1. Diseño de una estructura de compartimentos de Observability and Management segura en Oracle Cloud
  2. Diseñar una estructura de compartimentos de Observability and Management segura en Oracle Cloud

Diseñar una estructura de compartimentos de Observability and Management segura en Oracle Cloud

Los servicios de observación y gestión son la columna vertebral de las soluciones de infraestructura en la nube, ya que proporcionan estadísticas críticas de observación y supervisión sobre la disponibilidad, el rendimiento y la estrategia de seguridad del sistema.

El diseño de una organización de compartimentos de Observability and Management segura y eficaz en Oracle Cloud Infrastructure es una tarea estratégica que aborda estos imperativos. La estructura de compartimentos sirve como base para una organización de datos y recursos en la nube eficaz, y para la gobernanza del control de acceso. Esta arquitectura de referencia se ha diseñado con las mejores prácticas de Oracle Cloud para ofrecer una visión integral del estado, el comportamiento y los riesgos del sistema. Su objetivo es capacitar a las partes interesadas con inteligencia procesable, lo que permite una toma de decisiones rápida e informada.

Arquitectura

Esta arquitectura de referencia describe los componentes y metodologías esenciales para diseñar un compartimento de Oracle Cloud Observability and Management Platform que proporciona seguridad, resiliencia y destreza operativa en el ecosistema en la nube.

En el siguiente diagrama se muestra esta arquitectura de referencia de compartimento de Oracle Cloud Observability and Management Platform.


Descripción de oracle-cloud-observability-arch.png
Descripción de la ilustración oracle-cloud-observability-arch.png

oracle-cloud-observability-arch-oracle.zip

Este diseño de compartimento refleja una estructura funcional básica observada en distintas organizaciones, donde las responsabilidades de TI suelen estar separadas entre los administradores de redes, seguridad, desarrollo de aplicaciones y bases de datos. Los recursos de esta arquitectura de referencia se aprovisionan en los siguientes compartimentos:
  • Compartimento de Oracle Cloud Observability and Management Platform para todos los recursos y métricas de servicios de Observability and Management, así como el repositorio de espacios de nombres de métricas.
  • Un compartimento de red para todos los recursos de red, incluidos los puertas de enlace de red y los datos de log relacionados con la red.
  • Compartimento de seguridad para el registro de seguridad y eventos, la gestión de claves y los logs relacionados con la seguridad.
  • Compartimento de aplicación para servicios relacionados con las aplicaciones, incluidos los recursos informáticos, el almacenamiento, las funciones, los flujos, los nodos de Kubernetes, el gateway de API y los logs relacionados con las aplicaciones.
  • Compartimento de base de datos para todos los recursos de base de datos y logs relacionados con la base de datos.
  • Compartimento delimitador opcional que contiene todos los compartimentos anteriores.

La arquitectura tiene los siguientes componentes:

  • Arrendamiento

    Un arrendamiento es una partición segura y aislada que Oracle configura en Oracle Cloud cuando se registra en Oracle Cloud Infrastructure. Puede crear, organizar y administrar sus recursos en Oracle Cloud dentro de su arrendamiento. Un arrendamiento es sinónimo de una compañía u organización. Normalmente, una compañía tendrá un único arrendamiento y reflejará su estructura organizativa dentro de ese arrendamiento. Un único arrendamiento suele estar asociado a una única suscripción, y una única suscripción normalmente solo tiene un arrendamiento.

  • Política

    Una política de Oracle Cloud Infrastructure Identity and Access Management especifica quién puede acceder a qué recursos y cómo. El acceso se otorga en el nivel de grupo y compartimento, lo que significa que puede escribir una política que proporcione a un grupo un tipo específico de acceso dentro de un compartimento específico o al arrendamiento.

  • Compartimento

    Los compartimentos son particiones lógicas entre regiones dentro de un arrendamiento de Oracle Cloud Infrastructure. Utilice compartimentos para organizar los recursos en Oracle Cloud, controlar el acceso a los recursos y definir cuotas de uso. Para controlar el acceso a los recursos de un compartimento determinado, debe definir políticas que especifiquen quién puede acceder a los recursos y qué acciones pueden realizar.

  • Monitoring

    El servicio Oracle Cloud Infrastructure Monitoring supervisa de forma activa y pasiva los recursos en la nube mediante métricas para supervisar los recursos y las alarmas a fin de notificarle cuando estas métricas cumplan los disparadores especificados por las alarmas.

  • Alarmas

    La función Alarmas del servicio Monitoring funciona junto al servicio de destino configurado para informarle cuando las métricas alcanzan los disparadores especificados para la alarma.

  • Logging
    El registro es un servicio altamente escalable y totalmente gestionado que proporciona acceso a los siguientes tipos de logs de sus recursos en la nube:
    • Logs de auditoría: logs relacionados con eventos emitidos por el servicio Audit.
    • Logs de servicios: logs emitidos por servicios individuales como API Gateway, eventos, funciones, equilibrio de carga, almacenamiento de objetos y logs de flujo de VCN.
    • Logs personalizados: logs que contienen información de diagnóstico de aplicaciones personalizadas, otros proveedores de nube o un entorno local.
  • Eventos

    Los servicios de Oracle Cloud Infrastructure generan eventos, que son mensajes estructurados que describen los cambios en los recursos. Los eventos se emiten para operaciones de creación, lectura, actualización o supresión (CRUD), cambios de estado del ciclo de vida de los recursos y eventos del sistema que afectan a los recursos en la nube.

  • Conectores de servicio

    Oracle Cloud Infrastructure Service Connector Hub es una plataforma de bus de mensajes en la nube que organiza el movimiento de datos entre servicios de OCI. Puede utilizar conectores de servicio para mover datos de un servicio de origen a un servicio de destino. Los conectores de servicio también permiten especificar opcionalmente una tarea (como una función) que realizar en los datos antes de entregarlos al servicio de destino.

    Puede utilizar el hub de conector de servicio de Oracle Cloud Infrastructure para crear rápidamente un marco de agregación de registros para sistemas de información de seguridad y gestión de eventos (SIEM).

  • Notifications

    El servicio Oracle Cloud Infrastructure Notifications transmite mensajes a componentes distribuidos a través de un patrón de publicación/suscripción, lo que permite que los mensajes dirigidos a aplicaciones alojadas en Oracle Cloud Infrastructure sean seguros, altamente fiables, duraderos y de baja latencia.

  • Flujo

    Oracle Cloud Infrastructure Streaming proporciona una solución de almacenamiento duradera, escalable y totalmente gestionada para la ingesta de flujos de datos continuos y de alto volumen que puede utilizar y procesar en tiempo real. Puede utilizar Streaming para ingerir datos de gran volumen, como logs de aplicación, datos de telemetría operativa, datos de flujo de clics en la web, o para otros casos de uso en los que se producen y procesan datos de forma continua y secuencial en un modelo de mensajería de publicación-suscripción.

  • Gestión de Base de Datos

    Database Management proporciona un diagnóstico completo del rendimiento de la base de datos y funciones de gestión para bases de datos Oracle y sistemas de base de datos MySQL HeatWave. Además, puede utilizar Database Management para detectar y supervisar los componentes del sistema de Oracle Database local (sistema de base de datos externo) y la infraestructura de almacenamiento de Exadata.

  • Operations Insights
    Operations Insights de Oracle Cloud Infrastructure es un servicio nativo de OCI que proporciona estadísticas completas sobre la utilización de recursos y la capacidad de la base de datos y del host. Con Operations Insights puede:
    • Analice el uso de recursos de bases de datos y hosts en toda la empresa.
    • Prevea la demanda futura de recursos en función de las tendencias históricas.
    • Comparación del rendimiento SQL en bases de datos e identificación de patrones comunes.
    • Identificar las tendencias de rendimiento SQL en todas las bases de datos empresariales.
    • Analizar las estadísticas de AWR para el rendimiento de la base de datos, el diagnóstico y el ajuste en un conjunto de bases de datos.
    • Cree y reciba informes de noticias semanales que le proporcionen desgloses de los nuevos máximos de utilización, los grandes cambios de utilización y los cambios de inventario en su conjunto de bases de datos, hosts y sistemas Exadata.
  • Control de Rendimiento de la Aplicación

    Oracle Cloud Infrastructure Application Performance Monitoring proporciona una amplia visibilidad del rendimiento de las aplicaciones y la capacidad de diagnosticar incidencias de forma rápida para ofrecer un nivel de servicio consistente. Esto incluye la supervisión de los diversos componentes y la lógica de aplicación en los clientes, los servicios de terceros y los niveles informáticos de backend, de forma local o en la nube.

  • Supervisión de pila

    Stack Monitoring le permite supervisar de forma proactiva una aplicación y su pila de aplicaciones subyacente, incluidos los servidores de aplicaciones y las bases de datos. Para empezar, se detectan todos los componentes de la aplicación, incluida la topología de la misma. Una vez detectada, recopila automáticamente métricas de estado, carga, respuesta, error y uso de todos los componentes de la aplicación.

  • Logging Analytics

    Oracle Logging Analytics es una solución en la nube de Oracle Cloud Infrastructure que permite indexar, enriquecer, agregar, explorar, buscar, analizar, correlacionar, visualizar y supervisar todos los datos de log de sus aplicaciones e infraestructura del sistema en la nube o en las ubicaciones locales.

  • Agente de gestión

    Una instancia de Management Agent (agente de gestión) permite que un plugin de servicio recopile datos del host donde se instala Management Agent. Puede conectarse a Oracle Cloud Infrastructure directamente mediante el servicio en la nube Management Agent. Management Agent se instala en un host. Supervisa y recopila datos de los orígenes que residen en hosts o hosts virtuales.

  • Gateway de Management Agent

    Management Agent Cloud Service (MACS), también conocido como el servicio Management Agent, es un servicio en la nube de Oracle Cloud Infrastructure. Gestiona las instancias de Management Agent y su ciclo de vida. Las instancias de Management Agent permiten a los servicios de Oracle Cloud interactuar y recopilar datos de entidades gestionadas por ellos.

  • Panel de control de gestión
    El panel de control de gestión le permite crear soluciones de control de rendimiento, diagnóstico y análisis de datos en la plataforma, la infraestructura y los recursos de aplicaciones de Oracle Cloud Infrastructure. Tiene potentes opciones de visualización de datos que recopilan datos históricos y en tiempo real y los muestran en widgets. El panel de control de gestión está disponible como parte de los siguientes servicios de observación y gestión de Oracle Cloud Infrastructure:
    • Control de Rendimiento de la Aplicación
    • Gestión de Bases de Datos
    • Análisis de registro
    • Management Agent
    • Operations Insights
  • Red virtual en la nube (VCN) y subred

    Una VCN es una red personalizable y definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes de los centros de datos tradicionales, las redes virtuales le proporcionan el control de su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

  • gateway de Internet

    El gateway de Internet permite el tráfico entre las subredes públicas de una VCN y la red pública de Internet.

  • Gateway de enrutamiento dinámico (DRG)

    El DRG es un enrutador virtual que proporciona una ruta de acceso para el tráfico de red privada entre las VCN de la misma región, entre una VCN y una red fuera de la región, como una VCN de otra región de Oracle Cloud Infrastructure, una red local o una red de otro proveedor de nube.

  • Gateway de traducción de direcciones de red (NAT)

    Un gateway de NAT permite que los recursos privados de una VCN accedan a hosts de Internet sin exponer dichos recursos a conexiones de Internet entrantes.

  • Gateway de servicio

    El gateway de servicio proporciona acceso desde una VCN a otros servicios, como Oracle Cloud Infrastructure Object Storage. El tráfico de la VCN al servicio de Oracle viaja por el tejido de red de Oracle y no por Internet.

  • Oracle Services Network

    Oracle Services Network (OSN) es una red conceptual que forma parte de Oracle Cloud Infrastructure y solo pueden utilizarla los servicios de Oracle. Estos servicios tienen direcciones IP públicas a las que puede acceder a través de Internet. Los hosts de fuera de Oracle Cloud pueden acceder a OSN de forma privada mediante Oracle Cloud Infrastructure FastConnect o VPN Connect. Los hosts de las redes virtuales en la nube pueden acceder a OSN de forma privada mediante un gateway de servicio.

  • Grupo de seguridad de red (NSG)

    El grupo de seguridad de red (NSG) actúa como firewall virtual para sus recursos en la nube. Con el modelo de seguridad de confianza cero de Oracle Cloud Infrastructure, se niega todo el tráfico y puede controlar el tráfico de red dentro de una VCN. Un NSG está formado por un conjunto de reglas de seguridad de entrada y salida que se aplican solo a un conjunto especificado de VNIC en una única VCN.

  • Vault

    Oracle Cloud Infrastructure Vault permite gestionar de forma centralizada las claves de cifrado que protegen los datos y las credenciales secretas que utiliza para proteger el acceso a los recursos en la nube. Puede utilizar el servicio Vault para crear y gestionar almacenes, claves y secretos.

  • Cloud Guard

    Puede utilizar Oracle Cloud Guard para supervisar y mantener la seguridad de los recursos en Oracle Cloud Infrastructure. Cloud Guard utiliza recetas de detector que puede definir para examinar los recursos en busca de debilidades de seguridad y para supervisar a los operadores y usuarios en busca de determinadas actividades de riesgo. Cuando se detecta cualquier actividad no segura o de configuración incorrecta, Cloud Guard recomienda acciones correctivas y ayuda a realizar esas acciones, en función de las recetas de responsable de respuesta que pueda definir.

  • Zona de seguridad

    Las zonas de seguridad garantizan las mejores prácticas de seguridad de Oracle desde el principio mediante la aplicación de políticas como el cifrado de datos y la prevención del acceso público a las redes de un compartimento completo. Una zona de seguridad está asociada a un compartimento con el mismo nombre e incluye políticas de zona de seguridad o una "receta" que se aplica al compartimento y sus subcompartimentos. No puede agregar ni mover un compartimento estándar a un compartimento de zona de seguridad.

  • Servicio Vulnerability Scanning

    Oracle Cloud Infrastructure Vulnerability Scanning Service ayuda a mejorar la estrategia de seguridad en Oracle Cloud comprobando de forma rutinaria las posibles vulnerabilidades de los puertos y los hosts. El servicio genera informes con métricas y detalles sobre estas vulnerabilidades.

  • Servicio de bastión

    Oracle Cloud Infrastructure Bastion proporciona acceso seguro restringido y limitado en el tiempo a recursos que no tienen puntos finales públicos y que requieren estrictos controles de acceso a recursos, como máquinas virtuales y con hardware dedicado, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Container Engine for Kubernetes (OKE) y cualquier otro recurso que permita el acceso al protocolo de shell seguro (SSH). Con el servicio Oracle Cloud Infrastructure Bastion, puede activar el acceso a hosts privados sin desplegar y mantener un host de salto. Además, obtendrá una estrategia de seguridad mejorada con permisos basados en identidad y una sesión SSH centralizada, auditada y con límite de tiempo. El bastión de Oracle Cloud Infrastructure elimina la necesidad de una IP pública para el acceso bastión, lo que elimina los problemas y la posible superficie de ataque al proporcionar acceso remoto.

  • Object Storage

    Object Storage proporciona acceso rápido a grandes cantidades de datos estructurados y no estructurados de cualquier tipo de contenido, incluidas copias de seguridad de base de datos, datos analíticos y contenido enriquecido, como imágenes y vídeos. Puede almacenar datos de forma segura y, a continuación, recuperarlos directamente desde Internet o desde la plataforma en la nube. Puede ampliar el almacenamiento sin experimentar ninguna degradación del rendimiento ni de la fiabilidad del servicio. Utilice el almacenamiento estándar para el almacenamiento de acceso frecuente al que debe acceder de forma rápida, inmediata y frecuente. Utilice el almacenamiento de archivo para el almacenamiento "en frío" que conserva durante largos períodos de tiempo y a los que rara vez accede.

  • Motor de contenedor para Kubernetes

    Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE) es un servicio totalmente gestionado, escalable y de alta disponibilidad que puede utilizar para desplegar las aplicaciones en contenedores en la nube. Especifique los recursos informáticos que necesitan sus aplicaciones y Container Engine for Kubernetes los aprovisionará en Oracle Cloud Infrastructure en un arrendamiento existente. Container Engine for Kubernetes utiliza Kubernetes para automatizar el despliegue, el ajuste y la gestión de aplicaciones en contenedores en clusters de hosts.

  • Compute

    El servicio Oracle Cloud Infrastructure Compute permite aprovisionar y gestionar hosts informáticos en la nube. Puede iniciar instancias informáticas con unidades que cumplan los requisitos de recursos de CPU, memoria, ancho de banda de red y almacenamiento. Después de crear una instancia informática, puede acceder a ella de forma segura, reiniciarla, asociar y desasociar volúmenes y terminarla cuando ya no la necesite.

  • base de datos autónoma

    Las bases de datos autónomas de Oracle Cloud Infrastructure son entornos de base de datos preconfigurados y totalmente gestionados que puede utilizar para el procesamiento de transacciones y cargas de trabajo de almacenamiento de datos. No necesita configurar ni gestionar ningún hardware, ni instalar ningún software. Oracle Cloud Infrastructure se ocupa de la creación de la base de datos, así como de la copia de seguridad, la aplicación de parches, el cambio de versión y el ajuste de la base de datos.

  • Base de datos de Exadata en infraestructura dedicada

    Exadata Cloud Infrastructure le permite aprovechar la potencia de Exadata en la nube. Puede aprovisionar sistemas X8M y X9M flexibles que le permitan agregar servidores de recursos informáticos y servidores de almacenamiento de base de datos al sistema a medida que aumenten sus necesidades. Los sistemas X8M y X9M ofrecen una red RDMA sobre Ethernet convergente (RoCE) para módulos de memoria persistente (PMEM) de gran ancho de banda y baja latencia, así como software de Exadata inteligente. Los sistemas X8M y X9M se pueden aprovisionar mediante una unidad equivalente a un sistema X8 o X9M de cuarto de rack y, posteriormente, la base de datos y los servidores de almacenamiento se pueden agregar en cualquier momento después del aprovisionamiento.

  • Oracle Base Database Service

    Oracle Base Database Service le permite mantener un control absoluto sobre los datos a la vez que utiliza las capacidades combinadas de Oracle Database y Oracle Cloud Infrastructure. Oracle Base Database Service ofrece sistemas de base de datos (sistemas de base de datos) en máquinas virtuales. Están disponibles como sistemas de base de datos RAC de nodo único y de varios nodos en Oracle Cloud Infrastructure (OCI).

  • Almacen Archivos

    El servicio Oracle Cloud Infrastructure File Storage ofrece un sistema de archivos de red duradero, escalable, seguro y empresarial. Puede conectarse a un sistema de archivos del servicio File Storage desde cualquier instancia con hardware dedicado, de máquina virtual o de contenedor en una VCN. También puede acceder a un sistema de archivos desde fuera de la VCN mediante Oracle Cloud Infrastructure FastConnect y la VPN IPSec.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida. Es posible que sus requisitos difieran de la arquitectura que se describe aquí.
  • Compartimento Observability and Management para datos de métricas
    • Cree un compartimento dedicado de Oracle Cloud Observability and Management Platform en el arrendamiento (compartimento raíz).
    • Almacene todos los recursos relacionados con métricas personalizadas, como espacios de nombres de métricas de servicios avanzados de Oracle Cloud Observability and Management Platform, métricas para Stack Monitoring, Database Management Service, Operations Insights, así como métricas personalizadas definidas por el usuario, alarmas y notificaciones en el compartimento de Oracle Cloud Observability and Management Platform.
    • Defina políticas para otorgar acceso de lectura y escritura adecuado a los equipos relevantes, lo que garantiza que puedan acceder a los datos de métricas y a los espacios de nombres de métricas mientras se adhieren al principal con menos privilegios. Por ejemplo, el equipo de administración Observability and Management tiene permisos de gestión en los datos de métricas del compartimento Observability and Management, mientras que los equipos de DBA y Application tienen permisos de lectura o uso en las métricas del compartimento Observability and Management.
  • Compartimento de Oracle Cloud Observability and Management Platform para datos de log
    • Utilice los compartimentos de los recursos en la nube existentes para almacenar los datos de log de los recursos en la nube para que cada equipo de soporte o unidad de negocio acceda a sus propios datos de log.
    • Cree grupos de logs de Logging y Logging Analytics en el mismo compartimento que los recursos en la nube.
    • Almacene todos los recursos relacionados con logs, incluidos los grupos de logs, las entidades de log, las búsquedas guardadas, los paneles de control y las políticas de retención de Logging Analytics, en estos compartimentos.
    • Defina políticas de acceso estrictas para garantizar que cada equipo pueda acceder a sus propios logs mientras restringe el acceso a los datos de log de otros equipos.
    • Defina los compartimentos de log en Network Compartment, Security Compartment, Application Compartment y Database Compartment respectivamente.

Consideraciones

Al implantar esta arquitectura de referencia, tenga en cuenta estas opciones.

  • Diseño de jerarquías de compartimentos relacionados con Oracle Cloud Observability and Management Platform
    El diseño de jerarquía de compartimentos relacionado con Oracle Cloud Observability and Management Platform ayuda a los equipos de operaciones e ingeniería a simplificar las operaciones en la nube manteniendo una gobernanza y una estrategia de seguridad en la nube adecuadas. Dos datos distinguibles relacionados con la supervisión y el registro en OCI:
    • Datos métricos: puntos de datos agregados, como métricas de disponibilidad y rendimiento completas recopiladas por los servicios avanzados de Observability and Management de los recursos en la nube.
    • Datos de registro: los datos de log raw del host, la base de datos, el middleware o la aplicación como syslog, los logs de alertas de la base de datos y los datos de log raw pueden contener datos confidenciales.
    • La naturaleza de los datos de log que pueden contener información confidencial de espacio de nombres de usuario o aplicación.
    • El perímetro de seguridad de los datos de log se debe definir en el mismo compartimento que los recursos en la nube.
    • El equipo de soporte o la unidad de negocio que necesita acceder a los datos de log debe tener el mismo nivel de acceso a los recursos en la nube y su configuración subyacente.
  • Otros recursos de Oracle Cloud Observability and Management Platform en OCI
    • Métricas de servicio: los recursos en la nube de OCI proporcionan métricas de servicio básicas por defecto en el servicio OCI Monitoring. Las métricas de servicio listas para usar se almacenan en los espacios de nombres de métricas designados en el mismo compartimento que los recursos en la nube. Las métricas del servicio de recursos en la nube son gratuitas y no puede cambiar el compartimento de las métricas del servicio.
    • El origen de log de Logging Analytics, los analizadores y los campos son recursos de nivel de arrendamiento, que se asociarán al arrendamiento (compartimento raíz).
    • Los logs generados por los recursos de compartimento de Oracle Cloud Observability and Management Platform para diagnósticos como logs de Management Agent y logs de Service Connector se deben almacenar en el compartimento de Oracle Cloud Observability and Management Platform.

Explorar más

Revise estas soluciones adicionales para obtener más información sobre las funciones de esta arquitectura de referencia.

Confirmaciones

  • Author: Royce Fu
  • Contributors: Leon Shaner, Sriram Vrinda