透過 Oracle Integration Cloud 建立多雲端專用網路連線
當您需要整合在專用網路上執行的服務或應用系統 (例如 Amazon Web Services VPC、Azure Vnet、Google Cloud Computing VPC 或企業內部部署專用網路),以及 SaaS 或企業內部部署應用系統時,可以使用 Oracle Integration Cloud Service (OIC) 和連線代理程式來建立專用端點連線。
此架構提供多雲端專用網路與 Oracle 雲端服務或應用系統之間的必要連線,而不會透過公用網際網路作為 Oracle Integration Cloud Service 輸出整合的一部分,提供流量。
架構
此參考架構說明如何透過 Oracle Integration Cloud 連線至 OSN Oracle Autonomous Transactional Processing Database - 透過 Oracle Integration Cloud 在 AWS 私人網路 (VPC) 上執行的服務或應用程式,而不需要透過公用網際網路路由流量。
此案例可作為 OIC 連線代理程式與 AWS 專用服務或應用程式進行通訊。OIC 連線代理程式會安裝在 VCN 專用子網路的 Oracle Cloud Infrastructure Compute 執行處理上。代理程式會透過一側的服務閘道與 OIC 整合,以及透過動態路由閘道 (DRG) 和 FastConnect 專用對等互連或 VPN 在 AWS 專用網路上執行的服務或應用程式進行通訊。
下圖說明此參考架構。
- 區域
Oracle Cloud Infrastructure 區域是一個包含一或多個資料中心的本地化地理區域,稱為可用性網域。區域與其他區域無關,而且遠距離也能分隔它們 (跨國家或甚至大陸)。
- 區間
區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間組織您的 Oracle Cloud 資源、控制資源的存取,以及設定使用狀況配額。若要控制對指定區間中資源的存取,您需要定義可指定誰存取資源的原則,以及可執行哪些動作。
- 可用性網域
可用性網域是區域內的獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域並不共用基礎架構,例如電源或冷卻系統,或內部可用性網域網路。因此,一個可用性網域發生失敗並不會影響區域中的其他可用性網域。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定可客製化的軟體定義網路。與傳統資料中心網路一樣,VCN 可讓您完整控制您的網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更這些區塊。您可以將 VCN 區段成子網路,可以將範圍擴展到區域或可用性網域。每個子網路都包含一個連續的位址範圍,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。
- 安全清單
針對每個子網路,您可以建立指定來源、目的地以及必須允許進出子網路之流量類型的安全規則。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務,例如 Oracle Cloud Infrastructure Object Storage。從 VCN 到 Oracle 服務的流量透過 Oracle 網路架構旅行,而一律不透過網際網路。
- FastConnect
Oracle Cloud Infrastructure FastConnect 可讓您在資料中心與 Oracle Cloud Infrastructure 之間建立專屬專用連線簡單的方式。與網際網路連線相比,FastConnect 提供更高的頻寬選項和更可靠的網路體驗。
- 專用對等互連
使用專用 IP 位址擴充現有的基礎架構。
- VPN 連線
Oracle Cloud Infrastructure VPN Connect 是一個 IPsec VPN,可讓您透過公用網際網路在 Oracle Cloud 與您的私人 IT 基礎架構之間建立加密連線。
- 動態路由閘道 (DRG)
新增到您 VCN 的虛擬路由器,為 VCN 與其他雲端專用或企業內部部署網路之間的專用網路流量提供路徑。
- 自治式資料庫
Oracle Cloud Infrastructure 自治式資料庫完全受管理且預先設定的資料庫環境,可供交易處理和資料倉儲工作負載使用。您不需要設定或管理任何硬體,或安裝任何軟體。Oracle Cloud Infrastructure 可處理建立資料庫及備份、打補丁、升級及調整資料庫。
- Autonomous Transaction Processing,自治式異動處理
Oracle Autonomous Transaction Processing 是一款自我驅動、自我保護、自我修復的資料庫服務,可為交易處理工作負載最佳化。您不需要設定或管理任何硬體,或安裝任何軟體。Oracle Cloud Infrastructure 可處理建立資料庫及備份、打補丁、升級及調整資料庫。
- Oracle Integration Cloud (Oic)
有了 Oracle Integration Cloud,您便能夠將雲端和內部部署應用系統整合、將業務流程自動化、深入瞭解業務流程、開發視覺化應用系統、使用 SFTP 相容的檔案伺服器來儲存和擷取檔案,以及與 B2B 交易夥伴交換業務文件。
- OIC 連線代理程式
您可以使用連線代理程式,在專用或企業內部部署網路與 Oracle Integration Cloud 的應用系統之間建立混合整合與交換訊息。
- 骨幹
專用、安全的網路,可將 Oracle IaaS 和 PaaS 服務互連至在相同或任何其他 OCI 區域執行的 Oracle SaaS。
- 客戶端設備 (CPE)
代表存在於內部部署網路且建立 VPN 連線之網路資產的物件。大多數邊界的防火牆會當做 CPE,但是不同的裝置 (例如設備或伺服器) 可以是 CPE。
- AWS 虛擬私有雲 (Amazon Web Services VPC)
可讓您將 AWS 資源啟動至您所定義的虛擬網路。此虛擬網路與您在自己的資料中心內作業的傳統網路緊密結合,提供使用 AWS 可擴展基礎架構的優點。
建議
- VCN
建立 VCN 時,請根據計畫要在 VCN 中連附至子網路的資源數目,決定所需的 CIDR 區塊數目與每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與任何其他網路重疊的 CIDR 區塊 (在 Oracle Cloud Infrastructure 中、企業內部部署資料中心或其他雲端提供者),以設定專用連線。
建立 VCN 之後,您可以變更、新增以及移除其 CIDR 區塊。
設計子網路時,請考量您的流量和安全需求。將特定層或角色中的所有資源連附至相同的子網路,作為安全界限。
使用區域子網路。
- 限制存取 OIC 執行處理
設定允許清單 (前身為白名單) 來限制能夠存取您 Oracle Integration 執行處理的網路。只有來自特定 IP 位址、無類別網域間路由 (CIDR) 區塊,以及您指定的虛擬雲端網路使用者可以存取 Oracle Integration 執行處理。
- 連線
在將資源部署至 Oracle Cloud Infrastructure 時,您可以先從小規模開始,然後連線到企業內部部署網路。這種單一連線可以透過 FastConnect 或透過 IPSec VPN 進行。若要規劃備援,請考量企業內部部署網路與 Oracle Cloud Infrastructure 之間的所有元件 (硬體裝置、設施、迴路和電源)。另外,請考慮多樣性,以確保設施不會在路徑之間共用。
- 在高可用性環境中使用連線代理程式
您可以在高可用性環境中使用 Oracle Integration 的連線代理程式。您在不同主機上安裝兩次連線代理程式。連線代理程式可水平調整,因此可為代理程式群組執行多個代理程式的所有優點。這可提升效能,並擴充容錯移轉的優點。
注意事項
部署此參考架構時,請考量下列各點。
- 擴充性
建立 Oracle Integration 執行處理時,管理員會指定計畫用於每個執行處理的訊息套件數目。
- 資源限制
請考慮租用戶的最佳做法、服務限制及區間配額。
- 安全
使用 OCI 身分識別與存取管理 (IAM) 原則,控制可存取雲端資源的人員,以及可執行哪些作業。為保護資料庫密碼或任何其他加密密碼,請考慮使用 OCI 保存庫服務。
- 績效與成本
OCI 提供可配合各種應用系統和使用案例的運算型態。請仔細選擇運算執行處理的資源配置。請選取以最低成本提供最佳負載效能的資源配置。如果您需要更多的效能、記憶體或網路頻寬,可以變更為較大的資源配置。
- 使用狀態
請考慮根據您的部署需求和區域,使用高可用性選項。選項包括將資源分散至區域內的多個可用性網域,以及將資源分散至可用性網域內的容錯域。
容錯域可為在單一可用性網域內部署的工作負載提供最佳復原能力。若要在應用程式層提供高可用性,請在不同的容錯域中部署應用程式伺服器,然後使用負載平衡器將從屬端流量分配給應用程式伺服器。
- 監督與警示
在節點的 CPU 和記憶體使用狀況上設定監督與警示,以便您可以視需要縱向擴展或縮減資源配置。