加速及調整 KVM 環境中的虛擬機器映像檔儲存
此參照架構顯示一個可延展的高效能資料儲存裝置和資料移動平台,其設計目的在於提供最佳的資料存取延遲和頻寬,尤其是在工作負載激增期間。
架構
此架構使用具有 3 個容錯域的單一可用性網域。解決方案的所有元件都可高度使用,不會發生單點失效而全部失效的窘境。
在每個節點上,資料儲存在兩個位置:RAM 和區塊磁碟區。RAM 使用 Linux 核心磁碟機區塊 RAM 磁碟 (brd) 掛載為本機檔案系統。RAM 型和區塊磁碟區型位置都統一在兩個檔案系統中。每個檔案系統都會使用平行可擴展檔案系統 GlusterFS 在節點之間共用。
- 節點內:任何數目的虛擬機器 (VM) 都會以零延遲啟動,不論虛擬機器的實際數目為何。因此,架構會移除從共用儲存讀取 VM 映像檔的瓶頸,並防止在工作負載激增期間延遲服務。
- 所有節點:虛擬機器會因分散式磁碟區而順暢地在節點之間移動。如此一來,任何節點都可以存取任何 VM 映像檔,讓管理員能夠在節點集區增加 (或發生節點硬體故障時縮小) 時,快速重新平衡裸機 (BM) 節點的 VM 映像檔。您可以選擇將兩個共用儲存類型 (RAM 型和區塊磁碟區型儲存體) 分層為單一共用儲存體執行處理,RAM 層則用於經常存取 (熱) 儲存體,而區塊磁碟區則用於長期 (冷) 儲存體。
下圖說明此參照架構。
架構包含下列元件:
- 區域
Oracle Cloud Infrastructure 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域獨立於其他區域,因此廣大的距離可以劃分區域 (跨國家甚至大陸)。
- 可用性網域
可用性網域是區域內獨立且獨立的資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域並不共用基礎設施 (例如電力或散熱冷卻系統) 或內部可用性網域網路。因此,一個可用性網域發生失敗並不會影響區域中的其他可用性網域。
- 容錯域
容錯域是可用性網域內的一組硬體和基礎設施,每個可用性網域都具備三個獨立電源和硬體的容錯域。當您將資源分配給多個容錯域時,您的應用程式可以容許容錯域內的實體伺服器故障、系統維護和電源故障。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。與傳統資料中心網路相同,VCN 可讓您完整控制網路環境。一個 VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 後進行變更。您可以將 VCN 分割成子網路,範圍可至區域或可用性網域。每個子網路均包含一系列不與 VCN 中其他子網路重疊的連續位址。您可以在建立子網路後變更其大小。子網路可以是公用或專用子網路。
- 站對站 VPN
網站至網站 VPN 可在企業內部部署網路與 Oracle Cloud Infrastructure 中的 VCN 之間提供 IPSec VPN 連線。IPSec 通訊協定套件會在封包從來源傳輸到目的地之前對 IP 流量進行加密,並在流量抵達時解密。
- FastConnect
Oracle Cloud Infrastructure FastConnect 提供一個在您的資料中心和 Oracle Cloud Infrastructure 之間建立專屬私密連線的簡便方式。FastConnect 提供高頻寬選項,與網際網路型連線相比,提供更可靠的網路體驗。
- 動態路由閘道 (DRG)
DRG 是一種虛擬路由器,可為相同區域中 VCN 之間的專用網路流量提供路徑,這些 VCN 與區域外部的網路 (例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、內部部署網路或另一個雲端提供者中的網路) 之間。
- 網路位址轉譯 (NAT) 閘道
NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,無須向內送網際網路連線暴露這些資源。
- 網際網路閘道
網際網路網關允許 VCN 中的公共子網路與公共網際網路之間的流量。
- 安全清單
對於每個子網路,您可以建立安全規則,指定必須允許進出子網路的來源、目的地和流量類型。
- 路由表
虛擬路由表包含規則,可將流量從子網路路由至 VCN 外部的目的地 (通常是透過閘道)。
- 堡壘主機
堡壘主機是一個運算執行處理,可從雲端外部作為安全、受控制的進入點。堡壘主機通常是在解密區域 (DMZ) 中佈建。它可以讓您將機密資源放在無法直接從雲端存取的專用網路上,以保護機密資源。拓樸具有單一的已知進入點,可讓您定期監督及稽核。因此,您可以避免讓拓樸的敏感性元件暴露於較敏感的元件,而不影響其存取。
- 裸機
Oracle 的裸機伺服器透過使用專屬運算執行處理,提供隔離環境、資訊能見度及掌控性。伺服器支援需要高核心數、大量記憶體和高頻寬的應用系統。它們可以擴展至 160 個核心 (業界最大的核心)、2 TB RAM 和最多 1 PB 的區塊儲存空間。客戶可以在 Oracle 的裸機伺服器上建置雲端環境,此伺服器效能明顯優於其他公有雲和企業內部部署資料中心。
- 區塊磁碟區
使用區塊儲存磁碟區時,您可以建立、連附、連線及移動儲存磁碟區,以及根據儲存、效能和應用程式需求變更磁碟區效能。將磁碟區連附和連線到執行處理之後,您便可以像使用一般硬碟一樣使用該磁碟區。您也可以將磁碟區中斷連線,然後將其連附到另一個執行處理,而不會遺失資料。
建議
使用下列建議作為起點。您的需求可能與此處所述的架構不同。
- VCN
建立 VCN 時,根據您計劃附加到 VCN 子網路的資源數量,決定所需的 CIDR 區塊數量和每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與任何其他要設定專用連線之網路 (在 Oracle Cloud Infrastructure 、您的內部部署資料中心或其他雲端提供者中) 重疊的 CIDR 區塊。
建立 VCN 之後,您可以變更、新增和移除其 CIDR 區塊。
設計子網路時,請考量流量與安全性需求。將特定層或角色內的所有資源連附至同一個子網路,以作為安全界限。
使用區域子網路。
- 雲端保全
透過 Oracle Cloud Guard 主動監控和維護 Oracle Cloud Infrastructure 中資源的安全性。雲端保全會使用您可以定義的偵測器處方來檢查資源是否有安全漏洞,並且監控操作員和使用者是否有危險的活動。偵測到任何組態錯誤或不安全活動時,雲端保全會根據您可以定義的回應器處方,建議採取更正動作並協助採取這些動作。
複製和自訂 Oracle 提供的預設處方,以建立自訂偵測器和回應器處方。這些處方可讓您指定產生警告的安全性違規類型,以及允許對它們執行哪些動作。例如,您可能想要偵測已將可見性設為公用之物件儲存的儲存桶。
在租用戶層級套用雲端保全以涵蓋最廣範圍,並降低維護多個組態的管理負擔。
您也可以使用「受管理清單」功能,將特定組態套用至偵測器。
- 安全區域
對於需要最高安全性的資源,Oracle 建議您使用安全區域。安全區域是一個與 Oracle 定義的安全原則處方關聯的區間 (以最佳做法為基礎)。例如,安全區域中的資源不得從公用網際網路存取,且必須使用客戶管理的金鑰進行加密。當您在安全區域中建立及更新資源時,Oracle Cloud Infrastructure 會根據安全區域處方中的原則驗證作業,並且拒絕違反任何原則的作業。
- 網路安全群組 (NSG)
您可以使用 NSG 定義一組適用於特定 VNIC 的輸入和輸出規則。建議使用 NSG 而非安全清單,因為 NSG 可讓您將 VCN 的子網路架構與應用程式的安全性需求分開。
- Hypervisor 節點
部署 HPC 裸機資源配置,以獲得完整效能。此架構使用 BM.Standard.E4 形狀。
注意事項
建置此參照架構時,請考量以下各點。
- 效能
若要獲得最佳效能,請選擇具備適當頻寬的正確運算資源配置。
- 使用狀態
請考慮根據您的部署需求和區域使用高可用性選項。選項包括在區域和容錯域中使用多個可用性網域。
- 監督和警示
設定節點 CPU 和記憶體使用量的監督與警示,以便視需要縱向擴展或縮減資源配置。
- 成本
裸機 GPU 執行處理提供必要的 CPU 電源,以增加成本。評估您的需求,以選擇適當的運算型態。
沒有執行中的工作時,您可以刪除叢集。
- 監督和警示
- 叢集檔案系統
有多個案例:
- 配備 HPC 資源配置的最佳化 DenseIO 資源配置。
- 多重連附區塊磁碟區可提供高達 2,680 MB/ 秒的 IO 輸送量或 700k IOPS。
- 您也可以在 NVMe SSD 儲存體或區塊儲存體 (根據效能需求) 上安裝自己的平行檔案系統。OCI 提供臨時和永久 NFS 型 (NFS-HA、FSS) 或平行檔案系統 (weka.io、Spectrum Scale、BeeGFS、BeeOND、Lustre、GlusterFS、Quobyte) 解決方案。
部署
Oracle Cloud Marketplace 提供 Linux KVM 的 GlusterFS App 和 Terraform 程式碼。
您可以在 Oracle Cloud Marketplace 中使用建立 Oracle Linux KVM 執行處理的 Terraform 堆疊。
- 前往 Oracle Cloud Marketplace 。
- 按一下取得應用程式。
- 遵循畫面上的提示執行。
Oracle Cloud Marketplace 提供 GlusterFS App。您必須手動在每個執行處理上部署 GlusterFS。
- 前往 Oracle Cloud Marketplace 。
- 按一下取得應用程式。
- 遵循畫面上的提示執行。