A propos des options de connectivité réseau pour l'intégration des services Oracle Utilities Cloud à des applications externes

Afin d'intégrer les services Oracle Utilities Cloud à une application hébergée en externe dans votre centre de données ou dans un centre de données tiers, vous devez comprendre les exigences en matière de réseau, d'authentification et de protocole pour la communication sortante et entrante depuis et vers les services Oracle Utilities Cloud.

Ce livre de jeux de solutions de conception vous aidera à comprendre les exigences techniques et réseau requises pour l'envoi et la réception de demandes depuis et vers Oracle Utilities Cloud Services. Il détaille certains scénarios de mise en réseau possibles pour l'intégration et fournit des options possibles pour une solution.

Remarque :

Vous devez maîtriser les concepts réseau généraux ainsi que la certification Oracle Cloud Infrastructure (OCI) ou une expérience équivalente, pour analyser ce livre de jeux, planifier et configurer la mise en réseau requise pour l'intégration à Oracle Utilities Cloud Services.

Architecture

Vous pouvez sélectionner l'une des trois options d'architecture permettant d'intégrer les services Oracle Utilities Cloud à une application hébergée dans votre centre de données ou dans un centre de données tiers.

Architecture 1 : Intégration d'une application externe aux services Oracle Utilities Cloud via des API de service Web publiques (Internet)

Description de l'illustration pub-inet-opt.png

Dans sa forme la plus simple, l'intégration entre les applications hébergées sur votre réseau privé/entreprise et les services Oracle Utilities Cloud peut être réalisée via le réseau Internet public. Les API REST des services Oracle Utilities Cloud sont exposées en toute sécurité sur le réseau Internet public. Par conséquent, si une application sur site doit accéder aux API REST, elle peut le faire tant que l'application a accès au réseau Internet public. De même, les services Oracle Utilities Cloud peuvent accéder aux adresses de service Web exposées au réseau Internet public (adresse IP publique), c'est-à-dire si les adresses de service Web de l'application sur site sont exposées au réseau Internet public, ces adresses peuvent être utilisées par les services Oracle Utilities Cloud. Un pare-feu dans votre réseau d'entreprise peut être configuré pour exposer les adresses privées de n'importe quelle application au réseau Internet public. Bien que cela constitue le canal de communication le plus simple possible, le transit sur l'Internet public nécessite une prise en compte étroite de la sécurité, de la disponibilité et de la fiabilité que peut fournir l'Internet public.

Architecture 2. Intégration d'une application externe aux services Oracle Utilities Cloud via VPN Connect pour les API de service Web privé

Transférer le flux - Configurer la communication sortante :

Description de l'illustration vpn-connect-forward.png

Flux inverse :

Description de l'illustration vpn-connect-reverse.png ci-après

Dans cette architecture, l'application externe effectue des appels d'API de service Web privé via le réseau Internet public, protégés par un VPN étendu, qui crée une connexion sécurisée entre votre réseau privé d'entreprise et votre VCN sur Oracle Cloud Infrastructure (OCI). Au sein des réseaux OCI, la communication entre le VCN (Virtual Cloud Network) des services Oracle Utilities Cloud et votre VCN utilise la passerelle de service. VPN Connect nécessite la configuration du CPE (Customer Premise Equipment), qui utilise une interface avec VPN DRG (Dynamic Routing Gateway) créant un tunnel de cryptage IPSEC sur Internet, sécurisant toutes les informations circulant dans le tunnel. L'authentification est fournie par Oracle Identity Cloud Service.

A son tour, le service Oracle Utilities Cloud effectue des appels de service Web vers l'application externe à l'aide des méthodes d'authentification prises en charge par le service Oracle Utilities Cloud, telles que l'authentification de base/les informations d'identification client OAuth, via le VPN. Les services Oracle Utilities Cloud peuvent effectuer des appels d'API uniquement vers des adresses IP publiques, si les API externes sont privées, vous avez besoin de la configuration appropriée pour vous assurer que les API externes disposent d'adresses IP publiques. Par exemple, un proxy inverse/client mentionné dans le diagramme d'architecture précédent pour exposer vos adresses d'API privées via une adresse IP publique. L'application externe publie les données dans le stockage d'objets OCI à l'aide des API REST.

Si les certificats numériques de votre application externe ne sont pas émis par une autorité de certification, vous pouvez utiliser un proxy inverse unique, avec un certificat signé, pour proxy pour plusieurs applications dans votre centre de données. Vous pouvez configurer le proxy inverse décrit dans l'exemple précédent, soit dans votre centre de données, soit dans votre VCN dans OCI.

Architecture 3. Intégration d'une application externe aux services Oracle Utilities Cloud via FastConnect pour les API de service Web privé

Transférer le flux - Configurer la communication sortante :

Description de l'illustration fastconnect-opt-forward.png ci-après

Flux inverse :

Description de l'illustration fastconnect-reverse.png ci-après

Sinon, une autre option de routage privé de FastConnect peut également être utilisée pour connecter votre réseau privé/d'entreprise au réseau OCI (VCN OCI). FastConnect fournit un point d'entrée dans OCI pour une ligne privée dédiée entre votre centre de données et OCI afin de permettre un transfert de données à bande passante élevée sur un canal hautement sécurisé. La communication FastConnect nécessite la configuration de FastConnect DRG sur votre OCI VCN ainsi qu'une ligne dédiée pouvant connecter le CPE avec le DRG FastConnect à configurer, qui à son tour communique avec la passerelle de service ou le proxy (le cas échéant) sur votre VCN, selon le sens de la communication. Dans les réseaux OCI, la communication entre le VCN (Virtual Cloud Network) d'Oracle Utilities Cloud Service et votre VCN utilise la passerelle de service ou votre proxy selon la direction de l'appel d'API.

Pour toutes les intégrations basées sur des fichiers, votre application on-premise peut effectuer des opérations postales à OCI Object Storage ou en tirer à l'aide d'API REST publiques (Internet).

Remarque :

Pour le flux de transfert (dans les scénarios applicables), vous pouvez acheminer la communication d'Oracle Utilities Cloud Service VCN vers le proxy client hébergé dans le VCN OCI du client avec l'adresse IP publique via Internet.

Présentation des scénarios de configuration réseau

Ce guide décrit quatre scénarios de mise en réseau différents, basés sur les trois architectures de mise en réseau ci-dessus, que vous pouvez prendre en compte lors de l'intégration des services Oracle Utilities Cloud à une application hébergée en externe. Pour vous aider à choisir la topologie réseau appropriée, voici une description et une discussion pro/con pour chaque scénario.

Utilisez le tableau suivant et les rubriques associées pour vous aider à déterminer l'option de mise en réseau la mieux adaptée à vos besoins.

Scénario	Description	Sécurité	Haute disponibilité	Débit	Coût
1	Connectivité sur l’Internet public sans VPN ou FastConnect	TLS uniquement	Relie à la connectivité sur Internet	Limité	Coût de configuration faible ; coût de configuration faible ; frais de transfert de données OCI peuvent s’appliquer
2	Connectivité via l’Internet public avec VPN Connect et sans FastConnect	IPSec, crypté	Limité	Généralement <250Mbps	Coût de configuration faible ; coût de configuration faible ; frais de transfert de données OCI peuvent s’appliquer
3	Connectivité via FastConnect sans VPN (VPN peut réduire le débit)	TLS sur ligne privée dédiée - Non crypté	Redondance prise en charge - Reportez-vous aux meilleures pratiques en matière de redondance élevée	Vitesses de port en incréments de 1 Gbit/s, 10 Gbit/s ou 100 Gbits/s	Coût de configuration prometteur ; les frais de transfert de données OCI ne s'appliquent pas
4	Connectivité via l’Internet public avec un VPN (comme un secours) et FastConnect	Selon le chemin utilisé pour la communication (Fast Connect - Non crypté ; VPN - crypté)	Redondance par conception - Reportez-vous aux meilleures pratiques en matière de redondance	Selon le chemin utilisé pour le transfert de données	Coût de configuration prometteur ; les frais de transfert de données OCI peuvent s'appliquer, selon le mode de communication

Bien que la connexion à Oracle Utilities Cloud Service via Internet soit l'option la plus économique pour la configuration, en raison de sa sécurité et de sa disponibilité limitées, lors du transfert d'informations sécurisées dans le cadre des intégrations de produits, elle peut également être l'option la plus risquée. En outre, les frais de transfert de données OCI doivent être pris en compte lors de l’évaluation des options de mise en réseau. Pour garantir une sécurité et une disponibilité optimales, il est possible de privilégier l'option FastConnect avec une configuration VPN redondante sur l'Internet public.

Les rubriques suivantes décrivent ces options plus en détail.

Scénario 1 : connexion via Internet public sans VPN ou FastConnect

Vous pouvez envisager de vous connecter via l'Internet public sans VPN ou FastConnect lorsque l'intégration à une application sur site n'a pas besoin d'une bande passante élevée ou de niveaux de sécurité élevés.

Tenez compte des points suivants :

Conditions préalables (à effectuer par le client)	Les API de l'application sur site dans le réseau du client doivent être accessibles publiquement via Internet. Le réseau du client interne de l'application doit avoir accès au réseau Internet public.
Travail en cours	Les API REST Oracle Utilities Cloud Services sont exposées au réseau Internet public. Les applications sur site peuvent donc utiliser ces API REST pour les intégrations. Les services Oracle Utilities Cloud peuvent appeler des API publiques sur site (visées sur Internet) pour l'intégration. Les transferts de fichiers peuvent être effectués à l'aide d'Object Storage, qui dispose également d'API REST publiques (Internet) sécurisées.
Avantages	Configuration simple, coût réduit.
Consommation	Sécurité limitée des données en transit via TLS, via le réseau Internet public. Aucune connexion garantie ; des pannes réseau peuvent survenir entre le centre de données sur site et l’OCI d’Oracle. Débit imprévisible ; le déplacement de grandes quantités de données peut prendre beaucoup de temps Des frais de transfert de données OCI peuvent s'appliquer.

Considérations relatives à la configuration du scénario 1

Le scénario 1 implique une connectivité directe via l'Internet public et constitue le scénario le plus simple à configurer.

1. Flux aval : configurez le pare-feu du centre de données externe pour autoriser le trafic à partir d'Oracle Utilities Cloud Services, si ce n'est déjà fait.

   Créez un ticket d'assistance pour l'ajout de l'adresse DNS externe à la liste d'autorisation d'Oracle Utilities Cloud Service afin que la communication sortant d'Oracle Utilities Cloud Services soit autorisée. Pour plus d'informations sur les options de liste d'autorisation, voir "Comprendre la liste d'autorisation" ailleurs dans ce livre de jeux.

2. Flux inverse : configurez et utilisez l'adresse IP publique de l'application/des applications dans le centre de données externe pour acheminer le trafic à partir d'Oracle Utilities Cloud Services. L'adresse IP peut être utilisée comme adresse sortante en configurant dans le service Oracle Utilities Cloud correspondant.

Reportez-vous à la section "Comprendre les canaux d'intégration disponibles" ailleurs dans ce livre de jeux pour plus d'informations sur les canaux pris en charge et pour plus d'informations sur l'intégration avec des systèmes externes.

Scénario 2 : connexion via Internet public avec un VPN sans FastConnect

Connectez-vous via le réseau Internet public avec VPN Connect mais sans FastConnect lorsque l'intégration à des applications sur site n'a pas besoin d'une bande passante élevée, mais a besoin de niveaux de sécurité plus élevés, avec des API privées pour l'intégration. Etant donné que FastConnect implique des coûts supplémentaires, vous pouvez utiliser ce scénario lorsque le coût est un facteur, mais pas le débit réseau.

Tenez compte des points suivants :

Configuration prérequis (à planifier et à configurer par le client)	Une configuration appropriée doit être effectuée entre le centre de données sur site et OCI pour VPN Connect. La passerelle de service doit être configurée dans le VCN OCI du client pour acheminer les demandes du centre de données sur site du client vers Oracle Utilities Cloud Services via la connexion VPN. • Une configuration/configuration appropriée doit être configurée pour acheminer les demandes d'Oracle Utilities Cloud Services vers les API privées du centre de données sur site du client, car Oracle Utilities Cloud Services ne peut envoyer des demandes qu'aux API publiques. La redondance peut être planifiée et la configuration du VPN doit être effectuée en conséquence (il s'agit d'une meilleure pratique en matière de redondance).
Travail en cours	Les API REST des services Oracle Utilities Cloud sont accessibles via l'acheminement VPN Connect via la passerelle de service. Les applications sur site du client peuvent donc utiliser ces API REST pour les intégrations. Les services Oracle Utilities Cloud peuvent accéder aux API privées des applications du client via un intermédiaire tel qu'un proxy inverse et via le VPN. Les transferts de fichiers peuvent être effectués à l'aide d'Object Storage, qui dispose également d'API REST publiques (Internet) sécurisées.
Avantages	Facile à configurer ; plus sécurisé que l’option Internet publique. La redondance est prise en charge par le biais de plusieurs connexions et tunnels.
Consommation	Coût de la configuration de l'intermédiaire, tel qu'un proxy pour exposer les API privées des applications sur site du client aux services Oracle Utilities Cloud. Configuration de la passerelle de service. Un débit bas généralement de <250Mbps ; le déplacement de grandes quantités de données peut prendre beaucoup de temps. Des frais de transfert de données OCI peuvent s'appliquer.

Considérations relatives à la configuration du scénario 2

Le scénario 2 consiste à étendre le réseau privé du centre de données externe vers OCI à l'aide de VPN Connect. VPN Connect vous permet de créer un tunnel IPSec sécurisé via le réseau Internet public entre le centre de données externe et votre VCN sur OCI.

Ce VCN est différent du VCN qui héberge Oracle Utilities Cloud Services. Une configuration appropriée est donc requise pour établir la mise en réseau entre votre VCN sur OCI et Oracle Utilities Cloud Services VCN. Le VPN de bout en bout et les autres configurations requises peuvent être effectuées par les administrateurs réseau de votre équipe informatique/partenaire/implémenteur.

• Flux aval : configurez la communication sortante d'Oracle Utilities Cloud Services vers des applications externes :
  1. Configurez le VPN site à site. Reportez-vous à la section "Quand utiliser VPN Connect" et aux sections suivantes de ce livre de jeux pour comprendre et configurer un VPN entre un centre de données externe et votre VCN OCI. La communication sortante des services Oracle Utilities Cloud ne peut être effectuée que pour les API ayant des adresses IP publiques. Pour activer la communication sortante d'Oracle Utilities Cloud Services vers des applications externes via le VPN, une configuration et une configuration appropriées doivent être effectuées afin que les adresses IP privées des applications externes soient transmises par proxy via des adresses IP publiques, auxquelles Oracle Utilities Cloud Services peut envoyer la communication dans le cadre du flux aval.

     Il peut y avoir plusieurs méthodes. L'expert en réseau de votre équipe informatique doit pouvoir répertorier et évaluer les options possibles pour déléguer les adresses IP privées de l'application externe via des adresses IP publiques et choisir la meilleure solution possible.

     Un exemple de cette option est l'utilisation d'un proxy inverse mentionné dans le diagramme d'architecture.

     Exemple de configuration pour le proxy inverse :

     Un proxy inverse peut être configuré pour déléguer les API externes privées à l'aide d'adresses IP publiques.

     • Paramétrer le proxy du client (proxy inverse). Le proxy inverse peut être configuré de manière à proxy pour les adresses privées des applications externes qui sont intégrées à l'aide de la possibilité d'étendre le réseau privé du centre de données externe via VPN Connect. Le proxy inverse peut être configuré de manière à ce qu'il soit configuré pour les adresses privées à l'aide d'adresses IP publiques. La communication sortante d'Oracle Utilities Cloud Services aux applications externes peut être acheminée via ce proxy inverse, puis via la configuration du tunnel IP Sec à l'aide de VPN Connect.
     • Vous pouvez configurer le proxy à l'aide d'une machine virtuelle OCI provisionnée séparément dans votre VCN OCI.
     • Vous pouvez installer et configurer un logiciel de proxy inverse approprié sur cette machine virtuelle afin qu'il puisse accepter les demandes provenant d'Oracle Utilities Cloud Services, puis les transmettre aux applications externes. Le proxy inverse doit être configuré avec une adresse IP publique, de sorte qu'Oracle Utilities Cloud Service peut envoyer une communication sortante au proxy inverse.
  2. Configurez la communication sortante d'Oracle Utilities Cloud Service avec les détails appropriés afin qu'elle puisse envoyer des messages sortants aux API configurées/configurées.
  3. Créez un ticket d'assistance pour l'ajout de l'adresse DNS externe à la liste d'autorisation d'Oracle Utilities Cloud Service afin que la communication sortant d'Oracle Utilities Cloud Services soit autorisée. Pour plus d'informations sur les options de liste d'autorisation, reportez-vous à la section "Comprendre la liste d'autorisation" de ce livre de jeux.
• Flux inverse : Configurez la communication entrante vers Oracle Utilities Cloud Services à partir d'applications externes :
  1. Configurez la communication entrante à l'aide de la même configuration VPN site-site que celle que vous avez effectuée pour le flux d'avance précédent.
  2. Configurez la passerelle de service. La passerelle de service est l'une des passerelles disponibles dans OCI VCN qui permet d'acheminer le trafic entre deux réseaux cloud virtuels au sein d'OCI. Reportez-vous à "Accès aux services Oracle : passerelle de service", ailleurs dans ce livre de jeux pour comprendre et configurer la passerelle de service. Le trafic entrant sera acheminé via le VPN entre le centre de données externe et votre VCN sur OCI, puis acheminé via la passerelle de service vers les services Oracle Utilities Cloud.
  3. Créez un ticket de support pour l'ajout de l'OCID VCN à la liste d'autorisation d'Oracle Utilities Cloud Service afin que la communication provenant des services Oracle Utilities Cloud à partir de la passerelle de service de VCN soit autorisée.

Pour plus d'informations sur les procédures précédentes, reportez-vous aux rubriques suivantes dans ce manuel :

• "Comprendre la liste d'autorisation" pour plus d'informations sur les options de liste d'autorisation.
• "Comprendre le proxy inverse" pour plus d'informations sur l'exemple de proxy inverse.
• Comprendre les canaux d'intégration disponibles afin de comprendre les canaux pris en charge et les exigences supplémentaires pour l'intégration aux systèmes externes.

Scénario 3 : connexion via FastConnect sans VPN

Connectez-vous via FastConnect sans VPN lorsque l'intégration à une application sur site nécessite une bande passante élevée, par exemple lorsque vous devez transférer des fichiers volumineux.

Tenez compte des points suivants :

Configuration des prérequis (à planifier et à configurer par le client)	Une ligne privée dédiée entre le centre de données sur site d'un client et OCI. La configuration et la configuration doivent être configurées de sorte que les adresses privées soient exposées aux services Oracle Utilities Cloud en tant qu'adresses publiques, par exemple l'utilisation d'un proxy inverse. La passerelle de service doit être configurée dans le VCN OCI du client pour acheminer les demandes du centre de données sur site du client vers les services Oracle Utilities Cloud via la connexion VPN. La redondance peut être planifiée et la configuration de FastConnect doit être effectuée en conséquence (la redondance est une meilleure pratique).
Travail en cours	Vous pouvez accéder aux API REST des services Oracle Utilities Cloud via la route FastConnect et Service Gateway, afin que les applications du client puissent utiliser ces API REST pour les intégrations. Les services Oracle Utilities Cloud peuvent accéder aux API privées des applications sur site du client via la configuration intermédiaire (par exemple, un proxy inverse) et via FastConnect. Les transferts de fichiers sont effectués à l'aide d'Object Storage, qui dispose également d'API REST.
Avantages	Bande passante élevée ; ligne sécurisée.
Consommation	Coût de configuration de la ligne privée FastConnect et coût de configuration de l'intermédiaire (par exemple, un proxy).

Considérations relatives à la configuration du scénario 3

Le scénario 3 nécessite la configuration d'une ligne privée dédiée entre le centre de données externe et OCI.

• Configurez une ligne privée FastConnect entre un centre de données externe et OCI. Reportez-vous à "Comprendre OCI FastConnect" ailleurs dans ce guide pour comprendre et configurer FastConnect.
• Suivez les instructions du scénario 2 pour effectuer le reste de la configuration pour ce scénario.

  Remarque :

  Vous devez vous familiariser avec l'appairage public FastConnect afin d'évaluer diverses options d'intégration d'API publiques pour la communication sortante à partir d'Oracle Utilities Cloud Services.

Scénario 4 : connexion via Internet public avec VPN et FASTConnect

Se connecter via le réseau Internet public avec VPN Connect et FASTConnect lorsque l'intégration à une application on-premise nécessite non seulement une bande passante élevée, mais également un mécanisme de secours pour garantir une disponibilité proche de 100 %. Dans ce cas, le mécanisme de secours dispose d'une bande passante plus faible, mais il garantit la persistance de la connectivité.

Tenez compte des points suivants :

Prérequis :	Une ligne privée dédiée entre le centre de données sur site d'un client et OCI. Configuration et configuration appropriées permettant l'exposition des adresses privées aux services Oracle Utilities Cloud en tant qu'adresses publiques. La passerelle de service doit être configurée dans le VCN OCI du client pour acheminer les demandes du centre de données sur site du client vers les services Oracle Utilities Cloud via la connexion VPN. La redondance peut être planifiée et la configuration de FastConnect doit être effectuée en conséquence (la redondance est une meilleure pratique). La redondance peut être planifiée et la configuration du VPN doit être effectuée en conséquence (la redondance est une meilleure pratique).
En cours :	Les API REST des services Oracle Utilities Cloud sont accessibles via FastConnect ou l'acheminement VPN Connect. Les applications des clients peuvent donc utiliser ces API REST pour les intégrations. Les services Oracle Utilities Cloud peuvent accéder aux API privées sur site du client via le proxy et via FastConnect ou VPN Connect Les transferts de fichiers peuvent être effectués à l'aide des API REST publiques (visées sur Internet) d'Object Storage ou en se connectant à Object Storage via FastConnect.
Avantages	Large bande passante, haute disponibilité et sécurisée.
Consommation	Coût de la configuration de la ligne privée pour FastConnect et coût de la configuration du processus intermédiaire pour exposer les adresses privées sur site aux services Oracle Utilities Cloud. Faible débit de VPN Connect en cas d'indisponibilité de la ligne FastConnect.

Considérations relatives à la configuration du scénario 4

Le scénario 4 est une combinaison du scénario 2 et du scénario 3. Vous pouvez donc utiliser la configuration indiquée pour les deux scénarios comme référence pour comprendre et configurer la mise en réseau requise.