Distribuisci una soluzione di disaster recovery per un gateway API Oracle Cloud Infrastructure

Oracle Cloud Infrastructure API Gateway è disponibile in un'area OCI governata dagli SLA (Service-Level Agreement). Questa architettura di riferimento descrive in dettaglio l'architettura alla base dell'implementazione di una soluzione di disaster recovery gestita dal cliente e tra più aree per OCI API Gateway.

Questa soluzione di disaster recovery supporta:

• Topologie "Attivo-passivo", in cui un solo gateway elabora l'intero carico anche se entrambi i gateway sono previsti per essere attivi e in esecuzione. Un gateway attivo non è determinato dal suo stato (Attivo/Eliminato/Aggiornamento), ma dal gateway a cui il traffico è diretto ed è abilitato per eseguire tutte le funzioni.
• Replica gestita dal cliente delle categorie Gateway API OCI, ad esempio distribuzioni API, piani di utilizzo e sottoscrittori API.

Se sia il gateway API OCI primario che quello secondario utilizzano le stesse categorie API e gli stessi provider di autorizzazione, dopo lo switchover, puoi accedere alle API nello stesso modo in tutte le aree.

Operazioni preliminari

Prima di iniziare a configurare la configurazione di disaster recovery per le integrazioni, è necessario effettuare le operazioni riportate di seguito.

• Eseguire il provisioning di un secondo gateway API OCI in un'altra area OCI.
• Ottenere un nome DNS/host personalizzato (in un dominio di tua scelta) e un certificato SSL associato.

Architettura

Questa architettura di riferimento per OCI API Gateway è costituita da due OCI API Gateway in due diverse cloud region, alle quali si accede utilizzando un singolo endpoint personalizzato (URL). Per implementare un singolo endpoint personalizzato, è possibile utilizzare una zona DNS (Domain Name System) OCI per risolvere il nome dell'endpoint personalizzato.

È possibile utilizzare questi URL personalizzati come punto di accesso ai gateway API OCI, ad esempio api.mycompany.com. Per ulteriori informazioni sulla configurazione degli endpoint personalizzati, vedere "Gestione delle zone di servizio DNS", a cui è possibile accedere da "Esplora altro", di seguito.

I due gateway API OCI nell'architettura sono designati come primario e secondario ed entrambi i gateway vengono eseguiti contemporaneamente; tuttavia, solo uno dei gateway riceve traffico. Inizialmente, il gateway primario riceve il flusso di traffico. Se l'area primaria diventa non disponibile, il record DNS può essere aggiornato per instradare il traffico verso l'area secondaria.

Il diagramma riportato di seguito illustra questa architettura di riferimento per un gateway pubblico (modello di zona di destinazione per OCI API Gateway):

Descrizione dell'immagine apigw-oci-customer-managed-dr-topology.png

apigw-oci-customer-managed-dr-topology-oracle.zip

Queste architetture presentano i componenti elencati di seguito.

• Tenancy

  Una tenancy è una partizione sicura e isolata che Oracle imposta all'interno di Oracle Cloud quando ti iscrivi a Oracle Cloud Infrastructure. È possibile creare, organizzare e amministrare le risorse in Oracle Cloud all'interno della tenancy. Una tenancy è sinonimo di azienda o organizzazione. In genere, un'azienda avrà una singola tenancy e rifletterà la propria struttura organizzativa all'interno di tale tenancy. Una singola tenancy viene in genere associata a una singola sottoscrizione e una singola sottoscrizione di solito ha una sola tenancy.

• Area

  Un'area geografica Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e grandi distanze possono separarle (tra paesi o addirittura continenti).

• Compartimento

  I compartimenti sono partizioni logiche tra più aree all'interno di una tenancy Oracle Cloud Infrastructure. Usare i compartimenti per organizzare, controllare l'accesso e impostare le quote d'uso per le risorse Oracle Cloud. In un determinato compartimento, si definiscono i criteri che controllano l'accesso e impostano i privilegi per le risorse.

• Dominio di disponibilità

  I domini di disponibilità sono data center standalone e indipendenti all'interno di un'area geografica. Le risorse fisiche in ciascun dominio di disponibilità sono isolate dalle risorse negli altri domini di disponibilità, il che fornisce tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio alimentazione o raffreddamento, o la rete interna del dominio di disponibilità. Pertanto, un errore in un dominio di disponibilità non dovrebbe influire sugli altri domini di disponibilità nell'area.

• Rete cloud virtuale (VCN) e subnet

  Una VCN è una rete personalizzabile e definita dal software configurata in un'area Oracle Cloud Infrastructure. Come le tradizionali reti di data center, le reti VCN consentono di controllare l'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi segmentare una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. È possibile modificare le dimensioni di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

• Tabella di instradamento

  Le tabelle di instradamento virtuali contengono regole per instradare il traffico dalle subnet alle destinazioni esterne a una VCN, in genere attraverso i gateway.

• Lista di sicurezza

  Per ogni subnet, puoi creare regole di sicurezza che specificano l'origine, la destinazione e il tipo di traffico che devono essere consentiti all'interno e all'esterno della subnet.

• Servizio Oracle Cloud Infrastructure DNS

  Le zone DNS pubbliche contengono i record DNS autorevoli che risiedono nei name server di OCI. È possibile creare zone pubbliche con nomi di dominio disponibili pubblicamente raggiungibili su Internet. Per ulteriori informazioni, vedere "Panoramica del DNS", a cui è possibile accedere da "Esplora di più", di seguito..

• Gateway Internet

  Il gateway Internet consente il traffico tra le subnet pubbliche in una VCN e la rete Internet pubblica.

• Oracle Cloud Infrastructure Web Application Firewall (WAF)

  I WAF proteggono le applicazioni dal traffico Internet dannoso e indesiderato con un servizio web application firewall globale basato su cloud e conforme agli standard PCI. Combinando l'intelligence sulle minacce con un'applicazione coerente delle regole su OCI Flexible Network Load Balancer, Oracle Cloud Infrastructure Web Application Firewall rafforza le difese e protegge gli application server e le applicazioni interne che si interfacciano con Internet. (Questo componente è facoltativo)

• Load balancer flessibile

  Un load balancer migliora l'utilizzo delle risorse indirizzando le richieste tra i servizi applicazione che operano in parallelo. Con l'aumento della domanda, è possibile aumentare il numero di servizi applicativi e il load balancer li utilizzerà per bilanciare l'elaborazione delle richieste. (Questo componente è facoltativo)

• Servizio bastion

  Oracle Cloud Infrastructure Bastion offre un accesso sicuro limitato e limitato nel tempo alle risorse che non dispongono di endpoint pubblici e che richiedono severi controlli di accesso alle risorse, come bare metal e virtual machine, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) e qualsiasi altra risorsa che consente l'accesso al protocollo SSH (Secure Shell Protocol). Con il servizio OCI Bastion, puoi abilitare l'accesso agli host privati senza distribuire e gestire un jump host. Inoltre, è possibile migliorare le impostazioni di sicurezza con autorizzazioni basate sull'identità e una sessione SSH centralizzata, controllata e con limiti di tempo. OCI Bastion elimina la necessità di un IP pubblico per l'accesso bastion, eliminando la seccatura e la potenziale superficie di attacco quando si fornisce l'accesso remoto.

• Gateway API

  Oracle Cloud Infrastructure API Gateway ti consente di pubblicare le API con endpoint privati accessibili dall'interno della tua rete e che, se necessario, puoi esporre alla rete Internet pubblica. Gli endpoint supportano la convalida delle API, la trasformazione delle richieste e delle risposte, il CORS, l'autenticazione e l'autorizzazione e la limitazione delle richieste.

• Analitica

  Oracle Analytics Cloud è un servizio di cloud pubblico scalabile e sicuro che offre agli analisti aziendali moderne funzionalità di analitica self-service basate sull'intelligenza artificiale per la preparazione, la visualizzazione dei dati, il reporting aziendale, l'analisi migliorata e l'elaborazione e la generazione del linguaggio naturale. Oracle Analytics Cloud ti offre anche funzionalità di gestione dei servizi flessibili, tra cui configurazione rapida, facile scalabilità e applicazione di patch e gestione automatizzata del ciclo di vita.

• Identity and Access Management (IAM)

  Oracle Cloud Infrastructure Identity and Access Management (IAM) è il piano di controllo dell'accesso per Oracle Cloud Infrastructure (OCI) e Oracle Cloud Applications. L'API IAM e l'interfaccia utente consentono di gestire i domini di Identity e le risorse all'interno del dominio di Identity. Ogni dominio di Identity IAM OCI rappresenta una soluzione standalone per la gestione delle identità e degli accessi o una popolazione di utenti diversa.

• Dominio di Identity (IDom)

  IAM utilizza i domini di Identity (IDom) per fornire funzioni di gestione degli accessi e delle identità, come autenticazione, Single Sign-On (SSO) e gestione del ciclo di vita delle identità per Oracle Cloud nonché per applicazioni Oracle e non Oracle, su SaaS, in hosting sul cloud o in locale.

• Criterio

  Un criterio di Oracle Cloud Infrastructure Identity and Access Management specifica chi può accedere a quali risorse e come. L'accesso viene concesso a livello di gruppo e compartimento. Ciò significa che è possibile scrivere un criterio che assegna a un gruppo un tipo specifico di accesso all'interno di un compartimento specifico o nella tenancy.

• Audit

  Il servizio Oracle Cloud Infrastructure Audit registra automaticamente le chiamate a tutti gli endpoint API (Application Programming Interface) pubblici Oracle Cloud Infrastructure supportati come eventi di log. Tutti i servizi OCI supportano la registrazione da parte di Oracle Cloud Infrastructure Audit.

• Log
  Logging è un servizio altamente scalabile e completamente gestito che fornisce l'accesso ai seguenti tipi di log dalle risorse nel cloud:

  • Log di audit: log correlati agli eventi emessi dal servizio di audit.
  • Log dei servizi: log emessi da singoli servizi, quali gateway API, eventi, funzioni, bilanciamento del carico, storage degli oggetti e log di flusso della VCN.
  • Log personalizzati: log che contengono informazioni di diagnostica da applicazioni personalizzate, altri provider cloud o un ambiente on premise.
• Analisi di log

  Logging Analytics è un servizio cloud basato sul machine learning che monitora, aggrega, indicizza e analizza tutti i dati di log da ambienti on-premise e multicloud. Consentire agli utenti di cercare, esplorare e mettere in correlazione questi dati per risolvere e risolvere i problemi più rapidamente e ricavare insight per prendere decisioni operative migliori.

Suggerimenti

Utilizzare i seguenti suggerimenti come punto di partenza per la distribuzione di una soluzione di disaster recovery per un gateway API OCI. Le vostre esigenze potrebbero differire dall'architettura descritta qui.

• VCN

  Quando crei una VCN, determina il numero di blocchi CIDR necessari e la dimensione di ciascun blocco in base al numero di risorse che intendi collegare alle subnet nella VCN. Utilizzare i blocchi CIDR all'interno dello spazio di indirizzi IP privati standard.

  Selezionare i blocchi CIDR che non si sovrappongono a qualsiasi altra rete (in Oracle Cloud Infrastructure, nel data center on premise o in un altro provider cloud) a cui si intende impostare connessioni private.

  Dopo aver creato una VCN, puoi modificarne, aggiungerne e rimuoverne i blocchi CIDR.

  Quando si progettano le subnet, considerare il flusso di traffico e i requisiti di sicurezza. Collega tutte le risorse all'interno di un livello o ruolo specifico alla stessa subnet, che può fungere da limite di sicurezza.

  Utilizzare le subnet regionali.

• Connettività (gateway API privato)

  Quando distribuisci risorse in OCI, potresti iniziare in piccolo, con una singola connessione alla tua rete on-premise. Questa singola connessione potrebbe essere tramite OCI FastConnect o tramite IPSec VPN. Per pianificare la ridondanza, prendi in considerazione tutti i componenti (dispositivi hardware, strutture, circuiti e alimentazione) tra la tua rete on premise e OCI. Inoltre, considera la diversità per garantire che le strutture non siano condivise tra i percorsi.

Considerazioni

Quando si distribuisce una soluzione di disaster recovery per un gateway API OCI, prendere in considerazione questi fattori.

• Usa una zona di gestione DNS OCI

  Configurare i record DNS per il gateway API OCI. Puoi utilizzare una zona DNS OCI per gestire i record DNS e fornire la risoluzione dei nomi host per i tuoi gateway API OCI.

  Dopo aver acquisito un dominio (o un sottodominio) per i gateway API, aggiungere una zona DNS OCI tramite la console OCI o l'API. Per i dettagli sulla creazione di una zona DNS OCI e sull'aggiunta di un record, vedere "Gestione delle zone dei servizi DNS", a cui è possibile accedere da "Esplora altro", di seguito.

  • Nella zona, aggiungere il nome host personalizzato del gateway API OCI come record CNAME.
  • Dopo aver pubblicato correttamente le modifiche alla zona, aggiornare il dominio in modo che utilizzi i name server DNS OCI.
• Sicurezza

  Utilizza i criteri OCI Identity and Access Management (IAM) per controllare chi può accedere alle risorse cloud e quali operazioni è possibile eseguire. I servizi cloud OCI utilizzano i criteri IAM, ad esempio consentendo al gateway API OCI di richiamare le funzioni. Il gateway API OCI può anche controllare l'accesso utilizzando l'autenticazione e l'autorizzazione OAuth. IAM consente l'autenticazione e l'autorizzazione federabili tramite IAM. Di conseguenza, il gateway API OCI è in grado di eseguire l'autenticazione su una vasta gamma di servizi e impostazioni di autenticazione.

• Prestazioni e costi

  OCI API Gateway supporta l'inserimento delle risposte nella cache mediante l'integrazione con un server cache esterno (ad esempio un server Redis o KeyDB), che consente di evitare il caricamento non necessario sui servizi backend. Quando le risposte vengono inserite nella cache, se vengono ricevute richieste simili, possono essere completate recuperando i dati da una cache delle risposte anziché inviando la richiesta al servizio backend. Ciò consente di ridurre il carico sui servizi backend e di migliorare le prestazioni e ridurre i costi. OCI API Gateway inserisce nella cache anche i token di autorizzazione (in base al tempo impiegato per lasciare TTL), riducendo il carico sul provider di identità e migliorando le prestazioni.

• Disponibilità

  Prendi in considerazione l'utilizzo di un'opzione ad alta disponibilità in base ai requisiti di distribuzione e alla tua regione. Le opzioni includono la distribuzione delle risorse tra più domini di disponibilità in un'area e la distribuzione delle risorse tra i domini di errore all'interno di un dominio di disponibilità.

• Monitoraggio e avvisi

  Imposta il monitoraggio e gli avvisi sulle metriche del gateway API.

Distribuire

È possibile distribuire questa architettura di riferimento su Oracle Cloud Infrastructure eseguendo i passi riportati di seguito.

Il codice Terraform oci_apigateway_api è disponibile sul sito GitHub. Vedere "Esplora di più", di seguito, per un link.

1. Accedi alla console di Oracle Cloud Infrastructure con le tue credenziali Oracle Cloud
2. Imposta l'infrastruttura di rete del sito secondaria richiesta come mostrato nel diagramma dell'architettura. Sono inclusi i seguenti componenti: VCN, Subnet, DRG/Internet Gateway (gateway API privato/pubblico), Lista di sicurezza, Tabella di instradamento, Gateway di servizi, FastConnect/VPN e CPE, Zona pubblica DNS
3. Creare un gateway API OCI. Vedere le istruzioni "Creazione di un gateway API" per preparare e creare l'istanza del gateway API OCI. Puoi accedere a questo documento da "Scopri di più", di seguito.
4. Limitare le reti che hanno accesso al gateway API configurando la lista di sicurezza, la tabella di instradamento e i gruppi di sicurezza di rete, se necessario.
5. Automatizza la sincronizzazione della distribuzione. Questo passo garantisce che gli stack per le distribuzioni API, i piani di utilizzo delle API e le sottoscrizioni alle API vengano sincronizzati regolarmente tra l'istanza primaria e quella in standby utilizzando l'integrazione e la distribuzione continue (CI/CD).

   Nota

   Ogni configurazione e modifica a monte delle distribuzioni API delle risorse di gestione API OCI, dei piani di utilizzo delle API e delle sottoscrizioni alle API può essere salvata e gestita come stack Terraform. Lo stack può quindi essere caricato sul lato secondario o applicato a un altro sito utilizzando OCI DevOps.
6. Eseguire i task di failover.
   • Passare all'ambiente di disaster recovery.
   • Passa dall'istanza primaria all'istanza di standby durante le interruzioni aggiornando il record DNS nel provider DNS o nella zona DNS OCI per instradare il traffico al sito secondario tramite il gateway API. Puoi farlo manualmente dalla console OCI o utilizzando l'API REST OCI. Dopo il processo di failover, il gateway API del sito in standby/secondario diventa il gateway API primario e il gateway API precedentemente designato come primario diventa il nuovo gateway API in standby.

Visualizza altro

Ulteriori informazioni sulla distribuzione di una soluzione di disaster recovery per un gateway API OCI.

Esaminare le risorse aggiuntive riportate di seguito.

• Framework ben strutturato per l'infrastruttura Oracle Cloud

• Documentazione di Oracle API Gateway

• Creazione di un gateway API

• Gestione delle API

• Panoramica di DNS

• Gestione delle zone del servizio DNS

• API per il servizio DNS OCI

• Panoramica di FastConnect

• Panoramica sul networking

• Panoramica sulla sicurezza

GitHub Repository:

• oci_apigateway_api

• full-stack-disaster-recovery

conferme

• Autore: Peter Obert
• Collaboratore: Robert Wunderlich