Posts Meu roteiro de estudos para Oracle Cloud Foundation e MultiCloud Architect Certified Associate
Post
Cancel
>

Meu roteiro de estudos para Oracle Cloud Foundation e MultiCloud Architect Certified Associate

Desafio

Se você trabalha com tecnologia, aprender algo novo é sempre bom!

E pensando dessa forma, me desafiei em aprender um pouco mais de Oracle Cloud (OCI). O desafio era conseguir pelo menos uma certificação OCI em 2 meses, pois entraria de férias e não queria parar os estudos no meio para curtir às férias e depois voltar a estudar. Além disso, também precisava ganhar conhecimento o mais rápido possível em OCI.

Treinamentos

Dessa forma, analisei os treinamentos que a Oracle havia disponibilizado ano passado e eu ainda não tinha realizado.

Revendo os treinamentos que tenho disponíveis, realizei os seguintes treinamentos:

O primeiro treinamento é introdutório ao universo Oracle Cloud, além de conhecer alguns itens básicos também compreenderá como Oracle Cloud Infraestrutura funciona e quais as ofertas de serviços Oracle Cloud Applications. Ao término do estudo você pode responder um questionário para avaliar o conhecimento.

Já com o segundo treinamento, é possível conhecer um pouco mais os serviços que Oracle Cloud Infrastructure oferece e quais são os cenários para uso dos principais recursos. É um treinamento de Foundations.

O terceiro treinamento, é um pouco mais avançado que o treinamento de foundations, porém é extremamente focado em MultiCloud. É preciso ter um conhecimento básico de Cloud para realizar este treinamento, caso contrário terá dificuldade em alguns termos e serviços que são apresentados.

Ao todo o investimendo foi cerca de 30 horas de estudos, entre vídeos do treinamento, testes, simulados, anotações e leitura da documentação oficial do OCI - https://docs.oracle.com/en-us/iaas/Content/home.htm

Além dos treinamentos oficiais, também realizei os simulados Oracle Cloud Infrastructure 2023 Multicloud Architect Associate disponibilizados pela Maitreyee - https://www.udemy.com/user/maitreyee-panda-2/

Com a dedicação e o tempo investido, consegui obter às certificações:

  • Certificação - Oracle Cloud Infrastructure 2023 Foundations Associate
  • Certificação - Oracle Cloud Infrastructure 2023 Multicloud Architect Associate

O que aprendi?

  • Os treinamentos me propirciaram conhecimento em:
  • Compreensão dos conceitos básicos de nuvem;
  • Familiaridade com os principais serviços OCI: Computação, Armazenamento, Redes, Base de Dados;
  • Capacidade de explicar o modelo de identidade e segurança OCI e a estrutura de conformidade;
  • Compreensão sobre o faturamento OCI;
  • Gestão de custos e governança e administração;
  • Entendimento de multicloud e seus benefícios;
  • Descrever as opções de conectividade OCI Multicloud;
  • Implementar Interconexão OCI-Azure;
  • Implementar o Oracle Database Service para Azure.

Para saber mais sobre Oracle Cloud MultiCloud, visite esse link: https://docs.oracle.com/en-us/iaas/Content/multicloud/intro.htm

Badges

OCI Associate Multicloud

OCI Associate Foundation

Guia dos meus estudos

Abaixo compartilho o conteúdo das minhas anotações que fiz durante o período de estudos.

Benefícios de Multi Cloud

  • redundância
  • redução de custos
  • Integração com Azure
  • < 2ms de latência

Conexão é feita entre Azure express route com OCI fast connect

  • não há custo de data transfer (in/out)
  • Casos de Uso
    • Banco no OCI, APP no Azure - Conexão via Fast Connect e Express Route
    • Banco no OCI, APP na AWS - Conexão via Fast Connect + fast connect de parceiros + AWS Direct Connect
    • Banco no OCI, APP no Google - Conexão via Fast Connect + fast connect de parceiros + Google Interconnect
  • SaaS - onde existe uma aplicação SaaS, banco de dados Oracle OCI e uma outra aplicação consumindo esse - banco de dados em outro provedor (Azure, AWS, Google)
  • Benefícios desse modelo são:
  • baixa latência
  • alta performance
  • alto throughput
  • Arquitetura split stack

IAM

  • controle de acessos é granular
  • Autenticação e autorização
  • Conceitos do Identity
  • Identity Domain: contêm a relação dos usuários e grupos
  • Users: usuários
  • Groups: conjunto de usuários que possuem mesmo tipo de acesso
  • Principals: pode ser usuários e recursos do principal
  • Dynamic Groups
  • Policies: autorização para algo
  • Compartment: coleção de recursos relacionados
  • Resource: recurso/objeto da cloud
  • Federation: provedor de identidade
  • Network resources: grupo de IP usado em policy para permitir ou não o acesso a partir de determinadas redes
  • Policy, sempre permite algo, nunca nega.
  • O padrão de segurança adotado é sempre o de menor privilégio
  • Se não permitir, então está negado!

Policy

  • Permite (allow)
  • Quem (subject)
  • recurso (verb)
  • local (compartment)
  • where
  • condição

Tipos de Identity Domain

  • Padrão que é gratuito
  • Oracle Apps, usado para Oracle PaaS, SaaS e GBU App
  • Oracle Apps Premium, usado em uma mescla dois modelos acima
  • Premium, fornece full control e um suporte mais amplo
  • External User, para usuários externos e com suporte a uma escala de milhões de usuários

Federação

  • Identity Provider (gestão dos usuários)
  • Service Provider, que usa o IdP para autenticar
  • Suporte SAML 2.0
  • Conceitos:
    • Federation trust
    • SAML
    • Metadata URL

Federado

  • A autenticação ocorre em 5 etapas
  • Usuário acessa recurso no Service Provider
  • Service Provider retorna o pedido de autenticação
  • Usuário faz a autenticação no AD (Identity Provider)
  • ID valida a autenticação
  • Usuário acessa a aplicação/recurso

VCN

  • VCN é por região
  • Conexão entre VCN é realizado por Peering
  • Cada VCN pode ter mais de um CIDR
  • Não usar o mesmo CIDR em mais de uma VCN, pode ter problemas com peering
  • Range da VCN deve fazer parte da RFC 1918, range permitido entre /16 e /30
  • VCN reserva 3 IPs
  • IPV4 é mandatório
  • pode ter até 5 prefixos de IPV6
  • A diferença da subnet pública e privada é uma flag

VCN subnet

  • máximo de 300 subnets por VCN
  • subnet pública:
    • é internet-facing
    • tem conexão com a Internet Subnet:
    • é regional
    • disponível em specific domain (AZs) o que é bom para HA e DR
    • A subnet pode ser alterada
  • vNIC (Virtual Network Interface Card), determina como a instância se conecta com endpoint interno/externo da VCN.

VCN Security

  • Security list
    • é um firewall
    • quando cria uma VCN, automaticamente é criada uma security list
    • as regras são aplicadas em ordem
    • as regras são associadas com subnets, com isso afetam recursos criados dentro destas subnets
    • Padrão é negar tudo
    • limite de 5 security list por subnet
    • statefull security rules é configurada no momento da regra, ou seja, você define se a regra é ou não stateful. Desta forma, o tráfego Ingress terá um egress habilitando o mesmo
    • Stateless, precisa criar uma regra de egress para o retorno da requisição.
    • bom para ser usado com Load Balancer, Big Data
    • ICMP, precisa de regras de egress criada para funcionar

Network Security Groups

  • regras aplicadas para cada recurso de forma individual
  • máximo de 5 NSG por vNIC
  • pode ser usado em mais de um recurso

VCN Peering

  • local peering
  • na mesma região
  • não pode ter overlap de IP
  • Em cada VCN é preciso ter um Local Peering Gateway
  • A conexão é feita no Local Peering Gateway
  • Precisa estabelecer as rotas
  • precisa estabelecer regras de firewall liberando acesso
  • remote peering
  • entre regiões
  • usa o Dynamic Routing Gateway em cada região para estabelecer as conexões
  • Usa o backbone da Oracle para estabelecer a conexão entre as regiões

VCN Gateway

  • Internet Gateway - entrada/saída para Internet
  • Nat Gateway - saída para internet
  • Service Gateway - permite conexão com outros serviços OCI via rede privada
  • Local peering gateway - conecta com outra VNC na mesma região
  • Dynamic Routing Gateway:
    • Conecta com outra VNC em outra região
    • Conecta com ambiente on-premise via Fast-Connect
    • é standalone da VNC, não fica atrelado a VNC, diferente dos outros gateways
  • Service Gateway
    • é regional
    • permite acesso a outros recursos da OCI
    • pode ser usado para acessar recursos na OCI a partir do ambiente on premise, via Fast Connect ou VPN
  • Nat Gateway
    • Permite acesso à Internet para recursos que estiverem na subnet privada.
    • Suporta TCP/UDP/ICMP
    • Suporta até 20000 conexões concorrentes para o mesmo destino
    • IP público pode ser reservada ou dinâmico
    • 1 NAT por VCN. Se for necessário mais pode solicitar
    • não pode ser usado para acessar Internet via peering
  • Internet Gateway
    • Roteador para acessar à Internet
    • Suporta Ingress/Egress
    • Usado para fornecer IP público aos recursos
    • Para proteção, precisa de regras de segurança
    • não pode ser usado em zonas seguras
  • VCN Routing
    • semelhante a uma tabela de rotas
    • atua como roteador entre subnets
    • se tiver rotas com overlapping, vai usar a regra mais específica
    • sem rota para a Internet, o resultado é DROP
    • Suporta IPV6
  • Dynamic Routing Gateway
    • usado em diversos cenários
    • Gateway dinâmico usado em diversos tipos de conexões remotas
  • Peering entre VCN entre regiões
    • Conectar mais de uma VCN para fazer conexão inter VCN
    • Usado para estabelecer políticas de roteamento entre VCN
    • Usado nas conexões via Fast Connect, VPN site-to-site (IPSEC)
    • pode ser usado em até 300 conexões
    • A configuração é simplificada, por exemplo: ao estabelecer uma conexão VPN,a tabela de roteamento já é criada de forma automática
    • HA é padrão, você configura 1, porém um outro já fica em standby para ser usado caso uma falha aconteça
    • suporta transitive routing
    • On-premise -> Conta A
    • Conta A -> Conta B
    • On-premise acessar conta B

MULTICLOUD CONNECTIVITY

  • Site-to-site VPS
  • Internet Pública
  • múltiplos túneis IPsec
  • Banda e latência podem variar
  • Fast Connect
  • conexão dedicada
  • banda e latência fixa
  • Suporte peering privada e pública (quando ter parceiros)
  • Site to site VPN
    • serviço gratuíto
    • Casos de uso:
      • PoC
      • Conexão de escritórios remotos
      • Conexão com outra cloud
      • Redundância do fast connect
    • Para conectar usa:
      • IKEV1/v2
      • Dynamic Routing Gateway
      • No cliente, gateway do cliente
      • IPsec conexão
      • Suporte BGP
    • Suporta roteamento dinâmico
    • Padrão de VPN é IPSec
    • Alguns vendors são suportados

MultiCloud Site to site VPN

  • Existem documentações prontas para cada provider de nuvem
  • Fast Connect
  • conexão são de 1Gb/10Gb/100Gb
  • Suporta link aggregation
  • Virtual Circuit
  • é uma camada de rede isolada
  • roda uma ou mais redes físicas fornecendo local único de conexão entre o DRG e o CPE composto por e partes
    • Cliente
    • OCI
  • Provider
    • O cliente pode ter vários circuitos para:
    • isolar tráfegos entre serviços
    • ter redundância
  • Usa BGP para roteamento
  • Suporta IPV6
  • BGP para IPV6
    • prefixos suportados: /64, /96, /126, /127

OCI-Azure

  • Conexão cross-cloud
  • A conexão é direta, não tem provedor de telecom
  • Aplicações multicloud
  • conexão privada com latência inferior a 2ms
  • fornece SSO único para recursos criados no OCI e no Azure
  • OCI-Azure Setup
  • Usa BGP
  • como é uma conexão redundante, precisa de e BGPs
  • dois blocos de rede são necessários, com subnet /28 e /31
  • Etapas para conexão:
    • OCI - DataBases
  • Oracle Base Database Service
  • Single VM ou 2-node RAC
  • Cloud automation under customer control, fornece:
    • provisionamento
    • patch
    • backup
    • DR
    • 4 tipos de licenças
      • Standard edition
        • Multi tenant databases
        • suporta até 3 databases
      • Enterprise edition extreme performance
        • DB in memory
        • Data Guard
        • RAC
        • Application Continuity
      • Enterprise edition high performance
        • Partition e Multi Tenant
        • Compressão avançada
        • Segurança avançada
        • ciclo de vida e pack cloud management
      • Enterprise edition
        • Data guard
        • RAC
        • Masking e subset Data
        • Tunning Pack e digest Pack
      • Standard Edition 2
        • TDE (Transparent Data Encryption)
        • Multi tenant 3PDB
        • Machine Learning
        • Spatial e Graph
    • Roda todas as versões do Oracle suportadas
    • Benefícios
      • rápido provisionamento
      • HA com 2 nodes
        • domain
        • fault domain

Arquitetura de Storage para DB

  • LVM e Block Storage
  • ASM usa Data e Recovering disk group
  • Block fornece tríplice armazenamento de dados
  • ASM a redundância é definida para externa
  • Suporta clone do SystemDB

Automação e ciclo de vida

  • ferramentas que podem ser usadas: Interface WEB, API, SDK, CLI e terraform
  • Ações
    • Scale OCPU
    • Scale storage
    • Habilitação DataGuard
    • updateDB e systemDB
    • Backup e restore

HA e DR

  • RAC
    • Isola contra falha
    • mesma região
    • usa 2 fault domain
  • Data Guard
    • usa vários domínios
    • pode ser usado entre regiões
    • usado para DR

Autonomous Database

  • Usa Linux customizado
  • otimizado
  • patchs automáticos
  • sem down time
  • Suporta vários tipos de bancos de dados
    • data warehouse
    • transacional
    • documentos
  • todo o provisionamento é automatizado
  • configuração automatizada
  • criptografia automática
  • Tipos de bancos de dados
    • Autonomous transaction processing
      • modelo transacional
    • Autonomous data warehouse
      • Analítico
      • transformação de dados
    • Autonomous Json Database
      • NoSQL
    • Autonomous Database with APEX
      • para aplicações low code
  • Tipos de deploy
    • Shared
      • Oracle suporta a infraestrutura
      • Cliente gerencia o banc de dados
    • Dedicado
      • hardware do exadata é exclusivo
      • permite maior customização, por exemplo update de versão, tempo de retenção dos dados de backup, etc

Exadata Database Service

  • Solução Exatada na OCI
  • Oferece
    • RAC
    • In-memory
    • Oracle multi-tunnel
  • Dedicado
    • Oracle gerencia a infra
    • cliente gerencia VM e DB
  • Autonomous
    • 100% gerenciado pela Oracle
  • Pode rodar no OCI ou Cloud@Customer
  • Possibilidade de scalling OCPU
    • up/down
    • online
    • OCPU (paga somente a infraestrutura)
    • scalling vertical
  • Para usar precisa de subscription
  • License Included pricing
    • workload
    • paga pelo uso
  • BYOL
    • bom para quem já tem licença
    • Inclui: TDE, data safe, oracle ML e packs de gerenciamento

MySQL Database Service

  • 100% gerenciado
  • service native
  • mais seguro
  • maior confiabilidade
  • automático: patch, backup, segurança e HA
  • Para provisionar:
    • escolhe o shape (OCPU e memória)
    • Versão 8.0 ou acima
    • VCN
    • tipo de storage
  • O acesso é através de um endpoint criado
  • read réplicas pode ser usado com LB
  • Backup é full ou incremental (point in time)
  • Para migrar precisa usar uma ferramenta da oracle
    • dumpX
    • loadDump

MySQL HA

  • Suportado nas versões 8.0.24 ou superiores
  • pode ser configurado no setup ou posteriormente
  • Node primário é R/W
  • node secundário (cópia assíncrona)
  • usa múltiplos AV ou FD
  • usa o grupo de réplica nativa MySQL
  • toda a replicação ocorre via rede interna da Oracle
  • Requisito: todas as tabelas precisam ter Primary Key
  • Fail over automático
  • RPO = 0
  • RTO = minutos
  • Poder ter um Preferred Placement, porém no fail over o Connect Placement é alterado automáticamente. Pode ser revertido

MySQL HeatWave

  • MySQL é bom para dados transacionais
  • MySQL não é bom para dados analiticos
  • Problema:
    • precisa de dois bancos de dados
    • Processo de ETL do MySQL para OLAP
    • análise dos dados não é em tempo real
    • compliance e segurança para duas bases de dados
    • custos com licenciamento de ETL
  • Solução: MySQL Heatwave
  • Transacional + analítico
  • não precisa mudar nada na aplicação
  • mesma arquitetura para processamento de consulta massivas e paralelas
  • Excelente custo x benefício
  • Integrado com outras soluções OCI
  • Arquitetura
    • nodes dedicados e distribuídos
    • processamento de dados em memória
    • scalling em tempo real
    • In-memory, usa engine específico para consultas colunares
    • usa object storage para a camada de dados persistentes (tráfego em trânsito é criptgrafado)
    • fail over automátco
    • tempo de falha de até 60 segundos, caso identificado outro node é criado
  • Features
    • a gestão do banco de dados é a mesma (independente se é transacional ou analítico)
    • Syntaxe SQL é a mesma
    • O próprio banco detecta que a consulta é analítica, envia para os nodes específicos e retorno o resultado para o cliente
    • feature para ML nativa
    • rotinas de ML podem ser pré criadas para serem executadas através de uma query SL
    • ML pode ser treinado

Oracle Database Service for Azure

  • Permite usar bancos de dados Oracle, na nuvem OCI, a partir da Azure
  • Para o usuário, a experiência é como usar Azure 3 passos necessários
    1. estabelecer conexão entre as contas/clouds
    2. provisionar o banco de dados, via portal Azure
    3. Utilizar os serviços, gerenciar logs/métricas a partir do Azure
  • Serviços suportados
  • Autonomous Database on Shared Exadata Infrastructure
  • Exadata Database Service
  • Base Database Service
  • MySQL HeatWave

Como funciona

  • usuário tem o portal Azure para criar e gerenciar os recursos na OCI conexão é automática, basta ter subscription no Azure
  • Usar o AzureAD para autenticar os usuários que forem utilizar os serviços OCI
  • Acesso ao banco é direto
  • conectividade é de baixa latência
  • Logs gerados na OCI são enviados para Azure
  • Suporte é colaborativo entre Azure e Oracle
  • 5 passos para usar
    1. definir os pré-requisitos
    2. estabelecer conexão
    3. Criar grupos de usuários no Azure para criar e gerenciar recursos na OCI
    4. Provisionar bancos de dados
    5. usar. Gerenciar o serviço
This post is licensed under CC BY 4.0 by the author.
#
>