Despliegue de un servicio Oracle API Gateway en un entorno híbrido

Despliegue un servicio de Oracle API Gateway en un entorno híbrido con componentes de entorno de API externos e internos para publicar API con puntos finales privados accesibles desde la red y que se pueden mostrar con direcciones IP públicas si desea que acepten tráfico de Internet. Los puntos finales soportan la validación de API, la transformación de solicitud y respuesta, CORS, la autenticación y autorización, y la limitación de solicitudes. El servicio de gateway de API permite crear uno o varios gateways de API en una subred regional para procesar el tráfico de clientes de API y direccionarlo a servicios de backend. Puede utilizar un único gateway de API para enlazar varios servicios de backend (como equilibradores de carga, instancias informáticas y Oracle Functions) a un único punto final de API consolidado. El servicio de gateway de API está integrado con Oracle Cloud Infrastructure Identity and Access Management, que proporciona una autenticación sencilla con la funcionalidad de identidad nativa de Oracle Cloud Infrastructure.

Arquitectura

En esta arquitectura se muestra un centro de datos de cliente local y una región de Oracle Cloud Infrastructure (OCI) con un compartimento y dos dominios de disponibilidad que utilizan un servidor de gateway de API para proporcionar un entorno de acceso público a Internet.

El centro de datos del cliente local aprovecha el gateway de API para planificar, crear, crear prototipos, desplegar y gestionar API en un entorno seguro y ampliable. El entorno local puede ser un entorno de API privado o puede formar parte de un entorno de API público en el que las API se pueden compartir con la red pública de Internet.

El gateway de API sirve como portal del diseñador de API y un portal del desarrollador. El diseñador de API es donde los diseñadores de API crean, prueban, despliegan y gestionan sus API, el portal del desarrollador es donde los consumidores de API pueden ver las API, la documentación de API y probar las API.

El siguiente diagrama ilustra esta arquitectura de referencia. Descripción de api-gateway-hybrid.png a continuación
Descripción de la ilustración api-gateway-hybrid.png

La arquitectura tiene los siguientes componentes:

Región
Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y las grandes distancias pueden separarlas (entre países e incluso continentes).
Dominios de disponibilidad
Los dominios de disponibilidad son centros de datos independientes e independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten infraestructura, como alimentación o refrigeración, ni la red interna del dominio de disponibilidad. Por lo tanto, un fallo en un dominio de disponibilidad es poco probable que afecte a los otros dominios de disponibilidad de la región.
Dominios de errores
Un dominio de errores es una agrupación de hardware e infraestructura dentro de un dominio de disponibilidad. Cada dominio de disponibilidad tiene tres dominios de errores con alimentación y hardware independientes. Cuando distribuye recursos en varios dominios de errores, las aplicaciones pueden tolerar fallos del servidor físico, mantenimiento del sistema y fallos de alimentación dentro de un dominio de errores.
Red virtual en la nube (VCN) y subredes
Una VCN es una red personalizable y definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes del centro de datos tradicionales, las VCN le proporcionan un control total de su entorno de red. Una VCN puede tener varios bloques CIDR no solapados que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, que se pueden acotar a una región o a un dominio de disponibilidad. Cada subred consta de un rango de direcciones contiguas que no se solapan con las otras subredes de VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.
FastConnect
Oracle Cloud Infrastructure FastConnect proporciona una forma sencilla de crear una conexión privada dedicada entre el centro de datos y Oracle Cloud Infrastructure. FastConnect ofrece opciones de ancho de banda superior y una experiencia de red más fiable en comparación con las conexiones basadas en Internet.
Oracle Cloud Infrastructure Web Application Firewall (WAF)
Oracle Cloud Infrastructure Web Application Firewall es un servicio de seguridad global basado en la nube y conforme con los requisitos de la industria de tarjetas de pago (PCI) que protege las aplicaciones frente al tráfico de Internet no deseado y malicioso. WAF puede proteger cualquier punto final orientado a Internet, lo que proporciona un cumplimiento de reglas consistente en todas las aplicaciones de clientes.
Gateway de internet
El gateway de Internet permite el tráfico entre las subredes públicas de una VCN y la red pública de Internet.
Equilibrador de carga
El servicio Oracle Cloud Infrastructure Load Balancing proporciona una distribución automatizada de tráfico desde un único punto de entrada a varios servidores del backend.
Gateway de enrutamiento dinámico (DRG)
El DRG es un enrutador virtual que proporciona una ruta de acceso para el tráfico de red privada entre una VCN y una red fuera de la región, como una VCN en otra región de Oracle Cloud Infrastructure, una red local o una red en otro proveedor de nube.
Gateway de intercambio de tráfico local (LPG)
Un LPG permite emparejar una VCN con otra VCN en la misma región. El intercambio de tráfico significa que las VCN se comunican mediante direcciones IP privadas, sin el tráfico que atraviesa Internet o el enrutamiento a través de la red local.
Gateway de API
El servicio de gateway de API le permite publicar API con puntos finales privados accesibles desde la red y que se pueden mostrar a la red pública si es necesario. Los puntos finales soportan la validación de API, la transformación de solicitud y respuesta, CORS, la autenticación y autorización, y la limitación de solicitudes.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida al desplegar Oracle API Gateway en un entorno híbrido. Los requisitos pueden ser diferentes de la arquitectura que se describe aquí.

VCN
Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque según el número de recursos que planea asociar a subredes de la VCN. Utilice bloques CIDR que estén dentro del espacio de direcciones IP privadas estándar.

Seleccione bloques CIDR que no se superpongan con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) a la que desee configurar conexiones privadas.

Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques de CIDR.

Al diseñar las subredes, tenga en cuenta los requisitos de flujo de tráfico y seguridad. Conecte todos los recursos de un nivel o rol específico a la misma subred, que puede servir como límite de seguridad.

Utilizar subredes regionales.
Seguridad
Utilice Oracle Cloud Guard para supervisar y mantener la seguridad de los recursos en Oracle Cloud Infrastructure de forma proactiva. Cloud Guard utiliza recetas de detector que puede definir para examinar los recursos con el fin de detectar puntos débiles en la seguridad y para supervisar los operadores y usuarios en busca de actividades de riesgo. Cuando se detecta una configuración incorrecta o una actividad insegura, Cloud Guard recomienda acciones correctivas y ayuda a realizar esas acciones, en función de las recetas de los respondedores que puede definir.

Para los recursos que requieren máxima seguridad, Oracle recomienda utilizar zonas de seguridad. Una zona de seguridad es un compartimento asociado a una receta definida por Oracle de políticas de seguridad basadas en las mejores prácticas. Por ejemplo, los recursos de una zona de seguridad no deben ser accesibles desde el Internet público y deben cifrarse mediante claves gestionadas por el cliente. Al crear y actualizar recursos en una zona de seguridad, Oracle Cloud Infrastructure valida las operaciones con respecto a las políticas de la receta de zona de seguridad y deniega las operaciones que violan cualquiera de las políticas.

Consideraciones

Al desplegar un Oracle API Gateway, tenga en cuenta lo siguiente:

Rendimiento
Puede optimizar el rendimiento del gateway de API mediante distintas opciones de configuración. Por ejemplo, las opciones de ajuste de rendimiento general incluyen el rastreo, la supervisión y el registro. Entre las opciones de ajuste de rendimiento más avanzadas se incluyen pool de bases de datos, mantenimiento de HTTP vivo, codificación fragmentada, threads de cliente y memoria Java.
Seguridad
Utilice las políticas de Oracle Cloud Infrastructure Identity and Access Management para controlar quién puede acceder a sus recursos en la nube y qué operaciones se pueden realizar.

Para proteger las contraseñas o cualquier otro secreto, considere utilizar el servicio Oracle Cloud Infrastructure Vault.
Disponibilidad
Considere el uso de una opción de alta disponibilidad basada en los requisitos de despliegue y su región. Las opciones incluyen la distribución de recursos entre varios dominios de disponibilidad en una región y la distribución de recursos entre los dominios de errores dentro de un dominio de disponibilidad.

Los dominios de errores proporcionan la mejor resiliencia para las cargas de trabajo desplegadas en un único dominio de disponibilidad. Para una alta disponibilidad en el nivel de aplicación, despliegue los servidores de aplicaciones en diferentes dominios de errores y utilice un equilibrador de carga para distribuir el tráfico del cliente entre los servidores de aplicaciones.

Explorar más

Para obtener más información sobre Oracle API Gateway, consulte los siguientes recursos: