Configuración de una topología de red en estrella con un gateway de enrutamiento dinámico
Una red de hub y radios, también llamada red estelar, tiene un componente central que está conectado a múltiples redes a su alrededor. Configurar esta topología en el centro de datos local tradicional puede resultar costoso. Pero en la nube, no hay costo adicional.
El gateway de enrutamiento dinámico (DRG) es un enrutador virtual que proporciona una ruta para el tráfico de red privada entre una red virtual en la nube (VCN) y una red fuera de la región, como una VCN en otra región de Oracle Cloud Infrastructure (OCI), una red local o una red de otro proveedor en la nube.
El DRG se puede conectar a varias redes virtuales en la nube, lo que agrega flexibilidad a la forma de diseñar la red en la nube.
- Aísle las cargas de trabajo de diferentes clientes, como los suscriptores de un proveedor de software independiente (ISV).
- Proporcionar servicios compartidos, como el servidor de log, el sistema de nombres de dominio (DNS) y el uso compartido de archivos desde una red central.
- Amplíe la conectividad de Oracle Cloud Infrastructure a entornos multinube mediante partners de OCI FastConnect.
- Configurar entornos de desarrollo y producción independientes.
- Separe los entornos para cumplir los requisitos de conformidad, como los requisitos de la industria de tarjetas de pago (PCI) y la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA).
Arquitectura
Un gateway de enrutamiento dinámico (DRG) permite conectar hasta 300 redes virtuales en la nube (VCN) y ayuda a simplificar la configuración general de la arquitectura, la lista de seguridad y la tabla de rutas, así como a simplificar la gestión de políticas de seguridad mediante la publicidad de los identificadores en la nube (OCID) de Oracle a través del DRG.
En esta arquitectura, una puerta de enlace de enrutamiento dinámico está conectada a varias redes virtuales en la nube. Hay subredes y máquinas virtuales (VM) de ejemplo en cada VCN. El DRG tiene una tabla de rutas que especifica reglas para dirigir el tráfico a destinos fuera de la VCN. El DRG permite la conectividad privada con una red local, que puede implantar mediante Oracle Cloud Infrastructure FastConnect, Oracle Cloud Infrastructure Site-to-Site VPN o ambas. El DRG también permite conectarse a varios entornos en la nube mediante un partner de OCI FastConnect.
Puede utilizar Oracle Cloud Infrastructure Bastion o un host bastión para proporcionar acceso seguro a sus recursos. Esta arquitectura utiliza OCI Bastion.
El siguiente diagrama ilustra esta arquitectura de referencia.
Descripción de la ilustración hub-and-spoke-drg.png
La arquitectura tiene los siguientes componentes:
- Red local
Se trata de una red local utilizada por la organización.
- Región OCI
Una región de OCI es un área geográfica localizada que contiene uno o más centros, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y pueden haber grandes distancias que las separan (entre países o incluso continentes).
- Red virtual en la nube y subred de OCI
Una red virtual en la nube (VCN) es una red personalizable y definida por software que se configura en una región de OCI. Al igual que las Redes de los Centros de Datos Tradicionales, las Redes Virtuales le proporcionan el control sobre su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.
- Lista de seguridad
Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se permite dentro y fuera de la subred.
- Grupo de seguridad de red (NSG)
Los NSG actúan como firewalls virtuales para sus recursos en la nube. Con el modelo de seguridad de confianza cero de OCI, puede controlar el tráfico de red dentro de una VCN. Un NSG está formado por un conjunto de reglas para la entrada y salida que se aplican solo a los conjuntos especificados de tarjetas de interfaz de red virtual (VNIC) en una única VCN.
- Tabla de rutas
Las tablas de rutas virtuales contienen reglas para enrutar el tráfico de subredes a destinos fuera de una VCN, normalmente a través de gateways.
- Gateway de enrutamiento dinámico (DRG)
The DRG is a virtual router that provides a path for private network traffic between VCNs in the same region, between a VCN and a network outside the region, such as a VCN in another OCI region, an on-premises network, or a network in another cloud provider.
- VPN sitio-sitio de OCI
La VPN de sitio a sitio de OCI proporciona conectividad VPN IPSec entre su red local y las redes virtuales en la nube en OCI. El conjunto de protocolos IPSec cifra el tráfico IP antes de transferir los paquetes del origen al destino y descifra el tráfico cuando llega.
- OCI FastConnect
Oracle Cloud Infrastructure FastConnect crea una conexión dedicada y privada entre tu centro de datos y OCI. FastConnect ofrece opciones de mayor anchura de banda y una experiencia a la red más fiable en comparación con la conexión basada en internet.
- OCI Bastion
Oracle Cloud Infrastructure Bastion proporciona acceso seguro restringido y limitado en el tiempo a recursos que no tienen puntos finales públicos y que requieren controles de acceso estrictos a los recursos, como hardware dedicado y máquinas virtuales, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) y cualquier otro recurso que permita el acceso mediante el protocolo de shell seguro (SSH). Con el servicio OCI Bastion, puede activar el acceso a hosts privados sin desplegar ni mantener un host de salto. Además, obtiene una estrategia de seguridad mejorada con permisos basados en identidad y una sesión SSH centralizada, auditada y con límite de tiempo. OCI Bastion elimina la necesidad de una IP pública para el acceso al bastión, lo que elimina la molestia y la posible superficie de ataque al proporcionar acceso remoto.
- Host bastión
El host bastión es una instancia informática que sirve como punto de entrada seguro y controlado a la topología desde fuera de la nube. El host bastión se aprovisiona, por lo general, en una zona desmilitarizada (DMZ). Le permite proteger los recursos sensibles colocándolos en redes privadas a los que no se puede acceder directamente desde fuera de la nube. La topología tiene un único punto de entrada conocido que puede supervisar y auditar con regularidad. Por lo tanto, puede evitar exponer los componentes más sensibles de la topología sin comprometer el acceso.
- Computación de OCI
Con Oracle Cloud Infrastructure Compute, puede aprovisionar y gestionar hosts informáticos en la nube. Puede iniciar instancias informáticas con unidades que cumplan los requisitos de recursos para CPU, memoria, ancho de banda de red y almacenamiento. Después de crear una instancia informática, puede acceder a ella de forma segura, reiniciarla, asociar y desasociar volúmenes, y terminarla cuando ya no la necesite.
Recomendaciones
- VCN
Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque en función del número de recursos que tenga previsto asociar a las subredes de la VCN. Utilice bloques CIDR que se encuentren dentro del espacio de direcciones IP privadas estándar.
Seleccione bloques CIDR que no se solapen con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) en la que desee configurar conexiones privadas.
Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques CIDR.
Al diseñar las subredes, tenga en cuenta los requisitos de seguridad y el flujo de tráfico. Asocie todos los recursos de un nivel o rol específico a la misma subred, lo que puede servir como límite de seguridad.
- Listas de seguridad
Utilice listas de seguridad para definir las reglas de entrada y salida que se aplican a toda la subred.
- Seguridad
Utilice Oracle Cloud Guard para supervisar y mantener la seguridad de los recursos en Oracle Cloud Infrastructure de forma proactiva. Cloud Guard utiliza recetas de detector que puede definir para examinar los recursos en busca de puntos débiles de seguridad y para supervisar operadores y usuarios para detectar actividades riesgosas. Cuando se detecta una configuración incorrecta o una actividad no segura, Cloud Guard recomienda acciones correctivas y ayuda a realizar esas acciones, en función de las recetas de responsable de respuesta que pueda definir.
Para los recursos que requieren la máxima seguridad, Oracle recomienda utilizar zonas de seguridad. Una zona de seguridad es un compartimento asociado a una receta de políticas de seguridad definida por Oracle que se basa en las mejores prácticas. Por ejemplo, no se puede acceder a los recursos de una zona del sistema de seguridad desde la red pública de Internet y se deben cifrar con claves gestionadas por el cliente. Al crear y actualizar recursos en una zona de seguridad, Oracle Cloud Infrastructure valida las operaciones en relación con las políticas de la receta del área de seguridad y deniega las operaciones que violan cualquiera de las políticas.
Consideraciones
Tenga en cuenta los siguientes puntos al desplegar esta arquitectura de referencia.
- Rendimiento
En una región, el rendimiento no se ve afectado por el número de redes virtuales en la nube. Cuando tenga en cuenta las redes virtuales en la nube en diferentes regiones, considere la latencia. Cuando utiliza radios conectados a través de Oracle Cloud Infrastructure Site-to-Site VPN u Oracle Cloud Infrastructure FastConnect, el rendimiento de la conexión es un factor adicional. Si se requiere un alto rendimiento, utilice gateways de intercambio de tráfico local (LPG) en lugar del DRG.
- SeguridadUtilice los mecanismos de seguridad adecuados para proteger la topología. La topología que despliega mediante el código de Terraform proporcionado incorpora las siguientes características de seguridad:
- La lista de seguridad por defecto de la VCN de hub permite el tráfico SSH desde 0.0.0.0/0. Ajuste la lista de seguridad para permitir solo los hosts y las redes que deben tener acceso SSH (o cualquier otro puerto de servicios que se requiera) a su infraestructura.
- Este despliegue coloca todos los componentes en el mismo compartimento.
- VCN Spoke no son accesibles desde Internet.
- Disponibilidad y redundancia
A excepción de las instancias, los componentes restantes no tienen redundancia. Los componentes requirements.The VPN de sitio a sitio de OCI y OCI FastConnect son redundantes. Para obtener más redundancia, utilice varias conexiones, preferiblemente de diferentes proveedores.
- Costo
Los únicos componentes de esta arquitectura que tienen un costo son las instancias informáticas y OCI FastConnect (horas de puerto y cargos de proveedor). Si una VCN de una región diferente está conectada, se carga el tráfico entre regiones. Los otros componentes no tienen ningún costo asociado.
- Gestión
La gestión de rutas se simplifica, ya que la mayoría de las rutas se realizarán en el DRG. Con el DRG como hub, es posible tener 300 asociaciones (con LPG, la VCN de hub solo puede conectarse a 10 VCN).
Despliegue
El código de Terraform para esta arquitectura de referencia está disponible en GitHub. Puede extraer el código de Oracle Cloud Infrastructure Resource Manager con un solo clic, crear la pila y desplegarla. También puede descargar el código de GitHub en su computadora, personalizar el código y desplegar la arquitectura mediante la CLI de Terraform.
Note:
El código de Terraform incluye la mayoría de los componentes que se muestran en el diagrama de arquitectura, incluida una VM para el host bastión. La máquina virtual de servicio, la máquina virtual de carga de trabajo, la VPN de sitio a sitio de OCI, OCI FastConnect y OCI Bastion no se incluyen en el código, aunque se muestran en el diagrama.- Despliegue mediante Oracle Cloud Infrastructure Resource Manager:
- Haga clic en
Si aún no se ha conectado, introduzca las credenciales de arrendamiento y usuario.
- Revise y acepte las condiciones.
- Seleccione la región donde desea desplegar la pila.
- Siga las indicaciones e instrucciones en pantalla para crear la pila.
- Después de crear la pila, haga clic en Acciones de Terraform y seleccione Plan.
- Espere a que se complete el trabajo y revise el plan.
Para realizar cambios, vuelva a la página Detalles de pila, haga clic en Editar pila y realice los cambios necesarios. A continuación, vuelva a ejecutar la acción Plan.
- Si no es necesario realizar más cambios, vuelva a la página Detalles de pila, haga clic en Acciones de Terraform y seleccione Aplicar.
- Haga clic en
- Realice el despliegue con la CLI de Terraform:
- Vaya a GitHub.
- Clone o descargue el repositorio en la computadora local.
- Siga las instrucciones del documento
README
.
Explorar más
Conozca esta arquitectura y las arquitecturas relacionadas:
- Configurar una topología de red en estrella en estrella mediante gateways de intercambio de tráfico locales
- Marco bien diseñado para Oracle Cloud Infrastructure
- Gestión de redes virtuales en la nube y subredes
- Intercambio de tráfico de VCN local mediante gateways de intercambio de tráfico local
- Enrutamiento de tránsito dentro de una VCN de hub
- Documentación de Oracle Cloud Infrastructure
- Estimador de costos de Oracle Cloud