Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan instrucciones de conectividad de red para habilitar Azure Arc en Oracle Exadata Database@Azure infraestructura. Estas recomendaciones permiten la gobernanza unificada y la supervisión de la seguridad, a la vez que conservan las funcionalidades de administración existentes de Oracle Cloud Infrastructure (OCI) y las operaciones de base de datos.
Azure Arc amplía las funcionalidades de administración de Azure a oracle Exadata Database@Azure sin necesidad de realizar cambios en los controles de seguridad de red o la delegación de subredes existentes. Implemente estos patrones de conectividad para obtener una supervisión de seguridad completa a través de Microsoft Defender for Cloud y la gobernanza a través de Azure Policy, a la vez que mantiene la compatibilidad completa con las operaciones de Oracle existentes.
Nota:
Esta guía es específica de las implementaciones de Database@Azure de Oracle Exadata. Para oracle Autonomous Database@Azure, la conectividad de Azure Arc no es aplicable porque es un servicio totalmente administrado.
Planeamiento de la estrategia de integración de Azure Arc
Antes de implementar la conectividad de Azure Arc, establezca una estrategia completa que se alinee con la arquitectura existente de Oracle Exadata Database@Azure. Esta fase de planeación garantiza una integración correcta sin interrumpir las operaciones actuales.
Selección de las regiones de Azure adecuadas para la conectividad de Azure Arc
Los puntos de conexión de servicio de Azure Arc varían según la región de Azure y afectan al rendimiento y el cumplimiento de la conectividad. Elija la configuración de región óptima para minimizar la latencia y cumplir los requisitos normativos.
Implemente la conectividad de Azure Arc en la misma región que la infraestructura de Oracle Exadata Database@Azure. Este enfoque minimiza la latencia de las comunicaciones del agente de Azure Arc y garantiza un rendimiento óptimo para las operaciones de supervisión y gobernanza. Para conocer las consideraciones regionales, consulte Regiones de Azure y zonas de disponibilidad.
Valide la disponibilidad del punto de conexión de servicio de Azure Arc en la región de destino. Confirme que todos los puntos de conexión de servicio de Azure Arc necesarios están disponibles en la región de implementación de Oracle Exadata Database@Azure antes de implementar. Para obtener la disponibilidad del servicio por región, consulte Productos de Azure por región.
Evalúe las implicaciones de conectividad entre regiones cuando las regiones difieren. Si la infraestructura de Oracle y la administración de Azure Arc deben funcionar en distintas regiones, evalúe el impacto de la latencia en las operaciones del agente de Azure Arc y los requisitos de cumplimiento para los flujos de datos entre regiones.
Planee los requisitos de ancho de banda entre regiones. La conectividad entre regiones de Azure Arc agrega costos de ancho de banda y consideraciones de latencia para el tráfico de latidos, la supervisión de datos y las comunicaciones de evaluación de directivas. Para planear el ancho de banda, consulte Precios de ancho de banda de Azure.
Conservar la topología de red existente y los límites de seguridad
La integración de Azure Arc funciona dentro de las restricciones de red de Oracle Exadata Database@Azure sin necesidad de realizar cambios en las configuraciones de seguridad existentes. Para obtener instrucciones completas sobre la topología de red, consulte Topología de red y conectividad para Oracle Database@Azure.
Entre los requisitos de conservación de red específicos de Azure Arc se incluyen:
Mantenga la delegación de subred existente en OCI. Azure Arc no modifica la configuración de delegación de subred existente necesaria para las operaciones de Database@Azure de Oracle.
Considere las dependencias de configuración del grupo de seguridad de red (NSG). La integración de Azure Arc funciona dentro de la configuración de red existente en la que la compatibilidad con NSG depende de la configuración de las características de red. Revise las reglas de seguridad en los lados de Azure y Oracle (OCI) para evitar conflictos que puedan afectar a la conectividad de Azure Arc. Para conocer las prácticas recomendadas de NSG, consulte Introducción a NSG.
Use configuraciones de punto de conexión privado existentes. Los agentes de Azure Arc funcionan con la configuración actual del punto de conexión privado para los servicios de Azure sin modificaciones. Para la integración de puntos de conexión privados, consulte ¿Qué es el punto de conexión privado de Azure? y Azure Arc con Azure Private Link.
Mantenga el modelo de conectividad de solo salida. La integración de Arc solo usa conexiones HTTPS salientes y no requiere modificaciones de acceso entrante a Internet ni grupos de seguridad.
Configuración de la conectividad saliente para los puntos de conexión de Azure Arc
Los agentes de Azure Arc requieren conectividad de salida segura a los puntos de conexión de servicio de Azure. Configure esta conectividad a través de la infraestructura de seguridad de red existente para mantener la posición de seguridad al tiempo que habilita las funcionalidades de administración de Azure Arc.
Planificar la conexión del punto final de Azure Arc mediante los controles de seguridad existentes. Dirija el tráfico de Azure Arc a través de la infraestructura de seguridad de red ya establecida en lugar de crear reglas de excepción. Este enfoque mantiene la supervisión y el cumplimiento centralizados de la seguridad con las directivas de la organización. Para conocer los patrones de diseño de seguridad de red, consulte Seguridad de red de Azure Arc.
Use configuraciones de proxy explícitas de Azure Firewall para puntos de conexión de Azure Arc. Configure configuraciones de proxy explícitas para enrutar el tráfico de Azure Arc a través de Azure Firewall. Esta configuración proporciona un registro centralizado y una supervisión de seguridad al tiempo que se mantiene la conectividad necesaria. Para obtener una configuración completa del firewall, consulte la documentación de Azure Firewall.
Considere la posibilidad de azure NAT Gateway para una conectividad saliente simplificada. Para las organizaciones que requieren conectividad de salida más sencilla sin características avanzadas de firewall, use Azure NAT Gateway para proporcionar acceso seguro a Internet saliente para los agentes de Azure Arc. NAT Gateway ofrece una alternativa rentable cuando no se requiere la supervisión de seguridad centralizada a través de firewalls. Para conocer los patrones de diseño de puerta de enlace NAT, consulte guía de diseño de puerta de enlace NAT.
Configurar aplicaciones virtuales de red (NVA) para permitir los endpoints de servicio necesarios. Actualice las configuraciones de NVA para permitir los puntos de conexión de servicio de Azure Arc al tiempo que mantiene las reglas de seguridad existentes para el tráfico de administración de OCI. Para conocer los patrones de integración de NVA, consulte Alta disponibilidad de aplicaciones virtuales de red.
Valide la resolución DNS para los puntos de conexión de servicio de Azure Arc. Asegúrese de que la resolución DNS funciona para todos los puntos de conexión de Azure Arc necesarios desde los nodos del clúster de máquina virtual. Pruebe la conectividad antes de implementar agentes de Azure Arc. Para obtener instrucciones de configuración de DNS, consulte Resolución de nombres para recursos en redes virtuales de Azure.
Para conocer los requisitos de punto de conexión completos, consulte Requisitos de red del agente de Connected Machine.
Las organizaciones que usan la inspección de Seguridad de la capa de transporte (TLS) pueden integrar agentes de Azure Arc con su infraestructura de supervisión de seguridad. Configure la inspección de TLS correctamente para mantener la visibilidad de la seguridad al tiempo que garantiza la funcionalidad de Azure Arc.
Configuración de la inspección de TLS para agentes de Azure Arc
Las organizaciones que usan la inspección de TLS pueden integrar agentes de Azure Arc con su infraestructura de supervisión de seguridad. Configure la inspección de TLS correctamente para mantener la visibilidad de la seguridad al tiempo que garantiza la funcionalidad de Azure Arc.
Use la compatibilidad del agente de máquina conectada de Azure con la inspección de TLS. El agente de Azure Connected Machine no usa el anclaje de certificados y funciona con los servicios de inspección de TLS. Esta compatibilidad le permite mantener la supervisión de la seguridad del tráfico de Azure Arc. Para la configuración del agente, consulte Introducción al agente de Azure Connected Machine.
Excluya extensiones específicas de Azure Arc de la inspección de TLS cuando sea necesario. Algunas extensiones de Azure Arc requieren la exclusión de la inspección de TLS para funcionar correctamente. Identifique estas extensiones y configure las reglas de omisión adecuadas. Para obtener instrucciones sobre la administración de extensiones, consulte Extensiones de servidores habilitados para Azure Arc.
Mantenga el monitoreo de seguridad para el tráfico de Azure Arc. Configure la infraestructura de inspección de TLS para supervisar y registrar las comunicaciones de Azure Arc, a la vez que permite que fluya el tráfico necesario. Este enfoque proporciona visibilidad de seguridad sin bloquear la funcionalidad. Para conocer los patrones de supervisión de seguridad, consulte Información de red de Azure Monitor.
Pruebe la funcionalidad de Azure Arc después de la configuración de inspección de TLS. Compruebe que todas las características de Azure Arc funcionan correctamente con la configuración de inspección de TLS antes de implementar en entornos de producción. Para obtener instrucciones de prueba y validación, consulte Solución de problemas de conectividad de servidores habilitados para Azure Arc.
Integración de Microsoft Defender for Cloud con conectividad de Arc
La integración de Microsoft Defender for Cloud con Azure Arc mejora la supervisión de seguridad para la infraestructura de oracle Database@Azure. Para obtener instrucciones de configuración de seguridad completas, consulte Directrices de seguridad para Oracle Database@Azure.
Entre los requisitos de integración de Defender específicos de Azure Arc se incluyen:
Planee la estrategia de implementación de Defender para la conectividad de Azure Arc. Revise los requisitos de implementación de Defender para servidores y asegúrese de que todos los puntos de conexión de seguridad sean accesibles a través de la configuración de red de Azure Arc.
Configure la accesibilidad del punto de conexión de seguridad. Compruebe que los requisitos de red de Microsoft Defender for Cloud y los puntos de conexión de integración de Microsoft Sentinel son accesibles a través de la configuración de conectividad de Azure Arc.
Coordinar con la supervisión de seguridad de Oracle existente. Integre las alertas de Defender con las herramientas de seguridad de Oracle existentes para evitar la duplicación y mejorar la posición general de seguridad. Para conocer los patrones de integración, consulte Integración de Microsoft Defender for Cloud.
Uso de Entra ID para la autenticación SSH y la supervisión del acceso con privilegios en nodos de clúster habilitados para Arc
Habilite el acceso SSH seguro y escalable a los nodos de clúster de Oracle Exadata habilitados para Azure Arc mediante Entra ID.
Habilite el acceso SSH a los servidores de clústeres de Oracle habilitados para Arc Database@Azure Exadata. Use Entra ID para administrar el acceso SSH a los servidores de clúster de Oracle Database@Azure Exadata. Este enfoque centraliza la comprobación de identidades y simplifica la administración del acceso en entornos híbridos. Consulte acceso SSH a los servidores habilitados para Azure Arc para más información sobre la implementación.
Asigne los roles de Id. de Entra y las directivas de RBAC adecuados para el acceso SSH.Asigne roles de Id. de Entra como "Inicio de sesión de usuario en máquina virtual" o "Inicio de sesión de administrador en máquina virtual" para controlar el acceso SSH. Delimite estos roles a grupos de recursos específicos o servidores habilitados para Arc que hospedan cargas de trabajo de Oracle. Aplique principios de privilegios mínimos para minimizar el riesgo y asegurarse de que solo el personal autorizado acceda a la infraestructura confidencial.
Implemente el agente de Azure Monitor mediante extensiones de Arc. Use Azure Policy para implementar el agente de Azure Monitor mediante extensiones de Arc. Esto garantiza una recopilación de telemetría coherente en todos los nodos de clúster y admite operaciones de supervisión escalables. Consulte Introducción al agente de Azure Monitor para obtener instrucciones de implementación.
Configure las reglas de recopilación de datos para capturar la telemetría de Syslog. Cree una regla de recopilación de datos (DCR) para enrutar los datos de Syslog a un área de trabajo de Log Analytics. Esto permite la agregación centralizada de registros y admite análisis avanzados y alertas.
Audite el acceso SSH y las acciones con privilegios. Supervise los intentos de inicio de sesión y realice un seguimiento de los comandos con privilegios, como el uso de sudo. Configure reglas de alertas para detectar anomalías y notificar a los equipos de seguridad la actividad sospechosa. Basar reglas en
authtipo de instalación. Este paso admite la detección proactiva de amenazas y la respuesta a incidentes.
Implementación de controles de seguridad y listas de permitidos de punto de conexión
Configure los controles de acceso a la red que proporcionan conectividad mínima necesaria para las operaciones de Azure Arc mientras mantiene la posición de seguridad de la organización. Use un enfoque con privilegios mínimos para el acceso al punto de conexión de Azure Arc.
Configure reglas de firewall para puntos de conexión específicos de Azure Arc. Permita solo los puntos de conexión de servicio de Azure Arc necesarios a través de la configuración del firewall. Consulte la tabla de requisitos del punto de conexión de Azure Arc para conocer las categorías de puntos de conexión y los requisitos de red específicos. Consulte los puntos de conexión necesarios del agente de Azure Monitor para la extensión de Azure Monitor.
Restrinja el acceso de punto de conexión de Azure Arc a nodos de clúster de máquina virtual específicos. Limite el acceso de red a los puntos de conexión de Azure Arc solo desde los nodos de clúster de máquina virtual de Oracle Database@Azure que requieren administración de Azure Arc. Este enfoque reduce la superficie expuesta a ataques y mantiene los límites de seguridad. Para conocer los patrones de control de acceso, consulte NSG de Azure.
Use etiquetas de servicio para la definición de acceso al punto de conexión. Cuando esté disponible, use etiquetas de servicio de Azure para definir el acceso al punto de conexión de Azure Arc en las configuraciones de seguridad de red. Las etiquetas de servicio proporcionan un enfoque más fácil de mantener que la administración de direcciones IP individuales.
Enrutar el tráfico de Azure Arc a través de las herramientas de supervisión de seguridad existentes. Asegúrese de que las comunicaciones de Azure Arc fluyen a través de la infraestructura de supervisión de seguridad de red establecida para mantener la visibilidad y el cumplimiento de las directivas de seguridad.
Supervisión de la conectividad y el rendimiento de la red de Azure Arc
La conectividad de Azure Arc requiere supervisión continua para garantizar operaciones confiables y resolución rápida de problemas. Para obtener instrucciones de supervisión completas que abarcan la conectividad de Azure Arc, la supervisión de la seguridad y las métricas de rendimiento, consulte Administración y supervisión de oracle Database@Azure.
Para garantizar una conectividad confiable, céntrese en los siguientes requisitos de supervisión específicos de Azure Arc:
Monitorizar la conectividad del latido del agente de Azure Arc. Los agentes de Azure Arc envían mensajes de latido a Azure cada cinco minutos. Implemente la supervisión para detectar problemas de conectividad cuando los servidores no se hayan comunicado durante 15 minutos.
Implemente diagnósticos de conectividad de red. Use las herramientas de solución de problemas de conectividad de Azure Arc para diagnosticar problemas de ruta de red y validar la accesibilidad del punto de conexión.
Integración con sistemas de supervisión de Oracle existentes. Coordinar la supervisión de la conectividad de Azure Arc con alertas de Oracle Enterprise Manager e incluir el estado del punto de conexión de Azure Arc en los paneles de supervisión de red existentes.
Documentar dependencias de red y puntos de integración
Mantener una documentación completa de los requisitos de red de Azure Arc para apoyar las operaciones y realizar la resolución de problemas. La documentación clara garantiza una implementación coherente y una resolución de problemas eficaz.
Documente las dependencias del punto de conexión de servicio de Azure Arc por región de Azure. Mantenga las listas actuales de puntos de conexión necesarios para las regiones de Azure específicas. Esta documentación admite la configuración del firewall y los esfuerzos de solución de problemas.
Registre los requisitos de ruta de acceso de red y el uso del ancho de banda. Documente las rutas de acceso de red que se usan para la conectividad de Azure Arc y los patrones de uso de ancho de banda esperados. Esta información admite la planeación de la capacidad y la solución de problemas de rendimiento.
Asigne puntos de integración con controles de seguridad de red existentes. Documente cómo se integra la conectividad de Azure Arc con la infraestructura de seguridad de red existente. Este mapeo admite revisiones de seguridad y procedimientos de respuesta a incidentes.
Mantenimiento de los procedimientos de solución de problemas de conectividad de Azure Arc. Cree procedimientos paso a paso para diagnosticar y resolver problemas comunes de conectividad de Azure Arc. Incluya información de contacto y procedimientos de escalación para problemas complejos.
Uso de Azure Policy para la supervisión de cumplimiento y la configuración de la máquina
Implemente las políticas de Azure Policy y las políticas de configuración de máquina para aplicar la configuración de seguridad de red y mantener el cumplimiento en su infraestructura de Oracle Database@Azure habilitada para Azure Arc.
Utilice Azure Policy para supervisar el cumplimiento de seguridad de red en servidores habilitados con Azure Arc. Implemente Azure Policy para servidores habilitados para Azure Arc para supervisar continuamente el cumplimiento de las directivas y configuraciones de seguridad de red.
Implemente directivas de configuración de máquina para controles de red de nivel de sistema operativo. Utilice directivas de configuración de máquinas de Azure para aplicar la configuración de seguridad de red a nivel de sistema operativo. Este enfoque proporciona control similar al objeto de directiva de grupo (GPO) sobre servidores conectados a Azure Arc y garantiza configuraciones de seguridad coherentes.
Establezca la línea de base de gobernanza para la administración completa de la seguridad. Siga la línea de base de gobernanza, seguridad y cumplimiento de los servidores habilitados con Azure Arc para implementar una gobernanza completa en la infraestructura híbrida.
Supervise el estado de cumplimiento y corrección de directivas. Revise periódicamente los informes de cumplimiento de directivas e implemente la corrección automatizada siempre que sea posible para mantener los estándares de seguridad en toda la infraestructura habilitada para Azure Arc.
Validación de la conectividad antes de la implementación de Azure Arc
Complete la validación previa de la implementación para garantizar una integración correcta de Azure Arc con la infraestructura de Oracle Database@Azure. Esta validación evita problemas de implementación y garantiza un rendimiento óptimo.
Pruebe la conectividad saliente de los nodos de clúster de máquina virtual a los puntos de conexión necesarios. Use herramientas de prueba de conectividad de red para comprobar el acceso HTTPS/443 a todos los puntos de conexión de servicio de Azure Arc necesarios. Valide la resolución DNS para los puntos de conexión de servicio de Azure Arc y confirme que las reglas de firewall existentes no bloquean los puntos de conexión necesarios.
Evaluar los requisitos de ancho de banda para las operaciones de Azure Arc. Evalúe la capacidad de red para las comunicaciones de Azure Arc. La incorporación inicial requiere un mayor ancho de banda para la descarga y el registro del agente. Las operaciones en curso requieren un ancho de banda mínimo para los datos de latido y supervisión. Planee la capacidad de ráfaga durante los períodos de evaluación de directivas y evaluación de seguridad.
Revise la alineación de los controles de seguridad con los requisitos de conectividad de Azure Arc. Compruebe que los puntos de conexión de Azure Arc cumplen los procesos de aprobación de seguridad de la organización. Confirme que el registro de tráfico de Azure Arc se integra con los sistemas existentes de administración de eventos e información de seguridad (SIEM). Revise la conectividad de Azure Arc con las directivas de seguridad de red para garantizar el cumplimiento.
Preparar plantillas de configuración y automatización. Cree plantillas de configuración estandarizadas para la implementación de Azure Arc en toda la infraestructura de Oracle. Preparar scripts de automatización para la administración coherente de la implementación y la configuración.
Requisitos del punto de conexión de Azure Arc
En la tabla siguiente se resumen los puntos de conexión clave de servicio de Azure Arc por categoría. Estos puntos de conexión deben ser accesibles desde los nodos de clúster de máquina virtual de Oracle Database@Azure para una integración correcta de Azure Arc.
| Categoría de servicio | Propósito del punto de conexión | Requisitos de red |
|---|---|---|
| Azure Resource Manager | Registro y administración de máquinas virtuales | HTTPS/443 saliente |
| Servicio de configuración de Azure Arc | Configuración y actualizaciones del agente | HTTPS/443 saliente |
| Log Analytics | Supervisión de la ingesta de datos | HTTPS/443 saliente |
| Microsoft Defender | Datos de evaluación de seguridad | HTTPS/443 saliente |
| Azure Policy | Evaluación de cumplimiento | HTTPS/443 saliente |
Nota:
Las direcciones URL de punto de conexión específicas varían según la región de Azure. Para obtener listas completas de puntos de conexión regionales, consulte Requisitos de red del agente de Connected Machine. Para simplificar la administración de puntos de conexión, considere la posibilidad de usar la puerta de enlace de Azure Arc (versión preliminar), lo que reduce los puntos de conexión necesarios a siete nombres de dominio completos (FQDN). Para las organizaciones que requieren conectividad privada, consulte Seguridad de Private Link para Azure Arc.
Recursos de implementación e instrucciones de solución de problemas
Use estos recursos para implementar y mantener la conectividad de Azure Arc para la infraestructura de Oracle Database@Azure. Estos recursos proporcionan plantillas de configuración, herramientas de solución de problemas e instrucciones de supervisión específicas para escenarios de conectividad de Azure Arc.
Plantillas y ejemplos de configuración
- Proxy explícito de Azure Firewall para Azure Arc : configuración de proxy explícito de Azure Firewall
- Seguridad de Private Link para Azure Arc : configuración de Private Link
- Introducción a las directivas DNS : directivas DNS para entornos mixtos
- Omisión de proxy para puntos de conexión privados : configuración de omisión de proxy
Herramientas de solución de problemas y validación
- Solución de problemas de conectividad de Azure Arc : procedimientos de pruebas y diagnósticos de conectividad del agente de Azure Arc
- Guía de inicio rápido de Azure Arc : ejemplos de automatización y scripts de validación
- Procedimientos recomendados de Azure Monitor : integración de Log Analytics para la supervisión de Azure Arc
- Requisitos de red de Azure Arc : referencia completa del punto de conexión y planeamiento del ancho de banda
Supervise el estado de conectividad de Azure Arc mediante el seguimiento del estado de conectividad del agente, el rendimiento de la ruta de acceso de red, la disponibilidad del punto de conexión y la correlación de eventos de seguridad con los sistemas de supervisión de Oracle existentes.
Herramientas y recursos de Azure
| Categoría | Tool | Description |
|---|---|---|
| Connectivity | Servidores habilitados para Azure Arc | Administración de servidores híbridos para clústeres de máquinas virtuales de Oracle Database@Azure |
| Seguridad de red | Azure Firewall | Seguridad de red y control de acceso de puntos de conexión de Azure Arc |
| Conectividad de salida | Puerta de enlace NAT de Azure | Conectividad simplificada a Internet saliente para agentes de Azure Arc |
| Monitorización | Azure Monitor | Supervisión del rendimiento y la conectividad de Azure Arc |
| Security | Microsoft Defender for Cloud | Supervisión de seguridad para la infraestructura de Oracle habilitada para Azure Arc |
| Governance | Azure Policy | Gobernanza y cumplimiento controlados por directivas para la infraestructura de Oracle habilitada para Azure Arc |
| Configuración | Configuración de la máquina de Azure | Administración y cumplimiento de la configuración del sistema operativo |
| Connectivity | Puerta de enlace de Azure Arc (versión preliminar) | Administración simplificada de puntos de conexión para la conectividad de Azure Arc |
| Documentation | Azure Arc Jumpstart | Guía completa y ejemplos de automatización para escenarios de Azure Arc |
Pasos siguientes
- Requisitos de red de servidores habilitados para Azure Arc
- Proxy explícito de Azure Firewall para Azure Arc