Architecture réseau sécurisée pour les sauvegardes de base de données sur site vers OCI Object Storage avec une adresse privée

Les sauvegardes hors site sont essentielles à la continuité des activités. Oracle Cloud Infrastructure (OCI) propose OCI Object Storage avec une adresse privée comme cible de sauvegarde, où OCI crée une connectivité sécurisée et privée à partir d'un emplacement client sur site sans adresses IP publiques associées à OCI Object Storage.

Architecture

Cette architecture de référence présente une conception de réseau privé, sécurisé et hautes performances permettant de sauvegarder les données Oracle Exadata Database Service on Cloud@Customer vers OCI Object Storage.

Pour des performances réseau optimales, Oracle Cloud Infrastructure FastConnect avec appairage privé connecte le centre de données sur site à une région OCI d'un locataire client.

L'adresse privée OCI Object Storage fournit un accès sécurisé à Object Storage à l'aide d'une adresse IP privée dans un sous-réseau client au sein d'un VCN.

Une zone DNS privée OCI fournit des réponses uniquement pour les clients se connectant via un VCN. En configurant une adresse d'écoute DNS OCI et en implémentant des règles de transfert dans le centre de données client sur site, une résolution DNS hybride transparente est obtenue.

Le schéma suivant illustre cette architecture de référence.

description de l'illustration secure-backup-oci-object-storage.png,

secure-backup-oci-object-storage-oracle.zip

L'architecture comporte les composants suivants :

• Région

  Une région OCI est une zone géographique précise qui contient des centres de données, hébergeant des domaines de disponibilité. Les régions sont indépendantes les une des autres et peuvent les séparer d'un pays ou d'un continent à l'autre par de grandes distances.

• Domaines de disponibilité

  Les domaines de disponibilité sont des centres de données autonomes indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées de celles des autres, ce qui garantit la tolérance aux pannes. Les domaines de disponibilité ne partagent ni infrastructure (par exemple, alimentation, système de refroidissement), ni réseau de domaine de disponibilité interne. Par conséquent, une panne sur un domaine de disponibilité ne doit pas affecter les autres domaines de disponibilité de la région.

• Réseau cloud virtuel (VCN) et sous-réseaux

  Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région OCI. Comme les Réseaux de centre de données traditionnels, les Réseaux cloud virtuels vous donnent un contrôle sur l'environnement réseau. Un VCN peut comporter plusieurs blocs de routage interdomaine sans classe (CIDR) qui ne se chevauchent pas et que vous pouvez modifier une fois le VCN créé. Vous pouvez segmenter un réseau cloud virtuel en plusieurs sous-réseaux ciblant une région ou un domaine de disponibilité. Chaque sous-réseau est composé d'une plage contiguë d'adresses qui ne chevauchent pas celles des autres sous-réseaux du réseau cloud virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

• Passerelle de routage dynamique

  Le DRG est un routeur virtuel qui fournit un chemin pour le trafic de réseau privé entre les réseaux cloud virtuels d'une même région, entre un VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région OCI, un réseau sur site ou un réseau dans un autre fournisseur cloud.

• FastConnect

  Oracle Cloud Infrastructure FastConnect crée une connexion privée dédiée entre votre centre de données et OCI. FastConnect offre davantage d'options de bande passante et d'expérience réseau plus fiable et homogènes par rapports aux connexions Internet.

• Stockage d'objet

  OCI Object Storage fournit un accès à des quantités importantes de informations structurées et non, de tout type de contenu, y compris les sauvegardes de base de donnée, les données analytiques et le contenu enrichi tel que des images et des vidéos. Vous pouvez stocker les données directement à partir d'Internet ou de la plate-forme cloud de manière sécurisée. Vous pouvez redimensionner le stockage sans dégradation des performances ni de la fiabilité de services.

  Utilisez le stockage standard pour le stockage "à chaud" auquel vous devez accéder rapidement, immédiatement et fréquemment. Utilisez le stockage d'archive pour le stockage "à froid" que vous conservez durant de longues périodes et auquel il est rare d'y accéder.

• Adresse privée Object Storage

  L'adresse privée Object Storage fournit un accès sécurisé à Object Storage à partir de vos réseaux cloud virtuels OCI ou de vos réseaux sur site. L'adresse privée est une carte d'interface réseau virtuelle avec une adresse IP privée dans le sous-réseau de votre choix au sein de VNC. Cette méthode constitue une alternative à l'utilisation d'une passerelle de service à l'aide d'adresses IP publiques associées aux services OCI.

• Résolveurs DNS privés

  Un résolveur DNS privé répond aux requêtes DNS pour un VCN. Un résolveur privé peut être configuré pour utiliser des vues et des zones, ainsi que des règles de transmission conditionnelles afin de définir la manière de répondre aux requêtes DNS.

• Adresse d'écoute

  Une adresse d'écoute reçoit des requêtes provenant du VCN ou d'autres résolveurs VCN, du DNS d'autres fournisseurs de services cloud (tels qu'AWS, GCP ou Azure) ou du DNS de votre réseau sur site. Une fois l'adresse d'écoute créée, aucune configuration supplémentaire n'est nécessaire.

Recommandations

Utilisez les recommandations suivantes lors de la conception de votre réseau pour sauvegarder les données Oracle Exadata Database Service on Cloud@Customer vers OCI Object Storage via une adresse privée. Vos exigences peuvent différer de l'architecture décrite ici.

• VCN

  Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher aux sous-réseaux dans le VCN. Utilisez des blocs CIDR qui se trouvent dans l'espace d'adressage IP privé standard.

  Sélectionnez des blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données sur site ou un autre fournisseur cloud) sur lequel vous prévoyez de configurer des connexions privées.

  Après avoir créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.

  Lorsque vous concevez les sous-réseaux, tenez compte de vos exigences en matière de flux de trafic et de sécurité. Associez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, ce qui peut servir de limite de sécurité.

• Stratégies et sources réseau IAM

  La création d'une adresse privée dans un VCN et son association à un bucket ne limitent pas l'accès au bucket à partir d'Internet ou d'autres sources réseau. Vous devez définir des règles à l'aide de stratégies IAM sur le bucket. Les demandes ne sont donc autorisées que si elles proviennent d'un VCN spécifique ou d'un bloc CIDR au sein de ce VCN. Tous les autres accès, y compris sur Internet, sont bloqués à ces buckets.

• Sécurité

  Affectez un groupe de sécurité réseau à l'adresse d'écoute OCI et configurez le groupe de sécurité en suivant une posture de sécurité refusée, autorisant uniquement l'adresse IP DNS sur site sur le port UDP:53. L'adresse privée Object Storage peut être configurée pour restreindre l'accès à des compartiments et buckets spécifiques.

• Haute disponibilité

  Cette architecture présente une conception simplifiée. Dans un déploiement de production, assurez-vous que votre conception respecte les meilleures pratiques en matière de haute disponibilité.

Deploy

Pour configurer la communication réseau et la résolution DNS d'un système sur site vers OCI dans le diagramme d'architecture ci-dessus, procédez comme suit.

Configuration réseau

1. Création d'un réseau cloud virtuel.
2. Créez un sous-réseau privé pour l'adresse privée Object Storage.
3. Déployez l'adresse privée Object Storage.
4. Créez un sous-réseau privé pour l'adresse DNS.
5. Créez une passerelle de routage dynamique.
6. Attachez le VCN au DRG.
7. Créez un FastConnect avec un circuit virtuel privé pour vous connecter à l'environnement sur site et l'attacher au DRG.

Configuration du DNS

1. Créez une adresse d'écoute dans le résolveur DNS VCN, déployez-la dans le sous-réseau DNS.
2. Dans la liste Sécurité du sous-réseau DNS, autorisez UDP:53 avec l'adresse IP source pour le serveur DNS sur site.
3. Créez des règles de transfert DNS dans le serveur DNS sur site. Configurez les règles à partir du tableau ci-dessous.

   Nom* de domaine	Adresse IP de destination:Port
   objectstorage. <oci-region-identifier>.oci.customer-oci.com	Adresse IP d'adresse d'écoute OCI. Port 53
   swiftobjectstorage. <oci-region-identifier>.oci.customer-oci.com	Adresse IP d'adresse d'écoute OCI. Port 53

   *Reportez-vous à Régions et domaines de sécurité pour obtenir les dernières informations sur les régions et les domaines de sécurité.

En savoir plus

Consultez ces ressources supplémentaires pour en savoir plus sur les fonctionnalités de cette architecture de référence.

• Adresses privées dans Object Storage
• Documentation d'Oracle Exadata Database Service on Cloud@Customer
• Documentation d'Oracle Cloud Infrastructure
• Structure bien conçue pour Oracle Cloud Infrastructure
• Estimateur de coût Oracle Cloud
• Structure d'adoption du cloud

Accusés de réception

• Auteurs : Ricardo Anda, Ejaz Akram