Hub-and-Spoke-Netzwerktopologie mit einem dynamischen Routinggateway einrichten
Ein Hub-and-Spoke-Netzwerk, auch Star-Netzwerk genannt, verfügt über eine zentrale Komponente, die mit mehreren Netzwerken verbunden ist. Die Einrichtung dieser Topologie im herkömmlichen On-Premises-Data-Center kann teuer sein. Aber in der Cloud gibt es keine zusätzlichen Kosten.
Das dynamische Routinggateway (DRG) ist ein virtueller Router, der einen Pfad für den privaten Netzwerktraffic zwischen einem virtuellen Cloud-Netzwerk (VCN) und einem Netzwerk außerhalb der Region bereitstellt, z.B. ein VCN in einer anderen Oracle Cloud Infrastructure-(OCI-)Region, einem On-Premise-Netzwerk oder einem Netzwerk von einem anderen Cloud-Provider.
Das DRG kann eine Verbindung zu mehreren VCNs herstellen. So können Sie Ihr Cloud-Netzwerk flexibler gestalten.
- Isolieren Sie die Workloads verschiedener Kunden, wie z. B. die Abonnenten eines unabhängigen Softwareanbieters (ISV).
- Shared Services wie Log-Server, Domain Name System (DNS) und File Sharing aus einem zentralen Netzwerk bereitstellen.
- Erweitern Sie die Oracle Cloud Infrastructure-Konnektivität mit OCI FastConnect-Partnern auf Multicloud-Umgebungen.
- Richten Sie separate Entwicklungs- und Produktionsumgebungen ein.
- Trennen Sie Umgebungen so, dass sie Compliance-Anforderungen erfüllen, wie z. B. die Anforderungen der Zahlungskartenindustrie (PCI) und des Health Insurance Portability and Accountability Act (HIPAA).
Architektur
Mit einem dynamischen Routinggateway (DRG) können Sie bis zu 300 virtuelle Cloud-Netzwerke (VCNs) verbinden und die allgemeine Architektur, Sicherheitsliste und Routentabellenkonfiguration vereinfachen sowie die Verwaltung von Sicherheits-Policys vereinfachen, indem Sie Oracle-Cloud-IDs (OCIDs) über das DRG bewerben.
In dieser Architektur ist ein dynamisches Routinggateway mit mehreren VCNs verbunden. In jedem VCN sind Beispielsubnetze und virtuelle Maschinen (VMs) vorhanden. Das DRG verfügt über eine Routentabelle, die Regeln angibt, mit denen Traffic an Ziele außerhalb des VCN geleitet wird. Das DRG ermöglicht private Konnektivität mit einem On-Premise-Netzwerk, das Sie mit Oracle Cloud Infrastructure FastConnect, Oracle Cloud Infrastructure Site-to-Site VPN oder beidem implementieren können. Mit dem DRG können Sie auch über einen OCI FastConnect-Partner eine Verbindung zu mehreren Cloud-Umgebungen herstellen.
Sie können entweder Oracle Cloud Infrastructure Bastion oder einen Bastionhost verwenden, um sicheren Zugriff auf Ihre Ressourcen zu ermöglichen. Diese Architektur verwendet OCI-Bastion.
Das folgende Diagramm veranschaulicht diese Referenzarchitektur.
Beschreibung der Abbildung hub-and-spoke-drg.png
Die Architektur umfasst folgende Komponenten:
- On-Premise-Netzwerk
Dies ist ein lokales Netzwerk, das von Ihrer Organisation verwendet wird.
- OCI-region
Eine OCI-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Centre enthält, das Availability-Domains hostet. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können über Länder oder Kontinente voneinander getrennt werden.
- Virtuelles OCI-Cloud-Netzwerk und Subnetz
Ein virtuelles Cloud-Netzwerk (VCN) ist ein anpassbares, softwaredefiniertes Netzwerk, das Sie in einer OCI-Region einrichten. Wie herkömmliche Data Center-Netzwerke erhalten Sie über VCNs die Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die sich auf eine Region oder eine Availability-Domain beschränken. Jedes Subnetz besteht aus einem Bereich zusammenhängender Adressen, die sich nicht mit anderen Subnetzen im VCN überschneiden. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.
- Sicherheitsliste
Sie können für jedes Subnetz Sicherheitsregeln erstellen, die Quelle, Ziel und Typ des Traffics angeben, der im Subnetz und außerhalb des Subnetzes zulässig ist.
- Netzwerksicherheitsgruppe (NSG)
NSGs fungieren als virtuelle Firewalls für Ihre Cloud-Ressourcen. Mit dem Zero-Trust-Sicherheitsmodell von OCI steuern Sie den Netzwerkverkehr innerhalb eines VCN. Eine NSG besteht aus einer Gruppe von Ingress- und Egress-Sicherheitsregeln, die ausschließlich für ein bestimmtes Set von virtuellen Netzwerkschnittstellenkarten (VNICs) in einem einzelnen VCN gelten.
- Routentabelle
Virtuelle Routentabellen enthalten Regeln zum Weiterleiten von Traffic von Subnetzen zu Zielen außerhalb eines VCN, in der Regel über Gateways.
- Dynamisches Routinggateway (DRG)
Das DRG ist ein virtueller Router, der einen Pfad für den privaten Netzwerktraffic zwischen VCNs in derselben Region zwischen einem VCN und einem Netzwerk außerhalb der Region bereitstellt, z.B. ein VCN in einer anderen OCI-Region, ein On-Premise-Netzwerk oder ein Netzwerk in einem anderen Cloud-Provider.
- OCI Site-to-Site-VPN
OCI Site-to-Site-VPN bietet IPSec-VPN-Konnektivität zwischen Ihrem On-Premise-Netzwerk und VCNs auf OCI. Die IPSec-Protokollsuite verschlüsselt den IP-Traffic, bevor diese Pakete von der Quelle an das Ziel übertragen werden, und entschlüsselt den Traffic, wenn er ankommt.
- OCI FastConnect
Oracle Cloud Infrastructure FastConnect erstellt eine dedizierte, private Verbindung zwischen Ihrem Data Center und OCI. FastConnect bietet Optionen Mit höherer Bandbreite sowie ein zuverlässigeres Netzwerk als bei internetbasierten Verbindungen.
- OCI Bastion
Oracle Cloud Infrastructure Bastion bietet eingeschränkten und zeitlich begrenzten sicheren Zugriff auf Ressourcen, die keine öffentlichen Endpunkte haben und strenge Ressourcenzugriffskontrollen erfordern, wie Bare-Metal- und virtuelle Maschinen, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) und alle anderen Ressourcen, die den Secure Shell-Protokoll-(SSH-)Zugriff ermöglichen. Mit dem OCI Bastion-Service können Sie den Zugriff auf private Hosts aktivieren, ohne einen Jump-Host bereitzustellen und zu verwalten. Darüber hinaus erhalten Sie einen verbesserten Sicherheitsstatus mit identitätsbasierten Berechtigungen und einer zentralisierten, auditierten und zeitgebundenen SSH-Session. Mit OCI Bastion ist keine öffentliche IP für den Bastionzugriff erforderlich, sodass der Aufwand und die potenzielle Angriffsfläche bei der Bereitstellung von Remotezugriff entfallen.
- Bastionhost
Der Bastionhost ist eine Compute-Instanz, die als sicherer, kontrollierter Einstiegspunkt in die Topologie von außerhalb der Cloud dient. Der Bastionhost wird in der Regel in einer demilitarisierten Zone (DMZ) bereitgestellt. Damit können Sie sensible Ressourcen schützen, indem Sie sie in privaten Netzwerken platzieren, auf die nicht direkt von außerhalb der Cloud zugegriffen werden kann. Die Topologie verfügt über einen einzigen bekannten Einstiegspunkt, den Sie regelmäßig überwachen und auditieren können. So können Sie vermeiden, die sensibleren Komponenten der Topologie freizulegen, ohne den Zugriff darauf zu beeinträchtigen.
- OCI-Compute
Mit Oracle Cloud Infrastructure Compute können Sie Compute-Hosts in der Cloud bereitstellen und verwalten. Sie können Compute-Instanzen mit Ausprägungen starten, die Ihren Ressourcenanforderungen für CPU, Arbeitsspeicher, Netzwerkbandbreite und Speicher entsprechen. Nachdem Sie eine Compute-Instanz erstellt haben, können Sie sicher darauf zugreifen, sie neu starten, Volumes anhängen und trennen und beenden, wenn Sie sie nicht mehr benötigen.
Empfehlungen
- VCN
Wenn Sie ein VCN erstellen, bestimmen Sie die Anzahl der erforderlichen CIDR-Blöcke und die Größe jedes Blocks basierend auf der Anzahl der Ressourcen, die Sie an Subnetze im VCN anhängen möchten. Verwenden Sie CIDR-Blöcke, die sich innerhalb des standardmäßigen privaten IP-Adressraums befinden.
Wählen Sie CIDR-Blöcke aus, die sich mit keinem anderen Netzwerk (in Oracle Cloud Infrastructure, Ihrem On-Premise-Data Center oder einem anderen Cloud-Provider) überschneiden, zu dem Sie private Verbindungen einrichten möchten.
Nachdem Sie ein VCN erstellt haben, können Sie die zugehörigen CIDR-Blöcke ändern, hinzufügen und entfernen.
Berücksichtigen Sie beim Entwerfen der Subnetze den Verkehrsfluss und die Sicherheitsanforderungen. Hängen Sie alle Ressourcen innerhalb einer bestimmten Tier oder Rolle an dasselbe Subnetz an, das als Sicherheitsgrenze dienen kann.
- Sicherheitslisten
Mit Sicherheitslisten können Sie Ingress- und Egress-Regeln definieren, die für das gesamte Subnetz gelten.
- Sicherheit
Mit Oracle Cloud Guard können Sie die Sicherheit Ihrer Ressourcen in Oracle Cloud Infrastructure proaktiv überwachen und aufrechterhalten. Cloud Guard verwendet Detektorrezepte, die Sie definieren können, um Ihre Ressourcen auf Sicherheitslücken zu untersuchen und Operatoren und Benutzer auf riskante Aktivitäten zu überwachen. Wenn eine falsche Konfiguration oder unsichere Aktivität erkannt wird, empfiehlt Cloud Guard Korrekturmaßnahmen und unterstützt Sie bei der Ausführung dieser Aktionen basierend auf Responder-Rezepten, die Sie definieren können.
Für Ressourcen, die maximale Sicherheit erfordern, empfiehlt Oracle die Verwendung von Sicherheitszonen. Eine Sicherheitszone ist ein Compartment, das mit einem von Oracle definierten Rezept für Sicherheits-Policys verknüpft ist, die auf Best Practices basieren. Beispiel: Ressourcen in einer Sicherheitszone dürfen nicht über das öffentliche Internet zugänglich sein und müssen über vom Kunden verwaltete Schlüssel verschlüsselt werden. Wenn Sie Ressourcen in einer Sicherheitszone erstellen und aktualisieren, validiert Oracle Cloud Infrastructure die Vorgänge anhand der Policys im Rezept der Sicherheitszone und lehnt Vorgänge ab, die gegen eine der Policys verstoßen.
Hinweise
Berücksichtigen Sie beim Deployment dieser Referenzarchitektur die folgenden Punkte.
- Performance
Innerhalb einer Region wirkt sich die Anzahl der VCNs nicht auf die Performance aus. Wenn Sie Peer-VCNs in verschiedenen Regionen verwenden, sollten Sie die Latenz berücksichtigen. Wenn Sie Speichen verwenden, die über Oracle Cloud Infrastructure Site-to-Site VPN oder Oracle Cloud Infrastructure FastConnect verbunden sind, ist der Durchsatz der Verbindung ein zusätzlicher Faktor. Wenn eine hohe Performance erforderlich ist, verwenden Sie lokale Peering-Gateways (LPGs) anstelle des DRG.
- SicherheitSchützen Sie die Topologie mit geeigneten Sicherheitsverfahren. Die Topologie, die Sie mit dem bereitgestellten Terraform-Code bereitstellen, enthält die folgenden Sicherheitseigenschaften:
- Die Standardsicherheitsliste des Hub-VCN lässt SSH-Traffic von 0.0.0.0/0 zu. Passen Sie die Sicherheitsliste an, um nur die Hosts und Netzwerke zuzulassen, die SSH-Zugriff (oder andere Serviceports) auf Ihre Infrastruktur haben sollen.
- Bei diesem Deployment werden alle Komponenten in demselben Compartment platziert.
- Auf Spoke-VCNs kann nicht über das Internet zugegriffen werden.
- Verfügbarkeit und Redundanz
Mit Ausnahme der Instanzen weisen die verbleibenden Komponenten keine Redundanz auf. requirements.The OCI Site-to-Site-VPN- und OCI FastConnect-Komponenten sind redundant. Zur weiteren Redundanz mehrere Verbindungen verwenden, vorzugsweise von verschiedenen Anbietern.
- Kostenfaktor
Die einzigen Komponenten dieser Architektur, die Kosten verursachen, sind die Compute-Instanzen und OCI FastConnect (Portstunden und Providergebühren). Wenn ein VCN in einer anderen Region verbunden ist, wird der Traffic zwischen Regionen berechnet. Den anderen Komponenten sind keine Kosten zugeordnet.
- Verwaltung
Die Routenverwaltung wird vereinfacht, da sich die meisten Routen im DRG befinden. Wenn Sie das DRG als Hub verwenden, können 300 Anhänge vorhanden sein (mit LPGs kann das Hub-VCN nur eine Verbindung zu 10 VCNs herstellen).
Stellen Sie
Der Terraform-Code für diese Referenzarchitektur ist unter GitHub verfügbar. Sie können den Code mit einem einzigen Klick in Oracle Cloud Infrastructure Resource Manager abrufen, den Stack erstellen und bereitstellen. Alternativ können Sie den Code von GitHub auf Ihren Computer herunterladen, den Code anpassen und die Architektur mit der Terraform-CLI bereitstellen.
Hinweis:
Der Terraform-Code enthält die meisten im Architekturdiagramm gezeigten Komponenten, einschließlich einer VM für Bastionhost. Die Service-VM, die Workload-VM, das OCI Site-to-Site-VPN, OCI FastConnect und die OCI Bastion sind nicht im Code enthalten, obwohl sie im Diagramm dargestellt sind.- Mit Oracle Cloud Infrastructure Resource Manager bereitstellen:
- Klicken Sie auf .
Wenn Sie noch nicht angemeldet sind, geben Sie den Mandanten und die Benutzerzugangsdaten ein.
- Überprüfen Sie die Geschäftsbedingungen und akzeptieren sie.
- Wählen Sie die Region aus, in der Sie den Stack bereitstellen möchten.
- Befolgen Sie die Anweisungen auf dem Bildschirm, um den Stack zu erstellen.
- Klicken Sie nach dem Erstellen des Stacks auf Terraform-Aktionen, und wählen Sie Planen aus.
- Warten Sie, bis der Job abgeschlossen ist, und prüfen Sie den Plan.
Um Änderungen vorzunehmen, kehren Sie zur Seite "Stackdetails" zurück, klicken Sie auf Stack bearbeiten, und nehmen Sie die erforderlichen Änderungen vor. Führen Sie dann die Aktion Planen erneut aus.
- Wenn keine weiteren Änderungen erforderlich sind, kehren Sie zur Seite "Stackdetails" zurück, klicken Sie auf Terraform-Aktionen, und wählen Sie Anwenden aus.
- Klicken Sie auf .
- Mit der Terraform-CLI bereitstellen:
- Gehen Sie zu GitHub.
- Klonen Sie das Repository, oder laden Sie es auf Ihren lokalen Computer herunter.
- Befolgen Sie die Anweisungen im Dokument
README
.
Mehr erfahren
Erfahren Sie mehr über diese Architektur und verwandte Architekturen:
- Hub-and-Spoke-Netzwerktopologie mit lokalen Peering-Gateways einrichten
- Gut durchdachte Framework-Architektur für Oracle Cloud Infrastructure
- VCNs und Subnetzverwaltung
- Lokales VCN-Peering mit lokalen Peering-Gateways
- Transitrouting in einem Hub-VCN
- Oracle Cloud Infrastructure-Dokumentation
- Oracle Cloud Kostenschätzer
Änderungslog
In diesem Log werden wichtige Änderungen aufgeführt:
28. August 2025 | Heben Sie die Verwendung von Oracle Cloud Infrastructure Bastion und nicht von Bastionhost hervor. |
Juni 22, 2022 | Das Diagramm und der Text wurden aktualisiert, um zusätzliche Anwendungsfälle, einschließlich Multi-Cloud-Anwendungsfälle, aufzunehmen. |