Sichere Netzwerkarchitektur für On-Premise-Datenbankbackups in OCI Object Storage mit privatem Endpunkt

Offsite-Backups sind für die Geschäftskontinuität von entscheidender Bedeutung. Oracle Cloud Infrastructure (OCI) bietet OCI Object Storage mit privatem Endpunkt als Backupziel, bei dem OCI eine sichere und private Konnektivität vom On-Premise-Standort des Kunden ohne öffentliche IP-Adressen erstellt, die mit OCI Object Storage verknüpft sind.

Architektur

Diese Referenzarchitektur zeigt ein sicheres, leistungsstarkes und privates Netzwerkdesign zum Sichern von Oracle Exadata Database Service on Cloud@Customer-Daten in OCI Object Storage.

Um eine optimale Netzwerkperformance zu erzielen, verbindet Oracle Cloud Infrastructure FastConnect mit Private Peering das On-Premise-Data Center mit einer OCI-Region eines Kundenmandanten.

Der private OCI Object Storage-Endpunkt bietet sicheren Zugriff auf Object Storage über eine private IP in einem Kundensubnetz in einem VCN.

Eine private OCI-DNS-Zone bietet nur Antworten für Clients, die eine Verbindung über ein VCN herstellen. Durch die Konfiguration eines OCI-DNS-Listening-Endpunkts und die Implementierung von Weiterleitungsregeln im On-Premises-Kunden-Data-Center wird eine nahtlose Hybrid-DNS-Auflösung erreicht.

Das folgende Diagramm veranschaulicht diese Referenzarchitektur.

Beschreibung der Abbildung secure-backup-oci-object-storage.png

Secure-backup-oci-object-storage-oracle.zip

Die Architektur umfasst folgende Komponenten:

• Region

  Eine OCI-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Centre enthält, das Availability-Domains hostet. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können über Länder oder Kontinente voneinander getrennt werden.

• Availability-Domains

  Availability-Domains sind eigenständige, unabhängige Data Center innerhalb einer Region. Die physischen Ressourcen in jeder Availability-Domain sind von den Ressourcen in den anderen Availability-Domains isoliert, was eine Fehlertoleranz sicherstellt. Availability-Domains haben keine gemeinsame Infrastruktur wie Stromversorgung oder Kühlung oder das interne Availability-Domainnetzwerk. Ein Fehler in einer Availability-Domain sollte sich also nicht auf die anderen Availability-Domains in der Region auswirken.

• Virtuelles Cloud-Netzwerk (VCN) und Subnetze

  Ein VCN ist ein anpassbares, softwaredefiniertes Netzwerk, das Sie in einer OCI-Region einrichten. Wie herkömmliche Data Center-Netzwerke erhalten Sie über VCNs die Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die sich auf eine Region oder eine Availability-Domain beschränken. Jedes Subnetz besteht aus einem Bereich zusammenhängender Adressen, die sich nicht mit anderen Subnetzen im VCN überschneiden. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.

• Dynamisches Routinggateway (DRG)

  Das DRG ist ein virtueller Router, der einen Pfad für den privaten Netzwerktraffic zwischen VCNs in derselben Region zwischen einem VCN und einem Netzwerk außerhalb der Region bereitstellt, z.B. ein VCN in einer anderen OCI-Region, ein On-Premise-Netzwerk oder ein Netzwerk in einem anderen Cloud-Provider.

• FastConnect

  Oracle Cloud Infrastructure FastConnect erstellt eine dedizierte, private Verbindung zwischen Ihrem Data Center und OCI. FastConnect bietet Optionen höherer Bandbreite und ein zuverlässigeres Netzwerk als bei internetbasierten Verbindungen.

• Objektspeicher

  OCI Object Storage bietet Zugriff auf große Mengen an strukturierten und unstrukturierten Daten eines beliebigen Inhaltstyps, darunter Datenbankbackups, Analysedaten und umfangreiche Inhalte, wie Bilder und Videos. Sie können Daten sicher und sicher direkt aus dem Internet bzw. aus der Cloud-Plattform speichern. Sie können den Storage skalieren, ohne dass die Performance oder Servicezuverlässigkeit beeinträchtigt wird.

  Verwenden Sie den Standardspeicher für "Hot Storage", auf die Sie schnell, sofort und häufig zugreifen müssen. Verwenden Sie Archivspeicherung für "Cold Storage", die Sie über lange Zeiträume beibehalten und nur selten darauf zugreifen.

• Privater Object Storage-Endpunkt

  Der private Object Storage-Endpunkt bietet sicheren Zugriff auf Object Storage über Ihre OCI-VCNs oder On-Premise-Netzwerke. Der private Endpunkt ist eine VNIC mit einer privaten IP-Adresse in einem Subnetz, das Sie in Ihrem VNC auswählen. Diese Methode ist eine Alternative zur Verwendung eines Servicegateways mit öffentlichen IP-Adressen, die mit OCI-Services verknüpft sind.

• Private DNS-Resolver

  Ein privater DNS-Resolver beantwortet DNS-Abfragen für ein VCN. Ein privater Resolver kann für die Verwendung von Ansichten und Zonen sowie von bedingten Weiterleitungsregeln konfiguriert werden, die den Umgang mit DNS-Abfragen definieren.

• Listening-Endpunkt

  Ein Listening-Endpunkt empfängt Abfragen vom VCN oder von anderen VCN-Resolvern, vom DNS anderer Cloud-Serviceprovider (wie AWS, GCP oder Azure) oder vom DNS Ihres On-Premise-Netzwerks. Nach der Erstellung ist keine weitere Konfiguration für einen Listening-Endpunkt erforderlich.

Empfehlungen

Verwenden Sie die folgenden Empfehlungen beim Entwerfen Ihres Netzwerks zum Sichern von Oracle Exadata Database Service on Cloud@Customer-Daten in OCI Object Storage über einen privaten Endpunkt. Ihre Anforderungen können von der hier beschriebenen Architektur abweichen.

• VCN

  Wenn Sie ein VCN erstellen, bestimmen Sie die Anzahl der erforderlichen CIDR-Blöcke und die Größe jedes Blocks basierend auf der Anzahl der Ressourcen, die Sie an Subnetze im VCN anhängen möchten. Verwenden Sie CIDR-Blöcke, die sich innerhalb des standardmäßigen privaten IP-Adressraums befinden.

  Wählen Sie CIDR-Blöcke aus, die sich mit keinem anderen Netzwerk (in Oracle Cloud Infrastructure, Ihrem On-Premise-Data Center oder einem anderen Cloud-Provider) überschneiden, zu dem Sie private Verbindungen einrichten möchten.

  Nachdem Sie ein VCN erstellt haben, können Sie die zugehörigen CIDR-Blöcke ändern, hinzufügen und entfernen.

  Berücksichtigen Sie beim Entwerfen der Subnetze den Verkehrsfluss und die Sicherheitsanforderungen. Hängen Sie alle Ressourcen innerhalb einer bestimmten Tier oder Rolle an dasselbe Subnetz an, das als Sicherheitsgrenze dienen kann.

• IAM-Policys und Netzwerkquellen

  Wenn Sie einen privaten Endpunkt in einem VCN erstellen und mit einem Bucket verknüpfen, wird der Zugriff auf den Bucket über das Internet oder andere Netzwerkquellen nicht eingeschränkt. Sie müssen Regeln mit IAM-Policys im Bucket definieren. Daher werden Anforderungen nur autorisiert, wenn sie von einem bestimmten VCN oder einem CIDR-Block in diesem VCN stammen. Alle anderen Zugriffe, auch über das Internet, sind für diese Buckets gesperrt.

• Sicherheit

  Weisen Sie dem OCI-Listening-Endpunkt eine Netzwerksicherheitsgruppe (NSG) zu, und konfigurieren Sie die Sicherheitsgruppe nach einem Sicherheitsstatus "Alles verweigern", sodass nur die On-Premise-DNS-IP auf Port UDP:53 zulässig ist. Der private Object Storage-Endpunkt kann so konfiguriert werden, dass der Zugriff auf bestimmte Buckets und Compartments eingeschränkt wird.

• High Availability

  Diese Architektur zeigt ein vereinfachtes Design. Stellen Sie bei einem Produktions-Deployment sicher, dass Ihr Design den Best Practices für High Availability entspricht.

Deploy

Um die Netzwerkkommunikation und DNS-Auflösung von On-Premise zu OCI im obigen Architekturdiagramm zu konfigurieren, führen Sie die folgenden allgemeinen Schritte aus.

Netzwerkkonfiguration

1. VCN erstellen.
2. Erstellen Sie ein privates Subnetz für den privaten Object Storage-Endpunkt.
3. Stellen Sie den privaten Object Storage-Endpunkt bereit.
4. Erstellen Sie ein privates Subnetz für den DNS-Endpunkt.
5. Erstellen Sie ein DRG.
6. Hängen Sie das VCN an das DRG an.
7. Erstellen Sie eine FastConnect mit einem privaten Virtual Circuit, um eine Verbindung zu On-Premise herzustellen und sie an das DRG anzuhängen.

DNS-Konfiguration

1. Erstellen Sie einen Listening-Endpunkt im VCN-DNS-Resolver, und stellen Sie ihn im DNS-Subnetz bereit.
2. Lassen Sie in der Liste "DNS-Subnetzsicherheit" UDP:53 mit Quell-IP für den On-Premise-DNS-Server zu.
3. Erstellen Sie DNS-Weiterleitungsregeln im On-Premise-DNS-Server. Konfigurieren Sie die Regeln aus der folgenden Tabelle.

   Domainname*	Ziel-IP:Port
   objectstorage. <oci-region-identifier>.oci.customer-oci.com	OCI Listening-Endpunkt-IP. Port 53
   swiftobjectstorage. <oci-region-identifier>.oci.customer-oci.com	OCI Listening-Endpunkt-IP. Port 53

   *Die neuesten Informationen zu Regionen und Availability-Domains finden Sie unter "Regionen und Availability-Domains".

Mehr erfahren

In diesen zusätzlichen Ressourcen erhalten Sie weitere Informationen zu den Features in dieser Referenzarchitektur.

• Private Endpunkte in Object Storage
• Oracle Exadata Database Service on Cloud@Customer - Dokumentation
• Oracle Cloud Infrastructure-Dokumentation
• Gut durchdachte Framework-Architektur für Oracle Cloud Infrastructure
• Oracle Cloud-Kostenrechner
• Cloud Adoption Framework

Bestätigungen

• Autoren: Ricardo Anda, Ejaz Akram