部署 。Oracle Cloud Infrastructure 的 NET 應用系統
應用程式容器的優點在於不可變,它們可提供可攜式基礎架構,並且能輕鬆調整規模。組織正在執行 。NET 應用系統可善用這類優點、容器化和部署它們的優點。Oracle Cloud Infrastructure (OCI) 上的 NET 應用系統。
。NET 應用程式必須從 移植 。NET 架構至 。要在 Linux 容器執行的 NET。在此架構中,Oracle 資料庫是應用程式的基礎資料庫。如果存在 。NET 應用程式使用其他資料庫,您可以使用特定的工具和移轉方法,將這類資料庫移轉至 OCI 的 Oracle 資料庫。
架構
此架構支援部署所需的基礎架構。OCI 上的 NET 應用系統。
下圖說明此參照架構。
deployment-net-oci-arch.png 圖解描述
deployment-net-oci-arch-oracle.zip
- 租用戶
當您註冊 Oracle Cloud Infrastructure 時,Oracle 會為公司建立租用戶。租用戶是 Oracle Cloud Infrastructure 內一個安全但獨立的分割區,您可以在其中建立、組織及管理雲端資源。
- 區域
OCI 區域是一個局部地理區域,其中包含一或多個資料中心 (稱為可用性網域)。區域獨立於其他區域,而且很大距離可加以區隔 (跨國家或甚至是大陸)。
- 區間
區間是 OCI 租用戶內的跨區域邏輯分割區。使用區間組織 Oracle Cloud 中的資源、控制對資源的存取,以及設定使用配額。若要控制對指定區間中資源的存取,您可以定義原則,指定誰可以存取資源以及可執行的動作。
- 可用性網域
可用性網域是區域內的獨立獨立資料中心。每個可用性網域中的實體資源會與提供容錯能力的其他可用性網域中的資源隔離。可用性網域並不共用基礎設施,例如電源或冷卻系統,或內部可用性網域網路。因此,一個可用性網域發生故障並不會影響該區域中的其他可用性網域。
- 容錯域
容錯域是可用性網域內的一組硬體和基礎架構。每個可用性網域都具備三個具有獨立電源和硬體的容錯域。當您將資源分配給多個容錯域時,您的應用系統可以忍受容錯域中的實體伺服器失敗、系統維護和電源故障。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 OCI 區域中設定的可客製化軟體定義網路。與傳統的資料中心網路一樣,VCN 會提供您完整的網路環境控制。VCN 建立 VCN 之後,便可以有多個非重疊的 CIDR 區塊。您可以將 VCN 區隔到子網路,成為區域或可用性網域的範圍。每個子網路都會包含連續的位址範圍,而不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用子網路。
- 負載平衡器
Oracle Cloud Infrastructure Load Balancing 服務提供從單一進入點到後端多部伺服器的自動化流量分配。負載平衡器可存取不同的應用程式。
-
安全清單
對於每個子網路,您可以建立安全規則,指定必須進出子網路的來源、目的地和流量類型。
- 網際網路閘道
網際網路閘道是您可以新增至 VCN 的選擇性虛擬路由器,啟用網際網路的直接連線。
- 容器登錄
Oracle Cloud Infrastructure Registry (亦稱為 Container Registry) 是 Oracle 管理的登錄,可簡化對生產環境工作流程的開發。容器登錄可讓您輕鬆地儲存、共用及管理容器映像檔 (例如 Docker 映像檔) 的開發者。OCI 的高可用性且可擴展的架構可確保您可以可靠地部署應用系統,因此無須擔心操作問題或調整基礎基礎架構。
- 雲端保全
您可以使用 Oracle Cloud Guard 監視及維護 Oracle Cloud Infrastructure 中資源安全性。雲端保全使用偵測器方法,您可以定義這些方法來檢查您的資源是否有安全性漏洞,以及監督操作員和使用者的危險活動。偵測到任何組態錯誤或不安全活動時,「雲端保全」會建議更正動作,並根據您可以定義的回應器方法協助採取這些動作。
- 安全區域
安全區域藉由強制實行原則 (例如加密資料),以及防止對整個區間的網路進行公用存取),確保 Oracle 安全最佳做法從一開始就開始。安全區域與相同名稱的區間關聯,且包括套用至區間及其子區間的安全區域原則或「資源回收」。您無法將標準區間新增至安全區域區間。
- 物件儲存
物件儲存可讓您快速存取各種內容類型的結構化和非結構化資料,包括資料庫備份、分析資料,以及像是影像與影片之類的豐富內容。您可以安全地儲存,然後直接從網際網路或雲端平台內擷取資料。您不必遇到效能或服務可靠性降低的情況,就能以無縫接軌的方式調整儲存。針對需要快速、立即且經常存取的「熱」儲存,使用標準儲存。使用封存儲存作為長期存放、極少或少存取的「冷」儲存。
- Container Engine for Kubernetes
Oracle Container Engine for Kubernetes (OKE) 是 Oracle 管理的容器協調服務,可減少建置現代化雲端原生應用程式的時間和成本。DevOps 工程師可使用未經修改的開放原始碼 Kubernetes 來達成應用系統工作負載的可移植性,並透過自動更新與修正作業簡化作業。
- Oracle Database Cloud Service
Oracle Database Cloud Service 可讓您在雲端輕鬆建立、規模及保護 Oracle 資料庫。您會在資料庫系統上建立資料庫,作為具有區塊磁碟區的虛擬機器,這些虛擬機器可提供高效能和符合成本效益的價格。這項服務也支援在虛擬雲端網路層的虛擬機器伺服器上執行「雲端優先」的 Oracle RAC 實行。
建議
- VCN
建立 VCN 時,請根據您要連附至 VCN 子網路的資源數目,判斷所需的 CIDR 區塊數目和每個區塊的大小。使用位於標準專用 IP 位址空間內的 CIDR 區塊。
選取不想與任何其他網路 (在 Oracle Cloud Infrastructure、您的企業內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊,以設定專用連線。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
設計子網路時,請考慮您的流量和安全需求。將特定層或角色內的所有資源連附至相同的子網路,可作為安全界限。
使用區域子網路。
- 安全
使用 Oracle Cloud Guard 主動監控及維護 OCI 中資源的安全。雲端保全使用偵測器方法,您可以定義這些方法來檢查您的資源是否有安全性漏洞,以及監督操作員和使用者的危險活動。偵測到任何組態錯誤或不安全活動時,「雲端保全」會建議更正動作,並根據您可以定義的回應器方法協助採取這些動作。
對於需要最高安全性的資源,Oracle 建議您使用安全區域。安全區域是一個與 Oracle 定義的安全原則方法關聯的區間,以最佳做法為基礎。例如,安全區域中的資源必須無法從公用網際網路存取,且必須使用客戶管理的金鑰進行加密。當您在安全區域中建立及更新資源時,OCI 會根據安全區域方法中的原則來驗證作業,以及拒絕違反任何原則的作業。
- 雲端保全
複製並自訂 Oracle 提供的預設方法,以建立自訂偵測器和回應器方法。這些方法可讓您指定產生警告的安全違規類型,以及允許對它們執行哪些動作。例如,您可能會想要偵測的可見性設為公用的物件儲存的儲存桶。
在租用戶層級套用雲端保全以涵蓋最廣泛的範圍,並減少維護多個組態的管理負擔。
您也可以使用「受管理清單」功能,將某些組態套用至偵測器。
- 安全區域
安全區域可讓您確信自己的 Oracle Cloud Infrastructure 資源 (包括運算、網路、物件儲存以及資料庫資源),符合 Oracle 安全性原則。
安全區域會與區間和安全區域方法關聯。當您在安全區域中建立及更新資源時,Oracle Cloud Infrastructure 會根據安全區域方法中定義的原則清單,驗證這些作業。如果違反任何安全區域原則,作業就會被拒絕。
- 網路安全群組 (NSG)
您可以使用 NSG 定義一組套用至特定 VNIC 的傳入和傳出規則。NSG 可讓您使用 NSG 而非安全清單,因此建議您使用 NSG 區隔 VCN 的子網路架構和應用程式的安全需求。您可以使用 NSG 定義一組套用至特定 VNIC 的傳入和傳出規則。NSG 可讓您使用 NSG 而非安全清單,因此建議您使用 NSG 區隔 VCN 的子網路架構和應用程式的安全需求。
- 負載平衡器頻寬
建立負載平衡器時,您可以選取提供固定頻寬的預先定義資源配置,或指定自訂 (彈性) 資源配置,讓服務根據流量模式自動調整頻寬。有了上述任一方式,您就可以在建立負載平衡器之後,隨時變更型態。
注意事項
建置此參照架構時,請考量以下各點。
- 應用程式移植
。NET 應用程式必須從 移植 。NET 架構至 。網路
- 輔助功能
建議的架構預設不會使用 CDN,不過,在需要將 CDN 合併至 OCI 時,該架構可延伸。
- 狀態管理
資料庫將會部署在容器外,以更妥善地管理其狀態可用性。
- 使用狀態
架構使用 OCI 負載平衡器,而非 Kubernetes 輸入。