Comprender las consideraciones de diseño
La arquitectura descrita en esta solución incorpora opciones de diseño diseñadas para proporcionar una topología de nivel empresarial que puede ampliar fácilmente, acceder de forma segura y trabajar de forma eficiente.
- Aislamiento de recursosLos recursos del arrendamiento están aislados de forma lógica en compartimentos. El acceso a los recursos de cada compartimento se controla mediante políticas que define el administrador del arrendamiento.
- El compartimento raíz puede ser el compartimento raíz del arrendamiento u otro compartimento designado como raíz. Contiene todos los demás compartimentos de la topología. También puede definir todas las políticas de gestión de accesos en este compartimento.
- El compartimento de gestión contiene un VCN con subredes a las que se adjuntan el servidor bastion y el servidor de gestión.
- El compartimento de intercambio contiene las puertas de enlace de enrutamiento y las VCN de intercambio.
- Los compartimentos de inquilino contienen los recursos de aplicación específicos de cada inquilino.
Desde el punto de vista de red, la arquitectura divide la topología en redes aisladas, cada dispositivo VCN con un espacio de dirección privada único.- El servidor base, los servidores de gestión y las puertas de enlace de enrutamiento se conectan a ISV VCN, también denominado VCN de gestión.
- Los recursos de aplicación específicos para cada inquilino se despliegan en un VCN de inquilino independiente.
- Una o más VCN de intercambio sirven como puentes entre la red de gestión y las VCN de inquilino.
- Alta disponibilidad
Para obtener una alta disponibilidad de las puertas de enlace de enrutamiento, puede desplegar pares de puertas de enlace primary-standby en dominios de fallos separados. Las puertas de enlace de enrutamiento se pueden configurar para utilizar direcciones IP privadas flotantes. Si falla la puerta de enlace principal, las direcciones flotantes se pueden mover a las VNIC de la puerta de enlace en espera.
- Escala
- Los recursos de aplicación para cada inquilino se despliegan en un VCN específico de contenido en un compartimento independiente. Por lo tanto, el número máximo de inquilinos que puede ampliar para depender de los límites de su arrendamiento para compartimentos y VCN. Tenga en cuenta también que el número máximo de VCN de inquilino que puede conectar a un VCN de intercambio es fijo en 10. Tenga en cuenta estos límites cuando planifique la topología.
Por ejemplo, si espera proporcionar servicios a 100 inquilinos, el arrendamiento de Oracle Cloud Infrastructure debe tener al menos los siguientes límites de servicio:
- 102 compartimentos (un compartimento de gestión + un compartimento de intercambio de tráfico + 100 compartimientos de inquilino)
- 111 VCN (una VCN de intercambio de ISV VCN + 10 VCN de intercambio + 100)
- Si alguno de sus inquilinos necesita conectividad privada, considere los límites del servicio de su arrendamiento de Oracle Cloud Infrastructure para los DR, las conexiones VPN de IPSec, los circuitos de FastConnect y los equipos locales de cliente (CPE). Por ejemplo, si 25 de sus inquilinos requieren conectividad privada, debe configurar 25 DRG y, posiblemente, dos veces, ese número de conexiones VPN de IPSec para el sake de redundancia. Cuando configura la topología (y a intervalos regulares a partir de ahí), prevé el número de inquilinos que espera que sirva y trabaje con Oracle para aumentar los límites del servicio según sea necesario.
- Cada conexión de un gateway de direccionamiento a un VCN de intercambio de tráfico utiliza una VNIC secundaria del gateway. Por lo tanto, el número de VNIC secundarias que puede tener la instancia de la puerta de enlace puede determinar el número de VCN de intercambio que puede utilizar la puerta de enlace. Tenga en cuenta este factor al seleccionar la forma de la instancia de gateway.
Por ejemplo, dado el límite predeterminado de 10 inquilinos por VCN de intercambio de tráfico, si utiliza una puerta de enlace de enrutamiento que tiene tres VNIC secundarias, la puerta de enlace de enrutamiento puede atender hasta 30 inquilinos.
- Los recursos de aplicación para cada inquilino se despliegan en un VCN específico de contenido en un compartimento independiente. Por lo tanto, el número máximo de inquilinos que puede ampliar para depender de los límites de su arrendamiento para compartimentos y VCN. Tenga en cuenta también que el número máximo de VCN de inquilino que puede conectar a un VCN de intercambio es fijo en 10. Tenga en cuenta estos límites cuando planifique la topología.
- Ancho de banda de la red de gestión
El ancho de banda de red entre cada cliente VCN y el ISV VCN depende de la forma de cálculo que seleccione para la puerta de enlace de enrutamiento. El ancho de banda de la red disponible se comparte entre todas las VNIC de la instancia de la puerta de enlace. Por ejemplo, si selecciona la forma
VM.Standard2.4para la instancia de gateway de direccionamiento, el ancho de banda máximo disponible es de 4.1 Gbps, que es compartido por la VNIC principal y hasta tres VNIC secundarias. Tenga en cuenta este factor cuando decida la forma de la instancia de gateway y el número de VCN de intercambio que desea que sirva cada gateway.