1. Scopri come progettare una topologia cloud ad alta disponibilità
  2. Pianificare l'alta disponibilità per le risorse di rete

Pianificare l'alta disponibilità per le risorse di rete

Uno dei primi passi nell'utilizzo di Oracle Cloud Infrastructure è l'impostazione di una rete cloud virtuale (VCN) per le risorse cloud. Garantire l'alta disponibilità di questa rete è una delle considerazioni più importanti nella progettazione dell'architettura.

Per pianificare l'alta disponibilità delle risorse di rete, le strategie di progettazione chiave da prendere in considerazione sono:
  • Stabilire la dimensione corretta delle sottoreti di rete.
  • Pianifica le configurazioni High Availability per i seguenti componenti chiave: load balancer, connessioni IPSec VPN e circuiti FastConnect.
Questo articolo descrive queste strategie.

Determinazione della dimensione corretta delle subnet

Una subnet è una suddivisione di una rete cloud. Stabilire l'alta disponibilità della rete richiede il ridimensionamento corretto di questa risorsa.

Ogni subnet di una VCN è composta da un intervallo contiguo di indirizzi IP che non si sovrappongono ad altre subnet nella VCN (ad esempio, 172.16.1.0/24). I primi due indirizzi IP e l'ultimo nel CIDR della subnet sono riservati dal servizio Oracle Cloud Infrastructure Networking. Non puoi modificare le dimensioni della subnet dopo che è stata creata, quindi è importante determinare le dimensioni necessarie prima di creare qualsiasi subnet. Prendi in considerazione la crescita futura dei tuoi carichi di lavoro e lascia sufficiente capacità per soddisfare requisiti di alta disponibilità, ad esempio la necessità di impostare le istanze di computazione in standby.

Pianifica alta disponibilità per i load balancer

Oracle Cloud Infrastructure Load Balancing offre la distribuzione automatica del traffico da un punto di accesso a più server raggiungibili dalla tua VCN. Il servizio offre un load balancer che ti consente di scegliere un indirizzo IP pubblico o privato e larghezza di banda di cui è stato eseguito il provisioning.

Il servizio di bilanciamento del carico migliora l'utilizzo delle risorse, facilita il ridimensionamento e aiuta a garantire l'alta disponibilità. Supporta l'instradamento delle richieste in entrata a vari set backend in base al nome host virtuale, alle regole di instradamento del percorso o a una combinazione di entrambi.

Per accettare il traffico da Internet, crea un load balancer pubblico. Il servizio lo assegna come punto di accesso per il traffico in entrata. Puoi associare l'indirizzo IP pubblico a un nome DNS semplice tramite qualsiasi fornitore di servizi DNS.

Un load balancer pubblico è regionale nell'ambito. È intrinsecamente ad alta disponibilità nei vari domini di disponibilità. In un'area con un singolo dominio di disponibilità, i nodi del load balancer sono distribuiti tra i domini di errore. Per ottenere l'alta disponibilità per i tuoi sistemi, puoi collocare i sistemi dietro un load balancer pubblico. Ad esempio, puoi collocare le VM del server Web sotto forma di set di server backend dietro un load balancer pubblico, come descritto nel diagramma riportato di seguito.


Segue la descrizione di public-lb.png
Descrizione dell'illustrazione public-lb.png

Nota:

L'architettura mostra più domini di disponibilità (AD). Per un'area con un singolo dominio di disponibilità, adegua l'architettura in modo da distribuire le risorse tra i domini di errore all'interno del dominio di disponibilità.

Per isolare il tuo load balancer da Internet e semplificare le tue impostazioni di sicurezza, crea un load balancer privato. Il servizio di bilanciamento del carico lo assegna come indirizzo IP privato, che funge da punto di accesso per il traffico in entrata.

Quando crei un load balancer privato, il servizio richiede solo una subnet che funga da host per i load balancer primari e in standby. Il load balancer può essere regionale o specifico di un dominio di disponibilità, a seconda dell'ambito della relativa subnet host

Segue la descrizione di pvt-lb.png
Descrizione dell'illustrazione pvt-lb.png

Nota:

L'architettura mostra più domini di disponibilità (AD). Per un'area con un singolo dominio di disponibilità, adegua l'architettura in modo da distribuire le risorse tra i domini di errore all'interno del dominio di disponibilità.
Per garantire l'alta disponibilità nei vari domini di disponibilità, puoi configurare più load balancer privati su Oracle Cloud Infrastructure e utilizzare server DNS on premise o privati per impostare una configurazione DNS di instradamento sequenziale con gli indirizzi IP dei load balancer privati. Di seguito viene riportata una panoramica di questo processo.
  1. Distribuisci due load balancer privati, uno in ogni dominio di disponibilità.
  2. Configurare due VM DNS personalizzate nella VCN.
  3. Modificare le opzioni DHCP predefinite della VCN per utilizzare un resolver DNS personalizzato e impostare i server DNS agli indirizzi IP delle VM DNS.
  4. Aggiungi una nuova voce di zona DNS di instradamento sequenziale per il nome FQDN del load balancer privato con un TTL basso.
  5. Aggiungere due record A con gli indirizzi IP dei due load balancer privati.
  6. Utilizzare il nome FQDN del load balancer privato quando si accede al load balancer privato.

Comprendere la progettazione ad alta disponibilità di FastConnect e VPN

Capire come progettare la tua rete per la ridondanza in modo che soddisfi i requisiti per le VPN Oracle Cloud Infrastructure IPSec e l'accordo sul livello di servizio FastConnect garantisce connessioni di rete altamente disponibili e tolleranti agli errori fondamentali per i sistemi ben progettati.

I requisiti relativi alla disponibilità aziendale e alle applicazioni di un'organizzazione contribuiscono a determinare la configurazione più appropriata durante la progettazione delle connessioni remote. In genere, è consigliabile utilizzare hardware e provider di servizi di rete ridondanti tra la propria posizione e i data center Oracle. L'opzione più affidabile è quella di utilizzare più connessioni FastConnect con circuiti di diversi provider di servizi di rete. Per ottenere l'alta disponibilità per la tua rete, ti consigliamo le seguenti best practice:
  • Pianificare la manutenzione regolare da parte di Oracle, del provider o dell'organizzazione.
  • Evitare singoli punti di errore, anche se si prevede di utilizzare più interfacce per la disponibilità. Le connessioni ad alta disponibilità richiedono hardware ridondante, anche quando si esegue la connessione dalla stessa posizione fisica.
  • Considerare un approccio a doppio provider per garantire la diversità della rete quando si selezionano i provider FastConnect.
  • Esegui il provisioning di una capacità di rete sufficiente per accertarsi che l'errore di una connessione di rete non sovraccarichi e riduca le connessioni ridondanti.

Pianificare la modalità High Availability per le connessioni VPNIPSec VPN IPSec

Puoi scegliere di implementare connessioni IPSec VPN per connettere il tuo data center a Oracle Cloud Infrastructure. Una connessione VPNIPSec VPN IPSec è facile da impostare e a costi contenuti.

Per abilitare la ridondanza, ogni gateway di instradamento dinamico (DRG) Oracle Cloud Infrastructure dispone di più endpoint VPN in modo che ogni connessione IPSec VPN sia costituita da più tunnel IPSec ridondanti che utilizzano instradamenti statici per instradare il traffico. Per garantire l'alta disponibilità, devi impostare le connessioni VPN all'interno della tua rete interna in modo che usino entrambi i percorsi quando necessario, come descritto nel diagramma riportato di seguito.

Segue la descrizione di vpn-redundancy.png
Descrizione dell'immagine vpn-redundancy.png

Se i tuoi data center si estendono su più posizioni geografiche, è consigliabile utilizzare un CIDR esteso (0.0.0.0/0) come instradamento statico in aggiunta al CIDR della posizione geografica specifica. Questo CIDR generico offre alta disponibilità e flessibilità alla progettazione della rete.

Ad esempio, il diagramma riportato di seguito mostra due reti in aree geografiche separate che ciascuna si connette a Oracle Cloud Infrastructure. Ogni area dispone di un singolo router on premise, pertanto è possibile creare due connessioni IPSec VPN. Ricorda che ogni connessione IPSec VPN dispone di due instradamenti statici: uno per il CIDR della particolare area geografica e un instradamento statico 0.0.0.0/0 ampio.

Descrizione di ridondanza-multiple-onprem-network.png
Descrizione dell'illustrazione ridondanza multipla-onprem-network.png

In uno scenario il router CPE 1 nel diagramma precedente diventa inattivo. Se la subnet 1 e la subnet 2 possono comunicare tra loro, la VCN è ancora in grado di accedere ai sistemi nella subnet 1 a causa dell'instradamento statico 0.0.0.0/0 che va a CPE 2. Questo scenario è illustrato dal diagramma riportato di seguito.

Descrizione di vpn-redundancy-multiple-onprem-networks-failover.png
Descrizione dell'immagine vpn-redundancy-multiple-onprem-networks-failover.png

In un altro scenario, aggiungere una nuova area geografica con Subnet 3 e collegarla alla Subnet 2. Aggiungere una regola di instradamento alla tabella di instradamento della VCN per la subnet 3 in modo che la VCN possa raggiungere i sistemi nella subnet 3 senza creare una nuova connessione VPN a causa dell'instradamento statico 0.0.0.0/0 che passa a CPE 2. Questo scenario è illustrato dal diagramma riportato di seguito.

Segue la descrizione di vpn-redundancy-additional-onprem-network.png
Descrizione dell'immagine vpn-redundancy-additional-onprem-network.png

Pianificare l'alta disponibilità per i circuiti FastConnect

Oracle Cloud Infrastructure FastConnect consente di creare facilmente una connessione dedicata e privata tra il data center e Oracle Cloud Infrastructure. FastConnect fornisce opzioni a maggiore larghezza di banda e un'esperienza di rete più affidabile e coerente rispetto alle connessioni basate su Internet.

Con FastConnect puoi scegliere di usare il peering privato, il peering pubblico o entrambi.
  • Usa il peering privato per estendere la tua infrastruttura esistente in una rete cloud virtuale (VCN) in Oracle Cloud Infrastructure (ad esempio, per implementare un cloud ibrido o in uno scenario di migrazione diretta). La comunicazione attraverso la connessione è con gli indirizzi privati IPv4 (in genere RFC 1918).
  • Utilizza il peering pubblico per accedere ai servizi pubblici in Oracle Cloud Infrastructure senza utilizzare Internet (ad esempio, per accedere alla console e alle API di Oracle Cloud Infrastructure o ai load balancer pubblici nella tua VCN). La comunicazione attraverso la connessione avviene con gli indirizzi IP pubblici IPv4. Senza FastConnect, il traffico destinato agli indirizzi IP pubblici verrà instradato tramite Internet. Con FastConnect, il traffico passa sulla tua connessione fisica privata.

Puoi connetterti direttamente ai router Oracle Cloud Infrastructure nei provider di punti di presenza (POP) o utilizzare uno dei numerosi partner di Oracle per connettersi dalle POP di tutto il mondo alle risorse Oracle Cloud Infrastructure Networking. Oracle offre funzioni che ti consentono di creare connessioni con tolleranza degli errori, inclusi più POP per area e più router FastConnect per POP.

Per evitare un singolo punto di errore per FastConnect, prendere in considerazione le opzioni di ridondanza riportate di seguito.
  • Più sedi FastConnect in ogni area della metropolitana
  • Più router in ciascuna posizione FastConnect
  • Più circuiti fisici in ciascuna posizione FastConnect
Oracle gestisce la ridondanza dei router e dei circuiti fisici nelle posizioni FastConnect. Nella progettazione della tua rete con FastConnect, ti consigliamo di prendere in considerazione le configurazioni di ridondanza riportate di seguito per i requisiti ad alta disponibilità.
  • ridondanza del dominio di disponibilità: Connettiti a qualsiasi sede FastConnect e servizio di accesso posizionati in qualsiasi dominio di disponibilità all'interno di un'area geografica. Questa configurazione offre la resilienza del dominio di disponibilità tramite più POP per area. Le connessioni di peering vengono terminate nei router nella POP.
  • ridondanza della posizione del data center: connessione in due posizioni FastConnect diverse per ogni area.
  • ridondanza del router: connettersi a due router diversi per ogni posizione FastConnect.
  • ridondanza di circuiti: ottenere più connessioni fisiche in una qualsiasi delle posizioni FastConnect. Ciascuno di questi circuiti può avere più collegamenti fisici in un'interfaccia aggregata/LAG, che aggiunge un altro livello di ridondanza.
  • ridondanza partner/fornitore: connettersi alle posizioni FastConnect utilizzando uno o più partner.
In base alla posizione del data center on premise, è possibile stabilire una connessione FastConnect in uno dei modi seguenti:
  • Condivisione della stessa struttura logistica (velocità della porta da 10 Gbps): condivisione della stessa struttura logistica di data center di Oracle in una posizione FastConnect
  • Provider Oracle (velocità delle porte con incrementi da 1 Gbps e 10 Gbps): connessione a un provider Oracle
In uno scenario di condivisione della stessa struttura logistica, un cross connect è il cavo fisico che connette la rete esistente a Oracle nella posizione FastConnect. Durante il provisioning del servizio FastConnect, si consiglia di impostare almeno due cross connect. Ogni cross connect deve connettersi a un router diverso, in modo che l'errore in un router non influisca sulla connessione alle risorse Oracle Cloud Infrastructure. Dopo aver effettuato il primo cross connect, puoi richiedere che il secondo venga sottoposto a provisioning su un router Oracle FastConnect diverso da quello del primo. Dovresti eseguire il provisioning dei nuovi circuiti virtuali su entrambi i collegamenti ridondanti, assicurando la connettività tra la tua rete on premise e i VCN Oracle Cloud Infrastructure in caso di errore di un router.

Per lo scenario di provider Oracle, si consiglia di impostare circuiti ridondanti con due posizioni FastConnect diverse in base allo stesso provider o a provider diversi. Con questa configurazione, puoi avere ridondanza sui circuiti e sui livelli del data center. Il diagramma riportato di seguito illustra la connessione FastConnect con due circuiti virtuali e due posizioni FastConnect diverse.

Segue la descrizione di fastconnect-multiple-fc-locations.png
Descrizione dell'illustrazione fastconnect-multiple-fc-locations.png

I partner FastConnect di Oracle dispongono di collegamenti ridondanti alla rete Oracle. I clienti del partner devono disporre di collegamenti ridondanti alla rete del partner. Queste connessioni dovrebbero essere su router diversi, sia nella tua rete che nella rete del partner. Quando esegui il provisioning dei circuiti virtuali, eseguine il provisioning sui collegamenti con più provider.

In questo diagramma vengono illustrate le connessioni ridondanti riportate di seguito.

Segue la descrizione di fastconnect-dual-vc.png
Descrizione dell'illustrazione fastconnect-dual-vc.png

Di seguito sono riportate alcune strategie di configurazione aggiuntive da considerare.
  • Evita impatto durante manutenzione pianificata

    Quando desideri eseguire la manutenzione su uno dei tuoi router, puoi configurare la preferenza locale del protocollo BGP (Border Gateway Protocol) sugli instradamenti appresi tramite il loro circuito virtuale in modo che la preferenza locale sia più alta sul router che rimarrà in servizio. La preferenza locale BGP viene utilizzata per modificare la preferenza del traffico in uscita in una rete in locale.

    Puoi modificare il traffico da Oracle alla tua rete usando l'AS BGP prima della sospensione. Sul router in cui verrà eseguita la manutenzione, anteporre il numero BGP AS locale. In questo modo la rete Oracle Cloud preferisce il circuito virtuale FastConnect che dispone del percorso AS più breve.

    Dopo aver modificato la preferenza locale BGP e l'AS precedente, monitorare i contatori dell'interfaccia a circuito virtuale del router e verificare che le frequenze dei contatori di pacchetti in entrata e in uscita siano molto basse. L'unico traffico rimanente sul collegamento deve essere il traffico del protocollo BGP.

  • Test continuo dei percorsi ridondanti

    Durante il normale funzionamento, consigliamo di utilizzare tutti i percorsi disponibili tra la tua rete on premise e Oracle Cloud. In questo modo, si garantisce che in caso di errore, il percorso ridondante funzioni già. In alternativa, utilizzare una progettazione attiva/di backup significa assicurarsi che il percorso di backup funzioni durante un errore. Per questo motivo, dovresti prendere in considerazione l'uso della preferenza locale BGP e della lunghezza del percorso BGP AS.

Utilizza sia IPSec VPN che FastConnect

Per avere un ulteriore livello di ridondanza, puoi impostare sia IPSec VPN che FastConnect per connettere i tuoi data center on premise a Oracle Cloud Infrastructure.

Quando imposti una connessione IPSec VPN e circuiti virtuali FastConnect sullo stesso gateway DRG, ricorda che la rete IPSec VPN utilizza instradamenti statici, ma FastConnect utilizza BGP. Oracle Cloud Infrastructure pubblica un instradamento per ciascuna subnet della VCN sulla sessione BGP del circuito virtuale FastConnect e sostituisce il funzionamento di selezione instradamento predefinito per preferire gli instradamenti BGP sugli instradamenti statici se un instradamento statico si sovrappone a un instradamento pubblicato dalla rete on premise. Il diagramma riportato di seguito descrive questa configurazione.

Segue la descrizione di vpn_fastconnect.png
Descrizione dell'immagine vpn_fastconnect.png