Modèle de responsabilité partagée pour la résilience
La résilience dans le cloud est une responsabilité partagée entre vous (l'utilisateur) et Oracle. Pour que vous puissiez créer des architectures de charge de travail résilientes dans Oracle Cloud Infrastructure (OCI), vous devez comprendre vos exigences et responsabilités en matière de haute disponibilité et de récupération après sinistre.
Responsabilité d'Oracle : "Résilience du cloud"
OCI est responsable de la "résilience du cloud". OCI fournit une infrastructure cloud mondiale robuste, hautement disponible et résiliente composée de centres de données, de réseaux, de matériel physique et de logiciels conçus pour minimiser les temps d'arrêt et garantir que les applications restent accessibles et fonctionnelles même en cas de panne. OCI offre des contrats de niveau de service (SLA) de bout en bout couvrant les performances, la disponibilité et la gestion de ces services.
OCI est hébergé physiquement dans plusieurs régions. Les régions sont indépendantes et géographiquement dispersées dans un pays, entre pays ou entre continents. Chaque région est composée de domaines de disponibilité, nommés respectivement à un seul domaine de disponibilité ou à plusieurs domaines de disponibilité. Chaque domaine de disponibilité est un centre de données indépendant. Dans les régions à plusieurs domaines de disponibilité, chacun est isolé afin de réduire le risque de défaillance affectant les autres.
Les domaines de disponibilité sont connectés par un réseau sécurisé à faible latence et à bande passante élevée, qui vous permet de créer des solutions résilientes et hautement disponibles sur plusieurs domaines de disponibilité (si disponibles). De plus, chaque domaine de disponibilité contient trois domaines de pannes. Chaque FD est un regroupement de matériel et d'infrastructure distinct des autres FD du même domaine de disponibilité. Les disques durs électroniques permettent de distribuer des ressources afin qu'elles ne dépendent pas du même matériel physique au sein d'un même domaine de disponibilité. En conséquence, les pannes matérielles ou les événements de maintenance qui affectent un FD n'affectent pas les ressources des autres FD.
Les composants d'infrastructure de base OCI, tels que les services Compute, Storage, Networking, Identity et Database, disposent de redondances intégrées. Vous pouvez tirer parti des domaines de disponibilité, des domaines de disponibilité et de ces services pour créer des applications hautement disponibles. Cependant, OCI ne réplique pas, ne déploie pas et n'effectue pas automatiquement de basculement pour les ressources d'application et les données provisionnées dans la location d'un utilisateur vers un autre domaine de disponibilité ou une autre région en cas de sinistre ou de panne régionale partielle/complète. Il incombe à l'utilisateur de déployer ses ressources d'application dans les domaines de disponibilité et les régions.
Par exemple, si une application est déployée sur une instance de calcul (avec un volume de blocs) dans un domaine de disponibilité (par exemple, AD1), OCI ne provisionnera pas automatiquement une nouvelle instance de calcul dans un autre domaine de disponibilité ou une autre région en cas d'échec affectant l'instance.
Remarque : le stockage de blocs comporte des redondances intégrées.
Votre responsabilité : "La résilience dans le Cloud"
Pour atteindre la "résilience dans le cloud", vous êtes responsable en dernier ressort de l'élaboration d'un plan complet de continuité des activités, comprenant une stratégie de haute disponibilité et de récupération après sinistre, des évaluations des risques et des plans d'intervention en cas d'incident. Vous êtes également responsable du déploiement de vos applications et systèmes dans plusieurs domaines de disponibilité, domaines de disponibilité et régions à des fins de résilience et de tolérance aux pannes à l'aide des meilleures pratiques OCI et des structures d'architecture de disponibilité maximale (MAA). Chaque composant de l'application doit être conçu de manière à garantir son potentiel maximal de disponibilité et d'accessibilité. Pour garantir une haute disponibilité, il est nécessaire d'identifier et d'éliminer les points de défaillance uniques afin que, même en cas de défaillance des composants, l'application reste en cours d'exécution et disponible.
En cas de sinistre ou de panne régionale complète, qu'il s'agisse d'une région à un ou plusieurs domaines de disponibilité, il vous incombe de vous assurer que la disponibilité des ressources OCI est allouée à votre location dans le domaine de disponibilité ou la région de basculement avant d'exécuter un plan de récupération après sinistre.
La résilience est une responsabilité partagée entre OCI et vous
Responsabilités OCI : résilience du cloud
| Composants | Description |
|---|---|
| Région, domaines de disponibilité, domaines de pannes | Oracle provisionne, gère, surveille, sécurise et exploite une infrastructure cloud mondiale hautement fiable. |
| Services de stockage OCI | Oracle provisionne et exploite des services de stockage, offrant une haute disponibilité des services et protégeant les données physiquement au sein d'un domaine de disponibilité. |
| Services OCI Core Networking | Oracle fournit une haute disponibilité pour les services de réseau de base OCI et les services de connectivité avec une mise en forme du trafic global qui garantit une connectivité et des performances optimales des applications. |
| Services de base de données OCI | Oracle crée et lance le service Database, effectue la maintenance et les améliorations matérielles, met à jour les serveurs de stockage et supervise l'état du service. |
Vos responsabilités : résilience dans le cloud
| Composants | Description |
|---|---|
| Planification et test de la haute disponibilité, de la récupération après sinistre et du basculement | Planifiez, configurez, testez et exécutez des solutions de haute disponibilité, de récupération après sinistre et de basculement pour la résilience des données et des services afin d'assurer la continuité des activités. |
| Opérations et gestion | Vous êtes responsable de l'exploitation et de la surveillance de vos ressources cloud, de l'implémentation des meilleures pratiques d'architecture cloud résiliente pour minimiser les perturbations de service. |
| Architecture de charge globale | Vous êtes responsable de l'utilisation des meilleures pratiques d'architecture d'entreprise et des structures Maximum Availability Architecture (MAA) pour concevoir, créer et maintenir des charges de travail cloud fiables, sécurisées, efficaces et rentables. |
| Planification de la résilience | Vous êtes responsable de l'élaboration d'un plan complet de continuité des activités, comprenant une stratégie de haute disponibilité et de récupération après sinistre, des évaluations des risques et des plans de réponse aux incidents. |
Comment OCI offre la résilience du cloud
Les informations suivantes décrivent comment OCI offre la résilience cloud.
Responsabilités d'OCI pour les services
- L'architecture OCI est conçue avec résilience, en déployant plusieurs composants qui peuvent exécuter la même tâche.
- OCI surveille l'état des services OCI et gère le basculement automatique en cas d'interruption de service.
- Les services de plate-forme de base OCI, les serveurs et le stockage, la mise en réseau, les services de base Identity and Access Management (IAM) et les services de télémétrie sont conçus et déployés de manière redondante. OCI surveille en permanence leur état, et en cas de panne, des processus de basculement automatique sont exécutés pour assurer la continuité.
- Les services OCI Storage ont intégré la résilience. OCI Block Volume fournit un stockage de données hautes performances persistant au sein d'un domaine de disponibilité. De même, OCI Object Storage fournit un stockage de données persistant, durable et hautes performances au sein d'un domaine de disponibilité. En outre, dans les régions à plusieurs domaines de disponibilité, la banque d'objets réplique automatiquement les données sur les domaines de disponibilité. Le stockage de fichiers gère les répliques dans les domaines de pannes, au sein d'un domaine de disponibilité.
- Oracle fournit des services de base de données hautement robustes et résilients au sein d'OCI qui vous permettent de sélectionner la stratégie de haute disponibilité et de récupération après sinistre la plus adaptée à vos besoins.
- OCI DNS est hébergé dans plusieurs centres de données distribués géographiquement, ce qui le rend hautement disponible. Il offre également une faible latence, un niveau d'équilibrage de charge de base et une résilience permettant de gérer les pannes ou le trafic important avec un impact minimal sur les utilisateurs.
Vos responsabilités pour atteindre la résilience
Les informations suivantes décrivent les façons dont vous êtes responsable de la résilience.
Traitement des recommandations
- Documentez un plan de haute disponibilité basé sur ces meilleures pratiques. Considérez qu'une plus grande disponibilité entraînera des coûts plus élevés et une complexité accrue.
- Documentez un plan de récupération après sinistre basé sur les meilleures pratiques, notamment les objectifs de point de récupération (RPO) et les objectifs de temps de récupération (RTO).
- Documentez les besoins de résilience au niveau de la charge de travail et de l'application, et planifiez la redondance, la surveillance et les basculements si nécessaire.
- Mettez en place un plan de basculement pour les charges globales et les applications ayant un impact sur l'entreprise, y compris des scénarios d'interruption de service, de maintenance planifiée et de niveau application utilisant Oracle Data Guard ou Oracle Real Application Clusters (RAC).
- Déployez Full Stack Disaster Recovery pour les charges globales critiques.
Domaines d'identité
- Planifiez les domaines de récupération après sinistre et d'identité.
- La réplication de domaine d'identité est toujours activée pour le domaine d'identité "par défaut". Le domaine d'identité "par défaut" est toujours répliqué vers toutes les régions auxquelles le locataire est abonné. Lorsqu'un administrateur s'abonne à une autre région, le domaine d'identité "par défaut" est automatiquement répliqué vers cette région.
- Des domaines d'identité supplémentaires sont créés dans la "région d'origine" indiquée lors de la création. Ils ne répliquent pas vers d'autres régions abonnées, sauf si la réplication est spécifiquement activée.
Fonctions de réseau
- Planifier la haute disponibilité pour les ressources réseau et utiliser le service Load Balancer pour distribuer le trafic.
- Peer les réseaux cloud virtuels (VCN) dans les différentes régions pour faciliter la connectivité réseau.
- OCI vous permet de provisionner un DNS secondaire afin de créer une redondance pour les applications Web.
Calcul
- Planifier la haute disponibilité des instances Compute, en les répartissant entre les différents domaines de disponibilité de chacun et en les plaçant derrière les équilibreurs de charge.
- Activez la sauvegarde pour un instantané ponctuel de vos volumes.
- Configurez la réplication inter-région des volumes de blocs, des volumes d'initialisation et des groupes de volumes.
- Rendez les images de calcul disponibles dans une région active et une région de récupération après sinistre. Dans la région de la récupération après sinistre, déployez une configuration minimale permettant de gérer un système de secours à chaud. Utilisez ensuite les réservations de capacités afin d'effectuer le reste de la capacité requise pour exécuter toutes les machines virtuelles si la région DE récupération après sinistre devient principale.
Stockage
- Planifier la haute disponibilité pour le stockage.
- Activez les sauvegardes automatisées pour Object Storage et la réplication Object Storage entre les régions à des fins de récupération après sinistre.
- Activez les fonctionnalités de clonage de volumes pour les volumes de blocs et tirez parti de la fonctionnalité de réplication du service Block Volume pour assurer la redondance entre différents domaines de disponibilité (même région ou région différente).
- Activez les instantanés et les clones du système de fichiers. Le cycle de vie des instantanés peut être géré automatiquement à l'aide de la fonctionnalité Cliché basé sur une stratégie. Utiliser la réplication asynchrone OCI File Storage pour les scénarios de basculement et de rétablissement
- Configurez la réplication asynchrone de volume de blocs pour répliquer des volumes et des groupes de volumes vers une autre région. Activez la fonctionnalité de sauvegarde pour produire des sauvegardes cohérentes en cas d'incident pour les volumes et les groupes de volumes. Activez les copies vers une autre région.
- Pour File Storage, en plus de la réplication intégrée pour effectuer une réplication asynchrone vers un autre domaine de disponibilité et une autre région, vous pouvez utiliser la fonctionnalité de clonage File Storage pour un RTO presque instantané.
Base de données
-
Oracle Database : planifiez la haute disponibilité des bases de données en fonction de l'architecture de disponibilité maximale (MAA). Considérez que des mesures RPO et RTO plus élevées augmenteront les coûts et la complexité.
- Définissez l'édition de base de données appropriée en fonction des besoins de haute disponibilité.
- Tirez parti d'Oracle Data Guard pour répliquer des données entre les noeuds Oracle DB.
- Utiliser les services de base de données gérés par Oracle Clusterware pour connecter l'application. Pour les environnements Oracle Data Guard, utilisez des services basés sur des rôles.
- Utilisez la chaîne de connexion recommandée avec des délais d'attente, des tentatives et des retards intégrés.
- Configurez vos connexions à l'aide de la fonction FAN (Fast Application Notification).
- Tirez parti de la continuité des applications ou de la continuité transparente des applications pour réexécuter les transactions non validées en cours de traitement de façon transparente après les échecs.
- Activez les répliques pour une version actuelle des données.
- Exploitez les services OCI : Recovery Manager (RMAN), PDB (Refreshable Pluggable Database), Oracle Data Guard and Active Data Guard, Autonomous Data Guard et OCI GoldenGate.
-
MySQL : OCI fournit des configurations d'architecture haute disponibilité et de récupération après sinistre pour Oracle MySQL Database Service.
Arborescence de décision OCI HA DR
En savoir plus
Documentation
- Cadre des meilleures pratiques pour Oracle Cloud Infrastructure
- En savoir plus sur la conception d'une topologie cloud hautement disponible
- Service d'orchestration et de gestion OCI Full Stack Disaster Recovery
- Documentation sur OCI Disaster Recovery
Livres de jeux de solution
- En savoir plus sur la conception d'une topologie cloud hautement disponible
- Découvrez les pratiques en matière de topologie cloud fiables et résilientes
- Conception de l'infrastructure en vue du déploiement d'Oracle Enterprise Performance Management dans le cloud (architecture haute disponibilité : une région, domaine de disponibilité unique)
Architectures de référence
- Déploiement d'une application Web hautement disponible
- Déploiement d'Oracle REST Data Services et de la haute disponibilité sur Oracle Cloud Infrastructure
- Déploiement d'un cluster InnoDB MySQL hautement disponible
- Déploiement d'applications ASP.Net hautement disponibles sur Oracle Cloud Infrastructure
- Déploiement d'un cluster CockroachDB hautement disponible
- Déploiement d'une base de données Bare Metal hautement disponible
- Déploiement d'une base de données Microsoft SQL Server hautement disponible
- Déploiement d'un cluster Apache Cassandra hautement disponible
- Déploiement d'un cache distribué hautement disponible à l'aide de Redis
- Provisionnement d'un contrôleur de session en périphérie hautement disponible