Comprendere i principi di progettazione

Utilizza i principi di progettazione per la sicurezza, la modularità e la distribuzione, descritti qui per garantire un'implementazione ottimale della zona di destinazione di base Enterprise.

Assegna priorità alla sicurezza

La sicurezza prima di tutto! Le zone di destinazione seguono i principi Oracle Cloud in termini di sicurezza, il che significa che la sicurezza è la massima priorità in ogni progetto prodotto. Oracle non comprometterà la sicurezza poiché è l'aspetto più fondamentale e cruciale della progettazione di un'architettura scalabile e ripetibile all'interno di una zona di arrivo e, in quanto tale, consentirà di applicare la sicurezza nel maggior numero di modi possibile all'interno di ciascuna zona di destinazione, tramite l'uso di soluzioni cloud native OCI nell'architettura.

Comprendere i moduli delle zone di destinazione

La zona di destinazione di base su scala aziendale è composta da più moduli Terraform. Ciascun modulo è scritto per funzionare insieme in uno stack.

Modulo	Descrizione
Compartimenti	Contiene i moduli secondari per la creazione della struttura del compartimento per la zona di destinazione della baseline su scala aziendale. Tali compartimenti includono il compartimento e i compartimenti padre per motivi di sicurezza, networking e carichi di lavoro.
Budget	Genera un allarme budget a livello di compartimento in base a una soglia definita dall'utente. Il budget è valido per tutti gli elementi che risiedono nel compartimento padre. Questo modulo è facoltativo.
Rete cloud virtuale (VCN)	Crea e configura tutte le risorse correlate alla rete, inclusi una VCN, subnet, gateway, liste di sicurezza e regole di instradamento. Questo modulo configura anche gateway di instradamento dinamico (DRG) facoltativi utilizzando la VPN da sito a sito o FastConnect.
Gestione delle identità e degli accessi (IAM)	Crea quasi tutti i criteri e i gruppi necessari. Un modulo secondario crea account per l'accesso di emergenza, chiamato break-glass users.In in alcuni casi, se le autorizzazioni sono correlate a una funzione specifica, è possibile creare un criterio IAM in un modulo diverso. Ad esempio, se si utilizza Cloud Guard, i criteri IAM correlati vengono creati nel modulo secondario Cloud Guard.
Sicurezza	Implementa i log di flusso VCN, Cloud Guard, i log di audit e il servizio Bastion.

Usa modifiche non in corso

La Enterprise Scale Baseline Landing Zone fornisce aggiornamenti nel tempo, correlati a correzioni di bug e release delle funzioni per garantire che il valore venga aggiunto continuamente alle distribuzioni dei clienti. Per garantire che questi aggiornamenti non implichino interruzioni del funzionamento, il processo di rilascio delle zone di destinazione è agile e, al momento del rilascio degli aggiornamenti, non causerà interruzioni delle distribuzioni nuove o esistenti.

Usa espansione carico di lavoro

L'espansione del carico di lavoro è uno stack aggiuntivo che contiene tutta la configurazione necessaria per preparare la zona di arrivo per una distribuzione del carico di lavoro. Ciò significa che una volta distribuito lo stack Enterprise Baseline Landing Zone, sarà possibile distribuire questa espansione sopra la baseline per consentire la migrazione del carico di lavoro quando si è pronti.

Lo stack di espansione è stackable che significa che una volta distribuito il primo carico di lavoro, è possibile rieseguire lo stack per consentire di distribuire carichi di lavoro aggiuntivi nella zona di destinazione.

È inoltre possibile accedere direttamente al repository GitHub e accedere al codice per l'area di destinazione di Enterprise Scale Baseline (consultare l'articolo Distribuisci, altrove in questo playbook).

Compartimenti dell'architettura di espansione del carico di lavoro

L'espansione del carico di lavoro crea compartimenti del carico di lavoro separati ogni volta che esegui lo stack, consentendo di segmentare i carichi di lavoro in base al reparto, al team e così via. Ogni compartimento viene creato all'interno del compartimento Applicazioni già distribuito dalla baseline.

Descrizione dell'illustrazione elz-we-compartment.png

elz-we-compartment-oracle.zip

Rete

Inoltre, l'espansione dei carichi di lavoro esegue il provisioning di subnet private aggiuntive in modo da poter isolare in modo sicuro i carichi di lavoro l'una dall'altra.

Descrizione dell'illustrazione elz-we-vcn.png

elz-we-vcn-oracle.zip

Identità

L'espansione del carico di lavoro esegue il provisioning di un Workload-Admin con le autorizzazioni per gestire le risorse nel compartimento e di un utente di storage del carico di lavoro per utilizzare le istanze create all'interno del compartimento.

Descrizione dell'illustrazione elz-we-iam.png

elz-we-iam-oracle.zip

Migrazione dei carichi di lavoro (Chiama ad azione)

Una volta completati i passi per la distribuzione, è ora possibile pianificare la migrazione di carichi di lavoro nella zona di destinazione, assicurandoti di aver creato una base solida e sicura per iniziare il percorso OCI.