瞭解設定安全多層拓樸
建立和維護多層拓樸可以是複雜專案。若要有效管理 Oracle Cloud 中的安全多層拓樸,請編碼您在來源控制的儲存區域中維護之 Terraform 模組中的必要資源,然後套用組態。當您想要調整基礎架構時,請啟動適當模組的版本、更新資源定義,然後套用修訂過的組態。必要時,您可以輕鬆地回復到先前版本的基礎架構。基本上,您可以使用簡單的程式碼來開發、部署及操作您的雲端基礎架構。
您可以使用此解決方案中提供的 Terraform 建立區塊,實行支援多層多重使用者環境之安全網路拓樸的基本結構。藉由建立此基本拓樸,然後根據業務需求進行調整,您可以節省重大的時間和付出。
架構
此解決方案的架構會根據管理資源的使用者群組,組織個別區間中的資源。
Multi-ier-network-tecture.png 圖解描述
下列是此架構中的資源。根據特定需求自訂架構。
- 虛擬雲端網路 (VCN) 和閘道都在網路隔間中。您可以在區間中建立包含使用子網路之資源的子網路。
- 您連附至公用子網路的資源 (例如基礎主機) 可以透過網際網路閘道從公用網際網路存取。如果發生網路安全問題(例如分散式拒絕服務 (DDoS) 攻擊,您可以藉由終止閘道,將所有流量封鎖至 VCN。
- 專用子網路中的資源可以透過 NAT 閘道存取公用網際網路。例如,專用子網路中的運算執行處理可以透過 NAT 閘道從外部網站取得修正程式。
- Shared Services 區間包含在拓樸間共用的資源。
- 基礎主機位於「管理」區間。
- Business Logic 隔間保留 Web 伺服器、應用程式伺服器,以及負載平衡器。
- 資料庫位於「資料庫」區間中。
您定義的原則 (不會顯示在架構圖表中),控制每個使用者群組對區間中資源的存取層次。
注意事項:
- 此架構中的資源分散至三個可用性網域 (AD)。在擁有單一 AD 的區域中,您可以將運算執行處理分配到 AD 內的錯誤網域,以獲得高可用性。
- 此架構中的所有區間都是對等的,但是您可以設定區間階層。
- 為了簡單起見,架構圖只顯示一個區域。區間跨所有區域。
關於必要的服務和角色
需要下列服務和權限:
您需要訂閱 Oracle Cloud Infrastructure。
若要建立必要的資源,您需要符合下列條件的證明資料:
-
您必須位於
Administrators群組或任何具備建立區間權限的群組中。 -
如果您想在現有的區間中建立資源,則必須位於具有權限可以為這些區間定義原則的群組中,並管理這些區間中的 Vcn。
-
若要建立認證記號和 API 金鑰,您必須是本機使用者;亦即,管理員在 Oracle Cloud Infrastructure Identity and Access Management 中建立的使用者。或者,您必須是聯合身分識別提供者自動建立的同步使用者。