1. Hub-and-Spoke-Netzwerktopologie mit lokalen Peering-Gateways einrichten
  2. Hub-and-Spoke-Netzwerktopologie mit lokalen Peering-Gateways einrichten

Hub-and-Spoke-Netzwerktopologie mit lokalen Peering-Gateways einrichten

Ein Hub-and-Spoke-Netzwerk (auch als Star-Netzwerk bezeichnet) verfügt über eine zentrale Komponente, die mit mehreren Netzwerken um dieses Netzwerk verbunden ist. Die Gesamttopologie ähnelt einem Rad, wobei eine zentrale Nabe über mehrere Speichen mit Punkten entlang der Radkante verbunden ist. Die Einrichtung dieser Topologie im traditionellen On-Premise-Data Center kann kostspielig sein. Aber in der Cloud gibt es keine zusätzlichen Kosten.

Mit der Hub-and-Spoke-Architektur können Sie kreative und leistungsstarke Netzwerklösungen in der Cloud für die folgenden gängigen Anwendungsfälle erstellen:

  • Verschiedene Entwicklungs- und Produktionsumgebungen einrichten

  • Isolierung der Workloads verschiedener Kunden, wie der Abonnenten eines ISV oder der Kunden eines Managed Service Providers.

  • Aufteilen von Umgebungen zur Erfüllung von Compliance-Anforderungen, wie PCI und HIPAA

  • Bereitstellung gemeinsamer IT-Services wie Logserver, DNS und Dateifreigabe über ein zentrales Netzwerk.

Architektur

Diese Referenzarchitektur zeigt eine Oracle Cloud Infrastructure-Region mit einem Hub-VCN, das mit zwei Spoke-VCNs verbunden ist. Jedes Spoke-VCN wird mit dem Hub-VCN mit einem Paar aus lokalen Peering-Gateways (LPGs) peichert.

Die Architektur zeigt einige Beispiel-Subnetze und VMs. Sicherheitslisten werden verwendet, um den Netzwerkverkehr zu und von jedem Subnetz zu steuern. Jedes Subnetz verfügt über eine Routentabelle, die Regeln zum direkten Traffic enthält, der für Ziele außerhalb des VCN gebunden ist.

Das Hub-VCN verfügt über ein Internetgateway für Netzwerkverkehr zum und vom öffentlichen Internet. Es verfügt außerdem über ein dynamisches Routinggateway (DRG), um private Verbindungen zu Ihrem On-Premise-Netzwerk zu ermöglichen. Dieses können Sie mit Oracle Cloud Infrastructure FastConnect, Site-to-Site-VPN oder beides implementieren.

Sie können entweder den Bastionhost oder den OCI-Bastion-Service verwenden, um sicheren Zugriff auf Ihre Ressourcen zu ermöglichen. Diese Architektur verwendet Bastionhost.

Das folgende Diagramm veranschaulicht die Referenzarchitektur.


Beschreibung von hub-spoke-oci.png folgt
Beschreibung der Abbildung hub-spoke-oci.png

hub-and-spoke-oci.zip

Die Architektur umfasst folgende Komponenten:
  • On-Premise-Netzwerk

    Dieses Netzwerk ist das lokale Netzwerk, das von Ihrer Organisation verwendet wird. Es ist einer der Speichen der Topologie.

  • Region

    Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Center, sogenannte Availability-Domains, enthält. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können sie (über Länder oder sogar Kontinente) trennen.

  • Virtual Cloud Network (VCN)

    Ein VCN ist ein anpassbares, softwaredefiniertes Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region einrichten. Wie bei herkömmlichen Data Center-Netzwerken erhalten VCNs vollständige Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere nicht überlappende CIDR-Blöcke haben, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die für eine Region oder eine Availability-Domain gelten können. Jedes Subnetz besteht aus einem fortlaufenden Adressbereich, der sich nicht mit den anderen Subnetzen im VCN überschneidet. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.

    Diese Architektur verfügt über ein Hub-VCN und mindestens ein Spoke-VCN.

  • Sicherheitsliste

    Für jedes Subnetz können Sie Sicherheitsregeln erstellen, die Quelle, Ziel und Typ des Traffics angeben, der im Subnetz und aus dem Subnetz zugelassen werden muss.

  • Routentabelle

    Virtuelle Routentabellen enthalten Regeln, mit denen Traffic von Subnetzen an Ziele außerhalb eines VCN weitergeleitet wird, im Allgemeinen über Gateways.

  • Dynamisches Routinggateway (DRG)

    Das DRG ist ein virtueller Router, der einen Pfad für privaten Netzwerktraffic zwischen einem VCN und einem Netzwerk außerhalb der Region bereitstellt, wie z.B. ein VCN in einer anderen Oracle Cloud Infrastructure-Region, ein On-Premise-Netzwerk oder ein Netzwerk in einem anderen Cloudprovider.

  • Bastion Host

    Der Bastionhost ist eine Compute-Instanz, die als sicherer, kontrollierter Einstiegspunkt in die Topologie von außerhalb der Cloud dient. Der Bastionhost wird in der Regel in einer demilitarisierten Zone (DMZ) bereitgestellt. Dadurch können Sie sensible Ressourcen schützen, indem Sie sie in privaten Netzwerken platzieren, auf die nicht direkt von außerhalb der Cloud zugegriffen werden kann. Die Topologie hat einen einzigen, bekannten Einstiegspunkt, den Sie regelmäßig überwachen und auditieren können. Sie können also vermeiden, die empfindlicheren Komponenten der Topologie freizugeben, ohne den Zugriff darauf zu beeinträchtigen.

  • Bastionsservice

    Oracle Cloud Infrastructure-Bastion bietet eingeschränkten und zeitlich begrenzten sicheren Zugriff auf Ressourcen, die keine öffentlichen Endpunkte haben und strenge Ressourcenzugriffskontrollen erfordern, wie Bare-Metal- und virtuelle Maschinen, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Container Engine for Kubernetes (OKE) und jede andere Ressource, die Secure Shell Protocol-(SSH-)Zugriff ermöglicht. Mit dem Oracle Cloud Infrastructure-Bastion-Service können Sie den Zugriff auf private Hosts aktivieren, ohne einen Jump-Host bereitzustellen und zu verwalten. Darüber hinaus erhalten Sie verbesserte Sicherheitslage mit identitätsbasierten Berechtigungen und einer zentralisierten, auditierten und zeitgebundenen SSH-Session. Mit Oracle Cloud Infrastructure-Bastion ist keine öffentliche IP für den Bastionzugriff erforderlich. Dadurch wird die problemlose und potenzielle Angriffsfläche vermieden, wenn Remotezugriff bereitgestellt wird.

  • Lokales Peering-Gateway (LPG)

    Mit einem LPG können Sie eine Peering-Beziehung zwischen einem VCN und einem anderen VCN in derselben Region herstellen. Peering bedeutet, dass die VCNs über private IP-Adressen kommunizieren, ohne dass der Traffic über das Internet oder das On-Premise-Netzwerk geleitet wird.

  • Site-to-Site-VPN

    Über das Site-to-Site-VPN wird eine IPSec-VPN-Verbindung zwischen Ihrem On-Premise-Netzwerk und VCNs in Oracle Cloud Infrastructure hergestellt. Die IPSec-Protokollsuite verschlüsselt den IP-Traffic, bevor die Pakete von der Quelle zum Ziel übertragen werden, und entschlüsselt den Traffic, wenn er ankommt.

  • FastConnect

    Oracle Cloud Infrastructure FastConnect bietet eine einfache Möglichkeit, eine dedizierte, private Verbindung zwischen Ihrem Data Center und Oracle Cloud Infrastructure zu erstellen. FastConnect bietet im Vergleich zu internetbasierten Verbindungen eine höhere Bandbreite an Optionen und eine zuverlässigere Netzwerkerfahrung.

Empfehlungen

Ihre Anforderungen können sich von der hier beschriebenen Architektur unterscheiden. Verwenden Sie die folgenden Empfehlungen als Ausgangspunkt.

  • VCNs

    Bestimmen Sie beim Erstellen eines VCN die Anzahl der erforderlichen CIDR-Blöcke und die Größe jedes Blocks basierend auf der Anzahl der Ressourcen, die Sie an Subnetze im VCN anhängen möchten. Verwenden Sie CIDR-Blöcke, die sich im standardmäßigen privaten IP-Adressbereich befinden.

    Wählen Sie CIDR-Blöcke, die sich nicht mit einem anderen Netzwerk überschneiden (in Oracle Cloud Infrastructure, Ihrem On-Premise-Data Center oder einem anderen Cloud-Provider), in dem Sie private Verbindungen einrichten möchten.

    Nachdem Sie ein VCN erstellt haben, können Sie die zugehörigen CIDR-Blöcke ändern, hinzufügen und entfernen.

    Berücksichtigen Sie beim Entwerfen der Subnetze den Verkehrsfluss und die Sicherheitsanforderungen. Hängen Sie alle Ressourcen innerhalb einer bestimmten Ebene oder Rolle an dasselbe Subnetz an, das als Sicherheitsgrenze dienen kann.

    Regionale Subnetze verwenden

  • Sicherheitslisten

    Verwenden Sie Sicherheitslisten, um Ingress- und Egress-Regeln zu definieren, die für das gesamte Subnetz gelten.

Überlegungen

Beachten Sie beim Entwerfen einer Hub-and-Spoke-Netzwerktopologie in der Cloud die folgenden Faktoren:

  • Kostenfaktor

    Die einzigen Komponenten dieser Architektur, die Kosten verursachen, sind die Compute-Instanzen und FastConnect (Portstunden und Providergebühren). Den anderen Komponenten sind keine Kosten zugeordnet.

  • Sicherheit

    Verwenden Sie entsprechende Sicherheitsmechanismen zum Schutz der Topologie.

    Die Topologie, die Sie mit dem bereitgestellten Terraform-Code bereitstellen, umfasst die folgenden Sicherheitseigenschaften:
    • Die Standardsicherheitsliste des Hub-VCN lässt SSH-Traffic von 0.0.0.0/0 zu. Passen Sie die Sicherheitsliste an, um nur die Hosts und Netzwerke zuzulassen, die SSH-Zugriff (oder alle anderen Serviceports) auf Ihre Infrastruktur haben sollen.
    • Dieses Deployment platziert alle Komponenten im selben Compartment.
    • Auf Spoke-VCNs kann nicht über das Internet zugegriffen werden.
  • Skalierbarkeit

    Berücksichtigen Sie die Servicelimits für VCNs und Subnetze für Ihren Mandanten. Wenn mehr Netzwerke erforderlich sind, beantragen Sie eine Erhöhung der Grenzwerte.

  • Performance

    Innerhalb einer Region ist die Performance von der Anzahl der VCNs nicht betroffen. Wenn Sie VCNs in verschiedenen Regionen abgleichen, sollten Sie Latenz in Betracht ziehen. Wenn Sie über VPN Connect oder FastConnect verbundene Speichen verwenden, ist der Durchsatz der Verbindung ein zusätzlicher Faktor.

  • Verfügbarkeit und Redundanz

    Bis auf die Instanzen haben die übrigen Komponenten keine Redundanzanforderungen.

    Die VPN Connect- und FastConnect-Komponenten sind redundant. Für weitere Redundanz verwenden Sie mehrere Verbindungen, vorzugsweise von verschiedenen Anbietern.

Bereitstellen

Der Terraform-Code für diese Referenzarchitektur ist in GitHub verfügbar. Sie können den Code mit einem einzigen Klick in Oracle Cloud Infrastructure Resource Manager abrufen, den Stack erstellen und bereitstellen. Alternativ können Sie den Code von GitHub auf Ihren Computer herunterladen, den Code anpassen und die Architektur mit der Terraform-CLI bereitstellen.

Hinweis:

Der Terraform-Code umfasst die meisten Komponenten, die im Architekturdiagramm dargestellt werden. Die Service-VM, die Workload-VM, die VPN-Verbindung und FastConnect sind nicht im Code enthalten, obwohl sie im Diagramm dargestellt sind.
  • Mit Oracle Cloud Infrastructure Resource Manager bereitstellen:
    1. Klicken Sie auf In Oracle Cloud bereitstellen

      Wenn Sie noch nicht angemeldet sind, geben Sie den Mandanten und die Benutzerzugangsdaten ein.

    2. Prüfen und akzeptieren Sie die Vertragsbedingungen.
    3. Wählen Sie die Region aus, in der der Stack bereitgestellt werden soll.
    4. Befolgen Sie die Prompts und Anweisungen zum Erstellen des Stacks auf dem Bildschirm.
    5. Nachdem Sie den Stack erstellt haben, klicken Sie auf Terraform-Aktionen, und wählen Sie Planen aus.
    6. Warten Sie, bis der Job abgeschlossen ist, und prüfen Sie den Plan.

      Um Änderungen vorzunehmen, kehren Sie zur Seite "Stackdetails" zurück, klicken Sie auf Stack bearbeiten, und nehmen Sie die erforderlichen Änderungen vor. Führen Sie anschließend die Aktion Planen erneut aus.

    7. Wenn keine weiteren Änderungen erforderlich sind, kehren Sie zur Seite "Stackdetails" zurück, klicken Sie auf Terraform-Aktionen, und wählen Sie Anwenden.
  • Mit der Terraform-CLI bereitstellen:
    1. Gehen Sie zu GitHub.
    2. Klonen Sie das Repository, oder laden Sie es auf Ihren lokalen Computer herunter.
    3. Befolgen Sie die Anweisungen im Dokument README.

Mehr anzeigen

Änderungslog

In diesem Log werden nur die wesentlichen Änderungen aufgeführt: