Compreender as Tecnologias de Conexão

Ao integrar um aplicativo de serviços do Oracle Utilities Cloud e um aplicativo hospedado externamente, no seu data center ou em um data center de terceiros, você pode selecionar entre três tecnologias de conectividade diferentes, dependendo dos requisitos de topologia e integração,

As tecnologias de conexão disponíveis são:

• Oracle Cloud Infrastructure FastConnect
• VPN Connect IPsec
• Reverter Proxy

Entenda o Oracle VPN Connect

Você pode usar o Oracle VPN Connect para conectar sua rede corporativa/privada ao Oracle Cloud Infrastructure (OCI) por meio da internet pública. Ele fornece comunicação segura por meio de um túnel privado virtual via internet pública entre os serviços do Oracle Utilities Cloud no OCI e o aplicativo externo ao qual ele se integra.

VPNs separadas devem ser configuradas para cada um do seu data center e para cada data center de terceiros que você pode precisar se conectar ao OCI, para integrar aplicativos externos. Os clientes precisam configurar e configurar o VPN Connect. O VPN Connect é um serviço gratuito, sem cobranças de horas de porta. O custo de transferência de dados é coberto pelo preço da nuvem de rede.

Quando Usar o VPN Connect

Quando essas condições existirem, você deverá considerar o uso do VPN Connect:

• Quando um aplicativo externo que precisa ser integrado aos serviços do Oracle Utilities Cloud está dentro da sua rede privada corporativa e você não planeja expor as APIs à internet pública (saída dos aplicativos de serviços do Oracle Utilities Cloud) de dentro do seu data center ou se o aplicativo não puder acessar a internet pública (de entrada nos serviços do Oracle Utilities Cloud), mas precisar ser integrado aos serviços do Oracle Utilities Cloud.

  Ao acessar pontos finais/APIs privados de aplicativo externo, um intermediário no Oracle Cloud Infrastructure seria necessário junto com o VPN Connect. Os serviços do Oracle Utilities Cloud não podem se conectar a endereços IP privados para comunicação de saída do SaaS; eles precisam de um endereço IP público com o qual se conectar, para integração.

• Quando aplicativos externos não usam certificados emitidos pela CA e você planeja usar um proxy reverso configurado no Oracle Cloud Infrastructure e o aplicativo externo não expõe nenhuma API à internet pública. O VPN Connect pode ser necessário para que o proxy reverso possa se conectar ao aplicativo externo do Oracle Cloud Infrastructure.
• Quando você deseja um canal de comunicação seguro pela internet pública para integrar os serviços do Oracle Utilities Cloud aos aplicativos do seu data center ou do data center de terceiros.

Preparar-se para Usar o VPN Connect

Antes de implementar o VPN Connect para integrar aplicativos externos ao Oracle SaaS, faça o seguinte:

• Compreenda os requisitos e as tarefas de configuração.
• Configure o CPE (customer-provided equipment).
• Planeje redundâncias que impedirão um tempo de inatividade dispendioso do sistema.

Configurar o IPSec VPN Connect

A configuração de uma rede IPSec VPN Connect entre aplicativos externos e o Oracle SaaS é um processo de várias etapas que pode ser complexo, a menos que você entenda cuidadosamente Este tópico fornece uma visão geral básica das etapas necessárias. Para obter mais detalhes, consulte Configurando o VPN Connect, referenciado em "Antes de Usar o VPN Connect".

1. Escolha o tipo de roteamento que funciona melhor para sua implementação. A VPN IPSec tem dois túneis IPSec redundantes e você deve configurar seu dispositivo CPE (customer-provided Equipment) para usar ambos os túneis. Você pode selecionar um dos dois tipos de roteamento para esses túneis:
   • Roteamento dinâmico BGP, com o qual as rotas disponíveis são obtidas dinamicamente por meio de BGP.
   • Roteamento estático, com o qual, quando você configura a conexão IPSec com o DRG, você especifica para a sua rede local as rotas específicas que você deseja que a VCN saiba.
   Consulte "Roteamento para a Oracle IPSec VPN", referenciado em "Antes de Usar o VPN Connect", para obter mais detalhes sobre como escolher o tipo de roteamento.
2. Preencha o questionário em Configurando o VPN Connect, referenciado em "Antes de Usar o VPN Connect". Essas perguntas exigem informações como o CIDR da sua VCN, o endereço IP público do seu dispositivo CPE, o tipo de roteamento que você planeja usar e outros detalhes pertinentes.
3. Configure os componentes da VPN IPSec:
   1. Crie a sua VCN.
   2. Criar um DRG.
   3. Anexar o DRG à sua VCN.
   4. Crie uma tabela de roteamento e uma regra de roteamento para o DRG.
   5. Crie uma lista de segurança e as regras necessárias.
   6. Crie uma sub-rede na VCN.
   7. Crie um objeto CPE e forneça o endereço IP público do seu dispositivo CPE.
   8. Crie uma conexão IPSec com o objeto CPE e forneça as informações de roteamento necessárias.
4. Use o Auxiliar de Configuração de CPE, que gerará as informações do seu engenheiro de rede a serem usadas ao configurar seu dispositivo CPE. Para obter mais informações, consulte Usando o Assistente de Configuração de CPE e também Configuração de CPE, referenciado em "Antes de Usar o VPN Connect".
5. Faça com que o mecanismo de rede configure o dispositivo CPE.
6. Valide a conectividade.

Configurar Equipamento Fornecido pelo Cliente

Os engenheiros de rede exigem informações básicas sobre as interfaces internas e externas do seu dispositivo local, ou seja, o seu equipamento fornecido ao cliente ou o CPE. Isso permitirá que eles configurem esse dispositivo local na sua extremidade da VPN IPSec para que o tráfego entre a sua rede local e a VCN.

Observação:

A Oracle verificou software específico para uso com o VPN Connect; no entanto, listando-os aqui está além do escopo deste Playbook. Você pode ver essa lista em Dispositivos CPE Verificados, mencionados em "Antes de Usar o VPN Connect".

O engenheiro de rede precisará seguir as seguintes etapas:

1. Determine os requisitos de roteamento. O sistema Oracle usa o roteamento assimétrico entre os diversos túneis que compõem a conexão VPN IPSec. Mesmo que você configure um túnel como principal e outro como backup, o tráfego da sua VCN para a sua rede local poderá usar qualquer túnel que esteja "ativo" no seu dispositivo.

   Configure os firewalls de forma adequada. Caso contrário, o ping de testes ou do tráfego de aplicativos na conexão não funcionará corretamente. Se usar o roteamento dinâmico BGP com a sua VPN IPSec, você poderá configurar o roteamento para que o sistema Oracle dê preferência a um túnel em relação ao outro.

2. Colete informações importantes sobre a VCN e uma conexão IPSec com vários túneis IPSec. Essas informações incluem:
   • OCID da VCN, que é um identificador exclusivo do Oracle Cloud Infrastructure que tem um UUID no final
   • CIDR da VCN
   • Máscara de sub-rede do CIDR da VCN
   • Para cada túnel IPSec, o endereço IP do ponto final do túnel Oracle IPSec (o headend da VPN) e o segredo compartilhado
3. Colete informações básicas sobre as interfaces internas e externas do seu dispositivo local (o seu CPE).
4. Determine se os headends da Oracle VPN usam túneis baseados em rota ou túneis baseados em política (observe também que o uso de túneis baseados em política vem com algumas cavernas).
5. Observe estas melhores práticas de VPN IPSec:
   • Configure todos os túneis para cada conexão IPSec.
   • Ter CPEs redundantes nas suas localizações locais.
   • Considere as rotas agregadas de backup.
6. Teste e confirme o status da conexão. Após configurar a conexão IPSec, teste-a ativando uma instância na VCN e ping-a em sua rede local.

Redundâncias de Plano

As redundâncias na implementação do IPSec VPN Connect garantem um desempenho confiável e minimizam ou eliminam tempos de inatividade custosos e outras tensões no sistema. Ao implementar redundâncias, a chave é criar caminhos de backup criados para eficiência, velocidade e disponibilidade.

Para planejar a redundância, considere todos os componentes (hardware, instalações, circuitos e potência) entre sua rede local e o Oracle Cloud Infrastructure. Considere também a diversidade para garantir que as instalações não sejam compartilhadas entre os caminhos. As considerações de redundância são descritas aqui:

Componente	Considerações
provedor de serviços de Internet (ISP)	Nem todos os ISPs são iguais. Os relacionamentos de pareamento do seu ISP permitem que seu tráfego seja roteado de forma mais eficiente, reduzindo a latência à medida que varia na internet.
Hardware	Ative os serviços com hardware redundante e garanta que não haja um único ponto de falha em qualquer lugar do caminho. Como você lidará com a manutenção da infraestrutura (pela Oracle ou seu próprio departamento de TI)? Você consegue tolerar tempo de inatividade? Quanto tempo de inatividade você pode tolerar?
Diversidade de instalações	Você tem alimentações de alimentação redundantes? Você tem diversos pontos de entrada de telecomunicações no seu prédio? Seu equipamento está em racks ou data centers diferentes?
Diversidade POP do Oracle FastConnect	Deseja encerrar os dois circuitos FastConnect no mesmo ponto de presença (POP) ou em diferentes locais? Observe que a diversidade POP só está disponível nas regiões Phoenix, Ashburn, Frankfurt e Londres.
Diversidade do provedor de circuito	Você está planejando usar diversas transportadoras? Seus circuitos WAN ou Internet são totalmente diversos, ou eles compartilham um POP? Observe que ter diferentes transportadoras não significa que os circuitos sejam totalmente diversos.

Para revisar alguns exemplos úteis de planejamento de redundância, consulte os "Casos de Uso de Redundância" no Guia de Redundância de Conectividade, mencionados em "Antes de Usar o VPN Connect" em outro lugar neste Playbook.

Antes de Usar o VPN Connect

As melhores práticas anteriores do VPN Connect foram utilizadas na documentação do Oracle Cloud Infrastructure, que contém informações mais detalhadas sobre esse serviço. Antes de usar o VPN Connect, revise o seguinte:

• Para obter uma lista de verificação de pré-requisitos do VPN Connect, consulte Antes de Iniciar.
• Para entender o processo de configuração do VPN Connect, consulte Configurando o VPN Connect.
• Para obter uma lista de dispositivos de equipamentos fornecidos pelo cliente (CPE) e sua configuração, consulte Dispositivos CPE Verificados e Configuração do CPE.
• Para obter diretrizes de planejamento de redundância, consulte Redundância do Planning.

Entenda o OCI FastConnect

O Oracle FastConnect permite que uma linha privada dedicada seja instalada por um provedor de telecomunicações entre um data center externo e o data center do Oracle Cloud Infrastructure (OCI). Isso fornece comunicação confiável e segura por meio de uma linha privada dedicada separada que conecta o data center do OCI e o data center externo e fornece recursos de comunicação fora da internet pública.

O Oracle FastConnect pode ser usado com o data center pertencente ao cliente do aplicativo de serviços do Oracle Utilities Cloud ou com data center de terceiros para integrar aplicativos externos. A capacidade do FastConnect com um data center de terceiros pode envolver acordos/conforto adicionais. Se o recurso FastConnect for necessário, ele precisará ser licenciado separadamente e configurado pelo cliente.

Quando Usar o OCI FastConnect

Use o OCI FastConnect sempre que for necessária uma linha privada dedicada de alta largura de banda entre o data center que hospeda o aplicativo externo e o aplicativo de serviços do Oracle Utilities Cloud.

Preparar-se para Usar o OCI FastConnect

Antes de implementar o FastConnect do Oracle Cloud Infrastructure para integrar aplicativos externos ao Oracle SaaS, faça o seguinte:

• Verifique a documentação do OCI FastConnect.
• Entenda os requisitos do OCI FastConnect.
• Analise os conceitos de projeto mais eficazes.
• Planeje redundâncias.

Revisar Documentação do FastConnect

A Oracle fornece uma documentação substancial e abrangente para implementar e usar o OCI FastConnect, que está além do escopo desse manual. Consulte os links no tópico "Antes de Usar o OCI FastConnect" para localizar esse conteúdo.

Compreender os Requisitos do FastConnect

Antes de começar a usar o FastConnect, você precisa atender a um conjunto de requisitos de implementação.

No mínimo, atenda a estes requisitos:

• Tenha uma conta do Oracle Cloud Infrastructure, com pelo menos um usuário com permissões apropriadas do Oracle Cloud Infrastructure Identity and Access Management (IAM).
• Têm as permissões apropriadas do Oracle Cloud Infrastructure Identity and Access Management (IAM) (por exemplo, um usuário do grupo Administradores).
• Possibilite equipamentos de rede que suportem o roteamento de Camada 3 usando BGP.
• Para co-localização com uma Oracle: capacidade de estabelecer conexão usando uma fibra de modo único no local onde há FastConnect selecionado. Consulte também os Requisitos de Hardware e Roteamento.
• Para conexão com um parceiro Oracle, você precisa de pelo menos uma conexão de rede física com o parceiro.
• Para conexão com um provedor de terceiros, você precisa de pelo menos uma conexão física com o provedor.
• Apenas para pareamento privado, você precisa de pelo menos um DRG existente configurado para a sua VCN.
• Apenas para armazenamento público: você precisa da lista de prefixos de endereço IP públicos que deseja usar com a conexão. O sistema Oracle validará sua propriedade de cada prefixo.

Você pode encontrar informações adicionais sobre esses requisitos na documentação de Requisitos de Hardware e Roteamento, mencionada no tópico "Antes de Usar o OCI FastConnect" em outro lugar deste Playbook.

Verificar Opções de Design do FastConnect

Há três opções de FastConnect para escolher: Provedor da Oracle, Provedor de Terceiros e Co-localização. Este tópico o ajudará a escolher a melhor opção para sua implementação, com base em pontos importantes no design.

Você precisa considerar três pontos principais ao planejar uma implantação do FastConnect:

• Primeiro, determine o local da Oracle à qual você deseja se conectar.

  A Oracle tem vários locais em todo o mundo, denominados Regiões, onde o Oracle Cloud Infrastructure é implantado. Cada região tem um ou dois locais de entrada física chamados Centros de Dados FastConnect (DC). O FastConnect DC é o ponto de entrada na região do OCI e é equipado com hardware redundante. O FastConnect DC é onde o cliente estabelecerá conectividade. Você pode encontrar uma lista completa de regiões ativadas pelo FastConnect no site Provedor de Rede e Parceiros de Intercâmbio da Oracle na América do Norte, mencionados no tópico "Antes de Usar o OCI FastConnect".

• Em seguida, identifique os serviços aos quais você deseja se conectar por meio do FastConnect (também conhecido como circuito virtual).
  O FastConnect refere-se à conexão física entre o local e o OCI (Oracle Cloud Infrastructure). No FastConnect, você criará um circuito virtual para se conectar a serviços no OCI. Há dois tipos de circuitos virtuais (VC):

  • Pareamento privado, que é um circuito virtual quando você deseja conectar-se no local à sua VCN (Virtual Cloud Network) dentro do OCI.
  • Pareamento público, que é um circuito virtual que você pode usar para conectar seu sistema local ao Oracle Services Network (OSN) e acessar serviços públicos sem usar a Internet.
• Por fim, determine que tipo de FastConnect usar:
  Quais das três opções de FastConnect melhor atendem às suas necessidades? Para responder a essa pergunta, você precisa considerar alguns aspectos diferentes do seu design:

  • Onde está localizado o data center do cliente?
  • Quantos data centers o cliente deseja conectar-se ao OCI
  • Qual relação o cliente tem com fornecedores ou transportadoras?
  • Onde o provedor pode fornecer circuitos ou estabelecer conexão cruzada com
  • Quão rápido o cliente deseja que o FastConnect seja implantado? Largura de banda de latência de custo

  Estes são os pontos principais a serem considerados no design e na escolha da opção FastConnect adequada. Por exemplo, se o cliente tiver uma boa relação com o Provedor A, mas o Provedor A não for um Provedor Oracle, a próxima opção será usar o provedor de Terceiros ou a opção Co-localização. Se o Provedor A puder implantar circuitos no FastConnect DC, mas não puder implantar a conexão cruzada no FastConnect DC, o cliente precisará analisar um provedor diferente. Se o cliente não estiver no mesmo endereço que o FastConnect DC, a Co-localização não será uma opção.

Esta é apenas uma breve descrição sobre como lidar com as opções de design para implementar o OCI FastConnect. Para obter uma discussão mais detalhada dessas opções de design, consulte o blog post FastConnect Design, referenciado no tópico "Antes de Usar o OCI FastConnect".

Redundâncias de Plano

As redundâncias na implementação do OCI FastConnect garantem um desempenho confiável e minimizam ou eliminam tempos de inatividade custosos e outras tensões no sistema. Ao implementar redundâncias, a chave é criar caminhos de backup criados para eficiência, velocidade e disponibilidade.

Embora quais melhores práticas de redundância você deve seguir depender de qual modelo de conectividade você usa, sempre deverá projetar sua rede para obter alta disponibilidade (HA) e que esteja preparado para esses tipos de interrupção:

• Manutenção programada regularmente pela sua organização, pelo provedor (se você estiver usando um) ou pela Oracle.
• Falhas inesperadas nos seus componentes de rede, no seu provedor ou no sistema Oracle. As falhas são raras, mas você deve se planejar para elas.

Para ajudar a garantir a redundância, a Oracle fornece:

• Vários provedores para cada região
• Dois locais de FastConnect para cada uma das regiões a seguir (Todas as outras regiões têm um único local de FastConnect)
  • Centro da Alemanha (Frankfurt)
  • Sul do Reino Unido (Londres)
  • Leste dos EUA (Ashburn)
  • Oeste dos EUA (Phoenix)
• Dois roteadores em cada local onde há FastConnect
• Várias conexões físicas entre cada parceiro Oracle e o sistema Oracle (para determinada região)

Você pode encontrar uma discussão mais abrangente das melhores práticas específicas para um modelo de conectividade OCI FastConnect nas Melhores Práticas de Redundância do FastConnect, referenciado em "Antes de Usar o OCI FastConnect".

Antes de usar o OCI FastConnect

As melhores práticas do FastConnect do Oracle Cloud Infrastructure anteriores foram provenientes da documentação do OCI, que contém informações mais detalhadas sobre esse serviço. Antes de usar o FastConnect, você deve verificar o seguinte:

• Para obter uma documentação abrangente do FastConnect, consulte FastConnect.
• Para entender os pré-requisitos do FastConnect, consulte Requisitos do FastConnect.
• Para obter as melhores práticas ao criar uma implementação FastConnect, consulte Design do FastConnect e Melhores Práticas de Redundância do FastConnect.

Entender o Exemplo de Proxy Reverso

Um proxy reverso é um tipo de servidor proxy que proxies um ou mais servidores e recupera recursos desses servidores em nome de um cliente. O cliente vê as solicitações como sendo atendidas pelo proxy reverso e é oblivoso para os servidores que o proxy reverso abstrai. Um proxy reverso pode ser usado para expor pontos finais/APIs privados à internet pública e também para fornecer comunicações seguras usando certificados assinados, se um servidor/aplicativo não usar certificados assinados.

Você pode provisionar um proxy reverso na zona militarizada do data center que tenha acesso à sua rede corporativa/privada e expor pontos finais específicos do seu aplicativo à internet pública por meio do proxy reverso, para integração com aplicativos de serviços do Oracle Utilities Cloud no OCI.

Na ausência de certificados assinados pela CA nos aplicativos externos que precisam ser integrados aos aplicativos de serviços do Oracle Utilities Cloud (mais especificamente para comunicação de saída dos aplicativos de serviços do Oracle Utilities Cloud), você pode configurar um proxy reverso com certificados assinados pela CA para proxy do aplicativo/aplicativos externos.

Um único proxy reverso pode ser configurado para proxy para vários aplicativos, sujeito à configuração de rede. O proxy reverso pode ser configurado no Oracle Cloud Infrastructure ou na zona de rede desmilitarizada do seu data center, com base na aplicabilidade. Você pode usar o software de proxy apropriado que precisa de VM e outras assinaturas de recursos, configuração e configuração, conforme necessário, para ter a configuração de proxy reverso no Oracle Cloud Infrastructure.

Quando Usar Proxy Reverso

As APIs do aplicativo externo não são expostas à internet pública; portanto, um proxy reverso configurado no data center do aplicativo externo ou no Oracle Cloud Infrastructure pode expor esses pontos finais aos aplicativos de serviços do Oracle Utilities Cloud.

Caso o proxy reverso seja configurado no Oracle Cloud Infrastructure, o VPN Connect poderá ser necessário se as APIs do aplicativo externo não forem expostas à internet pública. Se os aplicativos externos não usarem certificados assinados pela CA. Em seguida, um único proxy reverso com certificados emitidos pela CA pode ser configurado para um ou mais aplicativos externos.

Veja um exemplo de configuração de um Proxy Reverso no OCI:

1. Para configurar um proxy reverso no OCI, crie uma instância de VM na sua VCN.
2. Se você estiver usando o Linux como O/S para sua VM, configure regras de entrada na sua VCN para permitir SSH para a VM.
3. Faça download e instale um software de proxy reverso na VM recém-provisionada no OCI e configure-o para que possa receber a comunicação dos serviços do Oracle Utilities Cloud e roteá-la para o aplicativo externo por meio da VPN.
4. Certifique-se de configurar o proxy reverso com um endereço IP público para que o Oracle Utilities Cloud Service possa enviar a comunicação de saída para o proxy reverso.

Consulte "Entender os canais de integração disponíveis" em outro lugar deste playbook para entender os canais suportados e os requisitos adicionais para a integração com sistemas externos.

Compreender as Diferenças Entre o VPN Connect e o OCI FastConnect

Se você não precisar usar um proxy reverso para implementar a integração entre o aplicativo de serviços do Oracle Utilities Cloud e um aplicativo hospedado externamente, mas ainda não tiver certeza de se deseja usar o IPSec VPN Connect ou o OCI FastConnect, o entendimento das diferenças entre os dois ajudará você a fazer a determinação correta.

Uma VPN IPSec estabelece uma conexão de rede criptografada pela internet entre o data center do aplicativo externo e a sua rede virtual na nuvem (VCN) do Oracle Cloud Infrastructure. Ele fornece largura de banda baixa ou modesta e tem a variabilidade inerente às conexões baseadas na internet.

O FastConnect dispensa a internet. Em vez disso, ele usa conexões de rede privada dedicadas entre a rede ou o data center do aplicativo externo e sua VCN.

Outras comparações estão aqui:

	VPN Connect IPSec	OCI FastConnect
Caso de uso	Cargas de trabalho de desenvolvimento, teste e produção em pequena escala	Cargas de trabalho de classe empresarial e de missão crítica, Oracle Applications, Backup, DR
Serviços Suportados	Todos os Serviços OCI na VCN	Todos os Serviços OCI na VCN
Largura de Banda Típica	Geralmente < agregado de 250 Mbps	Maior largura de banda; incrementos de portas de 1 Gbps e 10 Gbps
Internet	Segurança do Protocolo Internet (IPsec)	BGP (Border Gate Protocol)
Rota	Roteamento Estático	Roteamento Dinâmico
Resiliência da Conexão	ativo-ativo	ativo-ativo
Criptografia	Sim, por padrão	Não, pode ser obtido usando o firewall virtual
Preços	Gratuito para um serviço gerenciado	Horas de Porta faturáveis Sem cobrança de transferência de dados entre domínios de disponibilidade
Acordo de Nível de Serviço	Nenhum Contrato de Nível de Serviço	99.9% de disponibilidade do Service Level Agreement