Utilice Oracle Cloud Marketplace para desplegar el operador de Kubernetes TimesTen

Puede desplegar Oracle TimesTen In-Memory Database (TimesTen) en clusters de Kubernetes locales o en Oracle Cloud Infrastructure Kubernetes Engine (OKE). TimesTen es una base de datos relacional en memoria ligera, totalmente persistente y de alta disponibilidad que proporciona una respuesta de microsegundos y un alto rendimiento para las aplicaciones OLTP. Puede utilizar TimesTen como base de datos de registro o como caché para Oracle Database.

La lista de Oracle TimesTen In-Memory Database for Kubernetes - BYOL en Oracle Cloud Marketplace consta de una imagen de contenedor de TimesTen, sus requisitos de software y todo lo que necesita para ejecutar TimesTen en un entorno en contenedores. La imagen de contenedor incluye los archivos de manifiesto YAML y los gráficos de Helm necesarios para desplegar el operador de Kubernetes TimesTen (operador TimesTen) y crear bases de datos TimesTen en OKE o en la infraestructura local.

Arquitectura

Esta arquitectura utiliza una región con subredes regionales y, al menos, dos dominios de disponibilidad. Se puede utilizar la misma arquitectura de referencia en una región con un único dominio de disponibilidad. Recomendamos utilizar subredes regionales para su despliegue, independientemente del número de dominios de disponibilidad.

Al aprovisionarse, esta arquitectura de referencia incluye lo siguiente:

• Un cluster de OKE desplegado en subredes privadas independientes para el punto final de API de Kubernetes, el pool de nodos y el equilibrador de carga.

• Operador TimesTen desplegado en un nodo de trabajador en la misma subred privada que el pool de nodos.

• Par de bases de datos TimesTen en un esquema de replicación de par activo/en espera desplegado en nodos de trabajador en diferentes dominios de disponibilidad.

• Bastión desplegado en una subred pública para acceder a los recursos desplegados en subredes privadas.

El siguiente diagrama ilustra esta arquitectura de referencia.

Descripción de la ilustración timesten-kubernetes-byol.png

timesten-kubernetes-byol.zip

La arquitectura tiene los siguientes componentes:

• Auditoría

  El servicio Oracle Cloud Infrastructure Audit registra automáticamente las llamadas realizadas a todos los puntos finales de la interfaz pública de programación de aplicaciones (API) de Oracle Cloud Infrastructure soportados como eventos de log. Todos los servicios de OCI admiten el registro mediante Oracle Cloud Infrastructure Audit.

• Dominios de disponibilidad

  Los dominios de disponibilidad son centros de datos independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten infraestructura, como la alimentación o la refrigeración, ni la red interna del dominio de disponibilidad. Por lo tanto, un fallo en un dominio de disponibilidad no debería afectar a los otros dominios de disponibilidad de la región.

• Servicio de bastión

  Oracle Cloud Infrastructure Bastion proporciona acceso seguro restringido y limitado en el tiempo a recursos que no tienen puntos finales públicos y que requieren estrictos controles de acceso a recursos, como hardware dedicado y máquinas virtuales, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) y cualquier otro recurso que permita el acceso al protocolo de shell seguro (SSH). Con el servicio OCI Bastion, puede permitir el acceso a hosts privados sin desplegar y mantener un host de salto. Además, obtiene una estrategia de seguridad mejorada con permisos basados en identidad y una sesión SSH centralizada, auditada y con límite de tiempo. OCI Bastion elimina la necesidad de una IP pública para el acceso al bastión, eliminando la molestia y la posible superficie de ataque al proporcionar acceso remoto.

• Volumen en bloque

  Con Oracle Cloud Infrastructure Block Volumes, puede crear, asociar, conectar y mover volúmenes de almacenamiento, así como cambiar el rendimiento de volumen para que se ajuste a sus requisitos de almacenamiento, rendimiento y aplicación. Después de asociar y conectar un volumen a una instancia, puede utilizar el volumen como si se tratara de una unidad de disco duro normal. También puede desconectar un volumen y asociarlo a otra instancia sin perder datos.

• Cloud Guard

  Puede utilizar Oracle Cloud Guard para supervisar y mantener la seguridad de los recursos en Oracle Cloud Infrastructure. Cloud Guard utiliza recetas de detector que puede definir para examinar los recursos en busca de deficiencias de seguridad y para supervisar a los operadores y usuarios para determinadas actividades de riesgo. Cuando se detecta una configuración incorrecta o una actividad no segura, Cloud Guard recomienda acciones correctivas y ayuda a realizar esas acciones, en función de las recetas de responsable de respuesta que pueda definir.

• Compartimento

  Los compartimentos son particiones lógicas entre regiones dentro de un arrendamiento de Oracle Cloud Infrastructure. Utilice compartimentos para organizar, controlar el acceso y definir cuotas de uso para los recursos de Oracle Cloud. En un compartimento determinado, defina políticas que controlen el acceso y definan privilegios para los recursos.

• Container Registry

  Oracle Cloud Infrastructure Registry es un registro gestionado por Oracle que permite simplificar el desarrollo y el flujo de trabajo de producción. El registro facilita el almacenamiento, el uso compartido y la gestión de artefactos de desarrollo, como imágenes de Docker. La arquitectura altamente disponible y escalable de Oracle Cloud Infrastructure garantiza que pueda desplegar y gestionar sus aplicaciones de forma fiable.

• Dominios de errores

  Un dominio de errores es una agrupación de hardware e infraestructura dentro de un dominio de disponibilidad. Cada dominio de disponibilidad cuenta con tres dominios de errores con energía y hardware independientes. Al distribuir los recursos entre varios dominios de errores, las aplicaciones pueden tolerar fallos físicos del servidor, mantenimiento del sistema y fallos de energía en un dominio de errores.

• Identity and Access Management (IAM)

  Oracle Cloud Infrastructure Identity and Access Management (IAM) es el plano de control de acceso para Oracle Cloud Infrastructure (OCI) y Oracle Cloud Applications. La API de IAM y la interfaz de usuario le permiten gestionar los dominios de identidad y los recursos dentro del dominio de identidad. Cada dominio de identidad de OCI IAM representa una solución independiente de gestión de identidad y acceso o una población de usuarios diferente.

• Gateway de Internet

  El gateway de Internet permite el tráfico entre las subredes públicas de una VCN y la red pública de Internet.

• Equilibrador de carga

  El servicio Oracle Cloud Infrastructure Load Balancing proporciona una distribución automatizada del tráfico desde un único punto de entrada a varios servidores en el backend.

• Logging
  Logging es un servicio altamente escalable y totalmente gestionado que proporciona acceso a los siguientes tipos de logs de sus recursos en la nube:

  • Logs de auditoría: logs relacionados con eventos emitidos por el servicio de auditoría.
  • Logs de servicios: logs emitidos por servicios individuales como API Gateway, eventos, funciones, equilibrio de carga, Object Storage y logs de flujo de VCN.
  • Logs personalizados: logs que contienen información de diagnóstico de aplicaciones personalizadas, otros proveedores de nube o un entorno local.
• Gateway de traducción de direcciones de red (NAT)

  Un gateway de NAT permite que los recursos privados de una VCN accedan a hosts en Internet, sin exponer dichos recursos a conexiones de Internet entrantes.

• OCI Kubernetes Engine

  Oracle Cloud Infrastructure Kubernetes Engine (OCI Kubernetes Engine u OKE) es un servicio totalmente gestionado, escalable y disponible que puede utilizar para desplegar las aplicaciones en contenedores en la nube. Especifique los recursos informáticos que necesitan sus aplicaciones y Kubernetes Engine los provisionará en Oracle Cloud Infrastructure en un arrendamiento existente. OKE utiliza Kubernetes para automatizar el despliegue, la ampliación y la gestión de aplicaciones en contenedores en clusters de hosts.

• Región

  Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes entre sí y puede haber grandes distancias que las separen (entre países e incluso continentes).

• Lista de seguridad

  Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se debe permitir dentro y fuera de la subred.

• Gateway de servicio

  El gateway de servicios proporciona acceso desde una VCN a otros servicios, como Oracle Cloud Infrastructure Object Storage. El tráfico de la VCN al servicio Oracle viaja por el tejido de red de Oracle y no atraviesa Internet.

• Tenancy

  Un arrendamiento es una partición segura y aislada que Oracle configura en Oracle Cloud al registrarse en Oracle Cloud Infrastructure. Puede crear, organizar y administrar sus recursos en Oracle Cloud dentro de su arrendamiento. Un arrendamiento es sinónimo de una compañía u organización. Normalmente, una compañía tendrá un único arrendamiento y reflejará su estructura organizativa dentro de ese arrendamiento. Un único arrendamiento suele estar asociado a una única suscripción, y una única suscripción normalmente solo tiene un arrendamiento.

• Operador TimesTen

  El operador TimesTen tiene varias funciones clave para ayudar a gestionar bases de datos TimesTen en un entorno de Kubernetes. Una base de datos TimesTen se modela como recurso personalizado en el archivo de configuración de Kubernetes. El operador utiliza esta configuración y la API de Kubernetes para automatizar las operaciones de base de datos TimesTen, como el aprovisionamiento, el failover, la aplicación de parches y la seguridad.

• Red y subredes virtuales en la nube (VCN)

  Una VCN es una red personalizable y definida por software que puede configurar en una región de Oracle Cloud Infrastructure. Al igual que las redes de los centros de datos tradicionales, las redes virtuales le proporcionan el control de su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida. Sus requisitos pueden diferir de la arquitectura descrita aquí.

• Bastion

  Asegúrese de que solo los usuarios autorizados puedan crear sesiones de bastion. En esta referencia de arquitectura, Bastion proporciona acceso seguro al punto final de API de Kubernetes y SSH a los nodos de trabajador donde se despliegan las bases de datos TimesTen.

• Cloud Guard

  Clone y personalice las recetas por defecto proporcionadas por Oracle para crear recetas personalizadas de detector y responsable de respuesta. Estas recetas permiten especificar qué tipo de violaciones de seguridad generan una advertencia y qué acciones se pueden realizar en ellas. Por ejemplo, puede que desee detectar cubos de Object Storage que tengan la visibilidad definida en pública.

  Aplique Cloud Guard en el nivel de arrendamiento para abarcar el ámbito más amplio y reducir la carga administrativa de mantener varias configuraciones.

  También puede utilizar la función de lista gestionada para aplicar determinadas configuraciones a los detectores.

• Container Registry

  Asegúrese de que se crean las políticas de IAM necesarias y de que solo los usuarios autorizados tienen acceso al repositorio en Container Registry.

• Ancho de banda de equilibrador de carga

  Al crear el equilibrador de carga, puede seleccionar una unidad predefinida que proporcione un ancho de banda fijo o especificar una unidad personalizada (flexible) en la que defina un rango de ancho de banda y permita que el servicio amplíe el ancho de banda automáticamente en función de los patrones de tráfico. Con cualquiera de los enfoques, puede cambiar la unidad en cualquier momento después de crear el equilibrador de carga.

• Seguridad

  Utilice Oracle Cloud Guard para supervisar y mantener de forma proactiva la seguridad de sus recursos en Oracle Cloud Infrastructure. Cloud Guard utiliza recetas de detector que puede definir para examinar los recursos en busca de deficiencias de seguridad y para supervisar a los operadores y usuarios para determinadas actividades de riesgo. Cuando se detecta una configuración incorrecta o una actividad no segura, Cloud Guard recomienda acciones correctivas y ayuda a realizar esas acciones, en función de las recetas de responsable de respuesta que pueda definir.

  Para los recursos que requieren la máxima seguridad, Oracle recomienda utilizar zonas de seguridad. Una zona de seguridad es un compartimento asociado a una receta de políticas de seguridad definida por Oracle que se basa en las mejores prácticas. Por ejemplo, no se puede acceder a los recursos de una zona de seguridad desde la Internet pública y se deben cifrar mediante claves gestionadas por el cliente. Al crear y actualizar recursos en una zona de seguridad, Oracle Cloud Infrastructure valida las operaciones con respecto a las políticas de la receta de zona de seguridad y deniega las operaciones que violan cualquiera de las políticas.

• VCN

  Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque en función del número de recursos que planea asociar a las subredes de la VCN. Utilice bloques CIDR que estén dentro del espacio de direcciones IP privadas estándar.

  Seleccione bloques de CIDR que no se solapen con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) a la que desee configurar conexiones privadas.

  Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques CIDR.

  Al diseñar las subredes, tenga en cuenta el flujo de tráfico y los requisitos de seguridad. Asocie todos los recursos de un nivel o rol específico a la misma subred, que puede servir como límite de seguridad.

  Utilizar subredes regionales.

Consideraciones

Tenga en cuenta los siguientes puntos al desplegar esta arquitectura de referencia.

• Disponibilidad

  Por lo general, despliega una aplicación en la región en la que se utiliza con mayor frecuencia porque el uso de recursos cercanos es más rápido que el uso de recursos distantes. Los dominios de disponibilidad de la misma región se conectan entre sí mediante una red de gran ancho de banda de baja latencia. Esta red proporciona conectividad de alta disponibilidad a Internet y a equipos locales para que pueda crear sistemas replicados en varios dominios de disponibilidad para una recuperación ante desastres y de alta disponibilidad.

• Container Registry

  Esta arquitectura despliega Container Registry como un registro de Docker privado para uso interno. Las imágenes de Docker se transfieren al registro y se extraen del mismo. También puede utilizar Container Registry como registro público de Docker, lo que permite a cualquier usuario con acceso a Internet y conocimientos de la URL correspondiente extraer imágenes de repositorios públicos en OCI. En esta arquitectura, el repositorio de Container Registry se utiliza para almacenar una imagen de TimesTen, que incluye los archivos de manifiesto YAML y los gráficos de Helm necesarios para desplegar el operador TimesTen y crear bases de datos TimesTen.

• Seguridad

  Utilice políticas para restringir quién puede acceder a los recursos de OCI.

Despliegue

Oracle Cloud Marketplace ofrece una imagen de contenedor de TimesTen que puede utilizar para desplegar el operador TimesTen en el cluster de OKE o la infraestructura local.

Obtenga la imagen de contenedor TimesTen de Oracle Cloud Marketplace:

1. Vaya a Oracle Cloud Marketplace.
2. Haga clic en Exportar paquete.
3. Siga las peticiones de datos en pantalla.

Explorar más

Para obtener más información sobre el despliegue de bases de datos TimesTen en OKE mediante una imagen de contenedor de Marketplace, consulte estos recursos adicionales:

• Uso de Oracle Cloud Marketplace para obtener una imagen de contenedor TimesTen (BYOL)
• Guía del usuario del operador de Kubernetes de Oracle TimesTen In-Memory Database
• Documentación de Oracle Cloud Infrastructure
• Marco bien diseñado para Oracle Cloud Infrastructure
• Configuración de recursos de red para despliegue y creación de clusters

Confirmaciones

• Autor: Ricardo Rosas

• Colaboradores: Dario Vega, Daniel Ramírez, Deborah Steiner, Silviano Díaz Barriga