Despliegue la conectividad de red privada de entrada y salida multinube

La conexión de servicios y aplicaciones que se ejecutan en redes privadas con aplicaciones empresariales locales mediante la red pública de Internet puede suponer un riesgo para la seguridad de su organización. En su lugar, puede implementar una conexión privada entrante y saliente con aplicaciones en redes privadas como Amazon Virtual Private Cloud, Microsoft Azure Virtual Network, Google Cloud Virtual Private Cloud u otra red privada local.

Mediante el agente de conectividad de Oracle Integration Cloud Service y el punto final privado de Oracle Integration Cloud Service de OCI, Oracle Integration Cloud Service dirige el tráfico entrante y saliente de OCI a las aplicaciones locales.

Arquitectura

Esta arquitectura proporciona la conectividad necesaria entre las redes privadas multinube y los servicios y aplicaciones en la nube de Oracle sin dirigir el tráfico a través de la red pública de Internet como parte de su integración de entrada y salida de Oracle Integration Cloud Service. Utilice esta arquitectura cuando necesite consumir e interactuar con una conexión solo privada de Oracle Integration Cloud Service.

Oracle Integration Cloud Service muestra los servicios de integración de disparadores de la API de REST como disponibles públicamente, y todas las integraciones de disparadores de REST están disponibles para acceder a ellas a través de una red pública por defecto. Mediante la lista de permitidos de Oracle Integration Cloud Service, puede restringir el acceso a Oracle Integration Cloud Service solo a consumidores privados. Los consumidores privados no accederán a Oracle Integration Cloud Service directamente, sino a través de la capa de virtualización del servicio OCI representada por OCI API Gateway.

Las interacciones de OCI entrantes las activa OCI API Gateway, que permite publicar API con puntos finales privados a los que se puede acceder desde la red. En esta arquitectura, publicará los servicios de integración de Oracle Integration Cloud Service como API privadas junto con Oracle Integration Cloud Service. Se utilizan servicios adicionales de OCI para activar la conectividad privada para las interacciones de entrada y salida de Oracle Integration Cloud Service.

Hay 3 tipos de interacción en esta arquitectura:

• Agente de conectividad de Oracle Integration Cloud Service

  Suscribirse a servicios empresariales, aplicaciones y plataformas privadas. Esta arquitectura utiliza el agente de conectividad de Oracle Integration Cloud Service para comunicarse con aplicaciones o servicios de negocio privados. El agente de conectividad de Oracle Integration Cloud Service está instalado en una instancia informática de OCI en una subred privada dentro de una VCN de OCI. El agente de conectividad se comunica con Oracle Integration Cloud Service a través de un gateway de servicio en un lado y con el servicio o la aplicación que se ejecuta en una red privada en el otro lado a través de un gateway de enrutamiento dinámico (DRG) y un intercambio de tráfico privado FastConnect o VPN. El agente de conectividad implanta escenarios de salida de Oracle Integration Cloud Service, pero puede suscribir y sondear servicios de negocio, plataformas y aplicaciones (por ejemplo, servicio de mensajes java, cola de mensajes o base de datos).

• Conectividad de punto final privado de OCI

  Todo el tráfico saliente de Oracle Integration Cloud Service pasa por una conexión basada en un adaptador. Al crear un punto final privado para una instancia, la protección del tráfico saliente con el punto final privado está disponible adaptador por adaptador. Por ejemplo, un adaptador de Kafka y un adaptador FTP soportan la conectividad a través de un punto final privado, y no se necesita ningún agente de conectividad de Oracle Integration Cloud Service. El soporte del adaptador de conectividad de punto final privado crece con cada actualización de Oracle Integration Cloud Service.

• Gateway de API de OCI

  Aprovecha los servicios de OCI sin enrutar el tráfico entrante de OCI a través de redes públicas. Amplíe el patrón privado de OCI API Gateway mediante un gateway de servicio en la VCN donde se aprovisiona OCI API Gateway para permitir el tráfico a los servicios de Oracle. OCI API Gateway permite a las plataformas y aplicaciones privadas llamar a servicios y funciones que se ejecutan en OCI. En esta arquitectura, OCI API Gateway proporciona acceso a integraciones basadas en disparadores del adaptador de API de REST y a la API de gestión de Oracle Integration Cloud Service con conectividad privada.

El siguiente diagrama ilustra esta arquitectura de referencia.

Descripción de la ilustración integration-cloud-private-inbound-outbound.png

integración-nube-privada-entrada-outbound.zip

La arquitectura tiene los siguientes componentes:

• Región

  Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones, y pueden separarse grandes distancias (entre países e incluso continentes).

• Dominios de Disponibilidad

  Los dominios de disponibilidad son centros de datos independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten infraestructura, como la alimentación o la refrigeración, ni la red interna del dominio de disponibilidad. Por tanto, un fallo en un dominio de disponibilidad no debería afectar a los otros dominios de disponibilidad de la región.

• Dominios de errores

  Un dominio de errores es una agrupación de hardware e infraestructura dentro de un dominio de disponibilidad. Cada dominio de disponibilidad consta de tres dominios de errores con una potencia y un hardware independientes. Cuando distribuye recursos en varios dominios de errores, las aplicaciones pueden tolerar fallos en el servidor físico, el mantenimiento del sistema y fallos de alimentación dentro de un dominio de errores.

• Red y subredes virtuales en la nube (VCN)

  Una VCN es una red personalizable y definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes de los centros de datos tradicionales, las redes virtuales le proporcionan un control completo de su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

• Tabla de Direccionamiento

  Las tablas de rutas virtuales contienen reglas para enrutar el tráfico de subredes a destinos fuera de una VCN, normalmente a través de gateways.

• Lista de seguridad

  Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se debe permitir dentro y fuera de la subred.

• Gateway de enrutamiento dinámico (DRG)

  El DRG es un enrutador virtual que proporciona una ruta de acceso para el tráfico de red privada entre las VCN de la misma región, entre una VCN y una red fuera de la región, como una VCN de otra región de Oracle Cloud Infrastructure, una red local o una red de otro proveedor de nube.

• Equipo local de cliente (CPE)

  Objeto que representa el activo de red que reside en la red local y establece la conexión VPN. La mayoría de los firewalls de borde actúan como CPE, pero un dispositivo independiente (como un dispositivo o un servidor) puede ser un CPE.

• VPN de sitio a sitio

  La VPN de sitio a sitio proporciona conectividad VPN IPSec entre la red local y las redes virtuales en la nube de Oracle Cloud Infrastructure. El conjunto de protocolos IPSec cifra el tráfico IP antes de transferir los paquetes del origen al destino y descifra el tráfico cuando llega.

• FastConnect

  Oracle Cloud Infrastructure FastConnect proporciona una forma sencilla de crear una conexión privada y dedicada entre el centro de datos y Oracle Cloud Infrastructure. FastConnect proporciona opciones de mayor ancho de banda y una experiencia de red más fiable en comparación con las conexiones basadas en Internet.

• Punto final privado de OCI

  El punto final privado de OCI es un recurso de OCI privado que puede utilizar para acceder a recursos de nube no pública de su arrendamiento desde Oracle Cloud Infrastructure Resource Manager. Oracle Integration Cloud Service enruta el tráfico y los paquetes a través del punto final privado. Todo el tráfico permanece en su red privada sin pasar por la red pública de Internet.

• Gateway de API

  Oracle API Gateway le permite publicar API con puntos finales privados accesibles desde la red y que se pueden exponer a la red pública de Internet si es necesario. Los puntos finales admiten la validación de API, la transformación de solicitud y respuesta, CORS, la autenticación y autorización, y la limitación de solicitudes.

• Oracle Integration Cloud Service

  Oracle Integration Cloud Service es un servicio totalmente gestionado que permite integrar las aplicaciones, automatizar los procesos, intercambiar documentos de negocio B2B y crear aplicaciones visuales.

• Functions

  Oracle Cloud Infrastructure Functions es una plataforma de funciones como servicio (FaaS) totalmente gestionada, multicliente, altamente escalable y bajo demanda. Está alimentado por el motor de origen abierto Fn Project. Las funciones le permiten desplegar el código y llamarlo directamente o dispararlo en respuesta a eventos. Oracle Functions utiliza contenedores de Docker alojados en Oracle Cloud Infrastructure Registry.

• Oracle Cloud Infrastructure AI Services

  Oracle Cloud Infrastructure AI Services es una recopilación de servicios con modelos de aprendizaje automático predefinidos que facilitan a los desarrolladores la aplicación de la IA a aplicaciones y operaciones comerciales. Los modelos se pueden entrenar a medida para obtener resultados empresariales más precisos. Para obtener más información, consulte Oracle Cloud Infrastructure Generative AI, Oracle Cloud Infrastructure Language, Oracle Cloud Infrastructure Speech, Oracle Cloud Infrastructure Vision y Oracle Cloud Infrastructure Document Understanding.

• Servicios de aprendizaje automático (AA)

  Los servicios de aprendizaje automático de Oracle facilitan la creación, el entrenamiento, el despliegue y la gestión de modelos de aprendizaje personalizados. Estos servicios ofrecen capacidades de ciencia de datos con soporte de bibliotecas y herramientas de código abierto favoritas, o a través del aprendizaje automático en la base de datos y el acceso directo a datos limpiados. Consulte Oracle Cloud Infrastructure Data Science, Machine Learning in Oracle Database, Oracle Cloud Infrastructure Data Labeling, OCI Virtual Machines for Data Science.

• Oracle Digital Assistant

  Los asistentes digitales son dispositivos virtuales que ayudan a los usuarios a realizar tareas a través de conversaciones en lenguaje natural, sin tener que gestionar distintas aplicaciones y sitios web.

• Identity and Access Management (IAM)

  Oracle Cloud Infrastructure Identity and Access Management (IAM) es el plano de control de acceso para Oracle Cloud Infrastructure (OCI) y Oracle Cloud Applications. La API de IAM y la interfaz de usuario le permiten gestionar los dominios de identidad y los recursos del dominio de identidad. Cada dominio de identidad de OCI IAM representa una solución de gestión de identidad y acceso independiente o una población de usuarios diferente.

• Política

  Una política de Oracle Cloud Infrastructure Identity and Access Management especifica quién puede acceder a qué recursos y cómo. El acceso se otorga en el nivel de grupo y compartimento, lo que significa que puede escribir una política que proporcione a un grupo un tipo específico de acceso dentro de un compartimento específico o al arrendamiento.

• Auditoría

  El servicio Oracle Cloud Infrastructure Audit registra automáticamente las llamadas a todos los puntos finales de la interfaz pública de programación de aplicaciones (API) de Oracle Cloud Infrastructure soportados como eventos de log. Actualmente, todos los servicios son compatibles con el registro por parte de Oracle Cloud Infrastructure Audit.

• Logging
  El registro es un servicio altamente escalable y totalmente gestionado que proporciona acceso a los siguientes tipos de logs de sus recursos en la nube:

  • Logs de auditoría: logs relacionados con eventos emitidos por el servicio Audit.
  • Logs de servicios: logs emitidos por servicios individuales como API Gateway, eventos, funciones, equilibrio de carga, almacenamiento de objetos y logs de flujo de VCN.
  • Logs personalizados: logs que contienen información de diagnóstico de aplicaciones personalizadas, otros proveedores de nube o un entorno local.
• Oracle Cloud Infrastructure Logging Analytics

  Oracle Cloud Infrastructure Logging Analytics es un servicio en la nube basado en aprendizaje automático que supervisa, agrega, indexa y analiza todos los datos de log de entornos locales y multinube. Haga posible que los usuarios busquen, exploren y correlación estos datos con el fin de solucionar los problemas de forma más rápida y obtener estadísticas que permitan tomar mejores decisiones operativas.

• Object Storage

  Object Storage proporciona acceso rápido a grandes cantidades de datos estructurados y no estructurados de cualquier tipo de contenido, incluidas copias de seguridad de base de datos, datos analíticos y contenido enriquecido, como imágenes y vídeos. Puede almacenar datos de forma segura y, a continuación, recuperarlos directamente desde Internet o desde la plataforma en la nube. Puede escalar el almacenamiento sin problemas sin experimentar ninguna degradación del rendimiento ni de la fiabilidad del servicio. Utilice el almacenamiento estándar para el almacenamiento de acceso frecuente al que debe acceder de forma rápida, inmediata y frecuente. Utilice el almacenamiento de archivo para el almacenamiento "en frío" que conserva durante largos períodos de tiempo y a los que rara vez accede.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida. Los requisitos pueden diferir de la arquitectura que se describe aquí.

• VCN

  Al crear una VCN, determine el número de bloques de CIDR necesarios y el tamaño de cada bloque en función del número de recursos que planea asociar a las subredes de la VCN. Utilice bloques CIDR que estén dentro del espacio de dirección IP privada estándar.

  Seleccione bloques de CIDR que no se solapen con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) en la que desee configurar conexiones privadas.

  Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques de CIDR.

  Al diseñar las subredes, tenga en cuenta el flujo de tráfico y los requisitos de seguridad. Asocie todos los recursos de un nivel o rol específico a la misma subred, que puede servir como límite de seguridad.

• Conectividad

  Al desplegar recursos en Oracle Cloud Infrastructure, puede empezar poco a poco, con una única conexión a su red local. Esta única conexión puede ser a través de FastConnect o mediante la VPN IPSec. Para planificar la redundancia, tenga en cuenta todos los componentes (dispositivos de hardware, instalaciones, circuitos y energía) entre la red local y Oracle Cloud Infrastructure. También considere la diversidad, para garantizar que las instalaciones no se compartan entre los caminos.

• Restricción del acceso a una instancia de Oracle Integration Cloud Service

  Restrinja las redes que tienen acceso a la instancia de Oracle Integration Cloud Service mediante la configuración de una lista de permitidos (anteriormente una lista blanca). Solo los usuarios de las direcciones IP específicas, los bloques de enrutamiento entre dominios sin clase (CIDR) y las redes virtuales en la nube que especifique pueden acceder a la instancia de Oracle Integration Cloud Service.

• Red de punto final privado

  La VCN debe estar en la misma región que la instancia de Oracle Integration Cloud Service. La VCN y la subred pueden estar en cualquier compartimento y pueden estar en el mismo compartimento o en diferentes. La subred puede ser pública o privada, pero debe ser privada solo para el acceso privado.

Consideraciones

Tenga en cuenta los siguientes puntos al desplegar esta arquitectura de referencia.

• Posibilidades de ampliación

  Al crear instancias de Oracle Integration Cloud Service, los administradores especifican el número de paquetes de mensajes que planean utilizar por instancia.

• Límite de recursos

  Tenga en cuenta las mejores prácticas, los límites por servicio y las cuotas de compartimento para su arrendamiento.

• Seguridad

  Utilice las políticas de Oracle Cloud Infrastructure Identity and Access Management para controlar quién puede acceder a sus recursos en la nube y qué operaciones se pueden realizar. Los servicios en la nube de OCI utilizan políticas de Oracle Cloud Infrastructure Identity and Access Management, como permitir que OCI API Gateway llame a funciones. OCI API Gateway también puede controlar el acceso mediante la autenticación y autorización OAuth. Oracle Cloud Infrastructure Identity and Access Management permite la autenticación y autorización que se pueden federar mediante Oracle Cloud Infrastructure Identity and Access Management. Como resultado, OCI API Gateway tiene la capacidad de autenticarse en una amplia gama de servicios y configuraciones de autenticación.

• Rendimiento y costo

  OCI ofrece unidades de computación que se adaptan a una amplia gama de aplicaciones y casos de uso. Seleccione cuidadosamente las unidades para sus instancias informáticas. Seleccione unidades que proporcionen un rendimiento óptimo para su carga al menor costo. Si necesita más rendimiento, memoria o ancho de banda de red, puede cambiar a una unidad más grande.

  OCI API Gateway soporta el almacenamiento en caché de respuesta mediante la integración con un servidor de caché externo (como un servidor Redis o KeyDB), para ayudar a evitar una carga innecesaria en los servicios de backend. Cuando las respuestas se almacenan en caché, si se reciben solicitudes similares, se pueden completar recuperando datos de una caché de respuestas, en lugar de enviar la solicitud al servicio de backend. Esto reduce la carga en los servicios de backend y, por lo tanto, ayuda a mejorar el rendimiento y a reducir los costos.

  OCI API Gateway también almacena en caché los tokens de autorización (en función de su tiempo de salida), lo que reduce la carga en el proveedor de identidad y mejora el rendimiento.

• Disponibilidad

  Considere el uso de una opción de alta disponibilidad basada en los requisitos de despliegue y la región. Entre las opciones se incluyen la distribución de recursos en varios dominios de disponibilidad de una región, y la distribución de recursos en los dominios de errores de un dominio de disponibilidad. Los dominios de errores ofrecen la mejor resiliencia para las cargas de trabajo desplegadas en un solo dominio de disponibilidad. Para disfrutar de una alta disponibilidad en el nivel de aplicación, despliegue los servidores de aplicaciones en distintos dominios de errores y utilice un equilibrador de carga para distribuir el tráfico de cliente entre los servidores de aplicaciones.

• Supervisión y Alertas

  Configure la supervisión y las alertas sobre el uso de CPU y memoria para los nodos, para que pueda ampliar o reducir la unidad según sea necesario.

Despliegue

Puede desplegar esta arquitectura de referencia en Oracle Cloud Infrastructure siguiendo estos pasos:

1. Conéctese a la consola de OCI.
2. Configure la infraestructura de red necesaria como se muestra en el diagrama de arquitectura: VCN, subred, gateway de enrutamiento dinámico, lista de seguridad, tabla de enrutamiento, gateway de servicio, FastConnect/VPN, CPE y punto final privado de OCI.
3. Aprovisione una instancia de Oracle Integration Cloud Service.
4. Instale el agente de conectividad de Oracle Integration Cloud Service.
   1. Vaya a la consola de Oracle Integration Cloud Service y cree un grupo de agentes.
   2. Siga las instrucciones para descargar y ejecutar el instalador del agente de conectividad.
   3. Vaya a la consola de OCI y seleccione unidades de computación según los requisitos del sistema de Oracle Integration Cloud Service.
5. Configure el punto final privado de Oracle Integration Cloud Service.
6. Cree una instancia de OCI API Gateway.
7. Restrinja las redes con acceso a la instancia de Oracle Integration Cloud Service configurando una lista de permitidos, si es necesario.

Explorar más

Revise estos recursos para obtener instrucciones y contexto para desplegar la conectividad de red privada multinube mediante Oracle Integration Cloud Service.

Oracle Integration Cloud Service

• "Descarga y ejecución del instalador del agente de conectividad" en Aprovisionamiento y administración de Oracle Integration 3
• "Requisitos del sistema" en Aprovisionamiento y administración de Oracle Integration 3
• "Requisitos para Configurar un Punto Final Privado" en Aprovisionamiento y Administración de Oracle Integration 3
• "Acerca de la conexión a puntos finales mediante una red virtual en la nube (VCN) privada" en Aprovisionamiento y administración de Oracle Integration 3
• "Conexión a recursos privados" en Aprovisionamiento y administración de Oracle Integration 3

Oracle Cloud Infrastructure API Gateway

• "Guía del gateway de API QuickStart" en la documentación de Oracle Cloud Infrastructure
• Documentación de Oracle API Gateway

Oracle Cloud Infrastructure

• Entorno de mejores prácticas para Oracle Cloud Infrastructure
• Estimador de costos de Oracle Cloud
• Gestión de API de Oracle
• "FastConnect Visión general" en la documentación de Oracle Cloud Infrastructure
• "Visión general de Networking" en la documentación de Oracle Cloud Infrastructure
• "Descripción general de la seguridad" en la documentación de Oracle Cloud Infrastructure
• Establezca una conectividad de red privada multinube mediante Oracle Integration Cloud

Confirmaciones

Autores:

• Peter Obert, Pavan Rajalbandi

Contribuyentes:

• Marcel Straka