管理ゲートウェイを使用したオンプレミスの可観測性データの安全なアップロード

エンタープライズ・クラスのオンプレミス環境の可観測性と管理には、管理ツールへの制限付きアクセスとともに、データの転送をセキュアかつ効率的に行うことが不可欠です。

通常、可観測性および管理アプリケーションはインターネットを介して公開およびアクセスされますが、顧客が企業ネットワークのみへのアクセスを制限し、Oracle Cloudで実行されているSaaSアプリケーションへの専用の高帯域幅接続を提供することを希望する場合があります。

アーキテクチャ

このリファレンス・アーキテクチャは、オンプレミスまたはサードパーティのクラウド・ネットワークで収集されたOracle Cloud Observability and Management Platformデータをセキュア・ゾーン内で転送する方法を示しています。このソリューションは、エージェントを介して収集されたデータを管理ゲートウェイにルーティングし、セキュア・トンネルを介してトラフィックをOracle Cloud Observability and Management Platformサービスにルーティングすることを提案します。

サービス・ゲートウェイを使用したDynamic Routing Gatewayを介したルーティングを使用した参照アーキテクチャ

VCNのサービス・ゲートウェイを介してOracleサービスへのプライベート・アクセスを持つオンプレミス・ネットワークを設定できます。サービス・ゲートウェイを使用すると、オンプレミス・ネットワーク内のホストは、プライベートIPアドレスからサポートされているOracleサービスを使用および通信できます。

サービス・ゲートウェイでサポートされているサービスの詳細は、「詳細」セクションの「サービス・ゲートウェイ: Oracle Services Networkでサポートされているクラウド・サービス」リンクを参照してください。OCIサービスIP範囲に対してのみトラフィックを許可するように、オンプレミス・エッジ・ノードにセキュリティ・リストを設定することをお薦めします。

次の図は、リファレンス・アーキテクチャを示しています。



mgmtgw-secure-upload-sgw-arch-oracle.zip

ゲートウェイ・ピアリングによる参照アーキテクチャ

セキュアなトンネルで管理ゲートウェイ・ピアリングを介してOracleサービスへのプライベート・アクセスを持つオンプレミス・ネットワークを設定できます。オンプレミス管理ゲートウェイは、トラフィックをクラウドVCN内の管理ゲートウェイにリダイレクトするように構成されています。

サービス・ゲートウェイを使用すると、このトラフィックをOracle Cloud Observability and Management Platformサービスに転送できます。

次の図は、リファレンス・アーキテクチャを示しています。



mgmtgw-secure-upload-peering-arch-oracle.zip

アーキテクチャには次のコンポーネントがあります。

  • リージョン

    Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含むローカライズされた地理的領域です。リージョンは他のリージョンから独立しており、広大な距離で(国間や大陸間でも)リージョンを分離できます。

  • 仮想クラウド・ネットワーク(VCN)およびサブネット

    VCNは、Oracle Cloud Infrastructureリージョンで設定するカスタマイズ可能なソフトウェア定義ネットワークです。VCNは、従来のデータ・センター・ネットワークと同様に、ネットワーク環境の完全な制御を可能にします。VCNには重複しない複数のCIDRブロックを含めることができ、VCNの作成後にそれらを変更できます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。

  • VCNアタッチメント

    1つのDRGに複数のVCNをアタッチできます。各VCNは、DRGと同じテナンシに配置することも、異なるテナンシに配置することもできます。

  • ルート表

    仮想ルート表には、サブネットからVCN外部の宛先(通常はゲートウェイ経由)へのトラフィックをルーティングするルールが含まれます。

  • セキュリティ・リスト

    サブネットごとに、サブネットの内外で許可する必要があるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。

  • サイト間VPN

    サイト間VPNは、オンプレミス・ネットワークとOracle Cloud InfrastructureのVCN間のIPSec VPN接続を提供します。IPSecプロトコル・スイートは、パケットがソースから宛先に転送される前にIPトラフィックを暗号化し、到着時にトラフィックを復号化します。

  • 動的ルーティング・ゲートウェイ(DRG)

    DRGは、VCNとリージョン外部のネットワーク(別のOracle Cloud InfrastructureリージョンのVCN、オンプレミス・ネットワーク、別のクラウド・プロバイダ内のネットワークなど)間の、同じリージョン内のVCN間のプライベート・ネットワーク・トラフィックのパスを提供する仮想ルーターです。

  • サービス・ゲートウェイ

    サービス・ゲートウェイは、VCNからOracle Cloud Infrastructure Object Storageなどの他のサービスへのアクセスを提供します。The traffic from the VCN to the Oracle service travels over the Oracle network fabric and never traverses the internet.

  • 管理ゲートウェイ

    管理ゲートウェイは、管理エージェントおよびその他のクライアントがOCIサービスに接続するための単一のエグレス・ポイントを提供します。

  • 管理エージェント

    管理エージェントを使用すると、管理エージェントがインストールされているホストまたは仮想ホストに存在するソースから、管理サービス・プラグインがデータをモニターおよび収集できます。管理エージェントは、管理エージェント・サービスを使用してOCIに直接接続できます。

  • ログ・アナリティクス

    Oracle Cloud Infrastructure Logging Analyticsは、27を超えるリージョンで使用可能な完全管理型のSaaSリージョン・サービスで、オンプレミス、OCIまたはサードパーティ・クラウドで実行されているITコンポーネントからのログの収集、索引付け、エンリッチメント、問合せ、ビジュアライゼーションおよびアラートを提供します。

  • Application Performance Monitoring

    Oracle Cloud Infrastructure Application Performance Monitoringを使用すると、アプリケーションのパフォーマンスを詳細に可視化でき、一貫したレベルのサービスを提供するために問題を迅速に診断できます。これには、オンプレミスまたはクラウドのクライアント、サードパーティ・サービスおよびバックエンド・コンピューティング層にまたがる複数のコンポーネントおよびアプリケーション・ロジックの監視が含まれます。

  • データベース管理

    Database Management Cloud Serviceは、オンプレミスおよびクラウド・データベースの統合コンソールと、モニタリング、パフォーマンス管理、チューニング、および管理のためのライフサイクル・データベース管理機能を備えたDBAを提供します。高度なデータベース・フリート診断およびチューニングを使用して、問題のトラブルシューティングとパフォーマンスの最適化を行います。リアルタイムSQLモニタリングを使用してSQLを最適化し、データベース構成を簡素化します。

  • オペレーション・インサイト

    Oracle Cloud Infrastructure Operations Insightsにより、管理者は履歴データおよびSQLデータに関する機械学習ベースの分析を使用して、パフォーマンスの問題の発見、消費の予測、容量の計画を行うことができます。組織は、これらの機能を使用してデータ主導の意思決定を行い、リソースの使用を最適化し、予防的に停止を回避し、パフォーマンスを向上させることができます。

注意事項

このリファレンス・アーキテクチャを実装する場合は、次のオプションを検討してください。

  • コスト

    管理ゲートウェイ、管理エージェント、VCN、サブネット、DRG、セキュリティ・リストおよびルート表は、追加コストはありません。デプロイメントのテストVMでは、Free Tierシェイプを使用できます。

    Free Tierインスタンスを使用する場合は、テストVMを通常のシェイプ・インスタンスとして設定します。

  • 可用性と冗長性
    • 管理ゲートウェイのHAは、ロード・バランサの背後にあるデプロイメントをサポートします。
    • DRGは冗長化され、自動的にフェイルオーバーされます。
    • 各接続に複数のトンネルを設定できます。
    • 本番環境では、異なるプロバイダからの複数のインターネット・リンクを使用することを検討してください。

謝辞

  • Author: Parmeet Arora
  • Contributor: Zubair Ansari