Déploiement d'Oracle API Gateway Service dans un environnement hybride
Architecture
Cette architecture représente un centre de données client sur site et une région Oracle Cloud Infrastructure (OCI) avec un compartiment et deux domaines de disponibilité qui utilisent un serveur API Gateway pour fournir un environnement d'accès Internet public.
Le centre de données client sur site exploite la passerelle API pour la planification, la création, le prototypage, le déploiement et la gestion des API dans un environnement sécurisé et évolutif. L'environnement sur site peut être un environnement d'API privé ou faire partie d'un environnement d'API public dans lequel les API peuvent être partagées avec le réseau Internet public.
API Gateway sert de portail API Designer et de portail Developer. Le concepteur d'API est l'endroit où les concepteurs d'API créent, testent, déploient et gèrent leurs API. Le portail des développeurs permet aux consommateurs d'API d'afficher la documentation de l'API et d'essayer les API.
Le diagramme suivant illustre cette architecture de référence.
Description de l'illustration api-gateway-hybrid.png
L'architecture comporte les composants suivants :
- Région
Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes d'autres régions et de grandes distances peuvent les séparer (entre les pays voire les continents).
- Domaines de disponibilité
Les domaines de disponibilité sont des centres de données autonomes et indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui assure la tolérance de pannes. Les domaines de disponibilité ne partagent pas d'infrastructure telle que l'alimentation ou le refroidissement ou le réseau interne du domaine de disponibilité. Par conséquent, il est improbable qu'un problème affecte les autres domaines de disponibilité de la région.
- Domaines de pannes
Un domaine de panne est un regroupement de matériel et d'infrastructures au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines de pannes dotés d'une alimentation et d'un matériel indépendants. Lorsque vous distribuez des ressources entre plusieurs domaines de pannes, vos applications peuvent tolérer les pannes de serveur physique, la maintenance du système et les pannes d'alimentation au sein d'un domaine de pannes.
- Réseau cloud virtuel (VCN) et sous-réseaux
Un VCN est un réseau personnalisable et défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux cloud virtuels traditionnels, vous bénéficiez d'un contrôle total sur votre environnement réseau. Un VCN peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, qui peuvent être ciblés vers une région ou un domaine de disponibilité. Chaque sous-réseau se compose d'une plage contiguë d'adresses qui ne chevauchent pas les autres sous-réseaux du VCN. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.
- FastConnect
Oracle Cloud Infrastructure FastConnect permet de créer facilement une connexion privée dédiée entre votre centre de données et Oracle Cloud Infrastructure. FastConnect fournit des options de bande passante plus élevée et une expérience de réseau plus fiable par rapport aux connexions Internet.
- Oracle Cloud Infrastructure Web Application Firewall (WAF)
Oracle Cloud Infrastructure Web Application Firewall est un service de sécurité globale compatible avec le cloud et le secteur des cartes de paiement (PCI) qui protège les applications du trafic Internet malveillant et indésirable. WAF peut protéger toutes les adresses Internet, en assurant l'exécution cohérente des règles sur les différentes applications d'un client.
- passerelle Internet
La passerelle Internet autorise le trafic entre les sous-réseaux publics d'un VCN et le réseau Internet public.
- équilibreur de charge
Le service Oracle Cloud Infrastructure Load Balancing fournit une répartition de trafic automatisée à partir d'un seul point d'entrée vers plusieurs serveurs du back-end.
- Passerelle de routage dynamique
DRG est un routeur virtuel qui fournit un chemin pour le trafic réseau privé entre un VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région Oracle Cloud Infrastructure, un réseau sur site ou un réseau dans un autre fournisseur cloud.
- Passerelle d'appairage local
Une passerelle d'appairage local permet d'appairer un VCN avec un autre VCN dans la même région. L'appairage signifie que les réseaux cloud virtuels communiquent à l'aide d'adresses IP privées, sans que le trafic passe par Internet ou ne passe par votre réseau sur site.
- Passerelle d'API
Le service de passerelle d'API vous permet de publier des API avec des adresses privées accessibles à partir de votre réseau et que vous pouvez afficher sur le réseau Internet public si nécessaire. Les adresses prennent en charge la validation d'API, la transformation des demandes et des réponses, la spécification CORS, l'authentification et l'autorisation, ainsi que la limitation des demandes.
Recommandations
- VCN
Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher aux sous-réseaux du VCN. Utilisez des blocs CIDR compris dans l'espace d'adresse IP privée standard.
Sélectionnez des blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données on-premise ou un autre fournisseur cloud) auquel vous souhaitez configurer des connexions privées.
Une fois que vous avez créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.
Lorsque vous concevez les sous-réseaux, tenez compte de vos exigences en matière de flux de trafic et de sécurité. Associez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, ce qui peut servir de limite de sécurité.
Utilisez des sous-réseaux régionaux.
- Sécurité
Utilisez Oracle Cloud Guard pour surveiller et maintenir la sécurité de vos ressources dans Oracle Cloud Infrastructure de manière proactive. Cloud Guard utilise des recettes de détection que vous pouvez définir pour examiner vos ressources afin de détecter les failles de sécurité et pour surveiller les opérateurs et les utilisateurs pour les activités risquées. Lorsqu'une erreur de configuration ou une activité non sécurisée est détectée, Cloud Guard recommande des actions correctives et aide à effectuer ces actions, en fonction des recettes de répondeur que vous pouvez définir.
Pour les ressources nécessitant une sécurité maximale, Oracle recommande d'utiliser des zones de sécurité. Une zone de sécurité est un compartiment associé à une recette définie par Oracle de stratégies de sécurité basées sur les meilleures pratiques. Par exemple, les ressources d'une zone de sécurité ne doivent pas être accessibles à partir du réseau Internet public et doivent être chiffrées à l'aide de clés gérées par le client. Lors de la création et de la mise à jour de ressources dans une zone de sécurité, Oracle Cloud Infrastructure valide les opérations par rapport aux stratégies de la recette de zone de sécurité et refuse les opérations qui violent les stratégies.
Remarques
Lors du déploiement d'une passerelle Oracle API Gateway, tenez compte des points suivants :
- Performances
Vous pouvez optimiser les performances d'API Gateway à l'aide de différentes options de configuration. Par exemple, les options générales de réglage des performances incluent la fonction de trace, de surveillance et de journalisation. Les options de réglage des performances avancées incluent la mise en pool de bases de données, le maintien en vie du protocole HTTP, l'encodage en bloc, les threads client et la mémoire Java.
- Sécurité
Utilisez les stratégies Oracle Cloud Infrastructure Identity and Access Management pour contrôler qui peut accéder à vos ressources cloud et les opérations qui peuvent être effectuées.
Pour protéger les mots de passe ou tout autre secret, envisagez d'utiliser le service Oracle Cloud Infrastructure Vault.
- Disponibilité
Envisagez d'utiliser une option de haute disponibilité en fonction de vos besoins de déploiement et de votre région. Les options incluent la répartition des ressources entre plusieurs domaines de disponibilité d'une région et la répartition des ressources entre les domaines de pannes d'un domaine de disponibilité.
Les domaines de pannes offrent la meilleure résilience pour les charges de travail déployées dans un seul domaine de disponibilité. Pour une haute disponibilité dans le niveau d'application, déployez les serveurs d'applications dans différents domaines de pannes et utilisez un équilibreur de charge pour distribuer le trafic client entre les serveurs d'applications.