使用 Oracle Database@Azure 、OCI GoldenGate 和 Azure 服務建立現代化平台
Before You Begin - 開始之前
若要利用此參照架構,需要下列項目:
- 存取 Azure 訂閱和目錄
- 存取 Oracle Cloud Infrastructure (OCI) 租用戶
- Azure 與 OCI 雲端之間的作用中 Oracle Database@Azure 多雲端連結
- 任何 Azure VNets 和 OCI VCN 之間的非重疊 CIDR 區塊
- 在佈建前,先獲得足夠的 Oracle Exadata Database Service 限制、Oracle Autonomous Database Serverless 和 OCI GoldenGate 服務限制
附註:
透過多重雲端解決方案,網路是整體系統效能的關鍵決定因素。客戶須負責確保雲端到雲端的網路 (頻寬和延遲) 經過徹底測試,以確保應用程式的效能符合定義的業務需求。架構
此架構顯示如何使用 Oracle Database@Azure 、Oracle Cloud Infrastructure GoldenGate 和 Microsoft Azure 服務,在 Azure 中載入您的資料湖或資料湖庫基礎架構,以處理機器學習 (ML) 和分析工作負載。
這些平台是由 Oracle Cloud Infrastructure (OCI) 管理的網路和 VCN 連線,此網路跨兩個區域並包括本機對等互連閘道。Oracle Database@Azure 位於 Azure 區域的 VCN 內,並使用本機對等互連,透過 OCI Managed Network 將資料傳送至位於 OCI 中 HUB VCN 的服務。OCI GoldenGate 可使用 OCI 網路內的專用端點 (PE) 存取,以保護對 OCI 資源的存取。
此外,適用於 Azure 的 Oracle Interconnect 和網站至網站 VPN 還提供從 OCI 到 Azure 的資料路徑。資料會從 OCI HUB VCN 上的動態路由閘道流向網站至網站 VPN 和適用於 Azure 的 Oracle Interconnect。這兩個來源的資料會流經 Azure VNet 上的虛擬網路閘道,其中包含專用連結和專用端點。它會從該處流向 Azure 資源。
下圖說明此參考架構。
oracle-database-azure-services-platform.png 圖解描述
oracle-database-azure-services- 平台 -oracle.zip
該架構具有下列 Oracle Cloud Infrastructure (OCI) 元件:
- 地區
Oracle Cloud Infrastructure 區域是一個本地化地理區域,其中包含一或多個稱為可用性網域的資料中心。區域獨立於其他區域,而廣大的距離可以將其分開 (跨國家或大陸)。
- 可用性網域
可用性網域是區域內的獨立獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域不會共用基礎架構 (例如電源或冷卻系統) 或內部可用性網域網路。因此,一個可用性網域的故障不應影響該區域中的其他可用性網域。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。與傳統的資料中心網路一樣,VCN 可讓您控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更。您可以將 VCN 區隔成子網路,此子網路可以設定區域範圍或可用性網域。每個子網路都是由連續的位址範圍組成,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。
- 動態路由閘道 (DRG)
DRG 是一個虛擬路由器,提供相同區域中 VCN 之間、VCN 與區域外網路 (例如其他 Oracle Cloud Infrastructure 區域中的 VCN、內部部署網路或其他雲端提供者中的網路) 之間的專用網路流量路徑。
需有 DRG 才能在 OCI 區域中的 VCN 與 Azure 區域中的 VNet 之間,使用 OCI FastConnect 設定專用互連。
- 本地對等互連閘道 (LPG)
LPG 可讓您將一個 VCN 與同一個區域中的另一個 VCN 對等。對等互連表示 VCN 使用私有 IP 位址進行通訊,而無需流量會周遊網際網路或透過內部部署網路進行路由。
- 網站至網站 VPN
透過安全的加密連線,在您的內部部署網路與 VCN 之間提供站對站 IPSec VPN。
- 網路安全群組 (NSG)
網路安全群組 (NSG) 可作為雲端資源的虛擬防火牆。透過 Oracle Cloud Infrastructure 的零信任安全模型,所有流量都會被拒絕,您可以控制 VCN 內部的網路流量。NSG 由一組傳入和傳出安全規則組成,僅適用於單一 VCN 中一組指定的 VNIC。
- 路由表
虛擬路由表包含將流量從子網路路由到 VCN 外部目的地 (通常是透過閘道) 的規則。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務,例如 Oracle Cloud Infrastructure Object Storage 。從 VCN 到 Oracle 服務的流量會透過 Oracle 網路結構傳送,不會周遊網際網路。
- Oracle Exadata Database Service
Oracle Exadata 是一個企業資料庫平台,以高效能、可用性和安全性執行任何規模和關鍵性的 Oracle Database 工作負載。Exadata 的橫向擴展設計採用獨特最佳化功能,可更快、更有效率地執行交易處理、分析、機器學習及混合式工作負載。在企業資料中心的 Exadata 平台、Oracle Cloud Infrastructure (OCI) 和多雲端環境中整合各種 Oracle Database 工作負載,有助於組織提高營運效率、降低 IT 管理並降低成本。
Oracle Exadata Database Service 可讓您在雲端中運用 Exadata 的強大功能。Oracle Exadata Database Service 在公有雲和 Cloud@Customer 上針對特定用途建置、最佳化 Oracle Exadata 基礎架構,提供經過實證的 Oracle Database 功能。針對所有 Oracle Database 工作負載,內建雲端自動化、彈性資源擴展、安全性和快速效能,可協助您簡化管理並降低成本。
- Oracle Exadata Database Service on Dedicated Infrastructure
Oracle Exadata Database Service on Dedicated Infrastructure 提供 Oracle Exadata Database Machine 作為 Oracle Cloud Infrastructure (OCI) 資料中心的服務。Oracle Exadata Database Service on Dedicated Infrastructure 執行處理是一個位於 OCI 區域 Exadata 機架上的虛擬機器 (VM) 叢集。
Oracle Exadata Database Service 在公有雲中針對特定用途建立的最佳化 Oracle Exadata 基礎架構,提供備受肯定的 Oracle Database 功能。內建雲端自動化、彈性資源擴展、安全性和快速效能,適用於 OLTP、記憶體內分析和融合式 Oracle Database 工作負載,有助於簡化管理並降低成本。
Exadata Cloud Infrastructure X9M 為公有雲帶來更多 CPU 核心、更高的儲存空間和更快的網路結構。Exadata X9M 儲存伺服器包括 Exadata RDMA 記憶體 (XRMEM),可建立額外的儲存層,提升整體系統效能。Exadata X9M 將 XRMEM 與可略過網路和 I/O 堆疊的創新 RDMA 演算法結合在一起,免除昂貴的 CPU 中斷和上下文切換。
Exadata Cloud Infrastructure X9M 透過融合式乙太網路 (RoCE) 內部網路結構提高其 100 Gbps 主動 - 主動式遠端直接記憶體存取的傳輸量,比前一代在所有運算和儲存伺服器之間提供極低延遲的相互連線速度。
- Oracle Autonomous Database Serverless
Oracle Autonomous Database 是完全受管理的預先設定資料庫環境,可用於交易處理和資料倉儲工作負載。您不需要設定或管理任何硬體,也不需要安裝任何軟體。Oracle Cloud Infrastructure 處理建立資料庫,以及備份、修補、升級和調整資料庫。
Oracle Autonomous Database Serverless 是 Oracle Autonomous Database 。您擁有完全彈性的資料庫,可讓 Oracle 自主操作資料庫生命週期的所有層面,從資料庫位置到備份和更新。
Oracle Database@Azure 也提供 Oracle Database Autonomous Serverless 作為全球第一個雲端自主資料管理,不需人為介入即可提供自動修補、升級和調整。Autonomous Database Serverless 建立在 Oracle Exadata 基礎架構上,它是自我管理、自我保護和自我修復,有助於消除手動資料庫管理和人為錯誤。
- Oracle Database@Azure
Oracle Database@Azure 是在 Oracle Cloud Infrastructure (OCI) 上執行的 Oracle Database 服務 (Oracle Exadata Database Service on Dedicated Infrastructure 和 Oracle Autonomous Database Serverless),部署在 Microsoft Azure 資料中心。此服務提供與 OCI 相同的功能和價格,使用者可以在 Azure Marketplace 購買此服務。
Oracle Database@Azure 將 Oracle Exadata Database Service 、Oracle Real Application Clusters (Oracle RAC) 和 Oracle Data Guard 技術整合到 Azure 平台中。Oracle Database@Azure 服務提供與其他 Azure 原生服務相同的低延遲,並滿足關鍵任務工作負載和雲端原生開發需求。使用者可以在 Azure 主控台和 Azure 自動化工具管理服務。此服務部署在 Azure Virtual Network (VNet) 中,並與 Azure 識別和存取管理系統整合。Azure 原生提供 OCI 和 Oracle Database 指標和稽核日誌。此服務要求使用者必須擁有 Azure 租用戶和 OCI 租用戶。Oracle Autonomous Database Serverless 也可透過 Oracle Database@Azure 作為全球第一個完全在雲端管理的自主資料管理,提供自動修補、升級和調整,無需人為介入。Autonomous Database 建置在 Oracle Exadata 基礎架構上,具備自我管理、自我保護及自我修復等功能,有助於免除手動資料庫管理和人為錯誤。Autonomous Database 可使用您選擇的大型語言模型 (LLM) 和部署位置,使用內建 AI 功能,開發具備任何資料的可擴充 AI 應用程式。
Oracle Exadata Database Service 和 Oracle Autonomous Database Serverless 皆透過原生 Azure 入口網站輕鬆佈建,能夠存取更廣泛的 Azure 生態系統。
- OCI GoldenGate
Oracle Cloud Infrastructure GoldenGate 是一項受管理服務,提供即時的資料網格平台,此平台使用複寫來維持資料高可用性,並啟用即時分析。您可以設計、執行及監控資料複製和串流資料處理解決方案,而無需配置或管理運算環境。
- 透明資料加密 (TDE)
Transparent Data Encryption (TDE) 通透地加密 Oracle Database 中的靜態資料。它會停止從作業系統到存取儲存在檔案中之資料庫資料的未授權嘗試,而不會影響應用程式使用 SQL 存取資料的方式。TDE 已與 Oracle Database 完全整合,可以加密整個資料庫備份 (RMAN)、「資料汲取」匯出、整個應用程式表格空間或特定機密資料欄。資料庫中無論加密的資料位於表格空間儲存體檔案、暫時表格空間、還原表格空間,或是其他檔案 (例如重做日誌) 中,加密的資料都會保持加密。
- FastConnect
Oracle Cloud Infrastructure FastConnect 提供一個在您的資料中心與 Oracle Cloud Infrastructure 之間建立專屬私人連線的簡便方式。與網際網路型連線相比,FastConnect 提供更高的頻寬選項和更可靠的網路體驗。
此架構具有下列 Microsoft Azure 元件:
- Azure 區域
Azure 區域是一個地理區域,其中有一或多個實體 Azure 資料中心 (稱為可用性區域)。區域獨立於其他區域,而廣大的距離可以將其分開 (跨國家或大陸)。
Azure 和 OCI 區域都是本地化的地理區域。對於 Oracle Database@Azure,Azure 區域會連線至 OCI 區域,而 Azure 中的可用性區域 (AZ) 則會連線至 OCI 中的可用性網域 (AD)。選擇 Azure 和 OCI 區域組可將距離和延遲降到最低。
- Azure 可用性區域
可用性區域是區域內實體獨立的資料中心,旨在提供和容錯能力。可用性區域已足以與其他可用性區域建立低延遲連線。
- 虛擬網路 (VNet) 和子網路
VNet 是您在 Azure 中定義的虛擬網路。VNet 可以有多個非重疊的 CIDR 區塊子網路,您可以在建立 VNet 之後新增這些子網路。您可以將 VNet 區隔成子網路,此子網路可以設定區域範圍或可用性區域範圍。每個子網路都是由連續的位址範圍組成,這些位址不會與 VNet 中的其他子網路重疊。使用 VNet 將您的 Azure 資源以邏輯方式隔離在網路層次。
- ExpressRoute
Azure ExpressRoute 可讓您設定 VNet 與其他網路之間的專用連線,例如您的內部部署網路或其他雲端提供者中的網路。ExpressRoute 是一般網際網路連線更可靠且更快速的替代方案,因為透過 ExpressRoute 的流量不會周遊公用網際網路。
- 虛擬網路閘道
虛擬網路閘道允許 Azure VNet 與 Azure 外部網路之間的流量 (不論是透過公用網際網路或使用 ExpressRoute),視您指定的閘道類型而定。
- 路由表
在 Azure 子網路、VNets 和 Azure 外部網路之間遞送表格直接流量。
- 網路安全群組
網路安全群組包含控制 VNet 內 Azure 資源之間網路流量的規則。每個規則都會指定允許或拒絕之網路流量的來源或目的地、連接埠、協定及方向。
- 本地對等互連閘道 (LPG)
本機對等互連閘道 (LPG) 是 VCN 上的一個元件,用於將流量遞送至本機對等互連 VCN。
- 網站至網站 VPN
透過安全的加密連線,在您的內部部署網路與 VCN 之間提供站對站 IPSec VPN。
建議
- VCN
建立 VCN 時,請根據您計畫附加到 VCN 子網路的資源數量,決定所需的 CIDR 區塊數量和每個區塊的大小。請使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與您要設定專用連線的任何其他網路重疊的 CIDR 區塊 (在 Oracle Cloud Infrastructure 中、您的內部部署資料中心或其他雲端提供者)。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
當您設計子網路時,請考慮流量和安全需求。將特定層或角色中的所有資源附加至相同的子網路,作為安全界限。
使用區域子網路。
- Oracle Database@Azure 和 Oracle Cloud Infrastructure GoldenGate 的網路設定
- Azure 環境
- 使用 Azure 虛擬網路 (VNet) 進行網路連線。
- 在預先建立的委派子網路內建立虛擬網路介面卡 (vnics)。
- OCI 環境
- Oracle Database@Azure 可連線至 Oracle Cloud Infrastructure (OCI) Virtual Cloud Network (VCN) 內的從屬端子網路。
- 若要將資料庫 VCN 與 HUB VCN 連線,請透過本地對等互連閘道 (LPG) 進行通訊傳輸。
- Azure 環境
- 從屬端連線
- 此網路設定允許從 Azure 和 OCI 資源進行從屬端連線。
- 不過,它不允許 OCI 資源與 Azure 資源之間進行直接通訊。
- 安全
使用 Oracle Data Guard 主動監控和維護 OCI 中資源的安全性。Oracle Data Guard 使用偵測器處方來檢查資源是否有安全漏洞,以及監控操作員和使用者的風險活動。偵測到任何組態錯誤或不安全活動時,Oracle Data Guard 會根據您可定義的回應器處方建議更正動作,並協助採取這些動作。
對於需要最高安全性資源,Oracle 建議您使用安全區域。安全區域是與以最佳做法為基礎之 Oracle 定義的安全原則處方關聯的區間。例如,安全區域中的資源不得從公用網際網路存取,且必須使用客戶管理的金鑰來加密。當您在安全區域中建立及更新資源時,OCI 會根據安全區域處方中的原則驗證作業,並拒絕違反任何原則的作業。
- 網路安全群組 (NSG)
您可以使用 NSG 定義一組適用於特定 VNIC 的傳入和傳出規則。建議您使用 NSG 而非安全列表,因為 NSG 可讓您將 VCN 的子網路架構和應用程式的安全需求分開。
您可以使用 NSG 定義一組適用於特定 VNIC 的傳入和傳出規則。建議您使用 NSG 而非安全列表,因為 NSG 可讓您將 VCN 的子網路架構和應用程式的安全需求分開。
- 負載平衡器頻寬
建立負載平衡器時,您可以選取提供固定頻寬的預先定義資源配置,或指定自訂 (彈性) 資源配置,以便在其中設定頻寬範圍,並讓服務根據流量模式自動調整頻寬。只要採用任一方式,您就可以在建立負載平衡器之後隨時變更資源配置。
使用下列建議作為設定 Microsoft Azure 和 Oracle Cloud 之間的專用相互連線的起點。您的需求可能與此處所述的架構不同。
- VCN
附註:
這些建議也適用於 Azure VNet。建立 VCN 時,請根據您計畫附加到 VCN 子網路的資源數量,決定所需的 CIDR 區塊數量和每個區塊的大小。請使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與您要設定專用連線的任何其他網路 (在 Oracle Cloud Infrastructure、您的內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
- Azure 虛擬網路閘道:
在 Azure 中建立虛擬網路閘道時,請選取閘道 SKU。您選取的 SKU 會決定配置給閘道的 CPU 和網路頻寬。
- Azure 虛擬網路閘道:
您可以使用 Azure ExpressRoute FastPath 來改善 VNet 與其他連線網路之間的資料路徑效能。FastPath 會略過虛擬網路閘道,直接將流量遞送至 VNet 中的資源。
Azure FastPath 僅適用於 UltraPerformance SKU 或 ErGw3AZ。為了減少 Azure 與 OCI 之間的延遲,請考慮使用 FastPath。
- 安全
Azure 和 Oracle Cloud 網路內的流量會完全加密,而 Azure 和 Oracle Cloud 之間的流量則會直接透過專用實體連線流向。您可以使用網路安全群組 (NSG) 和安全清單,進一步限制專用相互連線的流量。
- 選擇地點
建議在與 Oracle Database@Azure 相同的 OCI 租用戶和區域中建立 OCI GoldenGate 資源,以實現最佳的端對端延遲。
- 佈建
選擇正確的 OCI FastConnect 大小,以支援工作負載的頻寬需求。
- 併行執行
建議您在 OCI GoldenGate 中設定平行複製,以盡可能加速套用延遲。
注意事項
建置此參照架構時,請考量下列各點。
在 Microsoft Azure 和 Oracle Cloud Infrastructure (OCI) 之間實作專用互連時,請考慮下列因素:
- 成本
- OCI FastConnect
所有 OCI 區域的 OCI FastConnect 成本相同。沒有單獨的傳入或傳出資料費用。
- AzureExpressRoute
Azure ExpressRoute 的費用因一個區域而異。Azure 具有多個用於快速路由的 SKU;Oracle 建議使用本機設定,因為它沒有單獨的傳入或傳出費用,而且從最小頻寬 1 Gbps 開始。標準版和進階版組態提供較低的頻寬,但在計量設定中會產生個別的輸出費用。
- OCI GoldenGate 提供 Web 式的彈性彈性服務,可即時移動資料。
- OCI FastConnect
- 邊界閘道協定 (BGP)
Azure VNet 與 Oracle Cloud VCN 之間的連線使用 BGP 動態路由。當您設定 Oracle 虛擬迴路時,會提供 BGP IP 位址,供 Oracle 與 Azure 之間的兩個備援 BGP 階段作業使用。請為每組指定一個非重疊、個別的 /30 區塊位址。
OCI FastConnect 一律使用 BGP 進行路由宣告。
- 高可用性
每個互連迴路 (ExpressRoute 和 OCI FastConnect) 都會在相同的 POP 上提供備援迴路,但實體路由器不同,因此可提供高可用性。
- 災害復原 (DR)
為了讓客戶能夠部署有效的災害復原架構,我們在每個地理區域中提供多個相互連線區域,例如美國東部和北美西部。
- 支援傳輸路由
您可以將 Oracle Cloud Infrastructure – Microsoft Azure 連結延伸至 Oracle Cloud 內或 Azure 中的傳輸路由設定。
- 效能
-
對於 OCI GoldenGate:網路延遲對於效能至關重要。進行應用程式效能測試時,檢查並測量網路延遲。
應用程式與不同雲端資料中心代管資料庫之間的網路延遲必須小於 10 毫秒。建議您選取附近的應用程式和資料庫區域,以實現最佳的端對端效能。
-
- 連線
- 需要額外的網路連線設定,才能啟用 Oracle GoldenGate 與 Azure 之間的直接通訊。
-
數個區域都提供專用的 Oracle Interconnect for Microsoft Azure 。
-
此相互連線可讓跨雲端工作負載,而無需雲端之間的流量即可通過網際網路。
-
它可讓 Microsoft Azure VNet 與 OCI VCN 連線,促進跨雲端順暢的工作負載。
-
您可以在無法使用 Oracle Interconnect for Azure 的區域中,建立網站至網站 VPN 作為替代方案。
-
- 建立 Oracle Database@Azure 連線時,請使用專用端點並選取專用子網路。
- 建立 Oracle Exadata Database Service on Dedicated Infrastructure 連線時,請使用「重新導向」階段作業模式,以使用「單一從屬端存取名稱 (SCAN)」監聽器。
- 必須制定適當的路由、DNS 和安全規則,讓 Oracle GoldenGate 存取您的資源。
- 需要額外的網路連線設定,才能啟用 Oracle GoldenGate 與 Azure 之間的直接通訊。