1. 在 Oracle Cloud 上設計安全的可觀測性與管理區間結構
  2. 在 Oracle Cloud 上設計安全的可觀察性和管理區間結構

在 Oracle Cloud 上設計安全的可觀察性和管理區間結構

可觀測性與管理服務是雲端基礎架構解決方案的骨幹,提供對系統可用性、效能及安全態勢的關鍵監控和可觀察性洞察力。

Oracle Cloud Infrastructure 內安全有效的可觀察性和管理區間組織的設計,是解決這些重要性的策略性努力。區間結構可作為有效雲端資源和資料組織、存取控制治理的基礎。此參考架構是使用 Oracle Cloud 的最佳實務所設計,可全面檢視系統的運作狀況、行為及風險。其目的是為利益關係人提供可行的智慧,促成即時且明智的決策。

架構

此參考架構概述設計 Oracle Cloud Observability and Management Platform 區間的重要元件和方法,該區間提供雲端生態系統的安全性、抗逆力和操作性。

下圖說明此 Oracle Cloud Observability and Management Platform 區間參照架構。


oracle-cloud-observability-arch.png 的描述如下
oracle-cloud-observability-arch.png 圖解描述

oracle-cloud-observability-arch-oracle.zip

此區間設計反映了跨不同組織觀察到的基本功能結構,其中 IT 職責通常在網路、安全性、應用程式開發及資料庫管理員之間分開。此參照架構中的資源會在下列區間中佈建:
  • 適用於所有「可觀測性與管理」服務度量與資源的 Oracle Cloud Observability and Management Platform 區間,以及度量命名空間儲存區域。
  • 適用於所有網路資源的網路區間,包括所需的網路閘道和網路相關日誌資料。
  • 安全和事件記錄日誌、金鑰管理以及安全相關日誌的安全區間。
  • 應用程式相關服務的應用程式區間,包括運算、儲存、函數、串流、Kubernetes 節點、API 閘道和應用程式相關日誌。
  • 適用於所有資料庫資源和資料庫相關日誌的資料庫區間。
  • 包含上述所有區間的選擇性內含區間。

此架構具有下列元件:

  • 租用戶

    租用戶是 Oracle 在您註冊 Oracle Cloud Infrastructure 時在 Oracle Cloud 內設定的安全隔離分割區。您可以在您租用戶的 Oracle Cloud 中建立、組織及管理您的資源。租用戶與公司或組織同義字。通常,公司會有單一租用戶,並反映該租用戶內的組織結構。單一租用戶通常與單一訂閱關聯,而單一訂閱通常只有一個租用戶。

  • 原則

    Oracle Cloud Infrastructure Identity and Access Management 原則指定誰可以存取哪些資源以及存取方式。存取權是在群組和區間層次授予,這表示您可以編寫原則,讓群組在特定區間或租用戶中擁有特定類型的存取權。

  • 區間

    區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間組織您在 Oracle Cloud 中的資源、控制對資源的存取,以及設定使用配額。若要控制對指定區間中資源的存取,您必須定義原則,指定能夠存取資源的人員及其可執行的動作。

  • 監督

    Oracle Cloud Infrastructure Monitoring 服務使用指標主動和被動監控您的雲端資源,以監控資源和警報,在這些指標符合警報指定的觸發器時通知您。

  • 警訊

    「監控」服務的「警訊」功能可與設定的目的地服務搭配運作,以在度量符合警示指定的觸發程式時通知您。

  • 記錄日誌
    日誌記錄是一種可高度擴展且完全受管理的服務,可讓您從雲端資源存取下列類型的日誌:
    • 稽核日誌:與稽核服務所發出之事件相關的日誌。
    • 服務日誌:由個別服務 (例如 API 閘道、事件、函數、負載平衡、物件儲存以及 VCN 流量日誌) 傳送的日誌。
    • 自訂日誌:包含自訂應用程式、其他雲端提供者或內部部署環境之診斷資訊的日誌。
  • 事件

    Oracle Cloud Infrastructure 服務會發出事件,這些事件是描述資源變更的結構化訊息。系統會發出事件來建立、讀取、更新或刪除 (CRUD) 作業、資源週期狀態變更,以及影響雲端資源的系統事件。

  • 服務連線器

    Oracle Cloud Infrastructure Service Connector Hub 是一個雲端訊息匯流排平台,可協調 OCI 中服務之間的資料移動。您可以使用服務連線器將資料從來源服務移至目標服務。服務連接器也可讓您選擇性地指定要在資料上執行的工作 (例如函數),然後再傳遞到目標服務。

    您可以使用 Oracle Cloud Infrastructure Service Connector Hub,為安全性資訊和事件管理 (SIEM) 系統快速建置記錄彙總架構。

  • 通知

    Oracle Cloud Infrastructure Notifications 服務會透過發布 / 訂閱模式將訊息廣播至分散式元件,針對代管於 Oracle Cloud Infrastructure 上的應用程式,提供安全、極為可靠、低延遲及持久的訊息。

  • 串流處理

    Oracle Cloud Infrastructure 串流處理提供完全管理、可擴展且持久的儲存解決方案,可讓您擷取連續的大量資料串流,並即時加以使用及處理。您可以使用「串流處理」來擷取大量資料 (例如應用程式日誌、作業遙測、Web 按一下串流資料);或用於在發布 / 訂閱訊息傳遞模型中以持續且循序方式產生及處理資料的其他使用案例。

  • 資料庫管理

    資料庫管理為 Oracle Databases 和 MySQL HeatWave 資料庫系統提供全方位的資料庫效能診斷和管理功能。此外,您可以使用資料庫管理來尋找及監督內部部署的 Oracle Database System (外部資料庫系統) 元件和 Exadata 儲存基礎架構。

  • Operations Insights
    Oracle Cloud Infrastructure Operations Insights 是一項 OCI 原生服務,提供資料庫和主機資源使用量和容量的全面洞察分析。您可以使用作業洞察分析:
    • 分析整個企業中資料庫和主機的資源使用狀況。
    • 根據歷史趨勢預測資源的未來需求。
    • 比較所有資料庫的 SQL 效能並識別常見的樣式。
    • 識別整個企業資料庫的 SQL 效能趨勢。
    • 分析一組資料庫效能、診斷以及調整的 AWR 統計資料。
    • 建立並接收每週「新聞報表」,讓您瞭解資料庫、主機以及 Exadata 系統機組的新使用率高值、大使用率變更以及產品目錄變更。
  • 應用程式效能監督

    Oracle Cloud Infrastructure Application Performance Monitoring 可讓您深入瞭解應用系統的效能,並快速診斷問題,以提供一致的服務等級。這包括監控分散在用戶端、第三方服務和後端運算層的多個元件和應用程式邏輯,包括就地部署或雲端。

  • 堆疊監控

    堆疊監控可讓您主動監控應用程式及其基礎應用程式堆疊,包括應用程式伺服器和資料庫。一開始會先尋找應用程式的所有元件,包括應用程式拓樸。發現之後,它會自動收集所有應用程式元件的狀態、載入、回應、錯誤和使用狀況測量結果。

  • 日誌記錄分析

    Oracle Logging Analytics 是 Oracle Cloud Infrastructure 中的一個雲端解決方案,可讓您從雲端或內部部署的應用程式和系統基礎架構對所有日誌資料進行索引、強化、聚總、探索、搜尋、分析、關聯、視覺化及監控。

  • Management Agent

    「管理代理程式 (代理程式)」可讓服務 Plug-in 從您安裝「管理代理程式」的主機收集資料。它可以使用管理代理程式雲端服務直接連線至 Oracle Cloud Infrastructure。「管理代理程式」安裝在主機上。它會監督和收集位於主機或虛擬主機上的來源資料。

  • 管理代理程式閘道

    Management Agent Cloud Service (MACS,亦稱為 Management Agent 服務) 是來自 Oracle Cloud Infrastructure 的雲端服務。它會管理「管理代理程式」及其週期。管理代理程式可讓 Oracle Cloud 服務從受其管理的實體互動及收集資料。

  • 管理儀表板
    「管理儀表板」可讓您在 Oracle Cloud Infrastructure 平台、基礎架構及應用程式資源上建置效能監控、診斷及資料分析解決方案。它具有強大的資料視覺化選項,可收集即時和歷史資料並將其顯示在小工具中。您可以在下列 Oracle Cloud Infrastructure Observability and Management 服務中使用「管理儀表板」:
    • 應用程式效能監督
    • 資料庫管理
    • 日誌記錄分析
    • 管理代理程式
    • 作業洞察分析
  • 虛擬雲端網路 (VCN) 和子網路

    VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。就像傳統的資料中心網路一樣,VCN 也可讓您控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後加以變更。您可以將 VCN 分割成子網路,子網路可以限定為區域或可用性網域。每個子網路都是由不與 VCN 中其他子網路重疊的連續位址範圍所組成。您可以在建立子網路後變更其大小。子網路可以是公用或專用。

  • 網際網路閘道

    網際網路閘道允許 VCN 中公用子網路與公用網際網路之間的流量。

  • 動態路由閘道 (DRG)

    DRG 是一個虛擬路由器,可在 VCN 與區域外部網路之間 (例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、內部部署網路或其他雲端提供者中的網路) 提供相同區域 VCN 之間的專用網路流量路徑。

  • 網路位址轉譯 (NAT) 閘道

    NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不會對內送網際網路連線暴露這些資源。

  • 服務閘道

    此服務閘道可讓您從 VCN 存取其他服務,例如 Oracle Cloud Infrastructure Object Storage 。從 VCN 到 Oracle 服務的流量會透過 Oracle 網路結構傳送,而不會周遊網際網路。

  • Oracle Services Network

    Oracle Services Network (OSN) 是 Oracle Cloud Infrastructure 中為 Oracle 服務保留的概念性網路。這些服務具有可透過網際網路連線的公用 IP 位址。Oracle Cloud 外部的主機可以使用 Oracle Cloud Infrastructure FastConnect 或 VPN Connect 以私密方式存取 OSN。您 VCN 中的主機可以透過服務閘道以私密方式存取 OSN。

  • 網路安全群組 (NSG)

    網路安全群組 (NSG) 可作為雲端資源的虛擬防火牆。透過 Oracle Cloud Infrastructure 的零信任安全模型,所有流量都會被拒絕,您可以控制 VCN 內的網路流量。NSG 由一組傳入和傳出安全規則組成,這些規則只適用於單一 VCN 中的一組指定 VNIC。

  • Vault

    Oracle Cloud Infrastructure Vault 可讓您集中管理加密金鑰,以保護您的資料,以及用於保護對雲端資源存取安全性的秘密憑證。您可以使用保存庫服務來建立及管理保存庫、金鑰以及加密密碼。

  • 雲端保全

    您可以使用 Oracle Cloud Guard 來監控及維護 Oracle Cloud Infrastructure 中資源的安全性。Cloud Guard 使用偵測器處方,您可以定義這些處方來檢查資源是否有安全漏洞,以及監控操作員和使用者是否有危險的活動。偵測到任何組態錯誤或不安全的活動時,Cloud Guard 會建議更正動作,並根據您可以定義的回應器處方協助採取這些動作。

  • 安全區域

    安全區域一開始便會強制執行加密資料等原則,以及防止對整個區間的網路進行公用存取,以確保 Oracle 的安全最佳做法。安全區域與相同名稱的區間關聯,包括適用於區間及其子區間的安全區域原則或「處方」。您無法新增或移動標準區間至安全區域區間。

  • 漏洞掃描服務

    Oracle Cloud Infrastructure 漏洞掃描服務透過定期檢查連接埠和主機是否有潛在的漏洞,協助改善 Oracle Cloud 中的安全性狀態。此服務會產生含有這些漏洞之度量和詳細資訊的報表。

  • 堡壘主機服務

    Oracle Cloud Infrastructure 堡壘主機針對沒有公用端點且需要嚴格資源存取控制 (例如裸機和虛擬機器、Oracle MySQL Database ServiceAutonomous Transaction Processing (ATP)、Oracle Container Engine for Kubernetes (OKE) 的資源,以及允許 Secure Shell Protocol (SSH) 存取的任何其他資源,提供受限且受時間限制的安全存取。有了 Oracle Cloud Infrastructure 堡壘主機服務,您就可以存取專用主機,無需部署和維護跳板主機。此外,您還可以透過識別型權限以及集中式、稽核式和時間導向 SSH 階段作業來改善安全態勢。Oracle Cloud Infrastructure 堡壘主機不需要公用 IP 進行堡壘主機存取,因此在提供遠端存取時,可免除麻煩和潛在攻擊面。

  • 物件儲存

    物件儲存可讓您快速存取各種內容類型的大量結構化和非結構化資料,包括資料庫備份、分析資料,以及豐富的內容 (例如影像和影片)。您可以安全地儲存資料,然後直接從網際網路或雲端平台內擷取資料。您可以擴展儲存體,而不會發生任何效能或服務可靠性的降低。針對快速、立即且經常存取的「熱」儲存體,使用標準儲存體。將封存儲存用於保留很長一段時間、極少或極少存取的「冷」儲存。

  • Kubernetes 的容器引擎

    Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE) 是一項完全託管、可擴展且高可用性的服務,可用來將容器化應用系統部署至雲端。您可以指定應用程式所需的運算資源,而 Container Engine for Kubernetes 則會在現有租用戶的 Oracle Cloud Infrastructure 上佈建這些資源。Container Engine for Kubernetes 使用 Kubernetes 將跨主機叢集的容器化應用程式部署、擴展和管理自動化。

  • 計算

    Oracle Cloud Infrastructure Compute 服務可讓您在雲端佈建及管理運算主機。您可以使用資源配置啟動運算執行處理,以滿足您對 CPU、記憶體、網路頻寬及儲存的資源需求。建立運算執行處理之後,您可以安全地存取、重新啟動、連附和卸離磁碟區,以及在不再需要運算執行處理時將其終止。

  • 自治式資料庫

    Oracle Cloud Infrastructure 自治式資料庫是完全受管理的預先設定資料庫環境,可用於交易處理和資料倉儲工作負載。您不需要設定或管理任何硬體,也不需要安裝任何軟體。Oracle Cloud Infrastructure 負責建立資料庫,以及備份、打補丁、升級和調校資料庫。

  • 專用基礎架構上的 Exadata 資料庫

    Exadata Cloud Infrastructure 可讓您在雲端運用 Exadata 的強大功能。您可以佈建彈性的 X8M 和 X9M 系統,讓您可以隨著需求成長將資料庫運算伺服器和儲存伺服器新增至系統。X8M 和 X9M 系統為高頻寬和低延遲、永久記憶體 (PMEM) 模組和智慧型 Exadata 軟體提供 RDMA over Converged Ethernet (RoCE) 網路。您可以使用相當於四分之一機架 X8 或 X9M 系統的資源配置來佈建 X8M 和 X9M 系統,然後可以在佈建之後,隨時新增資料庫和儲存體伺服器。

  • Oracle Base Database Service

    Oracle Base Database Service 可讓您在使用 Oracle Database 與 Oracle Cloud Infrastructure 的結合功能時,對資料保持絕對的掌控。Oracle Base Database Service 提供虛擬機器上的資料庫系統 (DB 系統)。您可以在 Oracle Cloud Infrastructure (OCI) 上以單一節點資料庫系統和多節點 RAC 資料庫系統的方式提供這些資料庫系統。

  • 檔案儲存體

    Oracle Cloud Infrastructure File Storage 服務提供持久、可擴展、安全的企業級網路檔案系統。您可以從 VCN 中的任何裸機、虛擬機器或容器執行處理連線至檔案儲存服務檔案系統。您也可以使用 Oracle Cloud Infrastructure FastConnect 和 IPSec VPN 從 VCN 外部存取檔案系統。

建議

使用下列建議作為起點。您的需求可能與此處描述的架構不同。
  • 度量資料的可觀測性與管理區間
    • 在租用戶 (根區間) 下建立專用的 Oracle Cloud Observability and Management Platform 區間。
    • 將所有自訂度量相關資源 (例如 Oracle Cloud Observability and Management Platform 進階服務的度量命名空間、堆疊監控度量、資料庫管理服務、作業洞察分析) 儲存在 Oracle Cloud Observability and Management Platform 區間中,以及使用者定義的自訂度量、警示和通知。
    • 定義原則,以將適當的讀取和寫入存取權授予相關團隊,確保他們能夠存取測量結果資料和測量結果命名空間,同時遵守最低權限原則。例如,「可觀察性」和「管理」管理團隊可以管理「可觀察性與管理」區間中度量資料的權限,而 DBA 和「應用程式」團隊則可以讀取或使用「可觀察性與管理」區間中度量的權限。
  • 適用於日誌資料的 Oracle Cloud Observability and Management Platform 區間
    • 使用現有雲端資源的區間儲存每個支援團隊或業務單位的雲端資源日誌資料,以存取自己的日誌資料。
    • 在與雲端資源相同的區間中建立日誌記錄和日誌記錄分析日誌群組。
    • 將所有日誌相關資源 (包括日誌記錄分析日誌群組、日誌實體、預存搜尋、儀表板及保留原則) 儲存在這些區間中。
    • 定義嚴格的存取原則,確保每個團隊都能存取自己的日誌,同時限制對其他團隊日誌資料的存取。
    • 分別定義網路區間、安全區間、應用程式區間以及資料庫區間內的日誌區間。

注意事項

實作此參考架構時,請考慮這些選項。

  • Oracle Cloud Observability and Management Platform 相關區間階層設計
    Oracle Cloud Observability and Management Platform 相關區間階層設計可協助作業和工程團隊簡化雲端作業,同時維持適當的雲端治理和安全狀態。OCI 中有兩個可辨別的監控和記錄相關資料:
    • 度量資料:聚總的資料點,例如雲端資源的進階可觀察性與管理服務所收集的完整可用性與效能度量。
    • 記錄日誌資料:主機、資料庫、中介軟體或應用程式 (例如系統日誌、資料庫警示日誌、原始日誌資料) 的原始日誌資料可能包含機密資料。
    • 日誌資料的本質,可能包含應用程式或使用者命名空間機密資訊。
    • 日誌資料安全周邊應定義在與雲端資源相同的區間中。
    • 需要存取日誌資料的支援團隊或業務單位,應具有與雲端資源及其基礎組態相同的存取層級。
  • OCI 中的其他 Oracle Cloud Observability and Management Platform 資源
    • 服務度量:OCI 雲端資源預設會在 OCI 監控服務中提供基本服務度量。立即可用的服務度量會儲存在與雲端資源相同區間的指定度量命名空間中。雲端資源服務度量是免費的,您無法變更服務度量的區間。
    • 日誌記錄分析日誌來源、剖析器及欄位都是租用戶層級的資源,將會與租用戶 (根區間) 關聯。
    • Oracle Cloud Observability and Management Platform 區間資源為診斷產生的日誌 (例如管理代理程式日誌、服務連線器日誌) 應儲存在 Oracle Cloud Observability and Management Platform 區間中。

探索更多

檢閱這些額外解決方案,以深入瞭解此參考架構的功能。

認可

  • Author: Royce Fu
  • Contributors: Leon Shaner, Sriram Vrinda