A imagem mostra uma região do OCI com uma VCN que abrange três domínios de disponibilidade rotulados como Domínio de Disponibilidade 1, Domínio de Disponibilidade 2 e Domínio de Disponibilidade 3, representando zonas de alta disponibilidade. A VCN hospeda um balanceador de carga público, um cluster do Oracle Kubernetes Engine (OKE) e um Oracle Autonomous AI Database. A região hospeda o Oracle Services Network com um OCI Container Registry

A VCN inclui cinco sub-redes da seguinte forma:

1. Sub-rede pública do Balanceador de Carga de Serviço Usada para o tráfego do cliente e inclui um Balanceador de Carga Público localizado no Domínio de Disponibilidade 2, responsável por receber e distribuir o tráfego de entrada para componentes do aplicativo.
2. API do OKE/Sub-rede pública de serviço: Contém um Cluster do OCI Kubernetes Engine (OKE) que abrange todos os três domínios de disponibilidade.
3. Sub-redes privadas de nós: Os nós de trabalho do OKE executam cargas de trabalho e extraem imagens de contêiner do Oracle Cloud Infrastructure Container Registry (OCIR) usando o Oracle Services Network.
4. Sub-rede Privada do Pod: Os pods executam serviços do Dify e chamam o Oracle Autonomous AI Database para persistência.
5. Sub-rede privada do banco de dados: Hospeda o Oracle Autonomous AI Database como o armazenamento de dados do aplicativo.

A conectividade e o fluxo de tráfego são mostrados por setas direcionais:

• Os usuários acessam o aplicativo por meio do Balanceador de Carga Público.
• O Balanceador de Carga roteia solicitações para serviços do Kubernetes em execução em pods nos nós de trabalho.
• Os administradores acessam o cluster por meio do ponto final da API do Kubernetes.
• Nós de trabalho e pods extraem imagens de contêiner do OCI Container Registry por meio do gateway de serviço.
• As sub-redes privadas usam gateways NAT para atualizações de saída e recuperação de pacotes sem expor endereços IP privados.
• Os pods de aplicativos se conectam de forma privada ao Autonomous Database para leituras e gravações.

Segurança e conectividade:

• Somente o plano de controle bBalancer e OKE de carga pública são expostos publicamente; nós, pods e o banco de dados permanecem em sub-redes privadas.
• A conectividade do serviço privado e a saída restrita reduzem a exposição à internet pública.
• O uso de vários domínios de disponibilidade suporta alta disponibilidade e resiliência.