將大型主機應用系統移轉至 Oracle Cloud Infrastructure (OCI)
大型主機電腦仍是全球部分最大組織主要運算基礎架構的一部分。
公司開始使用大型主機執行關鍵大量資料處理應用系統,例如人口普查定位、企業資源規劃、產業與消費者統計資料,以及大規模的交易處理。從銀行、科學研究和疫苗開發到所有使用大型主機的組織。雖然大型主機提供絕佳的可靠性和可用性,但也有一些限制。例如,使用最新的安全修補程式讓大型主機電腦保持在最新狀態非常困難,並且要跟上現代技術以及執行新一代應用程式所需的部署頻率。
Oracle Cloud Infrastructure (OCI) 可協助您將大型主機應用系統搬移至雲端,並實現雲端運算的優勢,例如簡化的基礎架構管理與擴展、自動化安全性修補,以及以靈活的方式部署和更新大型主機應用系統的自動方法。OCI 提供將大型主機應用程式移轉至雲端所需的工具和資源,並視您的業務需求重新平台或重構這些應用程式。
架構
使用高可用性 (HA) 和災害復原 (DR) 架構,將大型主機應用程式移轉至 Oracle Cloud Infrastructure (OCI)。
這兩種架構都提供將大型主機應用程式移轉至雲端所需的工具和資源,因此您的客戶和管理員使用者可以使用大型主機應用程式進行業務、管理和營運。
下圖說明高可用性 (HA) 架構:
高可用性架構會在相同區域的多個容錯域中部署應用程式。這樣可確保即使其中一個容錯域因某種原因而無法使用,仍然可以隨時使用大型主機應用程式。組織可以在相同區域的第二個可用性網域中部署待命執行處理,以提升抗逆力。
此架構圖說明多個使用者存取流程。業務使用者透過使用透過 OCI API 閘道公開的端點來存取應用程式。這些端點都受到 Oracle Cloud Infrastructure Web Application Firewall 保護,以確保預設將前端安全套用至大型主機應用系統。使用者要求會轉送至負載平衡器,讓此要求轉送至多層應用程式。每一層的應用程式都由不同的子網路代管,以確保應用程式依需求開啟正確的安全連接埠。儲存在資料庫中的資料會從不同的子網路中提取,以確保適當的安全性。
管理使用者 (負責在 OCI 上運作大型主機應用程式)、使用安全 Shell (SSH) 和站對站虛擬專用網路 (VPN) 或 Oracle Cloud Infrastructure FastConnect 存取應用程式伺服器。這會建立一個安全通道,將客戶資料中心的客戶端設備 (CPE) 與 OCI 上的動態路由閘道 (DRG) 連接在一起。管理員可以使用此路徑從資料中心機器存取 OCI 上的運算執行處理。為確保所有作業 (例如修補、應用程式升級、作業系統安全性升級以及其他作業) 都能輕鬆且適時完成。
OCI Automated Refactoring 可協助將完整的舊版應用程式堆疊及其資料層轉換為現代化的 Java 式應用程式,同時保持功能同等性。Oracle 的 ZFS 和 Oracle Cloud Infrastructure Block Volumes 可視需要提供儲存,並且使用適當的網路與企業內部部署儲存系統連線。所有程式碼都會使用自動化評估和轉換,移轉到 Java。然後,此程式碼就會根據虛擬機器 (VM) 或裸機 (BM) 架構,由 OCI 運算執行處理叢集代管。
Oracle Cloud Infrastructure DevOps 可協助確保以靈活的方式部署所有元件。所有元件都是使用 Terraform 部署,並使用 Ansible 維護。本示範如何利用 OCI 上的自動化功能,並遵循基礎架構即程式碼 (IaC) 方法,讓大型主機應用程式更靈活、更容易維護。
下圖說明災害復原 (DR) 架構:
mainframe-app-multiregion.png 圖解描述
災害復原架構會將應用程式部署在多個 OCI 區域中。這可確保如果其中一個區域因某種原因 (例如自然災害) 而無法使用,則可使用大型主機應用程式。您可以選擇性將資源放置在多個容錯域,以便在雲端資料中心發生機架層級硬體故障時,確保架構安全,同時大型主機應用系統可連續執行多年,無須停機。
架構具有下列元件:
- 租用戶
租用戶是指註冊 Oracle Cloud Infrastructure 時,Oracle 在 Oracle Cloud 內設定的安全獨立分割區。您可以在租用戶的 Oracle Cloud 中建立、組織及管理您的資源。租用戶與公司或組織同義。通常,公司會有單一租用戶,並反映其在該租用戶內的組織結構。單一租用戶通常與單一訂閱關聯,而單一訂閱通常只有一個租用戶。
- 區域
Oracle Cloud Infrastructure 區域是一個本地化的地理區域,包含一或多個資料中心 (稱為可用性網域)。區域與其他區域無關,因此廣大的距離可加以區隔 (跨國家或甚至洲)。
- 區間
區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間組織您在 Oracle Cloud 中的資源、控制對資源的存取,以及設定使用配額。若要控制對指定區間中資源的存取,您可以定義原則來指定可存取資源的人員及可執行的動作。
- 可用性網域
可用性網域是區域內的獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域並不共用基礎設施,例如電力或冷卻系統或內部可用性網域網路。因此,一個可用性網域發生失敗並不會影響區域中的其他可用性網域。
- 容錯域
容錯網域是可用性網域內的一組硬體和基礎設施。每個可用性網域都有三個容錯域,具備獨立電源和硬體。當您將資源分散到多個容錯域時,您的應用系統就可容忍容錯域中的實體伺服器故障、系統維護以及電源故障。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。就像傳統的資料中心網路,VCN 可讓您完全控制網路環境。VCN 可以有多個非重疊 CIDR 區塊,而您可以在建立 VCN 之後進行變更。您可以將 VCN 區隔成子網路,然後對區域或可用性網域進行調整。每個子網路都是由不與 VCN 中其他子網路重疊的連續位址範圍所組成。您可以在建立子網路後變更其大小。子網路可以是公用網路或專用子網路。
- 路由表
虛擬路由表包含規則,可將流量從子網路遞送至 VCN 外部的目的地,通常透過閘道。
- 安全清單
您可以為每個子網路建立安全規則,以指定必須允許進出子網路的來源、目的地和流量類型。
- 網站至網站 VPN
網站至網站 VPN 可讓企業內部部署網路與 Oracle Cloud Infrastructure 中 VCN 之間的 IPSec VPN 連線。IPSec 通訊協定套件會先加密 IP 流量,再將封包從來源傳輸至目的地,並在抵達時將流量解密。
- FastConnect
Oracle Cloud Infrastructure FastConnect 提供一個簡單的方式,在您的資料中心與 Oracle Cloud Infrastructure 之間建立專屬的專用連線。FastConnect 提供與網際網路型連線比較的高頻寬選項,以及更可靠的網路體驗。
- 網際網路閘道
網際網路閘道可允許 VCN 中的公用子網路與公用網際網路之間的流量。
- 動態路由閘道 (DRG)
DRG 是一個虛擬路由器,可為 VCN 與區域外部網路之間的 VCN (例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、企業內部部署網路或其他雲端提供者中的網路) 之間的專用網路流量提供路徑。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務,例如 Oracle Cloud Infrastructure Object Storage 。VCN 到 Oracle 服務的流量會透過 Oracle 網路光纖通道,而一律不會周遊網際網路。
- 網路位址轉譯 (NAT) 閘道
NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不需將這些資源暴露給內送網際網路連線。
- Web 應用程式防火牆 (WAF)
Oracle Cloud Infrastructure Web Application Firewall (WAF) 是與強制點 (例如負載平衡器或 Web 應用程式網域名稱) 連附的付款卡產業 (PCI) 相容、以區域為基礎和邊緣強制實行服務。WAF 可保護應用系統免於惡意和非必要網際網路流量的危害。WAF 可以保護所有連結網際網路的端點,對客戶的應用程式實施一致的規則。
- 運算
Oracle Cloud Infrastructure Compute 服務可讓您在雲端中佈建與管理運算主機。您可以使用資源配置來啟動運算執行處理,以滿足 CPU、記憶體、網路頻寬及儲存的資源需求。建立運算執行處理之後,您可以安全地存取、重新啟動、連附和卸離磁碟區,以及在不再需要時將它終止。
- 負載平衡程式
Oracle Cloud Infrastructure Load Balancing 服務提供從單一進入點到後端多部伺服器的自動化流量分配。
- 物件儲存
物件儲存可快速存取任何內容類型的大量結構化與非結構化資料,包括資料庫備份、分析資料,以及豐富內容 (例如影像和影片)。您可以安全地儲存,然後直接從網際網路或雲端平台內擷取資料。您可以無縫擴充儲存,而不會發生任何效能或服務可靠性的降低。針對快速、立即和經常存取的「熱」儲存,使用標準儲存。將封存儲存用於長時間且鮮少存取的「冷」儲存。
- 通知
Oracle Cloud Infrastructure Notifications 服務會透過發布 / 訂閱模式,將訊息廣播至分散式元件,為 Oracle Cloud Infrastructure 代管的應用系統提供安全、高度可靠、低延遲及持久性訊息。
- 功能
Oracle Cloud Infrastructure Functions 是一個完全託管、多租用戶、可高度擴展、隨選、Functions-as-a-Service (FaaS) 平台。它由 Fn 專案開放原始碼引擎提供技術支援。函數可讓您部署程式碼,然後直接呼叫程式碼或觸發程式以回應事件。Oracle Functions 使用 Oracle Cloud Infrastructure Registry 中代管的 Docker 容器。
- 記錄日誌日誌記錄是一種可高度擴展且完全受管理的服務,可讓您從雲端資源存取下列類型的日誌:
- 稽核日誌:與稽核服務發出之事件相關的日誌。
- 服務日誌:由個別服務 (例如 API 閘道、事件、函數、負載平衡、物件儲存以及 VCN 流量日誌) 發出的日誌。
- 自訂日誌:包含自訂應用程式、其他雲端提供者或內部部署環境之診斷資訊的日誌。
- Exadata 資料庫服務
Oracle Exadata Database Service 可以讓您在雲端中使用 Exadata 的強大功能。您可以佈建具有彈性的 X8M 和 X9M 系統,隨著需求成長,將資料庫運算伺服器和儲存伺服器新增至您的系統。X8M 和 X9M 系統提供 RDMA over Converged Ethernet (RoCE) 網路,提供高頻寬和低延遲、永久記憶體 (PMEM) 模組和智慧型 Exadata 軟體。您可以使用相當於四分之一機架 X8 和 X9M 系統的資源配置來佈建 X8M 和 X9M 系統,然後在佈建之後的任何時間新增資料庫和儲存伺服器。
建議
您的需求可能與此處所述的架構不同。
- VCN
建立 VCN 時,請根據您計畫連附至 VCN 中子網路的資源數目,判斷所需的 CIDR 區塊數目和每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與欲設定專用連線之任何其他網路 (在 Oracle Cloud Infrastructure 、您的內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊。
您可以在建立 VCN 之後,變更、新增及移除其 CIDR 區塊。
設計子網路時,請考慮您的流量與安全需求。將特定層或角色內的所有資源連附至相同的子網路,以作為安全界限。
- 雲端保全
複製並自訂 Oracle 提供的預設處方,以建立自訂偵測器與回應器處方。這些處方可讓您指定哪些類型的安全違規會產生警告,以及允許對其執行哪些動作。例如,您可以偵測可見性設為公用的物件儲存的儲存桶。
在租用戶層次套用雲端保全以涵蓋最廣的範圍,並減少維護多個組態的管理負擔。
您也可以使用「受管理清單」功能,將特定組態套用至偵測器。
- 災害復原 (DR)
對於企業應用系統,建議使用不同 OCI 區域中的待命 DR 執行處理。DR 策略在 3 層之間必須一致,才能符合 SLA 和資料持久性需求。DR Oracle Exadata Database Service on Dedicated Infrastructure 會使用 Oracle Data Guard 與生產環境同步。待命 Oracle Exadata Database Service on Dedicated Infrastructure 是主要資料庫的交易一致複本。Oracle Data Guard 會透過將重做資料從主要資料庫傳輸並套用到待命資料庫,自動同步資料庫。萬一主要區域發生災害,Oracle Data Guard 會自動容錯移轉至次要區域中的待命資料庫。前端負載平衡器可以使用 Oracle Cloud Infrastructure Load Balancing 以待命模式部署在網路負載平衡器或高可用性。
注意事項
當實行此參照架構時,請考慮下列選項。
- 效能
Oracle Cloud Infrastructure Compute 、Oracle Exadata Database Service 及其他重要的服務都具有高擴展性。請考慮根據大型主機應用程式的大小和需求,調整運算和儲存資源的數目。
- 安全
使用原則可限制可存取 Oracle Cloud Infrastructure (OCI) 資源的人員。針對 Oracle Cloud Infrastructure Object Storage ,預設會啟用加密,且無法關閉。Oracle Cloud Infrastructure Functions 中部署的所有函數存取都透過 Oracle Cloud Infrastructure Identity and Access Management (IAM) 控制,讓函數管理和函數呼叫權限能夠指定給特定使用者和使用者群組。建議您在 Oracle Cloud Infrastructure Vault 中儲存加密密碼和機密資料,例如用於 OCI 服務授權的 API 金鑰和認證權杖。
- 使用狀態
Oracle 可確保 Oracle Cloud Infrastructure Compute 、Oracle Exadata Database Service 及其他雲端原生和完全託管服務的高可用性。對於部署在單一可用性網域中的工作負載,您可以將資源分配給此架構所示的容錯域,以確保其彈性。如果您計畫在具有多個可用性網域的區域中部署工作負載,您可以將資源分散至多個可用性網域。
- 擴展性
您可以變更運算執行處理的資源配置,以垂直方式調整應用程式伺服器。核心數目較高的資源配置提供更多的記憶體和網路頻寬。如果您需要更多儲存體,請增加連附至應用程式伺服器的區塊磁碟區大小。為 Oracle Exadata Database Service 啟用更多核心,即可垂直擴充資料庫。您可以為一季機架新增 OCPU 的倍數。在調整規模作業期間,資料庫仍然可供使用。如果您的工作負載超過可用的 CPU 和儲存體,可以移轉至更大的機架。