Arquitectura de red segura para copias de seguridad de bases de datos locales en OCI Object Storage con punto final privado

Las copias de seguridad externas son fundamentales para la continuidad del negocio. Oracle Cloud Infrastructure (OCI) ofrece OCI Object Storage con un punto final privado como destino de copia de seguridad, donde OCI crea una conectividad segura y privada desde la ubicación local del cliente sin direcciones IP públicas asociadas a OCI Object Storage.

Arquitectura

Esta arquitectura de referencia muestra un diseño de red privado, de alto rendimiento y seguro para realizar una copia de seguridad de los datos de Oracle Exadata Database Service on Cloud@Customer en OCI Object Storage.

Para obtener un rendimiento de red óptimo, Oracle Cloud Infrastructure FastConnect con intercambio de tráfico privado conecta el centro de datos local con una región de OCI de un cliente inquilino.

El punto final privado de OCI Object Storage proporciona acceso seguro a Object Storage mediante una IP privada en una subred de cliente dentro de una VCN.

Una zona de DNS privada de OCI proporciona respuestas solo para clientes que se conectan a través de una VCN. Al configurar un punto final de recepción de DNS de OCI e implementar reglas de reenvío en el centro de datos del cliente local, se logra una resolución de DNS híbrido perfecta.

El siguiente diagrama ilustra esta arquitectura de referencia.

Descripción de la ilustración secure-backup-oci-object-storage.png

secure-backup-oci-object-storage-oracle.zip

La arquitectura tiene los siguientes componentes:

• Región

  Una región de OCI es un área geográfica localizada que contiene uno o más centros, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y pueden haber grandes distancias que las separan (entre países o incluso continentes).

• Dominios de disponibilidad

  Los dominios de disponibilidad son centros de datos independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten infraestructura, como la alimentación o la refrigeración, ni la red interna del dominio de disponibilidad. Por lo tanto, un fallo en un dominio de disponibilidad no debería afectar a los demás dominios de disponibilidad de la región.

• Red virtual en la nube (VCN) y subredes

  Una VCN es una red personalizable y definida por software que se configura en una región de OCI. Al igual que las Redes de los Centros de Datos Tradicionales, las Redes Virtuales le proporcionan el control sobre su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

• Gateway de enrutamiento dinámico (DRG)

  The DRG is a virtual router that provides a path for private network traffic between VCNs in the same region, between a VCN and a network outside the region, such as a VCN in another OCI region, an on-premises network, or a network in another cloud provider.

• FastConnect

  Oracle Cloud Infrastructure FastConnect crea una conexión dedicada y privada entre tu centro de datos y OCI. FastConnect ofrece opciones de un Gran Ancho de Banda y una Experiencia de Red más fiable en comparación con la conexión basada en Internet.

• Almacenamiento de objetos

  OCI Object Storage proporciona acceso a grandes cantidades de datos estructurados y no estructurados de cualquier tipo de contenido, incluidas copias de seguridad en bases de datos, datos analíticos y contenido enriquecido como imágenes y vídeos. Puede almacenar datos de forma segura directamente desde Internet o desde la plataforma en la nube. Puedes ampliar el almacenamiento sin experimentar ninguna degradación del rendimiento o la fiabilidad del servicio.

  Utilice el almacenamiento estandar para el almacenamiento "caliente" al que debe acceder de forma rápida, inmediata y frecuente. Utilice este tipo de almacenamiento para el almacenamiento "frío" que conserva durante largos períodos de tiempo y a los a los que rara vez accede.

• Punto final privado de Object Storage

  El punto final privado de Object Storage proporciona acceso seguro a Object Storage desde sus redes virtuales en la nube de OCI o redes locales. El punto final privado es una VNIC con una dirección IP privada en una subred que elija dentro de la VNC. Este método es una alternativa al uso de un gateway de servicios mediante direcciones IP públicas asociadas a servicios de OCI.

• Solucionadores DNS privados

  Un solucionador DNS privado responde a las consultas de DNS para una VCN. Un solucionador privado se puede configurar para utilizar vistas y zonas, así como reglas de reenvío condicional para definir cómo responder a consultas de DNS.

• Punto Final de Recepción

  Un punto final de recepción recibe consultas desde la VCN o desde otros solucionadores de VCN, desde el DNS de otros proveedores de servicios en la nube (como AWS, GCP o Azure), o desde el DNS de su red local. Una vez creado, no se necesita ninguna configuración adicional para un punto final de recepción.

Recomendaciones

Utilice las siguientes recomendaciones al diseñar su red para realizar copias de seguridad de los datos de Oracle Exadata Database Service on Cloud@Customer en OCI Object Storage a través de un punto final privado. Los requisitos pueden diferir de la arquitectura que se describe aquí.

• VCN

  Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque en función del número de recursos que tenga previsto asociar a las subredes de la VCN. Utilice bloques CIDR que se encuentren dentro del espacio de direcciones IP privadas estándar.

  Seleccione bloques CIDR que no se solapen con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) en la que desee configurar conexiones privadas.

  Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques CIDR.

  Al diseñar las subredes, tenga en cuenta los requisitos de seguridad y el flujo de tráfico. Asocie todos los recursos de un nivel o rol específico a la misma subred, lo que puede servir como límite de seguridad.

• Políticas de IAM y orígenes de red

  La creación de un punto final privado en una VCN y su asociación a un cubo no limitan el acceso al cubo desde Internet u otros orígenes de red. Debe definir reglas mediante políticas de IAM en el cubo, por lo que las solicitudes solo se autorizan si se originan desde una VCN específica o un bloque CIDR dentro de esa VCN. Todos los demás accesos, incluso a través de Internet, están bloqueados a estos cubos.

• Seguridad

  Asigne un grupo de seguridad de red (NSG) al punto final de recepción de OCI y configure el grupo de seguridad siguiendo una estrategia de seguridad de denegación total, que solo permita la IP de DNS local en el puerto UDP:53. El punto final privado de Object Storage se puede configurar para restringir el acceso a cubos y compartimentos específicos.

• Alta disponibilidad

  Esta arquitectura muestra un diseño simplificado. En un despliegue de producción, asegúrese de que su diseño sigue las mejores prácticas de alta disponibilidad.

Deploy

Para configurar la comunicación de red y la resolución de DNS de las ubicaciones locales a OCI en el diagrama de arquitectura anterior, complete los siguientes pasos de alto nivel.

Configuración de Red

1. Creación de una red virtual en la nube.
2. Cree una subred privada para el punto final privado de Object Storage.
3. Despliegue el punto final privado de Object Storage.
4. Cree una subred privada para el punto final de DNS.
5. Cree un DRG.
6. Asocie la VCN al DRG.
7. Cree un FastConnect con un circuito virtual privado para conectarse a la ubicación local y asociarlo al DRG.

Configuración de DNS

1. Cree un punto final de recepción en el solucionador de DNS de VCN y despliéguelo en la subred de DNS.
2. En la lista Seguridad de subred de DNS, permita UDP:53 con IP de origen para el servidor DNS local.
3. Cree reglas de reenvío de DNS en el servidor DNS local. Configure las reglas de la siguiente tabla.

   Nombre del dominio*	IP de destino:Puerto
   objectstorage. <oci-region-identifier>.oci.customer-oci.com	IP de punto final de escucha de OCI. Puerto 53
   swiftobjectstorage. <oci-region-identifier>.oci.customer-oci.com	IP de punto final de escucha de OCI. Puerto 53

   *Consulte Regiones y dominios de Disponibilidad para obtener la información más reciente sobre las regiones y los dominios de Disponibilidad.

Explorar más

Revise estos recursos adicionales para obtener más información sobre las funciones de esta arquitectura de referencia.

• Puntos finales privados en Object Storage
• Documentación de Oracle Exadata Database Service on Cloud@Customer
• Documentación deOracle Cloud Infrastructure
• Marco bien diseñado para Oracle Cloud Infrastructure
• Estimador de costos de Oracle Cloud
• Marco de adopción de la nube

Acuses de recibo

• Autores: Ricardo Anda, Ejaz Akram