Projete uma estrutura de compartimento segura de Observabilidade e Gerenciamento no Oracle Cloud

Os serviços de observabilidade e gerenciamento são a espinha dorsal das soluções de infraestrutura em nuvem, fornecendo monitoramento crítico e insights de observabilidade sobre a disponibilidade, o desempenho e a postura de segurança do sistema.

O design de uma organização de compartimentos de Observabilidade e Gerenciamento segura e eficaz na Oracle Cloud Infrastructure é um empreendimento estratégico que atende a esses imperativos. A estrutura do compartimento serve como base para recursos de nuvem eficazes e organização de dados, governança de controle de acesso. Essa arquitetura de referência foi projetada com as melhores práticas da Oracle Cloud para oferecer uma visão holística da integridade, do comportamento e dos riscos do sistema. O objetivo é capacitar as partes interessadas com inteligência acionável, permitindo uma tomada de decisão rápida e informada.

Arquitetura

Essa arquitetura de referência descreve os componentes e metodologias essenciais para projetar um compartimento do Oracle Cloud Observability and Management Platform que fornece segurança, resiliência e destreza operacional no ecossistema da nuvem.

O diagrama a seguir ilustra esta arquitetura de referência de compartimento do Oracle Cloud Observability and Management Platform.

Descrição da ilustração oracle-cloud-observability-arch.png

oracle-cloud-observability-arch-oracle.zip

Esse design de compartimento reflete uma estrutura funcional básica observada em diferentes organizações, nas quais as responsabilidades de TI geralmente são separadas entre redes, segurança, desenvolvimento de aplicativos e administradores de banco de dados. Os recursos nesta arquitetura de referência são provisionados nos seguintes compartimentos:

• Um Compartimento do Oracle Cloud Observability and Management Platform para todas as métricas e recursos dos serviços de Observabilidade e Gerenciamento e o repositório de namespace de métricas.
• Um compartimento de Rede para todos os recursos de rede, incluindo os gateways de rede necessários e dados de log relacionados à rede.
• Um compartimento de Segurança para logs de segurança e eventos, gerenciamento de chaves e logs relacionados a segurança.
• Um compartimento Aplicativo para serviços relacionados a aplicativos, incluindo computação, armazenamento, funções, streams, nós do Kubernetes, gateway de API e logs relacionados a aplicativos.
• Um compartimento de Banco de Dados para todos os recursos do banco de dados e logs relacionados ao banco de dados.
• Um compartimento de delimitação opcional contendo todos os compartimentos acima.

A arquitetura tem os seguintes componentes:

• Tenancy

  Uma tenancy é uma partição segura e isolada que a Oracle configura no Oracle Cloud quando você acessa o Oracle Cloud Infrastructure. Você pode criar, organizar e administrar seus recursos no Oracle Cloud em sua tenancy. Uma tenancy é sinônimo de uma empresa ou organização. Geralmente, uma empresa terá uma única tenancy e refletirá sua estrutura organizacional dentro dessa tenancy. Uma única tenancy geralmente está associada a uma única assinatura, e uma única assinatura geralmente só tem uma tenancy.

• Política

  Uma política do Oracle Cloud Infrastructure Identity and Access Management especifica quem pode acessar quais recursos e como. O acesso é concedido no nível de grupo e compartimento. Isso significa que você pode gravar uma política que dá a um grupo um tipo específico de acesso em um compartimento específico ou à tenancy.

• Compartimento

  Compartimentos são partições lógicas entre regiões em uma tenancy do Oracle Cloud Infrastructure. Use compartimentos para organizar seus recursos no Oracle Cloud, controlar o acesso aos recursos e definir cotas de uso. Para controlar o acesso aos recursos em um determinado compartimento, você define políticas que especificam quem pode acessar os recursos e quais ações eles podem executar.

• Monitoring

  O serviço Oracle Cloud Infrastructure Monitoring monitora ativa e passivamente seus recursos de nuvem usando métricas para monitorar recursos e alarmes para notificá-lo quando essas métricas atenderem aos acionadores especificados pelo alarme.

• Alarmes

  O recurso Alarmes do serviço Monitoring funciona com o serviço de destino configurado para notificá-lo quando as métricas atendem aos acionadores especificados pelo alarme.

• Logging
  O Logging é um serviço altamente escalável e totalmente gerenciado que oferece acesso aos seguintes tipos de logs de seus recursos na nuvem:

  • Logs de Auditoria: Logs relacionados a eventos emitidos pelo serviço Audit.
  • Logs de serviço: Logs emitidos por serviços individuais, como API Gateway, Events, Functions, Balanceamento de Carga, Object Storage e logs de fluxo da VCN.
  • Logs personalizados: Logs que contêm informações de diagnóstico de aplicativos personalizados, outros provedores de nuvem ou um ambiente on-premises.
• Eventos

  Os serviços do Oracle Cloud Infrastructure emitem eventos, que são mensagens estruturadas que descrevem as alterações em recursos. Os eventos são emitidos para operações de criação, leitura, atualização ou exclusão (CRUD), alterações no estado do ciclo de vida do recurso e eventos do sistema que afetam os recursos da nuvem.

• Conectores de serviço

  O Oracle Cloud Infrastructure Service Connector Hub é uma plataforma de barramento de mensagens da nuvem que orquestra a movimentação de dados entre serviços no OCI. Você pode usar conectores de serviço para mover dados de um serviço de origem para um serviço de destino. Os conectores de serviço também permitem que você especifique opcionalmente uma tarefa (como uma função) a ser executada nos dados antes de serem entregues ao serviço de destino.

  Você pode usar o Oracle Cloud Infrastructure Service Connector Hub para criar rapidamente uma estrutura de agregação de logs para sistemas de gerenciamento de informações e eventos de segurança (SIEM).

• Notifications

  O serviço Oracle Cloud Infrastructure Notifications transmite mensagens a componentes distribuídos por meio de um padrão publicar-inscrever, entregando mensagens seguras, altamente confiáveis, de baixa latência e duráveis para aplicativos hospedados no Oracle Cloud Infrastructure.

• Streaming

  O serviço Oracle Cloud Infrastructure Streaming fornece uma solução de armazenamento totalmente gerenciada, escalável e durável para a ingestão de streams contínuos de alto volume de dados que você pode consumir e processar em tempo real. Você pode usar o serviço Streaming para a ingestão de alto volume de dados, como logs de aplicativo, telemetria operacional, sequência de cliques na Web ou para outros casos de uso em que os dados sejam produzidos e processados de forma contínua e sequencial em um modelo de mensagem do serviço publish-subscribe.

• Gerenciamento de banco de dados

  O serviço Database Management fornece recursos abrangentes de gerenciamento e diagnóstico de desempenho do banco de dados para Oracle Databases e sistemas de BD MySQL HeatWave. Além disso, você pode usar o serviço Database Management para descobrir e monitorar componentes locais do Oracle Database System (External Database System) e do Exadata Storage Infrastructure.

• Serviço Operations Insights
  O Oracle Cloud Infrastructure Operations Insights é um serviço nativo do OCI que fornece uma visão holística da utilização e capacidade de recursos do banco de dados e do host. Com o Operations Insights, você pode:

  • Analisar o uso de recursos de bancos de dados e hosts em toda a empresa.
  • Prever a demanda futura por recursos com base em tendências históricas.
  • Comparar o Desempenho de SQL entre bancos de dados e identificar padrões comuns.
  • Identificar tendências de desempenho de SQL em bancos de dados de toda a empresa.
  • Analisar as estatísticas do AWR para desempenho, diagnóstico e ajuste do banco de dados em uma frota de bancos de dados.
  • Crie e receba Relatórios de Notícias semanais, fornecendo detalhamentos de novas máximas de utilização, grandes alterações de utilização e alterações de inventário em sua frota de bancos de dados, hosts e sistemas Exadata.
• Monitoramento do Desempenho da Aplicação

  O Oracle Cloud Infrastructure Application Performance Monitoring fornece uma visibilidade profunda do desempenho de aplicativos e permite diagnosticar problemas rapidamente para fornecer um nível consistente de serviço. Isso inclui o monitoramento dos vários componentes e da lógica de aplicativos distribuídos entre clientes, serviços de terceiros e camadas de computação de backend, no local ou na nuvem.

• Stack Monitoring

  O Stack Monitoring permite monitorar proativamente um aplicativo e sua pilha de aplicativos subjacente, incluindo servidores de aplicativos e bancos de dados. Ele começa descobrindo todos os componentes do aplicativo, incluindo a topologia de aplicativo. Uma vez descoberto, ele coleta automaticamente as métricas de status, carga, resposta, erro e utilização de todos os componentes do aplicativo.

• Logging Analytics

  O Oracle Logging Analytics é uma solução de nuvem do Oracle Cloud Infrastructure que permite indexar, enriquecer, agregar, explorar, pesquisar, analisar, correlacionar, visualizar e monitorar todos os dados de log de seus aplicativos e da infraestrutura do sistema na nuvem ou no local.

• Management Agent

  Um Management Agent (agente) permite que um plug-in de serviço colete dados do host no qual você instala o Management Agent. Ele pode se conectar ao Oracle Cloud Infrastructure diretamente usando o serviço de nuvem do Management Agent. O Management Agent está instalado em um host. Ele monitora e coleta dados das origens que residem em hosts ou hosts virtuais.

• Gateway do Serviço Management Agent

  O Management Agent Cloud Service (MACS), também conhecido como serviço Management Agent, é um serviço de nuvem do Oracle Cloud Infrastructure. Ele gerencia os Management Agents e seu ciclo de vida. Os Management Agents permitem que os serviços do Oracle Cloud interajam e coletem dados de entidades que são gerenciadas por eles.

• Painel de Controle de Gerenciamento
  O Painel de Controle de Gerenciamento permite que você crie soluções de monitoramento de desempenho, diagnóstico e análise de dados nos recursos de plataforma, infraestrutura e aplicativos da Oracle Cloud Infrastructure. Ele tem poderosas opções de visualização de dados que reúnem dados históricos e em tempo real e os exibem em widgets. O Painel de Controle de Gerenciamento está disponível como parte dos seguintes serviços de Observabilidade e Gerenciamento do Oracle Cloud Infrastructure:

  • Monitoramento do Desempenho da Aplicação
  • Gerenciamento de Banco de Dados
  • Serviço Logging Analytics
  • Agente de Gerenciamento
  • Operations Insights
• VCN (rede virtual na nuvem) e sub-rede

  Uma VCN é uma rede personalizável definida por software que você configura em uma região do Oracle Cloud Infrastructure. Como as redes tradicionais de data center, as VCNs oferecem controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você pode alterar após a criação da VCN. Você pode segmentar uma VCN em sub-redes, com escopo definido para uma região ou para um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não se sobrepõem a outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.

• Gateway de internet

  O gateway de internet permite tráfego entre as sub-redes públicas em uma VCN e a internet pública.

• Gateway de roteamento dinâmico (DRG)

  O DRG é um roteador virtual que fornece um caminho para o tráfego de rede privada entre VCNs na mesma região, entre uma VCN e uma rede fora da região, como uma VCN em outra região do Oracle Cloud Infrastructure, uma rede local ou uma rede em outro provedor de nuvem.

• Gateway NAT (Network Address Translation)

  Um gateway NAT permite que recursos privados em uma VCN acessem hosts na internet, sem expor esses recursos a conexões de internet de entrada.

• Gateway de serviço

  O gateway de serviço fornece acesso de uma VCN a outros serviços, como o Oracle Cloud Infrastructure Object Storage. O tráfego da VCN para o serviço Oracle percorre a malha da rede Oracle e não atravessa a internet.

• Oracle Services Network

  O OSN (Oracle Services Network) é uma rede conceito no Oracle Cloud Infrastructure reservada para os serviços Oracle. Esses serviços têm endereços IP públicos que você pode acessar pela internet. Os hosts fora do Oracle Cloud podem acessar o OSN de forma privada usando o Oracle Cloud Infrastructure FastConnect ou o VPN Connect. Os hosts em suas VCNs podem acessar o OSN de forma privada por meio de um gateway de serviço.

• Grupo de segurança de rede (NSG)

  O grupo de segurança de rede (NSG) atua como um firewall virtual para seus recursos de nuvem. Com o modelo de segurança de confiança zero do Oracle Cloud Infrastructure, todo o tráfego é negado, e você pode controlar o tráfego de rede dentro de uma VCN. Um NSG consiste em um conjunto de regras de segurança de entrada e saída que se aplicam somente a um conjunto especificado de VNICs em uma única VCN.

• Vault

  O Oracle Cloud Infrastructure Vault permite gerenciar centralmente as chaves de criptografia que protegem seus dados e as credenciais secretas usadas para proteger o acesso aos seus recursos na nuvem. Você pode usar o serviço Vault para criar e gerenciar vaults, chaves e segredos.

• Cloud Guard

  Você pode usar o Oracle Cloud Guard para monitorar e manter a segurança de seus recursos no Oracle Cloud Infrastructure. O Cloud Guard usa receitas de detector que você pode definir para examinar seus recursos quanto a pontos fracos de segurança e monitorar operadores e usuários para determinadas atividades arriscadas. Quando qualquer configuração incorreta ou atividade insegura é detectada, o Cloud Guard recomenda ações corretivas e ajuda a executar essas ações, com base em receitas do respondedor que você pode definir.

• Zona de segurança

  As zonas de segurança garantem as melhores práticas de segurança da Oracle desde o início, impondo políticas como criptografar dados e impedir o acesso público a redes para um compartimento inteiro. Uma zona de segurança está associada a um compartimento com o mesmo nome e inclui políticas de zona de segurança ou uma "receita" que se aplica ao compartimento e seus subcompartimentos. Não é possível adicionar ou mover um compartimento padrão para um compartimento de zona de segurança.

• Serviço de Verificação de Vulnerabilidade

  O Serviço de Verificação de Vulnerabilidade do Oracle Cloud Infrastructure ajuda a melhorar a postura de segurança no Oracle Cloud verificando regularmente se há vulnerabilidades potenciais em portas e hosts. O serviço gera relatórios com métricas e detalhes sobre essas vulnerabilidades.

• Serviço Bastion

  O Oracle Cloud Infrastructure Bastion fornece acesso seguro restrito e limitado por tempo a recursos que não têm pontos finais públicos e que exigem controles de acesso de recursos rigorosos, como bare metal e máquinas virtuais, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Container Engine for Kubernetes (OKE) e qualquer outro recurso que permita o acesso SSH (Secure Shell Protocol). Com o serviço Bastion do Oracle Cloud Infrastructure, você pode ativar o acesso a hosts privados sem implantar e manter um jump host. Além disso, você obtém uma postura de segurança aprimorada com permissões baseadas em identidade e uma sessão SSH centralizada, auditada e limitada por tempo. O Oracle Cloud Infrastructure Bastion elimina a necessidade de um IP público para acesso ao bastion, eliminando o aborrecimento e a potencial superfície de ataque ao fornecer acesso remoto.

• Object Storage

  O armazenamento de objetos fornece acesso rápido a grandes quantidades de dados estruturados e não estruturados de qualquer tipo de conteúdo, incluindo backups de bancos de dados, dados de análise e conteúdo avançado, como imagens e vídeos. Você pode armazenar de forma segura e depois recuperar dados diretamente da internet ou de dentro da plataforma da nuvem. Você pode dimensionar o armazenamento sem prejudicar o desempenho ou a confiabilidade do serviço. Use o armazenamento padrão para armazenamento de acesso frequente que você precisa para acessar de forma rápida, imediata e com frequência. Use o armazenamento de arquivos compactados para armazenamento "frio" que você mantém por longos períodos de tempo e raramente acessa.

• Engenharia do Contêiner para Kubernetes

  Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE) is a fully managed, scalable, and highly available service that you can use to deploy your containerized applications to the cloud. Você especifica os recursos de computação necessários para os seus aplicativos, e o Container Engine for Kubernetes os provisionará no Oracle Cloud Infrastructure em uma tenancy existente. O Container Engine for Kubernetes usa o Kubernetes para automatizar a implantação, o dimensionamento e o gerenciamento de aplicativos de contêineres em clusters de hosts.

• Computação

  O serviço Oracle Cloud Infrastructure Compute permite provisionar e gerenciar hosts de computação na nuvem. Você pode iniciar instâncias de computação com formas que atendam aos seus requisitos de recursos para CPU, memória, largura de banda de rede e armazenamento. Depois de criar uma instância de computação, você pode acessá-la de forma segura, reiniciá-la, anexar e desconectar volumes e encerrá-la quando não precisar mais dela.

• Banco de dados autônomo

  Os bancos de dados autônomos da Oracle Cloud Infrastructure são ambientes de banco de dados totalmente gerenciados e pré-configurados que você pode usar para cargas de trabalho de processamento de transações e data warehousing. Você não precisa configurar nem gerenciar nenhum hardware, nem instalar nenhum software. O Oracle Cloud Infrastructure trata da criação do banco de dados, bem como do backup, da aplicação de patches, do upgrade e do ajuste do banco de dados.

• Serviço Exadata em Infraestrutura Dedicada

  O Exadata Cloud Infrastructure permite aproveitar o potencial do Exadata na nuvem. Você pode provisionar sistemas X8M e X9M flexíveis que permitem adicionar servidores de computação de banco de dados e servidores de armazenamento ao sistema à medida que suas necessidades aumentam. Os sistemas X8M e X9M oferecem redes RoCE (RDMA sobre Ethernet Convergente) para PMEM (módulos de memória persistente) de alta largura de banda e baixa latência, bem como software Exadata inteligente. Os sistemas X8M e X9M podem ser provisionados usando uma forma equivalente a um sistema quarter rack X8 ou X9M e, em seguida, os servidores de banco de dados e de armazenamento podem ser adicionados a qualquer momento após o provisionamento.

• Oracle Base Database Service

  O Oracle Base Database Service permite que você mantenha controle absoluto sobre seus dados usando os recursos combinados do Oracle Database e do Oracle Cloud Infrastructure. O Oracle Base Database Service oferece sistemas de banco de dados (sistemas de banco de dados) em máquinas virtuais. Eles estão disponíveis como sistemas de banco de dados de nó único e sistemas de banco de dados RAC de vários nós no Oracle Cloud Infrastructure (OCI).

• Armazenamento do arquivo

  O serviço Oracle Cloud Infrastructure File Storage fornece um sistema de arquivos de rede durável, escalável e seguro e de nível empresarial. Você pode se conectar a um sistema de arquivos do serviço File Storage de qualquer instância bare metal, de máquina virtual ou de contêiner em uma VCN. Você também pode acessar um sistema de arquivos de fora da VCN usando o Oracle Cloud Infrastructure FastConnect e a IPSec VPN.

Recomendações

Use as recomendações a seguir como ponto de partida. Seus requisitos podem ser diferentes da arquitetura descrita aqui.

• Compartimento de Observabilidade e Gerenciamento para dados de métricas
  • Crie um compartimento dedicado do Oracle Cloud Observability and Management Platform na tenancy (compartimento-raiz).
  • Armazene todos os recursos personalizados relacionados a métricas, como namespaces de métricas dos serviços avançados do Oracle Cloud Observability and Management Platform, métricas do Stack Monitoring, Database Management Service, Operations Insights, bem como métricas personalizadas definidas pelo usuário, alarmes e notificações no compartimento do Oracle Cloud Observability and Management Platform.
  • Defina políticas para conceder acesso de leitura e gravação apropriado às equipes relevantes, garantindo que elas possam acessar dados de métricas e namespaces de métricas enquanto aderem ao controlador de privilégios mínimos. Por exemplo, a equipe de administração do Observability and Management tem permissão de gerenciamento nos dados de métricas no compartimento Observability and Management, enquanto as equipes de DBA e Aplicativo têm permissões de leitura ou uso nas métricas no compartimento Observability and Management.
• Compartimento do Oracle Cloud Observability and Management Platform para dados de log
  • Use os compartimentos dos recursos de nuvem existentes para armazenar dados de log dos recursos de nuvem para cada equipe de suporte ou unidade de negócios para acessar seus próprios dados de log.
  • Crie grupos de logs do Logging e do Logging Analytics no mesmo compartimento que os recursos da nuvem.
  • Armazene todos os recursos relacionados a log, incluindo grupos de logs do Logging Analytics, entidades de log, pesquisas salvas, painéis de controle e políticas de retenção nesses compartimentos.
  • Defina políticas de acesso rigorosas para garantir que cada equipe possa acessar seus próprios logs e, ao mesmo tempo, restringir o acesso aos dados de log de outras equipes.
  • Defina compartimentos de log no Compartimento de Rede, Compartimento de Segurança, Compartimento do Aplicativo e Compartimento do Banco de Dados, respectivamente.

Considerações

Ao implementar essa arquitetura de referência, considere essas opções.

• Design de hierarquia de compartimentos relacionados ao Oracle Cloud Observability and Management Platform
  O design de hierarquia de compartimentos relacionados ao Oracle Cloud Observability and Management Platform é ajudar as equipes de operação e engenharia a simplificar as operações na nuvem, mantendo a governança adequada da nuvem e a postura de segurança. Dois dados relacionados a monitoramento e registro diferenciados no OCI:

  • Dados de Métrica: Pontos de dados agregados, como disponibilidade abrangente e métricas de desempenho coletadas por serviços avançados de Observabilidade e Gerenciamento de recursos de nuvem.
  • Dados de Log: Dados brutos de log do host, banco de dados, middleware ou aplicativo, como syslog, logs de alerta de banco de dados e dados brutos de log, podem conter dados confidenciais.
  • A natureza dos dados de log que podem conter informações confidenciais do namespace do aplicativo ou do usuário.
  • O perímetro de segurança de dados de log deve ser definido no mesmo compartimento que os recursos de nuvem.
  • A equipe de suporte ou a unidade de negócio que precisa de acesso aos dados de log deve ter o mesmo nível de acesso aos recursos de nuvem e sua configuração subjacente.
• Outros recursos do Oracle Cloud Observability and Management Platform na OCI
  • Métricas de Serviço: os recursos de nuvem do OCI fornecem métricas de serviço básicas por padrão no Serviço OCI Monitoring. As métricas de serviço prontas para uso são armazenadas nos namespaces de métrica designados no mesmo compartimento que os recursos de nuvem. As métricas do serviço de recursos de nuvem são gratuitas e você não pode alterar o compartimento das métricas de serviço.
  • Origem de Log, Parsers e Campos do Logging Analytics são recursos no nível da tenancy; eles serão associados à tenancy (compartimento-raiz).
  • Os logs gerados pelos recursos de compartimento do Oracle Cloud Observability and Management Platform para diagnóstico, como logs do Management Agent, logs do Conector de Serviço, devem ser armazenados no compartimento do Oracle Cloud Observability and Management Platform.

Explorar Mais

Revise essas soluções adicionais para saber mais sobre os recursos dessa arquitetura de referência.

• Melhores Práticas para Compartimentos
• OCI Stack Monitoring
• Termos e Conceitos do OCI Logging Analytics
• Serviço OCI Database Management
• Serviço OCI Operations Insights
• Detalhes Técnicos do Oracle Management Agent
• Detalhes Técnicos do Agente de Monitoramento Unificado
• Estrutura de melhores práticas do Oracle Cloud Infrastructure
• Documentação do Oracle Cloud Infrastructure
• Estimativa de Custos do Oracle Cloud

Confirmações

• Author: Royce Fu
• Contributors: Leon Shaner, Sriram Vrinda