使用 OCI Certificates 託管在 Oracle Cloud VMware Solution 上的安全 Web Applications
將 Oracle Cloud VMware Solution 與 Oracle Cloud Infrastructure Certificates 及 Oracle Cloud Infrastructure Load Balancing (LBaaS) 整合,安全地發布您的重要應用程式。
在不斷演變的雲端運算環境中,兩個關鍵元件已成為最佳化 Web 應用程式效能、安全性和擴展性的重要支柱:負載平衡器和 SSL/TLS 憑證。這些元素在確保雲端環境中的作業順暢、資料完整性及使用者信任方面扮演著重要的角色。
負載平衡器會將內送網路流量分散至多個伺服器或執行處理,以防止任何單一伺服器遭到過熱,進而確保最佳使用率與回應能力。
透過資料遍訪網路,確保機密性和完整性至關重要。這是 SSL/TLS 憑證開始播放的位置。這些數位憑證是用來交涉加密的通訊通道,保護其免於竊聽、竄改或未經授權的存取。
雲端基礎架構內負載平衡器和 SSL/TLS 憑證的結合是一項強大的組合。負載平衡器可確保流量能夠有效率地分配、最佳化效能及避免超載,而 SSL/TLS 憑證則可保護資料傳輸、保密及完整性。此協同效應不僅增強了一般使用者體驗,還對 Oracle Cloud VMware Solution 上代管 Web 伺服器的整體安全性狀態有重大貢獻。
Oracle Cloud VMware Solution 提供客戶管理的原生 VMware 雲端環境,安裝於客戶的租用戶內,並使用熟悉的 VMware 工具提供完整的控制。
Oracle Cloud Infrastructure (OCI) 是新一代的基礎架構即服務 (IaaS),以安全性優先的設計原則為依據。這些原則包括隔離的網路虛擬化和原始的實體主機部署,之前難以達成之前的公有雲設計。透過這些設計原則,OCI 可協助降低進階持續性威脅的風險。
此參考架構說明 Oracle Cloud VMware Solution 與 OCI Certificates 及 Oracle Cloud Infrastructure Load Balancing (LBaaS) 的整合選項,可讓客戶安全地發布關鍵應用系統。不過,在沒有憑證服務的情況下也可以使用 LBaaS。
架構
此邏輯參照架構著重於在 Oracle Cloud VMware Solution 工作負載內執行的 Web 伺服器前使用 OCI 憑證。
憑證是使用原生 OCI 憑證產生,並由 OCI 第 7 層負載平衡器運用,以進行 SSL 卸載。Web 伺服器是以虛擬機器 (VM) 的形式在 Oracle Cloud VMware Solution SDDC 內執行。
此邏輯圖表代表描述 OCI 第 7 層負載平衡器 SSL 卸載的整體流量,並由 OCI 憑證發出的憑證信任。
下圖說明從 OCI 負載平衡器到 Oracle Cloud VMware Solution SDDC 中代管之 Web 伺服器的兩種網路連線選項。它也說明從 OCI 中執行的憑證授權機構 (CA) 發行 SSL 憑證,以便透過與 OCI 負載平衡器整合來安全存取 Web 伺服器。
附註:
OCI 憑證發出的憑證只能在 OCI 負載平衡器內使用,而且功能無法延伸至 Web 伺服器以進行端對端 SSL。將 Oracle Cloud VMware Solution 中代管的 Web 伺服器連線至虛擬雲端網路時,有兩種連線選項:
- NSX 段
- 虛擬區域網路 (VLAN) 備份的連接埠群組
NSX 區段利用軟體定義的網路 (SDN) 建立隔離及邏輯區段的網路。此方法提供數種優點:
- 微分區隔:NSX 區段允許微分區隔,讓個別工作負載的隔離與安全性。
- 動態擴展:NSX 區段具有高度可擴展性,可以視需要佈建,以因應網路流量和工作負載需求的變化。
- 邏輯群組:VM 可根據應用程式層或安全需求進行分組,而原則可套用在區段層次,確保在整個網路強制實行一致。
- 增強管理:NSX 可集中管理網路組態、安全原則及流量。
與 NSX 區段的動態本質相反,VLAN 支持的連接埠群組利用傳統的 VLAN 技術在虛擬化環境中隔離 VM。以下為此方法的一些主要特性:
- 簡潔和熟悉度:對於已經熟悉 VLAN 的組織而言,使用 VLAN 備份的連接埠群組可能相當簡單且熟悉,因此需要最少的額外訓練。
- 資源共用:雖然 VLAN 可以隔離網路流量,但在原則強制實行和微型區隔方面,它們可能無法提供與 NSX 區段相同的資料值層次。
選擇正確的方法
使用 NSX 區段或 VLAN 備份的連接埠群組取決於各種因素,包括組織的特定需求、現有基礎架構和安全需求。
NSX 區段和 VLAN 支援的連接埠群組各自在管理虛擬化環境內的虛擬機器時提供不同的優點。NSX 區段精進能夠提供微型區隔、動態調整規模及集中管理,而 VLAN 支持的連接埠群組則提供已習慣傳統 VMware 網路的簡單性和熟悉性。
在下列各節中,我們將顯示部署在 NSX 區段和 VLAN 支援連接埠群組中之 Web 伺服器的 LBaaS 連線層面。
連線至 NSX Overlay 區段的 Web 伺服器
將 OCI 負載平衡器的各個層面與連線至 OCVS 中 NSX 重疊區段的 Web 伺服器連線,並使用 OCI Certificates 發出憑證,以安全發佈在 OCVS 中執行的 Web 伺服器。
此參考架構的主要目標是展示下列目標。
- OCI 負載平衡器的連線層面包含連線至 Oracle Cloud VMware Solution SDDC 中 NSX 重疊區段的 Web 伺服器。
- 使用憑證管理員發出憑證,以安全地發布在 Oracle Cloud VMware Solution SDDC 中執行的 Web 伺服器。
以下說明連線到 NSX 覆疊網路區段的 Web 伺服器架構。
web-server-nsx-diagram-oracle.zip
架構元件
此架構具有下列元件。
- Oracle Cloud VMware Solution :代管 Web 伺服器的客戶租用戶環境。
- NSX 覆疊區段:NSX 覆疊區段提供 Web 伺服器的網路連線。
- 第 0 層路由器:邏輯路由器,提供邏輯網路與實體網路 (南) 之間的閘道服務。
- 第 1 層路由器:NSX 覆疊線段連接到第 1 層路由器並控制東西部流量。
- NSX Edge uplink 1 VLAN:此 VLAN 是 OCI 內嵌網路與 NSX 覆疊網路之間的介面,用於橋接覆疊 (NSX) 與覆疊 (VCN) 網路之間的通訊。
- Web 伺服器:Web 伺服器是部署在 Oracle Cloud VMware Solution SDDC 中的 VM。
- OCI 負載平衡器 (LBaaS):OCI 第 7 層負載平衡器,可平衡通往 Web 伺服器的流量。OCI 提供的公用 IP 或您的 IP 可與負載平衡器搭配使用。
- 狀況檢查:後端 Web 伺服器已設定 HTTP 狀況檢查。
- 監聽器:監聽器設定了 HTTPS 以進行 SSL 卸載。
- OCI 憑證管理程式服務:OCI 憑證管理程式服務可協助提供 SSL/TLS 安全存取伺服器、Web 應用程式等等。管理員可以建立及管理與 OCI 負載平衡整合的專用憑證授權機構 (CA) 階層和 TLS 憑證。
- 憑證授權機構 (CA):專用憑證授權機構已設定為發出憑證。
- 保存庫:保存庫使用可擴展的金鑰儲存提供不斷成長的資料和應用程式加密。
- 金鑰:使用 HSM 模式的 RSA (非對稱金鑰) 是憑證唯一支援的金鑰。
連線至 VLAN 網路的 Web 伺服器
將 OCI 負載平衡器與連線至由 VLAN 網路支援之 vSphere DvPortGroup 的 Web 伺服器連線,並使用 OCI 憑證發出在 OCVS SDDC 中執行之安全發布 Web 伺服器的憑證。
此參考架構的主要目標是展示下列目標。
- OCI 負載平衡器的連線方面,以及由 VLAN 網路支援之連線至 vSphere DvPortGroup 的 Web 伺服器。
- 使用 OCI Certificate Manager 發出憑證,以安全地發布在 Oracle Cloud VMware Solution SDDC 中執行的 Web 伺服器。
以下說明連線到 VLAN 支援網路的 Web 伺服器架構。
web-server-vlan-diagram-oracle.zip
架構元件
此架構具有下列元件。
- Oracle Cloud VMware Solution :代管 Web 伺服器的客戶租用戶環境。
- VLAN 網路:在 Oracle Cloud VMware Solution VCN 中為 Web 伺服器建立的專用 VLAN。此網路被視為參考底圖網路。
- vSphere 分散式交換器 (VDS):vCenter 中的虛擬交換器,提供 Oracle Cloud VMware Solution 工作負載的虛擬網路功能。
- vSphere 分散式連接埠群組:每個成員連接埠的連接埠組態選項。由 VLAN 支援的網路,代表 Oracle Cloud VMware Solution 工作負載的底層。
- Web 伺服器:Web 伺服器是部署在 Oracle Cloud VMware Solution SDDC 中的 VM。
- OCI 負載平衡器 (LBaaS):OCI 第 7 層負載平衡器,可平衡通往 Web 伺服器的流量。OCI 提供的公用 IP 或您的 IP 可與負載平衡器搭配使用。
- 狀況檢查:後端 Web 伺服器已設定 HTTP 狀況檢查。
- 監聽器:監聽器設定了 HTTPS 以進行 SSL 卸載。
- OCI 憑證: OCI 憑證可協助提供伺服器、Web 應用程式等的 SSL/TLS 安全存取。管理員可以建立及管理與 OCI 負載平衡整合的專用憑證授權機構 (CA) 階層和 TLS 憑證。
- 憑證授權機構 (CA):設定為發出憑證的專用憑證授權機構。
- 保存庫:保存庫使用可擴展的金鑰儲存提供不斷成長的資料和應用程式加密。
- 金鑰:使用 HSM 模式的 RSA (非對稱金鑰) 是憑證唯一支援的金鑰。
關於必要服務
此解決方案需要下列服務:
- Oracle Cloud VMware 解決方案
- OCI Load Balancing
- OCI 憑證
這些是每項服務所需的角色。
| 服務名稱 | 需要於 ... |
|---|---|
| Oracle Cloud VMware 解決方案 | 使用 VMware vSphere 執行工作負載。 |
| OCI Load Balancing | 負載平衡流量。 |
| OCI 憑證 | 核發與管理憑證。 |
請參閱 Oracle 產品、解決方案和服務,以瞭解您的需求。