L'immagine mostra un'area OCI con una VCN che si estende su tre domini di disponibilità etichettati come dominio di disponibilità 1, dominio di disponibilità 2 e dominio di disponibilità 3, che rappresentano zone ad alta disponibilità. La VCN ospita un load balancer pubblico, un cluster OKE (Oracle Kubernetes Engine) e un Oracle Autonomous AI Database. L'area ospita Oracle Services Network con un OCI Container Registry
La VCN include cinque subnet come indicato di seguito.
- Subnet pubblica del load balancer del servizio utilizzata per il traffico dei clienti e include un load balancer pubblico situato nel dominio di disponibilità 2, responsabile della ricezione e della distribuzione del traffico in entrata ai componenti dell'applicazione.
- Subnet pubblica API/servizio OKE : contiene un cluster OCI Kubernetes Engine (OKE) che si estende su tutti e tre i domini di disponibilità.
- Node Private Subnet: i nodi di lavoro OKE eseguono carichi di lavoro ed eseguono il pull delle immagini dei container da Oracle Cloud Infrastructure Container Registry (OCIR) utilizzando Oracle Services Network.
- Pod Private Subnet: i pod eseguono i servizi Dify e chiamano Oracle Autonomous AI Database per la persistenza.
- Subnet privata del database: ospita Oracle Autonomous AI Database come data store dell'applicazione.
Connettività e flusso di traffico sono mostrati da frecce direzionali:
- Gli utenti raggiungono l'applicazione tramite il load balancer pubblico.
- Il load balancer instrada le richieste ai servizi Kubernetes in esecuzione nei pod sui nodi di lavoro.
- Gli amministratori accedono al cluster tramite l'endpoint API Kubernetes.
- I nodi di lavoro e i pod estraggono le immagini dei container da OCI Container Registry tramite il gateway del servizio.
- Le subnet private utilizzano gateway NAT per gli aggiornamenti in uscita e il recupero dei package senza esporre gli indirizzi IP privati.
- I pod dell'applicazione si connettono privatamente all'Autonomous Database per letture e scritture.
Sicurezza e connettività:
- Solo il piano di controllo di caricamento pubblico bBalancer e OKE viene esposto pubblicamente; nodi, pod e database rimangono in subnet private.
- La connettività del servizio privato e l'uscita limitata riducono l'esposizione alla rete Internet pubblica.
- L'uso di più domini di disponibilità supporta alta disponibilità e resilienza.