Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln bygger på flera överväganden och rekommendationer som definierats i designområdet för Azure-landningszoner för nätverkstopologi och anslutning. Den innehåller viktiga designöverväganden och metodtips för nätverk och anslutning för din Oracle-instans som körs på Azure Virtual Machines. Eftersom Oracle stöder verksamhetskritiska arbetsbelastningar bör du inkludera vägledningen för designområdena för Azure-landningszoner i din design.
Prioritera säkerhet för Oracle-arbetsbelastningar
Precis som med de flesta produktionsdatabaser är det viktigt att skydda en Oracle-arbetsbelastning. Databasen måste vara privat och inte ha några offentliga slutpunkter. Endast auktoriserade molntjänster, till exempel ett affärsprogram eller webbklientdelstjänster, bör styra åtkomsten till data. Ett fåtal utvalda behöriga personer kan hantera alla produktionsdatabaser med hjälp av en säker tjänst. Mer information finns i Planera för fjärråtkomst till virtuella datorer.
Nätverksdesign på hög nivå
Följande arkitekturdiagram visar nätverksöverväganden för Oracle-instanser i en Azure-landningszon.
Se till att alla lösningstjänster finns i ett enda virtuellt nätverk.
Använd Azure Firewall, Azure Application Gateway eller andra säkerhetsmekanismer för att säkerställa att endast viktig trafik tillåts komma åt lösningen.
Implementera en nätverks-DMZ för mer avancerade nätverkssäkerhetsåtgärder. Mer information finns i Implementera ett säkert hybridnätverk.
Övervaka och filtrera trafik med hjälp av Azure Monitor, Azure-nätverkssäkerhetsgrupper (NSG:er) eller programsäkerhetsgrupper.
Se till att alla virtuella datorer som har direkt stöd för Oracle-databasen finns i ett dedikerat undernät och hålls säkra från Internet.
Oracle-databasens undernät bör innehålla en NSG som tillåter följande trafik:
Inkommande port 22 eller 3389 om Oracle-databastjänster endast körs på Windows från en säker källa. Mer information om säker åtkomst till virtuella datorer finns i Planera för fjärråtkomst till virtuella datorer.
Endast inkommande port 1521 från frontend-undernätet. Klientdelsundernätet bör följa bästa praxis för arbetsbelastningar som är riktade mot Internet.
Ändra portar när säkerheten kräver fördunkling. Använd inte standardportar.
Begränsa åtkomsten till Oracle-hantering till ett minimalt antal behöriga användare med hjälp av Azure Bastion för att ansluta säkert till de virtuella datorerna i Oracle-undernätet.
Om du använder Azure Bastion för att komma åt Oracle-databasservern kontrollerar du att AzureBastionSubnet innehåller en NSG som tillåter inkommande trafik på port 443.
Om det behövs konfigurerar du närhetsplaceringsgrupper för Oracle-programservrar och Oracle-databasservrar för att minimera nätverksfördröjningen.
Använd accelererat nätverk för att distribuera alla tjänster.