你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文基于 Azure 登陆区域设计领域中针对网络拓扑和连接定义的几个注意事项和建议。 它提供了在 Azure 虚拟机上运行的 Oracle 实例的联网和连接的关键设计注意事项和最佳做法。 由于 Oracle 支持任务关键型工作负载,因此应在设计中包含 Azure 登陆区域设计领域的指南。
优先考虑 Oracle 工作负载的安全性
与大多数生产数据库一样,保护 Oracle 工作负载至关重要。 数据库必须保持私有状态,并且没有公共终端节点。 只有经过授权的云服务(如业务应用程序或 Web 前端服务)才能控制对数据的访问。 少数获得授权的个人可以使用安全服务管理任何生产数据库。 有关详细信息,请参阅 规划 VM 远程访问。
高级网络设计
以下体系结构图显示了 Azure 登陆区域中 Oracle 实例的网络注意事项。
确保所有解决方案服务都驻留在单个虚拟网络中。
使用 Azure 防火墙、Azure 应用程序网关或其他安全机制来确保仅允许必要的流量访问解决方案。
实施网络 DMZ 以获得更高级的网络安全措施。 有关更多信息,请参阅 实施安全的混合网络。
使用 Azure Monitor、Azure 网络安全组 (NSG) 或应用程序安全组监视和筛选流量。
确保所有直接支持 Oracle 数据库的 VM 都驻留在专用子网中,并且不受 Internet 的影响。
Oracle 数据库子网应包含允许以量的 NSG:
入站端口 22 或 3389(如果 Oracle 数据库服务仅在 Windows 上从安全源运行)。 有关安全 VM 访问的更多信息,请参阅 规划 VM 远程访问。
仅来自前端子网的入站端口 1521。 前端子网应遵循 面向 Internet 的工作负载的最佳实践。
当安全性需要混淆时更改端口。 不要使用默认端口。
通过使用 Azure Bastion 安全地连接到 Oracle 子网中的 VM,将 Oracle 管理访问权限限制为最少数量的授权用户。
如果使用 Azure Bastion 访问 Oracle 数据库服务器,请确保 AzureBastionSubnet 包含允许端口 443 上的入站流量的 NSG。
如果需要,请为 Oracle 应用程序服务器和 Oracle 数据库服务器配置邻近放置组,以最大程度地降低网络延迟。
使用 加速网络 部署所有服务。