1. 藉由 Oracle Cloud for Government 擴充 DoD 認證洞穴
  2. 藉由 Oracle Cloud for Government 擴充 DoD 認證洞穴

藉由 Oracle Cloud for Government 擴充 DoD 認證洞穴

Oracle Cloud for Government 以雲端創新和抗逆力的美國國防部 (DoD) 為全球的優勢。Defense Research and Engineering Network (DREN) 將 Oracle Cloud Infrastructure (OCI) 導入為 DREN 使用者的商業雲端運算功能,分類為 DoD IL5。OCI 阿什本 VA 區域 (東部) 有兩個 DREN 交叉連接,兩個與 OCI 鳳凰城 AZ 區域 (西部) 的交叉連接。

DREN 在定義的服務提供點 (SDP) 之間提供強大的高容量和低延遲的網路連線數位、影像、視訊和音訊資料傳輸服務 (稱為「傳輸」)。來自連接超過 500 名目前活躍客戶的軍事安裝基地中,有超過 200 個 SDP,包括 Defense Labs、DoD Research、Develop、Test and Evaluation (RDT&E)、 Acquisition Engineering (AE) 社群、HPCMP (高效能運算方案) 以及所有 5 個國防超級運算資源中心 (DSRC)。

這些 DSRC 能為 DoD 科學家和工程師提供超級運算功能,以及解決最嚴苛運算問題所需的資源。目前版本的 DREN 上所有這些 DSRC (稱為 DREN III) 共同提供下列各項:
  • 支援全球最大型計算專案。
  • 每年可彙總 45 億顆處理器的運算能力,以及超過 40 petaFLOPS 的運算能力 (超級運算能力)。
  • 以超過 100 PB 的聚總儲存功能維護大量儲存封存。
  • 將使用者透過高速網路連線至 HPC 系統,速度可達 40 GB/ 秒。

架構

此參照架構說明任務擁有者與 DOD DREN 如何藉由將現有的主機擴充到 Oracle Cloud,進而充分利用其現有的基礎架構、服務、流程及認證。使用此架構來探索、製作原型及試驗 Oracle Cloud 中的各種應用系統,並獲得可滿足雲端開發或測試專案任何需求的作業體驗。

關鍵任務擁有者也可以運用 Oracle Cloud 的下列優點:
  • 這是一個全方位的基礎架構即服務 (IaaS) 與平台即服務 (PaaS) 功能組合。Oracle 的第 2 代架構和基礎架構可提升安全性、效能,以及降低與其他雲端服務提供者相比的總持有成本。它提供了第一個原生裸機伺服器基礎架構,並透過頻外網路虛擬化管理,結合創新的安全隔離強制執行。
  • 改進簡介,例如新一代的 Intel、AMD 或 ARM 處理器,核心速度更快、儲存容量與速度更高的儲存磁碟區,以及低延遲的網路。這包括像是 GPU 和 RoCE 網路的特殊硬體,可讓 HPC 和 AI 工作負載或 Exadata Cloud Service 實現極致效能、高可靠性的關聯式資料庫工作負載。
  • 使用開放標準和開放原始碼技術,來支援資料管理、整合與分析工作負載,實現 DoD 數位現代化。Oracle 業界唯一雲端合作夥伴關係 (包括透過 Oracle VMware Cloud Service 與 VMWare) 可大幅提升雲端移轉的速度,同時更低複雜。
  • 唯一提供效能及管理服務等級承諾的商業雲端服務提供者。
  • 「任何事物皆遵循」政策,說明我們商業雲中提供的相同服務的所有 Oracle 區域都存在。所有區域 (包括商業、DoD 及分類區域) 的 Oracle Cloud 服務價格相同,但隨著任務擁有者移動機密應用程式負載而降低任何價格。
  • Oracle FastConnect 可透過可靠的專屬私有、高頻寬連線,協助將 DREN 網路連線至 Oracle Cloud 網路。FastConnect 客戶每月支付低廉的固定費用,無須額外進行資料輸入 / 傳出費用,即可提供業界最低的網路成本。
在此參照架構中,任務擁有者可以透過本機環境與區塊直接網際網路存取,將 Oracle Virtual Cloud Network (VCN) 安全地連結至本機環境,並強制從 Oracle Cloud 租用戶進行路由。任務負責人可以使用現有的:
  • 本機 enclave (如果可能) 的 IP 位址空間和 DNS 網域,並將 CIDR (IP 空間) 延伸至 Oracle Cloud。
  • 使用自備授權 (BYOL) 為企業導入的安全性結構,並將現有的安全堆疊運用至 Oracle Cloud。
  • 內部部署環境使用的基礎架構服務。若使用 Oracle Cloud 的最低權限安全性原則,可通過現有的備援安全堆疊之外的所有存取。已更新 Enclave 認證以反映額外的「網站」。

下圖說明此參照架構。

oci-dod-dren-arch.png 的描述如下
oci-dod-dren-arch.png 圖解的描述

oci-dod-dren-arch-oracle.zip

以下小節描述參照架構:
  • 任務擁有者可透過 OCI 主要和次要路由器,透過 DREN 雲端存取點 (CAPS) 連線至政府的 Oracle Cloud。
  • OCI 動態路由閘道 (DRG 2.0) 提供「任務擁有者」租用戶的傳入。DRG 可將任務擁有者租用戶等同於其企業內部部署網路。
  • 每個環境都會取得專用的 VCN。所有基礎架構、安全服務及程序都來自於環境。VCN 的唯一輸出就是要包含 (不會有其他直接網際網路、OCI 或國防部資訊網路 (DoDIN) 存取) 的 VLAN。
  • 身分識別與存取管理 (IAM) 會藉由在使用者群組上套用原則,保護任務擁有者在範圍中的各個區域之間租用戶。
  • 安全清單會保護子網路層次的路由,並且會新增至個別子網路內的所有資源安全。
  • 區間可用於為任務擁有者新增安全性和管理性,透過 IAM 原則隔離資源和限制資源存取。
  • 網路安全群組 (NSG) 會套用自訂規則來僅允許「允許的」流量,以保護任務擁有者的租用戶。NSG 會套用至資源層次。

架構具有下列元件:

  • 租用戶

    Oracle Government Cloud 租用是 OCI 內的安全隔離分割區,您可以在其中建立、組織及管理您的雲端資源。

  • 區域

    Oracle Cloud Infrastructure 區域是一個局部地理區域,其中包含一或多個資料中心 (稱為可用性網域)。區域獨立於其他區域,而且很大距離可加以區隔 (跨國家或甚至是大陸)。

  • 區間

    區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間組織 Oracle Cloud 中的資源、控制對資源的存取,以及設定使用配額。若要控制對指定區間中資源的存取,您可以定義原則,指定誰可以存取資源以及可執行的動作。區間可為任務擁有者新增安全性與管理性,透過 IAM 原則隔離資源並限制資源存取。

  • 虛擬雲端網路 (VCN) 和子網路

    VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可客製化的軟體定義網路。與傳統的資料中心網路一樣,VCN 會提供您完整的網路環境控制。VCN 建立 VCN 之後,便可以有多個非重疊的 CIDR 區塊。您可以將 VCN 區隔到子網路,成為區域或可用性網域的範圍。每個子網路都會包含連續的位址範圍,而不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用子網路。

  • 安全清單

    對於每個子網路,您可以建立安全規則,指定必須進出子網路的來源、目的地和流量類型。

  • 路由表

    虛擬路由表包含將流量從子網路遞送至 VCN 外部 (通常透過閘道) 的規則。

  • 動態路由閘道 (DRG)

    DRG 是一個虛擬路由器,可提供 VCN 與區域外部網路 (例如另一個 Oracle Cloud Infrastructure 區域、內部部署網路或另一個雲端提供者中的網路) 之間專用網路流量的路徑。

  • 雲端保全

    您可以使用 Oracle Cloud Guard 監視及維護 Oracle Cloud Infrastructure 中資源安全性。「雲端保全」使用偵測器方法,您可以定義它來檢查您的資源是否有安全性漏洞,以及監督操作員與使用者是否有危險活動。偵測到任何組態錯誤或不安全活動時,「雲端保全」會建議更正動作,並根據您可以定義的回應器方法協助採取這些動作。

  • 安全區域

    安全區域藉由強制實行原則 (例如加密資料),以及防止對整個區間的網路進行公用存取),確保 Oracle 安全最佳做法從一開始就開始。安全區域與相同名稱的區間關聯,且包括套用至區間及其子區間的安全區域原則或「資源回收」。您無法將標準區間新增至安全區域區間。

  • FastConnect

    Oracle Cloud Infrastructure FastConnect 提供簡單的方式,可在您的資料中心與 Oracle Cloud Infrastructure 之間建立專屬的私密連線。與網際網路連線相比,FastConnect 提供更高的頻寬選項和更可靠的網路體驗。

  • 本機對等互連閘道 (LPG)

    LPG 可讓您將 VCN 與相同區域中另一個 VCN 對等互連。對等互連意味著 VCN 使用專用 IP 位址進行通訊,無需透過企業內部部署網路周遊網際網路或路由。

建議

使用下列建議作為起點。您的需求可能與此處描述的架構不同。
  • VCN

    建立 VCN 時,請根據您要連附至 VCN 子網路的資源數目,判斷所需的 CIDR 區塊數目和每個區塊的大小。使用位於標準專用 IP 位址空間內的 CIDR 區塊。

    選取不想與任何其他網路 (在 Oracle Cloud Infrastructure、您的企業內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊,以設定專用連線。

    建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。

    設計子網路時,請考慮您的流量和安全需求。將特定層或角色內的所有資源連附至相同的子網路,可作為安全界限。

  • 安全

    運用 Oracle Cloud Guard 主動監控及維護 Oracle Cloud Infrastructure 中資源的安全。雲端保全使用偵測器方法,您可以定義這些方法來檢查您的資源是否有安全性漏洞,以及監督操作員和使用者的危險活動。偵測到任何組態錯誤或不安全活動時,「雲端保全」會建議更正動作,並根據您可以定義的回應器方法協助採取這些動作。

    對於需要最高安全性的資源,Oracle 建議您使用安全區域。安全區域是一個與 Oracle 定義的安全原則方法關聯的區間,以最佳做法為基礎。例如,安全區域中的資源必須無法從公用網際網路存取,且必須使用客戶管理的金鑰進行加密。當您在安全區域中建立及更新資源時,Oracle Cloud Infrastructure 會根據安全區域方法中的原則來驗證作業,以及拒絕違反任何原則的作業。

  • 雲端保全

    複製並自訂 Oracle 提供的預設方法,以建立自訂偵測器和回應器方法。這些方法可讓您指定產生警告的安全違規類型,以及允許對它們執行哪些動作。例如,您可能會想要偵測的可見性設為公用的物件儲存的儲存桶。

    在租用戶層級套用雲端保全以涵蓋最廣泛的範圍,並減少維護多個組態的管理負擔。您也可以使用「受管理清單」功能,將某些組態套用至偵測器。

  • 安全區域

    複製並自訂 Oracle 提供的預設方法,以建立自訂偵測器和回應器方法。這些方法可讓您指定產生警告的安全違規類型,以及允許對它們執行哪些動作。例如,您可能會想要偵測的可見性設為公用的物件儲存的儲存桶。

    在租用戶層級套用雲端保全以涵蓋最廣泛的範圍,並減少維護多個組態的管理負擔。

    您也可以使用「受管理清單」功能,將某些組態套用至偵測器。

  • 網路安全群組 (NSG)

    您可以使用 NSG 定義一組套用至特定 VNIC 的傳入和傳出規則。NSG 可讓您使用 NSG 而非安全清單,因此建議您使用 NSG 區隔 VCN 的子網路架構和應用程式的安全需求。

注意事項

建置此參照架構時,請考量以下各點。

  • 效能

    FastConnect 可透過專屬、專用且高頻寬連線,從企業內部部署資料中心直接連線至 OCI。FastConnect 可讓您以簡單且經濟的方式建立頻寬較大的專屬私有連線。如果需要更快的速度,請考慮較大的頻寬。連接埠速度可使用 10 Gbps 和 100 Gbps。

  • 安全

    在 FastConnect 上運用 MacSec Encryption (MACSec),保護 Layer2 上的網路連線。有了 MACSec,您就可以選擇 AES 加密演算法,在兩個連線的網路之間交換並驗證 2 個安全金鑰,然後建立安全的雙向連結。Vault 服務可安全地儲存加密金鑰。

探索更多

若要深入瞭解 Oracle Cloud for Government,請檢閱下列其他資源:

致謝

  • 作者:Aditya Uppu、Rakesh Kumar
  • 提供者:Anupama Pundpal,Robert Lies