甲骨文云在枢纽和辐射拓扑中部署多云Oracle数据库服务，提升微软Azure效能

在这个参考架构中，为微软Azure部署了甲骨文数据库服务（ODSA）和FortiGate，这是Fortinet的下一代防火墙，在微软Azure中采用了枢纽和辐射拓扑。甲骨文云基础设施（OCI）为多云和混合架构提供了最佳的安全性和运营流程，而Fortinet则提供了企业级的云安全解决方案，将Fortinet安全织物扩展到包括与云服务提供商的原生集成。二者联合起来，通过提供可扩展性能和先进的安全编排以及统一的威胁防护，保护多云环境中的应用程序。

架构

微软Azure网络设计使用了枢纽和辐射拓扑。

枢纽虚拟网络是网络内外流量（南北流量）和网络内部流量（东西流量）的中心连接点。这种架构为连接多个辐射点提供了高度可扩展和模块化的设计。

FortiGate下一代防火墙在Azure枢纽中以高可用性（HA）的主备模式部署，以执行安全和流量检查。甲骨文数据库服务为微软Azure（ODSA）服务的数据库组件部署在甲骨文云基础设施（OCI）的一个VCN中。下图展示了这一参考架构。

东西向流量 East-West Traffic

从Azure辐射VNet到ODSA数据库段的流量（东西向流量）通过内部负载均衡器和信任接口路由到FortiGate集群进行检查。

架构图显示了应用程序虚拟机（VM）和ODSA之间的流量流向：

1. 应用程序VM使用特定的数据库端口（如SQL：TCP/1521）请求与OCI上的数据库连接。与辐射子网相关联的路由表带有用户定义的路由（UDR），用于处理Azure中的默认流量。连接请求被转发到内部负载均衡器的前端IP地址，该负载均衡器是FortiGate主/备部署的一部分。
2. Azure中的负载均衡器自动将流量引导至FortiGate集群的活动VM。端口2是FortiGate VM的内部虚拟网络接口卡（vNIC），负责处理进入的信任流量。
3. 根据配置的防火墙策略，FortiGate允许或拒绝连接请求。如果允许流量，数据包将被转发到指定的下一跳IP地址。下一跳IP地址作为ODSA部署的一部分进行配置，特定于特定的ODSA客户部署。流量路由由路由表定义和用户定义的路由（UDR）处理。
4. 数据包通过ODSA网络链接被转发到OCI数据库服务器。

从ODSA数据库段返回Azure的流量沿相反路径进行。

ODSA要求开放以下端口和协议的策略：

为了操纵默认路由行为，需要为辐射VNet配置一个路由表。对于特定的目的地CIDR（本例中为ODSA_DB_CIDR），流量被转发到下一跳IP地址（本例中为ILB_FrontEnd_FortiGate_HA）。同一个路由表可以关联到同一个或不同VNet中的多个子网。

Azure辐射VNet UDR配置的路由表：

Azure枢纽VNet UDR配置的路由表：

FortiGate路由表：

该架构包括以下组件：

区域

Oracle云基础设施区域是一个地理区域，包含一个或多个数据中心，称为可用性域。区域彼此独立，它们之间可能相隔很远（跨越国家甚至大洲）。

虚拟云网络（VCN）和子网

VCN是您在Oracle云基础设施区域中设置的可自定义的软件定义网络。与传统数据中心网络一样，VCN让您完全控制您的网络环境。VCN可以有多个不重叠的CIDR块，您可以在创建VCN后更改它们。您可以将VCN划分为子网，这些子网可以限定在一个区域或一个可用性域。每个子网由不与VCN中其他子网重叠的连续地址范围组成。您可以在创建后更改子网的大小。子网可以是公共的或私有的。

安全列表

对于每个子网，您可以创建安全规则，指定必须允许进出子网的流量的来源、目的地和类型。

Oracle数据库服务，适用于微软Azure

Oracle数据库服务，适用于微软Azure（ODSA），允许您轻松地将Oracle云基础设施数据库集成到您的Azure云环境中。ODSA采用基于服务的方法，是手动创建复杂的跨云部署以适应您的应用程序堆栈的替代方案。

可用的Oracle数据库系统

Oracle数据库服务，适用于微软Azure提供以下产品：

• Oracle Exadata数据库服务：您可以配置灵活的Exadata系统，在配置后的任何时候向您的系统添加数据库计算服务器和存储服务器。
• Oracle自主数据库共享Exadata基础设施：自主数据库提供易于使用的、完全自主的数据库，可弹性扩展，提供快速的查询性能，并且不需要数据库管理。
• 基础数据库：使用ODSA，您可以在虚拟机数据库系统上部署Oracle企业版或Oracle标准版2数据库。您可以部署单节点系统或2节点的RAC系统。

ODSA多云链接

在OCI账户和Azure账户之间建立多云链接，以在OCI中部署Oracle数据库服务，并在Azure中部署应用程序。要执行基本的数据库和基础设施管理任务，您使用的是ODSA门户，这是一个OCI界面。在Azure门户中，您可以查看数据库指标和事件。指标显示在Azure应用程序洞察中，而事件显示在Azure日志分析中。

ODSA网络链接

使用Oracle为微软Azure提供的互联服务创建网络链接，这是一个高性能、低延迟、低抖动的私有隧道连接，用于OCI和Azure之间的网络流量。Oracle已与Azure合作，在世界各地的指定OCI区域提供此连接。当您注册ODSA时，服务会配置私有连接到您的数据库资源，作为账户链接过程的一部分。

Azure VNet

Azure虚拟网络（VNet）是在Azure中建立您的私有网络的基础构件。VNet使许多类型的Azure资源，如Azure虚拟机（VM），能够安全地与彼此、互联网以及本地网络进行通信。

虚拟网络接口卡（VNIC）

Azure数据中心中的服务具有物理网络接口卡（NIC）。虚拟机实例使用与物理NIC关联的虚拟NIC（VNIC）进行通信。每个实例都有一个在启动时自动创建并连接的主VNIC，在实例的整个生命周期中都可用。

Azure路由表（用户定义的路由 - UDR）

虚拟路由表包含从子网到VNet外部目的地的路由规则，通常通过网关。路由表与VNet中的子网相关联。

Fortinet FortiGate下一代防火墙

FortiGate是Fortinet的下一代防火墙。它提供网络和安全服务，如威胁防护、SSL检查和超低延迟，用于保护内部段和关键任务环境。这种解决方案可直接从Oracle云市场部署，并支持直接单根I/O虚拟化（SR-IOV）以提高性能。

Azure负载均衡器

Azure负载均衡服务提供从单一入口点到后端多个服务器的自动化流量分配。

部署

要使用Fortinet安全织物部署适用于微软Azure的Oracle数据库服务，请执行以下高层步骤：

1. 通过选择和安装FortiGate的版本，在Azure枢纽和辐射拓扑中设置FortiGate高可用性防火墙：FortiGate下一代防火墙7.2.0FortiGate下一代防火墙7.0.0
2. 通过在以下地址请求多云链接来设置适用于微软Azure的Oracle数据库服务（ODSA）。当您注册ODSA时，服务将配置私有连接到您的数据库资源，作为账户链接过程的一部分。系统会提示您提供一个公认的组织名称或电子邮件地址：请求适用于微软Azure的Oracle数据库服务多云链接部署ODSA并建立网络链接。
3. 在FortiGate上配置静态路由。
4. 在Azure VNet的辐射子网上配置路由表。
5. 在FortiGate中创建防火墙策略。
6. 在辐射VNet中部署应用程序服务器。

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门。