Use o Oracle Cloud Marketplace para implantar o Operador do Kubernetes TimesTen
A listagem do Oracle TimesTen In-Memory Database for Kubernetes - BYOL no Oracle Cloud Marketplace consiste em uma imagem de contêiner de TimesTen, seus pré-requisitos de software e tudo o que você precisa para executar o TimesTen em um ambiente conteinerizado. A imagem do contêiner inclui os arquivos de manifesto YAML e os gráficos Helm necessários para implantar o TimesTen Kubernetes Operator (TimesTen Operator) e criar bancos de dados TimesTen no OKE ou na infraestrutura local.
Arquitetura
Essa arquitetura usa uma região com sub-redes regionais e, pelo menos, dois domínios de disponibilidade. A mesma arquitetura de referência pode ser usada em uma região com um único domínio de disponibilidade. Recomendamos o uso de sub-redes regionais para sua implantação, independentemente do número de domínios de disponibilidade.
Quando provisionada, essa arquitetura de referência inclui o seguinte:
-
Um cluster do OKE implantado em sub-redes privadas separadas para o ponto final da API do Kubernetes, o pool de nós e o balanceador de carga.
-
Um Operador TimesTen implantado em um nó de trabalho na mesma sub-rede privada que o pool de nós.
-
Um par de bancos de dados TimesTen em um esquema de replicação de par stand-by ativo implantado em nós de trabalho em diferentes domínios de disponibilidade.
-
Um bastion implantado em uma sub-rede pública para acessar os recursos implantados em sub-redes privadas.
O diagrama a seguir ilustra essa arquitetura de referência.
Descrição da ilustração timesten-kubernetes-byol.png
A arquitetura tem os seguintes componentes:
- Auditoria
O serviço Oracle Cloud Infrastructure Audit registra automaticamente as chamadas para todos os pontos finais suportados da API pública (API) do Oracle Cloud Infrastructure como eventos de log. Todos os serviços do OCI suportam registro em log pelo Oracle Cloud Infrastructure Audit.
- Domínios de disponibilidade
Domínios de disponibilidade são data centers stand-alone e independentes dentro de uma região. Os recursos físicos de cada domínio de disponibilidade são isolados dos recursos de outros domínios de disponibilidade, o que oferece tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura como energia ou refrigeração ou a rede interna do domínio de disponibilidade. Portanto, uma falha em um domínio de disponibilidade não deve afetar os outros domínios de disponibilidade na região.
- Serviço Bastion
O Oracle Cloud Infrastructure Bastion fornece acesso seguro restrito e limitado por tempo a recursos que não têm pontos finais públicos e que exigem controles rígidos de acesso a recursos, como bare metal e máquinas virtuais, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) e qualquer outro recurso que permita acesso ao Secure Shell Protocol (SSH). Com o serviço OCI Bastion, você pode permitir o acesso a hosts privados sem implantar e manter um jump host. Além disso, você ganha uma postura de segurança aprimorada com permissões baseadas em identidade e uma sessão SSH centralizada, auditada e limitada por tempo. O OCI Bastion elimina a necessidade de um IP público para acesso ao bastion, eliminando o aborrecimento e a potencial superfície de ataque ao fornecer acesso remoto.
- Volume em blocos
Com o Oracle Cloud Infrastructure Block Volumes, você pode criar, anexar, conectar e mover volumes de armazenamento e alterar o desempenho do volume para atender aos seus requisitos de armazenamento, desempenho e aplicativo. Depois de anexar e conectar um volume a uma instância, você pode usar o volume como disco rígido comum. Também é possível desconectar um volume e anexá-lo a outra instância sem perder dados.
-
Cloud Guard
Você pode usar o Oracle Cloud Guard para monitorar e manter a segurança de seus recursos no Oracle Cloud Infrastructure. O Cloud Guard usa receitas do detector que você pode definir para examinar seus recursos quanto a pontos fracos de segurança e para monitorar operadores e usuários em relação a determinadas atividades arriscadas. Quando qualquer configuração incorreta ou atividade insegura é detectada, o Cloud Guard recomenda ações corretivas e auxilia na execução dessas ações, com base nas receitas do respondedor que você pode definir.
- Compartimento
Os compartimentos são partições lógicas entre regiões em uma tenancy do Oracle Cloud Infrastructure. Use compartimentos para organizar, controlar o acesso e definir metas de uso para seus recursos do Oracle Cloud. Em um determinado compartimento, você define políticas que controlam o acesso e definem privilégios para recursos.
- Registro de Contêiner
O Oracle Cloud Infrastructure Registry é um registro gerenciado pela Oracle que permite simplificar seu desenvolvimento para o workflow de produção. O registro facilita o armazenamento, o compartilhamento e o gerenciamento de artefatos de desenvolvimento, como imagens do Docker. A arquitetura altamente disponível e escalável do Oracle Cloud Infrastructure garante que você possa implantar e gerenciar seus aplicativos de forma confiável.
- Domínios de falha
Um domínio de falha é um agrupamento de hardware e infraestrutura dentro de um domínio de disponibilidade. Cada domínio de disponibilidade tem três domínios de falha com energia e hardware independentes. Quando você distribui recursos entre vários domínios de falha, seus aplicativos podem tolerar falha no servidor físico, manutenção do sistema e falhas de energia dentro de um domínio de falha.
- Serviço IAM (Identity and Access Management)
O Oracle Cloud Infrastructure Identity and Access Management (IAM) é o plano de controle de acesso do Oracle Cloud Infrastructure (OCI) e do Oracle Cloud Applications. A API do serviço IAM e a interface do usuário permitem gerenciar domínios de identidades e os recursos dentro do domínio de identidades. Cada domínio de identidades do OCI IAM representa uma solução de gerenciamento de identidade e acesso independente ou uma população de usuários diferente.
- Gateway de internet
O gateway de internet permite o tráfego entre as sub-redes públicas em uma VCN e a internet pública.
- Balanceador de carga
O serviço Oracle Cloud Infrastructure Load Balancing fornece distribuição automatizada de tráfego de um único ponto de entrada para vários servidores no back-end.
- LoggingO registro em log é um serviço altamente escalável e totalmente gerenciado que oferece acesso aos seguintes tipos de logs de seus recursos na nuvem:
- Logs de auditoria: Logs relacionados a eventos emitidos pelo serviço Audit.
- Logs de serviço: Logs emitidos por serviços individuais, como API Gateway, Events, Functions, Load Balancing, Object Storage e logs de fluxo da VCN.
- Logs personalizados: Logs que contêm informações de diagnóstico de aplicativos personalizados, outros provedores de nuvem ou um ambiente on-premises.
- Gateway de conversão de endereço de rede (NAT)
Um gateway NAT permite que recursos privados em uma VCN acessem hosts na internet, sem expor esses recursos a conexões de internet de entrada.
- Mecanismo do Kubernetes do OCI
O Oracle Cloud Infrastructure Kubernetes Engine (OCI Kubernetes Engine ou OKE) é um serviço totalmente gerenciado, escalável e altamente disponível que você pode usar para implantar seus aplicativos em contêineres na nuvem. Você especifica os recursos de computação necessários, e o serviço Kubernetes Engine os provisiona no Oracle Cloud Infrastructure em uma tenancy existente. O OKE usa o Kubernetes para automatizar a implantação, o dimensionamento e o gerenciamento de aplicativos em contêineres entre clusters de hosts.
- Região
Região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, denominada domínios de disponibilidade. As regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou até mesmo continentes).
- Lista de segurança
Para cada sub-rede, você pode criar regras de segurança que especifiquem a origem, o destino e o tipo de tráfego que deve ser permitido dentro e fora da sub-rede.
- Gateway de serviço
O gateway de serviço fornece acesso de uma VCN a outros serviços, como o Oracle Cloud Infrastructure Object Storage. O tráfego da VCN para o serviço Oracle percorre a malha da rede Oracle e não passa pela internet.
- Tenancy
Uma tenancy é uma partição segura e isolada que a Oracle configura no Oracle Cloud quando você se inscreve no Oracle Cloud Infrastructure. Você pode criar, organizar e administrar seus recursos no Oracle Cloud em sua tenancy. Uma tenancy é sinônimo de uma empresa ou organização. Normalmente, uma empresa terá uma única locação e refletirá sua estrutura organizacional dentro dessa locação. Uma única tenancy geralmente é associada a uma única assinatura, e uma única assinatura geralmente só tem uma tenancy.
- Operador TimesTen
O Operador TimesTen tem vários recursos principais para ajudar a gerenciar bancos de dados TimesTen em um ambiente Kubernetes. Um banco de dados TimesTen é modelado como um recurso personalizado no arquivo de configuração do Kubernetes. O operador usa essa configuração e a API do Kubernetes para automatizar as operações do banco de dados TimesTen, como provisionamento, failover, aplicação de patches e segurança.
- Rede virtual na nuvem (VCN) e sub-redes
Uma VCN é uma rede personalizável definida por software que você configura em uma região do Oracle Cloud Infrastructure. Como as redes tradicionais de data center, as VCNs oferecem controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você pode alterar após a criação da VCN. Você pode segmentar uma VCN em sub-redes, com escopo definido para uma região ou para um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não se sobrepõem a outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.
Recomendações
- Bastion
Certifique-se de que somente usuários autorizados possam criar sessões do bastion. Nesta referência de arquitetura, o Bastion fornece acesso seguro ao ponto final da API do Kubernetes e SSH aos nós de trabalho nos quais os bancos de dados TimesTen são implantados.
- Cloud Guard
Clone e personalize as receitas padrão fornecidas pela Oracle para criar receitas personalizadas de detector e respondedor. Essas receitas permitem que você especifique que tipo de violações de segurança geram um aviso e quais ações podem ser executadas nelas. Por exemplo, talvez você queira detectar buckets do Object Storage que tenham visibilidade definida como pública.
Aplique o Cloud Guard no nível da tenancy para cobrir o escopo mais amplo e reduzir a carga administrativa de manutenção de várias configurações.
Você também pode usar o recurso Lista Gerenciada para aplicar determinadas configurações aos detectores.
- Registro de Contêiner
Certifique-se de que as políticas de IAM necessárias sejam criadas e apenas usuários autorizados tenham acesso ao repositório no Container Registry.
- Largura de banda do balanceador de carga
Ao criar o balanceador de carga, você pode selecionar uma forma predefinida que forneça uma largura de banda fixa ou especificar uma forma personalizada (flexível), na qual você define uma faixa de largura de banda e permite que o serviço dimensione a largura de banda automaticamente com base nos padrões de tráfego. Com qualquer uma das abordagens, você pode alterar a forma a qualquer momento após criar o balanceador de carga.
- Segurança
Use o Oracle Cloud Guard para monitorar e manter proativamente a segurança de seus recursos no Oracle Cloud Infrastructure. O Cloud Guard usa receitas do detector que você pode definir para examinar seus recursos quanto a pontos fracos de segurança e para monitorar operadores e usuários em relação a determinadas atividades arriscadas. Quando uma configuração incorreta ou atividade insegura é detectada, o Cloud Guard recomenda ações corretivas e ajuda a tomar essas ações, com base nas receitas do respondedor que você pode definir.
Para recursos que exigem segurança máxima, a Oracle recomenda o uso de zonas de segurança. Uma zona de segurança é um compartimento associado a uma receita de políticas de segurança definida pela Oracle baseada nas melhores práticas. Por exemplo, os recursos em uma zona de segurança não devem estar acessíveis pela internet pública e devem ser criptografados usando chaves gerenciadas pelo cliente. Quando você cria e atualiza recursos em uma zona de segurança, o Oracle Cloud Infrastructure valida as operações em relação às políticas na receita da zona de segurança e nega as operações que violam qualquer uma das políticas.
- VCN
Ao criar uma VCN, determine o número de blocos CIDR necessários e o tamanho de cada bloco com base no número de recursos que você planeja anexar a sub-redes na VCN. Use blocos CIDR que estejam dentro do espaço de endereço IP privado padrão.
Selecione blocos CIDR que não se sobreponham a nenhuma outra rede (no Oracle Cloud Infrastructure, em seu data center local ou em outro provedor de nuvem) para a qual você pretende configurar conexões privadas.
Depois de criar uma VCN, você poderá alterar, adicionar e remover seus blocos CIDR.
Ao projetar as sub-redes, considere seus requisitos de fluxo de tráfego e segurança. Anexe todos os recursos dentro de uma camada ou atribuição específica à mesma sub-rede, que pode servir como um limite de segurança.
Usar sub-redes regionais.
Considerações
Considere os pontos a seguir ao implantar essa arquitetura de referência.
- Disponibilidade
Geralmente, você implanta um aplicativo na região em que ele é mais usado porque o uso de recursos próximos é mais rápido que o uso de recursos distantes. Os domínios de disponibilidade da mesma região se conectam entre si usando uma rede de largura de banda alta e de baixa latência. Essa rede fornece conectividade de alta disponibilidade com a Internet e com equipamentos locais para que você possa criar sistemas replicados em vários domínios de disponibilidade para alta disponibilidade e recuperação de desastres.
- Registro de Contêiner
Essa arquitetura implanta o Registro de Contêiner como um registro privado do Docker para uso interno. As imagens do Docker são enviadas e extraídas do registro. Você também pode usar o Container Registry como um registro público do Docker, permitindo que qualquer usuário com acesso à internet e conhecimento do URL apropriado extraia imagens de repositórios públicos no OCI. Nesta arquitetura, o repositório do Container Registry é usado para armazenar uma imagem de TimesTen, que inclui os arquivos de manifesto YAML e gráficos Helm necessários para implantar o Operador TimesTen e criar bancos de dados TimesTen.
- Segurança
Use políticas para restringir quem pode acessar os recursos do OCI.
Implante
Obtenha a imagem do contêiner TimesTen no Oracle Cloud Marketplace:
- Vá para Oracle Cloud Marketplace.
- Clique em Exportar Pacote.
- Siga os prompts na tela.
Explorar Mais
Para saber mais sobre a implantação de bancos de dados TimesTen no OKE usando uma imagem de contêiner do Marketplace, consulte estes recursos adicionais:
- Usando o Oracle Cloud Marketplace para Obter uma Imagem de Contêiner TimesTen (BYOL)
- Guia do Usuário do Kubernetes do Oracle TimesTen In-Memory Database Operator
- Documentação do Oracle Cloud Infrastructure
- Estrutura bem arquitetada para o Oracle Cloud Infrastructure
- Configuração do Recurso de Rede para Criação e Implantação de Cluster