甲骨文云OCI-扩展DoD认证飞地：借助Oracle云为政府部门带来新机遇

Oracle云服务为政府提供了全领域优势，为美国国防部（DoD）带来云创新和韧性。国防研究与工程网络（DREN）已经将Oracle云基础设施（OCI）纳入作为DREN用户的商业云计算能力，适用于最高DoD IL5分类。OCI Ashburn VA区域（东部）和OCI Phoenix AZ区域（西部）分别有两个DREN互连。

DREN提供强大的高容量、低延迟网络连接，支持数字、图像、视频和音频数据传输服务，称为“传输”，在确定的服务交付点（SDP）之间进行。有超过200个SDP在军事安装基地内的“站点”运行，连接超过500个活跃客户，包括国防实验室、DoD研究、开发、测试和评估（RDT&E）、采购工程（AE）社区、高性能计算现代化计划（HPCMP）以及所有五个国防超级计算资源中心（DSRC）。

这些DSRC为DoD科学家和工程师提供超级计算能力，帮助他们解决最具挑战性的计算问题。所有这些DSRC在当前版本的DREN（称为DREN III）上共同提供以下服务：

• 支持世界上一些最大的计算项目。
• 每年提供总计45亿处理器小时的计算能力，以及通过众多高性能计算系统（超级计算机）提供超过40 petaFLOPS的计算能力。
• 维护具有超过100 petabytes总容量的大规模存储档案。
• 通过高速网络以最高40吉比/秒的速度连接用户至高性能计算系统。

架构

这个参考架构描述了如何使美国国防部（DoD）的DREN任务所有者通过扩展现有飞地至Oracle云，利用他们现有的基础设施、服务、流程和认证。使用此架构探索、原型设计和在Oracle云中试点各种应用程序，并获得运营经验，以便于云基础的开发或测试项目的需求。

任务所有者还可以利用Oracle云提供的以下优势：

• 提供全面的基础设施即服务（IaaS）和平台即服务（PaaS）能力。Oracle的第二代架构和基础设施旨在提升安全性、性能，并降低总体拥有成本，与其他云服务提供商相比具有优势。它提供了首个结合创新安全隔离执行的本地裸金属服务器基础设施和带外网络虚拟化管理。
• 诸如引入新一代的英特尔、AMD或ARM处理器，具有更快核心速度、更高容量和速度的存储卷，以及更低延迟的网络等改进。这包括专门的硬件，如支持HPC和AI工作负载的GPU和RoCE网络，或用于极端性能、高可靠性关系数据库工作负载的Exadata云服务。
• 使用开放标准和开源技术支持数据管理、集成和分析工作负载，以促进DoD的数字现代化。Oracle独特的云合作伙伴关系，包括通过Oracle VMware云服务与VMWare的合作，有助于加快云迁移，大大减少复杂性。
• 唯一提供性能和管理服务级别承诺的商业云服务提供商。
• “无处不在”的政策强调了相同服务将在所有Oracle区域提供的愿景。Oracle云服务在所有区域（包括商业、DoD和分类区域）的定价相同，消除了任务所有者迁移分类应用程序工作负载时的任何价格上升。
• Oracle FastConnect通过可靠、专用、私有的高带宽连接帮助连接DREN网络至Oracle云网络。FastConnect客户每月支付低固定费用，无额外数据进出费用，提供业界最低的网络成本。

在这个参考架构中，任务所有者可以安全地将Oracle虚拟云网络（VCN）链接到本地飞地，并强制通过本地飞地进行Oracle云租户的路由，阻止直接互联网访问。任务所有者可以使用现有的：

• 本地飞地的IP地址空间和DNS域（如果可能），并将CIDR（IP空间）扩展到Oracle云。
• 为飞地实施的安全结构，并通过使用自带许可证（BYOL）将现有安全堆栈利用到Oracle云。
• 在本地飞地使用的基础设施服务。任何飞地外的访问均通过使用Oracle云的最小权限安全原则的现有飞地安全堆栈进行。飞地认证更新为反映附加的“站点”。

下图展示了这个参考架构。

以下部分描述了参考架构：

• 任务所有者可以通过DREN云访问点（CAPS）通过OCI主要和次要路由器连接至Oracle政府云。
• OCI动态路由网关（DRG 2.0）为任务所有者的租户提供入口。DRG可以将任务所有者的租户与其本地网络对等连接。
• 每个飞地获得一个专用的VCN。所有基础设施、安全服务和流程都来自飞地。VCN的唯一出口是VLAN到飞地（不允许其他直接互联网、OCI或国防部信息网络（DoDIN）访问）。
• 身份和访问管理（IAM）通过对用户组应用策略，保护任务所有者在一个领域内各地区的租户。
• 安全列表在子网级别保护路由，并增加单个子网内所有资源的安全性。
• 分区为任务所有者提供安全性和可管理性，以隔离资源并通过使用IAM策略限制对资源的访问。
• 网络安全组（NSG）通过应用自定义规则仅允许“允许”的流量，保护任务所有者的租户。NSG应用于资源级别。

架构包括以下组件：

租户

• Oracle政府云租户是OCI内的一个安全且独立的分区，在此您可以创建、组织和管理您的云资源。

地区

• Oracle云基础设施地区是一个地理区域，包含一个或多个称为可用性域的数据中心。地区相互独立，彼此之间可能相隔很远（跨越国家甚至大洲）。

分区

• 分区是Oracle云基础设施租户内跨地区的逻辑分区。使用分区来组织Oracle云中的资源，控制对资源的访问，并设置使用配额。要控制对特定分区中资源的访问，您需要定义策略，指定谁可以访问资源以及他们可以执行哪些操作。分区为任务所有者增加安全性和可管理性，通过IAM策略隔离资源并限制对资源的访问。

虚拟云网络（VCN）和子网

• VCN是您在Oracle云基础设施地区中设置的可自定义的软件定义网络。与传统数据中心网络一样，VCN让您完全控制您的网络环境。VCN可以有多个不重叠的CIDR块，您可以在创建VCN后更改这些块。您可以将VCN细分为子网，子网可以限定在一个地区或一个可用性域。每个子网由一系列不与VCN中其他子网重叠的地址组成。您可以在创建后更改子网的大小。子网可以是公共的或私有的。

安全列表

• 对于每个子网，您可以创建安全规则，指定必须允许进出子网的流量的来源、目的地和类型。

路由表

• 虚拟路由表包含将流量从子网路由到VCN外部目的地的规则，通常通过网关进行。

动态路由网关（DRG）

• DRG是一种虚拟路由器，提供从VCN到地区外网络（如另一个Oracle云基础设施地区的VCN、本地网络或其他云提供商的网络）的私有网络流量路径。

Cloud Guard

• 您可以使用Oracle Cloud Guard来监控和维护Oracle云基础设施中资源的安全。Cloud Guard使用您可以定义的检测器配方来检查资源的安全弱点，并监控操作者和用户的高风险活动。当检测到任何错误配置或不安全活动时，Cloud Guard会推荐纠正措施，并协助采取这些措施。

安全区

• 安全区从一开始就确保遵守Oracle的最佳安全实践，通过执行诸如加密数据和防止对网络的公共访问等策略，保护整个分区的安全。安全区与同名的分区相关联，并包括适用于该分区及其子分区的安全区策略或“配方”。您不能将标准分区添加或移动到安全区分区。

FastConnect

• Oracle云基础设施FastConnect提供了一种在您的数据中心与Oracle云基础设施之间创建专用、私有连接的简便方法。与基于互联网的连接相比，FastConnect提供更高带宽选项和更可靠的网络体验。

本地对等网关（LPG）

• LPG允许您在同一地区内将一个VCN与另一个VCN对等连接。对等连接意味着VCN之间使用私有IP地址通信，流量不经过互联网或路由通过您的本地网络。

建议

以下建议可作为起点。您的需求可能与此处描述的架构有所不同。

虚拟云网络（VCN）

• 创建VCN时，根据您计划连接到VCN子网中的资源数量，确定所需CIDR块的数量和每个块的大小。使用标准私有IP地址空间内的CIDR块。
• 选择不与任何其他网络（在Oracle云基础设施、您的本地数据中心或其他云提供商）重叠的CIDR块，以便建立私有连接。
• 创建VCN后，您可以更改、添加或移除其CIDR块。
• 设计子网时，考虑您的流量和安全需求。将特定层或角色内的所有资源连接至同一子网，作为安全边界。

安全

• 主动使用Oracle Cloud Guard来监控和维护Oracle云基础设施中资源的安全。Cloud Guard使用您可以定义的检测器配方来检查资源的安全弱点，并监控操作者和用户的高风险活动。当检测到任何错误配置或不安全活动时，Cloud Guard会推荐纠正措施，并协助采取这些措施。
• 对于需要最高安全级别的资源，Oracle建议您使用安全区。安全区是与Oracle定义的安全策略配方相关联的分区，这些策略基于最佳实践。例如，安全区内的资源不能从公共互联网访问，并且必须使用客户管理的密钥进行加密。在安全区内创建和更新资源时，Oracle云基础设施会根据安全区配方中的策略验证操作，并拒绝违反任何策略的操作。

Cloud Guard

• 克隆并定制Oracle提供的默认配方，创建自定义检测器和响应者配方。这些配方使您能够指定哪种类型的安全违规会生成警告，以及允许对其执行哪些操作。例如，您可能希望检测设置为公共可见的对象存储桶。
• 在租户级别应用Cloud Guard，以覆盖最广泛的范围，并减少维护多个配置的管理负担。您还可以使用管理列表功能，将特定配置应用于检测器。

安全区

• 克隆并定制Oracle提供的默认配方，创建自定义检测器和响应者配方。这些配方使您能够指定哪种类型的安全违规会生成警告，以及允许对其执行哪些操作。例如，您可能希望检测设置为公共可见的对象存储桶。
• 在租户级别应用Cloud Guard，以覆盖最广泛的范围并减少维护多个配置的管理负担。

网络安全组（NSG）

• 您可以使用NSG来定义一组适用于特定VNIC的入站和出站规则。我们建议使用NSG而不是安全列表，因为NSG允许您将VCN的子网架构与应用程序的安全要求分离。

考虑因素

• 部署此参考架构时，请考虑以下几点。

性能

• FastConnect允许通过专用、私有且高带宽的连接直接将您的本地数据中心与OCI连接起来。FastConnect提供了一种简便且经济的方式来创建具有更高带宽选项的专用私有连接。如果需要更快的速度，请考虑更高的带宽。端口速度可按10 Gbps和100 Gbps的增量提供。

安全

• 利用MacSec加密（MACSec）在FastConnect上保护网络到网络的第2层连接。启用MACSec后，您可以选择AES加密算法，2个安全密钥在两个连接网络之间交换并验证，然后建立安全的双向链接。保险库服务安全地存储加密密钥。

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门。