使用專用端點將內部部署資料庫備份至 OCI Object Storage 的安全網路架構
異地備份對於業務連續性至關重要。Oracle Cloud Infrastructure (OCI) 以備份目標形式提供具有專用端點的 OCI Object Storage ,OCI 會從客戶內部部署位置建立安全且專用的連線,而不需要與 OCI Object Storage 關聯的公用 IP 位址。
架構
此參考架構顯示安全、高效能的專用網路設計,可將 Oracle Exadata Database Service on Cloud@Customer 資料備份至 OCI Object Storage 。
為了獲得最佳的網路效能,使用專用對等互連的 Oracle Cloud Infrastructure FastConnect 會將內部部署資料中心與客戶租用戶的 OCI 區域連線。
OCI Object Storage 專用端點使用 VCN 客戶子網路中的專用 IP,提供對物件儲存的安全存取。
OCI 專用 DNS 區域只對透過 VCN 連線的從屬端提供回應。透過設定 OCI DNS 監聽端點並在內部部署客戶資料中心實作轉送規則,實現無縫混合 DNS 解析。
下圖說明此參照架構。
secure-backup-oci-object-storage-oracle.zip
此架構具有下列元件:
- 地區
OCI 區域是本地化的地理區域,包含一或多個代管可用性網域的資料中心。區域獨立於其他地區,且遠距離能夠分離它們 (跨國家,甚至是大陸)。
- 可用性網域
可用性網域是區域內獨立的資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域不會共用基礎架構,例如電源或冷卻系統,或內部可用性網域網路。因此,一個可用性網域發生故障不應影響該區域中的其他可用性網域。
- 虛擬雲端網絡 (VCN) 與子網路
VCN 是您在 OCI 區域中設定的可自訂軟體定義網路。與傳統資料中心網路一樣,VCN 可讓您控制網路環境。VCN 可以有多個非重疊的無類別網域間路由 (CIDR) 區塊,您可以在建立 VCN 之後變更這些區塊。您可以將 VCN 分隔到子網路中,而子網路的作用領域可以調整到某個區域或可用性網域。每個子網路都是由連續的位址範圍所組成,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。
- 動態路由閘道 (DRG)
DRG 是一個虛擬路由器,提供相同區域 VCN 之間、VCN 與區域外部網路 (例如另一個 OCI 區域中的 VCN、內部部署網路,或其他雲端提供者中的網路) 的專用網路流量路徑。
- FastConnect
Oracle Cloud Infrastructure FastConnect 會在您的資料中心與 OCI 之間建立專用的專用連線。與基於網際網路的連線相比,FastConnect 提供更高的頻寬選項以及更可靠的網路體驗。
- 物件儲存
OCI Object Storage 可讓您存取任何內容類型的大量結構化和非結構化資料,包括資料庫備份、分析資料,以及豐富的內容 (例如影像和影片)。您可以直接從網際網路或雲端平台內安全地儲存資料。您可以擴展儲存,而不會發生任何效能或服務可靠性的降低情況。
針對需要快速、立即及頻繁存取的「熱」儲存使用標準儲存。將封存儲存用於保留一段很長的時間和很少或很少存取的「冷」儲存。
- 物件儲存專用端點
物件儲存專用端點可讓您從 OCI VCN 或內部部署網路安全地存取物件儲存。專用端點是一個 VNIC,其中的專用 IP 位址位於您在 VNC 中選擇的子網路中。此方法是使用與 OCI 服務關聯之公用 IP 位址的服務閘道的替代方法。
- 專用 DNS 解析程式
專用 DNS 解析器會回答 VCN 的 DNS 查詢。您可以將專用解析器設定為使用視觀表和區域,以及條件式轉送規則來定義如何回應 DNS 查詢。
- 監聽端點
監聽端點會接收來自 VCN 內部或其他 VCN 解析器的查詢、來自其他雲端服務提供者 (例如 AWS、GCP 或 Azure) 的 DNS,或來自內部部署網路的 DNS。建立之後,就不需要進一步設定監聽端點。
建議
- VCN
建立 VCN 時,請根據計畫要連附至 VCN 中子網路的資源數目,決定所需的 CIDR 區塊數目以及每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與您要設定專用連線的任何其他網路 (在 Oracle Cloud Infrastructure 、內部部署資料中心或其他雲端提供者中) 重疊的 CIDR 區塊。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
設計子網路時,請考量您的流量和安全需求。將特定層或角色內的所有資源連附至相同的子網路,以作為安全界限。
- IAM 原則和網路來源
在 VCN 中建立專用端點並將其與儲存桶建立關聯,並不會限制存取來自網際網路或其他網路來源的儲存桶。您需要在儲存桶上使用 IAM 原則定義規則,因此只有要求源自特定 VCN 或該 VCN 內的 CIDR 區塊時,才會獲得授權。所有其他存取 (包括透過網際網路) 都會被封鎖到這些儲存桶。
- 安全
將網路安全群組 (NSG) 指定給 OCI 監聽端點,並且在拒絕所有安全態勢之後設定安全群組,只允許連接埠 UDP:53 上的內部部署 DNS IP。您可以設定物件儲存專用端點,以限制對特定儲存桶和區間的存取。
- 高可用性
此架構顯示簡化的設計。在生產部署中,請確保您的設計遵循高可用性最佳實務。
Deploy
若要在上述架構圖表中設定從內部部署到 OCI 的網路通訊與 DNS 解析,請完成下列高階步驟。
網路組態
- 建立 VCN。
- 建立物件儲存專用端點的專用子網路。
- 部署物件儲存專用端點。
- 建立 DNS 端點的專用子網路。
- 建立 DRG。
- 將 VCN 連附至 DRG。
- 使用專用虛擬迴路建立 FastConnect,以連線至內部部署並將其連附至 DRG。
DNS 組態
- 在 VCN DNS 解析器中建立監聽端點,在 DNS 子網路中部署。
- 在「DNS 子網路安全」清單中,允許內部部署 DNS 伺服器使用來源 IP 的 UDP:53。
- 在內部部署 DNS 伺服器中建立 DNS 轉送規則。從下表設定規則。
網域名稱 * 目的地 IP:連接埠 objectstorage. <oci-region-identifier>.oci.customer-oci.comOCI 監聽端點 IP。連接埠 53 swiftobjectstorage. <oci-region-identifier>.oci.customer-oci.comOCI 監聽端點 IP。連接埠 53 * 請參閱 Regions and Availability Domains ,以取得區域和可用性網域的最新資訊。