Progetta una struttura sicura del compartimento di osservabilità e gestione su Oracle Cloud

I servizi di osservabilità e gestione sono la spina dorsale delle soluzioni dell'infrastruttura cloud, fornendo insight critici su monitoraggio e osservabilità in termini di disponibilità, prestazioni e livello di sicurezza del sistema.

La progettazione di un'organizzazione sicura ed efficace del compartimento Observability and Management all'interno di Oracle Cloud Infrastructure è un'attività strategica che affronta questi imperativi. La struttura del compartimento funge da base per risorse cloud efficaci e organizzazione dei dati, governance del controllo dell'accesso. Questa architettura di riferimento è stata progettata con le best practice di Oracle Cloud per offrire una visione olistica dello stato, del comportamento e dei rischi del sistema. L'obiettivo è fornire agli stakeholder un'intelligence utile che consenta un processo decisionale rapido e informato.

Architettura

Questa architettura di riferimento descrive i componenti e le metodologie fondamentali per la progettazione di un compartimento Oracle Cloud Observability and Management Platform che offra sicurezza, resilienza e destrezza operativa nell'ecosistema cloud.

Il diagramma riportato di seguito illustra questa architettura di riferimento del compartimento Oracle Cloud Observability and Management Platform.

Descrizione dell'illustrazione oracle-cloud-observability-arch.png

oracle-cloud-observability-arch-oracle.zip

Questo design del compartimento riflette una struttura funzionale di base osservata in diverse organizzazioni, in cui le responsabilità IT sono in genere separate tra networking, sicurezza, sviluppo delle applicazioni e amministratori di database. Il provisioning delle risorse in questa architettura di riferimento viene eseguito nei seguenti compartimenti:

• Un compartimento Oracle Cloud Observability and Management Platform per tutte le metriche e le risorse dei servizi di osservabilità e gestione e il repository degli spazi di nomi delle metriche.
• Compartimento di rete per tutte le risorse di rete, inclusi i gateway di rete necessari e i dati di log correlati alla rete.
• Compartimento di sicurezza per la registrazione di sicurezza ed eventi, la gestione delle chiavi e i log correlati alla sicurezza.
• Compartimento applicazione per i servizi correlati all'applicazione, inclusi computazione, storage, funzioni, flussi, nodi Kubernetes, gateway API e log correlati all'applicazione.
• Compartimento del database per tutte le risorse di database e i log correlati al database.
• Compartimento di inclusione facoltativo contenente tutti i compartimenti sopra riportati.

L'architettura presenta i seguenti componenti:

• tenancy

  Una tenancy è una partizione sicura e isolata che Oracle imposta all'interno di Oracle Cloud quando ti iscrivi a Oracle Cloud Infrastructure. Puoi creare, organizzare e amministrare le risorse in Oracle Cloud all'interno della tua tenancy. Una tenancy è sinonimo di azienda o organizzazione. Di solito, un'azienda avrà una singola tenancy e rifletterà la sua struttura organizzativa all'interno di quella tenancy. Una singola tenancy viene in genere associata a una singola sottoscrizione e una singola sottoscrizione in genere ha una sola tenancy.

• Criterio

  Un criterio di Oracle Cloud Infrastructure Identity and Access Management specifica chi può accedere a quali risorse e come. L'accesso viene concesso a livello di gruppo e compartimento. Ciò significa che è possibile scrivere un criterio che fornisce a un gruppo un tipo specifico di accesso all'interno di un compartimento specifico o alla tenancy.

• Compartimento

  I compartimenti sono partizioni logiche tra più aree all'interno di una tenancy Oracle Cloud Infrastructure. Usare i compartimenti per organizzare le risorse in Oracle Cloud, controllare l'accesso alle risorse e impostare le quote d'uso. Per controllare l'accesso alle risorse in un determinato compartimento, definire criteri che specificano chi può accedere alle risorse e quali azioni possono eseguire.

• Monitoraggio

  Il servizio Oracle Cloud Infrastructure Monitoring monitora attivamente e passivamente le tue risorse cloud utilizzando le metriche per monitorare le risorse e gli allarmi per avvisarti quando queste metriche soddisfano i trigger specificati dall'allarme.

• Allarmi

  La funzione Allarmi del servizio di monitoraggio funziona con il servizio di destinazione configurato per ricevere una notifica quando le metriche soddisfano i trigger specificati dall'allarme.

• Log
  Logging è un servizio altamente scalabile e completamente gestito che fornisce l'accesso ai seguenti tipi di log dalle risorse nel cloud:

  • Log di audit: log correlati agli eventi emessi dal servizio di audit.
  • Log dei servizi: log emessi da singoli servizi, quali gateway API, eventi, funzioni, bilanciamento del carico, storage degli oggetti e log di flusso VCN.
  • Log personalizzati: log che contengono informazioni di diagnostica provenienti da applicazioni personalizzate, altri provider cloud o da un ambiente in locale.
• Eventi

  I servizi Oracle Cloud Infrastructure emettono eventi, ovvero messaggi strutturati che descrivono le modifiche alle risorse. Gli eventi vengono emessi per le operazioni di creazione, lettura, aggiornamento o eliminazione (CRUD), le modifiche allo stato del ciclo di vita delle risorse e gli eventi di sistema che influiscono sulle risorse cloud.

• Connettori servizio

  Oracle Cloud Infrastructure Service Connector Hub è una piattaforma di bus di messaggi cloud che orchestra lo spostamento dei dati tra i servizi in OCI. È possibile utilizzare i connettori servizio per spostare i dati da un servizio di origine a un servizio di destinazione. I connettori servizio consentono inoltre di specificare facoltativamente un task (ad esempio una funzione) da eseguire sui dati prima che vengano consegnati al servizio di destinazione.

  È possibile utilizzare Oracle Cloud Infrastructure Service Connector Hub per creare rapidamente un framework di aggregazione dei log per i sistemi SIEM (Security Information and Event Management).

• Notifiche

  Il servizio Oracle Cloud Infrastructure Notifications trasmette messaggi ai componenti distribuiti tramite un pattern di pubblicazione/sottoscrizione, offrendo messaggi sicuri, altamente affidabili, a bassa latenza e duraturi per le applicazioni ospitate su Oracle Cloud Infrastructure.

• Streaming

  Oracle Cloud Infrastructure Streaming offre una soluzione di storage completamente gestita, scalabile e duratura dedicata all'inclusione di flussi di dati continui e a elevato volume che puoi utilizzare ed elaborare in tempo reale. Puoi utilizzare la funzionalità Streaming per l'inclusione di dati a elevato volume, quali i log dell'applicazione, la telemetria operativa, i dati di click-stream Web o per altri casi d'uso in cui i dati vengono prodotti ed elaborati in modo continuo e sequenziale in un modello di messaggistica di tipo pubblicazione/iscrizione.

• Gestione del database

  Gestione database offre capacità complete di diagnostica e gestione delle prestazioni del database per i database Oracle e i sistemi DB MySQL HeatWave. Inoltre, puoi utilizzare Gestione database per trovare e monitorare i componenti di Oracle Database System (External Database System) in locale e l'infrastruttura Exadata Storage.

• Operations Insights
  Oracle Cloud Infrastructure Operations Insights è un servizio nativo OCI che fornisce insight olistici sull'utilizzo e la capacità delle risorse del database e dell'host. Con Operations Insights è possibile:

  • Analizza l'uso delle risorse di database e host in tutta l'azienda.
  • Prevedi la domanda futura di risorse in base agli andamenti cronologici.
  • Confronta le prestazioni SQL tra i database e identifica i pattern comuni.
  • Identifica le tendenze delle prestazioni SQL nei database a livello aziendale.
  • Analizza le statistiche AWR per le prestazioni, la diagnostica e il tuning del database in una flotta di database.
  • Crea e ricevi report settimanali che ti forniscono analisi dettagliate dei nuovi massimi di utilizzo, delle grandi modifiche all'utilizzo e delle modifiche all'inventario nella tua flotta di database, host e sistemi Exadata.
• Monitoraggio delle prestazioni delle applicazioni

  Oracle Cloud Infrastructure Application Performance Monitoring offre una visibilità approfondita delle prestazioni delle applicazioni e offre la possibilità di diagnosticare rapidamente i problemi per fornire un livello di servizio coerente. Ciò include il monitoraggio dei molteplici componenti e della logica dell'applicazione distribuiti tra client, servizi di terze parti e livelli di elaborazione back-end, on-premise o nel cloud.

• Monitoraggio dello stack

  Monitoraggio dello stack consente di monitorare in modo proattivo un'applicazione e il relativo stack di applicazioni di base, inclusi application server e database. Inizia scoprendo tutti i componenti dell'applicazione, inclusa la topologia dell'applicazione. Una volta individuati, raccolgono automaticamente le metriche di stato, carico, risposta, errore e utilizzo per tutti i componenti dell'applicazione.

• Logging Analytics

  Oracle Logging Analytics è una soluzione cloud in Oracle Cloud Infrastructure che ti consente di indicizzare, arricchire, aggregare, esplorare, cercare, analizzare, mettere in correlazione, visualizzare e monitorare tutti i dati di log delle tue applicazioni e dell'infrastruttura di sistema nel cloud o on premise.

• Management Agent

  Un Management Agent (agente) consente a un plugin di servizio di raccogliere dati dall'host in cui si installa Management Agent. Può connettersi a Oracle Cloud Infrastructure direttamente utilizzando il servizio cloud Management Agent. Management Agent viene installato su un host. Monitora e raccoglie i dati dalle origini che risiedono su host o host virtuali.

• Gateway del Management Agent

  Management Agent Cloud Service (MACS), noto anche come servizio Management Agent, è un servizio cloud di Oracle Cloud Infrastructure. Gestisce i Management Agent e il loro ciclo di vita. I Management Agent consentono ai servizi Oracle Cloud di interagire e raccogliere dati da entità gestite da tali entità.

• Dashboard Gestione
  Management Dashboard ti consente di creare soluzioni di monitoraggio delle prestazioni, diagnosi e analisi dei dati sulla piattaforma, sull'infrastruttura e sulle risorse dell'applicazione Oracle Cloud Infrastructure. Ha potenti opzioni di visualizzazione dei dati che raccolgono dati in tempo reale e cronologici e li visualizzano nei widget. Il dashboard di gestione è disponibile come parte dei seguenti servizi di Oracle Cloud Infrastructure Observability and Management:

  • Monitoraggio delle prestazioni delle applicazioni
  • Gestione del database
  • Logging Analytics
  • Management Agent
  • Operations Insights
• Rete e subnet del cloud virtuale (VCN)

  Una VCN è una rete personalizzabile e definita dal software configurata in un'area Oracle Cloud Infrastructure. Come le tradizionali reti di data center, le reti VCN consentono di controllare l'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi segmentare una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. È possibile modificare le dimensioni di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

• Gateway Internet

  Il gateway Internet consente il traffico tra le subnet pubbliche in una VCN e la rete Internet pubblica.

• Gateway di instradamento dinamico (DRG)

  Il gateway DRG è un router virtuale che fornisce un percorso per il traffico di rete privato tra le reti VCN nella stessa area, tra una rete VCN e una rete esterna all'area, ad esempio una rete VCN in un'altra area Oracle Cloud Infrastructure, una rete on premise o una rete in un altro provider cloud.

• Gateway NAT (Network Address Translation)

  Un gateway NAT consente alle risorse private in una VCN di accedere agli host su Internet, senza esporre tali risorse alle connessioni a Internet in entrata.

• Gateway di servizi

  Il gateway di servizi fornisce l'accesso da una VCN ad altri servizi, come Oracle Cloud Infrastructure Object Storage. Il traffico dalla VCN al servizio Oracle viene instradato sul fabric di rete Oracle e non attraversa Internet.

• Oracle Services Network

  Oracle Services Network (OSN) è una rete concettuale in Oracle Cloud Infrastructure riservata ai servizi Oracle. Questi servizi hanno indirizzi IP pubblici che è possibile raggiungere su Internet. Gli host esterni a Oracle Cloud possono accedere privatamente a OSN utilizzando Oracle Cloud Infrastructure FastConnect o VPN Connect. Gli host nelle reti VCN possono accedere privatamente all'OSN tramite un gateway di servizi.

• Gruppo di sicurezza di rete (NSG, Network Security Group)

  Il gruppo di sicurezza di rete (NSG) funge da firewall virtuale per le risorse cloud. Con il modello di sicurezza zero-trust di Oracle Cloud Infrastructure, tutto il traffico viene negato ed è possibile controllare il traffico di rete all'interno di una VCN. Un gruppo NSG è costituito da un set di regole di sicurezza in entrata e in uscita che si applicano solo a un set specificato di VNIC in una singola VCN.

• Vault

  Oracle Cloud Infrastructure Vault ti consente di gestire centralmente le chiavi di cifratura che proteggono i tuoi dati e le credenziali segrete utilizzate per proteggere l'accesso alle tue risorse nel cloud. È possibile utilizzare il servizio Vault per creare e gestire vault, chiavi e segreti.

• Cloud Guard

  Puoi utilizzare Oracle Cloud Guard per monitorare e gestire la sicurezza delle tue risorse in Oracle Cloud Infrastructure. Cloud Guard utilizza ricette del rilevatore che è possibile definire per esaminare le risorse per individuare eventuali punti deboli della sicurezza e per monitorare operatori e utenti per determinate attività rischiose. Quando viene rilevata una configurazione errata o un'attività non sicura, Cloud Guard consiglia azioni correttive e aiuta a eseguire tali azioni, in base alle ricette dei rispondenti che è possibile definire.

• Zona di sicurezza

  Le zone di sicurezza garantiscono le procedure ottimali di sicurezza di Oracle fin dall'inizio applicando criteri quali la cifratura dei dati e la prevenzione dell'accesso pubblico alle reti per un intero compartimento. Una zona di sicurezza è associata a un compartimento con lo stesso nome e include criteri della zona di sicurezza o una "ricetta" che si applica al compartimento e ai relativi compartimenti secondari. Non è possibile aggiungere o spostare un compartimento standard in un compartimento della zona di sicurezza.

• Servizio di analisi delle vulnerabilità

  Oracle Cloud Infrastructure Vulnerability Scanning Service aiuta a migliorare il livello di sicurezza in Oracle Cloud controllando regolarmente porte e host per potenziali vulnerabilità. Il servizio genera report con metriche e dettagli su queste vulnerabilità.

• Servizio Bastion

  Oracle Cloud Infrastructure Bastion offre un accesso sicuro limitato e a tempo limitato a risorse che non dispongono di endpoint pubblici e che richiedono severi controlli di accesso alle risorse, come bare metal e virtual machine, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Container Engine for Kubernetes (OKE) e qualsiasi altra risorsa che consente l'accesso SSH (Secure Shell Protocol). Con il servizio Oracle Cloud Infrastructure Bastion, puoi abilitare l'accesso agli host privati senza distribuire e gestire un jump host. Inoltre, è possibile migliorare le impostazioni di sicurezza con autorizzazioni basate sull'identità e una sessione SSH centralizzata, controllata e con limiti di tempo. Oracle Cloud Infrastructure Bastion elimina la necessità di un IP pubblico per l'accesso bastion, eliminando la seccatura e la potenziale superficie di attacco quando si fornisce l'accesso remoto.

• storage degli oggetti

  Lo storage degli oggetti offre un accesso rapido a grandi quantità di dati strutturati e non strutturati di qualsiasi tipo di contenuto, inclusi backup del database, dati analitici e contenuti avanzati come immagini e video. Puoi memorizzare e quindi recuperare i dati direttamente da Internet o dall'interno della piattaforma cloud. Puoi ridimensionare lo storage senza alcun deterioramento delle prestazioni o dell'affidabilità del servizio. Utilizza lo storage standard per lo storage "caldo" a cui è necessario accedere rapidamente, immediatamente e frequentemente. Utilizza lo storage di archivio per lo storage "freddo" che conservi per lunghi periodi di tempo e a cui accedi raramente o raramente.

• Container Engine per Kubernetes

  Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE) è un servizio completamente gestito, scalabile e ad alta disponibilità che puoi utilizzare per distribuire le tue applicazioni containerizzate nel cloud. Puoi specificare le risorse di computazione richieste dalle tue applicazioni e Container Engine for Kubernetes le esegue sul provisioning di Oracle Cloud Infrastructure in una tenancy esistente. Container Engine for Kubernetes utilizza Kubernetes per automatizzare l'implementazione, la scalabilità e la gestione di applicazioni containerizzate tra cluster di host.

• Compute

  Il servizio Oracle Cloud Infrastructure Compute ti consente di eseguire il provisioning e gestire gli host di computazione nel cloud. Puoi avviare istanze di computazione con forme che soddisfano i requisiti delle risorse per CPU, memoria, larghezza di banda di rete e storage. Dopo aver creato un'istanza di computazione, è possibile accedervi in modo sicuro, riavviarla, collegare e scollegare volumi e terminarla quando non è più necessaria.

• Database autonomo

  I database autonomi di Oracle Cloud Infrastructure sono ambienti di database completamente gestiti e preconfigurati che puoi utilizzare per l'elaborazione delle transazioni e i carichi di lavoro di data warehousing. Non è necessario configurare o gestire hardware né installare software. Oracle Cloud Infrastructure gestisce la creazione del database, nonché il backup, l'applicazione di patch, l'aggiornamento e l'ottimizzazione del database.

• Exadata Database on Dedicated Infrastructure

  L'infrastruttura Exadata Cloud ti consente di sfruttare la potenza di Exadata nel cloud. È possibile eseguire il provisioning di sistemi X8M e X9M flessibili che consentono di aggiungere server di calcolo del database e server di storage al sistema di pari passo con l'aumento delle esigenze. I sistemi X8M e X9M offrono reti RDMA su Converged Ethernet (RoCE) per larghezza di banda elevata e bassa latenza, moduli di memoria persistente (PMEM) e software Exadata intelligente. È possibile eseguire il provisioning dei sistemi X8M e X9M utilizzando una forma equivalente a un sistema X8 o X9M Quarter Rack, quindi è possibile aggiungere database server e storage in qualsiasi momento dopo il provisioning.

• Oracle Base Database Service

  Oracle Base Database Service ti consente di mantenere il controllo assoluto sui tuoi dati utilizzando le funzionalità combinate di Oracle Database e Oracle Cloud Infrastructure. Oracle Base Database Service offre sistemi di database (sistemi DB) su virtual machine. Sono disponibili come sistemi DB a nodo singolo e sistemi DB RAC a più nodi su Oracle Cloud Infrastructure (OCI).

• Memoria file

  Il servizio Oracle Cloud Infrastructure File Storage offre un file system di rete duraturo, scalabile, sicuro e di livello aziendale. Puoi connetterti a un file system del servizio di storage di file da qualsiasi istanza Bare Metal, virtual machine o container in una rete VCN. Inoltre, puoi accedere a un file system dall'esterno della VCN utilizzando Oracle Cloud Infrastructure FastConnect e IPSec VPN.

Suggerimenti

Utilizzare i seguenti suggerimenti come punto di partenza. I tuoi requisiti potrebbero essere diversi dall'architettura descritta qui.

• Compartimento Osservabilità e gestione per i dati delle metriche
  • Crea un compartimento Oracle Cloud Observability and Management Platform dedicato sotto la tenancy (compartimento radice).
  • Memorizza tutte le risorse correlate alle metriche personalizzate, come gli spazi di nomi delle metriche dei servizi avanzati Oracle Cloud Observability and Management Platform, le metriche per il monitoraggio dello stack, il servizio di gestione del database, Operations Insights, nonché le metriche, gli allarmi e le notifiche personalizzati definiti dall'utente nel compartimento Oracle Cloud Observability and Management Platform.
  • Definisci i criteri per concedere l'accesso in lettura e scrittura appropriato ai team pertinenti, assicurandosi che possano accedere ai dati delle metriche e agli spazi di nomi delle metriche rispettando al contempo il principal con privilegi minimi. Ad esempio, il team di amministrazione di Observability and Management ha l'autorizzazione di gestione per i dati delle metriche nel compartimento Observability and Management, mentre i team DBA e Application hanno letto o utilizzato le autorizzazioni per le metriche nel compartimento Observability and Management.
• Compartimento Oracle Cloud Observability and Management Platform per i dati di log
  • Utilizza i compartimenti delle risorse cloud esistenti per memorizzare i dati di log delle risorse cloud per ogni team di supporto o business unit per accedere ai propri dati di log.
  • Creare i gruppi di log di Logging e Logging Analytics nello stesso compartimento delle risorse cloud.
  • Memorizza tutte le risorse correlate ai log, inclusi i gruppi di log di Logging Analytics, le entità di log, le ricerche salvate, i dashboard e i criteri di conservazione, all'interno di questi compartimenti.
  • Definisci criteri di accesso rigorosi per garantire che ogni team possa accedere ai propri log limitando al contempo l'accesso ai dati di log di altri team.
  • Definire i compartimenti di log rispettivamente nel compartimento di rete, nel compartimento di sicurezza, nel compartimento dell'applicazione e nel compartimento di database.

Considerazioni

Quando si implementa questa architettura di riferimento, considerare queste opzioni.

• Oracle Cloud Observability and Management Platform: progettazione della gerarchia dei compartimenti correlati
  La progettazione della gerarchia dei compartimenti correlati a Oracle Cloud Observability and Management Platform ha lo scopo di aiutare i team operativi e di progettazione a semplificare le operazioni cloud, mantenendo al contempo la governance e la postura della sicurezza del cloud appropriate. Due dati correlati al monitoraggio e alla registrazione distinguibili in OCI:

  • Dati delle metriche: datapoint aggregati, ad esempio metriche complete di disponibilità e prestazioni raccolte dai servizi avanzati di osservabilità e gestione dalle risorse cloud.
  • Dati di log: i dati di log non elaborati dall'host, dal database, dal middleware o dall'applicazione, ad esempio syslog, alert log di database e dati di log non elaborati, possono contenere dati riservati.
  • La natura dei dati di log che potrebbero contenere informazioni riservate sullo spazio dei nomi dell'applicazione o dell'utente.
  • Il perimetro di sicurezza dei dati di log deve essere definito nello stesso compartimento delle risorse cloud.
  • Il team di supporto o la business unit che deve accedere ai dati di log deve avere lo stesso livello di accesso alle risorse cloud e alla relativa configurazione di base.
• Altre risorse Oracle Cloud Observability and Management Platform nell'infrastruttura OCI
  • Metriche servizio: le risorse cloud OCI forniscono metriche di servizio di base per impostazione predefinita nel servizio di monitoraggio OCI. Le metriche del servizio pronte all'uso vengono memorizzate negli spazi di nomi delle metriche designati nello stesso compartimento delle risorse cloud. Le metriche del servizio di risorse cloud sono gratuite e non è possibile modificare il compartimento delle metriche del servizio.
  • L'origine log, i parser e i campi di Logging Analytics sono risorse a livello di tenancy e verranno associati alla tenancy (compartimento radice).
  • I log generati dalle risorse del compartimento Oracle Cloud Observability and Management Platform per la diagnostica, ad esempio i log di Management Agent e i log del connettore servizio, devono essere memorizzati nel compartimento Oracle Cloud Observability and Management Platform.

Visualizza altro

Esaminare queste soluzioni aggiuntive per ulteriori informazioni sulle caratteristiche di questa architettura di riferimento.

• Procedure ottimali per i compartimenti
• Monitoraggio dello stack OCI
• Termini e concetti di OCI Logging Analytics
• Servizio Gestione database OCI
• Servizio OCI Operations Insights
• Dettagli tecnici di Oracle Management Agent
• Dettagli tecnici agente di monitoraggio unificato
• Framework delle best practice per Oracle Cloud Infrastructure
• Documentazione di Oracle Cloud Infrastructure
• Valutatore costi Oracle Cloud

Conferme

• Author: Royce Fu
• Contributors: Leon Shaner, Sriram Vrinda