你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文提供有关在 Oracle Exadata Database@Azure 基础结构上启用 Azure Arc 的网络连接指南。 这些建议支持统一的治理和安全监视,同时保留现有的 Oracle 云基础结构(OCI)管理功能和数据库作。
Azure Arc 将 Azure 管理功能扩展到 Oracle Exadata Database@Azure,而无需更改现有的网络安全控制或子网委派。 实现这些连接模式,通过 Microsoft Defender for Cloud 进行全面的安全监视,以及通过 Azure Policy 进行治理,同时保持与现有 Oracle 操作的完全兼容性。
注释
本指南特定于 Oracle Exadata Database@Azure部署。 对于 Oracle 自治数据库@Azure,由于它是完全托管服务,因此 Azure Arc 连接不适用。
规划 Azure Arc 集成策略
在实现 Azure Arc 连接之前,请建立与现有 Oracle Exadata Database@Azure体系结构一致的全面策略。 此规划阶段可确保成功集成,而不会中断当前作。
为 Azure Arc 连接选择适当的 Azure 区域
Azure Arc 服务终结点因 Azure 区域而异,并影响连接性能和合规性。 选择最佳区域配置以最大程度地减少延迟并满足法规要求。
在 Oracle Exadata Database@Azure基础结构所在的同一区域中部署 Azure Arc 连接。 此方法可最大程度地减少 Azure Arc 代理通信的延迟,并确保监视和管理作的最佳性能。 有关区域注意事项,请参阅 Azure 区域和可用性区域。
验证目标区域中的 Azure Arc 服务终结点可用性。 在实现集成之前,请确认 Oracle Exadata Database@Azure部署区域中提供了所有必需的 Azure Arc 服务终结点。 有关按区域提供服务的可用性,请参阅 Azure 产品(按区域)。
评估区域差异时的跨区域连接影响。 如果您的 Oracle 基础设施和 Azure Arc 管理必须在不同地区运行,请评估延迟对 Azure Arc 代理操作以及跨区域数据流的合规性要求的影响。 有关跨区域网络指南,请参阅 Azure 中的跨区域复制。
跨地区规划带宽需求。 跨区域的 Azure Arc 连接在心跳流量、监控数据和策略评估通信方面引入了额外的带宽成本和延迟因素。 有关带宽规划,请参阅 Azure 带宽定价。
保留现有的网络拓扑和安全边界
Azure Arc 集成在 Oracle Exadata Database@Azure网络约束中运行,无需更改现有安全配置。 有关全面的网络拓扑指南,请参阅 Oracle Database@Azure的网络拓扑和连接。
特定于 Azure Arc 的网络保留要求包括:
维护对 OCI 的现有子网委派。 Azure Arc 不会修改 Oracle Database@Azure 所需的现有子网委派配置。
考虑网络安全组(NSG)配置依赖关系。 Azure Arc 集成在现有的网络配置中,其中 NSG 支持取决于网络功能的配置。 查看 Azure 和 Oracle (OCI) 双方的安全规则,以避免可能影响 Azure Arc 连接的冲突。 有关 NSG 最佳做法,请参阅 NSG 概述。
使用现有的专用终结点配置。 Azure Arc 代理在不需要修改的情况下,运行于您现有的 Azure 服务专用终结点配置。 有关专用终结点集成,请参阅 什么是 Azure 专用终结点? Azure Arc 与 Azure 专用链接。
维护仅限出站的连接模型。 Arc 集成仅使用出站 HTTPS 连接,不需要入站 Internet 访问或安全组修改。
为 Azure Arc 终结点配置出站连接
Azure Arc 代理需要与 Azure 服务终结点建立安全出站连接。 通过现有网络安全基础结构配置此连接,以在启用 Azure Arc 管理功能的同时维护安全态势。
规划通过现有安全控制来连接 Azure Arc 终结点。 通过已建立的网络安全基础结构路由 Azure Arc 流量,而不是创建绕过规则。 此方法维护集中式安全监视和组织策略的符合性。 有关网络安全设计模式,请参阅 Azure Arc 网络安全。
对 Azure Arc 终结点使用 Azure 防火墙显式代理配置。 配置 显式代理设置 以通过 Azure 防火墙路由 Azure Arc 流量。 此配置提供集中日志记录和安全监视,同时维护所需的连接。 有关全面的防火墙配置,请参阅 Azure 防火墙文档。
请考虑使用 Azure NAT 网关实现简化的出站连接。 对于需要更简单的出站连接且没有高级防火墙功能的组织,请使用 Azure NAT 网关 为 Azure Arc 代理提供安全的出站 Internet 访问。 当不需要通过防火墙进行集中式安全监视时,NAT 网关提供经济高效的替代方案。 有关 NAT 网关设计模式,请参阅 NAT 网关设计指南。
配置网络虚拟设备(NVA)以允许所需的服务端点。 更新 NVA 配置以允许 Azure Arc 服务终结点,同时维护 OCI 管理流量的现有安全规则。 有关 NVA 集成模式,请参阅 Azure 中的 NVA。
验证 Azure Arc 服务终结点的 DNS 解析。 确保域名系统(DNS)解析适用于 VM 群集节点中所有必需的 Azure Arc 终结点。 在部署 Azure Arc 代理之前测试连接。 有关 DNS 配置指南,请参阅 Azure 虚拟网络中资源的名称解析。
有关完整的终结点要求,请参阅 Connected Machine 代理网络要求。
使用传输层安全性(TLS)检查的组织可以将 Azure Arc 代理与其安全监视基础结构集成。 正确配置 TLS 检查,以确保 Azure Arc 功能的同时保持安全可见性。
为 Azure Arc 代理配置 TLS 检查
使用 TLS 检查的组织可以将 Azure Arc 代理与其安全监视基础结构集成。 正确配置 TLS 检查,以确保 Azure Arc 功能的同时保持安全可见性。
使用 Azure Connected Machine 代理与 TLS 检查的兼容性。 Azure Connected Machine 代理不使用证书固化,并且支持 TLS 检查服务。 通过此兼容性,可以维护对 Azure Arc 流量的安全监视。 有关代理配置,请参阅 Azure Connected Machine 代理概述。
如果需要,请从 TLS 检查中排除特定的 Azure Arc 扩展。 某些 Azure Arc 扩展需要排除 TLS 检查才能正常运行。 标识这些扩展并配置适当的绕过规则。 有关扩展管理指南,请参阅 已启用 Azure Arc 的服务器扩展。
维护对 Azure Arc 流量的安全监视。 配置 TLS 检查基础结构,以监视和记录 Azure Arc 通信,同时允许必要的流量流。 此方法提供安全可见性,无需阻止功能。 有关安全监视模式,请参阅 Azure Monitor 网络见解。
在 TLS 检查配置后测试 Azure Arc 功能。 在部署到生产环境之前,验证所有 Azure Arc 功能是否能与 TLS 检查配置正常工作。 有关测试和验证指南,请参阅 排查已启用 Azure Arc 的服务器连接问题。
将 Microsoft Defender for Cloud 与 Arc 连接集成
Microsoft Defender for Cloud 与 Azure Arc 的集成增强了 Oracle Database@Azure 基础结构的安全监视。 有关全面的安全配置指南,请参阅 Oracle Database@Azure的安全准则。
特定于 Azure Arc 的 Defender 集成要求包括:
规划 Azure Arc 连接的 Defender 部署策略。 查看 Defender for servers 部署要求 ,并确保所有安全终结点都可通过 Azure Arc 网络配置访问。
配置安全终结点的可访问性。 确保能够通过 Azure Arc 连接设置访问 Microsoft Defender for Cloud 网络连接要求 和 Microsoft Sentinel 集成终结点。
与现有的 Oracle 安全监控进行协调。 将 Defender 警报与现有的 Oracle 安全工具集成,以避免重复,同时增强整体安全态势。 有关集成模式,请参阅 Microsoft Defender for Cloud 集成。
实施终端白名单和安全控制
配置网络访问控制,为 Azure Arc 操作提供最低所需的连接,同时维护组织的安全态势。 以最低权限原则访问 Azure Arc 终结点。
为特定于 Azure Arc 的终结点配置防火墙规则。 在防火墙配置中,仅允许所需的 Azure Arc 服务终结点。 有关特定终结点类别和网络要求,请参阅 Azure Arc 终结点要求 表。
限制对特定 VM 群集节点的 Azure Arc 终结点访问。 仅从需要 Azure Arc 管理的 Oracle Database@Azure VM 群集节点限制对 Azure Arc 终结点的网络访问。 此方法可减少攻击面并维护安全边界。 有关访问控制模式,请参阅 Azure NSG。
将服务标记用于终结点访问定义。 如果可用,请使用 Azure 服务标记在网络安全配置中定义 Azure Arc 终结点访问。 服务标记 提供比单个 IP 地址管理更易维护的方法。
通过现有的安全监视工具路由 Azure Arc 流量。 确保 Azure Arc 通信流经已建立的网络安全监视基础结构,以保持安全策略的可见性和合规性。
监视 Azure Arc 网络连接和性能
Azure Arc 连接需要持续监视,以确保可靠的作和快速解决问题。 有关涵盖 Azure Arc 连接、安全监视和性能指标的综合监视指南,请参阅 管理和监视 Oracle Database@Azure。
若要确保可靠的连接,请专注于以下特定于 Azure Arc 的监视要求:
监控 Azure Arc 代理心跳连接。 Azure Arc 代理每五分钟将 心跳消息 发送到 Azure。 实现监视,以便在服务器未通信 15 分钟时检测连接问题。
实现网络连接诊断。 使用 Azure Arc 连接故障排除工具 诊断网络路径问题并验证终结点可访问性。
与现有的 Oracle 监视系统集成。 使用 Oracle Enterprise Manager 警报协调 Azure Arc 连接监视,并在现有网络监视仪表板中包含 Azure Arc 终结点运行状况。
记录网络依赖项和集成点
维护 Azure Arc 网络要求的综合文档,以支持作和故障排除。 清晰的文档可确保一致的实施和有效的问题解决。
按 Azure 区域记录 Azure Arc 服务终结点依赖项。 维护特定 Azure 区域的所需终结点的当前列表。 本文档支持防火墙配置和故障排除工作。
记录网络路径要求和带宽利用率。 记录用于 Azure Arc 连接的网络路径和预期的带宽利用率模式。 此信息支持容量规划和性能故障排除。
将集成点映射到现有的网络安全控制。 记录 Azure Arc 连接如何与现有网络安全基础结构集成。 此映射支持安全评审和事件响应过程。
维护 Azure Arc 连接问题的故障排除过程。 创建用于诊断和解决常见 Azure Arc 连接问题的分步过程。 包括复杂问题的联系信息和升级流程。
使用 Azure Policy 进行合规性监视和计算机配置
实施 Azure Policy 和计算机配置策略,以强制实施网络安全设置,并在已启用 Azure Arc 的 Oracle Database@Azure 基础结构中保持合规性。
使用 Azure Policy 监控 Azure Arc 启用服务器的网络安全合规性。 实现 已启用 Azure Arc 的服务器的 Azure Policy ,以持续监视与网络安全策略和配置的符合性。
为操作系统级网络控制实施机器配置策略。 使用 Azure 机器配置策略 在操作系统级别强制实施网络安全设置。 此方法提供对 Azure Arc 连接的服务器的组策略对象(GPO)式控制,并确保一致的安全配置。
建立治理基线,以便进行全面的安全管理。 遵循 已启用 Azure Arc 的服务器治理、安全性和符合性基线 ,跨混合基础结构实施全面的治理。
监视策略符合性和修正状态。 定期查看策略符合性报告,并在可能的情况下实施自动修正,以在整个已启用 Azure Arc 的基础结构中维护安全标准。
在 Azure Arc 部署之前验证连接
完成预部署验证,确保成功将 Azure Arc 与 Oracle Database@Azure基础结构集成。 此验证可防止部署问题并确保最佳性能。
测试从 VM 群集节点到所需终结点的出站连接。 使用网络连接测试工具验证对所有必需的 Azure Arc 服务终结点的 HTTPS/443 访问。 验证 Azure Arc 服务终结点的 DNS 解析,并确认现有防火墙规则不会阻止所需的终结点。
评估 Azure Arc 操作的带宽需求。 评估 Azure Arc 通信的网络容量。 初始载入需要更高的带宽来下载和注册代理。 持续操作需要最小带宽来传输心跳和监控数据。 在策略评估和安全审查期间规划爆发性容量。
审查安全控制与 Azure Arc 连接要求的对齐情况。 验证 Azure Arc 终结点是否符合组织安全审批流程。 确认 Azure Arc 流量日志记录与现有的安全信息和事件管理 (SIEM) 系统集成。 检查 Azure Arc 连接是否符合网络安全策略要求。
准备配置模板和自动化。 为跨 Oracle 基础结构的 Azure Arc 部署创建标准化配置模板。 为一致的部署和配置管理准备自动化脚本。
Azure Arc 端点要求
下表按类别汇总了关键的 Azure Arc 服务终结点。 必须从 Oracle Database@Azure VM 群集节点访问这些终结点才能成功集成 Azure Arc。
| 服务类别 | 终结点用途 | 网络要求 |
|---|---|---|
| Azure Resource Manager | VM 注册和管理 | HTTPS/443 出站 |
| Azure Arc 配置服务 | 代理配置和更新 | HTTPS/443 出站连接 |
| Log Analytics | 监控数据摄取 | HTTPS/443 出站 |
| Microsoft Defender | 安全评估数据 | HTTPS/443 出站 |
| Azure Policy | 合规性评估 | HTTPS/443 出站 |
注释
特定终结点 URL 因 Azure 区域而异。 有关完整的区域终结点列表,请参阅 Connected Machine 代理网络要求。 若要简化终结点管理,请考虑使用 Azure Arc 网关(预览版), 将所需的终结点减少到七个完全限定的域名(FQDN)。 有关需要专用连接的组织,请参阅 Azure Arc 的专用链接安全性。
实现资源和故障排除指南
使用这些资源为 Oracle Database@Azure基础结构实现和维护 Azure Arc 连接。 这些资源提供特定于 Azure Arc 连接方案的配置模板、故障排除工具和监视指南。
配置模板和示例
- Azure Arc 的 Azure 防火墙显式代理 - Azure 防火墙显式代理设置
- Azure Arc 的专用链接安全性 - 专用链接配置
- DNS 策略概述 - 混合环境的 DNS 策略
- 专用终结点的代理旁路 - 代理绕过配置
故障排除和验证工具
- Azure Arc 连接故障排除 - Azure Arc 代理连接诊断和测试过程
- Azure Arc Jumpstart - 验证脚本和自动化示例
- Azure Monitor 最佳做法 - 用于 Azure Arc 监视的 Log Analytics 集成
- Azure Arc 网络要求 - 完整的终结点参考和带宽规划
通过跟踪代理连接状态、网络路径性能、终结点可用性和安全事件关联与现有 Oracle 监视系统来监视 Azure Arc 连接运行状况。
Azure 工具和资源
| 类别 | Tool | Description |
|---|---|---|
| Connectivity | 已启用 Azure Arc 的服务器 | Oracle Database@Azure VM 群集的混合服务器管理 |
| 网络安全 | Azure 防火墙 | 网络安全和 Azure Arc 端点访问控制 |
| 外部连接性 | Azure NAT 网关 | 简化 Azure Arc 代理的 Internet 出站连接 |
| 监测 | Azure Monitor | Azure Arc 连接和性能监视 |
| 安全性 | Microsoft Defender for Cloud | 已启用 Azure Arc 的 Oracle 基础结构的安全监视 |
| 治理 | Azure Policy | Azure Arc 启用的 Oracle 基础设施的策略驱动治理和合规性 |
| 配置 | Azure 计算机配置 | 操作系统配置管理和合规性 |
| Connectivity | Azure Arc 网关(预览版) | Azure Arc 连接的简化终结点管理 |
| Documentation | Azure Arc Jumpstart | Azure Arc 方案的综合指南和自动化示例 |