Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel baut auf mehreren Überlegungen und Empfehlungen auf, die im Entwurfsbereich der Azure-Zielzone für Netzwerktopologie und Konnektivität definiert sind. Er enthält wichtige Entwurfsüberlegungen und bewährte Methoden für das Netzwerk und die Konnektivität Ihrer Oracle-Instanz, die auf Azure Virtual Machines ausgeführt wird. Da Oracle unternehmenskritische Workloads unterstützt, sollten Sie die Anleitung für die Entwurfsbereiche der Azure-Zielzone in Ihren Entwurf aufnehmen.
Priorisierung der Sicherheit für Oracle-Workloads
Wie bei den meisten Produktionsdatenbanken ist die Sicherung einer Oracle-Workload unerlässlich. Die Datenbank muss privat bleiben und darf keine öffentlichen Endpunkte haben. Nur autorisierte Cloud-Dienste, wie z. B. eine Geschäftsanwendung oder Web-Frontend-Dienste, sollten den Zugriff auf die Daten steuern. Einige wenige autorisierte Personen können jede Produktionsdatenbank mithilfe eines gesicherten Dienstes verwalten. Weitere Informationen finden Sie unter Planen des VM-Remotezugriffs.
Netzwerkdesign auf hoher Ebene
Das folgende Architekturdiagramm zeigt Netzwerküberlegungen für Oracle-Instanzen innerhalb einer Azure-Zielzone.
Stellen Sie sicher, dass sich alle Lösungsdienste in einem einzigen virtuellen Netzwerk befinden.
Verwenden Sie Azure Firewall, Azure Application Gateway oder andere Sicherheitsmechanismen, um sicherzustellen, dass nur wichtiger Datenverkehr auf die Lösung zugreifen kann.
Implementieren Sie eine Netzwerk-DMZ für erweiterte Netzwerksicherheitsmaßnahmen. Weitere Informationen finden Sie unter Implementieren eines sicheren Hybridnetzwerks.
Überwachen und filtern Sie den Datenverkehr mithilfe von Azure Monitor, Azure-Netzwerksicherheitsgruppen (NSGs) oder Anwendungssicherheitsgruppen.
Stellen Sie sicher, dass sich alle VMs, die die Oracle-Datenbank direkt unterstützen, in einem dedizierten Subnetz befinden und vor dem Internet geschützt sind.
Das Oracle-Datenbanksubnetz sollte eine NSG enthalten, die den folgenden Datenverkehr zulässt:
Eingehender Port 22 oder 3389, wenn Oracle-Datenbankdienste unter Windows nur von einer sicheren Quelle ausgeführt werden. Weitere Informationen zum sicheren VM-Zugriff finden Sie unter Planen des VM-Remotezugriffs.
Eingehender Port 1521 nur aus dem Front-End-Subnetz. Das Front-End-Subnetz sollte den bewährten Methoden für Workloads mit Internetzugriff entsprechen.
Ändern Sie die Ports, wenn die Sicherheit eine Verschleierung erfordert. Verwenden Sie keine Standardports.
Beschränken Sie den Zugriff auf die Oracle-Verwaltung auf eine minimale Anzahl autorisierter Benutzer, indem Sie Azure Bastion verwenden, um eine sichere Verbindung mit den VMs im Oracle-Subnetz herzustellen.
Wenn Sie Azure Bastion für den Zugriff auf den Oracle-Datenbankserver verwenden, stellen Sie sicher, dass AzureBastionSubnet eine NSG enthält, die eingehenden Datenverkehr an Port 443 zulässt.
Konfigurieren Sie bei Bedarf Näherungsgruppen für Oracle-Anwendungsserver und Oracle-Datenbankserver, um die Netzwerklatenz zu minimieren.
Verwenden Sie den beschleunigten Netzwerk, um alle Dienste bereitzustellen.