Arquitetura de rede segura para backups de banco de dados on-premises no OCI Object Storage com Ponto Final Privado
Backups externos são essenciais para a continuidade dos negócios. O OCI (Oracle Cloud Infrastructure) oferece o OCI Object Storage com ponto final privado como destino de backup, em que o OCI cria uma conectividade segura e privada do local local do cliente sem endereços IP públicos associados ao OCI Object Storage.
Arquitetura
Essa arquitetura de referência mostra um design de rede seguro, de alto desempenho e privado para fazer backup dos dados do Oracle Exadata Database Service on Cloud@Customer no OCI Object Storage.
Para obter o desempenho ideal da rede, o Oracle Cloud Infrastructure FastConnect com pareamento privado conecta o data center on-premises a uma região da OCI de um tenant do cliente.
O ponto final privado do OCI Object Storage fornece acesso seguro ao serviço Object Storage usando um IP privado em uma sub-rede do cliente dentro de uma VCN.
Uma Zona de DNS privada do OCI fornece respostas apenas para clientes que se conectam por meio de uma VCN. Ao configurar um ponto final de escuta de DNS do OCI e implementar regras de encaminhamento no data center do cliente on-premises, a resolução de DNS híbrido perfeita é obtida.
O diagrama a seguir ilustra essa arquitetura de referência.
secure-backup-oci-object-storage-oracle.zip
A arquitetura tem os seguintes componentes:
- Região
Uma região do OCI é uma área geográfica localizada que contém um ou mais data centers, hospedando domínios de disponibilidade. Regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou mesmo continentes).
- Domínios de disponibilidade
Domínios de disponibilidade são data centers stand-alone e independentes dentro de uma região. Os recursos físicos de cada domínio de disponibilidade são isolados dos recursos de outros domínios de disponibilidade, o que oferece tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura como energia ou refrigeração ou a rede interna do domínio de disponibilidade. Portanto, uma falha em um domínio de disponibilidade não deve afetar os outros domínios de disponibilidade na região.
- VCN (rede virtual na nuvem) e sub-redes
Uma VCN é uma rede personalizável e definida por software que você configura em uma região da OCI. Assim como as redes tradicionais do data center, as VCNs dão a você controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos de CIDR (Classless Inter-domain Routing) não sobrepostos que você pode alterar após criar a VCN. Você pode segmentar uma VCN em sub-redes, com escopo definido para uma região ou para um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não se sobrepõem a outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.
- Gateway de roteamento dinâmico (DRG)
O DRG é um roteador virtual que fornece um caminho para tráfego de rede privada entre VCNs na mesma região, entre uma VCN e uma rede fora da região, como uma VCN em outra região do OCI, uma rede on-premises ou uma rede em outro provedor de nuvem.
- FastConnect
O Oracle Cloud Infrastructure FastConnect cria uma conexão privada dedicada entre seu data center e a OCI. FastConnect fornece opções mais altas de largura de banda e uma experiência em rede mais confiável quando comparada com conexões baseadas na internet.
- Object Storage
O OCI Object Storage oferece acesso a grandes quantidades de dados estruturados e não estruturados de qualquer tipo de conteúdo, incluindo backups de banco de dados, dados analíticos e conteúdo avançado como imagens e vídeos. Você pode armazenar dados com segurança e diretamente da internet ou de dentro da plataforma na nuvem. Você pode dimensionar o armazenamento sem sofrer qualquer degradação no desempenho ou na confiabilidade de serviço.
Use armazenamento padrão para armazenamento "quente" que você precisa acessar com rapidez, rapidez e frequência. Use armazenamento de arquivo compactado para armazenamento "frio" que você retém por longos períodos de tempo e acesso raro.
- Ponto final privado do Object Storage
O Ponto Final Privado do Object Storage fornece acesso seguro ao Object Storage de suas VCNs da OCI ou redes on-premises. O ponto final privado é uma VNIC com um endereço IP privado em uma sub-rede escolhida dentro da VNC. Esse método é uma alternativa ao uso de um gateway de serviço usando endereços IP públicos associados aos serviços do OCI.
- Resolvedores de DNS Privado
Um solucionador de DNS privado responde às consultas de DNS de uma VCN. Um resolvedor privado pode ser configurado para usar views e zonas, bem como regras de encaminhamento condicional, para definir como responder a consultas de DNS.
- Ponto final de listening
Um ponto final de listening recebe consultas de dentro da VCN ou de outros resolvedores de VCN, do DNS de outros provedores de serviços de nuvem (como AWS, GCP ou Azure) ou do DNS da sua rede local. Uma vez criada, nenhuma configuração adicional é necessária para um ponto final de listening.
Recomendações
- VCN
Ao criar uma VCN, determine o número de blocos CIDR necessários e o tamanho de cada bloco com base no número de recursos que você planeja anexar às sub-redes na VCN. Use blocos CIDR que estejam dentro do espaço de endereço IP privado padrão.
Selecione blocos CIDR que não se sobreponham a qualquer outra rede (no Oracle Cloud Infrastructure, seu data center on-premises ou outro provedor de nuvem) para a qual você pretende configurar conexões privadas.
Depois de criar uma VCN, você poderá alterar, adicionar e remover seus blocos CIDR.
Ao projetar as sub-redes, considere o fluxo de tráfego e os requisitos de segurança. Anexe todos os recursos dentro de uma camada ou atribuição específica à mesma sub-rede, que pode servir como um limite de segurança.
- Políticas do IAM e Origens de Rede
Criar um ponto final privado em uma VCN e associá-lo a um bucket não limita o acesso ao bucket pela internet ou por outras origens de rede. Você precisa definir regras usando políticas do IAM no bucket; portanto, as solicitações só serão autorizadas se forem originadas de uma VCN específica ou de um bloco CIDR dentro dessa VCN. Todos os outros acessos, inclusive pela internet, são bloqueados para esses buckets.
- Segurança
Designe um grupo de segurança de rede (NSG) ao ponto final de listening do OCI e configure o grupo de segurança após uma postura de segurança negar tudo, permitindo apenas o IP de DNS on-premises na porta UDP:53. O ponto final privado do serviço Object Storage pode ser configurado para restringir o acesso a buckets e compartimentos específicos.
- Alta disponibilidade
Esta arquitetura mostra um design simplificado. Em uma implantação de produção, certifique-se de que seu design siga as melhores práticas de alta disponibilidade.
Deploy
Para configurar a comunicação de rede e a resolução de DNS de on-premises para a OCI no diagrama de arquitetura acima, conclua as etapas de alto nível a seguir.
Configuração de Rede
- Criar uma VCN.
- Crie uma sub-rede privada para o ponto final privado do serviço Object Storage.
- Implante o ponto final privado do serviço Object Storage.
- Crie uma sub-rede privada para o ponto final de DNS.
- Crie um DRG.
- Anexe a VCN ao DRG.
- Crie um FastConnect com um Circuito Virtual Privado para estabelecer conexão com o local e anexá-lo ao DRG.
Configuração de DNS
- Crie um ponto final de listening no resolvedor de DNS da VCN e implante-o na sub-rede DNS.
- Na lista Segurança de Sub-rede de DNS, permita UDP:53 com IP de origem para o servidor DNS on-premises.
- Crie regras de encaminhamento de DNS no Servidor DNS local. Configure as regras na tabela abaixo.
Nome de domínio* IP de Destino:Porta objectstorage. <oci-region-identifier>.oci.customer-oci.comIP do Ponto Final de Listening do OCI. Porta 53 swiftobjectstorage. <oci-region-identifier>.oci.customer-oci.comIP do Ponto Final de Listening do OCI. Porta 53 *Consulte Regiões e Domínios de Disponibilidade para obter as informações mais recentes sobre regiões e domínios de disponibilidade.