Despliegue de un cluster de varios nodos de Oracle Managed File Transfer mediante Oracle Cloud Marketplace
Arquitectura
Esta arquitectura muestra el despliegue de la transferencia de archivos gestionada por Oracle en una configuración de cluster en la región de infraestructura de Oracle Cloud mediante Oracle Cloud Marketplace. En el siguiente diagrama se ilustra esta arquitectura de referencia.
Descripción de la ilustración deployment-mft-orm.png
- Región
Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones, y las grandes distancias pueden separarlas (entre países e incluso continentes).
- dominios de disponibilidad
Los dominios de disponibilidad son centros de datos independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten infraestructura, como la alimentación o la refrigeración, ni la red interna del dominio de disponibilidad. Por lo tanto, es improbable que un fallo en un dominio de disponibilidad afecte a los otros dominios de la región.
- Red virtual en la nube (VCN) y subredes
Una VCN es una red definida por software y personalizable que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes de los centros de datos tradicionales, las redes virtuales le proporcionan un control completo de su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.
- Tabla de ruta
Las tablas de rutas virtuales contienen reglas para enrutar el tráfico desde subredes hasta destinos fuera de una VCN, normalmente a través de gateways.
- Lista de Seguridad
Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se debe permitir dentro y fuera de la subred.
- Gateway de Internet
El gateway de Internet permite el tráfico entre las subredes públicas de una VCN y la red pública de Internet.
- Host bastión
El host bastión es una instancia informática que sirve como punto de entrada seguro y controlado a la topología desde fuera de la nube. El host de bastión se aprovisiona, por ejemplo, en una zona desmilitarizada (DMZ). Le permite proteger los recursos sensibles, colocándolos en redes privadas a las que no se puede acceder directamente desde fuera de la nube. La topología tiene un único punto de entrada conocido que puede supervisar y auditar con regularidad. Por lo tanto, puede evitar exponer los componentes más sensibles de la topología sin comprometer el acceso.
- Equilibrador de carga
El servicio Oracle Cloud Infrastructure Load Balancing proporciona una distribución automatizada del tráfico desde un único punto de entrada a varios servidores en el backend.
- Cluster MFT
Oracle MFT permite una gestión y un intercambio de archivos seguros entre la nube y las aplicaciones empresariales SaaS o locales. Oracle Cloud ofrece la infraestructura y la plataforma en la nube necesarias para aprovisionar su entorno MFT. Al combinarlos, ofrecen protección frente al acceso involuntario a archivos no seguros en cada paso del proceso de transferencia global de los archivos.
- Base de datos autónoma
Las bases de datos autónomas de Oracle Cloud Infrastructure son entornos de base de datos totalmente gestionados y preconfigurados que puede utilizar para el procesamiento de transacciones y las cargas de trabajo de almacenamiento de datos. No necesita configurar ni gestionar ningún hardware, ni instalar ningún software. Oracle Cloud Infrastructure se encarga de crear la base de datos, así como de realizar copias de seguridad, aplicar parches, actualizar y ajustar la base de datos.
Recomendaciones
- VCN
Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque en función del número de recursos que planea asociar a las subredes de la VCN. Utilice bloques CIDR que estén dentro del espacio de dirección IP privada estándar.
Seleccione bloques CIDR que no se superpongan con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor de nube) a la que desea configurar conexiones privadas.
Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques CIDR.
Al diseñar las subredes, tenga en cuenta el flujo de tráfico y los requisitos de seguridad. Asocie todos los recursos de un nivel o rol específico a la misma subred, que puede servir como límite de seguridad.
- Grupos de seguridad de red (NSG)
Puede utilizar los NSG para definir un conjunto de reglas de entrada y salida que se aplican a VNIC específicas. Recomendamos utilizar NSG en lugar de listas de seguridad, porque los NSG permiten separar la arquitectura de subred de la VCN de los requisitos de seguridad de su aplicación.
- Zonas de seguridad
Para los recursos que requieren la máxima seguridad, Oracle recomienda utilizar zonas de seguridad. Una zona de seguridad es un compartimento asociado a una receta de políticas de seguridad definida por Oracle que se basa en las mejores prácticas. Por ejemplo, los recursos de una zona de seguridad no deben ser accesibles desde la Internet pública y deben cifrarse con claves gestionadas por el cliente. Al crear y actualizar recursos en una zona de seguridad, Oracle Cloud Infrastructure valida las operaciones con respecto a las políticas de la receta de zona de seguridad y deniega las operaciones que violan cualquiera de las políticas.
- Cloud Guard
Clone y personalice las recetas por defecto que proporciona Oracle para crear recetas personalizadas de detector y responsable de respuesta. Estas recetas le permiten especificar qué tipo de violaciones de seguridad generan una advertencia y qué acciones se pueden realizar en ellas. Por ejemplo, puede que desee detectar bloques de almacenamiento de objetos con visibilidad definida como públicos. Aplique Cloud Guard en el nivel de arrendamiento para abarcar el ámbito más amplio y reducir la carga administrativa que supone el mantenimiento de varias configuraciones. También puede utilizar la función Lista gestionada para aplicar determinadas configuraciones a los detectores.
Consideraciones
Al desplegar un cluster de varios nodos de MFT en OCI Marketplace, tenga en cuenta estos factores.
- Escalabilidad
- Capa de Aplicaciones:
Puede ampliar verticalmente el servidor de aplicaciones cambiando la unidad de la instancia informática. Una unidad con un mayor recuento de núcleos también proporciona más memoria y ancho de banda de red. Si se necesita más almacenamiento, aumente el tamaño de los volúmenes en bloque asociados al servidor de aplicaciones.
- Capa de base de datos:
Puede escalar verticalmente la base de datos activando núcleos adicionales para la base de datos. Tanto los núcleos como el almacenamiento se pueden ampliar sin ningún tiempo de inactividad de la base de datos.
- Capa de Aplicaciones:
- Límite de recursos
Tenga en cuenta las mejores prácticas, los límites por servicio y las cuotas de compartimento para su arrendamiento.
- Seguridad
- Utilice las políticas de Oracle Cloud Infrastructure Identity and Access Management (IAM) para controlar quién puede acceder a sus recursos en la nube y qué operaciones se pueden realizar.
- Para proteger las contraseñas de la base de datos o cualquier otro secreto, considere utilizar el servicio Oracle Cloud Infrastructure Vault.
- Rendimiento y costos
Oracle Cloud Infrastructure ofrece unidades de computación que se adaptan a una amplia gama de aplicaciones y casos de uso. Seleccione cuidadosamente las unidades de sus instancias informáticas. Seleccione las unidades que proporcionen un rendimiento óptimo para la carga al menor costo. Si necesita más rendimiento, memoria o ancho de banda de red, puede cambiar a una unidad más grande.
- Disponibilidad
Considere el uso de una opción de alta disponibilidad en función de sus requisitos de despliegue y su región. Entre las opciones se incluye la distribución de recursos entre varios dominios de disponibilidad de una región, así como la distribución de recursos entre los dominios de errores de un dominio de disponibilidad. Los dominios de errores proporcionan la mejor resiliencia a las cargas de trabajo desplegadas en un solo dominio de disponibilidad. Para una alta disponibilidad en el nivel de aplicación, configure su MFT con un cluster de varios nodos en el que cada uno de los servidores MFT gestionados se distribuya en diferentes dominios de disponibilidad de una región y utilice un equilibrador de carga para distribuir el tráfico del cliente entre los servidores de aplicaciones.
- Supervisión y alertas
Configure la supervisión y las alertas sobre el uso de CPU y memoria para los nodos, de modo que pueda ampliar o reducir la unidad según sea necesario.
- Estrategia de base de datos
Cuando el tipo de servicio es Cluster de MFT y la estrategia de base de datos es Base de datos de Autonomous Transaction Processing. La configuración de un almacenamiento de archivos es obligatoria para el tipo de servicio de cluster de MFT en una base de datos de Autonomous Transaction Processing (ATP).