En la imagen se muestra una región de OCI con una VCN que abarca tres dominios de disponibilidad con las etiquetas Dominio de disponibilidad 1, Dominio de disponibilidad 2 y Dominio de disponibilidad 3, que representan zonas de alta disponibilidad. La VCN aloja un equilibrador de carga público, un cluster de Oracle Kubernetes Engine (OKE) y una instancia de Oracle Autonomous AI Database. La región aloja Oracle Services Network con OCI Container Registry

La VCN incluye cinco subredes de la siguiente manera:

1. Subred pública del equilibrador de carga de servicio que se utiliza para el tráfico del cliente e incluye un equilibrador de carga público ubicado en el dominio de disponibilidad 2, responsable de recibir y distribuir el tráfico entrante entre los componentes de la aplicación.
2. Subred pública de API/servicio de OKE: contiene un cluster de OCI Kubernetes Engine (OKE) que abarca los tres dominios de disponibilidad.
3. Subredes privadas de nodos: los nodos de trabajador de OKE ejecutan cargas de trabajo y extraen imágenes de contenedor de Oracle Cloud Infrastructure Container Registry (OCIR) mediante Oracle Services Network.
4. Subred privada de pod: los pod ejecutan servicios de Dify y llaman a Oracle Autonomous AI Database para que persistan.
5. Subred privada de base de datos: aloja Oracle Autonomous AI Database como el almacén de datos de la aplicación.

La conectividad y el flujo de tráfico se muestran con flechas de dirección:

• Los usuarios llegan a la aplicación mediante el equilibrador de carga público.
• El equilibrador de carga direcciona las solicitudes a los servicios de Kubernetes que se ejecutan en pods en los nodos de trabajador.
• Los administradores acceden al cluster a través del punto final de API de Kubernetes.
• Los nodos de trabajador y los pods extraen imágenes de contenedor de OCI Container Registry a través del gateway de servicio.
• Las subredes privadas utilizan gateways de NAT para las actualizaciones salientes y la recuperación de paquetes sin exponer las direcciones IP privadas.
• Los pods de aplicación se conectan de forma privada a Autonomous Database para lecturas y escrituras.

Seguridad y conectividad:

• Solo la carga pública bBalancer y el plano de control de OKE se exponen públicamente; los nodos, los pods y la base de datos permanecen en subredes privadas.
• La conectividad de servicio privado y la salida restringida reducen la exposición a la Internet pública.
• El uso de varios dominios de disponibilidad admite alta disponibilidad y resiliencia.