Distribuire un servizio Oracle API Gateway in un ambiente ibrido

Distribuire un servizio Oracle API Gateway in un ambiente ibrido con componenti dell'ambiente API esterni e interni per pubblicare le API con endpoint privati accessibili all'interno della rete e che è possibile esporre con indirizzi IP pubblici se si desidera che accettino il traffico Internet. Gli endpoint supportano la convalida dell'API, la trasformazione di richieste e risposte, CORS, l'autenticazione e l'autorizzazione e la limitazione delle richieste. Il servizio API Gateway consente di creare uno o più gateway API in una subnet regionale per elaborare il traffico dai client API e instradarlo ai servizi backend. Puoi utilizzare un singolo gateway API per collegare più servizi backend (ad esempio load balancer, istanze di computazione e Oracle Functions) a un singolo endpoint API consolidato. Il servizio gateway API è integrato con Oracle Cloud Infrastructure Identity and Access Management, che fornisce un'autenticazione semplice con la funzionalità di identità nativa Oracle Cloud Infrastructure.

Architettura

Questa architettura descrive un data center cliente on premise e un'area Oracle Cloud Infrastructure (OCI) con un compartimento e due domini di disponibilità che utilizzano un server Gateway API per fornire un ambiente di accesso Internet pubblico.

Il data center dei clienti on premise utilizza il gateway API per pianificare, creare, creare prototipi, distribuire e gestire le API in un ambiente sicuro e scalabile. L'ambiente in locale può essere un ambiente API privato o essere parte di un ambiente API pubblico in cui le API possono essere condivise con la rete Internet pubblica.

Il gateway API funge da portale API Designer e da portale Developer. API Designer è il punto in cui i progettisti API creano, eseguono test, distribuiscono e gestiscono le API. Il portale per sviluppatori è il punto in cui i consumer di API possono visualizzare l'API, la documentazione API e provare le API.

Il diagramma riportato di seguito illustra questa architettura di riferimento. Segue la descrizione di api-gateway-hybrid.png
Descrizione dell'illustrazione api-gateway-hybrid.png

L'architettura prevede i componenti elencati di seguito.

Area
Un'area Oracle Cloud Infrastructure è un'area geografica localizzata contenente uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e le grandi distanze possono separarle (tra paesi o addirittura continenti).
Domini di disponibilità
I domini di disponibilità sono data center indipendenti e standalone all'interno di un'area geografica. Le risorse fisiche presenti in ciascun dominio di disponibilità sono isolate dalle risorse presenti negli altri domini di disponibilità, il che garantisce la tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio l'alimentazione o il raffreddamento, né la rete interna del dominio di disponibilità. Pertanto, è improbabile che un errore di un dominio di disponibilità influisca sugli altri domini di disponibilità nell'area.
Domini di errore
Un dominio di errore è un raggruppamento di hardware e infrastruttura all'interno di un dominio di disponibilità. Ogni dominio di disponibilità dispone di tre domini di errore con alimentazione e hardware indipendenti. Quando distribuisci le risorse su più domini di errore, le applicazioni possono tollerare errori del server fisico, manutenzione del sistema e errori di alimentazione all'interno di un dominio di errore.
Rete cloud virtuale (VCN) e subnet
Una VCN è una rete personalizzabile e definita dal software impostata dall'utente in un'area Oracle Cloud Infrastructure. Come le reti di data center tradizionali, le VCN offrono il controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. È possibile segmentare una VCN in subnet, che può essere definita in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono con le altre subnet nella VCN. Puoi modificare la dimensione di una subnet dopo la creazione. Una subnet può essere pubblica o privata.
FastConnect
Oracle Cloud Infrastructure FastConnect offre un modo semplice per creare una connessione dedicata e privata tra il tuo data center e Oracle Cloud Infrastructure. FastConnect fornisce opzioni di larghezza di banda più elevata e un'esperienza di rete più affidabile rispetto alle connessioni basate su Internet.
Oracle Cloud Infrastructure Web Application Firewall (WAF)
Oracle Cloud Infrastructure Web Application Firewall è un servizio di sicurezza globale basato su cloud e conforme alle schede di pagamento (PCI) che protegge le applicazioni dal traffico Internet dannoso e indesiderato. WAF è in grado di proteggere qualsiasi endpoint che si interfaccia con Internet, garantendo un'applicazione coerente delle regole in tutte le applicazioni di un cliente.
Gateway Internet
Il gateway Internet consente il traffico tra le subnet pubbliche in una VCN e la rete Internet pubblica.
Load balancer
Il servizio Oracle Cloud Infrastructure Load Balancing fornisce la distribuzione automatica del traffico da un singolo punto di accesso a più server nel back-end.
Gateway di instradamento dinamico (DRG)
Il gateway DRG è un router virtuale che fornisce un percorso per il traffico di rete privato tra una VCN e una rete esterna all'area geografica, ad esempio una VCN in un'altra area Oracle Cloud Infrastructure, una rete on premise o una rete in un altro provider cloud.
Local Peering Gateway (LPG)
Un GPL consente di creare un peer di una VCN con un'altra VCN nella stessa area. Peering significa che i VCN comunicano utilizzando indirizzi IP privati, senza il traffico che attraversa Internet o il routing attraverso la rete on premise.
Gateway API
Il servizio gateway API consente di pubblicare le API con endpoint privati accessibili dalla rete e che, se necessario, possono essere esposte alla rete Internet pubblica. Gli endpoint supportano la convalida dell'API, la trasformazione di richieste e risposte, CORS, l'autenticazione e l'autorizzazione e la limitazione delle richieste.

Suggerimenti

Utilizzare i suggerimenti riportati di seguito come punto di partenza durante la distribuzione di Oracle API Gateway in un ambiente ibrido. I requisiti potrebbero essere diversi dall'architettura descritta in questa sezione.

VCN
Quando crei una VCN, determina il numero di blocchi CIDR necessari e la dimensione di ogni blocco in base al numero di risorse che intendi collegare alle subnet nella VCN. Utilizzare i blocchi CIDR che si trovano all'interno dello spazio di indirizzi IP privati standard.

Selezionare i blocchi CIDR che non si sovrappongono a qualsiasi altra rete (in Oracle Cloud Infrastructure, il data center on premise o un altro provider cloud) a cui si intende impostare connessioni private.

Dopo aver creato una VCN, è possibile modificare, aggiungere e rimuovere i relativi blocchi CIDR.

Durante la progettazione delle subnet, prendi in considerazione i requisiti di flusso del traffico e sicurezza. Associare tutte le risorse all'interno di un livello o ruolo specifico alla stessa subnet, che può fungere da limite di sicurezza.

Utilizza subnet regionali.
Sicurezza
Utilizza Oracle Cloud Guard per monitorare e gestire in modo proattivo la sicurezza delle tue risorse in Oracle Cloud Infrastructure. Cloud Guard utilizza ricette del rilevatore che è possibile definire per esaminare le risorse per i punti deboli della sicurezza e per monitorare operatori e utenti per le attività a rischio. Quando viene rilevata una configurazione errata o un'attività non sicura, Cloud Guard consiglia azioni correttive e supporta l'esecuzione di tali azioni in base alle ricette dei rispondenti che è possibile definire.

Per le risorse che richiedono la massima sicurezza, Oracle consiglia di utilizzare le zone di sicurezza. Una zona di sicurezza è un compartimento associato a una ricetta definita da Oracle di criteri di sicurezza basati sulle migliori prassi. Ad esempio, le risorse in una zona di sicurezza non devono essere accessibili dalla rete Internet pubblica e devono essere cifrate utilizzando chiavi gestite dal cliente. Quando si creano e si aggiornano le risorse in un'area di sicurezza, Oracle Cloud Infrastructure convalida le operazioni rispetto ai criteri nella ricetta dell'area di sicurezza e nega le operazioni che violano qualsiasi criterio.

Considerazioni

Durante la distribuzione di Oracle API Gateway, tenere presente quanto riportato di seguito.

Prestazioni
Puoi ottimizzare le prestazioni del gateway API utilizzando varie opzioni di configurazione. Ad esempio, le opzioni generali di tuning delle prestazioni includono tracciamento, monitoraggio e registrazione. Le opzioni di tuning delle performance più avanzate includono il pooling del database, il mantenimento in vita del protocollo HTTP, la codifica in chunk, i thread del client e la memoria Java.
Sicurezza
Utilizza i criteri di Oracle Cloud Infrastructure Identity and Access Management per controllare chi può accedere alle tue risorse cloud e quali operazioni possono essere eseguite.

Per proteggere le password o qualsiasi altro segreto, considerare la possibilità di utilizzare il servizio Oracle Cloud Infrastructure Vault.
Disponibilità
Utilizza un'opzione ad alta disponibilità in base ai tuoi requisiti di distribuzione e alla tua area geografica. Le opzioni includono la distribuzione delle risorse tra più domini di disponibilità in un'area e la distribuzione delle risorse nei domini di errore all'interno di un dominio di disponibilità.

I domini di errore forniscono la migliore resilienza per i carichi di lavoro distribuiti in un singolo dominio di disponibilità. Per garantire l'alta disponibilità nel livello applicazione, distribuire gli Application Server in domini di errore diversi e utilizzare un load balancer per distribuire il traffico client tra gli Application Server.

Visualizza altro

Per ulteriori informazioni su Oracle API Gateway, consulta le risorse riportate di seguito.