Azure Virtual Machines 랜딩 존 가속기에서 Oracle에 대한 네트워크 토폴로지 및 연결
이 문서는 네트워크 토폴로지 및 연결에 대한 Azure 랜딩 존 디자인 영역에 정의된 몇 가지 고려 사항 및 권장 사항을 기반으로 합니다. Azure Virtual Machines에서 실행되는 Oracle 인스턴스의 네트워킹 및 연결에 대한 주요 디자인 고려 사항 및 모범 사례를 제공합니다. Oracle은 중요 업무용 워크로드를 지원하므로 디자인에 Azure 랜딩 존 디자인 영역에 대한 지침을 포함해야 합니다.
Oracle 워크로드에 대한 보안 우선 순위 지정
대부분의 프로덕션 데이터베이스와 마찬가지로 Oracle 워크로드를 보호하는 것이 중요합니다. 데이터베이스는 프라이빗으로 다시 기본 공용 엔드포인트가 없어야 합니다. 비즈니스 애플리케이션 또는 웹 프런트 엔드 서비스와 같은 권한 있는 클라우드 서비스만 데이터에 대한 액세스를 제어해야 합니다. 일부 권한 있는 사용자는 보안 서비스를 사용하여 모든 프로덕션 데이터베이스를 관리할 수 있습니다. 자세한 내용은 VM 원격 액세스 계획을 참조 하세요.
고급 네트워크 디자인
다음 아키텍처 다이어그램은 Azure 랜딩 존 내의 Oracle 인스턴스에 대한 네트워킹 고려 사항을 보여 줍니다.
모든 솔루션 서비스가 단일 가상 네트워크 내에 있는지 확인합니다.
Azure Firewall, Azure 애플리케이션 Gateway 또는 기타 보안 메커니즘을 사용하여 필수 트래픽만 솔루션에 액세스할 수 있도록 합니다.
고급 네트워크 보안 조치를 위해 네트워크 DMZ를 구현합니다. 자세한 내용은 보안 하이브리드 네트워크 구현을 참조 하세요.
Azure Monitor, Azure NSG(네트워크 보안 그룹) 또는 애플리케이션 보안 그룹을 사용하여 트래픽을 모니터링하고 필터링합니다.
Oracle 데이터베이스를 직접 지원하는 모든 VM이 전용 서브넷에 있고 인터넷에서 안전하게 유지되는지 확인합니다.
Oracle 데이터베이스 서브넷에는 다음 트래픽을 허용하는 NSG가 포함되어야 합니다.
Oracle 데이터베이스 서비스가 보안 원본에서만 Windows에서 실행되는 경우 인바운드 포트 22 또는 3389입니다. 보안 VM 액세스에 대한 자세한 내용은 VM 원격 액세스 계획을 참조하세요.
프런트 엔드 서브넷에서만 인바운드 포트 1521. 프런트 엔드 서브넷은 인터넷 연결 워크로드에 대한 모범 사례를 따라 야 합니다.
보안에 난독 처리가 필요한 경우 포트를 변경합니다. 기본 포트를 사용하지 마세요.
Azure Bastion을 사용하여 Oracle 서브넷의 VM에 안전하게 연결하여 Oracle 관리 액세스를 최소한의 권한 있는 사용자로 제한합니다.
Azure Bastion을 사용하여 Oracle 데이터베이스 서버에 액세스하는 경우 AzureBastionSubnet에 포트 443에서 인바운드 트래픽을 허용하는 NSG가 포함되어 있는지 확인합니다.
네트워크 대기 시간을 최소화하도록 Oracle 애플리케이션 서버 및 Oracle 데이터베이스 서버에 대한 근접 배치 그룹을 구성합니다.
가속 네트워킹을 사용하여 모든 서비스를 배포합니다.