在混合環境中部署 Oracle API Gateway 服務
架構
此架構描述內部部署客戶資料中心和含有區間的 Oracle Cloud Infrastructure (OCI) 區域,以及使用 API 閘道伺服器提供公用網際網路存取環境的兩個可用性網域。
內部部署客戶資料中心利用 API 閘道,在安全的可擴展性環境中進行規劃、建立、原型設計、部署及管理 API。內部部署環境可以是專用 API 環境,也可以是公用 API 環境的一部分,供 API 與公用網際網路共用。
API 閘道可作為 API 設計工具入口網站和開發人員入口網站。「API 設計工具」是 API 設計人員建立、測試、部署及管理其 API 的位置,「開發人員」入口網站是 API 用戶可在此檢視 API、API 文件並嘗試 API。
下圖說明此參考架構。
api-gateway-hybrid.png 圖解描述
架構包含下列元件:
- 區域
Oracle Cloud Infrastructure 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關,而且大型距離可以區隔 (跨國家或甚至洲)。
- 可用性網域
可用性網域是區域內獨立的獨立資料中心。每個可用性網域中的實體資源都會與其他可用性網域中的資源隔離,以提供容錯。可用性網域不會共用基礎設施 (例如電力或散熱冷卻系統) 或內部可用性網域網路。因此,一個可用網域發生故障並不會影響該區域中的其他可用網域。
- 容錯域
容錯域是可用性網域內的一組硬體和基礎設施。每個可用性網域都有三個具有獨立電源和硬體的容錯域。當您將資源分配到多個容錯域時,應用程式可能會容許容錯域內的實體伺服器故障、系統維護和電源故障。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。VCN 就像傳統資料中心網路一樣,可讓您完整控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,供您在建立 VCN 之後變更。您可以將 VCN 區隔為子網路,子網路範圍可為區域或可用性網域。每個子網路均包含一個未與 VCN 中其他子網路重疊的連續位址範圍。您可以在建立子網路之後變更子網路的大小。子網路可以是公用或專用。
- FastConnect
Oracle Cloud Infrastructure FastConnect 可讓您輕鬆建立資料中心與 Oracle Cloud Infrastructure 之間的專用專用連線。與網際網路連線相比,FastConnect 提供較高寬度的選項和更可靠的網路體驗。
- Oracle Cloud Infrastructure Web Application Firewall (WAF)
Oracle Cloud Infrastructure Web Application Firewall 是符合雲端付款卡產業 (PCI) 規範的全域安全服務,可保護應用系統免於惡意和非必要網際網路流量的惡意和非必要性網際網路安全服務。WAF 可以保護任何面向網際網路的端點,為客戶的所有應用系統強制實施一致的規則。
- 網際網路閘道
網際網路閘道可讓 VCN 中的公用子網路與公用網際網路之間的流量。
- 負載平衡器
Oracle Cloud Infrastructure Load Balancing 服務提供自動化的流量分佈,從單一進入點到後端的多部伺服器。
- 動態路由閘道 (DRG)
DRG 是一個虛擬路由器,可提供 VCN 與區域外部網路 (例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、內部部署網路或另一個雲端提供者中的網路) 之間的專用網路流量路徑。
- 本地對等互連閘道 (LPG)
LPG 可讓您將一個 VCN 與同一區域中的另一個 VCN 對等。對等互連表示 VCN 使用專用 IP 位址進行通訊,而不需要透過內部部署網路周遊網際網路或路由。
- API 閘道
API 閘道服務可讓您發布具有專用端點的 API,這些專用端點可從您的網路內存取,若有需要,您可以在公用網際網路公開此 API。端點支援 API 驗證、要求與回應轉換、CORS、認證與授權以及要求限制。
建議
- VCN
建立 VCN 時,請根據計畫連附至 VCN 中子網路的資源數目,判斷所需的 CIDR 區塊數目和各個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與想要設定專用連線之任何其他網路 (在 Oracle Cloud Infrastructure 中、您的內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
設計子網路時,請考量您的流量和安全需求。將特定層或角色內的所有資源連附至可作為安全界限的相同子網路。
使用區域子網路。
- 安全
使用 Oracle Cloud Guard 主動監督及維護您在 Oracle Cloud Infrastructure 中的資源安全。「雲端保全」使用可定義的偵測器方法來檢查安全弱點的資源,以及監督操作員和使用者是否有風險活動。偵測到任何組態錯誤或不安全的活動時,雲端保全會建議更正動作,並根據您可以定義的回應器方法來協助採取這些動作。
對於需要最高安全性的資源,Oracle 建議您使用安全區域。安全區域是與以最佳做法為基礎之 Oracle 定義的安全原則方法關聯的區間。例如,安全區域中的資源不得從公用網際網路存取,且必須使用客戶管理的金鑰加密。當您在安全區域中建立及更新資源時,Oracle Cloud Infrastructure 會根據 security-zone 處方中的原則驗證作業,並拒絕違反任何原則的作業。
注意事項
建置 Oracle API Gateway 時,請考慮下列事項:
- 效能
您可以使用各種組態選項,將 API 閘道效能最佳化。例如,一般效能調校選項包括追蹤、監督以及記錄日誌。其他進階效能調校選項包括資料庫集區、HTTP 持續作用、區塊編碼、從屬端繫線以及 Java 記憶體。
- 安全
您可以使用 Oracle Cloud Infrastructure Identity and Access Management 原則來控制可以存取您雲端資源的人員,以及可以執行的作業。
若要保護密碼或任何其他密碼,請考慮使用 Oracle Cloud Infrastructure Vault 服務。
- 使用狀態
請考慮根據您的部署需求和區域使用高可用性選項。這些選項包括將資源分送至區域中的多個可用性網域,以及將資源分散至可用性網域內的容錯域。
容錯域可為單一可用性網域內部署的工作負載提供最佳復原能力。若要讓應用程式層中的高可用性,請在不同的容錯域建置應用程式伺服器,然後使用負載平衡器在應用程式伺服器之間分散從屬端流量。