Définir des exigences en matière de charge globale
Exigences de communication
Passerelles de communication OCI
Sélectionnez les passerelles de communication appropriées en fonction des exigences de votre charge globale dans le tableau suivant :
Caractéristique | Passerelle recommandée | Commentaires |
---|---|---|
Le trafic entrant et sortant d'OCI peut être initié à partir d'OCI ou d'Internet | Passerelle Internet | Besoin d'un sous-réseau public et d'une ressource avec une adresse IP publique |
Les ressources dans OCI accèdent à Internet en toute sécurité | Passerelle NAT | Seul le trafic initié à partir du sous-réseau est autorisé via la passerelle NAT |
Accès à Oracle Cloud Infrastructure Object Storage ou à d'autres services dans Oracle Service Network | Passerelle de service | Des exemples de services sont le service OS Management, Oracle Linux ou Yum Service . Reportez-vous à la section Explorer pour obtenir la liste complète des services pris en charge dans OSN.
|
Connexion entre OCI et sur site et entre les réseaux cloud virtuels | Passerelle de routage dynamique | Un routeur virtuel connecte les réseaux cloud virtuels et les emplacements sur site via un point de connexion central et se connecte également entre les régions et les différentes locations |
Connectivité inter-VCN
Oracle recommande d'utiliser des passerelles de routage dynamique pour la connectivité inter-VCN. DRG fournit un chemin évolutif pour la connectivité non seulement entre les réseaux cloud virtuels, mais également à partir de clouds sur site et autres. L'import dynamique des routages réduit la complexité de la gestion. Pour des besoins de routage spécifiques entre deux réseaux cloud virtuels, utilisez une passerelle d'appairage local. Vous pouvez utiliser à la fois des passerelles de routage dynamique et des passerelles d'appairage local en fonction de vos besoins.
Les trois exemples suivants de connectivité inter-VCN utilisent une passerelle d'appairage local ou un DRG :
Passerelle d'appairage local (PG)
L'image suivante présente une région avec deux réseaux cloud virtuels utilisant des passerelles d'appairage local :
Les deux réseaux cloud virtuels doivent se trouver dans la même région OCI et vous pouvez avoir jusqu'à 10 passerelles d'appairage local par VCN.
Passerelle de routage dynamique
Les passerelles de routage dynamique connectent les réseaux cloud virtuels au sein ou entre les régions et autorisent jusqu'à 300 attachements par DRG. Les passerelles de routage dynamique fournissent des options de routage simples, en plus des routages statiques. Les routages à partir des réseaux attachés sont importés dynamiquement dans les tables de routage DRG à l'aide des distributions de routage d'import.
L'image suivante présente une région avec deux réseaux cloud virtuels connectés par un DRG dans la même région :
L'image suivante présente une région avec deux réseaux cloud virtuels utilisant le DRG avec deux réseaux cloud virtuels connectés entre des régions distinctes :
Accès à Oracle Services Network (OSN)
OSN est un réseau conceptuel dans OCI qui est réservé aux services Oracle.
L'architecture suivante présente un VCN qui accède à OSN sans que le trafic passe sur Internet via une passerelle de service :
Considérez les options suivantes et décidez comment vous souhaitez acheminer votre trafic :
- Utilisez une passerelle de service pour acheminer le trafic privé vers OSN sans passer par Internet.
- Les services (comme Object Storage) disposent d'adresses IP publiques accessibles sur Internet. Utilisez des adresses privées pour conserver le trafic au sein du réseau OCI.
- Lors de l'ajout d'un routage vers OSN, déterminez si vous souhaitez activer le réseau pour utiliser tous les services OCI ou simplement utiliser OCI Object Storage pour les sauvegardes de base de données.
- Envisagez des adresses privées pour un accès direct et privé à partir de réseaux cloud virtuels ou de centres de données on-premise. Par exemple, vous pouvez configurer OCI Object Storage avec un moteur de protocoles accessible à partir d'un VCN ou d'une région sur site sur une adresse IP privée.
Exigences de connectivité hybride et multicloud
Connectez OCI aux réseaux sur site en fonction de vos besoins à l'aide de l'une des options de connectivité suivantes :
- OCI FastConnect utilise une connexion dédiée pour la bande passante fixe et la latence. Oracle recommande d'utiliser des connexions redondantes pour la résilience.
- Le VPN site à site OCI utilise Internet en tant que transporteur et peut également utiliser FastConnect. La bande passante, la latence et la disponibilité peuvent varier en fonction des circuits Internet publics. Oracle recommande d'utiliser des tunnels redondants.
Le diagramme suivant présente un exemple d'architecture de connexion d'un environnement sur site à OCI à l'aide d'un VPN site à site ou de FastConnect :
Oracle recommande d'utiliser FastConnect pour les connexions principales avec VPN en tant que sauvegarde pour les charges globales de production. FastConnect est disponible à des vitesses variables allant jusqu'à 400 Gbits/s, selon la région et les partenaires.
Pour configurer votre connectivité, procédez comme suit :
- Configurez un circuit virtuel avec appairage public pour un accès OSN uniquement.
- Utilisez l'appairage privé pour une connexion privée aux ressources dans les réseaux cloud virtuels.
- Utilisez un VPN site à site (avec IPSec) pour le cryptage du trafic dans l'appairage privé FastConnect.
Remarques :
Oracle recommande d'utiliser du matériel redondant pour toutes les connexions.Connexion à des réseaux sur site à l'aide d'OCI FastConnect
Oracle recommande d'utiliser FastConnect avec VPN comme sauvegarde en tant que connexions principales pour les charges de travail de production. Utilisez le VPN site à site comme connexion de sauvegarde pour FastConnect. La connexion principale est donc FastConnect et la sauvegarde est VPN. Les vitesses de connexion disponibles sont de 1, 10 ou 100 Gbit/s.
- Configurez un circuit virtuel avec appairage public, si vous avez uniquement besoin d'accéder à OSN.
- Utilisez le VPN site à site OCI qui utilise IPSec pour le cryptage du trafic en plus de l'appairage public FastConnect.
- Utilisez l'appairage privé lorsque vous avez besoin d'une connexion privée aux ressources dans les réseaux cloud virtuels OCI.
Remarques :
Oracle recommande d'utiliser deux fois l'équipement à des fins de redondance.Connexion aux réseaux sur site à l'aide d'un VPN site à site OCI
Le diagramme suivant présente une architecture avec un CPE (Customer-Premise Equipment) redondant et une connexion OCI à l'aide d'un VPN site à site :
Les performances du VPN site à site peuvent varier en fonction du trafic Internet. Comme pour FastConnect, configurez un VPN site à site avec des tunnels redondants et, si possible, avec des dispositifs CPE redondants. Oracle fournit deux adresses VPN pour chaque connexion VPN site-à-site.
Oracle Interconnect for Microsoft Azure
Le diagramme suivant présente un exemple d'architecture d'une base de données Oracle dans une région OCI et de l'application dans Azure :
La latence est importante pour une bonne expérience utilisateur avec de meilleurs temps de réponse. Oracle et Azure ont des points d'intégration à différents endroits dans le monde. Cela facilite l'intégration et réduit également la latence, ce qui permet d'avoir une solution qui s'étend entre les clouds à l'aide de FastConnect et d'Azure ExpressRoute.
Vous pouvez activer l'accès entre les clouds en configurant à la fois le portail Azure (ExpressRoute) et la console OCI (FastConnect). Vous devez uniquement configurer le circuit virtuel 1x car l'interconnexion Azure dispose d'une redondance intégrée utilisant la diversité physique du matériel et de l'emplacement, lorsque cela est possible. Le trafic entre Azure et OCI (coût sortant) est gratuit si vous utilisez une unité de gestion des stocks locale et sélectionnez la vitesse de connexion Azure ExpressRoute minimale de 1 Gbit/s. Les interconnexions sont construites là où Azure et OCI sont situés près les uns des autres pour permettre une faible latence entre les clouds.
Remarques :
Toutes les régions n'ont pas cette capacité. Utilisez un fournisseur de services réseau dans d'autres régions.Si vous recherchez une connexion à Microsoft Azure, reportez-vous à Accès à Microsoft Azure.
Oracle Interconnect for Google Cloud
Le diagramme d'architecture suivant présente une connexion entre OCI et Google Cloud.
Connexion à AWS et à d'autres plates-formes cloud
Le diagramme suivant illustre une connexion entre OCI et AWS à l'aide de notre partenaire de connexion Megaport :
Vous pouvez également envisager une connexion VPN directe entre AWS et OCI.
Exigences de résilience
Évaluez votre besoin de résilience régionale contre les pannes et envisagez un déploiement multi-région.
Déploiement multi-région
Le schéma suivant illustre la réplication de données entre une région principale et une région de secours :

Description de l'image multi-region-deployment-full-arch.png
Equilibrage de charge
Utilisez un équilibreur de charge (public ou privé) pour optimiser la distribution du trafic. Plusieurs serveurs back-end.
Equilibreur de charges
Un équilibreur de charge standard pour les serveurs Web publics peut mettre fin au trafic SSL ou le transmettre au back-end. Utilisez des formes flexibles entre la bande passante minimale et maximale en fonction du trafic.
Vous pouvez configurer un équilibreur de charge public ou privé sur la couche 4/7, couche TCP/HTTP.
Equilibreur de charge réseau
Service gratuit qui fournit un équilibrage de charge pass-through non proxy, à très faible latence et à haut débit. Les équilibreurs de charge réseau sont optimisés pour les connexions à longue durée d'exécution sur plusieurs jours ou mois, avec des connexions au même serveur back-end, ce qui est optimal pour la base de données.
Les équilibreurs de charge réseau garantissent que vos services restent disponibles en dirigeant le trafic uniquement vers des serveurs en bon état reposant sur des données de couche 3 et 4 (protocole IP).
Pour en savoir plus, consultez la rubrique Comparaison entre l'équilibreur de charge et l'équilibreur de charge réseau dans la documentation OCI liée à En savoir plus.
Exigences de sécurité
OCI Web Application Firewal
- Contrôle d'accès
- Gestion des bots
- Règles de protection
- Limites de taux
- Applications client
Remarques :
Utilisez WAF pour protéger toutes les adresses Internet et garantir l'application cohérente des règles de sécurité sur toutes les applications.Pour en savoir plus, consultez à la fois la stratégie OCI WAF (solution régionale) et la stratégie en périphérie (solution globale).
OCI Network Firewall
Le diagramme suivant présente une conception d'insertion OCI Network Firewall prise en charge qui permet d'utiliser un seul OCI Network Firewall pour gérer à la fois les modèles de trafic nord-sud (lié à Internet) et est-ouest (inter-VCN et sur site) :
Dans cette architecture, un pare-feu réseau OCI déployé dans un VCN de hub central inspecte et sécurise les flux de trafic entrants à partir d'Internet, sortants vers Internet et à partir d'une région sur site.
Zero Trust Packet Routing
Le diagramme suivant présente les stratégies de sécurité réseau gérées indépendamment de l'architecture réseau sous-jacente afin de réduire le risque d'accès non autorisé :
Les administrateurs de sécurité peuvent définir rapidement des stratégies d'accès basées sur des intentions. Seul le trafic explicitement autorisé est autorisé, ce qui rend l'accès non autorisé impossible. Cette approche simplifie la gestion de la sécurité réseau et les processus d'audit.