1. Información sobre la migración de aplicaciones personalizadas con bases de datos Oracle a Oracle Cloud
  2. Consideraciones para pasar a la nube

Consideraciones para pasar a la nube

Las áreas que debe tener en cuenta al moverse a la nube incluyen redes y conectividad, alta disponibilidad y recuperación ante desastres, seguridad, gestión de identidad y acceso, gestión y control de costos, y proceso de migración.

Elementos de Arquitecturas Validados

En despliegues de clientes, hay muchas variaciones de arquitectura que funcionarán. En algunos casos, estas variaciones están diseñadas para alcanzar un resultado concreto y, en otros casos, para admitir una capacidad de hardware determinada (o limitación). Además, en otros casos, reflejan las preferencias del arquitecto. En todos los casos, el diseño de una nueva arquitectura puede llevar bastante tiempo y conlleva el riesgo de que se ha producido alguna consideración importante. Oracle proporciona arquitecturas de línea base que aprovechan mejor las capacidades de Oracle Cloud Infrastructure y también aborda la mayoría de los requisitos técnicos y de negocio importantes. Esto permite confiar en que será correcto para lograr sus objetivos de despliegue sin invertir en un proyecto de análisis largo.

Para cumplir los requisitos especiales no cubiertos en esta arquitectura de referencia, es posible utilizar otras opciones de diseño. Oracle espera que el proceso de diseño para esos cambios sea mucho más sencillo al iniciar desde una arquitectura de referencia.

Redes y conectividad

Los objetivos principales de la arquitectura de redes y conectividad son proporcionar una conectividad segura y de alta velocidad entre sus recursos en la nube, y los usuarios y sistemas que necesitan acceder a esos recursos.Además, ilustra los mecanismos por los que puede diseñar una topología de red que mejor se adapte a sus necesidades, con la capacidad de aislar recursos entre el host de base, los niveles de aplicación, los niveles de base de datos y el equilibrio de carga con fines de seguridad y gestión.

Los resultados que proporciona esta arquitectura pueden incluir:

  • Capacidad para diseñar disponibilidad, redundancia y escalabilidad
  • Equilibrio de carga en varios nodos de aplicación para el rendimiento y la disponibilidad
  • Aislamiento de clientes y procesos no autorizados
  • Aislamiento a nivel de red entre niveles de aplicación web y niveles de base de datos
  • Acceso seguro a los servicios generales en la nube, como el almacenamiento de objetos.
  • Acceso a las aplicaciones e infraestructura de nube
  • Acceso dedicado de campus corporativo a la aplicación mediante enlaces de red privada
  • Protección del acceso de red a la aplicación con enlaces cifrados por Internet pública
  • Conectividad de red privada a otros sistemas o servicios alojados en Oracle Cloud Infrastructure
  • Controlar y gestionar el acceso a todos los niveles de aplicación y base de datos

Red virtual en la nube (VCN) y subredes

Las VCN proporcionan aislamiento para la carga de trabajo de su aplicación de cualquier otra carga de trabajo de Oracle Cloud Infrastructure , incluidas las demás cargas de trabajo de una VCN diferente. Una VCN es básicamente su propia red privada. Puede subdividir su VCN con subredes para garantizar el aislamiento de recursos y aplicar reglas de seguridad para forzar el acceso seguro. También puede agregar tablas y reglas de ruta para enviar tráfico fuera de la VCN, similar a las reglas tradicionales de rutas de red.

Puede crear instancias en una subred privada o pública en función de si desea permitir el acceso a las instancias desde Internet. A las instancias que cree en una subred pública se les asigna una dirección IP pública y puede acceder a estas instancias desde Internet pública. Por el contrario, ya que no puede asignar una dirección IP pública a instancias creadas en una subred privada, no puede acceder a estas instancias a través de Internet. Sin embargo, puede agregar un gateway NAT a la VCN para proporcionar a las instancias de una subred privada la capacidad de iniciar conexiones a Internet y recibir respuestas con el fin de aplicar actualizaciones de sistema operativo y aplicación. Los gateways NAT no recibirán las conexiones entrantes iniciadas por Internet.

Oracle recomienda crear subredes independientes para cada nivel, como el host de base, la base de datos, la aplicación y el equilibrio de carga, para garantizar que se pueden implantar los requisitos de seguridad adecuados en los diferentes niveles.

Listas de seguridad

Una lista de seguridad proporciona un firewall virtual para una instancia, con reglas de entrada y salida que especifican los tipos de tráfico que se permiten en la salida y salida.

Host de Bastion

El host de base es un componente opcional que se puede utilizar como servidor de salto para acceder y gestionar instancias de Oracle Cloud Infrastructure en la subred privada. También puede acceder a las instancias de una subred privada utilizando un canal SSH dinámico.

Gateway de Internet (IGW)

Puede conectarse a instancias que se colocan en subredes públicas utilizando el IGW. Para acceder a las instancias privadas desde Internet, debe crear el host de la base en una subred pública y acceder al host de la base desde el IGW.

Gateway de Servicio

Su red virtual en la nube (VCN) puede acceder de forma privada a servicios Oracle específicos sin mostrar los datos a la red pública de Internet. No se necesita ningún gateway de Internet ni NAT para acceder a esos servicios específicos. Los recursos de la VCN pueden estar en una subred privada y utilizar solo direcciones IP privadas. El tráfico de la VCN al servicio de Oracle se transfiere por el tejido de red de Oracle y nunca pasa por Internet. Los servicios Oracle a los que se puede acceder de esta forma incluyen almacenamiento de objetos, almacenamiento de archivos, gestión de claves, flujo, etc.

FastConnect

Si necesita conectividad privada que no atraviesa Internet, así como velocidad de transferencia de datos más rápida, Oracle también ofrece FastConnect, lo que garantiza un determinado nivel de ancho de banda accesible. Varios socios de las regiones de todo el mundo ofrecen conexiones de red dedicadas entre las instalaciones del cliente y los centros de datos de Oracle. Esto permite a los clientes acceder a su aplicación como si se estuviera ejecutando en su propio centro de datos.

IPSec VPN

Conéctese desde su centro de datos HQ o local a sus recursos de aplicación en Oracle Cloud Infrastructure a través de una conexión VPN privada mediante un túnel VPN de IPSec. Desde su entorno local, puede acceder a sus instancias en la nube en una subred privada conectándose mediante un gateway de enrutamiento dinámico (DRG). DRG es el gateway que conecta la red local a la red en la nube.

Equilibrio de Carga

Los equilibradores de carga redundantes y configurados previamente están disponibles en subredes privadas y públicas para equilibrar el tráfico dentro de la implantación y desde conexiones externas, respectivamente. Para acceder a los puntos finales internos y los puntos finales orientados a Internet, configure equilibradores de carga privados y equilibradores de carga públicos. Configure equilibradores de carga privados para que sirvan tráfico interno y configure equilibradores de carga pública para que sirvan el tráfico de Internet. Registre la dirección IP pública o privada de las instancias de Oracle Cloud Infrastructure Load Balancing en el servidor de nombres de dominio local o público (DNS) para la resolución de dominios del punto final de la aplicación.

Alta disponibilidad y recuperación ante desastres

Los objetivos principales para estas arquitecturas son garantizar que puede diseñar alta disponibilidad (HA) en el entorno de la aplicación y generar la recuperación ante desastres (DR) en caso de eventos imprevistos que requieran el failover y seguir manteniendo la aplicación activa y en ejecución.

Los resultados que proporciona esta arquitectura pueden incluir:

  • Asegúrese de que no haya un único punto de fallo en la placa
  • Asegurarse de la afinidad, lo que significa que la aplicación está disponible incluso si se cae una instancia
  • Asegúrese de que la aplicación está disponible incluso si se cae un dominio de disponibilidad
  • Tener un sitio de DR para su aplicación en una región diferente
  • Hacer una estrategia de copia de seguridad y recuperación para la aplicación y la base de datos
  • Asegúrese de que el objetivo del punto de recuperación (RPO) tenga menos de 1 hora y un objetivo de tiempo de recuperación (RTO) en menos de 4 horas

Arquitectura de Referencia para un Dominio de Disponibilidad Única

En un nivel básico, puede lograr alta disponibilidad para el despliegue de la aplicación incluso dentro de un único dominio de disponibilidad:


A continuación se muestra la descripción de architecture-single-domain.png
Descripción de la ilustración architecture-single-domain.png

Los componentes numerados que se muestran en el diagrama son:

  • Dominio de disponibilidad (AD) Número 1:

    En la terminología de Oracle, un AD es una recopilación de uno o más centros de datos en una región determinada. En esta arquitectura, las instancias redundantes se despliegan en el nivel de aplicación y en el nivel de base de datos para garantizar que HA dentro de un solo AD. Esto garantiza que la aplicación está disponible incluso cuando se cae una instancia de la aplicación. Las otras instancias de aplicaciones disponibles en AD siguen procesando las solicitudes. Todas las instancias de la aplicación de AD están activas. Las instancias del equilibrador de carga reciben solicitudes y las envían a los servidores de aplicaciones. Esta alta disponibilidad de una aplicación dentro de un dominio de disponibilidad se puede alcanzar colocando instancias de aplicación en dominios de fallos separados.

  • Dominio de fallos (FD) Número 2:

    Agrupación de hardware e infraestructura dentro de un AD. Cada AD contiene tres dominios de fallos. Los dominios de fallo le permiten distribuir las instancias de la aplicación de modo que no se encuentren en el mismo hardware físico dentro de un único dominio de disponibilidad. Como resultado, un evento de mantenimiento de hardware o fallo de hardware que afecta un dominio de fallos no afecta a las instancias de otros dominios de fallos. Mediante el uso de dominios de fallos, puede proteger sus instancias contra fallos de hardware inesperados e interrupciones planificadas.

  • Host de Basación Número 3:

    El host de base es un componente opcional que se puede utilizar como servidor de salto para acceder y gestionar instancias de Oracle Cloud Infrastructure en la subred privada.

  • Nivel de Equilibrador de Carga Número 4:

    Este nivel contiene las instancias de Oracle Cloud Infrastructure Load Balancing que equilibran el tráfico en servidores de aplicaciones. El equilibrador de carga recibe las solicitudes de los usuarios y, a continuación, direcciona estas solicitudes al nivel de la aplicación.

  • Capa de Aplicaciones Número 5:

    Este nivel contiene instancias redundantes de los servidores de aplicaciones y servidores web para proporcionar alta disponibilidad. Configure instancias redundantes de todos los servidores del nivel de aplicación para asegurarse de que puede seguir accediendo a la aplicación incluso si se cae una instancia.

  • Nivel de Base de Datos Número 6:

    Este nivel contiene instancias del sistema de base de datos. Para HA de bases de datos, puede crear sistemas de base de datos Real Application Clusters (RAC) de dos nodos. Los dos nodos de RAC se crean siempre en dominios de fallos separados por defecto. Por lo tanto, los nodos de la base de datos no están en el mismo host físico ni en el mismo rack físico. Esto protege las instancias de la base de datos frente al host físico subyacente y la parte superior de los fallos del conmutador del rack.

  • Copia de Seguridad y Recuperación Número 7:

    Oracle recomienda que la base de datos y las aplicaciones desplegadas en Oracle Cloud Infrastructure tengan una sólida estrategia de copia de seguridad de recuperación. Se recomienda almacenar copias de seguridad de bases de datos e instancias de aplicaciones en Oracle Cloud Infrastructure Object Storage. Se puede realizar una copia de seguridad de las bases de datos e instancias de aplicación en subredes privadas en el almacenamiento de objetos de Oracle Cloud Infrastructure mediante un gateway de servicios, que proporciona acceso al almacenamiento de objetos sin recorrer Internet.

    La copia de seguridad de aplicaciones se puede configurar mediante la función de copia de seguridad basada en políticas de volúmenes en bloque de Oracle Cloud Infrastructure . Los volúmenes en bloque le permiten realizar copias de seguridad de volúmenes automáticamente basadas en un programa y retenerlas según la política de copia de seguridad seleccionada. Esto le permite cumplir con los requisitos de cumplimiento y normativa de los datos. Hay tres políticas de copia de seguridad predefinidas: Bronze, Silver y Gold. Cada política de copia de seguridad tiene una frecuencia de copia de seguridad predefinida y un período de retención.

    Las copias de seguridad automáticas y bajo demanda para el almacenamiento de objetos se pueden configurar mediante la consola de Oracle Cloud Infrastructure . Todas las copias de seguridad de la base de datos en el almacenamiento de objetos están cifradas con la misma clave maestra utilizada para el cifrado de carteras de cifrado de datos transparente (TDE). El servicio de copia de seguridad automática de la base de datos utiliza la estrategia de copia de seguridad incremental semanal para realizar copias de seguridad de las bases de datos con una política de retención de 30-day. También se puede realizar una copia de seguridad completa a demanda de bases de datos para requisitos ad hoc.

Arquitectura de Referencia con Varios Dominios de Disponibilidad

Para asegurarse de que la aplicación sobrevive si se cae todo un AD, se recomienda desplegar varios dominios de disponibilidad. De esta manera, aún puede acceder a las instancias de la aplicación en otro AD si se cae la primera:


A continuación se muestra la descripción de architecture-multiple-domains.png
Descripción de la ilustración architecture-multiple-domains.png

En esta arquitectura, la VCN con la base, el equilibrador de carga, la aplicación y los hosts de la base de datos se colocan en subredes en dos dominios de disponibilidad. Todas las instancias están activas en los dos dominios de disponibilidad. Los únicos componentes pasivos en la arquitectura son los hosts de la base de datos en el segundo dominio de disponibilidad.

El servicio DNS externo o Oracle Cloud Infrastructure DNS recibe solicitudes para su aplicación y realiza la operación por turnos de equilibrio de carga en uno de los equilibradores de carga en los dos dominios de disponibilidad. Oracle Active Data Guard en modo síncrono replica la base de datos en dominios de disponibilidad.

Arquitectura de referencia para la recuperación ante desastres en otra región

Además de garantizar que HA para una aplicación distribuyendo instancias entre dominios invitados, también recomendamos configurar un sitio de DR para su aplicación en una región geográfica diferente:


A continuación se muestra la descripción de architecture-disaster-recovery.png
Descripción de la ilustración architecture-disaster-recovery.png

Esta arquitectura despliega servidores de aplicaciones en varias regiones, garantizando así la alta disponibilidad y la recuperación ante desastres. Se asegura de que pueda acceder a las instancias de su aplicación en una región de DR secundaria, incluso en el caso altamente improbable de que todos los dominios de disponibilidad de la región primaria caigan. Todas las instancias están activas en los dominios de disponibilidad de la región primaria. Los componentes pasivos en la arquitectura son los hosts de la base de datos en el segundo dominio de disponibilidad de la primera región y todas las instancias de la región de DR. Los niveles web y de aplicación se replican utilizando rsync y el nivel de la base de datos se replica mediante Oracle Data Guard.

También es posible tener esta arquitectura desplegada en un solo AD en la primera región y un AD en la segunda región para la recuperación ante desastres. Sin embargo, si el único AD en el que se ha desplegado la aplicación no está disponible, deberá invocar la DR para realizar el failover de la aplicación en la segunda región.

Seguridad

El objetivo de la arquitectura de seguridad es permitir mantener la postura de seguridad al ejecutar las aplicaciones críticas del negocio en Oracle Cloud.Aunque puede reducir la sobrecarga de creación y mantenimiento de la infraestructura del centro de datos, aún se necesita un control inigualable y una transparencia sobre lo que se está ejecutando en la nube.

Los resultados que proporciona esta arquitectura pueden incluir:

  • Asegúrese de que las aplicaciones y los activos de datos asociados estén completamente aislados de las cargas de trabajo de otros inquilinos, así como para limitar el efecto de los vecinos ruidos y evitar el movimiento lateral de ataques
  • Proteja sus aplicaciones orientadas a Internet de ataques cibernéticos
  • Cifre los datos de forma estática y en tránsito para que pueda satisfacer los requisitos de conformidad y seguridad
  • Separe las responsabilidades operativas y restrinja el acceso a los servicios en la nube para reducir el riesgo asociado a acciones de usuario malintencionadas o accidentales.
  • Poder aprovechar los activos de seguridad existentes y las soluciones de seguridad de terceros para acceder y proteger sus aplicaciones y datos.
  • Audite y controle las acciones que se realizan en los recursos de la nube para que pueda cumplir los requisitos de auditoría.
  • Asegúrese de que los servicios en la nube están configurados de forma segura
  • Mantenerse actualizado sobre la información de seguridad y los parches de software
  • Detecte el comportamiento y las amenazas anómalas del usuario
  • Demuestre la preparación de conformidad con los equipos de conformidad y seguridad internos, clientes finales, auditores y reguladores

Como proveedor de nube, el trabajo de Oracle es proporcionar y trabajar con nuestra infraestructura segura. Hemos diseñado seguridad en cada aspecto de nuestra infraestructura para ayudar a los clientes a lograr una mejor protección, aislamiento y control. Comencemos a usar un enfoque de diseño único, separando los entornos de red y servidor. De esta manera, si se produce un ataque en una máquina virtual, podemos contener esa amenaza y evitar que se pase a otros servidores, lo que resulta en una mejor protección y un menor riesgo para los clientes. También se puede aumentar la infraestructura de red física y backend para proteger el aislamiento entre las instancias de cliente y los hosts de backend. Además, hemos implementado la raíz de confianza basada en hardware, asegurándose de que cada servidor es original y cada vez que se aprovisiona.

Sin embargo, la seguridad es una responsabilidad compartida entre Oracle y nuestros clientes. Por lo tanto, ofrecemos herramientas y controles de seguridad que cubren el IAM, la red, los recursos informáticos y la gestión de datos del núcleo, entre otros, podrá ejecutar sus cargas de trabajo críticas y sus bases de datos de asistencia, de manera segura en nuestra nube sin tener que reconstruir la postura de seguridad.

Seguridad de red

Hemos explicado VCN, subredes y listas de seguridad anteriores en el tema Redes y conectividad. Para la VCN de cada cliente hay un rango de protecciones de profundidad disponibles:

  • Firewalls virtuales: implementan firewalls virtuales en el nivel de subred mediante listas de seguridad de VCN.
  • Equilibrio de carga de tráfico de forma segura: se admite TLS 1.2 por defecto para equilibrar de manera segura el tráfico dentro de la implementación y desde conexiones externas.
  • Tráfico seguro entre dominios de disponibilidad y regiones: las comunicaciones entre dominios de disponibilidad se cifran con la seguridad de control de acceso de medios (MACsec) para evitar amenazas de seguridad de capa 2, como los ataques de conexión, DDoS, intrusión, man-in-the-middle y reproducción. El tráfico de VCN que se desplaza entre regiones se envía por medio de enlaces privados o se cifra.
  • Conexión segura a Internet pública: por defecto, una VCN no tiene conexión a Internet. Por lo tanto, el tráfico de Internet enlazado desde o hacia una VCN debe pasar por un IGW. Las tablas de enrutamiento virtual se pueden implementar con direcciones IP privadas para usar con dispositivos firewall de parte de 3rd y NAT para una mayor seguridad.
  • Conectividad segura entre su VCN y el centro de datos: el tráfico se puede direccionar a través de un DRG para tráfico privado. Se utiliza con una conexión VPN o FastConnect de IPSec para establecer conectividad privada entre una VCN y una red local u otra red en la nube.
  • Proteja las aplicaciones orientadas a Internet: Oracle proporciona un servicio de aplicación web (WAF) con 250 reglas predefinidas de OWASP y conformidad. Oracle Cloud Infrastructure WAF actúa como proxy inverso que inspecciona todos los flujos de tráfico o las solicitudes antes de que lleguen a la aplicación web de origen. También inspecciona cualquier solicitud que pase del servidor de aplicaciones web al usuario final. Además, el servicio DNS de difusión por proximidad global opcional de Oracle también aprovecha las protecciones opcionales de DDoS que proporcionan resiliencia en las capas DNS.

A continuación se muestra la descripción de network-security.png
Descripción de la ilustración network-security.png

Aislamiento del Servidor

Si requiere carga de trabajo completa y aislamiento de datos en el nivel de servidor para los requisitos de seguridad y/o rendimiento, puede aprovechar las unidades de cálculo con hardware dedicado. Estas formas son un único inquilino, por lo que ofrecen un alto rendimiento y son inmunes a problemas de ruido. Tampoco hay ningún hipervisor gestionado de Oracle ni personal de Oracle con acceso a la memoria ni al almacenamiento local de NVMe durante la ejecución de la instancia.

Si no tiene requisitos más flexibles para sus aplicaciones, nuestras unidades de máquina virtual multi-inquilino aprovechan un hipervisor endurecido que proporciona un aislamiento fuerte entre los clientes. Y, independientemente del tipo de forma, máquina virtual o hardware dedicado, todos los servidores se borran y se instalan con firmware de estado principal cuando se realiza un nuevo aprovisionamiento.

Cifrado de datos

Por defecto, todos los datos que los clientes almacenan con cualquier servicio de gestión de datos o almacenamiento de Oracle Cloud Infrastructure, incluidos los volúmenes en bloque, los volúmenes de inicio, el almacenamiento de objetos, el almacenamiento de archivos y la base de datos, se cifran posteriormente mediante claves AES seguras o TDE en el caso del cifrado de la base de datos. También ofrecemos cifrado en tránsito.

Gestión de claves

Para los clientes que requieren la capacidad de controlar sus propias claves criptográficas con fines de seguridad o conformidad, ofrecemos la gestión de claves de Oracle Cloud Infrastructure . Con la gestión de claves, puede centralizar la gestión de ciclo de vida de claves en los módulos de seguridad de hardware FIPS 140-2 nivel 3 (HSM).

Gestión de identidad y acceso (IAM)

La gestión de identidades, incluidos la autenticación, la autorización, la capacidad de aprovechar los proveedores de identidad existentes y las herramientas que le ayudarán a organizar y controlar el acceso a los recursos según la jerarquía organizativa, es como un tema enriquecido que desarrollamos un tema independiente a IAM, después de este tema.

Auditoría y Registro de Nivel de Plataforma

Oracle registra automáticamente las llamadas a todos los puntos finales de la interfaz de programación de aplicaciones (API) pública de Oracle Cloud Infrastructure como eventos de log. Actualmente, todos los servicios admiten el registro mediante auditoría. Puede aprovechar estos datos para realizar diagnósticos, realizar un seguimiento del uso de los recursos, supervisar la conformidad y recopilar eventos relacionados con la seguridad.


A continuación se muestra la descripción de platform-level-audit-logging.png
Descripción de la ilustración platform-level-audit-logging.png

La consola de Oracle Cloud Infrastructure proporciona visibilidad en todos los recursos informáticos y de almacenamiento de Oracle Cloud Infrastructure . Úsela para:

  • Definir administradores, usuarios, grupos y servicios
  • Definir niveles de autorización
  • Aplicar Niveles de Privilegio

Los servicios de telemetría se proporcionan para visibilidad y análisis. Con telemetría, puede auditar todos los niveles de actividad.

Asegúrese de la configuración segura

Oracle ofrece una solución de agente de seguridad de acceso a la nube (CASB) que realiza comprobaciones de configuración de seguridad para recursos de Oracle Cloud Infrastructure , supervisa credenciales y privilegios, realiza análisis del comportamiento del usuario (UBA) para acciones de usuario anómalas y ofrece análisis amenazas para identificar eventos de riesgo. Por ejemplo, Oracle CASB puede detectar bloques de almacenamiento de objetos accesibles públicamente, listas de seguridad de VCN abiertas, contraseñas de usuario con más de 90 días de antigüedad y si no se ha activado la autenticación de varios factores en una cuenta de administrador.

Conformidad

En función de dónde realice prácticas específicas del sector y el negocio, puede que necesite demostrar la preparación de cumplimiento para los equipos internos y para los auditores externos. Oracle interacciona continuamente con entidades de evaluación externas y auditores independientes a fin de satisfacer un amplio conjunto de normas de conformidad internacionales y específicas del sector para despliegues de servicios en nuestra nube.

Gestión de identidad y acceso

Con la arquitectura de Identity and Access Management (IAM), puede agrupar y aislar recursos según su jerarquía y estructura organizativa, controlar quién tiene acceso a los recursos de la nube, qué tipo de acceso tiene un grupo de usuarios y a qué recursos específicos.

Los resultados pueden proporcionar esta arquitectura:

  • Proteja de forma segura los recursos en la nube según la estructura organizativa
  • Autenticar usuarios para acceder a los servicios en la nube mediante la interfaz del explorador, la API de REST, el SDK o la CLI
  • Autorizar grupos de usuarios a realizar acciones en los recursos de la nube adecuados
  • Autorizar instancias de aplicación a realizar llamadas de API con los servicios de nube
  • Federe las identidades con el proveedor de identidad (IDP) existente.

Oracle Cloud Infrastructure ofrece un solo modelo para autenticación y autorización y también se integra con el proveedor de identidad existente. Tenemos un IAM protegido para que sea seguro por defecto, aprovechando el principio de seguridad de menor privilegio. Esto significa que los nuevos usuarios no pueden acceder ni realizar ninguna acción en los recursos en la nube a menos que un administrador les otorgue los permisos adecuados para ello. Para comenzar, se recomienda organizar y aislar los recursos en la nube de manera adecuada para que pueda aplicar políticas a fin de otorgar a los grupos adecuados acceso a los usuarios.

Compartimentos

Los compartimentos son un componente fundamental de Oracle Cloud Infrastructure para organizar y aislar los recursos en la nube. Un enfoque común es crear un compartimento para cada parte principal de la organización. Se utilizan para garantizar el aislamiento entre unidades de negocio y para agrupar de manera lógica los recursos a fin de medir el uso y la facturación.

Gestión de Credenciales y Autenticación

Por defecto, Oracle Cloud Infrastructure aplica una política de contraseñas fuerte para el acceso a la interfaz de usuario de la consola y al cliente Swift para las copias de seguridad de bases de datos a Object Storage. Los administradores también pueden modificar políticas de contraseña para todos los usuarios locales o no federados con el servicio IAM de Oracle. Todos los usuarios pueden restablecer automáticamente sus propias contraseñas de consola y gestionar sus propias claves de API. Sin embargo, debe tener permisos de administrador para gestionar credenciales de usuarios que no sean usted mismo.

Políticas

Aproveche las políticas para autorizar a un grupo de usuarios a realizar acciones en los recursos en la nube de un compartimento especificado o a través de un arrendamiento. Las políticas de Oracle Cloud Infrastructure se escriben en lenguaje legible para el ojo humano, por lo que son sencillas a definir y facilitar su comprensión.


A continuación se muestra la descripción de iam_for_msp-sis.png
Descripción de la ilustración iam_for_msp-sis.png

Con políticas de Oracle Cloud Infrastructure :

  • Disponible desde consola o mediante API, CLI o SDK
  • Los administradores de sistemas de clientes pueden gestionar todas las políticas de clientes desde una única consola.
  • Aislar recursos por compartimento
  • Administración de base de datos de grupo: Gestionar base de datos

Principales de Instancia

Permitir a los usuarios llamar a las API protegidas de IAM desde una instancia informática de Oracle Cloud Infrastructure sin tener que crear usuarios ni gestionar credenciales para dicha instancia. Puede tener una aplicación en ejecución en una instancia informática que requiera acceso al almacenamiento de objetos. Al agrupar las instancias informáticas adecuadas como actores "principales”, sólo puede asociar políticas para permitirles realizar llamadas a la API frente a otros servicios en la nube, como el almacenamiento de objetos.

Federación

Oracle IAM soporta la federación con Oracle Identity Cloud Service , Microsoft Active Directory Federation Services (AD FS), Okta y cualquier otro proveedor de identidad compatible con SAML 2.0 que incluya Oracle Access Manager (OAM).

Cuando se registra para Oracle Cloud Infrastructure , la cuenta del administrador de clientes se federa automáticamente con Oracle Identity Cloud Service . La federación con Oracle Identity Cloud Service permite automáticamente tener una conexión perfecta entre los servicios sin tener que crear un nombre de usuario y una contraseña independientes para cada uno.

Puede aprovechar sus propios mecanismos de seguridad de la aplicación para proporcionar autenticación con aplicaciones integradas locales que aprovechan LDAP, OAM u otras soluciones de parte de 3rd. Por lo tanto, se recomienda federar el IDP favorito con Oracle Identity Cloud Service , que proporcionará de modo automático la federación para todas las ofertas de Oracle en la nube.

Gestión de costos y control

Cuando se pasa de un modelo de CapEx, donde muchos costes son fijos en la implementación de un proyecto, a un modelo de OpEx, donde los costes se reducen y aumentan hacia abajo con el uso del sistema, los clientes suelen necesitar herramientas de gestión de costos para comprender, controlar y comunicar estos costos de la nube dentro de su organización.

Los resultados de estas herramientas pueden permitir incluir:

  • Configurar y gestionar presupuestos en la nube
  • Evitar exceso pendiente
  • Garantizar un seguimiento preciso de los costos de los departamentos y proyectos
  • Analice los departamentos, servicios y proyectos que contribuyen al uso en la nube a lo largo del tiempo
  • Obtener detalles de uso granulares para conciliación de facturas
  • Identificar áreas para optimizar costos

Compartimentos

Como se ha explicado anteriormente en la sección Gestión de identidad y acceso, los compartimentos se pueden utilizar para garantizar el aislamiento de los recursos de la nube entre unidades de negocio. Además, también se utilizan para agrupar de manera lógica los recursos con los fines de medición de uso y facturación. Por lo general, se recomienda crear un compartimento para cada pieza principal de la organización, como una unidad de negocio o un departamento. Los compartimentos también pueden estar anidados para admitir también subpasos.

Etiquetado

Utilice las etiquetas para realizar un seguimiento del costo y el uso de los recursos asociados a un proyecto concreto que abarca varios departamentos. Además, puede optimizar la administración de los recursos mediante el etiquetado y la creación de scripts de acciones masivas exactamente en los recursos de Oracle Cloud Infrastructure que desee. Las etiquetas aprovechan las políticas y los controles para garantizar la integridad de etiquetas y evitar que los usuarios creen etiquetas excesivas, etiquetas duplicadas y manipulen etiquetas existentes.

Presupuestos

Una vez asignados los recursos a los compartimentos que coinciden con sus casos de uso, departamentos o regiones de operación específicos, puede definir presupuestos, ver cómo se realiza el seguimiento de los gastos y configurar alertas de forma que se marque el uso inesperado antes de que se exceda realmente el presupuesto.

Análisis de costos

El panel de control de análisis de costos de facturación puede ayudar a visualizar los bloques grandes que contribuyen al uso y costo en la nube. Puede analizar costos por servicio en la nube, compartimentos y etiquetas. Por ejemplo, un analista o administrador puede utilizar esta herramienta para identificar la diferencia entre el aumento del uso de producción o desarrollo/prueba, así como la diferencia entre el aumento del uso del almacenamiento frente a las redes.

Informes de Uso Detallados

Archivos CSV que contienen datos detallados de nivel de recurso y hora-hora, incluidos todos los metadatos asociados, como etiquetas y compartimentos. Exporte informes de uso detallados como archivos CSV e impórtelos a las herramientas de inteligencia empresarial existentes para los casos de uso de conciliación de facturas, con el fin de obtener mayor granularidad en la factura e identificar áreas para la optimización de costos. Por ejemplo, puede aprovechar los datos de uso detallados y combinar con los datos de uso de CPU del servicio de supervisión de Oracle Cloud Infrastructure para identificar instancias con un uso bajo de CPU para cerrarlos.


A continuación se muestra la descripción de cost_management_compartments.png
Descripción de la ilustración cost_management_compartments.png

Visualice los bloques grandes que contribuyen al uso de la nube mediante el panel de control de análisis de costos:

  • Compartimentos recursos de grupo lógicamente por departamento
  • Recursos de etiquetas para el seguimiento de costos de proyecto que abarca los departamentos
  • Establecer presupuestos y configurar alertas para evitar exceso
  • Exportar datos de uso de nivel de recurso, hora por hora
  • Aproveche las herramientas de inteligencia empresarial existentes de terceros
  • Con la supervisión, combine los datos de uso con los datos de utilización de recursos para la optimización de costos.

Supervisión

El objetivo de la arquitectura de observación es permitir comprender cómo las aplicaciones están en producción mediante la generación de estadísticas muy granulares en el comportamiento de los sistemas junto con un contexto enriquecido recopilando datos de distintos orígenes siempre que lo necesite.Para el uso de nuevas arquitecturas de aplicaciones, como microservicios, sin servidor e infraestructura, como código se necesitan herramientas actualizadas para el control y la gestión. Además, el movimiento hacia DevOps y la creación rápida de ciclos de /test/deploy en entornos ágiles hacen que sea más importante supervisar las aplicaciones que se han utilizado en producción de forma rápida y sencilla.

Los resultados que proporciona esta arquitectura pueden incluir:

  • Recopile datos y estadísticas útiles para los recursos de Oracle Cloud Infrastructure , aplicaciones híbridas y locales y los recursos de infraestructura.
  • Proporcione una única plataforma para recopilar y acceder a todos los datos de rendimiento y operativos en forma de logs y métricas, en lugar de supervisar sistemas y aplicaciones individuales en silos (servidor, red, base de datos, etc.).
  • Supervise la pila completa (aplicaciones, infraestructura y servicios) y aproveche los datos de alarmas, logs y eventos para realizar acciones automatizadas y reducir el tiempo medio de resolución (MTTR).
  • Obtenga estadísticas útiles que lo ayuden a optimizar el rendimiento de la aplicación, a gestionar el uso de los recursos y comprender el estado operativo del sistema.

Oracle Cloud Infrastructure proporciona un conjunto de soluciones de control de grupos empresariales que van desde ser modernas y en la nube, desde el punto de vista híbrida y local. Esto significa que los nuevos usuarios tienen flexibilidad para seleccionar una solución de supervisión que mejor se adapte a sus cargas de trabajo. Vamos a analizar estas soluciones de supervisión a nivel superior.

Supervisión de Oracle Cloud Infrastructure

El servicio de supervisión de Oracle Cloud Infrastructure es una solución completa y una potente "observación“ en la nube completa. Permite supervisar de manera activa y contraseñas los recursos de la nube mediante las funciones Métricas y Alarmas. Los recursos que se pueden supervisar con este servicio incluyen recursos nativos de Oracle Cloud Infrastructure (recursos informáticos, de almacenamiento, red, etc.) y aplicaciones/servicios de cliente. Las métricas, las alarmas y los logs conforman un pilares integral para que el servicio de supervisión sea una solución de "observación" completa que ofrece Oracle Cloud Infrastructure . El servicio proporciona métricas y gráficos para todos los recursos ( Oracle Cloud Infrastructure y personalizado). Proporciona alarmas y eventos personalizables, y alertas en tiempo real, mediante el servicio de notificaciones y eventos, respectivamente.


A continuación se muestra la descripción de monitoring.png
Descripción de la ilustración monitoring.png

El servicio de supervisión proporciona métricas, alarmas y logs:

  • Métricas: el servicio de supervisión utiliza la función Métricas que transmite los datos de métrica sobre el estado, la capacidad y el rendimiento de los recursos de la nube. Una métrica es una medición relacionada con el estado, la capacidad o el rendimiento de un recurso determinado. Los recursos, servicios y aplicaciones emiten métricas al servicio de supervisión. Las métricas comunes reflejan datos relacionados con la disponibilidad y la latencia, el tiempo de actividad y el tiempo de inactividad de la aplicación, las transacciones completadas, las operaciones fallidas y correctas, y los indicadores clave de rendimiento (KPI), como los cuantificadores de ventas y compromiso. Mediante la consulta de Supervisión de estos datos, puede comprender el funcionamiento de los sistemas y procesos para lograr los niveles de servicio que confirma para sus clientes. Por ejemplo, puede supervisar el uso de CPU y las lecturas de disco de las instancias de Compute. A continuación, puede utilizar estos datos para determinar cuándo iniciar más instancias para manejar una mayor carga (ajuste automático), solucionar problemas con su instancia o comprender mejor el comportamiento del sistema.

  • Alarmas: el servicio de supervisión también utiliza la función de alarmas que funciona con el servicio de notificaciones para notificarle cuando las métricas cumplen los disparadores de período especificado. Cuando está configurado, las notificaciones de repetición le recuerdan el estado de activación continuo en el intervalo de repetición configurado. También se le notifica cuando una alarma vuelve al estado OK (Correcto) o cuando se restablece una alarma.


    A continuación se muestra la descripción de alarms.png
    Descripción de la ilustración alarms.png

  • Logs: Oracle Cloud Infrastructure Logging Service proporciona una plataforma de registro robusta y será el producto de registro central para todos los clientes de Oracle Cloud Infrastructure . El servicio de registro de Oracle Cloud Infrastructure permite recopilar y gestionar sin problemas todos los logs en una única vista del panel de vidrio. Además, proporciona una experiencia de búsqueda y una API para buscar y analizar los logs y permite realizar acciones en los logs con un motor de reglas intuitivo y simple. El servicio Registro proporcionará la capacidad de introducir logs de auditoría y servicio Oracle Cloud Infrastructure , logs de aplicación y seguridad generados por el cliente en una plataforma centralizada, en la que los clientes podrán realizar las capacidades de búsqueda y análisis y realizar las acciones correspondientes, que pueden emitir una métrica mediante Oracle Cloud Infrastructure Monitoring Service o proporcionar un servicio de flujo para un procesamiento posterior mediante Fn o enviar una notificación mediante Notification Service (ONS). El servicio de registro facilita la ingestión de logs personalizados con la ayuda del agente basado en flujo de CNCF, lo que ayuda a introducir cualquier tipo de logs personalizados de prácticamente cualquier entorno.

Oracle Enterprise Manager

Oracle Enterprise Manager es la plataforma de gestión local de Oracle, proporcionando un único panel de vidrio para gestionar todos los despliegues de Oracle de un cliente, ya sea en sus centros de datos o en Oracle Cloud. Mediante una integración exhaustiva con la pila de productos de Oracle, Enterprise Manager proporciona soporte de automatización y gestión líder en el mercado para aplicaciones, bases de datos, middleware, hardware y sistemas de ingeniería de Oracle. Oracle Enterprise Manager está muy desplegado por los clientes de Oracle según sus capacidades más detalladas para Oracle Database, incluidos los paquetes de diagnóstico y ajuste, el paquete Database Lifecycle Management y Cloud Management Pack for Oracle Database. Oracle Enterprise Manager se puede utilizar para gestionar todas las versiones soportadas de Oracle Database, tanto locales como en Oracle Cloud. Oracle Enterprise Manager proporcionará nuevas capacidades para Autonomous Database y está integrado con Oracle Management Cloud para clientes que desean gestionar su empresa completa desde un lugar.

Oracle Management Cloud

Con Oracle Management Cloud , los clientes pueden analizar un único juego de datos unificado con un aprendizaje automático específico diseñado específicamente para la gestión de sistemas y el problema de seguridad definidos para realizar conclusiones accionables al instante sobre el rendimiento y la postura de seguridad de un heterogéneo, los titulares híbridos y, a continuación, realizar acciones instantáneos en función de esas conclusiones analíticas. Oracle Management Cloud proporciona una plataforma que puede introducir, analizar y dibujar conclusiones inteligentes de la gran cantidad de telemetría operativa y de seguridad generada por las aplicaciones de hoy, con independencia del tipo de tecnología en la que se hayan creado o donde estén desplegadas. Las métricas generadas por el servicio de supervisión de Oracle Cloud Infrastructure se pueden introducir en Oracle Management Cloud para tener un único panel de vidrio para dibujar estadísticas útiles sobre los datos que se están generando. Oracle Management Cloud sirve para ser especialmente importante cuando es necesario una solución de supervisión integrada en ubicaciones locales y en varias nubes. Oracle Management Cloud también soporta la integración con el servicio de supervisión de Oracle Enterprise Manager y Oracle Cloud Infrastructure .

Migración y despliegue

Cuando se migran aplicaciones complejas, muy personalizadas e integradas, a menudo es importante tener materiales de referencia para resaltar las mejores prácticas con el fin de obtener los mejores resultados.

Como se ha explicado en el tema Escenarios de migración, distinguimos tres escenarios principales que se caracterizamos como “Elevación y turno", "Movimiento y mejora" y “Modernice", cada uno con sus propios objetivos, compensación comercial y beneficios.

Algunas consideraciones para seleccionar el enfoque correcto:

¿ Ha finalizado la aplicación, necesita algunas actualizaciones y con una carga de trabajo fija?

“Aumento y Cambio” es un enfoque que hace solo algunos cambios en la infraestructura como sea posible. Reduce las posibilidades de introducir diferencias en el comportamiento y, a la vez, ofrecen las ventajas en la nube de mejorar el rendimiento al utilizar el mejor hardware, almacenamiento y redes, además de las ventajas financieras de pasar de un modelo capex a uno.

¿ La aplicación sigue siendo un proyecto activo, ¿ con actualizaciones regulares y versiones?

“Mover y mejorar” permite actualizar los componentes de la infraestructura de aplicaciones a las versiones más recientes, como la migración de WebLogic a la versión 12.2 y la base de datos Oracle a la versión 19c. Utiliza una arquitectura validada por Oracle que se puede desplegar desde scripts de Terraform. Esto implementa las mejores prácticas para ejecutar aplicaciones en Oracle Cloud Infrastructure . Este enfoque facilita la instalación o desactivación de instancias de las aplicaciones para el trabajo de desarrollo y prueba, y mejora la calidad de las versiones de producción.

¿ Desea implantar una arquitectura nativa en la nube, con soporte para ampliación elástica, despliegue continuo y reparación automática?

El enfoque “Modernice” se basa en el despliegue de aplicaciones basadas en WebLogic en clusters de Kubernetes de contenedores de Docker. Con OKE, servicio Kubernetes gestionado de la infraestructura de Oracle Cloud, es fácil crear una infraestructura ampliable con alto nivel de reconstrucción y con el fin de aprovechar el código de aplicación existente. Esta infraestructura es ideal para modernos enfoques de devops para el desarrollo del software.

Servicios de migración de Oracle Database Cloud

La migración de bases de datos locales a los servicios de base de datos gestionados en Oracle Cloud Infrastructure desbloquea numerosas ventajas como la administración reducida, la mejor disponibilidad, la escalabilidad flexible y la integración con otros servicios en la nube.

  • Simple & Eficaz: las herramientas automáticas de Oracle le hacen fluir la base de datos local a Oracle Cloud sin ningún tiempo de inactividad virtual. Mediante la misma tecnología y estándares locales y en Oracle Cloud, puede facilitar los mismos productos y habilidades para gestionar las bases de datos Oracle basadas en la nube como lo haría en cualquier otra plataforma.
  • Flexible: puede migrar directamente Oracle Database a Oracle Cloud de varias bases de datos de origen a diferentes despliegues de nube de destino según sus necesidades y necesidades de negocio. Un juego de herramientas bien definido le proporciona la flexibilidad necesaria para seleccionar el método que se aplica mejor a sus necesidades.
  • Costo efectivo: la misma flexibilidad que le permite migrar directamente Oracle Database a Oracle Cloud se aplica para buscar la solución más rentable para fines y duración de la migración. Incluso si las herramientas automatizadas determinan que un producto con licencia de Oracle se debe utilizar para optimizar la migración, Oracle proporcionará una solución neutra de costo.
  • Muy Disponible y Escalable: la integración completa de todas las herramientas de migración con Oracle Database permite mantener el control y obtener una mejor eficacia al mover las bases de datos a Oracle Cloud, mientras que la arquitectura máxima de disponibilidad (MAA) ha aprobado y las migraciones basadas en la migración sin tiempo de inactividad (ZDM) garantizan que la migración se maneja tan suavemente como sea posible.

Funciones Adicionales de Oracle Cloud Infrastructure

Hay otras funciones clave de Oracle Cloud Infrastructure que las aplicaciones pueden aprovechar y que no se han explicado en detalles en los temas anteriores.

Servicios de Cálculo

Éste es el servicio más básico que permite gestionar los hosts de cálculo denominados instancias. Oracle Cloud Infrastructure ofrece recursos informáticos en forma de hosts con hardware dedicado (BM), dedicados a un cliente o máquinas virtuales (VM), que se ejecutan en la parte superior de un host físico. Esto es lo más recomendable para un entorno compartido en el que varios entornos están separados por varios mecanismos para garantizar que no se pone en riesgo la privacidad y la seguridad de los datos de los clientes. Oracle Cloud Infrastructure proporciona varias formas para su máquina virtual y su oferta de BM en función de la carga de trabajo en cuestión. Aunque no hay una recomendación específica para utilizar una unidad específica de la máquina virtual para ejecutar las aplicaciones en Oracle Cloud Infrastructure , el cliente puede elegir cualquier forma (como el número de núcleos) según el tamaño de su entorno y los usuarios simultáneos.

Servicio de almacenamiento de archivos

El servicio de almacenamiento de archivos Oracle Cloud Infrastructure proporciona un sistema de archivos de red empresarial duradero, escalable, seguro. Puede conectarse a un sistema de archivos del almacenamiento de archivos desde cualquier instancia con hardware dedicado, de máquina virtual o de contenedor de su red virtual en la nube (VCN). También puede acceder a un sistema de archivos desde fuera de la VCN mediante la red virtual (VPN) de Oracle Cloud Infrastructure FastConnect y la seguridad del protocolo de Internet (IPSec).

Los clusters de cálculo grande de miles de instancias pueden utilizar el servicio de almacenamiento de archivos para un almacenamiento compartido de alto rendimiento. El aprovisionamiento de almacenamiento está completamente gestionado y automático a medida que su uso se amplía de un solo byte a exabytes sin un aprovisionamiento por delante. Tiene almacenamiento redundante para la protección de datos resistentes. El servicio de almacenamiento de archivos admite el protocolo Network File System versión 3.0 (NFSv3). El servicio admite el protocolo de gestor de bloqueo de red (NLM) para la funcionalidad de bloqueo de archivos.

Oracle Database Exadata Cloud Service y DbaaS

Los sistemas de base de datos le permiten aprovechar la potencia de Exadata en Oracle Cloud Infrastructure . Un sistema de base de datos Exadata consta de un cuarto bastidor, medio bastidor o bastidor completo de nodos de cálculo y servidores de almacenamiento, vinculados juntos por una red de InfiniBand de alta velocidad y baja latencia y software de Exadata inteligente. Puede configurar las copias de seguridad automáticas, optimizar las diferentes cargas de trabajo y ampliar el sistema para satisfacer las demandas más amplias.

Para los requisitos de alta disponibilidad, Oracle recomienda utilizar una de las siguientes opciones para configurar las instancias de la base de datos de la aplicación:

  • Sistemas de base de datos de dos nodos, Oracle Real Application Clusters (Oracle RAC) en la máquina virtual.
  • Instancias de Oracle Database Exadata Cloud Service. Este servicio proporciona Oracle Database alojado en Oracle Exadata Database Machine en Oracle Cloud.

Colocar los sistemas de base de datos en una subred independiente. Las instancias de base de datos se configuran para que estén disponibles en gran medida y las dos instancias de la base de datos en un dominio de disponibilidad están activas. Las solicitudes recibidas del nivel de aplicación se equilibran en carga en las instancias de base de datos. Si una instancia de base de datos está caída, el resto de la instancia de base de datos da servicio a las solicitudes. Puede utilizar Oracle Cloud Infrastructure Object Storage para realizar una copia de seguridad de la base de datos de la aplicación mediante RMAN.