1. Implantar um serviço do Oracle API Gateway em um ambiente híbrido
  2. Implantar um Serviço do Oracle API Gateway em um Ambiente Híbrido

Implantar um Serviço do Oracle API Gateway em um Ambiente Híbrido

Implante um serviço Oracle API Gateway em um ambiente híbrido com componentes de ambiente de API externos e internos para publicar APIs com pontos finais privados acessíveis na rede e que você pode expor com endereços IP públicos se quiser que eles aceitem o tráfego da internet. Os pontos finais suportam validação de API, transformação de solicitação e resposta, CORS, autenticação e autorização e limitação de solicitação. O serviço API Gateway permite que você crie um ou mais gateways de API em uma sub-rede regional para processar o tráfego de clientes de API e roteá-lo para serviços de back-end. Você pode usar um único gateway de API para vincular vários serviços de back-end (como balanceadores de carga, instâncias de computação e Oracle Functions) em um único ponto final de API consolidado. O serviço API Gateway é integrado ao Oracle Cloud Infrastructure Identity and Access Management, que fornece autenticação fácil com a funcionalidade nativa de identidade do Oracle Cloud Infrastructure.

Arquitetura

Essa arquitetura representa um data center de clientes no local e uma região do OCI (Oracle Cloud Infrastructure) com um compartimento e dois domínios de disponibilidade que usam um servidor API Gateway para fornecer um ambiente de acesso à internet pública.

O data center do cliente local aproveita o gateway de API para planejar, criar, prototipar, implantar e gerenciar APIs em um ambiente seguro e escalável. O ambiente local pode ser um ambiente de API privada ou pode fazer parte de um ambiente de API pública em que as APIs podem ser compartilhadas com a Internet pública.

O API Gateway serve como um portal do API Designer e um portal do Desenvolvedor. O API Designer é onde os designers de API criam, testam, implantam e gerenciam suas APIs, o portal Desenvolvedor é onde os consumidores de API podem exibir as APIs, a documentação da API e experimentar APIs.

O diagrama a seguir ilustra essa arquitetura de referência.Veja a seguir a descrição da ilustração api-gateway-hybrid.png
Descrição da ilustração api-gateway-hybrid.png

A arquitetura tem os seguintes componentes:

  • Região

    Uma região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, denominados domínios de disponibilidade. As regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou mesmo continentes).

  • Domínios de disponibilidade

    Os domínios de disponibilidade são data centers independentes e independentes dentro de uma região. Os recursos físicos de cada domínio de disponibilidade são isolados dos recursos de outros domínios de disponibilidade, o que fornece tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura como energia ou resfriamento ou a rede interna de domínios de disponibilidade. Portanto, uma falha em um domínio de disponibilidade provavelmente não afetará os outros domínios de disponibilidade na região.

  • Domínios de falha

    Domínio de falha é um agrupamento de hardware e infraestrutura dentro de um domínio de disponibilidade. Cada domínio de disponibilidade tem três domínios de falha com energia e hardware independentes. Quando você distribui recursos entre vários domínios de falha, seus aplicativos podem tolerar falhas físicas do servidor, manutenção do sistema e falhas de alimentação dentro de um domínio de falha.

  • Rede virtual na nuvem (VCN) e sub-redes

    Uma VCN é uma rede personalizável definida por software que você configura em uma região do Oracle Cloud Infrastructure. Como as redes de data center tradicionais, as VCNs permitem controle total sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você poderá alterar após criar a VCN. Você pode segmentar uma VCN em sub-redes, que podem ter como escopo uma região ou um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não são sobrepostos com as outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.

  • FastConnect

    O Oracle Cloud Infrastructure FastConnect fornece uma maneira fácil de criar uma conexão privada dedicada entre o seu data center e o Oracle Cloud Infrastructure. O Serviço FastConnect fornece opções de maior largura de banda e uma experiência de rede mais confiável quando comparado com conexões baseadas na Internet.

  • Oracle Cloud Infrastructure Web Application Firewall (WAF)

    O Oracle Cloud Infrastructure Web Application Firewall é um serviço de segurança global baseado na nuvem e compatível com o PCI (Payment Card Industry) que protege aplicativos do tráfego malicioso e indesejado na internet. O WAF protege todos os pontos de extremidade voltados para a Internet, fornecendo aplicação de regras consistentes entre os aplicativos de um cliente.

  • Gateway de internet

    O gateway de internet permite tráfego entre as sub-redes públicas em uma VCN e a internet pública.

  • Balanceador de carga

    O serviço Oracle Cloud Infrastructure Load Balancing fornece distribuição automatizada de tráfego de um único ponto de entrada para vários servidores no back-end.

  • DRG (Dynamic Routing Gateway)

    O DRG é um roteador virtual que fornece um caminho para o tráfego de rede privada entre uma VCN e uma rede fora da região, como uma VCN em outra região do Oracle Cloud Infrastructure, uma rede local ou uma rede em outro provedor de nuvem.

  • LPG (Local Peering Gateway)

    Um LPG permite que você pare uma VCN com outra VCN na mesma região. Pareamento significa que as VCNs se comunicam usando endereços IP privados, sem o tráfego que passa a internet ou que o roteamento por meio da sua rede local.

  • Gateway de API

    O serviço API Gateway permite que você publique APIs com pontos finais privados acessíveis na sua rede e que você pode expor à internet pública, se necessário. Os pontos finais suportam validação de API, transformação de solicitação e resposta, CORS, autenticação e autorização e limitação de solicitação.

Recomendações

Use as recomendações a seguir como ponto de partida ao implantar um Oracle API Gateway em um ambiente híbrido. Os requisitos podem diferir da arquitetura descrita aqui.
  • VCN

    Quando você cria uma VCN, determine o número de blocos CIDR necessários e o tamanho de cada bloco com base no número de recursos que você planeja anexar a sub-redes na VCN. Use blocos CIDR que estejam dentro do espaço de endereço IP privado padrão.

    Selecione blocos CIDR que não se sobreponham a nenhuma outra rede (no Oracle Cloud Infrastructure, seu data center local ou outro provedor de nuvem) para a qual você pretende configurar conexões privadas.

    Depois de criar uma VCN, você poderá alterar, adicionar e remover seus blocos CIDR.

    Ao projetar as sub-redes, considere seu fluxo de tráfego e os requisitos de segurança. Anexe todos os recursos dentro de uma camada ou função específica à mesma sub-rede, que pode servir como limite de segurança.

    Use sub-redes regionais.

  • Segurança

    Use o Oracle Cloud Guard para monitorar e manter a segurança dos seus recursos no Oracle Cloud Infrastructure de forma proativa. O Cloud Guard usa receitas de detector que você pode definir para examinar seus recursos quanto a pontos fracos na segurança e para monitorar operadores e usuários em busca de atividades arriscadas. Quando qualquer atividade de configuração incorreta ou insegura é detectada, o Cloud Guard recomenda ações corretivas e auxilia na realização dessas ações, com base nas receitas do respondedor que você pode definir.

    Para recursos que exigem segurança máxima, a Oracle recomenda que você use zonas de segurança. Uma zona de segurança é um compartimento associado a uma receita definida pela Oracle de políticas de segurança que se baseiam nas melhores práticas. Por exemplo, os recursos em uma zona de segurança não podem ser acessados pela internet pública e devem ser criptografados usando chaves gerenciadas pelo cliente. Ao criar e atualizar recursos em uma zona de segurança, o Oracle Cloud Infrastructure valida as operações de acordo com as políticas na receita de zona de segurança e nega operações que violam qualquer uma das políticas.

Considerações

Ao implantar um Oracle API Gateway, considere o seguinte:

  • Desempenho

    Você pode otimizar o desempenho do API Gateway usando várias opções de configuração. Por exemplo, as opções gerais de ajuste de desempenho incluem rastreamento, monitoramento e registro. As opções mais avançadas de ajuste de desempenho incluem pool de bancos de dados, HTTP mantido vivo, codificação em bloco, threads do cliente e memória do Java.

  • Segurança

    Use as políticas do Oracle Cloud Infrastructure Identity and Access Management para controlar quem pode acessar seus recursos de nuvem e quais operações podem ser executadas.

    Para proteger as senhas ou quaisquer outros segredos, considere o uso do serviço Oracle Cloud Infrastructure Vault.

  • Disponibilidade

    Considere o uso de uma opção de alta disponibilidade com base em seus requisitos de implantação e em sua região. As opções incluem distribuir recursos entre vários domínios de disponibilidade em uma região e distribuir recursos entre os domínios de falha dentro de um domínio de disponibilidade.

    Os domínios de falha fornecem a melhor resiliência para cargas de trabalho implantadas em um único domínio de disponibilidade. Para alta disponibilidade na camada de aplicativos, implante os servidores de aplicativos em diferentes domínios de falha e use um balanceador de carga para distribuir o tráfego do cliente nos servidores de aplicativos.

Explorar Mais

Para saber mais sobre o Oracle API Gateway, consulte os seguintes recursos: