你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 虚拟机登陆区域加速器上 Oracle 的网络拓扑和连接
本文基于 Azure 登陆区域设计区域中为网络拓扑和连接定义的几个注意事项和建议。 它提供了在 Azure 虚拟机上运行的 Oracle 实例的网络和连接的关键设计注意事项和最佳做法。 由于 Oracle 支持任务关键型工作负荷,因此应在设计中包含有关 Azure 登陆区域设计区域的指南。
确定 Oracle 工作负载的安全性的优先级
与大多数生产数据库一样,保护 Oracle 工作负荷至关重要。 数据库必须保持专用状态,并且没有公共终结点。 只有经授权的云服务(如业务应用程序或 Web 前端服务)才能控制对数据的访问。 少数经过授权的个人可以使用受保护的服务管理任何生产数据库。 有关详细信息,请参阅 “规划 VM 远程访问”。
高级网络设计
以下体系结构关系图显示了 Azure 登陆区域中 Oracle 实例的网络注意事项。
确保所有解决方案服务都驻留在单个虚拟网络中。
使用Azure 防火墙、Azure 应用程序网关或其他安全机制来确保仅允许必要的流量访问解决方案。
实现网络外围网络以实现更高级的网络安全措施。 有关详细信息,请参阅 “实现安全混合网络”。
使用 Azure Monitor、Azure 网络安全组(NSG)或应用程序安全组监视和筛选流量。
确保直接支持 Oracle 数据库的所有 VM 都驻留在专用子网中,并从 Internet 中保持安全。
Oracle 数据库子网应包含允许以下流量的 NSG:
如果 Oracle 数据库服务仅从安全源在 Windows 上运行,则入站端口 22 或 3389。 有关安全 VM 访问的详细信息,请参阅 “规划 VM 远程访问”。
仅来自前端子网的入站端口 1521。 前端子网应遵循 面向 Internet 的工作负荷的最佳做法。
当安全需要模糊处理时更改端口。 不要使用默认端口。
使用 Azure Bastion 安全地连接到 Oracle 子网中的 VM,将 Oracle 管理访问权限限制为最少数量的授权用户。
如果使用 Azure Bastion 访问 Oracle 数据库服务器,请确保 AzureBastionSubnet 包含允许端口 443 上的入站流量的 NSG。
为 Oracle 应用程序服务器和 Oracle 数据库服务器配置邻近放置组,以最大程度地降低网络延迟。
使用 加速网络 部署所有服务。