NetFoundry:Oracle Cloud Infrastructure 上的 Kubernetes 整合
NetFoundry 的零信任網路與 OCI Kubernetes Engine 整合,以降低設定和管理專用企業級 Kubernetes 叢集的作業負擔。
NetFoundry 和 Oracle 意識到連線至您的 Kubernetes 叢集及其生態系統非常複雜,因此 NetFoundry 可讓您在遵守下列 Oracle 最佳實務設計原則的同時進行連線:
-
預設安全: OCI Kubernetes 引擎依照企業安全最佳做法強化 Kubernetes 叢集。
-
簡化的 Kubernetes 作業: OCI Kubernetes 引擎可管理您的叢集資源,並自動化循環的 Kubernetes 管理和擴展任務。
-
高效能:容器化應用程式會透過 Oracle Cloud Infrastructure 的非封鎖網路,在高效能運算資源上執行。
架構
接著,您可以將 NetFoundry 網路中的端點指定給代管 Kubernetes 叢集內可連線的任何叢集服務,例如 kubectl 使用的 Kubernetes API,或任何叢集內部 IP 或叢集 DNS 所參照的 Pod 或服務,以便向 NetFoundry 從屬端端點公開。
下圖說明此參考架構。
netfoundry-kubernetes-oci.png 圖解描述
netfoundry-kubernetes-oci-oracle.zip
- 地區
Oracle Cloud Infrastructure 區域是一個本地化地理區域,其中包含一或多個代管可用性網域的資料中心。區域獨立於其他區域,而廣大的距離可以將其分開 (跨國家或大陸)。
此架構中的所有資源都部署在單一區域中。
- Identity Cloud Service (請勿使用)
Oracle Identity Cloud Service 為廣泛的 SaaS 和內部部署應用程式提供身分識別管理、單一登入 (SSO) 和身分識別治理。
- 雲端保全
您可以使用 Oracle Cloud Guard 來監控和維護 Oracle Cloud Infrastructure 中資源的安全性。Cloud Guard 使用偵測器處方,您可以定義檢查資源是否有安全漏洞,並監控操作員和使用者的特定風險活動。偵測到任何組態錯誤或不安全活動時,雲端保全會根據您可以定義的回應器處方建議更正動作並協助採取這些動作。
- 監督
Oracle Cloud Infrastructure Monitoring 主動和被動監控您的雲端資源,並在度量符合指定的觸發條件時,使用警報通知您。
- 可用性網域
可用性網域是區域內的獨立獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域不會共用基礎架構,例如電源或冷卻系統,也不會共用內部可用性網域網路。因此,一個可用性網域的故障不應影響該區域中的其他可用性網域。
- VCN 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。與傳統的資料中心網路一樣,VCN 可讓您控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更。您可以將 VCN 區隔成子網路,此子網路可以設定區域範圍或可用性網域。每個子網路都是由連續的位址範圍組成,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。
此架構使用單一 VCN,為負載平衡器、Web 伺服器、應用程式伺服器及資料庫提供不同的子網路。
- 網際網路閘道
網際網路網關允許 VCN 中公共子網路與公共網際網路之間的流量。
- 路由表
虛擬路由表包含將流量從子網路路由到 VCN 外部目的地 (通常是透過閘道) 的規則。
- 安全清單
您可以為每個子網路建立安全規則,以指定允許進出子網路的來源、目的地和流量類型。
- Kubernetes 引擎
Oracle Cloud Infrastructure Kubernetes Engine ( OCI Kubernetes 引擎或 OKE) 是完全託管、可擴展且高可用性的服務,可用來將容器化應用程式部署到雲端。您可以指定應用程式所需的運算資源,而 Kubernetes 引擎則會在現有租用戶的 Oracle Cloud Infrastructure 上佈建這些資源。OKE 使用 Kubernetes 將跨主機叢集的容器化應用程式部署、調整規模及管理自動化。