甲骨文云 OCI 在混合环境中部署Oracle API网关服务：高效集成云和本地系统

在混合环境中部署Oracle API网关服务，包括外部和内部API环境组件，以发布具有私有端点的API，这些端点可以在您的网络内部访问，并且如果您希望它们接受互联网流量，您可以使用公共IP地址暴露它们。端点支持API验证、请求和响应转换、CORS、认证和授权以及请求限制。API网关服务使您能够在区域子网中创建一个或多个API网关，以处理API客户端的流量并将其路由到后端服务。您可以使用单个API网关将多个后端服务（如负载均衡器、计算实例和Oracle函数）链接到一个单一的整合API端点。API网关服务与Oracle云基础设施身份和访问管理集成，提供使用Oracle云基础设施身份功能的简易认证。

架构

此架构描述了一个本地客户数据中心和一个Oracle云基础设施（OCI）区域，该区域具有一个隔间和两个可用性域，使用API网关服务器提供公共互联网访问环境。本地客户数据中心利用API网关进行计划、创建、原型设计、部署和管理API，以确保安全和可扩展的环境。本地环境可以是私有API环境，也可以是公共API环境的一部分，在那里API可以与公共互联网共享。

API网关充当API设计师门户和开发者门户。API设计师在API设计师门户中创建、测试、部署和管理他们的API；API消费者可以在开发者门户中查看API、API文档，并尝试API。

以下图表展示了这一参考架构。

此架构包含以下组件：

区域

• Oracle云基础设施区域是一个地理位置本地化的区域，包含一个或多个称为可用性域的数据中心。各区域相互独立，彼此之间可能相隔很远（横跨国家甚至大洲）。
• 可用性域
• 可用性域是区域内独立、互不依赖的数据中心。每个可用性域中的物理资源与其他可用性域的资源隔离，提供故障容忍性。可用性域不共享基础设施，如电力或冷却系统，或内部可用性域网络。因此，一个可用性域的故障不太可能影响该区域内其他可用性域。
• 故障域
• 故障域是一个可用性域内的硬件和基础设施分组。每个可用性域有三个具有独立电力和硬件的故障域。当您在多个故障域中分配资源时，您的应用程序可以容忍物理服务器故障、系统维护和故障域内的电力故障。
• 虚拟云网络（VCN）和子网
• VCN是您在Oracle云基础设施区域内设置的可自定义的软件定义网络。与传统数据中心网络一样，VCN为您提供对网络环境的完全控制。VCN可以拥有多个非重叠的CIDR块，这些块在创建VCN后可以更改。您可以将VCN划分为子网，这些子网可以针对一个区域或一个可用性域。每个子网包含一个连续的地址范围，不与VCN中的其他子网重叠。创建后可以更改子网的大小。子网可以是公共的或私有的。

FastConnect

• Oracle云基础设施FastConnect提供了一种简单的方法，用于在您的数据中心和Oracle云基础设施之间创建专用的私有连接。与基于互联网的连接相比，FastConnect提供更高的带宽选项和更可靠的网络体验。

Oracle云基础设施网络应用防火墙（WAF）

• Oracle云基础设施网络应用防火墙是一种基于云的、符合支付卡行业（PCI）合规的、全球性安全服务，可保护应用程序免受恶意和不必要的互联网流量。WAF可以保护任何面向互联网的端点，为客户的应用程序提供一致的规则执行。

互联网网关

• 互联网网关允许VCN中的公共子网与公共互联网之间的流量。

负载均衡器

• Oracle云基础设施负载均衡服务提供从单一入口点到后端多个服务器的自动流量分配。

动态路由网关（DRG）

• DRG是一种虚拟路由器，为VCN和该区域外的网络之间的私有网络流量提供路径，如另一个Oracle云基础设施区域中的VCN、本地网络或另一个云提供商的网络。

本地对等网关（LPG）

• LPG允许您在同一区域内将一个VCN与另一个VCN进行对等连接。对等连接意味着VCN使用私有IP地址通信，无需通过互联网或路由通过您的本地网络。

API网关

• API网关服务允许您发布具有私有端点的API，这些端点可以在您的网络内访问，如有需要，您也可以将其暴露给公共互联网。端点支持API验证、请求和响应转换、CORS、认证和授权，以及请求限制。

建议

• 在混合环境中部署Oracle API网关时，请使用以下建议作为起点。您的需求可能与此处描述的架构不同。
• 虚拟云网络（VCN）
• 创建VCN时，根据您计划连接到VCN子网的资源数量，确定所需的CIDR块数量及每个块的大小。使用标准私有IP地址空间内的CIDR块。
• 选择不与您打算建立私有连接的任何其他网络（在Oracle云基础设施、您的本地数据中心或其他云提供商）重叠的CIDR块。
• 创建VCN后，您可以更改、添加和移除其CIDR块。
• 在设计子网时，考虑您的流量流向和安全要求。将特定层或角色内的所有资源连接到同一个子网，这可以作为一个安全边界。
• 使用区域子网。

安全

• 使用Oracle云基础设施Cloud Guard主动监控和维护您在Oracle云基础设施中的资源的安全性。Cloud Guard使用您可以定义的探测器配方来检查您的资源是否存在安全弱点，并监控操作员和用户的高风险活动。当检测到任何配置错误或不安全活动时，Cloud Guard会推荐纠正措施，并协助采取这些措施，这些措施基于您可以定义的响应器配方。
• 对于需要最高安全性的资源，Oracle建议您使用安全区域。安全区域是一个与Oracle定义的基于最佳实践的安全策略配方相关联的隔间。例如，安全区域中的资源不能从公共互联网访问，并且必须使用客户管理的密钥加密。在安全区域中创建和更新资源时，Oracle云基础设施会根据安全区域配方中的策略验证操作，并拒绝违反任何策略的操作。

考虑因素

在部署Oracle API网关时，请考虑以下因素：

性能

• 您可以使用各种配置选项优化API网关的性能。例如，一般性能调优选项包括追踪、监控和日志记录。更高级的性能调优选项包括数据库池、HTTP保持活动、分块编码、客户端线程和Java内存。

安全

• 使用Oracle云基础设施身份和访问管理策略来控制谁可以访问您的云资源以及可以执行哪些操作。
• 为了保护密码或任何其他秘密，请考虑使用Oracle云基础设施保管库服务。
• 可用性
• 根据您的部署要求和所在区域，考虑使用高可用性选项。选项包括在一个区域的多个可用性域中分布资源，以及在一个可用性域内的故障域中分布资源。
• 故障域为单个可用性域内部署的工作负载提供最佳的弹性。为了在应用层实现高可用性，请在不同的故障域部署应用服务器，并使用负载均衡器分配客户端流量至应用服务器。

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门