Définir des exigences en matière de charge globale

Déterminez vos exigences en matière de communication, de connectivité et de résilience des charges de travail.

Exigences de communication

Identifiez vos exigences de charge de travail pour les passerelles de communication et la connectivité Internet, la connectivité inter-VCN et l'accès à Oracle Services Network (OSN).

Passerelles de communication OCI

Le diagramme suivant illustre un déploiement OCI principal dans la région Ouest des Etats-Unis (Phoenix), montrant comment les charges de travail de production et de pré-production sont mises en réseau pour une connectivité sécurisée et résiliente entre le cloud, les centres de données sur site et les services Oracle :


Sélectionnez les passerelles de communication appropriées en fonction des exigences de votre charge globale dans le tableau suivant :

Caractéristique Passerelle recommandée Commentaires
Le trafic entrant et sortant d'OCI peut être initié à partir d'OCI ou d'Internet Passerelle Internet Besoin d'un sous-réseau public et d'une ressource avec une adresse IP publique
Les ressources dans OCI accèdent à Internet en toute sécurité Passerelle NAT Seul le trafic initié à partir du sous-réseau est autorisé via la passerelle NAT
Accès à Oracle Cloud Infrastructure Object Storage ou à d'autres services dans Oracle Service Network Passerelle de service Des exemples de services sont le service OS Management, Oracle Linux ou Yum Service. Reportez-vous à la section Explorer pour obtenir la liste complète des services pris en charge dans OSN.
Connexion entre OCI et sur site et entre les réseaux cloud virtuels Passerelle de routage dynamique Un routeur virtuel connecte les réseaux cloud virtuels et les emplacements sur site via un point de connexion central et se connecte également entre les régions et les différentes locations

Connectivité inter-VCN

Décidez de la façon dont les réseaux cloud virtuels au sein d'OCI doivent communiquer (au sein d'une location ou d'une location) :

Oracle recommande d'utiliser des passerelles de routage dynamique pour la connectivité inter-VCN. DRG fournit un chemin évolutif pour la connectivité non seulement entre les réseaux cloud virtuels, mais également à partir de clouds sur site et autres. L'import dynamique des routages réduit la complexité de la gestion. Pour des besoins de routage spécifiques entre deux réseaux cloud virtuels, utilisez une passerelle d'appairage local. Vous pouvez utiliser à la fois des passerelles de routage dynamique et des passerelles d'appairage local en fonction de vos besoins.

Les trois exemples suivants de connectivité inter-VCN utilisent une passerelle d'appairage local ou un DRG :

Passerelle d'appairage local (PG)

L'image suivante présente une région avec deux réseaux cloud virtuels utilisant des passerelles d'appairage local :



Les deux réseaux cloud virtuels doivent se trouver dans la même région OCI et vous pouvez avoir jusqu'à 10 passerelles d'appairage local par VCN.

Passerelle de routage dynamique

Les passerelles de routage dynamique connectent les réseaux cloud virtuels au sein ou entre les régions et autorisent jusqu'à 300 attachements par DRG. Les passerelles de routage dynamique fournissent des options de routage simples, en plus des routages statiques. Les routages à partir des réseaux attachés sont importés dynamiquement dans les tables de routage DRG à l'aide des distributions de routage d'import.

L'image suivante présente une région avec deux réseaux cloud virtuels connectés par un DRG dans la même région :



L'image suivante présente une région avec deux réseaux cloud virtuels utilisant le DRG avec deux réseaux cloud virtuels connectés entre des régions distinctes :



Accès à Oracle Services Network (OSN)

OSN est un réseau conceptuel dans OCI qui est réservé aux services Oracle.

L'architecture suivante présente un VCN qui accède à OSN sans que le trafic passe sur Internet via une passerelle de service :



Considérez les options suivantes et décidez comment vous souhaitez acheminer votre trafic :

  • Utilisez une passerelle de service pour acheminer le trafic privé vers OSN sans passer par Internet.
  • Les services (comme Object Storage) disposent d'adresses IP publiques accessibles sur Internet. Utilisez des adresses privées pour conserver le trafic au sein du réseau OCI.
  • Lors de l'ajout d'un routage vers OSN, déterminez si vous souhaitez activer le réseau pour utiliser tous les services OCI ou simplement utiliser OCI Object Storage pour les sauvegardes de base de données.
  • Envisagez des adresses privées pour un accès direct et privé à partir de réseaux cloud virtuels ou de centres de données on-premise. Par exemple, vous pouvez configurer OCI Object Storage avec un moteur de protocoles accessible à partir d'un VCN ou d'une région sur site sur une adresse IP privée.

Exigences de connectivité hybride et multicloud

Déterminez si votre architecture sera hybride ou multicloud, et évaluez la bande passante pour une expérience utilisateur de qualité.

Connectez OCI aux réseaux sur site en fonction de vos besoins à l'aide de l'une des options de connectivité suivantes :

  • OCI FastConnect utilise une connexion dédiée pour la bande passante fixe et la latence. Oracle recommande d'utiliser des connexions redondantes pour la résilience.
  • Le VPN site à site OCI utilise Internet en tant que transporteur et peut également utiliser FastConnect. La bande passante, la latence et la disponibilité peuvent varier en fonction des circuits Internet publics. Oracle recommande d'utiliser des tunnels redondants.

Le diagramme suivant présente un exemple d'architecture de connexion d'un environnement sur site à OCI à l'aide d'un VPN site à site ou de FastConnect :



Oracle recommande d'utiliser FastConnect pour les connexions principales avec VPN en tant que sauvegarde pour les charges globales de production. FastConnect est disponible à des vitesses variables allant jusqu'à 400 Gbits/s, selon la région et les partenaires.

Pour configurer votre connectivité, procédez comme suit :

  • Configurez un circuit virtuel avec appairage public pour un accès OSN uniquement.
  • Utilisez l'appairage privé pour une connexion privée aux ressources dans les réseaux cloud virtuels.
  • Utilisez un VPN site à site (avec IPSec) pour le cryptage du trafic dans l'appairage privé FastConnect.

Remarques :

Oracle recommande d'utiliser du matériel redondant pour toutes les connexions.

Connexion à des réseaux sur site à l'aide d'OCI FastConnect

OCI FastConnect fournit une connectivité directe et privée. Configurez toujours VPN en tant que sauvegarde. L'image suivante présente une architecture avec une région sur site et OCI à l'aide d'OCI FastConnect où le trafic ne passe pas par le réseau Internet public :


Oracle recommande d'utiliser FastConnect avec VPN comme sauvegarde en tant que connexions principales pour les charges de travail de production. Utilisez le VPN site à site comme connexion de sauvegarde pour FastConnect. La connexion principale est donc FastConnect et la sauvegarde est VPN. Les vitesses de connexion disponibles sont de 1, 10 ou 100 Gbit/s.

  • Configurez un circuit virtuel avec appairage public, si vous avez uniquement besoin d'accéder à OSN.
  • Utilisez le VPN site à site OCI qui utilise IPSec pour le cryptage du trafic en plus de l'appairage public FastConnect.
  • Utilisez l'appairage privé lorsque vous avez besoin d'une connexion privée aux ressources dans les réseaux cloud virtuels OCI.

Remarques :

Oracle recommande d'utiliser deux fois l'équipement à des fins de redondance.

Connexion aux réseaux sur site à l'aide d'un VPN site à site OCI

Le VPN site à site OCI connecte un centre de données sur site à OCI. Le VPN site à site utilise Internet comme opérateur et chiffre le trafic à l'aide du protocole IPSec. Le VPN site à site est une solution chiffrée économique, mais avec une bande passante inférieure (~250 Mbps/tunnel). Utilisez des périphériques et des adresses redondants. Envisagez le routage à chemins multiples (ECMP) à coût égal pour une haute disponibilité avec une meilleure bande passante. Utilisez le VPN site à site comme alternative gratuite si vous n'avez pas besoin des connexions hautes performances de Megaport ou d'Equinix abordées dans les sections suivantes.

Le diagramme suivant présente une architecture avec un CPE (Customer-Premise Equipment) redondant et une connexion OCI à l'aide d'un VPN site à site :



Les performances du VPN site à site peuvent varier en fonction du trafic Internet. Comme pour FastConnect, configurez un VPN site à site avec des tunnels redondants et, si possible, avec des dispositifs CPE redondants. Oracle fournit deux adresses VPN pour chaque connexion VPN site-à-site.

Oracle Interconnect for Microsoft Azure

Microsoft et Oracle se sont associés pour fournir Microsoft Azure pré-intégré à OCI dans certaines régions.

Le diagramme suivant présente un exemple d'architecture d'une base de données Oracle dans une région OCI et de l'application dans Azure :



La latence est importante pour une bonne expérience utilisateur avec de meilleurs temps de réponse. Oracle et Azure ont des points d'intégration à différents endroits dans le monde. Cela facilite l'intégration et réduit également la latence, ce qui permet d'avoir une solution qui s'étend entre les clouds à l'aide de FastConnect et d'Azure ExpressRoute.

Vous pouvez activer l'accès entre les clouds en configurant à la fois le portail Azure (ExpressRoute) et la console OCI (FastConnect). Vous devez uniquement configurer le circuit virtuel 1x car l'interconnexion Azure dispose d'une redondance intégrée utilisant la diversité physique du matériel et de l'emplacement, lorsque cela est possible. Le trafic entre Azure et OCI (coût sortant) est gratuit si vous utilisez une unité de gestion des stocks locale et sélectionnez la vitesse de connexion Azure ExpressRoute minimale de 1 Gbit/s. Les interconnexions sont construites là où Azure et OCI sont situés près les uns des autres pour permettre une faible latence entre les clouds.

Remarques :

Toutes les régions n'ont pas cette capacité. Utilisez un fournisseur de services réseau dans d'autres régions.

Si vous recherchez une connexion à Microsoft Azure, reportez-vous à Accès à Microsoft Azure.

Oracle Interconnect for Google Cloud

Oracle et Google se sont associés pour fournir aux clients une connectivité directe avec des options de provisionnement natives à partir des deux clouds. Oracle Interconnect for Google Cloud et OCI FastConnect peuvent être provisionnés pour créer une connectivité à faible latence et à bande passante élevée. Sans frais de sortie de l'un ou l'autre des fournisseurs cloud. Envisagez cette option pour concevoir votre connectivité multicloud afin d'utiliser des services à la fois dans OCI et dans Google Cloud.

Le diagramme d'architecture suivant présente une connexion entre OCI et Google Cloud.



Connexion à AWS et à d'autres plates-formes cloud

Les connexions à d'autres clouds publics à partir d'OCI sont rapides et faciles à établir via nos partenaires FastConnect. Nous avons plus de 100 partenaires FastConnect mondiaux parmi lesquels choisir en fonction de votre région et des exigences de connectivité. Il propose différentes options pour la connexion avec d'autres fournisseurs cloud, ainsi qu'avec d'autres plates-formes SaaS/PaaS.

Le diagramme suivant illustre une connexion entre OCI et AWS à l'aide de notre partenaire de connexion Megaport :

Vous pouvez également envisager une connexion VPN directe entre AWS et OCI.

Exigences de résilience

Évaluez votre besoin de résilience régionale contre les pannes et envisagez un déploiement multi-région.

Déploiement multi-région

Déployer une configuration interrégionale standard pour un déploiement multi-région, et associer récupération après sinistre et basculement. Répliquez les ressources de la région de secours pour vérifier la préparation au basculement et configurez l'appairage à distance entre les passerelles de routage dynamique. La réplication de données utilise le réseau principal d'Oracle, et non le réseau Internet public.

Le schéma suivant illustre la réplication de données entre une région principale et une région de secours :


Description de l'image multi-region-deployment-full-arch.png
Description de l'image multi-region-deployment-full-arch.png

Equilibrage de charge

Utilisez un équilibreur de charge (public ou privé) pour optimiser la distribution du trafic. Plusieurs serveurs back-end.

Un équilibreur de charge public expose une adresse IP publique et est accessible à partir d'Internet. Un équilibreur de charge privé utilise une adresse IP privée et est uniquement accessible à partir du VCN.

Equilibreur de charges

Un équilibreur de charge standard pour les serveurs Web publics peut mettre fin au trafic SSL ou le transmettre au back-end. Utilisez des formes flexibles entre la bande passante minimale et maximale en fonction du trafic.

Vous pouvez configurer un équilibreur de charge public ou privé sur la couche 4/7, couche TCP/HTTP.

Equilibreur de charge réseau

Service gratuit qui fournit un équilibrage de charge pass-through non proxy, à très faible latence et à haut débit. Les équilibreurs de charge réseau sont optimisés pour les connexions à longue durée d'exécution sur plusieurs jours ou mois, avec des connexions au même serveur back-end, ce qui est optimal pour la base de données.

Les équilibreurs de charge réseau garantissent que vos services restent disponibles en dirigeant le trafic uniquement vers des serveurs en bon état reposant sur des données de couche 3 et 4 (protocole IP).

Pour en savoir plus, consultez la rubrique Comparaison entre l'équilibreur de charge et l'équilibreur de charge réseau dans la documentation OCI liée à En savoir plus.

Exigences de sécurité

La sécurité est essentielle pour toute architecture réseau. Choisissez les services OCI appropriés pour établir l'état de sécurité requis sur vos applications et réseaux, qu'ils soient sur site ou dans le cloud.

OCI Web Application Firewal

Oracle Cloud Infrastructure Web Application Firewall (WAF) est un service d'application de la loi régional et en périphérie qui s'attache à des points de mise en oeuvre tels que des équilibreurs de charge ou des noms de domaine d'application Web. OCI WAF protège des applications du trafic Internet malveillant et indésirable.
La stratégie OCI WAF vous permet d'appliquer les règles suivantes dans vos applications OCI :
  • Contrôle d'accès
  • Gestion des bots
  • Règles de protection
  • Limites de taux
  • Applications client

Remarques :

Utilisez WAF pour protéger toutes les adresses Internet et garantir l'application cohérente des règles de sécurité sur toutes les applications.

Pour en savoir plus, consultez à la fois la stratégie OCI WAF (solution régionale) et la stratégie en périphérie (solution globale).

OCI Network Firewall

En fonction de l'état de sécurité réseau requis, sélectionnez l'option de déploiement du pare-feu réseau.

Le diagramme suivant présente une conception d'insertion OCI Network Firewall prise en charge qui permet d'utiliser un seul OCI Network Firewall pour gérer à la fois les modèles de trafic nord-sud (lié à Internet) et est-ouest (inter-VCN et sur site) :



Dans cette architecture, un pare-feu réseau OCI déployé dans un VCN de hub central inspecte et sécurise les flux de trafic entrants à partir d'Internet, sortants vers Internet et à partir d'une région sur site.

Zero Trust Packet Routing

Envisagez d'utiliser Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) pour implémenter une posture de sécurité améliorée avec un déploiement de stratégie simple.

Le diagramme suivant présente les stratégies de sécurité réseau gérées indépendamment de l'architecture réseau sous-jacente afin de réduire le risque d'accès non autorisé :



Les administrateurs de sécurité peuvent définir rapidement des stratégies d'accès basées sur des intentions. Seul le trafic explicitement autorisé est autorisé, ce qui rend l'accès non autorisé impossible. Cette approche simplifie la gestion de la sécurité réseau et les processus d'audit.