Architecture réseau sécurisée pour les sauvegardes de base de données sur place vers le stockage d'objets OCI avec point d'extrémité privé

Les sauvegardes hors site sont essentielles à la continuité des activités. Oracle Cloud Infrastructure (OCI) offre le stockage d'objets OCI avec un point d'extrémité privé comme cible de sauvegarde, où OCI crée une connectivité sécurisée et privée à partir de l'emplacement sur place du client sans adresses IP publiques associées au stockage d'objets OCI.

Architecture

Cette architecture de référence présente une conception de réseau sécurisé, haute performance et privé pour sauvegarder les données du service Oracle Exadata Database Service on Cloud@Customer dans le stockage d'objets OCI.

Pour une performance de réseau optimale, Oracle Cloud Infrastructure FastConnect avec appairage privé connecte le centre de données sur place à une région OCI d'un locataire client.

Le point d'extrémité privé du service Stockage d'objets pour OCI fournit un accès sécurisé au service de stockage d'objets à l'aide d'une adresse IP privée dans un sous-réseau de client dans un VCN.

Une zone DNS privée OCI fournit des réponses uniquement aux clients qui se connectent au moyen d'un VCN. En configurant un point d'extrémité d'écoute DNS pour OCI et en mettant en oeuvre des règles de transfert dans le centre de données du client sur place, vous obtenez une résolution DNS hybride transparente.

Le diagramme suivant illustre cette architecture de référence.

Description de l'illustration secure-backup-oci-object-storage.png

secure-backup-oci-object-storage-oracle.zip

L'architecture comporte les composants suivants :

• Région

  Une région OCI est une zone géographique localisée qui contient un ou plusieurs centres de données, des domaines de disponibilité d'hébergement. Les régions sont indépendantes les unes des autres, et de grandes distances peuvent les séparer (à travers les pays ou même les continents).

• Domaines de disponibilité

  Les domaines de disponibilité sont des centres de données indépendants et autonomes dans une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui garantit la tolérance aux pannes. Les domaines de disponibilité ne partagent pas les éléments d'infrastructure (alimentation ou refroidissement, par exemple) ni le réseau de domaines de disponibilité interne. Ainsi, une défaillance d'un domaine de disponibilité ne doit pas avoir d'incidence sur les autres domaines de disponibilité de la région.

• Réseau en nuage virtuel (VCN) et sous-réseaux

  Un VCN est un réseau défini par logiciel personnalisable que vous configurez dans une région OCI. Comme les réseaux de centre de données traditionnels, les réseaux en nuage virtuels vous permettent de contrôler votre environnement de réseau. Un VCN peut disposer de plusieurs blocs de routage inter-domaine (CIDR) sans chevauchement que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, dont la portée peut concerner une région ou un domaine de disponibilité. Un sous-réseau est constitué d'un intervalle contigu d'adresses qui ne chevauchent pas les autres sous-réseaux dans le réseau en nuage virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

• Passerelle de routage dynamique (DRG)

  La passerelle DRG est un routeur virtuel qui fournit un chemin pour le trafic réseau privé entre des réseaux en nuage virtuels de la même région, entre un VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région OCI, un réseau sur place ou un réseau dans un autre fournisseur de nuage.

• FastConnect

  Oracle Cloud Infrastructure FastConnect crée une connexion privée dédiée entre votre centre de données et OCI. FastConnect fournit des options de bande passante supérieure et permet une utilisation du réseau plus fiable par rapport aux connexions Internet.

• Stockage d'objets

  Le service de stockage d'objets pour OCI donne accès à de grandes quantités de données structurées et non structurées de tous types, notamment des sauvegardes de base de données, des données analytiques et du contenu enrichi, comme des images et des vidéos. Vous pouvez stocker des données en toute sécurité directement à partir d'Internet ou de la plate-forme en nuage. Vous pouvez adapter le stockage sans que la performance ou la fiabilité des services soit affectée.

  Utilisez le stockage standard pour le stockage "à chaud" auquel vous devez accéder rapidement, immédiatement et fréquemment. Utilisez le stockage d'archives pour le stockage "à froid" que vous conservez pendant de longues périodes et auquel vous accédez rarement.

• Point d'extrémité privé du stockage d'objets

  Le point d'extrémité privé du service de stockage d'objets fournit un accès sécurisé au service de stockage d'objets à partir de vos réseaux en nuage virtuels OCI ou de vos réseaux sur place. Le point d'extrémité privé est une carte VNIC avec une adresse IP privée dans un sous-réseau que vous choisissez dans votre réseau VNC. Cette méthode est une alternative à l'utilisation d'une passerelle de service à l'aide d'adresses IP publiques associées aux services OCI.

• résolveurs privés de DNS

  Un résolveur DNS privé répond aux interrogations DNS d'un réseau VCN. Un résolveur privé peut être configuré pour utiliser des vues et des zones, ainsi que des règles de réacheminement conditionnelles pour définir comment répondre aux interrogations DNS.

• Point d'extrémité d'écoute

  Un point d'extrémité d'écoute reçoit des interrogations du VCN ou d'autres résolveurs de VCN, du DNS d'autres fournisseurs de services en nuage (tels qu'AWS, GCP ou Azure) ou du DNS de votre réseau sur place. Une fois créé, un point d'extrémité d'écoute ne requiert aucune autre configuration.

Recommandations

Utilisez les recommandations suivantes lors de la conception de votre réseau pour sauvegarder les données du service Oracle Exadata Database Service on Cloud@Customer dans le stockage d'objets OCI au moyen d'un point d'extrémité privé. Vos exigences peuvent différer de l'architecture décrite ici.

• VCN

  Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher aux sous-réseaux du VCN. Utilisez des blocs CIDR qui se trouvent dans l'espace d'adresses IP privées standard.

  Sélectionnez les blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données sur place ou un autre fournisseur de services infonuagiques) auquel vous avez l'intention de configurer des connexions privées.

  Après avoir créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.

  Lorsque vous concevez les sous-réseaux, tenez compte du flux de trafic et des exigences de sécurité. Attachez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, ce qui peut servir de limite de sécurité.

• Politiques et sources de réseau IAM

  La création d'un point d'extrémité privé dans un VCN et son association à un seau ne limitent pas l'accès au seau à partir d'Internet ou d'autres sources de réseau. Vous devez définir des règles à l'aide de politiques IAM sur le seau. Par conséquent, les demandes ne sont autorisées que si elles proviennent d'un VCN spécifique ou d'un bloc CIDR dans ce VCN. Tous les autres accès, y compris sur Internet, sont bloqués vers ces compartiments.

• Sécurité

  Affectez un groupe de sécurité de réseau au point d'extrémité d'écoute OCI et configurez le groupe de sécurité en suivant une situation de sécurité de type Refuser tout, en autorisant uniquement l'adresse IP DNS sur place sur le port UDP:53. Le point d'extrémité privé du service de stockage d'objets peut être configuré pour restreindre l'accès à des seaux et des compartiments spécifiques.

• Haute disponibilité

  Cette architecture présente une conception simplifiée. Dans un déploiement en production, assurez-vous que votre conception respecte les meilleures pratiques en matière de haute disponibilité.

Deploy

Pour configurer la communication réseau et la résolution DNS de l'environnement sur place vers OCI dans le diagramme d'architecture ci-dessus, effectuez les étapes générales suivantes.

Configuration de réseau

1. Créer un réseau VCN.
2. Créez un sous-réseau privé pour le point d'extrémité privé du service de stockage d'objets.
3. Déployez le point d'extrémité privé du service de stockage d'objets.
4. Créez un sous-réseau privé pour le point d'extrémité DNS.
5. Créez une passerelle DRG.
6. Attachez le VCN à la passerelle DRG.
7. Créez une instance FastConnect avec un circuit virtuel privé pour vous connecter à l'environnement sur place et l'attacher à la passerelle DRG.

Configuration DNS

1. Créez un point d'extrémité d'écoute dans le résolveur DNS du VCN, déployez-le dans le sous-réseau DNS.
2. Dans la liste Sécurité de sous-réseau DNS, autorisez UDP:53 avec l'adresse IP source pour le serveur DNS sur place.
3. Créez des règles de transfert DNS dans le serveur DNS sur place. Configurez les règles à partir du tableau ci-dessous.

   Nom du domaine *	Adresse IP de destination : Port
   objectstorage. <oci-region-identifier>.oci.customer-oci.com	Adresse IP du point d'extrémité d'écoute OCI. Port 53
   swiftobjectstorage. <oci-region-identifier>.oci.customer-oci.com	Adresse IP du point d'extrémité d'écoute OCI. Port 53

   *Voir Régions et domaines de disponibilité pour les dernières informations sur les régions et les domaines de disponibilité.

Informations complémentaires

Consultez ces ressources supplémentaires pour en savoir plus sur les fonctions de cette architecture de référence.

• Points d'extrémité privés dans le stockage d'objets
• Documentation sur Oracle Exadata Database Service on Cloud@Customer
• Documentation sur Oracle Cloud Infrastructure
• Cadre structuré pour Oracle Cloud Infrastructure
• Estimateur de coûts d'Oracle Cloud
• Cadre d'adoption d'environnement en nuage

Remerciements

• Auteurs : Ricardo Anda, Ejaz Akram