Implantar Conectividade de Rede Privada de Entrada e Saída Multinuvem

A conexão de serviços e aplicativos executados em redes privadas com aplicativos empresariais locais usando a internet pública pode representar um risco de segurança para sua organização. Em vez disso, você pode implantar uma conexão privada de entrada e saída com aplicativos em redes privadas, como Amazon Virtual Private Cloud, Microsoft Azure Virtual Network, Google Cloud Virtual Private Cloud ou outra rede privada local.

Usando o agente de conectividade do Oracle Integration Cloud Service e o ponto final privado do OCI Oracle Integration Cloud Service, o Oracle Integration Cloud Service direciona o tráfego de entrada e saída do OCI para aplicativos locais.

Arquitetura

Essa arquitetura fornece a conectividade necessária entre redes privadas multicloud e os serviços e aplicativos de nuvem da Oracle sem direcionar o tráfego pela internet pública como parte de sua integração de saída e entrada do Oracle Integration Cloud Service. Use essa arquitetura quando tiver um requisito para consumir e interagir com uma conexão privada somente do Oracle Integration Cloud Service.

O Oracle Integration Cloud Service expõe os serviços de integração do trigger da API REST como disponíveis publicamente, e todas as integrações do trigger REST estão disponíveis para serem acessadas por meio de uma rede pública por padrão. Usando a lista de permissões do Oracle Integration Cloud Service, você pode restringir o acesso ao Oracle Integration Cloud Service apenas a consumidores privados. Os consumidores privados não acessarão o Oracle Integration Cloud Service diretamente, mas por meio da camada de virtualização de serviços do OCI representada pelo Gateway de API do OCI.

As interações do OCI de entrada são ativadas pelo Gateway de API do OCI, que permite publicar APIs com pontos finais privados acessíveis de dentro da sua rede. Nesta arquitetura, você publicará os serviços de integração do Oracle Integration Cloud Service como APIs privadas em combinação com o Oracle Integration Cloud Service. Serviços adicionais do OCI são usados para ativar a conectividade privada para interações de entrada e saída do Oracle Integration Cloud Service.

Há 3 tipos de interação nesta arquitetura:

• Agente de Conectividade do Oracle Integration Cloud Service

  Inscreva-se em serviços de negócios, aplicativos e plataformas privadas. Essa arquitetura usa o agente de conectividade do Oracle Integration Cloud Service para se comunicar com serviços ou aplicativos de negócios privados. O agente de conectividade do Oracle Integration Cloud Service é instalado em uma instância de computação do OCI em uma sub-rede privada dentro de uma VCN do OCI. O agente de conectividade se comunica com o Oracle Integration Cloud Service por meio de um gateway de serviço de um lado e com o serviço ou o aplicativo em execução em uma rede privada do outro lado por meio de um gateway de roteamento dinâmico (DRG) e um pareamento privado FastConnect ou VPN. O agente de conectividade implementa cenários de saída do Oracle Integration Cloud Service; no entanto, ele é capaz de assinar e sondar serviços de negócios, plataformas e aplicativos (por exemplo, serviço de mensagem java, fila de mensagens ou banco de dados).

• Conectividade de Ponto Final Privado do OCI

  Todo o tráfego de saída do Oracle Integration Cloud Service passa por uma conexão com base em um adaptador. Enquanto você cria um ponto final privado para uma instância, a proteção do tráfego de saída com o ponto final privado está disponível adaptador por adaptador. Por exemplo, um adaptador Kafka e um adaptador FTP suportam conectividade por meio de um ponto final privado, e nenhum agente de conectividade do Oracle Integration Cloud Service é necessário. O suporte ao adaptador de conectividade de ponto final privado cresce a cada atualização do Oracle Integration Cloud Service.

• Gateway de API do OCI

  Aproveite os serviços do OCI sem rotear o tráfego de entrada do OCI por meio de redes públicas. Estenda o padrão privado Gateway de API do OCI usando um gateway de serviço na VCN em que o Gateway de API do OCI é provisionado para permitir o tráfego para serviços Oracle. O OCI API Gateway permite que plataformas e aplicativos privados chamem serviços e funções em execução no OCI. Nesta arquitetura, o OCI API Gateway fornece acesso a integrações baseadas em trigger do adaptador de API REST e à API de gerenciamento do Oracle Integration Cloud Service com conectividade privada.

O diagrama a seguir ilustra essa arquitetura de referência.

Descrição da ilustração integration-cloud-private-inbound-outbound.png

integration-cloud-private-inbound-outbound.zip

A arquitetura tem os seguintes componentes:

• Região

  Região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, denominada domínios de disponibilidade. As regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou até mesmo continentes).

• Domínios de disponibilidade

  Domínios de disponibilidade são data centers stand-alone e independentes dentro de uma região. Os recursos físicos de cada domínio de disponibilidade são isolados dos recursos de outros domínios de disponibilidade, o que oferece tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura como energia ou refrigeração ou a rede interna do domínio de disponibilidade. Portanto, uma falha em um domínio de disponibilidade não deve afetar os outros domínios de disponibilidade na região.

• domínios de falha

  Um domínio de falha é um agrupamento de hardware e infraestrutura dentro de um domínio de disponibilidade. Cada domínio de disponibilidade tem três domínios de falha com energia e hardware independentes. Quando você distribui recursos entre vários domínios de falha, seus aplicativos podem tolerar falhas físicas do servidor, manutenção do sistema e falhas de energia dentro de um domínio de falha.

• VCN (rede virtual na nuvem) e sub-redes

  Uma VCN é uma rede personalizável definida por software que você configura em uma região do Oracle Cloud Infrastructure. Como as redes tradicionais de data center, as VCNs oferecem total controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você pode alterar após a criação da VCN. Você pode segmentar uma VCN em sub-redes, com escopo definido para uma região ou para um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não se sobrepõem a outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.

• Tabela de rota

  As tabelas de roteamento virtual contêm regras para rotear o tráfego de sub-redes para destinos fora de uma VCN, geralmente por meio de gateways.

• Lista de segurança

  Para cada sub-rede, você pode criar regras de segurança que especifiquem a origem, o destino e o tipo de tráfego que deve ser permitido dentro e fora da sub-rede.

• Gateway de roteamento dinâmico (DRG)

  O DRG é um roteador virtual que fornece um caminho para o tráfego de rede privada entre VCNs na mesma região, entre uma VCN e uma rede fora da região, como uma VCN em outra região do Oracle Cloud Infrastructure, uma rede local ou uma rede em outro provedor de nuvem.

• CPE (Customer-premises equipment)

  Um objeto que representa o ativo de rede que reside na rede local e estabelece a conexão VPN. A maioria dos firewalls de borda atua como o CPE, mas um dispositivo separado (como um appliance ou um servidor) pode ser um CPE.

• VPN entre Sites

  Site-to-Site VPN provides IPSec VPN connectivity between your on-premises network and VCNs in Oracle Cloud Infrastructure. A suíte de protocolos IPSec criptografa o tráfego IP antes que os pacotes sejam transferidos da origem para o destino e decriptografa o tráfego quando ele chega.

• FastConnect

  O Oracle Cloud Infrastructure FastConnect fornece uma maneira fácil de criar uma conexão privada dedicada entre o seu data center e o Oracle Cloud Infrastructure. O FastConnect oferece opções de largura de banda maior e uma experiência de rede mais confiável quando comparado com conexões baseadas na internet.

• Ponto Final Privado do OCI

  O ponto final Privado do OCI é um recurso privado do OCI que você pode usar para acessar recursos de nuvem não pública em sua tenancy do Oracle Cloud Infrastructure Resource Manager. O Oracle Integration Cloud Service roteia o tráfego e os pacotes por meio do ponto final privado. Todo o tráfego permanece na sua rede privada sem passar pela internet pública.

• Gateway de API

  O Oracle API Gateway permite que você publique APIs com pontos finais privados acessíveis na sua rede e que você pode expor à internet pública, se necessário. Os pontos finais suportam validação de API, transformação de solicitação e resposta, CORS, autenticação e autorização e limitação de solicitação.

• Oracle Integration Cloud Service

  O Oracle Integration Cloud Service é um serviço totalmente gerenciado que permite integrar seus aplicativos, automatizar processos, trocar documentos de negócios B2B e criar aplicativos visuais.

• Serviço Functions

  O Oracle Cloud Infrastructure Functions é uma plataforma Functions-as-a-Service (FaaS) totalmente gerenciada, multitenant, altamente escalável e sob demanda. É alimentado pelo mecanismo de código aberto do Fn Project. As funções permitem que você implante seu código e o chame diretamente ou acione em resposta a eventos. O Oracle Functions usa contêineres do Docker hospedados no Oracle Cloud Infrastructure Registry.

• Oracle Cloud Infrastructure AI Services

  O Oracle Cloud Infrastructure AI Services é uma coleção de serviços com modelos de machine learning predefinidos que facilitam a aplicação da IA a aplicativos e operações de negócios. Os modelos podem ser treinados de forma personalizada para obter resultados de negócios mais precisos. Para obter mais informações, consulte Oracle Cloud Infrastructure Generative AI, Oracle Cloud Infrastructure Language, Oracle Cloud Infrastructure Speech, Oracle Cloud Infrastructure Vision e Oracle Cloud Infrastructure Document Understanding.

• Serviços de Aprendizado de Máquina (ML)

  Os serviços de machine learning da Oracle facilitam a criação, o treinamento, a implementação e o gerenciamento de modelos de aprendizado personalizados. Esses serviços oferecem recursos de ciência de dados com suporte de bibliotecas e ferramentas de código aberto favoritas ou por meio de machine learning no banco de dados e acesso direto a dados limpos. Consulte Oracle Cloud Infrastructure Data Science, Machine Learning no Oracle Database, Oracle Cloud Infrastructure Data Labeling, OCI Virtual Machines for Data Science.

• Oracle Digital Assistant

  Assistentes digitais são dispositivos virtuais que ajudam os usuários a realizar tarefas por meio de conversas na linguagem natural, sem precisar gerenciar vários aplicativos e sites.

• Serviço IAM (Identity and Access Management)

  O Oracle Cloud Infrastructure Identity and Access Management (IAM) é o plano de controle de acesso para o Oracle Cloud Infrastructure (OCI) e o Oracle Cloud Applications. A API do serviço IAM e a interface do usuário permitem que você gerencie domínios de identidade e os recursos dentro do domínio de identidades. Cada domínio de identidades do OCI IAM representa uma solução independente de gerenciamento de identidade e acesso ou uma população de usuários diferente.

• Política

  Uma política do Oracle Cloud Infrastructure Identity and Access Management especifica quem pode acessar quais recursos e como. O acesso é concedido no nível de grupo e compartimento. Isso significa que você pode gravar uma política que dá a um grupo um tipo específico de acesso em um compartimento específico ou à tenancy.

• Auditoria

  O serviço Oracle Cloud Infrastructure Audit registra automaticamente as chamadas para todos os pontos finais suportados do Oracle Cloud Infrastructure Public Application Programming Interface (API) como eventos de log. Atualmente, todos os serviços suportam os logs do Oracle Cloud Infrastructure Audit.

• Logging
  O Logging é um serviço altamente escalável e totalmente gerenciado que oferece acesso aos seguintes tipos de logs de seus recursos na nuvem:

  • Logs de Auditoria: Logs relacionados a eventos emitidos pelo serviço Audit.
  • Logs de serviço: Logs emitidos por serviços individuais, como API Gateway, Events, Functions, Balanceamento de Carga, Object Storage e logs de fluxo da VCN.
  • Logs personalizados: Logs que contêm informações de diagnóstico de aplicativos personalizados, outros provedores de nuvem ou um ambiente on-premises.
• Oracle Cloud Infrastructure Logging Analytics

  O Oracle Cloud Infrastructure Logging Analytics é um serviço de nuvem baseado em aprendizado de máquina que monitora, agrega, indexa e analisa todos os dados de log de ambientes on-premises e de várias nuvens. Permitindo que os usuários pesquisem, explorem e correlacionem esses dados para diagnosticar e solucionar problemas mais rapidamente e obter insights para tomar decisões operacionais melhores.

• Object Storage

  O armazenamento de objetos fornece acesso rápido a grandes quantidades de dados estruturados e não estruturados de qualquer tipo de conteúdo, incluindo backups de bancos de dados, dados de análise e conteúdo avançado, como imagens e vídeos. Você pode armazenar de forma segura e depois recuperar dados diretamente da internet ou de dentro da plataforma da nuvem. Você pode dimensionar facilmente o armazenamento sem prejudicar o desempenho ou a confiabilidade do serviço. Use o armazenamento padrão para armazenamento de acesso frequente que você precisa para acessar de forma rápida, imediata e com frequência. Use o armazenamento de arquivos compactados para armazenamento "frio" que você mantém por longos períodos de tempo e raramente acessa.

Recomendações

Use as recomendações a seguir como ponto de partida. Seus requisitos podem ser diferentes da arquitetura descrita aqui.

• VCN

  Ao criar uma VCN, determine o número de blocos CIDR necessários e o tamanho de cada bloco com base no número de recursos que você planeja anexar às sub-redes na VCN. Use blocos CIDR que estejam dentro do espaço de endereço IP privado padrão.

  Selecione blocos CIDR que não se sobreponham a qualquer outra rede (no Oracle Cloud Infrastructure, seu data center local ou outro provedor de nuvem) para a qual você pretende configurar conexões privadas.

  Depois de criar uma VCN, você poderá alterar, adicionar e remover seus blocos CIDR.

  Ao projetar as sub-redes, considere seus requisitos de fluxo de tráfego e segurança. Anexe todos os recursos dentro de uma camada ou função específica à mesma sub-rede, que pode servir como um limite de segurança.

• Conectividade

  Ao implantar recursos no Oracle Cloud Infrastructure, você pode começar pequeno, com uma única conexão com sua rede local. Essa conexão única pode ser por meio de FastConnect ou por meio da IPSec VPN. Para planejar a redundância, considere todos os componentes (dispositivos de hardware, instalações, circuitos e energia) entre sua rede local e o Oracle Cloud Infrastructure. Considere também a diversidade, para garantir que as instalações não sejam compartilhadas entre os caminhos.

• Restringir o Acesso a uma Instância do Oracle Integration Cloud Service

  Restrinja as redes que têm acesso à sua instância do Oracle Integration Cloud Service configurando uma lista de permissões (anteriormente uma lista de permissões). Somente usuários dos endereços IP específicos, blocos CIDR (Classless Inter-Domain Routing) e redes virtuais na nuvem que você especificar podem acessar a instância do Oracle Integration Cloud Service.

• Rede de Ponto Final Privada

  A VCN deve estar na mesma região da instância do Oracle Integration Cloud Service. A VCN e a sub-rede podem estar em qualquer compartimento e podem estar no mesmo compartimento ou em outros compartimentos. A sub-rede pode ser pública ou privada, mas deve ser privada apenas para acesso privado.

Considerações

Considere os pontos a seguir ao implantar essa arquitetura de referência.

• Escalabilidade

  Ao criar instâncias do Oracle Integration Cloud Service, os administradores especificam o número de pacotes de mensagens que planejam usar por instância.

• Limites de Recursos

  Considere as melhores práticas, os limites por serviço e as cotas de compartimento para sua tenancy.

• Segurança

  Use as políticas do Oracle Cloud Infrastructure Identity and Access Management para controlar quem pode acessar seus recursos de nuvem e quais operações podem ser executadas. Os serviços de nuvem do OCI usam políticas do Oracle Cloud Infrastructure Identity and Access Management, como permitir que o Gateway de API do OCI chame funções. O OCI API Gateway também pode controlar o acesso usando autenticação e autorização OAuth. O Oracle Cloud Infrastructure Identity and Access Management permite autenticação e autorização que podem ser federadas por meio do Oracle Cloud Infrastructure Identity and Access Management - como resultado, o Gateway de API do OCI tem o poder de autenticação em uma ampla variedade de serviços e configurações de autenticação.

• Desempenho e Custo

  A OCI oferece formas de computação que atendem a uma ampla variedade de aplicativos e casos de uso. Escolha as formas das suas instâncias de computação com cuidado. Selecione formas que forneçam o desempenho ideal para sua carga pelo menor custo. Se precisar de mais desempenho, memória ou largura de banda de rede, você poderá mudar para uma forma maior.

  O OCI API Gateway suporta o armazenamento em cache de resposta integrando-se a um servidor de cache externo (como um servidor Redis ou KeyDB), para ajudar a evitar carga desnecessária em serviços de backend. Quando as respostas são armazenadas em cache, se solicitações semelhantes forem recebidas, elas poderão ser concluídas recuperando dados de um cache de resposta, em vez de enviar a solicitação ao serviço de backend. Isso reduz a carga nos serviços de back-end e, portanto, ajuda a melhorar o desempenho e reduzir os custos.

  O OCI API Gateway também armazena em cache os tokens de autorização (com base no tempo de saída), reduzindo a carga no provedor de identidades e melhorando o desempenho.

• Disponibilidade

  Considere usar uma opção de alta disponibilidade com base em seus requisitos de implantação e região. As opções incluem a distribuição de recursos entre vários domínios de disponibilidade em uma região e a distribuição de recursos entre os domínios de falha em um domínio de disponibilidade. Os domínios de falha fornecem a melhor resiliência para cargas de trabalho implantadas em um único domínio de disponibilidade. Para obter alta disponibilidade na camada de aplicativos, implante os servidores de aplicativos em diferentes domínios de falha e use um balanceador de carga para distribuir o tráfego do cliente entre os servidores de aplicativos.

• Monitoramento e Alertas

  Configure monitoramento e alertas sobre o uso de CPU e memória para seus nós, para que você possa ampliar ou reduzir a forma conforme necessário.

Implante

Você pode implantar essa arquitetura de referência no Oracle Cloud Infrastructure seguindo estas etapas:

1. Acesse a console do OCI.
2. Configure a infraestrutura de rede necessária, conforme mostrado no diagrama da arquitetura: VCN, sub-rede, gateway de roteamento dinâmico, lista de segurança, tabela de roteamento, gateway de serviço, FastConnect/VPN, CPE e ponto final privado do OCI.
3. Provisione uma instância do Oracle Integration Cloud Service.
4. Instale o agente de conectividade do Oracle Integration Cloud Service.
   1. Navegue até a console do Oracle Integration Cloud Service e crie um grupo de agentes.
   2. Siga as instruções para fazer download, executar e instalar o agente de conectividade.
   3. Navegue até a console do OCI e selecione formas de computação de acordo com os requisitos do sistema do Oracle Integration Cloud Service.
5. Configure o ponto final privado do Oracle Integration Cloud Service.
6. Crie uma instância do OCI API Gateway.
7. Restrinja as redes com acesso à sua instância do Oracle Integration Cloud Service configurando uma lista de permissões, se necessário.

Explorar Mais

Revise esses recursos para obter instruções e contexto para implementar conectividade de rede privada multinuvem por meio do Oracle Integration Cloud Service.

Oracle Integration Cloud Service

• "Fazer Download e Executar o Instalador do Agente de Conectividade" em Provisionando e Administrando o Oracle Integration 3
• "Requisitos do Sistema" em Provisionando e Administrando o Oracle Integration 3
• "Pré-requisitos para Configurar um Ponto Final Privado" em Provisionando e Administrando o Oracle Integration 3
• "Sobre a Conexão com Pontos Finais Usando uma VCN (Rede Virtual na Nuvem Privada)" em Provisionando e Administrando o Oracle Integration 3
• "Connect to Private Resources" em Provisionando e Administrando o Oracle Integration 3

Oracle Cloud Infrastructure API Gateway

• "API Gateway QuickStart Guide" na documentação do Oracle Cloud Infrastructure
• Documentação do Oracle API Gateway

Oracle Cloud Infrastructure

• Estrutura de melhores práticas do Oracle Cloud Infrastructure
• Estimativa de Custos do Oracle Cloud
• Gerenciamento de API Oracle
• "FastConnect Overview" na documentação do Oracle Cloud Infrastructure
• "Networking Overview" na documentação do Oracle Cloud Infrastructure
• "Visão Geral da Segurança" na documentação do Oracle Cloud Infrastructure
• Estabeleça uma conectividade de rede privada com várias nuvens por meio do Oracle Integration Cloud

Confirmações

Autores:

• Peter Obert, Pavan Rajalbandi

Colaboradores:

• Marcel Straka