了解如何在需要安全性、合規性、網路隔離和控制時有效地利用 Oracle Cloud Infrastructure Bastion 會話和 GitHub Actions 部署到私有 Oracle Container Engine Kubernetes (OKE) 集群。 OKE 是一種完全託管、可縮放且高度可用的服務,可用於將容器化應用程式部署到雲中。
GitHub Actions 是 GitHub 提供的強大工作流自動化和持續整合 (CI CD) 平台。 它允許您使用 YAML 語法定義自定義工作流,這些語法可由各種事件觸發,例如推送、拉取請求或計畫任務。 此參考架構演示了如何使用 OCI Bastion 會話和 GitHub Actions 部署到私有 OKE 集群。 此參考架構演示了 OCI Bastion 和 GitHub Actions 的整合,以方便部署私有 OKE 集群。 無法從外部網路訪問專用 OKE 群集。 為了訪問 K8S API 專用終端節點,為 SSH 埠**建立了 OCI Bastion 會話。 通過此設定,可以對群集中的各種部署操作執行 kubectl 命令。 將 GitHub Actions 工作流推送到倉庫時,會自動觸發 GitHub Actions 工作流。 在工作流執行期間,建立並利用 OCI Bastion 會話連線到私有 K8S API 端點以執行部署操作。 工作流完成後,將刪除 OCI Bastion 會話。 這種方法確保了高度安全和高效的部署過程。 此外,此工作流可用作執行持續整合任務的框架,並可進一步自定義以匹配您的特定開發流程和要求。 下圖演示了此參考體系結構。 
準備工作在私有子網中配置具有 Kubernetes API 端點和工作節點的 OKE 集群。 注意:私有 Kubernetes API 端點將用於建立 OCI 堡壘埠**會話。
將您建立的 OCI Bastion 服務設定為面向 OCN 的 OCN,並將 OKE 節點子網作為目標子網的目標。
設定所需的 IAM 服務策略。 注意:有關設定所需 IAM 策略的更多資訊,請參閱更多探索中的“集群建立和部署的策略配置”鏈結。
該架構由以下元件組成:租戶註冊 Oracle Cloud Infrastructure 時,Oracle 會在 Oracle Cloud 中為您(租戶)設定乙個安全的單獨分割槽。 您可以在租戶的 Oracle Cloud 中建立、組織和管理資源。 租戶可以是公司或組織的同義詞。 通常,公司將有乙個租戶,其組織結構在其中反映。 租戶通常與訂閱相關聯,並且訂閱通常只有乙個租戶。 面積Oracle Cloud Infrastructure 區域是包含乙個或多個資料中心(稱為可用性域)的地理區域。 區域彼此獨立,可能相距很遠(跨國家甚至跨大陸)。 分割槽分割槽是 Oracle Cloud Infrastructure 租戶中的邏輯跨區域劃分。 使用分割槽來組織 Oracle Cloud 中的資源、控制對資源的訪問以及設定使用配額。 為了控制對給定分割槽中資源的訪問,您需要定義策略來指定誰可以訪問資源以及他們可以執行哪些操作。 可用性域可用性域是區域內獨立的資料中心。 每個可用性域中的物理資源與其他可用性域的資源隔離,從而提供容錯能力。 可用性域不共享基礎結構,例如電源或冷卻,也不共享內部可用性域網路。 因此,乙個可用性域的故障不太可能影響該區域中的其他可用性域。 容錯域容錯域是可用性域中的一組硬體和基礎結構。 每個可用性域都有三個容錯域,它們具有獨立的電源和硬體。 在多個容錯域之間分配資源時,應用程式可以承受容錯域內的物理伺服器故障、系統維護和電源故障。 虛擬雲網路 (VCN) 和子網VCN 是在 Oracle Cloud Infrastructure 區域中設定的可定製的軟體定義網路。 與傳統的資料中心網路一樣,VCN 可讓您完全控制網路環境。 乙個 VCN 可以有多個不重疊的 CIDR 塊,您可以在建立 VCN 後更改這些塊。 您可以將 VCN 劃分為多個子網,這些子網的範圍可以限定為區域或可用性域。 每個子網都包含乙個連續的位址範圍,這些位址不與 VCN 中的其他子網重疊。 您可以在建立子網後更改子網的大小。 子網可以是公有子網,也可以是私有子網。 負載均衡裝置Oracle Cloud Infrastructure 負載均衡提供從單個入口點到後端多個伺服器的自動流量分配。 安全列表對於每個子網,您可以建立安全規則,以指定必須允許進出子網的流量、目標和流量型別。 網路位址轉換 (NAT) 閘道器NAT 閘道器使 VCN 中的專用資源能夠訪問 Internet 上的主機,而無需將這些資源暴露給傳入的 Internet 連線。 服務閘道器服務閘道器提供從 VCN 到其他服務(如 Oracle Cloud Infrastructure Object Storage)的訪問。 從 VCN 到 Oracle 服務的流量通過 Oracle 網路基礎結構傳輸,從不遍歷 Internet。 cloud guard您可以使用 Oracle Cloud Guard 監視和維護 Oracle Cloud Infrastructure 中資源的安全性。 Cloud Guard 使用檢測器配方,您可以定義這些配方來檢查資源是否存在安全漏洞,並監視操作員和使用者的高風險活動。 當檢測到任何錯誤配置或不安全活動時,Cloud Guard 會根據您可以定義的響應程式配方建議糾正措施並協助採取這些措施。 安全區安全區域通過實施加密資料和防止網路上的公共訪問等策略,從一開始就確保 Oracle 的安全最佳實踐。 安全區域與同名分割槽相關聯,並包含適用於該分割槽及其子區域的安全區域策略或“配方”。 您無法將標準分割槽新增或移動到安全區域。 Kubernetes 容器引擎Oracle Cloud Infrastructure Kubernetes Container Engine 是一項完全託管、可擴充套件且高度可用的服務,可用於將容器化應用部署到雲中。 您可以指定應用程式所需的計算資源,容器引擎會為現有租戶的 Oracle Cloud Infrastructure 上的 Kubernetes 預配這些資源。 容器引擎使用 Kubernetes 跨主機集群自動部署、擴充套件和管理容器化應用程式。 堡壘服務Oracle Cloud Infrastructure Bastion 提供對沒有公共端點且需要嚴格資源訪問控制的資源的有限且有時間限制的安全訪問,例如裸機和虛擬機器、Oracle MySQL 資料庫服務、自治事務處理 (ATP)、Oracle 容器引擎 Kubernetes (OKE) 以及允許訪問安全外殼協議 (SSH) 的任何其他資源。 借助 Oracle Cloud Infrastructure Bastion Service,您可以啟用對專用主機的訪問,而無需部署和維護跳轉主機。 此外,您還可以通過基於身份的許可權和集中的、記錄的、有時間限制的 SSH 會話來改善安全狀況。 Oracle Cloud Infrastructure Bastion 消除了對公共 IP 進行堡壘訪問的需求,從而消除了提供遠端訪問時的麻煩和潛在的攻擊面。 使用以下建議作為起點。 您的需求可能與此處描述的體系結構不同。 vcn建立 VCN 時,請根據計畫附加到 VCN 子網的資源數量確定所需的 CIDR 塊數和每個塊的大小。 在標準專用 IP 位址空間中使用 CIDR 塊。
選擇與您打算建立專用連線的任何其他網路(在 Oracle Cloud Infrastructure、內部部署資料中心或其他雲提供商中)不重疊的 CIDR 塊。 建立 VCN 後,可以更改、新增和刪除其 CIDR 塊。
在設計子網時,請考慮流量和安全要求。 將特定層或角色中的所有資源附加到同一子網可以用作安全邊界。
cloud guard轉殖和自定義 Oracle 提供的預設配方,以建立自定義檢測器和響應器配方。 通過這些配方,您可以指定哪些型別的安全違規會生成警告,以及允許對它們執行哪些操作。 例如,您可能希望檢測可見性設定為 public 的物件儲存儲存桶。
在租戶級別應用 Cloud Guard,以覆蓋盡可能廣泛的範圍,並減輕維護多個配置的管理負擔。
您還可以使用“管理列表”功能將特定配置應用於檢測器。
堡壘OCI Bastion 使授權使用者能夠通過安全外殼 (SSH) 會話從特定 IP 位址連線到目標資源。 確保只有授權使用者才能建立堡壘服務和會話。 只有授權使用者才能訪問堡壘。 Kubernetes 容器引擎 (OKE)。確保您已建立必要的 IAM 策略,並且只有授權使用者才能訪問集群資源。 應啟用其他監視和日誌記錄以改善安全狀況。 預防 措施部署此參考體系結構時,請考慮以下幾點。 OKE可擴充套件性您可以通過更新 Kubernetes 集群中的工作節點數來擴充套件應用程式,具體取決於負載。 同樣,您可以通過減少集群中的工作節點數來縮減。 在 Kubernetes 集群上建立服務時,您可以建立負載均衡器,以便在分配給該服務的節點之間分配服務流量。 應用程式可用性容錯域在單個可用性域中提供最佳復原能力。 還可以部署在多個可用性域中執行相同任務的例項或節點。 此設計通過引入冗餘來消除單點故障。 安全性使用策略來限制誰可以訪問哪些 OCI 資源以及如何訪問。 OKE 與 Oracle Cloud Infrastructure Identity and Access Management (IAM) 整合。 IAM 通過原生 OCI 身份功能提供輕鬆的身份驗證。 部署GitHub Actions 工作流可在 GitHub 上找到。 訪問 GitHub。
轉殖或儲存庫到本地計算機。
按照 README 文件中的說明進行操作。
作為甲骨文標準合作夥伴,Agilewing正在重新定義企業體驗甲骨文雲服務的方式。 憑藉其簡化的開戶流程和一流的技術支援,雅居翼將複雜的開戶和操作流程轉變為簡單、直觀的體驗。 借助我們的一站式服務,您可以快速啟動並執行全套 Oracle 雲服務,從而無縫整合到雲中。 Agilewing 的 AgileCDN 服務與 OCI 基於雲的服務相結合,可提供一流的全球內容加速解決方案。 由2,800多個全球POP節點和7,000個直接連線點組成的強大網路可確保您的業務擴充套件到全球的任何地方,都能確保高效穩定的運營。 利用 Oracle 雲的先進技術,Agilewing 致力於簡化雲服務構建、雲遷移和業務走出去的流程。 “我們的合作模式為客戶提供了經濟高效的解決方案,使他們能夠更專注於核心業務,同時享受 Oracle 雲的高效能和安全性。” Oracle 雲服務是乙個前景廣闊的領域,憑藉其高效能、安全性和全球一致的服務標準,為企業開啟了通往新機遇的大門。 通過雅樂之翼的專業服務,無論是個人使用者還是企業,都能輕鬆進入這個充滿技術創新和高效能的新時代。 讓 Agilewing 開始探索 Oracle 雲服務,開啟通往全新世界的大門。