프라이빗 엔드포인트를 통해 OCI Object Storage로의 온프레미스 데이터베이스 백업을 위한 보안 네트워크 아키텍처
오프사이트 백업은 비즈니스 연속성에 매우 중요합니다. Oracle Cloud Infrastructure(OCI)는 프라이빗 엔드포인트가 포함된 OCI Object Storage를 백업 대상으로 제공합니다. OCI는 OCI Object Storage와 연관된 퍼블릭 IP 주소 없이 고객 온프레미스 위치에서 보안 및 프라이빗 연결을 구축합니다.
구조
이 참조 아키텍처는 Oracle Exadata Database Service on Cloud@Customer 데이터를 OCI Object Storage에 백업하기 위한 안전한 고성능 프라이빗 네트워크 설계를 보여줍니다.
최적의 네트워크 성능을 위해 프라이빗 피어링을 갖춘 Oracle Cloud Infrastructure FastConnect는 온프레미스 데이터 센터를 고객 테넌트의 OCI 리전과 연결합니다.
OCI Object Storage 프라이빗 엔드포인트는 VCN 내 고객 서브넷의 프라이빗 IP를 사용하여 오브젝트 스토리지에 대한 보안 액세스를 제공합니다.
OCI 프라이빗 DNS 영역은 VCN을 통해 접속하는 클라이언트에 대해서만 응답을 제공합니다. OCI DNS 수신 엔드포인트를 구성하고 온프레미스 고객 데이터 센터에서 전달 규칙을 구현함으로써 원활한 하이브리드 DNS 분석을 수행할 수 있습니다.
다음 다이어그램은 이 참조 구조를 보여줍니다.
보안 백업-oci-object-storage-oracle.zip
아키텍처의 구성 요소는 다음과 같습니다.
- 지역
OCI 리전은 가용성 도메인을 호스팅하는 데이터 센터가 하나 이상 포함된 지역화된 지리적 영역입니다. 지역은 다른 지역과 독립적이며, 광대한 거리는 (국가 또는 대륙에 걸쳐) 그들을 분리 할 수 있습니다.
- 가용성 도메인
가용성 도메인은 한 지역 내의 독립형 독립형 데이터 센터입니다. 각 가용성 도메인의 물리적 리소스는 내결함성을 제공하는 다른 가용성 도메인의 리소스와 격리됩니다. 가용성 도메인은 전원 또는 냉각과 같은 인프라나 내부 가용성 도메인 네트워크를 공유하지 않습니다. 따라서 한 가용성 도메인의 장애가 해당 지역의 다른 가용성 도메인에 영향을 미치지 않아야 합니다.
- VCN(가상 클라우드 네트워크에 연결) 및 서브넷
VCN은 OCI 리전에 설정하는 커스터마이징 가능한 소프트웨어 정의 네트워크입니다. 기존 데이터 센터 네트워크와 마찬가지로 VCN을 사용하면 네트워크 환경을 제어할 수 있습니다. VCN에는 VCN을 생성한 후 변경할 수 있는 겹치지 않는 CIDR(클래스리스 도메인 간 경로 지정) 블록이 여러 개 있을 수 있습니다. VCN을 서브넷으로 분할할 수 있으며, 이 서브넷은 지역 또는 가용성 도메인으로 범위가 지정될 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속적인 주소 범위로 구성됩니다. 썸네일의 크기는 생성 이후 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.
- DRG(동적 경로 지정 게이트웨이)
The DRG is a virtual router that provides a path for private network traffic between VCNs in the same region, between a VCN and a network outside the region, such as a VCN in another OCI region, an on-premises network, or a network in another cloud provider.
- FastConnect
Oracle Cloud Infrastructure FastConnect는 데이터 센터와 OCI 간의 전용 개인 연결을 생성합니다. FastConnect은 인터넷 기반 연결에 비해 더 높은 대역폭 옵션과보다 안정적이고 일관적인 네트워킹 환경을 제공합니다.
- 오브젝트 스토리지
OCI Object Storage는 데이터베이스 백업, 분석 데이터, 이미지 및 비디오와 같은 리치 콘텐츠 등 모든 콘텐츠 유형의 대량의 정형 및 비정형 데이터에 대한 액세스를 제공합니다. 인터넷 또는 클라우드 플랫폼 내에서 직접 안전하고 안전하게 데이터를 저장할 수 있습니다. 성능 또는 서비스 안정성이 저하되지 않고 스토리지를 확장할 수 있습니다.
신속하고 즉각적이며 자주 액세스하는 데 필요한 "핫" 스토리지에 표준 스토리지를 사용합니다. 장기간 보관하며 거의 또는 거의 액세스하지 않는 "콜드" 스토리지에 아카이브 스토리지를 사용합니다.
- 오브젝트 스토리지 프라이빗 끝점
오브젝트 스토리지 프라이빗 끝점은 OCI VCN 또는 온프레미스 네트워크에서 오브젝트 스토리지에 대한 보안 액세스를 제공합니다. 프라이빗 끝점은 VNC 내에서 선택한 서브넷에 프라이빗 IP 주소가 있는 VNIC입니다. 이 방법은 OCI 서비스와 연관된 퍼블릭 IP 주소를 사용하여 서비스 게이트웨이를 사용하는 대신 사용할 수 있습니다.
- 프라이빗 DNS 분석기
전용 DNS 분석기는 VCN에 대한 DNS 쿼리에 응답합니다. 전용 분석기는 뷰 및 영역과 조건부 전달 규칙을 사용하여 DNS 질의에 응답하는 방법을 정의하도록 구성할 수 있습니다.
- 수신 끝점입니다.
수신 엔드포인트는 VCN 내에서 또는 다른 VCN 분석기, 다른 클라우드 서비스 제공업체의 DNS(예: AWS, GCP 또는 Azure) 또는 온프레미스 네트워크의 DNS로부터 쿼리를 수신합니다. 생성된 후에는 수신 끝점에 대한 추가 구성이 필요하지 않습니다.
권장사항
- VCN
VCN을 생성할 때 VCN의 서브넷에 연결하려는 리소스 수에 따라 필요한 CIDR 블록 수와 각 블록의 크기를 결정합니다. 표준 전용 IP 주소 공간 내에 있는 CIDR 블록을 사용합니다.
프라이빗 접속을 설정하려는 다른 네트워크(Oracle Cloud Infrastructure, 온프레미스 데이터 센터 또는 다른 클라우드 제공자)와 겹치지 않는 CIDR 블록을 선택합니다.
VCN을 생성한 후 해당 CIDR 블록을 변경, 추가 및 제거할 수 있습니다.
서브넷을 설계할 때 트래픽 흐름 및 보안 요구 사항을 고려하십시오. 특정 계층 또는 역할 내의 모든 리소스를 보안 경계로 사용될 수 있는 동일한 서브넷에 연결합니다.
- IAM 정책 및 네트워크 소스
VCN에서 프라이빗 끝점을 생성하고 버킷과 연관해도 인터넷 또는 기타 네트워크 소스의 버킷에 대한 액세스가 제한되지 않습니다. 버킷에서 IAM 정책을 사용하여 규칙을 정의해야 하므로 요청이 특정 VCN 또는 해당 VCN 내의 CIDR 블록에서 시작되는 경우에만 요청이 승인됩니다. 인터넷을 통한 기타 모든 액세스는 이러한 버킷에 대해 차단됩니다.
- 보안
OCI 수신 끝점에 NSG(네트워크 보안 그룹)를 지정하고 모든 거부 보안 상태에 따라 보안 그룹을 구성하여 포트 UDP:53의 온프레미스 DNS IP만 허용합니다. 오브젝트 스토리지 프라이빗 끝점은 특정 버킷 및 구획에 대한 액세스를 제한하도록 구성할 수 있습니다.
- 고가용성
이 아키텍처는 단순화된 디자인을 보여줍니다. 운용 중인 배치에서 설계가 고가용성 최적의 방법을 따르는지 확인합니다.
Deploy
위의 아키텍처 다이어그램에서 온프레미스에서 OCI로 네트워크 통신 및 DNS 확인을 구성하려면 다음과 같은 고급 단계를 완료하십시오.
네트워크 구성
- VCN 생성.
- 오브젝트 스토리지 프라이빗 끝점에 대한 프라이빗 서브넷을 생성합니다.
- 오브젝트 스토리지 프라이빗 끝점을 배치합니다.
- DNS 끝점에 대한 프라이빗 서브넷을 생성합니다.
- DRG를 만듭니다.
- DRG에 VCN을 연결합니다.
- 프라이빗 가상 회로로 FastConnect을 생성하여 온프레미스에 접속하고 DRG에 연결합니다.
DNS 구성
- VCN DNS 분석기에서 수신 끝점을 생성하여 DNS 서브넷에 배치합니다.
- DNS 서브넷 보안 목록에서 온프레미스 DNS 서버에 대한 소스 IP를 사용하는 UDP:53을 허용합니다.
- 온프레미스 DNS 서버에서 DNS 전달 규칙을 생성합니다. 아래 테이블에서 규칙을 구성합니다.
도메인 이름 * 대상 IP:포트 objectstorage. <oci-region-identifier>.oci.customer-oci.comOCI 수신 끝점 IP입니다. 포트 53 swiftobjectstorage. <oci-region-identifier>.oci.customer-oci.comOCI 수신 끝점 IP입니다. 포트 53 *지역 및 가용성 도메인에 대한 최신 정보는 지역 및 가용성 도메인을 참조하십시오.