Cloud Archives - DBConcepts

Eine Möglichkeit zur Verbindung Ihres On-Premise-Netzwerks und Ihres virtuellen Cloud-Netzwerks (VCN) besteht in der Verwendung von VPN Connect, einem IPSec-VPN. IPSec steht für Internet Protocol Security oder IP Security. IPSec ist eine Protokollsuite, die den gesamten IP-Traffic verschlüsselt, bevor die Pakete von der Quelle zum Ziel übertragen werden.

Voraussetzungen:

vorhandenes VCN (Virtual Cloud Network) in der OCI (Oracle Cloud Infrastructure)
vorhandenes VPN-Gateway / IP-Netz auf der Customer On-Premise Site

*Wichtig: die Netze in der OCI und On-Premise dürfen sich nicht im gleichen Subnetz befinden (z. B. ~~192.168.0.0/24 und 192.168.0.0/28~~ – 192.168.0.0/24 und 192.168.99.0/28)

Konfiguration in der OCI:

Erstellen Sie unter OCI -> Networking -> Dynamische Routinggateways ein neues „Dynamische Routinggateway (DRG)“ (Wählen Sie das gewünschte Compartment und einen freiwählbaren Namen)
Verknüpfen Sie das Dynamische Routinggateway mit dem vorhandenen VCN: OCI -> Networking -> Virtual Cloud Network -> Dynamische Routinggateways -> „Dynamische Routinggateway anhängen“ -> Wählen Sie das zuvor erstelle Dynamische Routinggateway
Erstellen Sie ein Customer Premises Equipment: OCI -> Networking -> Customer Premises Equipment -> „Customer Premises Equipment erstellen“ (Wählen Sie hier einen Namen, das Compartment, den Hersteller (ggf. Sonstige) und die öffentliche IPv4-Adresse des CPE-Gateways)
Erstellen der VPN-Verbindung: OCI -> Networking -> VPN-Verbindungen -> IPSec-Verbindung erstellen (Wählen Sie hier einen Namen und das Compartment für den VPN aus, anschließend wählen Sie bitte das „CPE“ und das „DRG“ aus dem richtigen Compartment aus und geben Sie das Customer Netz unter „CIDR mit statischer Route“ bei statischen Routen an)
Anpassen der VPN-ID: OCI -> Networking -> VPN-Verbindungen -> angelegten VPN wählen -> „Bearbeiten“ -> CPE-IKE-ID-Typ kann zwischen IP und FQDN gewählt werden
Auslesen der Informationen für den VPN (öffentliche IPs der OCI, PreSharedKeys, …) OCI -> Networking -> VPN-Verbindungen -> angelegten VPN wählen -> CPE- und Tunnelinformationen

Beispielkonfiguration On-Premise (hier Sophos SG mit UTM 9.7):

Erstellen der IPSec Policies über Sophos UTM -> Site-to-site VPN -> IPSec -> Policies -> „New IPSec Policy…“ die OCI unterstützt folgende Parameter (Stand 10/2020):

Phase 1 (ISAKMP)

Parameter	Optionen
ISAKMP-Protokoll	Version 1
Austauschart	Hauptmodus
Authentifizierungsmethode	Pre-Shared Keys
Verschlüsselungsalgorithmus	AES-256-cbc (empfohlen) AES-192-cbc AES-128-cbc
Authentifizierungsalgorithmus	SHA-2 384 (empfohlen) SHA-2 256 SHA-1(auch als SHA oder SHA1-96 bezeichnet)
Diffie-Hellman-Gruppe	Gruppe 1 (MODP 768) Gruppe 2 (MODP 1024) Gruppe 5 (MODP 1536) Gruppe 14 (MODP 2048) Gruppe 19 (ECP 256) Gruppe 20 (ECP 384) * (empfohlen)
Gültigkeitsdauer des IKE-Sessionschlüssels	28800 Sekunden (8 Stunden)
* Gruppe 20 wird in Kürze in allen Oracle Cloud Infrastructure-Regionen unterstützt.

Phase 2 (IPSec)

Parameter	Optionen
IPSec-Protokoll	ESP, Tunnelmodus
Verschlüsselungsalgorithmus	AES-256-gcm (empfohlen) AES-192-gcm AES-128-gcm AES-256-cbc AES-192-cbc AES-128-cbc
Authentifizierungsalgorithmus	Bei Verwendung von GCM (Galois/Counter Mode) ist kein Authentifizierungsalgorithmus erforderlich, da die Authentifizierung in der GCM-Verschlüsselung enthalten ist. Wenn GCM nicht verwendet wird, werden folgende Algorithmen unterstützt: HMAC-SHA-256-128 (empfohlen) HMAC-SHA-196
Gültigkeitsdauer des IPSec-Sessionschlüssels	3600 Sekunden (1 Stunde)
Perfect Forward Secrecy (PFS)	aktiviert, Gruppe 5

Erstellen Sie unter „Remote Gateways“ ein, bzw. zwei neue Remotedesktopgateways, die IPs und PSKs finden Sie in der OCI unter: OCI -> Networking -> VPN-Verbindungen -> angelegten VPN wählen -> CPE- und Tunnelinformationen, hier tragen Sie bei Remotenetz das IPv4 des OCI VCN, bzw. Subnetzes aus dem VCN ein
Legen Sie nun die Conncetion an und wählen hier Ihre Policy, das Remotegateway und Ihre lokalen Netzwerke aus
nach erfolgtem Verbindungsaufbau werden die VPN Tunnel in der Sophos, sowie der OCI als UP/Hochgefahren angezeigt:

Im September war es wieder soweit, die Hausmesse von Oracle fand in San Francisco statt. Mit einer Teilnehmerzahl von ca. 60.000 und einem geschätzten monetären Einfluß auf die Bay Area von 120 Mio. $ war es wieder ein Event der Superlative.

Unser Kollege war live vor Ort und hat viele Eindrücke mitgebracht.

Sollte bis zu diesem Zeitpunkt noch irgendwer Zweifel an der strategischen Ausrichtung von Oracle gehabt haben, so sprachen die Plakate am Moscone Center eine deutliche Sprache wo es hingehen wird.

Cloud – Cloud – Cloud in vielen Ausprägungen

Der Hauptkonkurrent in diesem Umfeld ist laut Larry Ellison die Amazon Cloud, welchen man aber „Dank der 2nd Generation Hardware um ein Vielfaches abgehängt hätte“.

Glaubt man dem CEO Mark Hurd so sollen in einigen Jahren 100% der Testdatenbanken in der Cloud laufen und firmeneigene Rechenzentren um 80% zurückgehen.

Insbesondere mit dem Produkt Exadata Express Cloud Service für 175 $ pro Monat soll den Entwicklern die Public Cloud schmackhaft gemacht werden. Das Paket enthält eine OCPU (= 1 Kern) als PDB (plugable database) auf einer Exadata. Die Datenbank ist eine Enterprise Edition mit allen verfügbaren Optionen.

Ein ganz großes Thema war dieses Jahr die Infrastructure Cloud, die in einer Vielzahl an Compute und Storage Varianten angeboten wird.

Die Datenbank in die Cloud zu geben (mittels PaaS Angebot) und den Application Server oder andere Infrastruktur On Premise zu belassen, war einerseits durch die steigende Komplexität der Integration und auch durch die Latenzprobleme für viele Kunden keine Lösung.

Oracle hat das erkannt und bietet nun ein Komplettpaket im IaaS Bereich an, das von Bare-Metal bis Engineered Systeme und von Local NVMe bis Storage Cloud Software Appliance reicht.

Wer trotzdem nicht die Grenzen seines Rechenzentrums verlassen will, für den bietet Oracle „Cloud on Premise“ an.

Das erste Angebot umfasst:

die Oracle Cloud Machine (eine Oracle Exalogic)
die Oracle Exadata Cloud Machine
die Oracle BIG Data Cloud Machine

Man kann erwarten, dass hier mit Sicherheit noch weitere Angebote folgen werden.

Choose your Cloud

„Choose your Cloud“ war auch die Überschrift der ausgestellten Hardware.

Im System Bereich hat Oracle bereits vorher, während und kurz nach der Open World 2016 einige Systeme angekündigt bzw. verfügbar gemacht, die sicher zu einer weiteren Verbreitung von Oracle im Hardwarebereich beitragen.

Der X86 Bereich

Die Oracle Database Appliance als kleinstes Engineered System litt immer unter der Vorgabe nur Enterprise Edition betreiben zu dürfen.

Seit Juni gibt es nun zwei neue Systeme mit 1HE (mit 1 oder 2 Prozessoren), einer 2HE Maschine mit zusätzlichem Storage und die X6-2 HA, der Nachfolger der bisherigen ODA.

ODA X6-2M und ODA X6-2L

Während die ODA X6-2M und S mit SE1, SE2, SE und EE betrieben werden können, wird die X6-2 HA weiterhin nur mit Enterprise Edition betreibbar sein.

Vor ein paar Tagen wurde auch bekannt gegeben, dass die ODA X6-2L (eine 2M mit mehr Storage) auch mit Standard Edition betreibbar ist.

Der SPARC Bereich

Nachdem im Sommer 2016 der auf 8 Prozessorkerne verkleinerte S7 Prozessor als kleiner Bruder des M7 Prozessors präsentiert wurde, folgten auf der Open World die ersten Systeme.

Der MiniCluster kann als Sparc/Solaris Pendant zur ODA X6-2 HA verstanden werden. Zwei S7-2 Dual Socket Sparc Server mit S7 Prozessor, 16,8 TB Flash und 48TB Harddisk Kapazität. Mit einem Listenpreis von $ 129.000 wird dieses Engineered System sicher auf entsprechende Nachfrage stoßen.

Exadata Database Machine SL6

Ein weiteres interessantes Engineered System, welches man aber noch nicht erwerben kann, ist die Exadata SL6.

Dieses Exadata System soll statt x86 Compute Nodes mit T7-2 Sparc Servern ausgestattet sein, aber weiterhin auf Oracle Linux betrieben werden.