Architettura di rete sicura per i backup del database on premise nello storage degli oggetti OCI con endpoint privato

I backup fuori sede sono fondamentali per la continuità aziendale. Oracle Cloud Infrastructure (OCI) offre OCI Object Storage con endpoint privato come destinazione di backup, in cui OCI crea una connettività sicura e privata dalla posizione on-premise del cliente senza indirizzi IP pubblici associati a OCI Object Storage.

Architettura

Questa architettura di riferimento mostra una struttura di rete sicura, ad alte prestazioni e privata per eseguire il backup dei dati di Oracle Exadata Database Service on Cloud@Customer nello storage degli oggetti OCI.

Per ottenere prestazioni di rete ottimali, Oracle Cloud Infrastructure FastConnect con peering privato connette il data center on-premise a un'area OCI di un tenant cliente.

L'endpoint privato dello storage degli oggetti OCI fornisce accesso sicuro allo storage degli oggetti utilizzando un IP privato in una subnet cliente all'interno di una VCN.

Una zona DNS privata OCI fornisce risposte solo per i client che si connettono tramite una VCN. Configurando un endpoint di ascolto DNS OCI e implementando regole di inoltro nel data center del cliente on-premise, si ottiene una risoluzione DNS ibrida trasparente.

Il diagramma seguente illustra questa architettura di riferimento.

Descrizione dell'illustrazione secure-backup-oci-object-storage.png

backup sicuro-oggetti-oggetti-storage-oracle.zip

L'architettura ha i seguenti componenti:

• Area

  Un'area geografica OCI è un'area geografica localizzata che contiene uno o più data center, che ospitano domini di disponibilità. Le regioni sono indipendenti da altre regioni e vaste distanze possono separarle (tra paesi o addirittura continenti).

• Domini di disponibilità

  I domini di disponibilità sono data center autonomi e indipendenti all'interno di un'area. Le risorse fisiche in ogni dominio di disponibilità sono isolate dalle risorse negli altri domini di disponibilità, il che fornisce tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio alimentazione o raffreddamento, o la rete interna del dominio di disponibilità. Pertanto, un errore in un dominio di disponibilità non dovrebbe influire sugli altri domini di disponibilità nell'area.

• Rete e subnet cloud virtuale (VCN)

  Una VCN è una rete personalizzabile e definita dal software impostata in un'area OCI. Come le reti di data center tradizionali, le reti VCN ti danno il controllo sul tuo ambiente di rete. Una VCN può avere più blocchi CIDR (Classless Inter-Domain Routing) non sovrapposti che è possibile modificare dopo aver creato la VCN. È possibile segmentare una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. È possibile modificare le dimensioni di una sottorete dopo la creazione. Una subnet può essere pubblica o privata.

• Gateway di instradamento dinamico (DRG)

  Il gateway DRG è un router virtuale che fornisce un percorso per il traffico di rete privato tra le reti VCN nella stessa area, tra una VCN e una rete esterna all'area, ad esempio una VCN in un'altra area OCI, una rete on premise o una rete in un altro provider cloud.

• FastConnect

  Oracle Cloud Infrastructure FastConnect crea una connessione dedicata e privata tra il tuo data center e OCI. FastConnect offre opzioni di larghezza di banda più elevata e un'esperienza di networking più affidabile se confrontata con le connessioni basate su internet.

• Memorizzazione degli oggetti

  Lo storage degli oggetti OCI fornisce l'accesso a grandi quantità di dati strutturati e non strutturati di qualsiasi tipo di contenuto, inclusi backup del database, dati analitici e contenuti avanzati come immagini e video. Puoi archiviare i dati in modo sicuro e sicuro direttamente da Internet o dalla piattaforma cloud. È possibile ridimensionare lo storage senza subire alcun deterioramento a livello di prestazioni o affidabilità del servizio.

  Utilizza lo storage standard per lo storage "caldo" a cui devi accedere in modo rapido, immediato e frequente. Utilizzare lo storage di archivio per lo storage "a freddo" che si conserva per lunghi periodi di tempo e a cui si accede raramente o raramente.

• Endpoint privato dello storage degli oggetti

  L'endpoint privato dello storage degli oggetti fornisce un accesso sicuro allo storage degli oggetti dalle reti VCN OCI o in locale. L'endpoint privato è una VNIC con un indirizzo IP privato in una subnet scelta all'interno di VNC. Questo metodo è un'alternativa all'uso di un gateway di servizi che utilizza indirizzi IP pubblici associati ai servizi OCI.

• Resolver DNS privati

  Un resolver DNS privato risponde alle query DNS per una VCN. Un resolver privato può essere configurato per utilizzare le viste e le zone, nonché le regole di inoltro condizionale per definire come rispondere alle query DNS.

• Endpoint di ascolto

  Un endpoint di ascolto riceve query dall'interno della VCN o da altri resolver VCN, dal DNS di altri provider di servizi cloud (come AWS, GCP o Azure) o dal DNS della rete on premise. Una volta creato, non sono necessarie ulteriori configurazioni per un endpoint di ascolto.

Suggerimenti

Usa i suggerimenti riportati di seguito durante la progettazione della rete per il backup dei dati di Oracle Exadata Database Service on Cloud@Customer nello storage degli oggetti OCI tramite endpoint privato. I requisiti potrebbero essere diversi dall'architettura qui descritta.

• VCN

  Quando crei una VCN, determina il numero di blocchi CIDR necessari e la dimensione di ciascun blocco in base al numero di risorse che prevedi di collegare alle subnet nella VCN. Utilizzare blocchi CIDR che si trovano all'interno dello spazio degli indirizzi IP privati standard.

  Seleziona blocchi CIDR che non si sovrappongono a nessun'altra rete (in Oracle Cloud Infrastructure, nel tuo data center on-premise o in un altro provider cloud) a cui intendi impostare connessioni private.

  Dopo aver creato una VCN, è possibile modificare, aggiungere e rimuovere i relativi blocchi CIDR.

  Quando si progettano le subnet, considerare il flusso di traffico e i requisiti di sicurezza. Collegare tutte le risorse all'interno di un livello o ruolo specifico alla stessa subnet, che può fungere da limite di sicurezza.

• Criteri IAM e origini di rete

  La creazione di un endpoint privato in una VCN e l'associazione a un bucket non limita l'accesso al bucket da Internet o da altre origini di rete. È necessario definire regole utilizzando i criteri IAM nel bucket, pertanto le richieste sono autorizzate solo se provengono da una VCN specifica o da un blocco CIDR all'interno di tale VCN. Tutti gli altri accessi, anche su Internet, sono bloccati su questi bucket.

• Sicurezza

  Assegnare un gruppo di sicurezza di rete (NSG) all'endpoint di ascolto OCI e configurare il gruppo di sicurezza in base a una postura di sicurezza di negazione dell'accesso, consentendo solo l'IP DNS in locale sulla porta UDP:53. L'endpoint privato dello storage degli oggetti può essere configurato per limitare l'accesso a bucket e compartimenti specifici.

• High Availability

  Questa architettura mostra un design semplificato. In una distribuzione di produzione, assicurarsi che la progettazione segua le best practice dell'alta disponibilità.

Deploy

Per configurare la comunicazione di rete e la risoluzione DNS da on-premise a OCI nel diagramma dell'architettura sopra riportato, completare i passi di alto livello riportati di seguito.

Configurazione di rete

1. Creare una VCN.
2. Creare una subnet privata per l'endpoint privato dello storage degli oggetti.
3. Distribuire l'endpoint privato dello storage degli oggetti.
4. Creare una subnet privata per l'endpoint DNS.
5. Creare un DRG.
6. Collegare la VCN al DRG.
7. Creare un FastConnect con un circuito virtuale privato per connettersi a ambienti in locale e collegarlo al DRG.

Configurazione DNS

1. Creare un endpoint di ascolto nel resolver DNS VCN, distribuirlo nella subnet DNS.
2. Nella lista di sicurezza della subnet DNS, consentire UDP:53 con IP di origine per il server DNS in locale.
3. Crea regole di inoltro DNS nel server DNS in locale. Configurare le regole dalla tabella seguente.

   Nome dominio*	IP di destinazione:Porta
   objectstorage. <oci-region-identifier>.oci.customer-oci.com	IP endpoint di ascolto OCI. Porta 53
   swiftobjectstorage. <oci-region-identifier>.oci.customer-oci.com	IP endpoint di ascolto OCI. Porta 53

   *Per informazioni più aggiornate sulle aree e i domini di disponibilit, vedere Aree e domini di disponibilit.

Scopri di più

Esaminare queste risorse aggiuntive per ulteriori informazioni sulle funzioni di questa architettura di riferimento.

• Endpoint privati nello storage degli oggetti
• Documentazione di Oracle Exadata Database Service on Cloud@Customer
• Documentazione su Oracle Cloud Infrastructure
• Framework ben strutturato per l'infrastruttura Oracle Cloud
• Stima dei costi di Oracle Cloud
• Framework di adozione cloud

Conferme

• Autori: Ricardo Anda, Ejaz Akram