你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何跨 Azure 订阅组织 Oracle Database@Azure资源并建立一致的部署模式。 适当的资源组织可降低作复杂性,并改善 Oracle 数据库工作负荷的安全态势。
Oracle Database@Azure是在 Microsoft 数据中心内并置的 Oracle 云基础结构(OCI)硬件上运行的 Oracle 数据库服务。 可以部署两种类型的 Oracle Database@Azure服务:
Oracle Exadata Database@Azure: 在 Azure 订阅中预配和运行的专用 Exadata 机架
Oracle 自治Database@Azure: 在共享 Exadata 基础结构上运行的完全托管的自驾自治数据库
本文扩展了 资源组织的 Azure 登陆区域设计区域中所述的注意事项和建议。 这些建议可帮助你为 Oracle Database@Azure 服务创建一致的部署模式。
建立命名和标记约定
一致的命名约定可降低管理复杂性,使团队能够快速识别 Oracle Database@Azure资源。 这些约定在整个部署中提供运营效率和支持治理策略。 实现符合 Azure 要求和 Oracle 特定约束的标准化命名模式:
一致地应用 Azure 基线命名标准。 Azure 常规命名约定为资源标识和组织建立模式。 这些约定适用于 Oracle Database@Azure资源,但需要调整 Oracle 特定的限制,例如字符限制和长度限制。
考虑 Oracle Database@Azure资源约束。 虚拟机(VM)群集和数据库实例具有与标准 Azure 资源不同的特定命名要求。 Oracle 自治Database@Azure实例名称只接受字母和数字,将名称限制为 30 个字符,并禁止空格或特殊字符。
创建特定于环境的命名模式。 一致的模式标识每个 Oracle Database@Azure 实例的环境、应用程序和用途。 这种标准化简化了资源管理,提高了部署中的运营可见性。
实施全面的标记策略。 标记可组织资源、跟踪成本,并在 Oracle Database@Azure部署中强制实施治理策略。 将标记应用于环境分类、成本中心分配、应用程序所有权和合规性要求,以保持可见性和控制。
为 Oracle Database@Azure应用命名和标记约定
Oracle Database@Azure资源具有需要仔细考虑的特定命名约束。 VM 群集具有与标准 Azure 资源不同的 字符限制和允许的字符限制 。 必须了解这些约束才能创建有效的命名模式。 使用 Azure 常规命名约定 作为基线,并根据 Oracle Database@Azure要求对其进行调整。
Oracle 自治Database@Azure实例名称只能包含字母和数字,最大长度为 30 个字符,不能包含空格。 创建一致的命名模式,明确标识每个 Oracle 自治Database@Azure实例的环境、应用程序和用途。
| 环境 | 应用程序类型 | Azure 区域 | 示例名称 |
|---|---|---|---|
| 生产 | 企业资源规划 (ERP) 应用程序 | 美国东部 | adbeuserpprod |
| 灾难恢复 | 人力资源(HR)应用程序 | 加拿大中部 | adbcachrdr |
| 质量保证 | 商业智能 | Australia East | adbaueabiqa |
这些示例反映资源类型、区域、应用程序类型和环境:
adbeuserpprod:美国东部(
adbeus)用于生产()ERP 应用程序的自治数据库(erpprod)。adbcachrdr:加拿大中部(
adbcac)用于灾难恢复dr()HR 应用程序的自治数据库(hr)。adbaueabiqa:澳大利亚东部()商业智能(
adbauea)的自治数据库()在质量保证(bi) 中。qa
有关字符限制和允许的字符的详细信息,请参阅 预配 Oracle Database@Azure 和使用 标记来组织 Azure 资源。
实现安全性和隔离最佳做法
安全隔离可保护 Oracle Database@Azure部署免受未经授权的访问,并减少事件期间的爆炸半径。 适当的隔离策略可确保一个环境中的泄露不会影响多个订阅体系结构中的其他区域。
若要实施保护 Oracle Database@Azure 资源和支持 Azure 基础结构的综合隔离措施,请遵循以下做法:
在环境之间应用逻辑隔离。 每个 Oracle Database@Azure环境都需要单独的安全边界,以防止跨环境访问和维护合规性要求。 为了确保开发团队无法访问生产 Oracle 数据库,请使用 Azure 订阅作为主要隔离边界,并使用特定于环境的权限实现 Azure 基于角色的访问控制(RBAC)。
强制实施最低特权访问原则。 Oracle Database@Azure资源需要受限的访问权限,仅向用户授予其角色所需的最低权限。
使用特定于环境的 Oracle Database@Azure资源访问权限配置Microsoft Entra ID 组。
定期审核权限,以维护安全状况和合规性标准。
实施网络分段策略。 网络隔离可保护 Oracle Database@Azure流量免受未经授权的拦截和横向移动攻击。
使用具有 Oracle Database@Azure资源的专用子网的 Azure 虚拟网络。
通过定义限制性规则来配置网络安全组(NSG)。
实现 Azure 防火墙或非Microsoft网络虚拟设备以实现高级威胁防护。
配置监视和警报系统。 安全监视可检测 Oracle Database@Azure 部署中的异常活动,并支持快速事件响应。
部署 Azure 安全中心以统一安全管理。
为安全信息和事件管理(SIEM)配置 Microsoft Sentinel。
为可疑 Oracle 数据库访问模式或配置更改建立自动警报。
有关详细信息,请参阅 隔离体系结构的最佳做法。
使用多个订阅体系结构
多个订阅体系结构提供环境隔离,并改善 Oracle Database@Azure部署的安全态势。 每个环境在其自己的 Azure 订阅边界内运行,以便为安全、网络、成本分配和管理目的创建明确的分离。 这种隔离可防止跨环境访问,并减少安全事件或作问题期间的影响半径。
设计将专用 Azure 订阅分配给每个环境的订阅模型:
创建特定于环境的订阅。 为生产、开发、测试和灾难恢复环境建立单独的 Azure 订阅。 此订阅隔离可防止跨环境访问,并减少安全事件或作问题期间的影响半径。
配置订阅计费对齐方式。 确保所有订阅都使用与主订阅相同的计费帐户来保持一致的成本管理,并避免在 Oracle Database@Azure部署中出现计费复杂情况。
规划生产中的工作负荷隔离。 对于使用 Oracle 自治Database@Azure的任务关键型工作负荷,请为每个主要应用程序创建单独的生产订阅,以最大程度地减少影响半径并简化 RBAC 管理。
验证载入权限
Azure 标识需要特定权限才能部署和管理 Oracle Database@Azure资源。 在开始载入过程之前,必须验证标识是否可以执行所需的作。 此验证可防止部署失败,并确保资源预配顺利。
在 Azure 订阅中确认以下权限:
注册所需的资源提供程序。 Oracle Database@Azure依赖于必须在部署之前注册的特定 Azure 资源提供程序。 在每个托管 Oracle Database@Azure 资源的订阅中注册以下提供程序:
- Oracle.Database
- Microsoft.BareMetal
- Microsoft.Network
- Microsoft.Compute
创建 Oracle 帐户资源。 载入过程创建一个 Oracle 帐户资源,用于建立 Azure 与 OCI 之间的连接。 标识必须具有创建和管理这些帐户资源的权限。
管理网络基础结构。 Oracle Database@Azure需要专用网络资源,包括虚拟网络、委派子网、路由表和 NSG。 标识必须具有创建和配置这些网络组件的权限。
分配 RBAC 权限。 必须分配适当的 RBAC 权限,使团队成员能够根据其角色和职责访问和管理 Oracle Database@Azure资源。
若要为 Oracle Database@Azure载入和管理任务提供必要的权限,建议使用“所有者”角色或“参与者”角色与“用户访问管理员”角色结合使用。
有关角色和任务组织的完整权限矩阵,请参阅 载入权限。
跨订阅监视计费
成本跟踪需要跨多个订阅体系结构进行仔细监视,因为 Oracle Database@Azure主订阅下的计费合并。 了解成本分配模式,并使用适当的工具进行全面的费用跟踪。
使用Microsoft成本管理工具跟踪所有订阅的总体 Azure 费用:
使用成本管理工具定期查看成本。 这些工具提供有关整个 Azure 支出的见解,并跟踪 Oracle Database@Azure 部署中的资源使用模式。
了解计费合并。 与主订阅中的 Oracle 帐户资源相关的费用通过专用产品/服务合并在该订阅下。 对于 Oracle Database@Azure资源,Azure 中不会逐项提供每个订阅的计费详细信息。
通过 OCI 跟踪独立费用。 有关特定于 Oracle Database@Azure使用情况的详细成本跟踪和发票,请参阅 OCI 成本管理工具和报表。
实现多个订阅设置
多个订阅体系结构支持跨开发、测试、生产和灾难恢复环境的 Oracle Database@Azure部署。 此体系结构提供环境隔离,同时通过共享基础结构组件维护运营效率。
下图演示了 Oracle Exadata Database@Azure的多个订阅设置。
跨订阅规划部署时,请考虑基础结构放置如何影响延迟和可用性:
了解可用性区域映射。 不同订阅中的逻辑可用性区域与相同的物理可用性区域不对应。 这种映射差异可以为跨订阅边界访问 Oracle 数据库的应用程序创建性能不一致。
例如,在订阅 A 的区域 1 中部署 Oracle 数据库,在订阅 B 区域 1 中部署相关客户端应用程序可能会导致意外延迟(如果这些区域映射到物理上遥远的位置)。 了解每个订阅的区域映射,并将应用程序与区域中提供预期的地理和网络邻近度的数据库保持一致。 有关详细信息,请参阅 物理和逻辑可用性区域。
配置共享 Exadata 基础结构。 可以在多个环境(包括生产、开发、单元测试和系统集成测试) 之间共享 Oracle Exadata Database@Azure基础结构。 此共享基础结构方法可优化资源使用情况,同时通过单独的 Azure 订阅维护环境隔离。
在为 Oracle Database@Azure设计订阅设置时,请考虑以下因素:
主订阅: 在载入期间,选择初始 Azure 订阅。 此订阅充当 Oracle Database@Azure的主要订阅,并构成所有 Oracle Database@Azure部署的基础。
载入权限和资源提供程序: 有关所需的最低 Azure 和 OCI 角色,请参阅 载入权限表 。
资源注册: Oracle Database@Azure作为裸机服务在 Azure 上运行。 在开始 Oracle Database@Azure载入之前注册以下资源提供程序:
- Oracle.Database
- Microsoft.BareMetal/BareMetalConnections/read
- Microsoft.BareMetal/BareMetalConnections/write
- Microsoft.BareMetal/BareMetalConnections/delete
辅助订阅: 扩展到辅助订阅时,这些订阅中的 Oracle Exadata Database@Azure VM 群集默认为与主订阅相同的可用性区域。 为了确保性能、高可用性和冗余,请使应用程序服务与 VM 群集的可用性区域保持一致。
资源组: 在每个订阅中,可以将 Oracle Exadata Database@Azure VM 群集、虚拟网络和支持基础结构等资源组织到不同的资源组中。 此设置允许对资源进行逻辑分离和管理,并且可以灵活地部署和维护基础结构组件。
Azure 资源
下表列出了支持 Oracle Database@Azure资源组织建议的 Azure 工具和资源。
| 类别 | Tool | Description |
|---|---|---|
| 资源组织 | Azure 资源管理器 | 为跨多个订阅的 Oracle Database@Azure资源提供部署和管理功能 |
| 成本管理 | 成本管理 | 跟踪跨 Oracle Database@Azure部署在多个订阅中的支出和使用情况模式 |
| 身份和访问 | Microsoft Entra ID | 管理 Oracle Database@Azure资源的用户标识和访问权限 |
| 资源标记 | Azure 资源标记 | 组织 Oracle Database@Azure资源进行成本分配和管理 |
| 安全监视 | Microsoft Defender for Cloud | 为 Oracle Database@Azure资源提供统一的安全管理 |
| 网络安全 | Azure NSG | 控制对 Oracle Database@Azure 资源的网络访问 |
| 监视和警报 | Microsoft Sentinel | 为 Oracle Database@Azure部署提供 SIEM |