Comprender las tecnologías de conexión

Al realizar la integración entre una aplicación de servicios de Oracle Utilities Cloud y una aplicación alojada de forma externa, ya sea en su centro de datos o en un centro de datos de terceros, puede seleccionar entre tres tecnologías de conectividad diferentes, según los requisitos de integración y topología.

Las tecnologías de conexión disponibles son:

• Oracle Cloud Infrastructure FastConnect
• Conexión VPN IPsec
• Proxy Inverso

Descripción de Oracle VPN Connect

Puede utilizar Oracle VPN Connect para conectar su red corporativa/privada a Oracle Cloud Infrastructure (OCI) a través de Internet público. Proporciona comunicación segura a través de un túnel privado virtual a través de la red pública de Internet entre los servicios de Oracle Utilities Cloud en OCI y la aplicación externa con la que se integra.

Se deben configurar VPN independientes para cada centro de datos y cada centro de datos de terceros que pueda necesitar para conectarse a OCI, para integrar aplicaciones externas. Los clientes deben configurar y configurar VPN Connect. VPN Connect es un servicio gratuito, sin cargos por hora de puerto. El costo de transferencia de datos se cubre con la fijación de precios por redes en la nube.

Cuándo utilizar VPN Connect

Cuando existan estas condiciones, debe considerar el uso de VPN Connect:

• Cuando una aplicación externa que necesita integrarse con los servicios de Oracle Utilities Cloud está dentro de su red privada corporativa y no planea exponer las API a la red pública de Internet (salida de las aplicaciones de servicios de Oracle Utilities Cloud) desde su centro de datos o si la aplicación no puede acceder a la red pública de Internet (entrada en los servicios de Oracle Utilities Cloud), pero debe integrarse con los servicios de Oracle Utilities Cloud.

  Al acceder a los puntos finales/API privados de una aplicación externa, se necesitaría un intermediario en Oracle Cloud Infrastructure junto con VPN Connect. Los servicios de Oracle Utilities Cloud no se pueden conectar a direcciones IP privadas para la comunicación saliente desde SaaS, necesitan una dirección IP pública a la que conectarse para la integración.

• Cuando las aplicaciones externas no utilizan certificados emitidos por CA y tiene previsto utilizar una configuración de proxy inverso en Oracle Cloud Infrastructure y la aplicación externa no expone ninguna API a Internet pública. Puede que VPN Connect sea necesario para que el proxy inverso pueda conectarse a la aplicación externa desde Oracle Cloud Infrastructure.
• Cuando desee contar con un canal de comunicación seguro a través de Internet público para integrar los servicios de Oracle Utilities Cloud con las aplicaciones de su centro de datos o de un centro de datos de terceros.

Prepararse para usar VPN Connect

Antes de implementar VPN Connect para integrar aplicaciones externas con Oracle SaaS, haga lo siguiente:

• Comprenda los requisitos y las tareas para configurarlos.
• Configurar el equipo proporcionado por el cliente (CPE).
• Planifique despidos que eviten costosos tiempos de inactividad del sistema.

Configurar VPN Connect de IPSec

La configuración de una red de VPN Connect de IPSec entre aplicaciones externas y Oracle SaaS es un proceso de varios pasos que puede ser complejo a menos que lo entienda a fondo. En este tema, se proporciona una visión general básica de los pasos necesarios. Para obtener más información, consulte Configuración de VPN Connect, a la que se hace referencia en "Antes de usar VPN Connect".

1. Elija el tipo de enrutamiento que mejor funcione para su implantación. La VPN con IPSec tiene dos túneles IPSec redundantes y debe configurar el dispositivo de equipo proporcionado por el cliente (CPE) para utilizar ambos túneles. Puede seleccionar uno de los dos tipos de enrutamiento para estos túneles:
   • Enrutamiento dinámico de BGP, con el que las rutas disponibles se aprenden dinámicamente mediante BGP.
   • Enrutamiento estático, con el que, al configurar la conexión de IPSec con DRG, debe especificar a la red local las rutas específicas de las que desea que se conozca la VCN.
   Consulte "Enrutamiento para la VPN con IPSec de Oracle", a la que se hace referencia en "Antes de usar VPN Connect" para obtener más información sobre la selección del tipo de enrutamiento.
2. Complete el cuestionario en Configuración de VPN Connect, al que se hace referencia en "Antes de usar VPN Connect". Estas preguntas requieren información como el CIDR de la VCN, la dirección IP pública del dispositivo CPE, el tipo de enrutamiento que desea utilizar y otros detalles pertinentes.
3. Configure los componentes de la VPN con IPSec:
   1. Cree la VCN.
   2. Cree un DRG.
   3. Asocie el DRG a su VCN.
   4. Cree una tabla de rutas y una regla de ruta para DRG.
   5. Cree una lista de seguridad y reglas necesarias.
   6. Cree una subred en la VCN.
   7. Cree un objeto CPE y proporcione la dirección IP pública del dispositivo CPE.
   8. Cree una conexión de IPSec al objeto CPE y proporcione la información de enrutamiento necesaria.
4. Utilice el asistente de configuración de CPE, que generará la información que el ingeniero de redes utilizará al configurar el dispositivo CPE. Para obtener más información, consulte Uso del asistente de configuración de CPE y también la configuración de CPE, a la que se hace referencia en "Antes de utilizar VPN Connect".
5. Haga que el ingeniero de redes configure el dispositivo CPE.
6. Validar conexión.

Configurar equipo proporcionado por el cliente

Los ingenieros de red requieren información básica sobre las interfaces internas y externas del dispositivo local; es decir, el equipo proporcionado por el cliente o el CPE. Esto les permitirá configurar estos dispositivos locales en el extremo de la VPN con IPSec para que el tráfico pueda fluir entre la red local y la VCN.

Nota:

Oracle ha verificado el uso de software específico con VPN Connect; sin embargo, enumerarlos aquí está fuera del alcance de este manual. Puede ver esta lista en Dispositivos CPE verificados, a la que se hace referencia en "Antes de usar VPN Connect".

El ingeniero de redes deberá realizar los siguientes pasos:

1. Determine los requisitos de enrutamiento. Oracle utiliza el enrutamiento asimétrico en varios túneles que forman la conexión VPN con IPSec. Incluso si configura un túnel como principal y otro como de copia de seguridad, el tráfico de la VCN a la red local puede utilizar cualquier túnel "activo" en el dispositivo.

   Configure los firewalls en consecuencia. En caso contrario, las pruebas de ping o el tráfico de aplicaciones en la conexión no funcionarán de manera fiable. Si utiliza el enrutamiento dinámico BGP con la VPN con IPSec, puede configurar el enrutamiento para que Oracle prefiera un túnel sobre el otro.

2. Recopile información importante sobre la VCN y las conexiones de IPSec con varios túneles de IPSec. Esta información incluye:
   • OCID de VCN, que es un identificador único de Oracle Cloud Infrastructure que tiene un UUID al final
   • CIDR de VCN
   • Máscara de subred CIDR de VCN
   • Para cada túnel de IPSec, la dirección IP del punto final del túnel de IPSec de Oracle (la cabecera de VPN) y el secreto compartido
3. Recopile información básica sobre las interfaces internas y externas del dispositivo local (su CPE).
4. Determine si los extremos de VPN de Oracle utilizan túneles basados en rutas o túneles basados en políticas (tenga en cuenta también que el uso de túneles basados en políticas incluye algunas advertencias).
5. Observe estas mejores prácticas de VPN con IPSec:
   • Configure todos los túneles para cada conexión de IPSec.
   • Disponga de CPE redundantes en sus ubicaciones locales.
   • Considere la posibilidad de realizar copias de seguridad de las rutas agregadas.
6. Pruebe y confirme el estado de conexión. Después de configurar la conexión de IPSec, pruebe la conexión iniciando una instancia en la VCN y, a continuación, haciendo clic en ella desde la red local.

Planificar redundancias

Las redundancias en su implantación de VPN Connect de IPSec garantizan un rendimiento fiable y minimizan o eliminan el costoso tiempo de inactividad y otras tensiones en el sistema. Al implementar redundancias, la clave es crear rutas de copia de seguridad diseñadas para la eficiencia, la velocidad y la disponibilidad.

Para planificar la redundancia, tenga en cuenta todos los componentes (hardware, instalaciones, circuitos y energía) entre la red local y Oracle Cloud Infrastructure. Tenga en cuenta también la diversidad para garantizar que las instalaciones no se compartan entre las rutas. Aquí se describen las consideraciones de redundancia:

Componente	Consideraciones
Proveedor de servicios de internet (ISP)	No todos los ISP son los mismos. Las relaciones de intercambio de tráfico de su ISP permiten que su ruta de tráfico sea más eficiente, reduciendo la latencia a medida que varía a través de Internet.
Hardware	Active servicios con hardware redundante y asegúrese de que no haya un único punto de fallo en ninguna parte de la ruta. ¿Cómo va a gestionar el mantenimiento de la infraestructura (por Oracle o su propio departamento de TI)? ¿Puede tolerar el tiempo de inactividad? ¿Cuánto tiempo de inactividad puede tolerar?
Diversidad de instalaciones	¿Tiene fuentes de alimentación redundantes? ¿Tiene puntos de entrada de telecomunicaciones diversos en su edificio? ¿Está su equipo en diferentes racks o centros de datos?
Diversidad de POP de Oracle FastConnect	¿Desea terminar ambos circuitos de FastConnect en el mismo punto de presencia (POP) o en diferentes ubicaciones? Tenga en cuenta que la diversidad POP solo está disponible en las regiones Phoenix, Ashburn, Frankfurt y Londres.
Diversidad de proveedores de circuitos	¿Tiene previsto utilizar diversos transportistas? ¿Sus circuitos WAN o Internet son totalmente diversos o comparten un POP? Tenga en cuenta que tener diferentes soportes no significa que los circuitos sean totalmente diversos.

Para revisar algunos ejemplos útiles de planificación de redundancia, consulte los casos de uso de redundancia en la Guía de redundancia de conectividad, a los que se hace referencia en "Antes de usar VPN Connect" en otra parte de este manual.

Antes de utilizar VPN Connect

Las mejores prácticas de VPN Connect anteriores se eliminaron de la documentación de Oracle Cloud Infrastructure, que contiene información más detallada sobre este servicio. Antes de utilizar VPN Connect, debe revisar lo siguiente:

• Para obtener una lista de comprobación de requisitos de VPN Connect, consulte Antes de empezar.
• Para comprender el proceso de configuración de VPN Connect, consulte Configuración de VPN Connect.
• Para obtener una lista de los dispositivos del equipo proporcionado por el cliente (CPE) y su configuración, consulte Verified CPE Devices y CPE Configuration.
• Para obtener directrices de planificación de redundancia, consulte Planning Redundancy.

Comprender OCI FastConnect

Oracle FastConnect permite que un proveedor de telecomunicaciones instale una línea privada dedicada entre un centro de datos externo y el centro de datos de Oracle Cloud Infrastructure (OCI). Esto proporciona una comunicación fiable y segura a través de una línea privada dedicada independiente que conecta el centro de datos OCI y el centro de datos externo, y proporciona capacidades de comunicación fuera de la red pública de Internet.

Oracle FastConnect se puede utilizar con el centro de datos que pertenece al cliente de la aplicación de servicios de Oracle Utilities Cloud o con un centro de datos de terceros para integrar aplicaciones externas. La capacidad de FastConnect con un centro de datos de terceros puede implicar acuerdos/effort adicionales. Si se necesita la capacidad de FastConnect, el cliente tiene que adquirir una licencia y configurarla por separado.

Cuándo utilizar OCI FastConnect

Utilice OCI FastConnect siempre que sea necesaria una línea privada dedicada con gran ancho de banda entre el centro de datos que aloja la aplicación externa y la aplicación de servicios de Oracle Utilities Cloud.

Preparación para utilizar OCI FastConnect

Antes de implantar FastConnect de Oracle Cloud Infrastructure para integrar aplicaciones externas con Oracle SaaS, haga lo siguiente:

• Revise la documentación de OCI FastConnect.
• Comprenda los requisitos de OCI FastConnect.
• Revise los conceptos de diseño más eficaces.
• Planificar despidos.

Revisar la documentación de FastConnect

Oracle proporciona documentación sustancial y completa para la implantación y el uso de OCI FastConnect, que queda fuera del alcance de esta estrategia. Consulte los enlaces del tema "Antes de utilizar OCI FastConnect" para buscar este contenido.

Descripción de los requisitos de FastConnect

Antes de empezar a utilizar FastConnect, debe abordar un juego de requisitos de implantación.

Como mínimo, cumpla estos requisitos:

• Tenga una cuenta de Oracle Cloud Infrastructure, con al menos un usuario con los permisos adecuados de Oracle Cloud Infrastructure Identity and Access Management (IAM).
• Tenga los permisos adecuados de Oracle Cloud Infrastructure Identity and Access Management (IAM) (por ejemplo, un usuario del grupo Administradores).
• Posibilidad de utilizar un equipo de red compatible con un enrutamiento de nivel 3 con BGP.
• Para la colocación con Oracle: capacidad de conectarse usando fibra de modo único en la ubicación seleccionada de FastConnect. Consulte también los requisitos de hardware y enrutamiento.
• Para conectarse a un partner de Oracle, necesita al menos una conexión de red física con el partner.
• Para conectarse a un proveedor externo, necesita al menos una conexión física con el proveedor.
• Solo para el intercambio de tráfico privado, necesita una configuración de DRG existente para la VCN.
• Solo para el intercambio de tráfico público: necesita la lista de prefijos de dirección IP pública que desea utilizar con la conexión. Oracle validará la propiedad de cada prefijo.

Puede encontrar información adicional sobre estos requisitos en la documentación de requisitos de hardware y enrutamiento, a la que se hace referencia en el tema "Antes de utilizar OCI FastConnect" en otra parte de esta guía.

Revisar las opciones de diseño de FastConnect

Hay tres opciones de FastConnect entre las que elegir: proveedor de Oracle, proveedor de terceros y colocación. Este tema le ayudará a elegir la mejor opción para su implantación, en función de los puntos importantes del diseño.

Debe tener en cuenta tres puntos principales al planificar un despliegue de FastConnect:

• En primer lugar, determine la ubicación de Oracle a la que desea conectarse.

  Oracle tiene varias ubicaciones en todo el mundo, denominadas regiones, donde se despliega Oracle Cloud Infrastructure. Cada región tiene una o dos ubicaciones de entrada físicas denominadas centros de datos de FastConnect (DC). FastConnect DC es el punto de entrada en la región de OCI y está equipado con hardware redundante. FastConnect DC es donde el cliente establecerá la conectividad. Puede encontrar una lista completa de las regiones activadas para FastConnect en el sitio web Oracle North America Network Provider and Exchange Partners, al que se hace referencia en el tema "Antes de utilizar OCI FastConnect".

• A continuación, identifique los servicios a los que desea conectarse mediante FastConnect (también conocido como circuito virtual).
  FastConnect hace referencia a la conexión física entre el entorno local y Oracle Cloud Infrastructure (OCI). En FastConnect creará un circuito virtual para conectarse a los servicios de OCI. Hay dos tipos de circuitos virtuales (VC):

  • Intercambio de tráfico privado, que es un circuito virtual cuando desea conectarse de forma local a la red virtual en la nube (VCN) dentro de OCI.
  • Intercambio de tráfico público, que es un circuito virtual que puede utilizar para conectar su sistema local a Oracle Services Network (OSN) y acceder a los servicios públicos sin utilizar Internet.
• Por último, determine qué tipo de FastConnect utilizar:
  ¿Cuál de las tres opciones de FastConnect se adapta mejor a sus necesidades? Para responder a esa pregunta, debe tener en cuenta algunos aspectos diferentes de su diseño:

  • ¿Dónde se encuentra el centro de datos del cliente?
  • Cuántos centros de datos desea conectar con OCI
  • ¿Qué relación tiene el cliente con los proveedores o transportistas?
  • ¿Dónde puede proporcionar el proveedor circuitos o conexiones cruzadas a
  • ¿Con qué rapidez desea que el cliente despliegue FastConnect? Ancho de banda de latencia de costos

  Estos son puntos clave que se deben tener en cuenta en el diseño y la selección de la opción de FastConnect adecuada. Por ejemplo, si el cliente tiene una buena relación con el proveedor A pero el proveedor A no es un proveedor de Oracle, la siguiente opción es utilizar el proveedor de terceros o la opción Colocación. Si el proveedor A puede desplegar circuitos en FastConnect DC pero no puede desplegar la conexión cruzada en FastConnect DC, el cliente tendrá que consultar otro proveedor. Si el cliente no está en la misma dirección que FastConnect DC, Colocation no es una opción.

Se trata de una breve descripción de cómo abordar las opciones de diseño para la implantación de OCI FastConnect. Para obtener una explicación más detallada de estas opciones de diseño, consulte la publicación del blog FastConnect Design, a la que se hace referencia en el tema "Antes de utilizar OCI FastConnect".

Planificar redundancias

Las redundancias en la implantación de OCI FastConnect garantizan un rendimiento fiable y minimizan o eliminan el costoso tiempo de inactividad y otras tensiones en el sistema. Al implementar redundancias, la clave es crear rutas de copia de seguridad diseñadas para la eficiencia, la velocidad y la disponibilidad.

Aunque las mejores prácticas de redundancia que debe seguir dependen del modelo de conectividad que utilice, siempre debe diseñar la red para lograr alta disponibilidad (HA) y para que esté preparada para estos tipos de interrupciones:

• Mantenimiento programado regularmente por la organización, el proveedor (si utiliza uno) u Oracle.
• Fallos inesperados en la parte de los componentes de red, el proveedor u Oracle. Los fallos son poco frecuentes, pero debe planificarlos.

Para ayudar a garantizar la redundancia, Oracle proporciona:

• Varios proveedores para cada región
• Dos ubicaciones de FastConnect para cada una de las siguientes regiones (las demás regiones tienen una única ubicación de FastConnect)
  • Centro de Alemania (Frankfurt)
  • Sur de Reino Unido (Londres)
  • Este de EE. UU. (Ashburn)
  • Oeste de EE. UU. (Phoenix)
• Dos enrutadores en cada ubicación FastConnect
• Varias conexiones físicas entre cada partner de Oracle y Oracle ( para una región determinada)

Puede encontrar un análisis más completo de las mejores prácticas específicas de un modelo de conectividad de OCI FastConnect en las mejores prácticas de redundancia de FastConnect, a las que se hace referencia en "Antes de utilizar OCI FastConnect".

Antes de utilizar OCI FastConnect

Las mejores prácticas de FastConnect de Oracle Cloud Infrastructure anteriores se eliminaron de la documentación de OCI, que contiene información más detallada sobre este servicio. Antes de utilizar FastConnect, debe revisar lo siguiente:

• Para obtener la documentación completa de FastConnect, consulte FastConnect.
• Para comprender los requisitos de FastConnect, consulte Requisitos de FastConnect.
• Para conocer las mejores prácticas a la hora de diseñar una implantación de FastConnect, consulte Diseño de FastConnect y Mejores prácticas de redundancia de FastConnect.

Descripción del ejemplo de proxy inverso

Un proxy inverso es un tipo de servidor proxy que envía por proxy uno o más servidores y recupera recursos de esos servidores en nombre de un cliente. El cliente considera que las solicitudes son atendidas por el proxy inverso y es oblicuo con los servidores que el proxy inverso abstrae. Se puede utilizar un proxy inverso para exponer puntos finales/API privados a Internet público y también para proporcionar comunicaciones seguras mediante certificados firmados, si un servidor/aplicación no utiliza certificados firmados.

Puede aprovisionar un proxy inverso en la zona desmilitarizada del centro de datos que tenga acceso a su red corporativa/privada y exponer puntos finales específicos de su aplicación a la red pública de Internet a través del proxy inverso para su integración con las aplicaciones de servicios de Oracle Utilities Cloud en OCI.

Si no hay certificados firmados por CA en las aplicaciones externas que deban integrarse con las aplicaciones de servicios de Oracle Utilities Cloud (más específicamente para la comunicación saliente de las aplicaciones de servicios de Oracle Utilities Cloud), puede configurar un proxy inverso con certificados firmados por CA para obtener un proxy para las aplicaciones o aplicaciones externas.

Se puede configurar un único proxy inverso para proxy para varias aplicaciones, sujeto a la configuración de red. El proxy inverso se puede configurar en Oracle Cloud Infrastructure o en la zona de red desmilitarizada del centro de datos, según la aplicabilidad. Puede utilizar el software de proxy adecuado que necesite VM y otras suscripciones de recursos, la configuración y la configuración según sea necesario, para tener la configuración de proxy inverso en Oracle Cloud Infrastructure.

Cuándo utilizar un proxy inverso

Las API de la aplicación externa no están expuestas a la red pública de Internet, por lo que un proxy inverso que esté configurado en el centro de datos de la aplicación externa o en Oracle Cloud Infrastructure puede exponer esos puntos finales a las aplicaciones de servicios de Oracle Utilities Cloud.

En caso de que el proxy inverso esté configurado en Oracle Cloud Infrastructure, puede que se necesite VPN Connect si las API de la aplicación externa no están expuestas a la red pública de Internet. Si las aplicaciones externas no utilizan certificados firmados por CA. A continuación, se puede configurar un único proxy inverso con certificados emitidos por CA para proxy de una o más aplicaciones externas.

A continuación, se muestra un ejemplo de configuración de un proxy inverso en OCI:

1. Para configurar un proxy inverso en OCI, cree una instancia de VM en su VCN.
2. Si utiliza Linux como sistema operativo para su máquina virtual, configure reglas de entrada en la VCN para permitir SSH en la máquina virtual.
3. Descargue e instale un software de proxy inverso en la VM recién aprovisionada en OCI y configúrelo para que pueda recibir comunicación de los servicios de Oracle Utilities Cloud y direccionarlo a la aplicación externa a través de la VPN.
4. Asegúrese de configurar el proxy inverso con una dirección IP pública para que Oracle Utilities Cloud Service pueda enviar la comunicación saliente al proxy inverso.

Consulte "Descripción de los canales de integración disponibles" en otro lugar de este cuaderno de estrategias para comprender los canales soportados y los requisitos adicionales para la integración con sistemas externos.

Comprender las diferencias entre VPN Connect y OCI FastConnect

Si no necesita utilizar un proxy inverso para implantar la integración entre la aplicación de servicios de Oracle Utilities Cloud y una aplicación alojada externamente, pero no está seguro de si utilizar IPSec VPN Connect u OCI FastConnect, comprender las diferencias entre ambos le ayudará a tomar la determinación correcta.

Una VPN con IPSec establece una conexión de red cifrada a través de Internet entre el centro de datos de la aplicación externa y su red virtual en la nube de VCN de Oracle Cloud Infrastructure. Proporciona ancho de banda bajo o modesto y tiene la variabilidad inherente en las conexiones basadas en Internet.

FastConnect omite Internet. En su lugar, utiliza conexiones privadas y dedicadas entre la red o el centro de datos de la aplicación externa y su VCN.

Otras comparaciones están aquí:

	IPSec VPN Connect	OCI FastConnect
Caso de uso	Cargas de trabajo de desarrollo, prueba y producción a pequeña escala	Cargas de trabajo empresariales y fundamentales, Oracle Applications, Backup, DR
Servicios soportados	Todos los servicios de OCI en VCN	Todos los servicios de OCI en VCN
Ancho de banda típico	Normalmente agregación de < 250 Mbps	Ancho de banda superior; incrementos de puertos de 1 Gbps y 10 Gbps
Internet	Seguridad de Protocolo de Internet (IPsec)	Protocolo de límite (BGP)
Enrutamiento	Ruta estática	Direccionamiento Dinámico
Resiliencia de conexión	activo-activo	activo-activo
Cifrado	Sí, por defecto	No. Se puede lograr mediante el firewall virtual.
Precios	Gratuito para un servicio gestionado	Horas de puerto facturables Sin cargo de transferencia de datos entre dominios de disponibilidad
Acuerdo de Nivel de Servicio	Sin acuerdo de nivel de servicio	Disponibilidad del 99.9% Acuerdo de nivel de servicio