1. Applications Web sécurisées hébergées sur Oracle Cloud VMware Solution avec des certificats OCI
  2. Applications Web sécurisées hébergées sur Oracle Cloud VMware Solution avec des certificats OCI

Applications Web sécurisées hébergées sur Oracle Cloud VMware Solution avec des certificats OCI

Publiez vos applications critiques en toute sécurité en intégrant Oracle Cloud VMware Solution à Oracle Cloud Infrastructure Certificates et Oracle Cloud Infrastructure Load Balancing (LBaaS).

Dans le paysage en constante évolution du cloud computing, deux composants essentiels sont apparus comme des piliers essentiels pour optimiser les performances, la sécurité et l'évolutivité des applications Web : les équilibreurs de charge et les certificats SSL/TLS. Ces éléments jouent un rôle essentiel pour assurer un fonctionnement transparent, l'intégrité des données et la confiance des utilisateurs dans l'environnement cloud.

Les équilibreurs de charge répartissent le trafic réseau entrant entre plusieurs serveurs ou instances pour éviter qu'un seul serveur ne soit submergé, ce qui garantit une utilisation et une réactivité optimales.

Avec les réseaux de traversée de données, assurer leur confidentialité et leur intégrité est crucial. C'est là que les certificats SSL/TLS entrent en jeu. Ces certificats numériques sont utilisés pour négocier un canal de communication chiffré, le protégeant de l'écoute électronique, de la falsification ou de l'accès non autorisé.

Le mariage des équilibreurs de charge et des certificats SSL/TLS au sein de l'infrastructure cloud est une combinaison puissante. Les équilibreurs de charge garantissent une distribution efficace du trafic, optimisent les performances et empêchent les surcharges, tandis que les certificats SSL/TLS sécurisent les transmissions de données, garantissent la confidentialité et l'intégrité. Cette synergie améliore non seulement l'expérience de l'utilisateur final, mais contribue également de manière significative à l'état de sécurité général des serveurs Web hébergés sur Oracle Cloud VMware Solution.

Oracle Cloud VMware Solution fournit un environnement cloud natif géré par le client et basé sur VMware, installé dans la location d'un client, et offre un contrôle total à l'aide des outils VMware habituels.

Oracle Cloud Infrastructure (OCI) est une offre nouvelle génération d'infrastructure en tant que service (IaaS) conçue selon des principes de conception axés sur la sécurité. Ces principes incluent la virtualisation de réseau isolé et le déploiement d'hôtes physiques immaculés, qui étaient auparavant difficiles à réaliser avec des conceptions de cloud public antérieures. Grâce à ces principes de conception, OCI contribue à réduire les risques liés aux menaces persistantes avancées.

Cette architecture de référence décrit les options d'intégration pour Oracle Cloud VMware Solution avec OCI Certificates et Oracle Cloud Infrastructure Load Balancing (LBaaS) permettant aux clients de publier en toute sécurité leurs applications critiques. Cependant, LBaaS peut également être utilisé sans service de certificat.

Architecture

Cette architecture de référence logique se concentre sur l'utilisation des certificats OCI devant les serveurs Web exécutés dans les charges globales Oracle Cloud VMware Solution.

Les certificats sont générés à l'aide de certificats OCI natifs et exploités par l'équilibreur de charge de couche 7 OCI pour le déchargement SSL. Les serveurs Web s'exécutent dans le SDDC Oracle Cloud VMware Solution sous la forme de machines virtuelles.

Ce diagramme logique représente le flux de trafic global qui représente le déchargement SSL au niveau de l'équilibreur de charge de couche 7 OCI et qui est approuvé par les certificats émis par les certificats OCI.


La description de ocvs-traffic-flow-diagram.png suit
Description de l'illustration ocvs-traffic-flow-diagram.png

ocvs-traffic-flow-diagramme-oracle.zip

Le diagramme suivant illustre les deux types d'options de connectivité réseau de l'équilibreur de charge OCI vers les serveurs Web hébergés dans le SDDC Oracle Cloud VMware Solution. Il décrit également l'émission des certificats SSL de l'autorité de certification exécutée dans OCI pour un accès sécurisé aux serveurs Web en l'intégrant à l'équilibreur de charge OCI.

Remarques :

Les certificats émis par OCI Certificates ne peuvent être utilisés que dans l'équilibreur de charge OCI et la fonctionnalité ne peut pas être étendue aux serveurs Web pour SSL de bout en bout.

En ce qui concerne la connexion de vos serveurs Web hébergés dans Oracle Cloud VMware Solution au réseau cloud virtuel, vous disposez de deux options de connectivité :

  • Segments NSX
  • Groupes de ports soutenus par le réseau local virtuel (VLAN)

Les segments NSX tirent parti de la mise en réseau définie par logiciel (SDN) pour créer des réseaux isolés et segmentés logiquement. Cette approche présente plusieurs avantages :

  • Micro-segmentation : Les segments NSX permettent la micro-segmentation, ce qui permet d'isoler et de sécuriser les charges de travail individuelles.
  • Evolutivité dynamique : les segments NSX sont hautement évolutifs et peuvent être provisionnés à la demande, en tenant compte des modifications du trafic réseau et des exigences de charge de travail.
  • Regroupement logique : les machines virtuelles peuvent être regroupées en fonction des niveaux d'application ou des exigences de sécurité, et les stratégies peuvent être appliquées au niveau du segment, ce qui garantit une application cohérente sur l'ensemble du réseau.
  • Gestion améliorée : NSX fournit une gestion centralisée pour la configuration réseau, les stratégies de sécurité et les flux de trafic.

Contrairement à la nature dynamique des segments NSX, les groupes de ports soutenus par VLAN utilisent la technologie VLAN traditionnelle pour isoler les machines virtuelles au sein d'un environnement virtualisé. Voici quelques caractéristiques clés de cette approche :

  • Simplicité et familiarité : pour les entreprises déjà familiarisées avec les VLAN, l'utilisation de groupes de ports soutenus par VLAN peut être simple et familière, nécessitant un minimum de formation supplémentaire.
  • Partage des ressources : Bien que les VLAN puissent isoler le trafic réseau, ils peuvent ne pas fournir le même niveau de granularité que les segments NSX en matière d'application de stratégies et de micro-segmentation.

Choisir la bonne approche

La décision d'utiliser des segments NSX ou des groupes de ports soutenus par VLAN dépend de divers facteurs, notamment les besoins spécifiques d'une organisation, l'infrastructure existante et les exigences de sécurité.

Les segments NSX et les groupes de ports soutenus par VLAN offrent chacun des avantages distincts dans la gestion des machines virtuelles au sein d'un environnement virtualisé. Les segments NSX excellent dans leur capacité à fournir une micro-segmentation, une évolutivité dynamique et une gestion centralisée, tandis que les groupes de ports soutenus par VLAN offrent simplicité et familiarité à ceux déjà habitués à la mise en réseau VMware traditionnelle.

Dans les sections suivantes, nous afficherons les aspects de connectivité LBaaS aux serveurs Web déployés dans des segments NSX et des groupes de ports soutenus par VLAN.

Serveurs Web connectés au segment de superposition NSX

Connectez les aspects de l'équilibreur de charge OCI aux serveurs Web connectés au segment de surcouche NSX dans OCVS et utilisez OCI Certificates pour émettre les certificats en vue de la publication sécurisée des serveurs Web exécutés dans OCVS.

L'objectif principal de cette architecture de référence est de présenter l'objectif suivant.

  • Aspect de connectivité de l'équilibreur de charge OCI avec des serveurs Web connectés au segment de surcouche NSX dans le SDDC Oracle Cloud VMware Solution.
  • Utilisation du gestionnaire de certificats pour émettre les certificats en vue de la publication sécurisée des serveurs Web exécutés dans le SDDC Oracle Cloud VMware Solution.

L'architecture des serveurs Web connectés au segment de réseau superposé NSX est illustrée ci-dessous.


La description de web-server-nsx-diagram.png suit
Description de l'illustration web-server-nsx-diagram.png

web-serveur-nsx-diagramme-oracle.zip

Composants d'architecture

L'architecture comporte les composants suivants.

  • Oracle Cloud VMware Solution : environnement dans la location client où les serveurs Web sont hébergés.
    • Segment de superposition NSX : Le segment de superposition NSX offre une connectivité réseau aux serveurs Web.
    • Routeur de niveau 0 : routeur logique qui fournit des services de passerelle entre le réseau logique et le réseau physique (Nord-Sud).
    • Routeur de niveau 1 : les segments de superposition NSX sont connectés au routeur de niveau 1 et contrôlent le trafic Est-Ouest.
    • VLAN NSX Edge de liaison montante 1 : ce VLAN est une interface entre la mise en réseau de sous-couche OCI et la mise en réseau de surcouche NSX pour assurer la liaison entre les réseaux de surcouche (NSX) et de sous-couche (VCN).
    • Serveurs Web : les serveurs Web sont les machines virtuelles déployées dans le SDDC Oracle Cloud VMware Solution.
  • Equilibreur de charge OCI (LBaaS) : équilibreur de charge OCI de couche 7 qui équilibre le trafic vers les serveurs Web. L'adresse IP publique ou l'adresse IP fournie par OCI peut être utilisée avec l'équilibreur de charge.
    • Vérification de l'état : les serveurs Web back-end sont configurés avec des vérifications de l'état HTTP.
    • Processus d'écoute : le processus d'écoute est configuré avec HTTPS pour le déchargement SSL.
  • Service OCI Certificate Manager : le service OCI Certificate Manager permet de fournir un accès sécurisé SSL/TLS aux serveurs, aux applications Web, etc. L'administrateur peut créer et gérer des hiérarchies d'autorités de certification privées et des certificats TLS qui s'intègrent à OCI Load Balancing.
    • Autorité de certification : les autorités de certification privées sont configurées pour émettre les certificats.
    • Vault : Les coffres assurent le chiffrement de vos données et applications avec un stockage de clés évolutif.
    • Clé : RSA (clé asymétrique) avec le mode HSM est la seule clé prise en charge pour les certificats.

Serveurs Web connectés au réseau VLAN

Connectez l'équilibreur de charge OCI à des serveurs Web connectés à vSphere DvPortGroup soutenu par le réseau VLAN et utilisez Certificats OCI pour émettre les certificats pour les serveurs Web de publication sécurisée exécutés dans le SDDC OCVS.

L'objectif principal de cette architecture de référence est de présenter l'objectif suivant.

  • Aspect de connectivité de l'équilibreur de charge OCI avec des serveurs Web connectés à vSphere DvPortGroup soutenu par le réseau VLAN.
  • Utilisation d'OCI Certificate Manager pour émettre les certificats en vue de la publication sécurisée des serveurs Web exécutés dans le SDDC Oracle Cloud VMware Solution.

L'architecture des serveurs Web connectés au réseau VLAN est illustrée ci-dessous.


La description de web-server-vlan-diagram.png suit
Description de l'illustration web-server-vlan-diagram.png

web-serveur-vlan-diagramme-oracle.zip

Composants d'architecture

L'architecture comporte les composants suivants.

  • Oracle Cloud VMware Solution : environnement dans la location client où les serveurs Web sont hébergés.
    • Réseau VLAN : VLAN dédié créé dans le VCN Oracle Cloud VMware Solution pour les serveurs Web. Ce réseau est considéré comme un réseau sous-jacent.
    • vSphere Distributed Switch (VDS) : commutateur virtuel dans vCenter pour fournir des fonctionnalités de réseau virtuel aux charges globales Oracle Cloud VMware Solution.
    • Groupe de ports distribués vSphere : options de configuration de port pour chaque port membre. Réseau soutenu par VLAN pour représenter la sous-couche des charges globales Oracle Cloud VMware Solution.
    • Serveurs Web : les serveurs Web sont les machines virtuelles déployées dans le SDDC Oracle Cloud VMware Solution.
  • Equilibreur de charge OCI (LBaaS) : équilibreur de charge OCI de couche 7 qui équilibre le trafic vers les serveurs Web. L'adresse IP publique ou l'adresse IP fournie par OCI peut être utilisée avec l'équilibreur de charge.
    • Vérification de l'état : les serveurs Web back-end sont configurés avec des vérifications de l'état HTTP.
    • Processus d'écoute : le processus d'écoute est configuré avec HTTPS pour le déchargement SSL.
  • Certificats OCI : Certificats OCI permet de fournir un accès sécurisé SSL/TLS aux serveurs, aux applications Web, etc. L'administrateur peut créer et gérer des hiérarchies d'autorités de certification privées et des certificats TLS qui s'intègrent à OCI Load Balancing.
    • Autorité de certification : autorités de certification privées configurées pour émettre les certificats.
    • Vault : Les coffres assurent le chiffrement de vos données et applications avec un stockage de clés évolutif.
    • Clé : RSA (clé asymétrique) avec le mode HSM est la seule clé prise en charge pour les certificats.

A propos des services obligatoires

Cette solution nécessite les services suivants :

  • Oracle Cloud VMware Solution
  • équilibrage de charge OCI
  • Certificats OCI

Il s'agit des rôles nécessaires pour chaque service.

Nom de service Obligatoire pour...
Oracle Cloud VMware Solution Exécutez des charges globales avec VMware vSphere.
équilibrage de charge OCI Equilibrer la charge du trafic.
Certificats OCI Emettre et gérer des certificats.

Reportez-vous à Produits, solutions et services Oracle pour obtenir ce dont vous avez besoin.