Despliegue de Oracle Database Service for Microsoft Azure multinube en una topología de hub y Spoke

Esta arquitectura de referencia despliega Oracle Database Service for Microsoft Azure (ODSA) y FortiGate, firewall de última generación de Fortinet, en una topología de hub y radio en Microsoft Azure.

Oracle Cloud Infrastructure (OCI) ofrece los mejores procesos operativos y de seguridad de su clase para arquitecturas híbridas y multinube, mientras que Fortinet proporciona una solución de seguridad en la nube de clase empresarial que amplía Fortinet Security Fabric para incluir la integración nativa con proveedores de servicios en la nube.

Juntos, protegen las aplicaciones en entornos multinube ofreciendo un rendimiento ampliable y ofreciendo una orquestación de seguridad avanzada y protección ante amenazas unificada.

Arquitectura

El diseño de red de Microsoft Azure utiliza una topología de hub y radio.

La red virtual de hub es el punto central de conectividad para el tráfico que entra y sale de la red (tráfico norte-sur) y para el tráfico dentro de la red (tráfico este-oeste). Esta arquitectura proporciona un diseño modular y altamente escalable para conectar múltiples radios.

Los firewalls de última generación FortiGate se despliegan en un esquema activo/en espera de alta disponibilidad (HA) en el hub de Azure para aplicar la seguridad y la inspección del tráfico. El componente de base de datos del servicio Oracle Database Service for Microsoft Azure (ODSA) se despliega en una VCN en Oracle Cloud Infrastructure (OCI).

El siguiente diagrama ilustra esta arquitectura de referencia.



odsa-fortigate-azure-architecture-oracle.zip

Tráfico Este-Oeste

El tráfico de Azure ha hablado VNets al segmento de base de datos ODSA (tráfico de este a oeste) se enruta al cluster FortiGate para su inspección a través de un equilibrador de carga interno y la interfaz de confianza.

El diagrama de arquitectura muestra el flujo de tráfico entre la máquina virtual de la aplicación (VM) y ODSA:

  1. La VM de aplicación solicita una conexión a la base de datos en OCI mediante puertos de base de datos específicos, como SQL: TCP/1521. Una tabla de rutas con rutas definidas por el usuario (UDR) está asociada a la subred del radio para manejar el tráfico por defecto en Azure. La solicitud de conexión se reenvía a la dirección IP de frontend del equilibrador de carga interno que forma parte del despliegue activo/pasivo FortiGate.
  2. El equilibrador de carga de Azure dirige automáticamente el tráfico a la máquina virtual activa del cluster FortiGate. El puerto 2 es la tarjeta de interfaz de red virtual (vNIC) interna de la VM FortiGate que maneja el tráfico de confianza entrante.
  3. Según la política de firewall configurada, FortiGate permite o rechaza solicitudes de conexión. Si se permite el tráfico, los paquetes se reenvían a la dirección IP de siguiente salto designada. La dirección IP del próximo salto se configura como parte del despliegue de ODSA y es específica del despliegue de cliente de ODSA concreto. La definición de la tabla de rutas y las rutas definidas por el usuario (UDR) gestionan el enrutamiento de tráfico.
  4. Los paquetes se reenvían al servidor de base de datos OCI a través del enlace de red ODSA.

El tráfico devuelto del segmento de base de datos ODSA a Azure sigue la ruta inversa.

ODSA requiere políticas con los siguientes puertos y protocolos para abrir:

Componente Protocolo Puerto
Capa de Aplicaciones TCP/HTTPS 443
Puerto SSH TCP 22
Nivel de base de datos TCP 1521–1522
Puerto ONS y FAN TCP 6200
Puerto TCPS TCP 2484

Se necesita una tabla de rutas para la configuración del radio VNet para manipular el comportamiento de enrutamiento por defecto. Para CIDR de destino específicos (ODSA_DB_CIDR en este ejemplo), el tráfico se reenvía a la dirección IP del siguiente salto (ILB_FrontEnd_FortiGate_HA en este caso). La misma tabla de rutas se puede asociar a varias subredes en la misma VNets o en otra diferente.

Tabla de rutas de Azure para la configuración de UDR de radio VNet:

Direcciones IP de destino Tipo de siguiente salto Dirección de siguiente salto
ODSA_DB_CIDR Dispositivo virtual ILB_FrontEnd_FortiGate_HA

Tabla de rutas de Azure para la configuración de UDR del hub VNet:

Direcciones IP de destino Tipo de siguiente salto Dirección de siguiente salto
ODSA_DB_CIDR Dispositivo virtual ILB_FrontEnd_ODSA

Tabla de rutas FortiGate:

Direcciones IP de destino Dirección de siguiente salto
ODSA_DB_CIDR Gateway por defecto de subred de confianza
APP_SPOKE_CIDR Gateway por defecto de subred de confianza

La arquitectura incluye los siguientes componentes:

  • Región

    Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones, y grandes distancias pueden separarlos (entre países o incluso continentes).

  • Red virtual en la nube (VCN) y subred

    Una VCN es una red personalizable definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes de centros de datos tradicionales, las VCN le ofrecen un control total sobre su entorno de red. Una VCN puede tener varios bloques CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes que se pueden acotar a una región o a un dominio de disponibilidad. Cada subred consta de un rango contiguo de direcciones que no se solapan con las otras subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

  • Lista de seguridad

    Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se debe permitir dentro y fuera de la subred.

  • Oracle Database Service para Microsoft Azure

    Oracle Database Service for Microsoft Azure (ODSA) permite integrar fácilmente Oracle Cloud Infrastructure Database en su entorno en la nube de Azure. ODSA utiliza un enfoque basado en servicios y es una alternativa a la creación manual de despliegues multinube complejos para las pilas de aplicaciones.

  • Sistemas Oracle Database disponibles

    Oracle Database Service for Microsoft Azure ofrece los siguientes productos:

    • Oracle Exadata Database Service: puede aprovisionar sistemas flexibles de Exadata que le permitan agregar servidores de cálculo y de almacenamiento de base de datos al sistema en cualquier momento después del aprovisionamiento.
    • Oracle Autonomous Database en infraestructura de Exadata compartida: Autonomous Database proporciona una base de datos completamente autónoma y fácil de usar que se amplía de forma flexible, ofrece un rendimiento de consultas rápido y no requiere administración de bases de datos.
    • Base de datos base: con ODSA, puede desplegar bases de datos Oracle Enterprise Edition u Oracle Standard Edition 2 en sistemas de base de datos de máquina virtual. Puede desplegar sistemas RAC de un solo nodo o de 2 nodos.
  • Enlace ODSA Multicloud

    Se establece un enlace multinube entre una cuenta de OCI y una cuenta de Azure para desplegar el servicio de Oracle Database en OCI y una aplicación en Azure. Para realizar tareas básicas de base de datos y gestión de infraestructura, utilice el portal ODSA, que es una interfaz de OCI. En el portal de Azure, puede ver las métricas y los eventos de la base de datos. Las métricas aparecen en Azure Application Insights, mientras que los eventos aparecen en Azure Log Analytics.

  • Enlace de red ODSA

    Se crea un enlace de red mediante la interconexión de Oracle para Microsoft Azure, una conexión de túnel privada de alto rendimiento, baja latencia y baja duración para el tráfico de red entre OCI y Azure. Oracle se ha asociado con Azure para ofrecer esta conexión en un juego designado de regiones de OCI ubicadas en todo el mundo. Al registrarse en ODSA, el servicio configura la conexión privada a sus recursos de base de datos como parte del proceso de enlace de cuentas.

  • Azure VNet

    Azure Virtual Network (VNet) es el elemento fundamental de su red privada en Azure. VNet permite que muchos tipos de recursos de Azure, como las máquinas virtuales (VM) de Azure, se comuniquen de forma segura entre sí, con Internet y con las redes locales.

  • Tarjeta de interfaz de red virtual (VNIC)

    Los servicios de los centros de datos de Azure tienen tarjetas de interfaz de red (NIC) física. Las instancias de máquina virtual se comunican mediante NIC virtuales (VNIC) asociadas a las NIC físicas. Cada instancia tiene una VNIC primaria que se crea y asocia automáticamente durante el inicio, que está disponible durante la vida útil de la instancia.

  • Tabla de rutas de Azure (ruta definida por el usuario - UDR)

    Las tablas de rutas virtuales contienen reglas para enrutar el tráfico desde subredes a destinos fuera de VNet, normalmente a través de gateways. Las tablas de rutas están asociadas a subredes en VNet.

  • Firewall de última generación de Fortinet FortiGate

    FortiGate es el firewall de última generación de Fortinet. Proporciona servicios de red y seguridad, como protección contra amenazas, inspección SSL y latencia ultrabaja, para proteger segmentos internos y entornos esenciales. Esta solución está disponible para el despliegue directamente desde Oracle Cloud Marketplace y soporta la virtualización de E/S de raíz única (SR-IOV) directa para un rendimiento mejorado.

  • Equilibrador de carga de Azure

    El servicio de equilibrio de carga de Azure proporciona una distribución de tráfico automatizada desde un punto de entrada único a varios servidores del backend.

Desplegar

Para desplegar Oracle Database Service for Microsoft Azure mediante Fortinet Security Fabric, realice los siguientes pasos generales:

  1. Configure el firewall de alta disponibilidad FortiGate en un hub de Azure y la topología del radio seleccionando e instalando una versión de FortiGate:
  2. Configure Oracle Database Service for Microsoft Azure (ODSA) solicitando un enlace multinube en la siguiente dirección. Al registrarse en ODSA, el servicio configura la conexión privada a sus recursos de base de datos como parte del proceso de enlace de cuentas. Se le pedirá que proporcione un nombre de organización reconocido o una dirección de correo electrónico:

    Solicitar enlace multinube de Oracle Database Service for Microsoft Azure

  3. Despliegue ODSA y establezca el enlace de red.
  4. Configure las rutas estáticas en FortiGate.
  5. Configure la tabla de rutas para la subred de radio en Azure VNet.
  6. Cree una política de firewall en FortiGate.
  7. Despliegue el servidor de aplicaciones en el radio VNet.

Explorar más

Obtenga más información sobre esta arquitectura de referencia y sobre arquitecturas de referencia relacionadas.

Materiales de referencia de Oracle Cloud Infrastructure:

Acuses de recibo

  • Autores: Ejaz Akram, Ricardo Anda
  • Colaborador: Ozan Oguz (Fortinet), Thomas Van Buggenhout, Robert Lies