Déployez TCS BaNCS sur Oracle Cloud Infrastructure avec Exadata Cloud Service

BaNCS est une suite d'applications logicielles financières fournies par Tata Consultancy Services (TCS). Ces applications fournissent des solutions pour les services bancaires de base, les marchés de capitaux et les assurances et sont utilisées par des institutions financières de taille moyenne et de grande taille dans plus de 100 pays. Huit sociétés de dépositaires et de gestion d'actifs sur dix gèrent TCS BaNCS et environ 30% de la population mondiale est desservie par BaNCS pour le secteur bancaire.

Les applications BaNCS sont essentielles pour le fonctionnement quotidien de nombreuses institutions financières. Ils peuvent être déployés à une échelle qui prend en charge jusqu'à des milliards de comptes et des centaines de millions de transactions par jour. Ces systèmes doivent être mis en œuvre d'une manière qui offre le plus haut niveau de sécurité, de fiabilité et de performance pour répondre aux exigences propres à chaque organisation et répondre également aux exigences strictes de leurs régulateurs locaux des services financiers.

Oracle Cloud Infrastructure (OCI) est la plate-forme idéale pour héberger des applications BaNCS. Les services OCI et la technologie de centre de données sous-jacente ont été spécialement conçus et optimisés pour exécuter des systèmes critiques comme BaNCS. OCI propose plusieurs régions dans de nombreux pays, ce qui permet aux organisations de configurer des modèles d'architecture de reprise après sinistre isolés géographiquement tout en conservant les données situées dans des limites géographiques aux fins de conformité réglementaire. En outre, OCI fournit un certain nombre d'options de base de données, notamment le service de base de données Exadata hautement optimisé, qui est l'option la plus résiliente et la plus performante disponible pour un système transactionnel tel que BaNCS.

Cette architecture de référence décrit comment déployer BaNCS sur OCI en tirant parti de la récupération après sinistre multi-région et du service de base de données Exadata.

Architecture

TCS BaNCS suit une architecture à plusieurs niveaux avec une conception basée sur des API. Cette solution tire parti de nombreuses fonctionnalités de réseau et de sécurité d'OCI, telles que les compartiments OCI, et de l'appairage en étoile des réseaux en nuage virtuels d'OCI pour isoler les différents composants d'application et fournir un contrôle d'accès détaillé entre les environnements et les niveaux d'application. L'application BaNCS de production principale est déployée dans une région OCI et le déploiement RS est configuré dans une région OCI secondaire. Les services de réplication inter-région OCI sont utilisés pour synchroniser les sites principal et secondaire et fournir un objectif de point de récupération faible (OPR) et un objectif de temps de récupération (ODR). En outre, les machines virtuelles qui hébergent les services d'application BaNCS sont réparties entre plusieurs domaines d'erreur OCI pour créer une grappe hautement disponible dans chaque région OCI.

Le diagramme suivant illustre cette architecture de référence pour un environnement BaNCS de production et de récupération après sinistre. Afin de simplifier le diagramme, les environnements hors production n'ont pas été représentés. Ces environnements suivront le même modèle de conception et seront contenus dans leur propre réseau isolé.

Des descriptions détaillées des différents composants de la solution suivent le diagramme.


Description de bancs-ref-architecture-no-fd.png ci-dessous
Description de l'illustration bancs-ref-architecture-no-fd.png

bancs-ref-architecture-no-fd-oracle.zip

Cette architecture comprend les composants suivants :
  • Location

    Une location est une partition sécurisée et isolée qu'Oracle configure dans Oracle Cloud lors de votre inscription à OCI. Vous pouvez créer, organiser et administrer vos ressources dans Oracle Cloud au sein de votre location.

    Une location est synonyme d'une société ou d'une organisation. Habituellement, une société aura une seule location et reflétera sa structure organisationnelle au sein de cette location. Une seule location est généralement associée à un seul abonnement, et un seul abonnement n'a généralement qu'une seule location. Une société peut choisir de fractionner ses ressources, environnements ou applications OCI entre plusieurs locations si elle le souhaite. Les locations peuvent être liées et les réseaux peuvent être appairés entre les locations, si nécessaire. Aux fins de cette conception de solution BaNCS, une seule location a été utilisée et le concept de compartiments OCI (voir ci-dessous) a été utilisé pour fournir un isolement détaillé et un contrôle d'accès aux différents composants de la solution.

  • Région

    Une région OCI est une zone géographique localisée qui contient un ou plusieurs centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les unes des autres, et de grandes distances peuvent les séparer (dans différents pays ou continents). Dans cette solution, deux régions sont utilisées pour fournir un site de reprise après sinistre géographiquement isolé du site principal.

  • Compartiment

    Les compartiments sont des partitions logiques inter-régions dans une location OCI. Utilisez des compartiments pour organiser vos ressources dans Oracle Cloud, contrôler l'accès aux ressources et définir des quotas d'utilisation. Pour contrôler l'accès aux ressources d'un compartiment donné, vous devez définir des politiques qui spécifient qui peut accéder aux ressources et les actions qui peuvent être exécutées.

  • Domaines de disponibilité

    Les domaines de disponibilité sont des centres de données indépendants et autonomes dans une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui garantit la tolérance aux pannes. Les domaines de disponibilité ne partagent pas les éléments d'infrastructure (alimentation ou refroidissement, par exemple) ni le réseau de domaines de disponibilité interne. Par conséquent, il est peu probable qu'une défaillance d'un domaine de disponibilité ait une incidence sur les autres domaines de la région.

  • Domaines d'erreur

    Un domaine d'erreur est un regroupement de matériel et d'infrastructure au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines d'erreur avec une puissance et un matériel indépendants. Lorsque vous répartissez des ressources entre plusieurs domaines d'erreur, vos applications peuvent tolérer les pannes physiques de serveur, la maintenance du système et les pannes d'alimentation au sein d'un domaine d'erreur. Pour ce déploiement, il est recommandé que les équilibreurs de charge, les pare-feu de réseau, les machines virtuelles de niveau Web et de niveau application BaNCS soient déployés dans des grappes hautement disponibles dans plusieurs domaines d'erreur afin d'assurer une résilience maximale aux défaillances matérielles.

  • Gestion des identités et des accès (GIA)

    Le service Gestion des identités et des accès OCI (IAM) vous permet de contrôler qui peut accéder à vos ressources dans OCI et les opérations qu'elles peuvent effectuer sur ces ressources.

  • Politique

    Une politique IAM OCI indique qui peut accéder à quelles ressources et comment. L'accès est accordé au niveau du groupe et du compartiment, ce qui permet d'écrire une politique qui donne à un groupe un type d'accès spécifique à un compartiment spécifique ou à la location.

  • Réseau en nuage virtuel (VCN) et sous-réseau

    Un VCN est un réseau défini par logiciel personnalisable, configuré dans une région OCI. Comme les réseaux de centre de données traditionnels, les réseaux en nuage virtuels vous offrent un contrôle complet sur votre environnement de réseau. Un VCN peut disposer de plusieurs blocs CIDR sans chevauchement que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, dont la portée peut concerner une région ou un domaine de disponibilité. Un sous-réseau est constitué d'un intervalle contigu d'adresses qui ne chevauchent pas les autres sous-réseaux dans le réseau en nuage virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé. Cette architecture de référence BaNCS tire parti de plusieurs VCN dans une topologie de concentrateur et de satellite. Cela sera discuté plus en détail dans la section ci-dessous.

  • FastConnect

    OCI FastConnect offre un moyen facile de créer une connexion privée dédiée entre votre centre de données et OCI. FastConnect fournit des options de bande passante supérieure et permet une utilisation du réseau plus fiable que les connexions Internet.

  • RPV site-à-site

    Un RPV site-à-site fournit une connectivité RPV IPSec entre votre réseau sur place et les réseaux en nuage virtuels d'OCI. La suite de protocoles IPSec chiffre le trafic IP avant que les paquets ne soient transférés de la source à la destination, et le déchiffre à son arrivée.

  • passerelle de routage dynamique (DRG)

    La passerelle DRG est un routeur virtuel qui fournit un chemin pour le trafic réseau privé entre un VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région OCI, un réseau sur place ou un réseau d'un autre fournisseur de nuage.

  • Passerelle d'appairage local (LPG)

    Une passerelle LPG vous permet d'appairer un VCN à un autre dans la même région. L'appairage signifie que les réseaux en nuage virtuels communiquent à l'aide d'adresses IP privées, sans que le trafic passe par Internet ou passe par votre réseau sur place. Cette solution a été créée à l'aide d'une passerelle DRG à attache multiple comme méthode d'appairage local pour le réseau hub et satellite. Toutefois, il peut également être créé à l'aide de passerelles d'appairage locales.

  • Passerelle de traduction d'adresses de réseau (NAT)

    La passerelle NAT permet aux ressources privées d'un VCN d'accéder à des hôtes sur Internet, sans les exposer aux connexions Internet entrantes.

  • Passerelle de service

    La passerelle de service fournit l'accès d'un VCN à d'autres services, tels que le stockage d'objets OCI. Le trafic entre le réseau VCN et le service Oracle circule sur la matrice réseau Oracle et ne passe jamais par Internet.

  • Liste de sécurité

    Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui spécifient la source, la destination et le type de trafic qui doivent être autorisés à entrer et à sortir du sous-réseau.

  • Groupe de sécurité de réseau

    Les groupes de sécurité de réseau servent de pare-feu virtuels pour vos ressources en nuage. Avec le modèle de sécurité zéro confiance d'OCI, tout le trafic est refusé et vous pouvez contrôler le trafic réseau dans un VCN. Un groupe de sécurité de réseau est composé de règles de sécurité de trafic entrant et sortant qui s'appliquent seulement à un jeu spécifié de cartes vNIC dans un seul réseau VCN.

  • Zone de sécurité

    Les zones de sécurité garantissent les meilleures pratiques de sécurité d'Oracle dès le départ en appliquant des politiques telles que le chiffrement des données et la prévention de l'accès public aux réseaux pour un compartiment entier. Une zone de sécurité est associée à un compartiment du même nom et inclut des politiques de zone de sécurité ou une "recette" qui s'applique au compartiment et à ses sous-compartiments. Vous ne pouvez pas ajouter ou déplacer un compartiment standard vers un compartiment de zone de sécurité.

  • Calcul

    Le service de calcul OCI vous permet de provisionner et de gérer les hôtes de calcul dans le nuage. Vous pouvez lancer des instances de calcul avec des formes qui répondent à vos besoins en ressources pour l'UC, la mémoire, la bande passante de réseau et le stockage. Après avoir créé une instance de calcul, vous pouvez y accéder en toute sécurité, la redémarrer, attacher et détacher des volumes, et y mettre fin lorsque vous n'en avez plus besoin. OCI fournit également l'installation pour les réservations de capacité pour les ressources de calcul. La capacité de calcul sera ainsi réservée à l'avance afin qu'elle soit toujours disponible pour les charges de travail lorsque vous en avez besoin. Il est souvent utilisé pour réserver de la capacité dans la région de récupération après sinistre afin de garantir qu'il est toujours possible de provisionner et de démarrer vos ressources RS en cas de basculement.

  • Oracle Functions

    Oracle Functions est une plate-forme de fonctions-service (FaaS) sur demande, entièrement gérée, multilocataire, très évolutive. Il est alimenté par le moteur open source Fn Project. Les fonctions vous permettent de déployer votre code et de l'appeler directement ou de le déclencher en réponse à des événements. Oracle Functions utilise des conteneurs Docker hébergés dans le registre OCI. Dans cette solution, les fonctions peuvent être utilisées pour créer et exécuter rapidement des programmes répondant à des exigences ad hoc, telles que la désactivation d'utilisateurs inactifs ou la vérification de l'achèvement de la sauvegarde.

  • Équilibreur de charge

    Le service Équilibrage de charge OCI assure la répartition automatisée du trafic d'un point d'entrée unique vers plusieurs serveurs dorsaux.

  • Stockage d'objets

    Le service de stockage d'objets offre un accès rapide à de grandes quantités de données structurées et non structurées de tous types, notamment des sauvegardes de base de données, des données analytiques et du contenu enrichi, comme des images et des vidéos. Vous pouvez stocker des données en toute sécurité, puis les extraire directement à partir d'Internet ou de la plate-forme en nuage. Vous pouvez adapter le stockage de façon transparente sans que la performance ou la fiabilité des services soit affectée. Utilisez le stockage standard pour le stockage "à chaud" auquel vous devez accéder rapidement, immédiatement et fréquemment. Utilisez le stockage d'archives pour le stockage "à froid" que vous retenez pendant de longues périodes et auquel vous accédez rarement.

  • Stockage de fichiers

    Le service Stockage de fichiers pour OCI fournit un système de fichiers de fichier de réseau durable, évolutif, sécurisé et de niveau entreprise. Vous pouvez vous connecter à un système de fichiers du service de stockage de fichiers à partir de toute instance sans système d'exploitation, sur machine virtuelle ou en conteneur d'un VCN. Vous pouvez également accéder à un système de fichiers à partir de l'extérieur du VCN à l'aide du RPV OCI FastConnect et IPSec.

  • Système de base de données Exadata

    Exadata Cloud Service vous permet de tirer parti de la puissance d'Exadata dans le nuage. Vous pouvez provisionner des systèmes X8M flexibles qui permettent d'ajouter des serveurs de calcul de base de données et des serveurs de stockage à votre système au fur et à mesure que vos besoins augmentent. Les systèmes X9M offrent un réseau RoCE (RDMA sur Ethernet convergé) pour une bande passante élevée et une faible latence, des modules de mémoire persistante (PMEM) et des logiciels Exadata intelligents. Vous pouvez provisionner des systèmes X9M à l'aide d'une forme équivalente à un système X9 de quart de bâti, puis ajouter des serveurs de base de données et de stockage à tout moment après le provisionnement.

  • Oracle Services Network

    Le réseau de services Oracle (OSN) est un réseau conceptuel dans OCI réservé aux services Oracle. Ces services ont des adresses IP publiques accessibles sur Internet. Les hôtes en dehors d'Oracle Cloud peuvent accéder au réseau OSN en privé à l'aide de OCI FastConnect ou d'une connexion RPV. Les hôtes de vos réseaux en nuage virtuels peuvent accéder au réseau OSN en privé au moyen d'une passerelle de service.

  • Protection d'infrastructure en nuage

    Vous pouvez utiliser Oracle Cloud Guard pour surveiller et maintenir la sécurité de vos ressources dans OCI. Le service de protection d'infrastructure en nuage utilise des recettes de détecteur que vous pouvez définir pour examiner vos ressources afin de détecter les faiblesses en matière de sécurité et pour surveiller les opérateurs et les utilisateurs à la recherche d'activités risquées. Lorsqu'une mauvaise configuration ou une activité non sécurisée est détectée, le service de protection d'infrastructure en nuage recommande des actions correctives et aide à effectuer ces actions, en fonction des recettes de répondant que vous pouvez définir.

  • Data Guard

    Oracle Data Guard fournit un jeu complet de services qui créent, tiennent à jour, gèrent et surveillent une ou plusieurs bases de données de secours afin de permettre aux bases de données Oracle de production de rester disponibles sans interruption. Oracle Data Guard tient à jour ces bases de données de secours en tant que copies de la base de données de production. Ensuite, si la base de données de production devient indisponible en raison d'une interruption planifiée ou non planifiée, Oracle Data Guard peut remplacer n'importe quelle base de données de secours par le rôle de production, réduisant ainsi le temps d'arrêt associé à la panne.

  • Chambre forte

    Le service de chambre forte OCI vous permet de gérer, de manière centrale, les clés de chiffrement qui protègent vos données et les données d'identification de clé secrète que vous utilisez pour sécuriser l'accès à vos ressources dans le nuage. Dans cette solution, les services d'objet, de fichier, de stockage par blocs et de certificat sont tous intégrés au service de chambre forte pour gérer leurs clés.

  • Service de certificats

    Le service de certificats OCI est utilisé pour gérer les certificats TLS pour les équilibreurs de charge et les certificats de chiffrement du stockage.

  • Zones DNS

    Le service DNS pour OCI est un système Internet distribué qui mappe des noms lisibles par l'homme (tels que oracle.com) à des adresses IP. Les organisations peuvent tirer parti du DNS OCI pour faciliter la continuité de l'accès à l'application BaNCS en cas d'événement de reprise après sinistre.

Recommandations

Cette solution est conçue à l'aide de divers services et concepts OCI afin de fournir l'application BaNCS la plus résiliente, la plus sécurisée et la plus performante. Cette conception devrait être la plus appropriée pour répondre aux exigences réglementaires et des institutions financières, qui sont courantes dans le secteur des services financiers. Les éléments ci-dessous fournissent plus de détails sur ces composants spécifiques de la conception.
  • Haute disponibilité et reprise après sinistre

    L'application BaNCS nécessitera généralement le plus haut niveau de disponibilité et une redondance géographiquement isolée. Afin d'obtenir la redondance isolée en cas de sinistre au niveau régional, cette solution a été répartie entre deux régions OCI. La région principale hébergera l'environnement de production qui réplique activement les données dans la deuxième région, qui n'est activée que si nécessaire. Pour réduire l'OPR et l'ODR, les systèmes de fichiers de niveau application peuvent être répliqués du site principal vers le site secondaire à l'aide de la réplication de stockage inter-région ou d'un utilitaire tel que rsync. La base de données de cette solution est le service de base de données Exadata OCI, qui utilise Oracle Data Guard pour fournir une réplication inter-région à une autre instance de service Exadata dans la région secondaire.

    La haute disponibilité est assurée par deux fonctions principales. Les composants de base, tels que le pare-feu de réseau, les équilibreurs de charge et les serveurs d'application et Web BaNCS, auront plusieurs machines virtuelles déployées dans une grappe dans les domaines d'erreur OCI. Cela assure la continuité des activités, car une instance secondaire s'exécutera en tout temps en cas de défaillance d'application ou de matériel au sein d'un domaine de disponibilité. Pour le niveau base de données, le service de base de données Exadata fournit plusieurs noeuds de calcul et de stockage actifs dans une grappe d'applications réelle pour assurer la redondance.

  • Réseau

    L'architecture réseau utilisée dans cette conception est basée sur une topologie de concentrateur et de satellite pour fournir le plus haut niveau de sécurité et de séparation pour la gestion des applications BaNCS. Conformément aux meilleures pratiques OCI, le VCN central héberge un pare-feu de réseau de niveau entreprise et des sous-réseaux publics ou externes. Cet exemple de solution utilise un VCN satellite pour une pile d'applications BaNCS de production et un VCN satellite supplémentaire a été fourni pour les applications et utilitaires liés à la gestion de l'environnement. Les environnements hors production seraient également provisionnés dans leur propre VCN satellite.

  • Base de données

    La conception de cette solution est basée sur la base de données Oracle exécutée sur le service Exadata Cloud. Cette option a été choisie afin d'offrir le plus haut niveau de performance et de disponibilité, car l'application BaNCS est un système d'affaires essentiel. La configuration de base de données comprend RAC et Data Guard conformément aux meilleures pratiques d'Oracle en matière d'architecture de disponibilité maximale.

  • Sécurité

    Les applications BaNCS sont essentielles pour les opérations commerciales et la sécurité de bout en bout de la solution est très importante. Il est essentiel que l'ensemble de la solution soit mis en oeuvre avec une stratégie de sécurité de moins de privilèges et que les données soient toujours chiffrées en transit et au repos. Cette solution tire parti de nombreuses fonctions de sécurité OCI.

    Les administrateurs de la plate-forme OCI, du VCN, de l'application BaNCS et des bases de données sont gérés à l'aide des rôles et des politiques IAM OCI. Oracle recommande le provisionnement et l'utilisation de plusieurs domaines d'identité pour séparer les différents utilisateurs d'administration et d'application. Dans cette conception, un domaine est utilisé pour les comptes d'administrateur OCI et les autres domaines sont utilisés pour authentifier les utilisateurs des différentes applications de gestion et de prise en charge. Des compartiments OCI sont créés et des ressources OCI leur sont affectées pour permettre une séparation détaillée des ressources et des politiques IAM associées. L'authentification des administrateurs peut être configurée dans OCI IAM ou dans un fournisseur d'identités externe fédéré tel qu'Okta.

    Un pare-feu de réseau d'entreprise doit être configuré pour empêcher l'accès réseau malveillant et accidentel aux ressources OCI et d'application. En outre, les listes de sécurité OCI, les groupes de sécurité de réseau et les tables de routage sont utilisés pour contrôler l'accès au réseau entre les ressources OCI. Tout trafic réseau externe sera acheminé au moyen d'OCI FastConnect ou d'un RPV.

    Tous les services de stockage d'applications et de bases de données sont chiffrés par défaut. Il est recommandé que le client gère lui-même les clés de chiffrement et les portefeuilles. Dans OCI, le service de chambre forte OCI est recommandé pour gérer les clés et les portefeuilles.

    Les compartiments OCI associés aux différentes ressources d'application BaNCS sont associés à des zones de sécurité OCI. Ces zones comportent des recettes personnalisées configurées pour appliquer des politiques de sécurité d'entreprise sur toutes les ressources de machine virtuelle, de réseau, de stockage et de base de données de calcul. Si un administrateur tente de créer ou de modifier une ressource qui enfreint l'une des politiques, l'opération est refusée.

    Oracle recommande que d'autres services OCI tels que le service de protection d'infrastructure en nuage, le service de sécurité des données et le balayage des vulnérabilités soient mis en oeuvre afin de surveiller et de gérer en continu la sécurité de l'ensemble de l'environnement BaNCS sur OCI.

  • Gérabilité

    Au sein d'OCI, les services Observability and Management fournissent une suite complète de ressources pour faciliter la gestion de la plate-forme OCI et de l'application BaNCS. Cela comprend la surveillance des mesures, les alertes d'événement, la gestion et l'analyse des journaux, la surveillance du rendement des applications, la gestion de base de données et les données clés sur l'exploitation. Compte tenu de la taille, de la complexité et de la criticité du déploiement BaNCS sur OCI, Oracle recommande fortement que ces services soient activés et configurés ou, alternativement, que les données de surveillance et de journal d'OCI soient transmises à un outil SEIM tiers.

Points à considérer

Toutes les organisations n'auront pas les mêmes exigences lors du déploiement de BaNCS. Par exemple, une organisation plus petite exécutant BaNCS pourrait avoir des exigences opérationnelles et réglementaires moins exigeantes qu'une application bancaire de base ou un système de négociation de marchés des capitaux. Certaines options de solution de rechange sont présentées ci-dessous pour souligner la flexibilité d'OCI pour répondre à différentes exigences d'une manière économique.
  • Disponibilité

    L'architecture décrite ici est basée sur un déploiement OCI multi-région afin de fournir un site de reprise après sinistre qui est une distance géographique importante du site principal. Toutes les organisations et les déploiements BaNCS n'auront pas cette exigence. D'autres options incluent l'utilisation de deux domaines de disponibilité OCI dans une seule région en tant que sites de déploiement principal et secondaire. Dans ce cas, Oracle recommande toujours de répartir les ressources OCI entre plusieurs domaines d'erreur afin d'optimiser la disponibilité du système.

  • Base de données

    L'application BaNCS prend en charge un certain nombre de plates-formes de base de données pour la couche de persistance, notamment PostgreSQL et la base de données Oracle. Pour les organisations qui ont des déploiements BaNCS plus petits, le service de base de données de base OCI est un excellent choix. Il s'agit d'un service de base de données gérée qui est évolutif, qui s'exécute sur des machines virtuelles x86 performantes et qui peut s'exécuter dans des grappes RAC à un ou plusieurs noeuds pour une haute disponibilité. BaNCS prend également en charge PostgreSQL, de sorte que le service OCI PostgreSQL est une autre alternative viable. Bien qu'aucune des deux options n'offre le même niveau de performance, de résilience ou d'évolutivité d'Exadata, elles peuvent être des alternatives plus économiques pour les déploiements plus petits. Ces deux options de base de données PaaS offrent toujours d'importants avantages en matière de gérabilité et de coût total de possession par rapport à une installation manuelle de base de données sur IaaS.

  • Sécurité

    Dans l'exemple d'architecture fourni ci-dessus, un pare-feu de réseau de tierce partie de niveau entreprise a été déployé sur les machines virtuelles du service de calcul OCI. Vous pouvez également utiliser le service de pare-feu de réseau OCI natif, que vous pouvez déployer dans un VCN et un sous-réseau de votre choix et configurer pour contrôler le trafic réseau nord-sud et est-ouest en fonction d'un jeu de règles de sécurité. Vous devez comparer la capacité des différentes options de pare-feu réseau avant de prendre cette décision.

    Les services IAM OCI sont utilisés dans cette solution pour stocker les identités, les rôles et les politiques associés de l'administrateur de système OCI. Il est fédéré à l'externe pour l'authentification unique et l'authentification multifacteur pour ces utilisateurs. D'autres déploiements pourraient tirer parti des capacités d'authentification multifacteur natives du service IAM ou même créer des domaines IAM supplémentaires pour gérer les utilisateurs d'application BaNCS en plus des administrateurs OCI.

    Avec les services de base de données Oracle sur OCI, le chiffrement des données au repos est activé à l'aide d'Oracle Transparent Database Encryption (TDE). Le portefeuille et les clés de chiffrement sont souvent stockés et gérés à l'aide du service de chambre forte OCI. Une alternative moins coûteuse à l'exécution d'une chambre forte privée consiste à héberger le portefeuille de chiffrement localement dans le système de fichiers de base de données. Ces fichiers de chiffrement seront synchronisés de l'instance principale vers l'instance secondaire à l'aide d'Oracle Data Guard.

  • Gérabilité

    Un certain nombre de solutions sont disponibles avec OCI pour surveiller, vérifier et gérer un déploiement d'application tel que BaNCS. OCI lui-même fournit une suite complète de services Observability and Management qui peuvent être configurés et activés pour répondre à la plupart des exigences. Cependant, il existe de nombreuses options tierces couramment utilisées, telles que Datadog, Splunk et Microsoft Sentinel. Heureusement, OCI offre un certain nombre de fonctions, telles que le centre de connecteurs OCI, qui peuvent facilement faciliter l'agrégation et le transfert des mesures et des journaux OCI vers des systèmes de tierce partie.

  • Gestion d'API

    TCS BaNCS est une application basée sur des API qui libère la puissance des API afin de faciliter l'utilisation efficace des données au sein d'un écosystème financier plus large d'une organisation. Vous pouvez utiliser le service Passerelle d'API OCI en combinaison avec le service IAM OCI pour fournir une gouvernance, une accélération et une sécurité centralisées aux API d'application BaNCS.

  • Performance

    De nombreux facteurs contribuent à la performance et, en fin de compte, à la qualité de l'expérience utilisateur d'une application exécutée sur OCI. De nombreuses décisions ont été prises dans cette conception de solution spécifique pour BaNCS qui visaient à fournir le plus haut niveau de performance possible. Du point de vue du réseau, l'utilisation d'une interface FastConnect dans OCI au lieu d'un RPV offrira d'importants avantages en matière de performance. En ce qui concerne la base de données, les avantages du service Exadata Cloud par rapport au service en nuage de base de données de base ou au service PostgreSQL ont été discutés précédemment. L'utilisation des formes flexibles de machine virtuelle du service de calcul pour OCI est également un excellent moyen de sélectionner le niveau optimal de ressources physiques telles que l'UC, la mémoire vive et le nombre d'interfaces réseau affectées pour satisfaire la charge de travail à tout moment. De même, les composants du niveau de stockage OCI tels que les volumes par blocs peuvent sélectionner des caractéristiques de performance telles que les E/S par seconde et le débit afin de répondre au mieux aux exigences. Les composants BaNCS, tels que le pare-feu de réseau, les machines virtuelles de serveur Web et d'application, peuvent utiliser ces fonctions OCI pour fournir une solution rentable qui répond facilement aux attentes des organisations en matière de performance d'application BaNCS.

Informations complémentaires

Pour en savoir plus sur l'exécution de BaNCS sur OCI, voir les ressources suivantes :

Confirmation

Auteur : Mike Drok

Contributeur : Lance McKain