1. Ridimensiona automaticamente le istanze di Oracle Container
  2. Ridimensiona automaticamente Oracle Cloud Infrastructure Container Instances

Ridimensiona automaticamente Oracle Cloud Infrastructure Container Instances

Le applicazioni distribuite utilizzando i container devono essere ridimensionate in base alla richiesta. Ad esempio, un'applicazione di iscrizione studente deve eseguire lo scale up all'avvio di un semestre, ma poi lo scale down una volta completato il semestre. Oracle Cloud Infrastructure Container Instances può ospitare le applicazioni gestite in container e quindi ridimensionarle automaticamente in base alle esigenze.

Le istanze di OCI Container ti consentono di eseguire facilmente le applicazioni su una computazione serverless ottimizzata per i container. Inoltre, puoi avviare facilmente uno o più container con la flessibilità di specificare la forma di computazione, l'allocazione delle risorse, il networking e altre configurazioni facoltative.

Utilizzare questa architettura di riferimento per ridimensionare automaticamente le istanze contenitore OCI in base all'utilizzo delle risorse.

Architettura

Questa architettura utilizza una combinazione di servizi di notifica Oracle, allarmi e funzioni Oracle per ridimensionare automaticamente le istanze contenitore OCI.

Il diagramma riportato di seguito illustra questa architettura di riferimento.


Descrizione di autoscaling-container-instances-diagram.png
Descrizione dell'illustrazione autoscaling-container-instances-diagram.png

autoscaling-container-instances-diagram-oracle.zip

L'architettura è dotata dei componenti elencati di seguito.

  • Tenancy

    Una tenancy è una partizione sicura e isolata che Oracle imposta all'interno di Oracle Cloud quando ti iscrivi a Oracle Cloud Infrastructure. Puoi creare, organizzare e amministrare le tue risorse in Oracle Cloud all'interno della tua tenancy. Una tenancy è sinonimo di azienda o organizzazione. In genere, un'azienda avrà una singola tenancy e ne rifletterà la struttura organizzativa all'interno di tale tenancy. Una singola tenancy in genere è associata a una singola sottoscrizione e una singola sottoscrizione in genere ha una sola tenancy.

  • Area

    Un'area Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, definiti domini di disponibilità. Le regioni sono indipendenti da altre regioni e grandi distanze possono separarle (in tutti i paesi o anche in continenti).

  • Compartimento

    I compartimenti sono partizioni logiche tra più aree all'interno di una tenancy di Oracle Cloud Infrastructure. Usare i compartimenti per organizzare le risorse in Oracle Cloud, controllare l'accesso alle risorse e impostare le quote di utilizzo. Per controllare l'accesso alle risorse in un determinato compartimento, definisci i criteri che specificano chi può accedere alle risorse e quali azioni può eseguire.

  • Domini di disponibilità

    I domini di disponibilità sono data center standalone indipendenti all'interno di un'area geografica. Le risorse fisiche in ciascun dominio di disponibilità sono isolate dalle risorse presenti negli altri domini di disponibilità, che offrono tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio alimentazione o raffreddamento o la rete interna del dominio di disponibilità. È pertanto improbabile che l'eventuale guasto di un dominio di disponibilità influenzi gli altri domini di disponibilità nell'area.

  • domini di errore

    Un dominio di errore è un gruppo di hardware e infrastruttura all'interno di un dominio di disponibilità. Ogni dominio di disponibilità dispone di tre domini di errore con alimentazione e hardware indipendenti. Quando distribuisci risorse su più domini di errore, le tue applicazioni possono tollerare errori fisici del server, manutenzione del sistema e errori di alimentazione all'interno di un dominio di errore.

  • Rete cloud virtuale (VCN) e subnet

    Una VCN è una rete personalizzabile e definita dal software configurata in un'area Oracle Cloud Infrastructure. Analogamente alle reti di data center tradizionali, i VCN offrono il controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che puoi modificare dopo aver creato la VCN. Puoi segmentare una VCN nelle subnet che possono essere definite nell'area o in un dominio di disponibilità. Ogni subnet è composta da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. Puoi modificare le dimensioni di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

  • Lista di sicurezza

    Per ogni subnet, puoi creare regole di sicurezza che specifichino l'origine, la destinazione e il tipo di traffico che deve essere consentito all'interno e all'esterno della subnet.

  • Gateway NAT (Network Address Translation)

    Un gateway NAT consente alle risorse private di una VCN di accedere agli host su Internet, senza esporre tali risorse alle connessioni a Internet in entrata.

  • Gateway del servizio

    Il gateway di servizi fornisce l'accesso da una VCN ad altri servizi, come Oracle Cloud Infrastructure Object Storage. Il traffico dalla VCN al servizio Oracle viaggia sulla struttura di rete Oracle e non attraversa mai Internet.

  • Gateway Internet

    Il gateway Internet consente il traffico tra le subnet pubbliche in una rete VCN e la rete Internet pubblica.

  • Cloud Guard

    Puoi utilizzare Oracle Cloud Guard per monitorare e mantenere la sicurezza delle tue risorse in Oracle Cloud Infrastructure. Cloud Guard utilizza ricette dei rilevatori che puoi definire per esaminare le tue risorse ai fini di individuare punti deboli della sicurezza e per monitorare operatori e utenti per individuare attività a rischio. Quando viene rilevata un'attività di configurazione errata o non sicura, Cloud Guard consiglia azioni correttive e assiste l'esecuzione di tali azioni in base alle ricette del risponditore che è possibile definire.

  • Load balancer

    Il servizio Oracle Cloud Infrastructure Load Balancing offre la distribuzione automatica del traffico da un unico punto di accesso a più server nel back-end.

  • Zona di sicurezza

    Le zone di sicurezza garantiscono innanzitutto le procedure ottimali di sicurezza di Oracle applicando criteri quali la cifratura dei dati e la prevenzione dell'accesso pubblico alle reti per un intero compartimento. Una zona di sicurezza è associata a un compartimento con lo stesso nome e include criteri della zona di sicurezza o una "ricetta" valida per il compartimento e i relativi compartimenti secondari. Non è possibile aggiungere o spostare un compartimento standard in un compartimento della zona di sicurezza.

  • Registro

    Oracle Cloud Infrastructure Registry è un registro gestito da Oracle che consente di semplificare il flusso di lavoro dallo sviluppo alla produzione. Il registro semplifica la memorizzazione, la condivisione e la gestione degli artifact di sviluppo, ad esempio le immagini Docker. L'architettura altamente disponibile e scalabile di Oracle Cloud Infrastructure assicura che tu possa distribuire e gestire le tue applicazioni in modo affidabile.

  • Log
    Logging è un servizio altamente scalabile e completamente gestito che fornisce l'accesso ai seguenti tipi di log delle risorse nel cloud:
    • Log di audit: log correlati agli eventi emessi dal servizio di audit.
    • Log dei servizi: log emessi da singoli servizi quali gateway API, eventi, funzioni, bilanciamento del carico, storage degli oggetti e log di flusso VCN.
    • Log personalizzati: log che contengono informazioni di diagnostica da applicazioni personalizzate, altri provider cloud o da un ambiente on premise.
  • Criterio

    Un criterio di Oracle Cloud Infrastructure Identity and Access Management specifica chi può accedere a quali risorse e come. L'accesso viene concesso a livello di gruppo e compartimento. Ciò significa che puoi scrivere un criterio che concede a un gruppo un tipo specifico di accesso all'interno di un compartimento specifico o alla tenancy.

  • Volteggio

    Oracle Cloud Infrastructure Vault consente di gestire centralmente le chiavi di cifratura che proteggono i dati e le credenziali segrete utilizzate per proteggere l'accesso alle risorse nel cloud. Puoi utilizzare il servizio Vault per creare e gestire i vault, le chiavi e i segreti.

Suggerimenti

Utilizzare i seguenti suggerimenti come punto di partenza per creare un ambiente sicuro e affidabile. I requisiti potrebbero essere diversi dall'architettura descritta qui.
  • VCN

    Quando crei una rete VCN, determina il numero di blocchi CIDR necessari e la dimensione di ogni blocco in base al numero di risorse che intendi collegare alle subnet nella VCN. Usa blocchi CIDR che si trovano nello spazio di indirizzi IP privati standard.

    Selezionare i blocchi CIDR che non si sovrappongono ad altre reti (in Oracle Cloud Infrastructure, nel data center on premise o in un altro provider cloud) a cui si intende impostare connessioni private.

    Dopo aver creato una VCN, puoi modificarne, aggiungere e rimuovere i blocchi CIDR.

    Quando si progettano le subnet, tenere in considerazione il flusso di traffico e i requisiti di sicurezza. Collegare tutte le risorse all'interno di un livello o ruolo specifico alla stessa subnet, che può essere utilizzata come limite di sicurezza.

  • Cloud Guard

    Duplicare e personalizzare le ricette predefinite fornite da Oracle per creare ricette personalizzate di rilevatori e rispondenti. Queste ricette consentono di specificare il tipo di violazione della sicurezza che genera un'avvertenza e quali azioni possono essere eseguite su di esse. Ad esempio, potresti voler rilevare i bucket di storage degli oggetti che hanno visibilità impostata sul pubblico.

    Applica Cloud Guard a livello di tenancy per coprire l'ambito più ampio e ridurre l'onere amministrativo derivante dalla gestione di più configurazioni.

    È inoltre possibile utilizzare la funzione Lista gestita per applicare determinate configurazioni ai rilevatori.

  • Zone di sicurezza

    Per le risorse che richiedono una maggiore sicurezza, Oracle consiglia di utilizzare le zone di sicurezza. Una zona di sicurezza è un compartimento associato a una ricetta dei criteri di sicurezza definita da Oracle basata sulle migliori prassi. Ad esempio, le risorse in una zona di sicurezza non devono essere accessibili dalla rete Internet pubblica e devono essere cifrate utilizzando chiavi gestite dal cliente. Quando crei e aggiorni le risorse in una zona di sicurezza, Oracle Cloud Infrastructure convalida le operazioni nei criteri della ricetta della zona di sicurezza e nega le operazioni che violano uno qualsiasi dei criteri.

  • Gruppi di sicurezza di rete (NSG)

    Puoi utilizzare i gruppi NSG per definire un set di regole di entrata e uscita valide per VNIC specifiche. È consigliabile utilizzare i gruppi NSG anziché le liste di sicurezza, perché i gruppi NSG consentono di separare l'architettura della subnet della VCN dai requisiti di sicurezza dell'applicazione.

Considerazioni

Quando si distribuisce questa architettura di riferimento, tenere presente quanto riportato di seguito.

  • Prestazioni

    Questa soluzione è più rapida della creazione di una nuova istanza container e dell'aggiunta al set backend nella funzione stessa, poiché non è necessario attendere che l'istanza contenitore crei una chiamata API per restituire l'indirizzo IP dell'istanza container da aggiungere al set backend del load balancer. Oracle Cloud Infrastructure Functions ha un limite di esecuzione di cinque minuti per ogni chiamata.

  • Sicurezza

    Assicurarsi di posizionare tutte le istanze di container in una subnet privata e solo il load balancer pubblico nella subnet pubblica.

  • Scalabilità

    Assicurati di impostare il numero minimo e massimo di istanze di container. Esegui test accurati sulla soluzione per ridimensionare un numero elevato di istanze.

  • Costo

    L'utilizzo di Oracle Cloud Infrastructure Registry è gratuito. L'istanza del container comporta un costo, ma la funzione prevede un costo solo per il periodo di tempo in cui è in esecuzione.

Distribuisci

Segui questi passi di alto livello per ridimensionare automaticamente le istanze dei container.

  1. Creare uno stack su Oracle Cloud Infrastructure Resource Manager per creare istanze di container, creare un load balancer e aggiungere le istanze di container al set backend del load balancer utilizzando l'IP dell'istanza di container.
  2. Creare lo stack in modo che richieda i seguenti parametri:
    • Compartment_OCID
    • Region
    • Tenancy_OCID
    • Container_Instances_Count
    • Is_Public_IP_Assigned
    • Container_instance_registry_secret
    • Container_Instance_Image_URL
    • Private_Subnet_OCID
    • Public_Subnet_OCID
  3. Creare una funzione Oracle che legga Container_Instance_Count dallo stack di Resource Manager sopra riportato e lo aggiorna in base alla chiamata di scale up o scale down richiesta delle istanze del contenitore.
  4. Una volta aggiornato Container_Instance_Count nella funzione Oracle, applicare lo stack Terraform in Resource Manager con l'aggiornamento di Container_Instance_Count, quindi uscire dalla funzione.
    Lo stack di Resource Manager si occupa dell'aggiunta o della chiusura dell'istanza del contenitore OCI in base alla chiamata, nonché della relativa aggiunta o rimozione dal set backend di load balancer.
  5. Aggiungere le configurazioni seguenti alla funzione Oracle:
    • Min_Container_Instance
    • Max_Container_Instance
    • Compartment_ID
    • Resource_Manager_Stack_ID
  6. Eseguire il PUSH dell'immagine della funzione Oracle appena creata su Oracle Cloud Infrastructure Registry (OCIR).
  7. Creare un argomento nei servizi di notifica e assegnare un nome appropriato.
  8. Creare una sottoscrizione sotto l'argomento creato e selezionare la funzione come protocollo.

    Nota:

    Selezionare la funzione creata selezionando il compartimento e l'applicazione corretti.
  9. Creare una definizione di allarme nello spazio di nomi oci_computecontainerinstance.
    1. Selezionare CPU_utilization o Mem_Utilization come metrica.
    2. Selezionare il nome dell'istanza contenitore come dimensione.
    3. Impostare la soglia richiesta per l'allarme su Fire.
  10. Eseguire il test di questa architettura di ridimensionamento automatico per eseguire lo scale-up e lo scale-down delle istanze contenitore OCI.

Visualizza altro

Ulteriori informazioni sulle istanze contenitore OCI.

Esaminare le risorse aggiuntive riportate di seguito.

Conferme

Authors: Christophe Pruvost, Karthic Ravindran, Chandrashekar Avadhani

Contributors: John Sulyok