud 資源設定使用配額。在指定的區間中,您可以定義控制存取及設定資源權限的原則。
- 可用性網域
可用性網域是區域內的獨立獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域不會共用基礎架構,例如電源或冷卻系統,也不會共用內部可用性網域網路。因此,一個可用性網域的故障不應影響該區域中的其他可用性網域。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。與傳統的資料中心網路一樣,VCN 可讓您控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更。您可以將 VCN 區隔成子網路,此子網路可以設定區域範圍或可用性網域。每個子網路都是由連續的位址範圍組成,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。
- 路由表
虛擬路由表包含將流量從子網路路由到 VCN 外部目的地 (通常是透過閘道) 的規則。
- 安全清單
您可以為每個子網路建立安全規則,以指定必須允許進出子網路的來源、目的地和流量類型。
- Oracle Cloud Infrastructure DNS 服務
公用 DNS 區域會保存位於 OCI 名稱伺服器上的授權 DNS 記錄。您可以建立公用區域,其網域名稱可在網際網路上連線。如需詳細資訊,請參閱下面的「探索更多」存取的「DNS 簡介」。
- 網際網路閘道
網際網路網關允許 VCN 中公共子網路與公共網際網路之間的流量。
- Oracle Cloud Infrastructure Web Application Firewall (WAF)
WAF 使用符合 PCI 規範的雲端全球 Web 應用程式防火牆服務,保護應用程式免於惡意和非必要網際網路流量的危害。透過結合威脅情報和在 OCI Flexible Network Load Balancer 上強制實行的一致規則,Oracle Cloud Infrastructure Web Application Firewall 可強化防禦能力並保護對網際網路公開的應用程式伺服器和內部應用程式。(此元件為選用)
- 彈性負載平衡器
負載平衡器會對平行運作的應用程式服務提出要求,以改善資源使用率。隨著需求增加,應用程式服務的數目也會增加,而負載平衡器則會使用它們來平衡要求的處理。(此元件為選用)
- 堡壘主機服務
Oracle Cloud Infrastructure Bastion 可針對沒有公用端點且需要嚴格資源存取控制的資源,例如裸機和虛擬機器、Oracle MySQL Database Service 、Autonomous Transaction Processing (ATP)、Oracle Cloud Infrastructure Kubernetes Engine ( OKE),以及允許 Secure Shell 通訊協定 (SSH) 存取的任何其他資源,提供有限且具時限的安全存取。有了 OCI 堡壘主機服務,您便可以存取專用主機,無須部署和維護跳躍主機。此外,您還可以透過識別權限以及集中式、稽核及時間導向 SSH 階段作業來改善安全態勢。OCI 堡壘主機可免除對堡壘主機存取的公用 IP 需求,在提供遠端存取時消除麻煩和潛在攻擊面。
- API 閘道
Oracle Cloud Infrastructure API Gateway 可讓您發布內含可從您網路存取之專用端點的 API,並視需要向公用網際網路公開。端點支援 API 驗證、要求和回應轉換、CORS、驗證和授權以及要求限制。
- 分析
Oracle Analytics Cloud 是可擴展且安全的公有雲服務,為業務分析師提供現代化的 AI 自助服務分析功能,以進行資料準備、視覺化、企業報告、增強分析,以及自然語言處理和生成。透過 Oracle Analytics Cloud ,您還可以獲得靈活的服務管理功能,包括快速設定、輕鬆調整規模和修補,以及自動化生命週期管理。
- 身分識別與存取管理 (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) 是 Oracle Cloud Infrastructure (OCI) 和 Oracle Cloud Applications 的存取控制層。IAM API 和使用者介面可讓您管理識別網域和識別網域內的資源。每個 OCI IAM 識別網域都代表獨立的識別與存取管理解決方案,或代表不同的使用者群體。
- 識別網域 (IDom)
IAM 使用身分識別網域 (IDom) 提供身分識別和存取管理功能,例如 Oracle Cloud 的認證、單一登入 (SSO) 和身分識別生命週期管理,以及 Oracle 和非 Oracle 應用程式 (無論是 SaaS、雲端代管還是內部部署)。
- 原則
Oracle Cloud Infrastructure Identity and Access Management 原則會指定誰可以存取哪些資源及存取方式。存取權是在群組和區間層級授予,這表示您可以撰寫原則,為群組提供特定區間或租用戶的特定存取類型。
- 稽核
Oracle Cloud Infrastructure Audit 服務會自動將對所有支援的 Oracle Cloud Infrastructure 公用應用程式設計介面 (API) 端點的呼叫記錄為日誌事件。所有 OCI 服務都支援由 Oracle Cloud Infrastructure Audit 記錄。
- 記錄日誌日誌記錄是一項可高度擴展且完全託管的服務,可讓您從雲端中的資源存取下列類型的日誌:
- 稽核日誌:與稽核服務所發出之事件相關的日誌。
- 服務日誌:由個別服務 (例如 API 閘道、事件、函數、負載平衡、物件儲存以及 VCN 流量日誌) 發出的日誌。
- 自訂日誌:包含來自自訂應用程式、其他雲端提供者或內部部署環境的診斷資訊的日誌。
- 日誌記錄分析
日誌記錄分析是一項以機器學習為基礎的雲端服務,可監控、聚總、編製索引及分析內部部署和多雲端環境的所有日誌資料。讓使用者能夠搜尋、探索及關聯此資料,以更快速疑難排解及解決問題,並取得洞察分析以做出更好的營運決策。
建議
- VCN
建立 VCN 時,請根據您計畫附加到 VCN 子網路的資源數量,決定所需的 CIDR 區塊數量和每個區塊的大小。請使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與您要設定專用連線的任何其他網路重疊的 CIDR 區塊 (在 Oracle Cloud Infrastructure 中、您的內部部署資料中心或其他雲端提供者)。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
當您設計子網路時,請考慮流量和安全需求。將特定層或角色中的所有資源附加至相同的子網路,作為安全界限。
使用區域子網路。
- 連線 (專用 API 閘道)
當您將資源部署到 OCI 時,可以從小規模開始,然後透過單一連線到內部部署網路。此單一連線可透過 OCI FastConnect 或透過 IPSec VPN 進行。若要規劃備援,請考量企業內部部署網路與 OCI 之間的所有元件 (硬體裝置、設施、迴路和電源)。請同時考量多樣性,以確保設施不會在路徑間共用。
注意事項
為 OCI API Gateway 部署災難復原解決方案時,請考慮這些因素。
- 使用 OCI DNS 管理區域
設定您 OCI API 閘道的 DNS 記錄。您可以使用 OCI DNS 區域來管理 DNS 記錄,並為您的 OCI API 閘道提供主機名稱解析。
取得 API 閘道的網域 (或子網域) 之後,請透過 OCI 主控台或 API 新增 OCI DNS 區域。如需建立 OCI DNS 區域並在其中新增記錄的詳細資訊,請參閱下面的「管理 DNS 服務區域」,您可以從下方的「深入瞭解」存取此區域。- 在區域中,將 OCI API 閘道的自訂主機名稱新增為 CNAME 記錄。
- 順利發布區域變更之後,請將網域更新為使用 OCI DNS 名稱伺服器。
- 安全
使用 OCI 身分識別與存取管理 (IAM) 原則控制可存取您雲端資源的人員,以及可執行的作業。OCI 雲端服務使用 IAM 原則,例如允許 OCI API Gateway 呼叫函數。OCI API Gateway 也可以使用 OAuth 認證和授權來控制存取。IAM 允許通過 IAM 聯合認證和授權。因此, OCI API Gateway 能夠根據各種服務和驗證設定進行驗證。
- 效能與成本
OCI API 閘道透過與外部快取伺服器 (例如 Redis 或 KeyDB 伺服器) 整合來支援回應快取,這有助於避免後端服務發生不必要的載入。快取回應時,如果收到類似的要求,可以從回應快取擷取資料來完成這些要求,而不是將要求傳送至後端服務。這樣可以減少後端服務的負載,進而協助改善效能並降低成本。OCI API 閘道也會快取授權權杖 (根據授權權杖離開 TTL 的時間),以減少身分識別提供者的負載並提升效能。
- 使用狀態
請考慮根據您的部署需求和區域使用高可用性選項。這些選項包括將資源分散到區域中的多個可用性網域,以及將資源分散到可用性網域內的容錯域。
- 監控和警報
設定 API 閘道度量的監控和警示。
部署
您可以執行下列步驟,在 Oracle Cloud Infrastructure 上部署此參考架構:
GitHub 上提供 Terraform 代碼 oci_apigateway_api。請參閱下方的「瀏覽更多」,以取得連結。