部署多雲端內送和外送專用網路連線

架構

此架構提供多雲端專用網路與 Oracle 雲端服務和應用程式之間的必要連線，無須將流量導向公用網際網路，作為 Oracle Integration Cloud Service 的輸出與輸入整合的一部分。當您有使用和與 Oracle Integration Cloud Service 專用連線互動的需求時，請使用此架構。

Oracle Integration Cloud Service 會公開 REST API 觸發程式整合服務，所有 REST 觸發程式整合預設都可透過公用網路存取。使用 Oracle Integration Cloud Service 允許清單，您只能將對 Oracle Integration Cloud Service 的存取權限制為專用用戶。專用用戶將不會直接存取 Oracle Integration Cloud Service ，而是會透過由 OCI API Gateway 表示的 OCI 服務虛擬化層來存取。

內送 OCI 互動由 OCI API 閘道啟用，可讓您發布可從網路存取之專用端點的 API。在此架構中，您將將 Oracle Integration Cloud Service 整合服務發布為與 Oracle Integration Cloud Service 結合的專用 API。其他 OCI 服務可用來啟用 Oracle Integration Cloud Service 內送和外送互動的專用連線。

此架構有 3 種互動類型：

Oracle Integration Cloud Service 連線代理程式
訂閱業務服務、應用程式和專用平台。此架構使用 Oracle Integration Cloud Service 連線代理程式與私人業務服務或應用程式進行通訊。Oracle Integration Cloud Service 連線代理程式安裝在 OCI VCN 內專用子網路的 OCI 運算執行處理上。連線代理程式會透過一端的服務閘道與 Oracle Integration Cloud Service 通訊，並透過動態路由閘道 (DRG) 和 FastConnect 專用對等互連 (或 VPN) 在專用網路上執行的服務或應用程式進行通訊。連線代理程式會實行 Oracle Integration Cloud Service 輸出案例，不過它可以訂閱及輪詢業務服務、平台及應用程式 (例如 java 訊息服務、訊息佇列或資料庫)。
OCI 專用端點連線
Oracle Integration Cloud Service 的所有輸出流量都會透過以轉接器為基礎的連線。當您為執行處理建立專用端點時，可以使用個別轉接器來保護專用端點的外送流量。例如，Kafka 轉接器和 FTP 轉接器支援透過專用端點連線，不需要 Oracle Integration Cloud Service 連線代理程式。每次更新 Oracle Integration Cloud Service 時，專用端點連線轉接器支援就會隨之增加。
OCI API 閘道
運用 OCI 服務，無需透過公用網路遞送 OCI 內送流量。使用 VCN 中的服務閘道擴充 OCI API 閘道專用樣式，其中已佈建 OCI API 閘道以允許 Oracle 服務的流量。OCI API 閘道可讓專用平台和應用程式呼叫 OCI 中執行的服務和功能。在此架構中， OCI API Gateway 可讓您存取 REST API 轉接器以觸發為基礎的整合，以及具有專用連線的 Oracle Integration Cloud Service 管理 API。

下圖說明此參照架構。

integration-cloud-private-inbound-outbound.png 的描述如下

integration-cloud-private-inbound-outbound.png 圖解描述

整合雲端專用內送 -outbound.zip

此架構具有下列元件：

地區
Oracle Cloud Infrastructure 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關，且遠距離可加以區分 (跨國家，甚至是大陸)。
可用性網域
可用性網域是區域內的獨立獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離，提供容錯能力。可用性網域不共用基礎架構 (例如電源或冷卻系統) 或內部可用性網域網路。因此，一個可用性網域發生故障不應影響區域中的其他可用性網域。
容錯域
容錯網域是可用性網域內的一組硬體和基礎設施。每個可用性網域都有三個容錯域，分別具備獨立的電源和硬體。當您將資源分配給多個容錯域時，您的應用程式可以容忍容錯域內的實體伺服器失敗、系統維護，以及電源失敗。
虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。就像傳統資料中心網路一樣，VCN 可讓您完整控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊，您可以在建立 VCN 之後加以變更。您可以將 VCN 分割成子網路，子網路可以限定為區域或可用性網域。每個子網路都是由不與 VCN 中其他子網路重疊的連續位址範圍所組成。您可以在建立子網路後變更其大小。子網路可以是公用或專用。
路由表格
虛擬路由表包含規則，可將流量從子網路路由至 VCN 外部的目的地，通常透過閘道。
安全清單
您可以為每個子網路建立安全規則，指定子網路中必須允許進出的流量來源、目的地和類型。
動態路由閘道 (DRG)
DRG 是一個虛擬路由器，可在 VCN 與區域外部網路之間 (例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、內部部署網路或其他雲端提供者中的網路) 提供相同區域 VCN 之間的專用網路流量路徑。
客戶端設備 (CPE)
代表內部部署網路中以及建立 VPN 連線之網路資產的物件。大多數邊界防火牆都是作為 CPE，但個別的裝置 (例如設備或伺服器) 可以是 CPE。
網站至網站 VPN
網站至網站 VPN 可在您的內部部署網路與 Oracle Cloud Infrastructure 中的 VCN 之間提供 IPSec VPN 連線。IPSec 協定套件會在封包從來源傳輸至目的地之前加密 IP 流量，並在到達時解密流量。
FastConnect
Oracle Cloud Infrastructure FastConnect 提供一個在您的資料中心與 Oracle Cloud Infrastructure 之間建立專屬私人連線的簡便方式。與網際網路式連線相比，FastConnect 提供更高的頻寬選項和更可靠的網路體驗。
OCI 專用端點
OCI 專用端點是專用 OCI 資源，您可以從 Oracle Cloud Infrastructure Resource Manager 用來存取您租用戶中的非公用雲端資源。Oracle Integration Cloud Service 會透過專用端點遞送流量和套裝程式。所有流量都會停留在您的專用網路上，而不會透過公用網際網路。
API 閘道
Oracle API Gateway 可讓您發布內含可從您網路存取之專用端點的 API，以及在必要時對公用網際網路公開的 API。端點支援 API 驗證、要求與回應轉換、CORS、認證與授權，以及要求限制。
Oracle Integration Cloud Service
Oracle Integration Cloud Service 是一項完全託管的服務，可讓您整合應用系統、自動化流程、交換業務文件 B2B，以及建立視覺化應用系統。
功能
Oracle Cloud Infrastructure Functions 是一個完全託管的多租戶，可高度擴展，隨選 Functions-as-a-Service (FaaS) 平台。它由 Fn Project 開放原始碼引擎提供技術支援。函數可讓您部署程式碼，並直接呼叫或觸發程式碼以回應事件。Oracle Functions 使用 Oracle Cloud Infrastructure Registry 中代管的 Docker 容器。
Oracle Cloud Infrastructure AI Services
Oracle Cloud Infrastructure AI Services 是一組包含預先建置機器學習模型的服務，可讓開發人員更輕鬆地將 AI 套用至應用程式和業務營運。您可以自訂模型，以獲得更準確的業務成果。如需詳細資訊，請參閱 Oracle Cloud Infrastructure Generative AI 、Oracle Cloud Infrastructure Language 、Oracle Cloud Infrastructure Speech 、Oracle Cloud Infrastructure Vision 及 Oracle Cloud Infrastructure 文件理解。
機器學習服務 (ML)
Oracle 的機器學習服務可讓您更輕鬆地建置、訓練、部署及管理自訂學習模型。這些服務透過常用開源程式庫和工具的支援，或透過資料庫內機器學習和直接存取清理的資料，提供資料科學功能。請參閱 Oracle Cloud Infrastructure Data Science ，Machine Learning in Oracle Database，Oracle Cloud Infrastructure Data Labeling ，OCI Virtual Machines for Data Science。
Oracle Digital Assistant
數位助理是虛擬裝置，可協助使用者透過自然語言對話完成工作，而不需要管理各種應用程式和網站。
識別與存取管理 (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) 是 Oracle Cloud Infrastructure (OCI) 和 Oracle Cloud Applications 的存取控制層。IAM API 和使用者介面可讓您管理識別網域和識別網域內的資源。每個 OCI IAM 識別網域都代表一個獨立的識別和存取管理解決方案，或是不同的使用者群體。
原則
Oracle Cloud Infrastructure Identity and Access Management 原則指定誰可以存取哪些資源以及存取方式。存取權是在群組和區間層次授予，這表示您可以編寫原則，讓群組在特定區間或租用戶中擁有特定類型的存取權。
稽核
Oracle Cloud Infrastructure Audit 服務會自動將所有支援之 Oracle Cloud Infrastructure 公用應用程式設計介面 (API) 端點的呼叫記錄為日誌事件。目前，所有服務都支援由 Oracle Cloud Infrastructure Audit 進行記錄。
記錄日誌
日誌記錄是一種可高度擴展且完全受管理的服務，可讓您從雲端資源存取下列類型的日誌：
- 稽核日誌：與稽核服務所發出之事件相關的日誌。
- 服務日誌：由個別服務 (例如 API 閘道、事件、函數、負載平衡、物件儲存以及 VCN 流量日誌) 傳送的日誌。
- 自訂日誌：包含自訂應用程式、其他雲端提供者或內部部署環境之診斷資訊的日誌。
Oracle Cloud Infrastructure Logging Analytics
Oracle Cloud Infrastructure Logging Analytics 是一項機器學習型雲端服務，可監控、彙總、索引和分析來自內部部署和多雲端環境的所有日誌資料。讓使用者能夠搜尋、探索及關聯此資料，以更快速的方式疑難排解及解決問題，並取得洞察分析以進行更妥善的作業決策。
物件儲存
物件儲存可讓您快速存取各種內容類型的大量結構化和非結構化資料，包括資料庫備份、分析資料，以及豐富的內容 (例如影像和影片)。您可以安全地儲存資料，然後直接從網際網路或雲端平台內擷取資料。您可以無縫擴充儲存體，而不會發生任何效能或服務可靠性的降低情況。針對快速、立即且經常存取的「熱」儲存體，使用標準儲存體。將封存儲存用於保留很長一段時間、極少或極少存取的「冷」儲存。

建議

使用下列建議作為起點。您的需求可能與此處描述的架構不同。

VCN
建立 VCN 時，請根據計畫要連附至 VCN 中子網路的資源數目，決定所需的 CIDR 區塊數目和每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。

選取未與任何其他網路 (在 Oracle Cloud Infrastructure 中、您的內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊，以設定專用連線。

建立 VCN 之後，您可以變更、新增及移除其 CIDR 區塊。

設計子網路時，請考慮流量和安全性需求。將特定層或角色內的所有資源連附至相同的子網路，以作為安全界限。
連線
當您將資源部署到 Oracle Cloud Infrastructure 時，您可以從小規模開始，只需單一連線即可連線到內部部署網路。此單一連線可以透過 FastConnect 或透過 IPSec VPN 進行。若要規劃備援，請考慮內部部署網路與 Oracle Cloud Infrastructure 之間的所有元件 (硬體裝置、設備、迴路和電源)。此外，請考量多樣性，以確保路徑之間不會共用場所。
限制存取 Oracle Integration Cloud Service 執行處理
設定允許清單 (之前為白名單)，以限制可存取您 Oracle Integration Cloud Service 執行處理的網路。只有來自特定 IP 位址、無類別網域間路由 (CIDR) 區塊，以及您指定之虛擬雲端網路的使用者，才能存取 Oracle Integration Cloud Service 執行處理。
專用端點網路
VCN 必須位於與 Oracle Integration Cloud Service 執行處理相同的區域。VCN 和子網路可位於任何區間中，且可位於相同或不同的區間中。子網路可以是公用或專用，但必須是專用，才能進行專用存取。

注意事項

建置此參照架構時，請考量下列各點。

擴展性
建立 Oracle Integration Cloud Service 執行處理時，管理員可指定每個執行處理計畫使用的訊息套件數目。
資源限制
請考慮租用戶的最佳做法、依服務區分的限額以及區間配額。
安全
使用 Oracle Cloud Infrastructure Identity and Access Management 原則控制可存取雲端資源的人員，以及可執行哪些作業。OCI 雲端服務使用 Oracle Cloud Infrastructure Identity and Access Management 原則，例如允許 OCI API Gateway 呼叫函數。OCI API 閘道也可以使用 OAuth 認證和授權來控制存取。Oracle Cloud Infrastructure Identity and Access Management 允許通過 Oracle Cloud Infrastructure Identity and Access Management 聯合認證和授權 - 因此， OCI API Gateway 有權針對各種服務和認證設定進行認證。
績效與成本
OCI 提供適用於各種應用系統和使用案例的運算資源配置。請仔細選擇運算執行處理的資源配置。選取以最低成本提供最佳負載效能的資源配置。如果您需要更高的效能、記憶體或網路頻寬，可以變更為更大的資源配置。

OCI API Gateway 支援透過與外部快取伺服器 (例如 Redis 或 KeyDB 伺服器) 整合來進行回應快取，以協助避免在後端服務上不必要的載入。快取回應時，如果收到類似的要求，則可以透過從回應快取擷取資料來完成這些要求，而不是將要求傳送至後端服務。這樣可以減少後端服務的負載，進而協助改善效能並降低成本。

OCI API Gateway 也會快取授權權杖 (根據離開時間)，以減少身分識別提供者的負載並提升效能。
使用狀態
請考慮根據您的部署需求和區域使用高可用性選項。這些選項包括將資源分配到區域中的多個可用性網域，以及將資源分配到可用性網域內的容錯域。容錯域可為在單一可用性網域內部署的工作負載提供最佳復原能力。若要在應用程式層中提供高可用性，請在不同的容錯域中部署應用程式伺服器，然後使用負載平衡器在應用程式伺服器之間分配從屬端流量。
監督和警示
設定節點的 CPU 和記憶體使用量監控和警示，以便視需要縱向擴展或縮減資源配置。

部署

您可以依照下列步驟，在 Oracle Cloud Infrastructure 上部署此參考架構：

登入 OCI 主控台。
如架構圖所示，設定所需的網路基礎架構：VCN、子網路、動態路由閘道、安全清單、路由表、服務閘道、FastConnect/VPN、CPE 及 OCI 專用端點。
佈建 Oracle Integration Cloud Service 執行處理。
安裝 Oracle Integration Cloud Service 連線代理程式。
1. 瀏覽至 Oracle Integration Cloud Service 主控台並建立代理程式群組。
2. 遵循下載和執行中以及連線代理程式安裝程式的指示。
3. 瀏覽至 OCI 主控台，並根據 Oracle Integration Cloud Service 系統需求選取運算資源配置。
設定 Oracle Integration Cloud Service 專用端點。
建立 OCI API 閘道執行處理。
視需要設定允許清單，以限制可存取您 Oracle Integration Cloud Service 執行處理的網路。

探索更多

檢閱這些資源以取得指示和相關資訊環境，以便透過 Oracle Integration Cloud Service 部署多雲端專用網路連線。

Oracle Integration Cloud Service

Oracle Cloud Infrastructure API 閘道

Oracle Cloud Infrastructure

認可

作者：

Peter Obert, Pavan Rajalbandi

提供者：

Marcel Straka