Configuración de una topología de red en estrella mediante gateways de intercambio de tráfico locales

Una red de hub y radios, también llamada red estrella, tiene un componente central que está conectado a múltiples redes a su alrededor. La topología general se asemeja a una rueda, con un cubo central conectado a puntos a lo largo del borde de la rueda a través de múltiples radios. Configurar esta topología en el centro de datos local tradicional puede resultar costoso. Pero en la nube, no hay costo adicional.

Utilice la arquitectura de hub y radios para crear soluciones de red creativas y potentes en la nube para los siguientes casos de uso comunes:

  • Configuración de entornos de desarrollo y producción independientes.

  • Aislar las cargas de trabajo de diferentes clientes, como los suscriptores de un proveedor de software independiente (ISV) o los clientes de un proveedor de servicios gestionados.

  • Separación de entornos para cumplir con los requisitos de cumplimiento, como los requisitos de la industria de tarjetas de pago (PCI) y la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA).

  • Proporcionar servicios de tecnología de la información compartida, como el servidor de registros, el sistema de nombres de dominio (DNS) y el uso compartido de archivos desde una red central.

Arquitectura

Esta arquitectura de referencia muestra una región de Oracle Cloud Infrastructure con una red virtual en la nube (VCN) de hub conectada a dos redes virtuales en la nube radiales. Cada VCN radial se conecta con la VCN de hub mediante un par de gateways de intercambio de tráfico locales (LPG).

La arquitectura muestra algunas subredes y máquinas virtuales (VM) de ejemplo. Las listas de seguridad se utilizan para controlar el tráfico de red hacia y desde cada subred. Cada subred tiene una tabla de rutas que contiene reglas para dirigir el tráfico enlazado a destinos fuera de la VCN.

La VCN de hub tiene un gateway de Internet para el tráfico de red desde y hacia la red pública de Internet. También tiene un gateway de enrutamiento dinámico (DRG) para activar la conectividad privada con la red local, que puede implantar mediante Oracle Cloud Infrastructure FastConnect, la VPN de sitio a sitio o ambas.

Puede utilizar Oracle Cloud Infrastructure Bastion o un host bastión para proporcionar acceso seguro a sus recursos. Esta arquitectura utiliza OCI Bastion.

El siguiente diagrama ilustra la arquitectura de referencia.


Descripción de hub-spoke-oci.png a continuación
Descripción de la ilustración hub-spoke-oci.png

hub-and-spoke-oci.zip

La arquitectura tiene los siguientes componentes:
  • Red local

    Esta red es la red local utilizada por su organización. Es uno de los radios de la topología.

  • Región OCI

    Una región de OCI es un área geográfica localizada que contiene uno o más centros, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y pueden haber grandes distancias que las separan (entre países o incluso continentes).

  • Red virtual en la nube y subred de OCI

    Una red virtual en la nube (VCN) es una red personalizable y definida por software que se configura en una región de OCI. Al igual que las Redes de los Centros de Datos Tradicionales, las Redes Virtuales le proporcionan el control sobre su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

  • Lista de seguridad

    Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se permite dentro y fuera de la subred.

  • Tabla de rutas

    Las tablas de rutas virtuales contienen reglas para enrutar el tráfico de subredes a destinos fuera de una VCN, normalmente a través de gateways.

  • Gateway de enrutamiento dinámico (DRG)

    The DRG is a virtual router that provides a path for private network traffic between VCNs in the same region, between a VCN and a network outside the region, such as a VCN in another OCI region, an on-premises network, or a network in another cloud provider.

  • OCI Bastion

    Oracle Cloud Infrastructure Bastion proporciona acceso seguro restringido y limitado en el tiempo a recursos que no tienen puntos finales públicos y que requieren controles de acceso estrictos a los recursos, como hardware dedicado y máquinas virtuales, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) y cualquier otro recurso que permita el acceso mediante el protocolo de shell seguro (SSH). Con el servicio OCI Bastion, puede activar el acceso a hosts privados sin desplegar ni mantener un host de salto. Además, obtiene una estrategia de seguridad mejorada con permisos basados en identidad y una sesión SSH centralizada, auditada y con límite de tiempo. OCI Bastion elimina la necesidad de una IP pública para el acceso al bastión, lo que elimina la molestia y la posible superficie de ataque al proporcionar acceso remoto.

  • Host bastión

    El host bastión es una instancia informática que sirve como punto de entrada seguro y controlado a la topología desde fuera de la nube. El host bastión se aprovisiona, por lo general, en una zona desmilitarizada (DMZ). Le permite proteger los recursos sensibles colocándolos en redes privadas a los que no se puede acceder directamente desde fuera de la nube. La topología tiene un único punto de entrada conocido que puede supervisar y auditar con regularidad. Por lo tanto, puede evitar exponer los componentes más sensibles de la topología sin comprometer el acceso.

  • Grupo de intercambio de tráfico local (LPG)

    Un LPG proporciona intercambio de tráfico entre las redes virtuales en la nube de la misma región. El intercambio de tráfico significa que las redes virtuales en la nube se comunican mediante direcciones IP privadas, sin que el tráfico atraviese Internet ni el enrutamiento a través de la red local.

  • VPN sitio-sitio de OCI

    La VPN de sitio a sitio de OCI proporciona conectividad VPN IPSec entre su red local y las redes virtuales en la nube en OCI. El conjunto de protocolos IPSec encripta el tráfico IP antes de transferir los paquetes del origen al destino y descifra el tráfico cuando llega.

  • OCI FastConnect

    Oracle Cloud Infrastructure FastConnect crea una conexión dedicada y privada entre tu centro de datos y OCI. FastConnect ofrece opciones de mayor ancho, así como una experiencia en red más fiable en comparación con la conexión basada en internet.

Recomendaciones

Sus requisitos pueden diferir de la arquitectura que se describe aquí. Utilice las siguientes recomendaciones como punto de partida.

  • VCN

    Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque en función del número de recursos que tenga previsto asociar a las subredes de la VCN. Utilice bloques CIDR que se encuentren dentro del espacio de direcciones IP privadas estándar.

    Seleccione bloques CIDR que no se solapen con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) en la que desee configurar conexiones privadas.

    Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques CIDR.

    Al diseñar las subredes, tenga en cuenta los requisitos de seguridad y el flujo de tráfico. Asocie todos los recursos de un nivel o rol específico a la misma subred, lo que puede servir como límite de seguridad.

    Utilizar subredes regionales.

  • Listas de seguridad

    Utilice listas de seguridad para definir las reglas de entrada y salida que se aplican a toda la subred.

Consideraciones

Al diseñar una topología de red de hub y radios en la nube, tenga en cuenta los siguientes factores:

  • Costo

    Los únicos componentes de esta arquitectura que tienen un costo son las instancias informáticas y FastConnect (horas de puerto y cargos de proveedor). Los otros componentes no tienen ningún costo asociado.

  • Seguridad

    Utilice los mecanismos de seguridad adecuados para proteger la topología.

    La topología que despliega mediante el código de Terraform proporcionado incorpora las siguientes características de seguridad:
    • La lista de seguridad por defecto de la VCN de hub permite el tráfico SSH desde 0.0.0.0/0. Ajuste la lista de seguridad para permitir solo los hosts y las redes que deben tener acceso SSH (o cualquier otro puerto de servicios que se requiera) a su infraestructura.
    • Este despliegue coloca todos los componentes en el mismo compartimento.
    • VCN Spoke no son accesibles desde Internet.
  • Posibilidades de ampliación

    Tenga en cuenta los límites de servicio para las redes virtuales en la nube y las subredes de su arrendamiento. Si se necesitan más redes, solicite un aumento de los límites.

  • Rendimiento

    En una región, el rendimiento no se ve afectado por el número de redes virtuales en la nube. Cuando tenga en cuenta las redes virtuales en la nube en diferentes regiones, considere la latencia. Al utilizar radios conectados a través de la VPN de sitio a sitio de OCI o la FastConnect de OCI, el rendimiento de la conexión es un factor adicional.

  • Disponibilidad y redundancia

    A excepción de las instancias, los componentes restantes no tienen requisitos de redundancia.

    Los componentes VPN de sitio a sitio de OCI y OCI FastConnect son redundantes. Para obtener más redundancia, utilice varias conexiones, preferiblemente de diferentes proveedores.

Despliegue

El código de Terraform para esta arquitectura de referencia está disponible en GitHub. Puede extraer el código de Oracle Cloud Infrastructure Resource Manager con un solo clic, crear la pila y desplegarla. También puede descargar el código de GitHub en su computadora, personalizar el código y desplegar la arquitectura mediante la CLI de Terraform.

Note:

El código de Terraform incluye la mayoría de los componentes que se muestran en el diagrama de arquitectura, incluida una VM para el host bastión. La máquina virtual de servicio, la máquina virtual de carga de trabajo, la VPN de sitio a sitio de OCI, OCI FastConnect y OCI Bastion no se incluyen en el código, aunque se muestran en el diagrama.
  • Despliegue mediante Oracle Cloud Infrastructure Resource Manager:
    1. Haga clic en Despliegue en Oracle Cloud

      Si aún no se ha conectado, introduzca las credenciales de arrendamiento y usuario.

    2. Revise y acepte las condiciones.
    3. Seleccione la región donde desea desplegar la pila.
    4. Siga las indicaciones e instrucciones en pantalla para crear la pila.
    5. Después de crear la pila, haga clic en Acciones de Terraform y seleccione Plan.
    6. Espere a que se complete el trabajo y revise el plan.

      Para realizar cambios, vuelva a la página Detalles de pila, haga clic en Editar pila y realice los cambios necesarios. A continuación, vuelva a ejecutar la acción Plan.

    7. Si no es necesario realizar más cambios, vuelva a la página Detalles de pila, haga clic en Acciones de Terraform y seleccione Aplicar.
  • Realice el despliegue con la CLI de Terraform:
    1. Vaya a GitHub.
    2. Clone o descargue el repositorio en la computadora local.
    3. Siga las instrucciones del documento README.

Explorar más

Conozca esta arquitectura y las arquitecturas relacionadas:

Log de Cambios

Este log muestra solo los cambios significativos: