使用 Oracle Cloud Marketplace 部署 TimesTen Kubernetes Operator
Oracle Cloud Marketplace 中的 Oracle TimesTen In-Memory Database for Kubernetes - BYOL 清單包含 TimesTen 容器映像檔、其軟體先決條件,以及您在容器化環境中執行 TimesTen 所需的一切。容器映像檔包含部署 TimesTen Kubernetes Operator (TimesTen Operator) 所需的 YAML 資訊清單檔案和 Helm 圖表,以及在 OKE 或內部部署基礎架構上建立 TimesTen 資料庫。
架構
此架構使用具有區域子網路的區域,以及至少兩個可用性網域。單一可用性網域的區域中可以使用相同的參考架構。建議您使用區域子網路進行部署,不論可用性網域數目為何。
佈建之後,此參照架構包括下列項目:
-
部署在個別專用子網路中的 Kubernetes API 端點、節點集區以及負載平衡器 OKE 叢集。
-
在與節點集區相同之專用子網路的工作節點上部署的 TimesTen 運算子。
-
一組作用中待命組複製配置中的 TimesTen 資料庫,部署在不同可用性網域的工作節點上。
-
部署在公用子網路中的堡壘主機,可存取部署在專用子網路中的資源。
下圖說明此參考架構。
timeesten-kubernetes-byol.png 圖解描述
架構具有下列元件:
- 稽核
Oracle Cloud Infrastructure Audit 服務會自動將對所有支援的 Oracle Cloud Infrastructure 公用應用程式設計介面 (API) 端點進行的呼叫記錄為日誌事件。所有 OCI 服務都支援由 Oracle Cloud Infrastructure Audit 記錄。
- 可用性網域
可用性網域是區域內的獨立獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域不會共用基礎架構 (例如電源或冷卻系統) 或內部可用性網域網路。因此,一個可用性網域的故障不應影響該區域中的其他可用性網域。
- 堡壘主機服務
Oracle Cloud Infrastructure Bastion 可針對沒有公用端點且需要嚴格資源存取控制的資源,例如裸機和虛擬機器、Oracle MySQL Database Service 、Autonomous Transaction Processing (ATP)、Oracle Cloud Infrastructure Kubernetes Engine ( OKE),以及允許 Secure Shell 通訊協定 (SSH) 存取的任何其他資源,提供有限且具時限的安全存取。有了 OCI 堡壘主機服務,您便可以存取專用主機,無須部署和維護跳躍主機。此外,您還可以透過識別權限以及集中式、稽核及時間導向 SSH 階段作業來改善安全態勢。OCI 堡壘主機可免除對堡壘主機存取的公用 IP 需求,在提供遠端存取時消除麻煩和潛在攻擊面。
- 區塊磁碟區
透過 Oracle Cloud Infrastructure Block Volumes ,您可以建立、附加、連接和移動儲存磁碟區,以及根據儲存、效能和應用程式需求變更磁碟區效能。將磁碟區連附並連線至執行處理之後,就可以像使用一般硬碟一樣使用該磁碟區。您也可以中斷磁碟區連線並將其連附至另一個執行處理,而不會遺失資料。
-
雲端保全
您可以使用 Oracle Cloud Guard 來監控和維護 Oracle Cloud Infrastructure 中資源的安全性。Cloud Guard 使用偵測器處方,您可以定義檢查資源是否有安全漏洞,並監控操作員和使用者的特定風險活動。偵測到任何組態錯誤或不安全活動時,雲端保全會根據您可以定義的回應器處方建議更正動作並協助採取這些動作。
- 區間
區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間來組織、控制存取,以及為您的 Oracle Cloud 資源設定使用配額。在指定的區間中,您可以定義控制存取及設定資源權限的原則。
- 容器登錄
Oracle Cloud Infrastructure Registry 是 Oracle 管理的登錄檔,可讓您簡化開發到生產的工作流程。「登錄」可讓您輕鬆儲存、共用及管理開發使用者自建物件,例如 Docker 映像檔。Oracle Cloud Infrastructure 的高可用性且可擴展的架構可確保您能夠可靠地部署和管理應用程式。
- 容錯域
容錯網域是可用性網域內的一組硬體和基礎架構。每個可用性網域都有三個具有獨立電源和硬體的容錯域。當您將資源分散到多個容錯域時,您的應用程式可以容忍容錯域內的實體伺服器故障、系統維護和電源故障。
- 身分識別與存取管理 (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) 是 Oracle Cloud Infrastructure (OCI) 和 Oracle Cloud Applications 的存取控制層。IAM API 和使用者介面可讓您管理識別網域和識別網域內的資源。每個 OCI IAM 識別網域都代表獨立的識別與存取管理解決方案,或代表不同的使用者群體。
- 網際網路閘道
網際網路網關允許 VCN 中公共子網路與公共網際網路之間的流量。
- 負載平衡器
Oracle Cloud Infrastructure Load Balancing 服務提供從單一進入點到後端多部伺服器的自動流量分配。
- 記錄日誌日誌記錄是一項可高度擴展且完全託管的服務,可讓您從雲端中的資源存取下列類型的日誌:
- 稽核記錄:與「稽核」服務所發出之事件相關的記錄。
- 服務日誌:由個別服務 (例如 API 閘道、事件、函數、負載平衡、物件儲存以及 VCN 流量日誌) 發出的日誌。
- 自訂日誌:包含自訂應用程式、其他雲端提供者或內部部署環境診斷資訊的日誌。
- 網路位址轉譯 (NAT) 閘道
NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而無須向內送網際網路連線公開這些資源。
- OCI Kubernetes 引擎
Oracle Cloud Infrastructure Kubernetes Engine ( OCI Kubernetes 引擎或 OKE) 是完全託管、可擴展且高可用性的服務,可用來將容器化應用程式部署到雲端。您可以指定應用程式所需的運算資源,而 Kubernetes 引擎則會在現有租用戶的 Oracle Cloud Infrastructure 上佈建這些資源。OKE 使用 Kubernetes 將跨主機叢集的容器化應用程式部署、調整規模及管理自動化。
- 地區
Oracle Cloud Infrastructure 區域是一個本地化地理區域,其中包含一或多個稱為可用性網域的資料中心。區域獨立於其他區域,而廣大的距離可以將其分開 (跨國家或大陸)。
- 安全清單
您可以為每個子網路建立安全規則,以指定必須允許進出子網路的來源、目的地和流量類型。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務,例如 Oracle Cloud Infrastructure Object Storage 。從 VCN 到 Oracle 服務的流量會透過 Oracle 網路結構傳送,不會周遊網際網路。
- Tenancy
租用戶是 Oracle 在您註冊 Oracle Cloud Infrastructure 時設定在 Oracle Cloud 內的安全隔離分割區。您可以在租用戶內的 Oracle Cloud 中建立、組織及管理您的資源。租用戶與公司或組織同義。通常,公司會擁有單一租用戶,並在該租用戶內反映其組織結構。單一租用戶通常與單一訂閱相關聯,單一訂閱通常只有一個租用戶。
- TimesTen 運算子
TimesTen Operator 具有數個主要功能,可協助管理 Kubernetes 環境中的 TimesTen 資料庫。TimesTen 資料庫會在 Kubernetes 組態檔中建立為自訂資源。操作員會使用此組態和 Kubernetes API 來自動執行 TimesTen 資料庫作業,例如佈建、容錯移轉、修正及安全性。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。與傳統的資料中心網路一樣,VCN 可讓您控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更。您可以將 VCN 區隔成子網路,此子網路可以設定區域範圍或可用性網域。每個子網路都是由連續的位址範圍組成,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。
建議
- 堡壘主機
確定只有經過授權的使用者才能建立堡壘主機階段作業。在此架構參考中,堡壘主機提供對 Kubernetes API 端點的安全存取,以及對部署 TimesTen 資料庫的工作者節點進行 SSH 的安全存取。
- 雲端保全
複製及自訂 Oracle 提供的預設處方,以建立自訂偵測器和回應器處方。這些處方可讓您指定產生警告的安全性違規類型,以及允許對其執行哪些動作。例如,您可以偵測可見性設為公用物件儲存的儲存桶。
在租用戶層級套用 Cloud Guard,以涵蓋最廣泛的範圍,並降低維護多個組態的管理負擔。
您也可以使用「受管理清單」功能,將特定組態套用至偵測器。
- 容器登錄
確定已建立必要的 IAM 原則,而且只有經過授權的使用者能夠存取容器登錄中的儲存區域。
- 負載平衡器頻寬
建立負載平衡器時,您可以選取提供固定頻寬的預先定義資源配置,或指定自訂 (彈性) 資源配置,以便在其中設定頻寬範圍,並讓服務根據流量模式自動調整頻寬。只要採用任一方式,您就可以在建立負載平衡器之後隨時變更資源配置。
- 安全
使用 Oracle Cloud Guard,主動監控和維護 Oracle Cloud Infrastructure 中資源的安全性。Cloud Guard 會使用偵測器處方來檢查資源是否有安全漏洞,以及監控操作員和使用者的某些危險活動。偵測到組態錯誤或不安全活動時,雲端保全會根據您可定義的回應器處方,建議採取更正動作並協助採取這些動作。
對於需要最高安全性資源,Oracle 建議您使用安全區域。安全區域是與以最佳做法為基礎之 Oracle 定義的安全原則處方關聯的區間。例如,安全區域中的資源不得從公用網際網路存取,且必須使用客戶管理的金鑰來加密。當您在安全區域中建立及更新資源時,Oracle Cloud Infrastructure 會根據安全區域處方中的原則驗證作業,並拒絕違反任何原則的作業。
- VCN
建立 VCN 時,請根據您計畫附加到 VCN 子網路的資源數量,決定所需的 CIDR 區塊數量和每個區塊的大小。請使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與您要設定專用連線的任何其他網路重疊的 CIDR 區塊 (在 Oracle Cloud Infrastructure 中、您的內部部署資料中心或其他雲端提供者)。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
當您設計子網路時,請考慮流量和安全需求。將特定層或角色中的所有資源附加至相同的子網路,作為安全界限。
使用區域子網路。
注意事項
建置此參照架構時,請考量下列各點。
- 使用狀態
一般而言,您會在最常使用的區域中部署應用程式,因為使用附近的資源比使用遠距資源快。相同區域內的可用性網域會透過低延遲且高頻寬的網路彼此連線。此網路提供與網際網路和內部部署設備的高可用性連線,因此您可以在多個可用性網域中建置複製的系統,以實現高可用性和災害復原。
- 容器登錄
此架構將容器登錄部署為專用 Docker 登錄以供內部使用。Docker 映像檔會推送至登錄檔並從登錄檔中提取。您也可以使用容器登錄作為公用 Docker 登錄,讓具備網際網路存取和適當 URL 知識的使用者能夠從 OCI 中的公用儲存區域提取映像檔。在此架構中,「容器登錄」的儲存區域是用來儲存 TimesTen 的影像,其中包括部署 TimesTen Operator 和建立 TimesTen 資料庫所需的 YAML 資訊清單檔案和 Helm 圖表。
- 安全
使用原則限制可存取 OCI 資源的人員。
部署
從 Oracle Cloud Marketplace 取得 TimesTen 容器映像檔:
- 請前往 Oracle Cloud Marketplace 。
- 按一下匯出套件。
- 請依照畫面上的提示進行。