1. Más información sobre la arquitectura de una topología de nube de alta disponibilidad
  2. Planificación de alta disponibilidad para recursos de red

Planificación de alta disponibilidad para recursos de red

Uno de los primeros pasos para trabajar con Oracle Cloud Infrastructure es configurar una red virtual en la nube (VCN) para sus recursos en la nube. Garantizar la alta disponibilidad de esta red es una de las consideraciones más importantes en el diseño de la arquitectura.

Para planificar la alta disponibilidad de los recursos de red, las estrategias de diseño clave que debe considerar son:
  • Determine el tamaño adecuado de las subredes de la red.
  • Planifique las configuraciones de alta disponibilidad para estos componentes clave: equilibradores de carga, conexiones VPN IPSec y circuitos FastConnect.
Este artículo describe estas estrategias.

Determinación del tamaño adecuado de las subredes

Una subred es una subdivisión de una red en la nube. Establecer una alta disponibilidad de la red requiere ajustar el tamaño de este recurso correctamente.

Cada subred de una VCN consta de un rango contiguo de direcciones IP que no se solapan con otras subredes de la VCN (por ejemplo, 172.16.1.0/24). El servicio Oracle Cloud Infrastructure Networking reserva las dos primeras direcciones IP y la última del CIDR de la subred. No puede cambiar el tamaño de la subred después de su creación, por lo que es importante determinar el tamaño necesario antes de crear cualquier subred. Considere el crecimiento futuro de sus cargas de trabajo y deje capacidad suficiente para cumplir los requisitos de alta disponibilidad, como la necesidad de configurar instancias informáticas en espera.

Planificación de Alta Disponibilidad para Equilibradores de Carga

Oracle Cloud Infrastructure Load Balancing proporciona una distribución automatizada de tráfico desde un punto de entrada a varios servidores a los que se puede acceder desde la VCN. El servicio ofrece un equilibrador de carga con una dirección IP pública o privada o su elección y ancho de banda aprovisionado.

El servicio de equilibrio de carga mejora el uso de los recursos, facilita la escala y ayuda a garantizar una alta disponibilidad. Soporta el enrutamiento de solicitudes entrantes a varios juegos de backends en función del nombre de host virtual, las reglas de ruta de acceso o una combinación de ambos.

Para aceptar tráfico de Internet, cree un equilibrador de carga público. El servicio lo asigna a una dirección IP pública que sirve como punto de entrada para el tráfico entrante. Puede asociar la dirección IP pública a un nombre DNS fácil de recordar mediante cualquier proveedor de DNS.

Un equilibrador de carga público tiene un ámbito regional. Es inherentemente de alta disponibilidad en todos los dominios de disponibilidad. En una región que tiene un solo dominio de disponibilidad, los nodos del equilibrador de carga se distribuyen entre los dominios de errores. Para lograr una alta disponibilidad para los sistemas, puede colocar los sistemas detrás de un equilibrador de carga público. Por ejemplo, puede colocar las máquinas virtuales del servidor web como conjuntos de servidores backend detrás de un equilibrador de carga público, como se muestra en el siguiente diagrama:


Descripción de public-lb.png a continuación
Descripción de la ilustración public-lb.png

Nota:

La arquitectura muestra varios dominios de disponibilidad (AD). En el caso de una región con un solo dominio de disponibilidad, ajuste la arquitectura para distribuir sus recursos entre los dominios de errores dentro del dominio de disponibilidad.

Para aislar el equilibrador de carga de Internet y simplificar la postura de seguridad, cree un equilibrador de carga privado. El servicio de equilibrio de carga le asigna una dirección IP privada que sirve como punto de entrada para el tráfico entrante.

Al crear un equilibrador de carga privado, el servicio solo necesita una subred para alojar los equilibradores de carga principal y en espera. El equilibrador de carga puede ser regional o específico para el AD, según el ámbito de su subred de host

A continuación se muestra la descripción de pvt-lb.png
Descripción de la ilustración pvt-lb.png

Nota:

La arquitectura muestra varios dominios de disponibilidad (AD). En el caso de una región con un solo dominio de disponibilidad, ajuste la arquitectura para distribuir sus recursos entre los dominios de errores dentro del dominio de disponibilidad.
Para proporcionar una alta disponibilidad en los dominios de disponibilidad, puede configurar varios equilibradores de carga privados en Oracle Cloud Infrastructure y utilizar servidores DNS locales o privados para configurar una configuración de DNS de asignación en rueda con las direcciones IP de los equilibradores de carga privados. La siguiente es una descripción general de este proceso:
  1. Despliegue dos equilibradores de carga privados, uno en cada dominio de disponibilidad.
  2. Configure dos máquinas virtuales de DNS personalizadas en la VCN.
  3. Modifique las opciones de DHCP por defecto de la VCN para utilizar un solucionador de DNS personalizado y defina los servidores DNS en las direcciones IP de las máquinas virtuales de DNS.
  4. Agregue una nueva entrada de zona de DNS de asignación en rueda para el FQDN del equilibrador de carga privado con un TTL bajo.
  5. Agregue dos registros A con las direcciones IP de los dos equilibradores de carga privados.
  6. Utilice el FQDN del equilibrador de carga privado al acceder al equilibrador de carga privado.

Descripción del diseño de alta disponibilidad de FastConnect y VPN

Comprender cómo diseñar la red para la redundancia de forma que cumpla los requisitos del acuerdo de nivel de servicio IPSec de Oracle Cloud Infrastructure y FastConnect garantiza las conexiones de red altamente disponibles y tolerantes a fallos que son clave para los sistemas bien diseñados.

Los requisitos de aplicación y disponibilidad empresarial de una organización ayudan a determinar la configuración más adecuada al diseñar conexiones remotas. Sin embargo, por lo general, debe considerar el uso de proveedores de servicios de red y hardware redundantes entre su ubicación y los centros de datos de Oracle. La opción más sólida es utilizar varias conexiones FastConnect con circuitos de diferentes proveedores de servicios de red. Para lograr una alta disponibilidad para su red, recomendamos las siguientes mejores prácticas:
  • Programe un mantenimiento regular por parte de Oracle, su proveedor o su propia organización.
  • Evite puntos únicos de fallo, incluso si planea utilizar varias interfaces para su disponibilidad. Las conexiones de alta disponibilidad requieren hardware redundante, incluso cuando se conectan desde la misma ubicación física.
  • Considere un enfoque de dos proveedores para garantizar la diversidad de la red al seleccionar proveedores FastConnect.
  • Aprovisione suficiente capacidad de red para garantizar que el fallo de una conexión de red no sobrecargue ni degrade las conexiones redundantes.

Planificación de la alta disponibilidad para conexiones VPN IPSec

Puede implantar conexiones VPN IPSec para conectar su centro de datos a Oracle Cloud Infrastructure. Una conexión VPN IPSec es fácil de configurar y rentable.

Para activar la redundancia, cada gateway de enrutamiento dinámico (DRG) de Oracle Cloud Infrastructure tiene varios puntos finales de VPN, por lo que cada conexión VPN IPSec consta de varios túneles IPSec redundantes que utilizan rutas estáticas para enrutar el tráfico. Para garantizar una alta disponibilidad, debe configurar conexiones VPN dentro de la red interna para utilizar cualquiera de las rutas cuando sea necesario, como se muestra en el siguiente diagrama:

A continuación se muestra la descripción de vpn-redundancy.png
Descripción de la ilustración vpn-redundancy.png

Si sus centros de datos abarcan varias ubicaciones geográficas, recomendamos utilizar un CIDR amplio (0.0.0.0/0) como ruta estática además del CIDR de la ubicación geográfica específica. Este amplio CIDR proporciona alta disponibilidad y flexibilidad para el diseño de su red.

Por ejemplo, en el siguiente diagrama se muestran dos redes en áreas geográficas independientes que se conectan a Oracle Cloud Infrastructure. Cada área tiene un único enrutador local, por lo que se pueden crear dos conexiones VPN IPSec. Tenga en cuenta que cada conexión VPN IPSec tiene dos rutas estáticas: una para el CIDR del área geográfica concreta y una ruta estática 0.0.0.0/0 amplia.

A continuación se muestra la descripción de redundancia-multiple-onprem-network.png
Descripción de la ilustración redundancy-multiple-onprem-network.png

En un escenario, el enrutador CPE 1 del diagrama anterior cae. Si la Subred 1 y la Subred 2 pueden comunicarse entre sí, la VCN aún puede acceder a los sistemas de la Subred 1 debido a la ruta estática 0.0.0.0/0 que va hasta el CPE 2. En el siguiente diagrama se ilustra este escenario:

A continuación, se muestra la descripción de vpn-redundancy-multiple-onprem-networks-failover.png
Descripción de la ilustración vpn-redundancy-multiple-onprem-networks-failover.png

En otro escenario, agregue una nueva área geográfica con la subred 3 y conéctela a la subred 2. Debe agregar una regla de ruta a la tabla de rutas de la VCN para la subred 3, de modo que la VCN pueda acceder a los sistemas de la subred 3 sin crear una nueva conexión VPN debido a la ruta estática 0.0.0.0/0 que va hasta el CPE 2. En el siguiente diagrama se ilustra este escenario:

A continuación se muestra la descripción de vpn-redundancy-additional-onprem-network.png
Descripción de la ilustración vpn-redundancy-additional-onprem-network.png

Planificación de alta disponibilidad para circuitos FastConnect

Oracle Cloud Infrastructure FastConnect proporciona un método sencillo para crear una conexión privada y dedicada entre el centro de datos y Oracle Cloud Infrastructure. FastConnect proporciona opciones de un mayor ancho de banda y una experiencia de red más fiable y consistente en comparación con las conexiones basadas en Internet.

Con FastConnect puede utilizar el intercambio de tráfico privado, el intercambio de tráfico público o ambos.
  • Utilice el intercambio de tráfico privado para ampliar la infraestructura existente en una red virtual en la nube (VCN) de Oracle Cloud Infrastructure (por ejemplo, para implementar una nube híbrida o en un caso de migración a la nube). La comunicación entre la conexión se realiza con las direcciones privadas IPv4 (normalmente RFC 1918).
  • Utilice el intercambio de tráfico público para acceder a los servicios públicos en Oracle Cloud Infrastructure sin utilizar Internet (por ejemplo, para acceder a la consola y las API de Oracle Cloud Infrastructure o los equilibradores de carga públicos en la VCN). La comunicación en la conexión es con direcciones IP públicas IPv4. Sin FastConnect, el tráfico destinado a direcciones IP públicas se enrutaría por Internet. Con FastConnect, ese tráfico pasa por su conexión física privada.

Puede conectarse directamente a los enrutadores de Oracle Cloud Infrastructure en los puntos de presencia (POP) de los proveedores, o bien utilizar uno de los numerosos partners de Oracle para conectarse de los POP de todo el mundo a los recursos de Oracle Cloud Infrastructure Networking. Oracle proporciona funciones que le permiten crear conexiones tolerantes a fallos, incluidos varios POP por región y varios enrutadores FastConnect por POP.

Para evitar un único punto de fallo para FastConnect, tenga en cuenta las siguientes opciones de redundancia:
  • Varias ubicaciones FastConnect en cada área de metro
  • Varios enrutadores en cada ubicación FastConnect
  • Varios circuitos físicos en cada ubicación FastConnect
Oracle gestiona la redundancia de los enrutadores y los circuitos físicos en las ubicaciones FastConnect. En el diseño de su red con FastConnect, recomendamos considerar las siguientes configuraciones de redundancia para sus requisitos de alta disponibilidad:
  • Redundancia de dominio de disponibilidad: conéctese a cualquier ubicación FastConnect y acceda a los servicios ubicados en cualquier dominio de disponibilidad de una región. Esta configuración proporciona resiliencia de dominios de disponibilidad mediante varios POP por región. Las conexiones de intercambio de tráfico terminan en los enrutadores del POP.
  • Redundancia de ubicación del centro de datos: conéctese en dos ubicaciones FastConnect diferentes por región.
  • Redundancia de enrutador: conéctese a dos enrutadores diferentes por ubicación FastConnect.
  • Redundancia de circuito: tiene varias conexiones físicas en cualquiera de las ubicaciones FastConnect. Cada uno de estos circuitos puede tener varios enlaces físicos en una interfaz agregada/LAG, que agrega otro nivel de redundancia.
  • Redundancia de socio/proveedor: conéctese a las ubicaciones FastConnect mediante el uso de uno o varios socios.
En función de la ubicación del centro de datos local, puede establecer una conexión FastConnect de una de las siguientes formas:
  • Colocación (velocidad de puerto de 10 Gbps): colocación con Oracle en una ubicación FastConnect
  • Proveedor de Oracle (velocidades de puerto en incrementos de 1 Gbps y 10 Gbps): al conectarse a un proveedor de Oracle
En un caso de colocación, una interconexión es el cable físico que conecta su red existente a Oracle en la ubicación FastConnect. Al aprovisionar el servicio FastConnect, recomendamos configurar al menos dos interconexiones. Cada interconexión debe conectarse a un enrutador diferente, de modo que un fallo en un enrutador no afecte a la conexión a los recursos de Oracle Cloud Infrastructure. Después de realizar la primera interconexión, puede solicitar que la segunda se aprovisione en un enrutador FastConnect de Oracle diferente al primero. Debe aprovisionar nuevos circuitos virtuales en ambos enlaces redundantes, lo que garantiza la conectividad entre la red local y las Oracle Cloud Infrastructure VCN si falla un enrutador.

Para el escenario de proveedor de Oracle, recomendamos configurar circuitos redundantes con dos ubicaciones FastConnect diferentes por el mismo proveedor o distintos proveedores. Con esta configuración, puede tener redundancia en los circuitos y en los niveles de centro de datos. En el siguiente diagrama, se ilustra la conexión FastConnect con dos circuitos virtuales y dos ubicaciones FastConnect diferentes:

A continuación se muestra la descripción de fastconnect-multiple-fc-locations.png
Descripción de la ilustración fastconnect-multiple-fc-locations.png

Los partners FastConnect de Oracle tienen enlaces redundantes a la red de Oracle. Como cliente del socio, debe tener enlaces redundantes a la red del socio. Estas conexiones deben estar en diferentes enrutadores, tanto en la red como en la red del socio. Al aprovisionar circuitos virtuales, aprovisionarlos en varios enlaces de proveedor.

En este diagrama se muestran estas conexiones redundantes:

A continuación se muestra la descripción de fastconnect-dual-vc.png
Descripción de la ilustración fastconnect-dual-vc.png

Algunas estrategias de configuración adicionales que debe considerar son las siguientes:
  • Evite el impacto durante el mantenimiento planificado

    Cuando desee realizar el mantenimiento en uno de sus enrutadores, puede configurar la preferencia local de protocolo de gateway de borde (BGP) en las rutas aprendidas a través de su circuito virtual para que la preferencia local sea mayor en el enrutador que permanecerá en servicio. La preferencia local de BGP se utiliza para modificar la preferencia de tráfico saliente en una red local.

    Puede modificar el tráfico de Oracle a su red con BGP AS precedente. En el enrutador donde se realizará el mantenimiento, anteponga el número AS de BGP local. Si lo hace, la red de Oracle Cloud prefiere el circuito virtual FastConnect que tiene la ruta AS más corta.

    Después de modificar la preferencia local de BGP y anteponer AS, supervise los contadores de interfaz de circuito virtual de su enrutador y verifique que las velocidades de contador de paquetes de entrada y salida sean muy bajas. El único tráfico que queda en el enlace debe ser el tráfico del protocolo BGP.

  • Probar continuamente rutas redundantes

    Durante el funcionamiento normal, recomendamos utilizar todas las rutas disponibles entre su red local y Oracle Cloud. Al hacerlo, se garantiza que, si se produce un fallo, la ruta redundante ya esté funcionando. Como alternativa, el uso de un diseño activo/de copia de seguridad significa que confía en que la ruta de copia de seguridad funcionará durante un fallo. Por este motivo, debe considerar el uso de la misma preferencia local de BGP y longitud de ruta de acceso de BGP AS.

Utilice VPN IPSec y FastConnect

Para tener un nivel adicional de redundancia, puede configurar tanto la VPN IPSec como FastConnect para conectar sus centros de datos locales a Oracle Cloud Infrastructure.

Al configurar una conexión VPN IPSec y circuitos virtuales FastConnect en el mismo DRG, recuerde que la VPN IPSec utiliza rutas estáticas, pero FastConnect utiliza BGP. Oracle Cloud Infrastructure da a conocer una ruta para cada una de las subredes de la VCN a través de la sesión BGP del circuito virtual FastConnect y sustituye el comportamiento por defecto de selección de ruta por rutas BGP a través de rutas estáticas si una ruta estática se superpone a una ruta anunciada por su red local. En el siguiente diagrama, se ilustra esta configuración:

A continuación se muestra la descripción de vpn_fastconnect.png
Descripción de la ilustración vpn_fastconnect.png