Compartir a través de

Topología de red y conectividad para Oracle en el acelerador de zonas de aterrizaje de Azure Virtual Machines

Este artículo se basa en varias consideraciones y recomendaciones definidas en el área de diseño de la zona de aterrizaje de Azure para la topología de red y la conectividad. Ofrece consideraciones de diseño clave y procedimientos recomendados para las redes y la conectividad de la instancia de Oracle que se ejecuta en Azure Virtual Machines. Dado que Oracle admite cargas de trabajo críticas, debe incluir en el diseño las instrucciones para las áreas de diseño de la zona de aterrizaje de Azure.

Priorice la seguridad de las cargas de trabajo de Oracle

Al igual que con la mayoría de las bases de datos de producción, la protección de una carga de trabajo de Oracle es esencial. La base de datos debe permanecer privada y no tener puntos de conexión públicos. Solo los servicios en la nube autorizados, como una aplicación empresarial o servicios front-end web, deben controlar el acceso a los datos. Unas pocas personas autorizadas pueden administrar cualquier base de datos de producción mediante un servicio seguro. Para obtener más información, consulte Planeación del acceso remoto a máquinas virtuales.

Diseño de redes de alto nivel

En el siguiente diagrama de arquitectura se muestran las consideraciones de red para las instancias de Oracle dentro de una zona de aterrizaje de Azure.

Diagrama que muestra la arquitectura conceptual de Oracle en el acelerador de zonas de aterrizaje de Azure.

  • Asegúrese de que todos los servicios de solución residan en una única red virtual.

  • Use Azure Firewall, Azure Application Gateway u otros mecanismos de seguridad para asegurarse de que solo el tráfico esencial pueda acceder a la solución.

  • Implemente una red perimetral para obtener medidas de seguridad de red más avanzadas. Para obtener más información, consulte Implementación de una red híbrida segura.

  • Supervise y filtre el tráfico mediante Azure Monitor, grupos de seguridad de red (NSG) de Azure o grupos de seguridad de aplicaciones.

  • Asegúrese de que todas las máquinas virtuales que admiten directamente la base de datos de Oracle residan en una subred dedicada y se mantengan seguras frente a Internet.

La subred de base de datos de Oracle debe incluir un grupo de seguridad de red que permita el siguiente tráfico:

  • Puerto de entrada 22 o 3389 si los servicios de base de datos de Oracle se ejecutan en Windows solo desde un origen seguro. Para obtener más información sobre el acceso seguro a máquinas virtuales, consulte Planeación del acceso remoto a máquinas virtuales.

  • Puerto de entrada 1521 solo desde la subred front-end. La subred front-end debe seguir los procedimientos recomendados para las cargas de trabajo orientadas a Internet.

  • Cambie los puertos cuando la seguridad requiera ofuscación. No uses puertos predeterminados.

  • Limite el acceso de administración de Oracle a un número mínimo de usuarios autorizados mediante Azure Bastion para conectarse de forma segura a las máquinas virtuales de la subred de Oracle.

  • Si usa Azure Bastion para acceder al servidor de base de datos de Oracle, asegúrese de que AzureBastionSubnet incluye un grupo de seguridad de red que permita el tráfico entrante en el puerto 443.

  • Si es necesario, configure los grupos de selección de ubicación de proximidad para los servidores de aplicaciones oracle y los servidores de bases de datos de Oracle para minimizar la latencia de red.

  • Utilice las redes aceleradas para implementar todos los servicios.

Paso siguiente

Información general sobre la seguridad de Oracle en máquinas virtuales de Azure