Topologia di rete e connettività per Oracle nell'acceleratore di zona di destinazione di Azure Macchine virtuali
Questo articolo si basa su diverse considerazioni e raccomandazioni definite nell'area di progettazione della zona di destinazione di Azure per la topologia e la connettività di rete. Offre considerazioni chiave sulla progettazione e procedure consigliate per la rete e la connettività dell'istanza Oracle in esecuzione in Azure Macchine virtuali. Poiché Oracle supporta carichi di lavoro cruciali, è necessario includere le linee guida per le aree di progettazione della zona di destinazione di Azure nella progettazione.
Assegnare priorità alla sicurezza per i carichi di lavoro Oracle
Come per la maggior parte dei database di produzione, la protezione di un carico di lavoro Oracle è essenziale. Il database deve rimanere privato e non avere endpoint pubblici. Solo i servizi cloud autorizzati, ad esempio un'applicazione aziendale o i servizi front-end Web, devono controllare l'accesso ai dati. Alcuni utenti autorizzati possono gestire qualsiasi database di produzione usando un servizio protetto. Per altre informazioni, vedere Pianificare l'accesso remoto alle macchine virtuali.
Progettazione di rete di alto livello
Il diagramma dell'architettura seguente illustra le considerazioni sulla rete per le istanze oracle all'interno di una zona di destinazione di Azure.
Assicurarsi che tutti i servizi della soluzione si trovino all'interno di una singola rete virtuale.
Usare Firewall di Azure, app Azure lication Gateway o altri meccanismi di sicurezza per garantire che solo il traffico essenziale sia autorizzato ad accedere alla soluzione.
Implementare una rete perimetrale per misure di sicurezza di rete più avanzate. Per altre informazioni, vedere Implementare una rete ibrida sicura.
Monitorare e filtrare il traffico usando Monitoraggio di Azure, i gruppi di sicurezza di rete di Azure o i gruppi di sicurezza delle applicazioni.
Assicurarsi che tutte le macchine virtuali che supportano direttamente il database Oracle si trovino in una subnet dedicata e siano protette da Internet.
La subnet del database Oracle deve includere un gruppo di sicurezza di rete che consente il traffico seguente:
Porta in ingresso 22 o 3389 se i servizi di database Oracle sono in esecuzione in Windows solo da un'origine sicura. Per altre informazioni sull'accesso sicuro alle macchine virtuali, vedere Pianificare l'accesso remoto alle macchine virtuali.
Porta in ingresso 1521 solo dalla subnet front-end. La subnet front-end deve seguire le procedure consigliate per i carichi di lavoro con connessione Internet.
Modificare le porte quando la sicurezza richiede offuscamento. Non usare le porte predefinite.
Limitare l'accesso di gestione Oracle a un numero minimo di utenti autorizzati usando Azure Bastion per connettersi in modo sicuro alle macchine virtuali nella subnet Oracle.
Se si usa Azure Bastion per accedere al server di database Oracle, assicurarsi che AzureBastionSubnet includa un gruppo di sicurezza di rete che consenta il traffico in ingresso sulla porta 443.
Configurare gruppi di posizionamento di prossimità per server applicazioni Oracle e server di database Oracle per ridurre al minimo la latenza di rete.
Usare la rete accelerata per distribuire tutti i servizi.