Definisci requisiti carico di lavoro

Determina i tuoi requisiti per la comunicazione, la connettività e la resilienza dei carichi di lavoro.

Requisiti comunicazione

Identifica i requisiti del carico di lavoro per i gateway di comunicazione e la connettività Internet, la connettività tra VCN e l'accesso a Oracle Services Network (OSN).

Gateway di comunicazione OCI

Il diagramma riportato di seguito illustra una distribuzione primaria di OCI nell'area occidentale degli Stati Uniti (Phoenix), che mostra come i carichi di lavoro di produzione e pre-produzione vengono collegati in rete per una connettività sicura e resiliente tra il cloud, i data center on-premise e i servizi Oracle.

Segue la descrizione di oci-communication-gateways.png
Descrizione dell'illustrazione oci-communication-gateways.png

Selezionare i gateway di comunicazione appropriati in base ai requisiti del carico di lavoro dalla tabella seguente:

Funzione Gateway consigliato Commenti
Il traffico in entrata e in uscita da OCI può essere avviato da OCI o da Internet Gateway Internet Sono necessarie una subnet pubblica e una risorsa con IP pubblico
Le risorse in OCI accedono a Internet in modo sicuro Gateway NAT Solo il traffico avviato dall'interno della subnet è consentito tramite il gateway NAT
Accesso a Oracle Cloud Infrastructure Object Storage o ad altri servizi in Oracle Service Network Gateway del servizio Esempi di servizi sono servizio di gestione del sistema operativo, Oracle Linux o Yum Service. Per un elenco completo dei servizi supportati in OSN, vedere la sezione Esplora
Connessione tra OCI e on-premise e tra VCN DRG Un router virtuale connette le reti VCN e le posizioni in locale tramite un punto di connessione centrale e si connette anche tra aree e tenancy diverse

Connettività tra VCN

Decidere in che modo le VCN all'interno di OCI devono comunicare (all'interno di una tenancy o tra tenancy):

Oracle consiglia di utilizzare i DRG per la connettività tra le VCN. DRG fornisce un percorso scalabile per la connettività non solo tra le reti VCN, ma anche da ambienti on-premise e altri cloud. L'importazione di instradamento dinamico riduce la complessità della gestione. Per esigenze di routing specifiche tra due VCN, utilizzare un Local Peering Gateway (LPG). È possibile utilizzare sia DRG che GPL insieme a seconda delle esigenze.

I tre esempi seguenti di connettività tra VCN utilizzano un GPL o un DRG:

Local Peering gateway (LPG)

L'immagine seguente mostra un'area con due reti VCN che utilizzano GPL per il peering locale:


Segue la descrizione di vcn-local-peering-gateway.png
Descrizione dell'illustrazione vcn-local-peering-gateway.png

Entrambe le VCN devono trovarsi nella stessa area OCI e puoi avere fino a 10 LPG per ogni VCN.

Gateway di instradamento dinamico (DRG)

I DRG connettono VCN all'interno o tra più aree e consentono fino a 300 collegamenti per ogni DRG. I DRG forniscono semplici opzioni di routing, oltre ai percorsi statici. Gli instradamenti dalle reti collegate vengono importati dinamicamente nelle tabelle di instradamento DRG utilizzando le distribuzioni di instradamento di importazione.

L'immagine seguente mostra un'area con due VCN connesse da un DRG nella stessa area:


Segue la descrizione dell'immagine vcn-dynamic-routing-gateway-same-region.png
Descrizione dell'illustrazione vcn-dynamic-routing-gateway-same-region.png

L'immagine seguente mostra un'area con due VCN che utilizzano il gateway DRG con due VCN connessi tra aree separate:


Segue la descrizione dell'immagine vcn-dynamic-routing-gateway-separate-regions.png
Descrizione dell'illustrazione vcn-dynamic-routing-gateway-separate-regions.png

Accedere a Oracle Services Network (OSN)

OSN è una rete concettuale in OCI riservata ai servizi Oracle.

L'architettura riportata di seguito mostra una VCN che accede alla rete OSN senza che il traffico passi su Internet tramite un gateway di servizi.


Segue la descrizione di oracle-services-network.png
Descrizione dell'illustrazione oracle-services-network.png

Considera le seguenti opzioni e decidi come instradare il tuo traffico:

  • Utilizzare un gateway di servizi per instradare il traffico privato a OSN senza attraversare Internet.
  • I servizi (come lo storage degli oggetti) dispongono di IP pubblici raggiungibili tramite Internet. Utilizza endpoint privati (PE) per mantenere il traffico all'interno della rete OCI.
  • Quando si aggiunge un instradamento a OSN, decidere se si desidera consentire alla rete di utilizzare tutti i servizi OCI o solo OCI Object Storage per i backup del database.
  • Prendi in considerazione gli endpoint privati (PE) per l'accesso diretto e privato da VCN o data center on-premise. Ad esempio, puoi configurare lo storage degli oggetti OCI con un PE raggiungibile dall'interno di una VCN o da un'area on premise su un indirizzo IP privato.

Requisiti di connettività ibrida e multicloud

Determina se la tua architettura sarà ibrida o multicloud e valuta la larghezza di banda per un'esperienza utente di qualità.

Connetti OCI alle reti on-premise in base alle tue esigenze utilizzando una delle seguenti opzioni di connettività:

  • OCI FastConnect utilizza una connessione dedicata per larghezza di banda e latenza fisse. Oracle consiglia di utilizzare connessioni ridondanti per la resilienza.
  • OCI Site-to-Site VPN utilizza Internet come vettore e può utilizzare anche FastConnect. La larghezza di banda, la latenza e la disponibilità possono variare a causa dei circuiti Internet pubblici. Oracle consiglia di utilizzare tunnel ridondanti.

Il diagramma seguente mostra un esempio di architettura di connessione di un ambiente on-premise a OCI utilizzando una VPN site-to-site o FastConnect:


Segue la descrizione dell'immagine example-connect-premise-db-oci.png
Descrizione dell'illustrazione example-connect-premise-db-oci.png

Oracle consiglia di utilizzare FastConnect per le connessioni primarie con VPN come backup per i carichi di lavoro di produzione. FastConnect è disponibile a velocità variabili fino a 400 Gbps, a seconda dell'area geografica e dei partner.

Per impostare la connettività, effettuare le operazioni riportate di seguito.

  • Impostare un circuito virtuale con peering pubblico solo per l'accesso OSN.
  • Utilizza il peering privato per una connessione privata alle risorse nelle reti VCN.
  • Utilizza la VPN site-to-site (con IPSec) per la cifratura del traffico all'interno del peering privato FastConnect.

Nota

Oracle consiglia di utilizzare hardware ridondante per tutte le connessioni.

Connessione alle reti in locale mediante OCI FastConnect

OCI FastConnect fornisce connettività diretta e privata. Configura sempre VPN come backup. La seguente immagine mostra un'architettura con un'area on-premise e OCI utilizzando OCI FastConnect in cui il traffico non passa attraverso la rete Internet pubblica:

Segue la descrizione dell'immagine connect-premise-fastconnect.png
Descrizione dell'illustrazione connect-premises-fastconnect.png

Oracle consiglia di utilizzare FastConnect con VPN come backup come connessioni primarie per i carichi di lavoro di produzione. Utilizza la VPN da sito a sito come connessione di backup per FastConnect, quindi la connessione primaria è FastConnect e il backup è VPN. Le velocità di connessione disponibili sono 1 Gbps, 10 Gbps o 100 Gbps.

  • Impostare un circuito virtuale con peering pubblico, se è necessario solo accedere a OSN.
  • Utilizzare la VPN Site-to-Site OCI che utilizza IPSec per la cifratura del traffico oltre al peering pubblico FastConnect.
  • Utilizza il peering privato quando hai bisogno di una connessione privata alle risorse nelle reti VCN OCI.

Nota

Oracle consiglia di utilizzare il doppio dell'apparecchiatura per la ridondanza.

Connessione alle reti on premise mediante la VPN Site-to-Site OCI

OCI Site-to-Site VPN connette un data center on premise a OCI. La VPN da sito a sito utilizza Internet come vettore e crittografa il traffico utilizzando il protocollo IPSec. La VPN site-to-site è una soluzione crittografata conveniente ma con una larghezza di banda inferiore (~250 Mbps/tunnel). Utilizzare endpoint e dispositivi ridondanti. Prendi in considerazione l'instradamento ECMP (Equal-Cost Multi-Path) per l'alta disponibilità con una migliore larghezza di banda. Utilizza la VPN da sito a sito come alternativa gratuita se non hai bisogno delle connessioni ad alte prestazioni di Megaport o Equinix discusse nelle sezioni successive.

Il diagramma riportato di seguito mostra un'architettura con apparecchiature ridondanti Customer-premise (CPE) e una connessione OCI utilizzando una VPN site-to-site:


Segue la descrizione dell'immagine connect-premise-site-site.png
Descrizione dell'illustrazione connect-premises-site-site.png

Le prestazioni della VPN da sito a sito possono variare a seconda del traffico Internet. Come per FastConnect, configura una VPN site-to-site con tunnel ridondanti e, ove possibile, anche con dispositivi CPE ridondanti. Oracle fornisce due endpoint VPN per ogni connessione VPN da sito a sito.

Oracle Interconnect per Microsoft Azure

Microsoft e Oracle hanno stretto una partnership per fornire Microsoft Azure preintegrato con OCI in alcune aree geografiche.

Il diagramma seguente mostra un esempio di architettura di un database Oracle in un'area OCI e l'applicazione in Azure:


Segue la descrizione di example-connect-db-oci-lb-azure.png
Descrizione dell'illustrazione example-connect-db-oci-lb-azure.png

La latenza è importante per una buona esperienza utente con tempi di risposta migliori. Oracle e Azure hanno punti di integrazione in diverse sedi in tutto il mondo. Ciò semplifica l'integrazione e riduce anche la latenza, il che rende possibile avere una soluzione che si estende tra i cloud utilizzando FastConnect e Azure ExpressRoute.

Puoi abilitare l'accesso tra i cloud configurando sia dal portale di Azure, ExpressRoute che dalla console OCI, FastConnect. È sufficiente impostare il circuito virtuale 1x poiché l'interconnessione Azure dispone di ridondanza integrata utilizzando, ove possibile, la diversità fisica di hardware e posizione. Non è previsto alcun costo del traffico tra Azure e OCI (costo di uscita) se si utilizza una SKU locale e si seleziona la velocità minima di connessione Azure ExpressRoute da 1 Gbps. Le interconnessioni sono costruite dove Azure e OCI si trovano vicine l'una all'altra per consentire una bassa latenza tra i cloud.

Nota

Non tutte le regioni hanno questa capacità. Utilizzare un provider di servizi di rete in altre aree.

Se si desidera effettuare la connessione a Microsoft Azure, vedere Accesso a Microsoft Azure.

Oracle Interconnect for Google Cloud

Oracle e Google hanno stretto una partnership per fornire ai clienti connettività diretta con le opzioni di provisioning nativo di entrambi i cloud. È possibile eseguire il provisioning di Oracle Interconnect for Google Cloud e OCI FastConnect per creare una connettività a bassa latenza e larghezza di banda elevata. Senza costi di uscita da entrambi i provider cloud. Prendi in considerazione questa opzione per progettare la tua connettività multicloud per utilizzare i servizi sia in OCI che in Google Cloud.

Il seguente diagramma dell'architettura mostra una connessione tra OCI e Google Cloud.


Segue la descrizione di oci-google-cloud-connectivity.png
Descrizione dell'illustrazione oci-google-cloud-connectivity.png

Connettiti ad AWS e ad altre piattaforme cloud

Le connessioni ad altri cloud pubblici da OCI sono facili e veloci da stabilire tramite i nostri partner FastConnect. Abbiamo oltre 100 partner globali FastConnect tra cui scegliere in base alla tua regione e ai requisiti di connettività. Offrono diverse opzioni per connettersi con altri provider cloud e altre piattaforme SaaS/PaaS.

Il diagramma seguente mostra una connessione tra OCI e AWS utilizzando il nostro partner di connessione Megaport:


Segue la descrizione dell'immagine connect-public-cloud-oci-aws.png
Descrizione dell'illustrazione connect-public-cloud-oci-aws.png

Puoi anche prendere in considerazione una connessione VPN diretta tra AWS e OCI.

Requisiti di resilienza

Valuta la tua necessità di resilienza regionale da interruzioni e prendi in considerazione una distribuzione in più aree.

Distribuzione multiregione

Distribuisci un'impostazione cross-regional standard per una distribuzione multiregion e abbina un disaster recovery e failover. Replicare le risorse nella standby region per garantire la disponibilità del failover e impostare il peering remoto tra i DRG. La replica dei dati utilizza il backbone di rete di Oracle, non la rete Internet pubblica.

Il diagramma riportato di seguito mostra la replica dei dati tra una region primaria e una standby:


Segue la descrizione dell'immagine multi-region-deployment-full-arch.png
Descrizione dell'illustrazione multi-region-deployment-full-arch.png

Bilanciamento del carico

Utilizza un load balancer (pubblico o privato) per ottimizzare la distribuzione del traffico. Diversi server backend.

Un load balancer pubblico espone un IP pubblico ed è accessibile da Internet. Un load balancer privato utilizza un indirizzo IP privato ed è accessibile solo dall'interno della VCN.

Load balancer

Un load balancer standard per i server Web rivolti al pubblico può arrestare il traffico SSL o passarlo al backend. Utilizza forme flessibili tra la larghezza di banda minima e massima a seconda del traffico.

Puoi impostare un load balancer pubblico o privato sul livello 4/7, TCP/HTTP.

Load balancer di rete

Servizio gratuito che fornisce un bilanciamento del carico pass-through senza proxy, latenza ultrabassa e con throughput elevato. I load balancer di rete sono ottimizzati per le connessioni con tempi di esecuzione lunghi in giorni o mesi con connessioni allo stesso server backend, il che è ottimale per il database.

I load balancer di rete garantiscono che i servizi rimangano disponibili indirizzando il traffico solo a server in buono stato in base ai dati del protocollo IP (layer 3/4).

Per ulteriori informazioni, vedere l'argomento Confronto tra load balancer e load balancer di rete nella documentazione OCI collegata in Scopri di più.

Requisiti di sicurezza

La sicurezza è fondamentale per qualsiasi architettura di rete. Scegli i servizi OCI adatti per stabilire la postura di sicurezza necessaria tra le tue applicazioni e reti, sia on-premise che nel cloud.

Firewall applicazione Web OCI

Oracle Cloud Infrastructure Web Application Firewall (WAF) è un servizio di applicazione regionale ed edge che si collega ai punti di applicazione come i load balancer o i nomi di dominio delle applicazioni Web. OCI WAF protegge le applicazioni da traffico Internet dannoso e indesiderato.
Il criterio WAF OCI consente di applicare le regole riportate di seguito nelle applicazioni OCI.
  • Controllo dell'accesso
  • Gestione bot
  • Regole di protezione
  • Limiti di frequenza
  • Applicazioni cliente

Nota

Utilizza WAF per proteggere qualsiasi endpoint che si interfaccia con Internet e garantire un'applicazione coerente delle regole di sicurezza tra le applicazioni.

Per ulteriori informazioni, esamina sia la policy WAF OCI (soluzione regionale) che la policy di modifica (soluzione globale).

OCI Network Firewall

In base alle impostazioni di sicurezza di rete richieste, selezionare l'opzione di distribuzione del firewall di rete.

Il diagramma riportato di seguito mostra una struttura di inserimento supportata di OCI Network Firewall che consente di utilizzare un singolo OCI Network Firewall per gestire sia i pattern di traffico nord-sud (internet-bound) che est-ovest (inter-VCN e on-premise):


Segue la descrizione dell'immagine oci-network-firewall-inspect-traffic.png
Descrizione dell'illustrazione oci-network-firewall-inspect-traffic.png

In questa architettura, un firewall di rete OCI distribuito all'interno di una VCN centrale dell'hub ispeziona e protegge i flussi di traffico in entrata da Internet, in uscita a Internet e da un'area on premise.

Zero Trust Packet Routing

Prendi in considerazione l'utilizzo di Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) per implementare una migliore postura della sicurezza con una semplice distribuzione dei criteri.

Il diagramma riportato di seguito mostra i criteri di sicurezza della rete gestiti in modo indipendente dall'architettura di rete sottostante per ridurre il rischio di accesso non autorizzato.


Segue la descrizione dell'immagine zpr-enhanced-security.png
Descrizione dell'illustrazione zpr-enhanced-security.png

Gli amministratori della sicurezza possono definire rapidamente criteri di accesso basati sugli intenti. È consentito solo il traffico esplicitamente consentito, rendendo impossibile l'accesso non autorizzato. Questo approccio semplifica la gestione della sicurezza di rete e i processi di audit.