使用 Oracle Cloud Infrastructure 登陸區部署網際網路銷售入口網站
為了協助聯邦、州政府和地方政府機構在雲端設定並保護其工作負載,Mythics 在 Oracle Cloud Infrastructure (OCI) 上部署了符合網際網路安全中心 (CIS) 基準的安全登陸區。
使用 OCI 登陸區,Mythics 可以在建立執行處理的幾小時內快速自訂、設定及保護任何環境。
Mythics 在自己的 OCI 租用戶中部署了網際網路銷售入口網站,支援其行銷、銷售、合約、法律、會計和作業群組。Mythics 現在使用 APEX 表單和精靈以及與 Oracle NetSuite 整合的資料倉儲功能,追蹤及遞送每個部門的內部核准,每月產生數十萬筆的銷售交易和電子郵件工作流程核准交易。
透過使用 OCI Landing Zone 部署其網際網路銷售入口網站,Mythics 有:
- 提高效能和可用性: Mythics 現在能夠使用多個運算核心快速處理交易,也能夠使用負載平衡器維持高可用性。Mythics 運用其災害復原功能,即使在季節性爆發 (例如月、季或年終結案) 期間,也可視需要快速橫向縮減或橫向擴展。
- 自動化複雜的安全性組態: Mythics 可以在建立執行處理的幾小時內,快速自訂、設定及保護其環境。
- 建立可自訂的安全態勢: Mythics 也可以重複使用和修改 OCI 登陸區範本,並將其套用至任何公部門或商業客戶環境,並在 OCI 上執行任何類型的工作負載。
架構
Mythics 部署了 Oracle Cloud Infrastructure (OCI) 登陸區,為其網際網路銷售入口網站保護環境。
Mythics 使用 OCI 登陸區樣板自動建立虛擬雲端網路 (VCN),以及多個子網路和區間。子網路是使用網路隔離和區隔、安全清單、路由表和網路安全群組 (NSG) 建立的:
- appdev-pvt:應用程式資源的專用子網路
- mgmt-pvt:管理資源的專用子網路
- db-pvt:資料庫資源的專用子網路
- bastion-pvt:堡壘主機存取的專用子網路
- bastion-pub:堡壘主機存取的公用子網路
Mythics 使用區間來分組和控制對資源的存取。Mythics 透過建立群組和原則,然後指派適當的權限來控制可存取資源的人員,實作最低權限存取模型。登陸區預設會建立五個區間:
- megprod-network-cmpt:網路資源的區間
- megprod-security-cmpt:用於安全資源的區間,包括通知、雲端保全和日誌
- megprod-appdev-cmpt:適用於 APEX 和應用程式伺服器的區間
- megprod-database-cmpt:資料庫伺服器的區間
- megprod-mgmt-cmpt:管理資源的區間
Mythics 也使用 OCI Landing Zone 自動部署安全工具,例如 Oracle Cloud Guard 以進行安全態勢管理、使用 OCI Logging 來合併日誌,以及使用 OCI Notifications 。然後,神話會分層在元件中,包括:
- 適用於低程式碼應用程式開發表單、精靈和工作流程的 APEX
- 應用程式處理作業的兩個虛擬機器 (VM) 執行處理,負載平衡以提供高可用性
- 在虛擬機器和資料倉儲上執行的 Oracle Database Cloud Service ,用於儲存超過 200,000 筆目前和歷史銷售交易
- OCI Kubernetes 引擎 (OKE) 叢集,用於自動化資源管理
- OKE 叢集內含 Jenkins、Git 儲存區域及 Oracle Linux Automation Manager (OLAM) 等工具,可將軟體開發、測試、部署及管理自動化
- 堡壘主機可透過內部部署網路提供從專用子網路存取,以及從網際網路存取的公用子網路存取
使用者可使用網際網路閘道存取網際網路銷售入口網站。Mythics 開發人員和管理員可使用 Tailscale 來管理企業內部部署位置的環境,進而提升安全性。內部部署網路使用 VPN IPSec 通道與連線至動態路由閘道 (DRG) 的客戶內部部署設備 (CPE) 搭配使用。Mythics 開發者可以從網際網路存取環境,使用 Tailscale (VPN 服務),保護隨時隨地都能存取的裝置與應用程式。除了使用群組、策略和網路規則之外,Tailscale 還允許 Mythics 控制邊緣網路存取,進而微調所授予的精確存取等級。例如,Mythics 開發人員可以存取 OKE 叢集和應用程式,而管理員則只能存取應用程式伺服器執行處理,在零信任存取網路中建立額外的安全層。
NAT 閘道用於與 Oracle NetSuite 整合。Oracle NetSuite CRM/ERP 會每 15 分鐘更新一次,並由一系列的 APEX 儀表板和特別報表每天進行探勘。REST API 可用來作為自動化點,並將變更從資料庫推送至 NetSuite。其他整合點則可讓 Mythics 使用應用程式作為授權協調者,透過無限制的授權合約 (ULA) 管理大型合約。
如果是災害復原,應用程式會部署在主動 - 被動組態中。美國東部地區 - 阿什本是主要區域,美國西部地區 - 鳳凰城則是災害復原 (DR) 網站。這兩個區域使用兩個 DRG 之間的遠端對等互連進行連線。當阿什本發生故障時,負載平衡器會將使用者重新導向至 DR 網站。使用 Oracle Data Guard 將資料庫從阿什本複製到鳳凰城。檔案儲存服務和物件儲存裝置從阿什本複製到鳳凰城。OCI 原生備份服務可用來備份基礎架構。
- 利用更多平台即服務 (PaaS) 選項
- 將資料庫從虛擬機器上執行的 Oracle Database Cloud Service 移轉至 Oracle Autonomous Database ,以緩解 Mythics 團隊的資料庫作業和維護
下圖說明網路與災難復原架構:
mythics-oci-architecture-oracle.zip
架構具有下列元件:
- Tenancy
租用戶是 Oracle 在您註冊 Oracle Cloud Infrastructure 時設定在 Oracle Cloud 內的安全隔離分割區。您可以在租用戶內的 Oracle Cloud 中建立、組織及管理您的資源。租用戶與公司或組織同義。通常,公司會擁有單一租用戶,並在該租用戶內反映其組織結構。單一租用戶通常與單一訂閱相關聯,單一訂閱通常只有一個租用戶。
- 地區
Oracle Cloud Infrastructure 區域是一個本地化地理區域,其中包含一或多個稱為可用性網域的資料中心。區域獨立於其他區域,而廣大的距離可以將其分開 (跨國家或大陸)。
- 區間
區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間來組織、控制存取,以及為您的 Oracle Cloud 資源設定使用配額。在指定的區間中,您可以定義控制存取及設定資源權限的原則。
- 可用性網域
可用性網域是區域內的獨立獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域不會共用基礎架構 (例如電源或冷卻系統) 或內部可用性網域網路。因此,一個可用性網域的故障不應影響該區域中的其他可用性網域。
- 容錯域
容錯網域是可用性網域內的一組硬體和基礎架構。每個可用性網域都有三個具有獨立電源和硬體的容錯域。當您將資源分散到多個容錯域時,您的應用程式可以容忍容錯域內的實體伺服器故障、系統維護和電源故障。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。與傳統的資料中心網路一樣,VCN 可讓您控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更。您可以將 VCN 區隔成子網路,此子網路可以設定區域範圍或可用性網域。每個子網路都是由連續的位址範圍組成,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。
- 路由表
虛擬路由表包含將流量從子網路路由到 VCN 外部目的地 (通常是透過閘道) 的規則。
- 安全清單
您可以為每個子網路建立安全規則,以指定必須允許進出子網路的來源、目的地和流量類型。
- 網站至網站 VPN
網站至網站 VPN 提供您內部部署網路與 Oracle Cloud Infrastructure 中 VCN 之間的 IPSec VPN 連線。IPSec 通訊協定套件會先加密 IP 流量,然後才將封包從來源傳輸到目的地,並在流量到達時將流量解密。
- 網際網路閘道
網際網路網關允許 VCN 中公共子網路與公共網際網路之間的流量。
- 動態路由閘道 (DRG)
DRG 是一個虛擬路由器,提供相同區域中 VCN 之間、VCN 與區域外網路 (例如其他 Oracle Cloud Infrastructure 區域中的 VCN、內部部署網路或其他雲端提供者中的網路) 之間的專用網路流量路徑。
- 網路位址轉譯 (NAT) 閘道
NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而無須向內送網際網路連線公開這些資源。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務,例如 Oracle Cloud Infrastructure Object Storage 。從 VCN 到 Oracle 服務的流量會透過 Oracle 網路結構傳送,不會周遊網際網路。
- 遠端連結
遠端對等互連可讓 VCN 的資源使用專用 IP 位址進行通訊,而無需透過網際網路或內部部署網路遞送流量。對於需要與不同區域中另一個 VCN 通訊的實例,遠端對等互連無需網際網路網關和公共 IP 位址。
- 負載平衡器
Oracle Cloud Infrastructure Load Balancing 服務提供從單一進入點到後端多部伺服器的自動流量分配。
- Oracle Base Database Service
Oracle Base Database Service 是一項 Oracle Cloud Infrastructure (OCI) 資料庫服務,可讓您在虛擬機器上建置、調整及管理功能齊全的 Oracle 資料庫。Oracle Base Database Service 使用 OCI Block Volumes 儲存體取代本機儲存體,並可執行 Oracle Real Application Clusters (Oracle RAC) 以提升可用性。
- 資料保全
Oracle Data Guard 和 Oracle Active Data Guard 提供一組全方位服務,可建立、維護、管理及監控一或多個待命資料庫,讓生產環境 Oracle 資料庫維持可用狀態,無須中斷。Oracle Data Guard 會使用記憶體內複製,將這些待命資料庫當作生產資料庫的複本來維護。如果生產資料庫因計畫性或非計畫性停機而無法使用,Oracle Data Guard 可以將任何待命資料庫切換至生產環境角色,將停機時間降到最低。Oracle Active Data Guard 提供額外功能,可將讀取幾乎工作負載卸載至待命資料庫,同時提供進階資料保護功能。
- 雲端保全
您可以使用 Oracle Cloud Guard 來監控和維護 Oracle Cloud Infrastructure 中資源的安全性。Cloud Guard 使用偵測器處方,您可以定義檢查資源是否有安全漏洞,並監控操作員和使用者的特定風險活動。偵測到任何組態錯誤或不安全活動時,雲端保全會根據您可以定義的回應器處方建議更正動作並協助採取這些動作。
- APEX 服務
Oracle APEX 是低程式碼開發平台,可讓您建立可擴充、功能豐富、安全的企業 App,而且可以在安裝 Oracle Database 的任何位置部署。您不需要是各種技術的專家,就能提供精密的解決方案。Oracle APEX 包含內建功能,例如使用者介面主題、瀏覽控制項、表單處理程式,以及可加速應用程式開發程序的彈性報表。
- 通知
Oracle Cloud Infrastructure Notifications 服務會透過發布 / 訂閱模式,將訊息廣播至分散式元件,針對代管於 Oracle Cloud Infrastructure 的應用程式提供安全、極為可靠、低延遲及持久的訊息。
- 記錄日誌日誌記錄是一項可高度擴展且完全託管的服務,可讓您從雲端中的資源存取下列類型的日誌:
- 稽核記錄:與「稽核」服務所發出之事件相關的記錄。
- 服務日誌:由個別服務 (例如 API 閘道、事件、函數、負載平衡、物件儲存以及 VCN 流量日誌) 發出的日誌。
- 自訂日誌:包含自訂應用程式、其他雲端提供者或內部部署環境診斷資訊的日誌。
- Kubernetes 引擎
Oracle Cloud Infrastructure Kubernetes Engine ( OCI Kubernetes 引擎或 OKE) 是完全託管、可擴展且高可用性的服務,可用來將容器化應用程式部署到雲端。您可以指定應用程式所需的運算資源,而 Kubernetes 引擎則會在現有租用戶的 Oracle Cloud Infrastructure 上佈建這些資源。OKE 使用 Kubernetes 將跨主機叢集的容器化應用程式部署、調整規模及管理自動化。
- 物件儲存
Oracle Cloud Infrastructure Object Storage 可讓您快速存取任何內容類型的大量結構化和非結構化資料,包括資料庫備份、分析資料,以及影像和影片等豐富內容。您可以安全地儲存資料,然後直接從網際網路或雲端平台內擷取資料。您可以擴展儲存體,而不會發生任何效能或服務可靠性的降低問題。針對您需要快速、立即和經常存取的「熱」儲存,使用標準儲存。針對長時間保留且極少或極少存取的「冷」儲存,使用封存儲存。
- 檔案儲存
Oracle Cloud Infrastructure File Storage 服務提供持久、可擴展、安全的企業級網路檔案系統。您可以從 VCN 中的任何裸機、虛擬機器或容器執行處理連線至檔案儲存服務檔案系統。您也可以使用 Oracle Cloud Infrastructure FastConnect 和 IPSec VPN,從 VCN 外部存取檔案系統。
- DNS
Oracle Cloud Infrastructure 網域名稱系統 (DNS) 服務是高度可擴展的全域任播網域名稱系統 (DNS) 網路,可提供增強的 DNS 效能、抗逆力和可擴展性,讓一般使用者可以從任何地方快速連線至網際網路應用程式。
- 登錄
Oracle Cloud Infrastructure Registry 是 Oracle 管理的登錄檔,可讓您簡化開發到生產的工作流程。「登錄」可讓您輕鬆儲存、共用及管理開發使用者自建物件,例如 Docker 映像檔。Oracle Cloud Infrastructure 的高可用性且可擴展的架構可確保您能夠可靠地部署和管理應用程式。