開始使用已妥善封存的 OCI 登陸區
有兩個 OCI 登陸區可供您選擇:
- 核心登陸區
核心登陸區包含可處理各種工作負載的藍圖,適用於您組織內的集中式作業
- 作業實體登陸區
作業實體登陸區包含透過分散式作業將您的作業實體 (OE)、組織及合作夥伴及其工作負載上線的藍圖。有三個不同大小的不同藍圖可供使用:(M) One-OE、(L) - Multi-OE 及 (XL) - Multi-Tenancy。
所有 OCI 登陸區藍圖都已可供使用,只要按一下即可部署,或者您也可以使用它們作為建立自訂模型的參考。它們符合 CIS 規範,適用於附加元件和工作負載,並涵蓋所有安全性、網路和可觀察性雲端服務。這全都屬於 OCI Landing Zone 架構的一部分,在 GitHub 上免費提供。
總而言之,OCI Landing Zones 提供了健全的部署策略,以導入 Oracle Cloud Infrastructure 最佳實務的健康架構,確保組織能夠從一開始就具有彈性、符合規範且符合成本效益的安全雲端環境,減少上線工作並加速生產時間。
關於登陸區和 OCI 封存井產品組
安全性和合規性
安全性是建置雲端架構時最重要的考量之一,而 OCI Landing Zones 的設計具有核心安全性。
CIS OCI Benchmark 是 OCI Landing Zones Framework 的主要規範元素,包含在所有藍圖、工作負載和模組中。OCI 登陸區提供強制執行安全最佳做法所需的自動化功能,而且可以根據 CIS OCI 基準進行驗證。
-
識別與存取管理
每個藍圖都會設定其 OCI Identity and Access Management (IAM),建立一個可理解的區間結構,相關 OCI 群組與原則一起提供職責區分。此外,也會建立識別網域,將緊急處理使用者與其他類型的使用者隔離。
-
網路安全
每個藍圖都使用 OCI 虛擬雲端網路 (VCN) 和子網路,以網路隔離方式設定及部署集線器和網輻式網路拓樸。不同的 VCN 會鎖定不同的網路區域。也會為這些元素建立安全清單和網路安全群組 (NSG)。中樞區域包含共用網路元素,例如動態路由閘道 (DRG)、網路防火牆、負載平衡器、VPN、 OCI FastConnect ,或用於連線的專用端點。閘道也會根據網路區域在 VCN 層次定義,以保護 OCI 輸入或輸出通訊的安全。
Terraform 模組層級也提供零信任封包路由 (ZPR),可設定您的網路安全覆蓋。
-
加密
雲端中的所有機密資料應予以加密。OCI Landing Zones 會自動設定 OCI 的加密服務,確保靜態和傳輸中資料經過加密。Terraform 模組可確保在所有元件 (包括區塊儲存和資料庫) 套用加密最佳做法,以降低安全風險。
-
安全監督
所有登陸區的藍圖都是使用 Oracle Cloud Guard 和 Oracle Security Zones 做好準備並預先設定。這些服務會持續評估環境的安全性狀態,確保自動偵測及修正任何錯誤的組態或漏洞。透過使用這些安全監控工具,您可以即時主動管理安全風險。同時也會建立含有警示的 OCI 事件、 OCI 日誌記錄及 OCI 通知,因此有兩天的端對端可觀察性。
-
營運安全性
由於 Terraform 模組是一般模組,因此可以接收 JSON 或
.tfvars
檔案形式的任何 OCI 組態。此方式表示組態沒有程式碼和程式碼沒有組態,這可讓雲端作業沒有觸控程式碼,而編碼器無法接觸雲端組態的作業安全性。此方法也可讓您使用版本控制的作業模型,例如 GitOps,其中組態是基礎架構的事實來源。
可靠性與韌性
-
高可用性與災難復原
登陸區設定了一些可以利用多個可用性網域 (AD) 的服務,而且可以在多個區域之間部署登陸區。此多區域設定有助於確保如果某個區域中的資源發生故障,則另一個 OCI 登陸區會部署在另一個區域中,以便與鏡射的資源一起執行。
-
容錯移轉
透過設定容錯網路組態和使用負載平衡等功能,登陸區可協助確保即使個別執行處理或服務失敗,服務仍可繼續使用。
效能效率與成本最佳化
OCI 的效能效率不斷提升,以確保雲端資源能夠以最佳方式使用,以滿足效能需求。OCI Landing Zones 使用自動化擴展、資源適當地調整規模和效能監控,結合效能效率實務。
成本最佳化可協助確保雲端環境能夠有效率地使用資源、減少浪費並避免不必要的成本。OCI Landing Zones 透過自動化符合成本效益的做法並提供對資源使用率的可見性來支援此支柱。
-
效能監控與最佳化
OCI Landing Zones 會自動整合 OCI Monitoring 以提供即時效能見解。您可以使用這些工具來監控雲端環境是否有效能瓶頸、最佳化資源配置,以及進行調整以維持高應用程式效能。
-
成本控制
OCI 登陸區可自動設定預算和成本追蹤,以確保支出保留在預算內。這有助於您保持對雲端成本的可見性,讓您避免意外發生並最佳化資源使用情況。
-
資源標記與成本配置
登陸區會設定資源標記以進行詳細的成本分攤與可見性。標記可套用至不同的部門、應用程式或專案,讓您能夠更有效地追蹤和管理成本。
作業效率
-
基礎架構即程式碼 (IaC)
Landing Zones 運用 Terraform,這是 IaC 的廣泛採用工具。此方法可確保所有基礎架構都可重複、由版本控制且可維護,進而降低人為錯誤的風險,並確保多個環境之間的一致性。此外還有一組可理解的模組,如先前在作業安全主題中所述,此方法也可讓您使用高度可擴充的版本控制作業模型,例如 GitOps,其中組態是基礎架構的事實來源。
-
自動化部署
登陸區支援自動佈建完整、安全且合規的 OCI 環境,包括網路組態、身分識別管理和治理。這樣就不需要手動設定、加速部署,以及降低營運複雜性。
-
監督與記錄日誌
登陸區將部署 OCI 監控和 OCI 記錄,讓您能夠自動導入強大的監控和記錄。透過集中監控跨雲端服務,管理員可以取得基礎架構的即時洞察力、提早偵測問題,並採取更正動作,提升營運卓越性。
-
可調整性與彈性
登陸區可以適應各種組織需求,從小型環境到大型企業系統。此彈性可讓組織維持高作業標準,即使在規模調整也一樣。
進一步瞭解
- 引進新的標準化 OCI Landing Zones 架構,讓您更容易上線至 OCI (部落格)
- OCI 登陸區架構 (GitHub)
- OCI 核心登陸區 (GitHub)
- OCI 作業實體登陸區 (GitHub)
- 快速部署 OCI 核心登陸區。前往
。
- 快速部署 OCI 作業實體登陸區。前往
。