Configuración de una topología de red en estrella mediante gateways de intercambio de tráfico locales
Una red de hub y radios, también llamada red estrella, tiene un componente central que está conectado a múltiples redes a su alrededor. La topología general se asemeja a una rueda, con un cubo central conectado a puntos a lo largo del borde de la rueda a través de múltiples radios. Configurar esta topología en el centro de datos local tradicional puede resultar costoso. Pero en la nube, no hay costo adicional.
-
Configuración de entornos de desarrollo y producción independientes.
-
Aislar las cargas de trabajo de diferentes clientes, como los suscriptores de un proveedor de software independiente (ISV) o los clientes de un proveedor de servicios gestionados.
-
Separación de entornos para cumplir con los requisitos de cumplimiento, como los requisitos de la industria de tarjetas de pago (PCI) y la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA).
-
Proporcionar servicios de tecnología de la información compartida, como el servidor de registros, el sistema de nombres de dominio (DNS) y el uso compartido de archivos desde una red central.
Arquitectura
Esta arquitectura de referencia muestra una región de Oracle Cloud Infrastructure con una red virtual en la nube (VCN) de hub conectada a dos redes virtuales en la nube radiales. Cada VCN radial se conecta con la VCN de hub mediante un par de gateways de intercambio de tráfico locales (LPG).
La arquitectura muestra algunas subredes y máquinas virtuales (VM) de ejemplo. Las listas de seguridad se utilizan para controlar el tráfico de red hacia y desde cada subred. Cada subred tiene una tabla de rutas que contiene reglas para dirigir el tráfico enlazado a destinos fuera de la VCN.
La VCN de hub tiene un gateway de Internet para el tráfico de red desde y hacia la red pública de Internet. También tiene un gateway de enrutamiento dinámico (DRG) para activar la conectividad privada con la red local, que puede implantar mediante Oracle Cloud Infrastructure FastConnect, la VPN de sitio a sitio o ambas.
Puede utilizar Oracle Cloud Infrastructure Bastion o un host bastión para proporcionar acceso seguro a sus recursos. Esta arquitectura utiliza OCI Bastion.
El siguiente diagrama ilustra la arquitectura de referencia.
- Red local
Esta red es la red local utilizada por su organización. Es uno de los radios de la topología.
- Región OCI
Una región de OCI es un área geográfica localizada que contiene uno o más centros, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y pueden haber grandes distancias que las separan (entre países o incluso continentes).
- Red virtual en la nube y subred de OCI
Una red virtual en la nube (VCN) es una red personalizable y definida por software que se configura en una región de OCI. Al igual que las Redes de los Centros de Datos Tradicionales, las Redes Virtuales le proporcionan el control sobre su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.
- Lista de seguridad
Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se permite dentro y fuera de la subred.
- Tabla de rutas
Las tablas de rutas virtuales contienen reglas para enrutar el tráfico de subredes a destinos fuera de una VCN, normalmente a través de gateways.
- Gateway de enrutamiento dinámico (DRG)
The DRG is a virtual router that provides a path for private network traffic between VCNs in the same region, between a VCN and a network outside the region, such as a VCN in another OCI region, an on-premises network, or a network in another cloud provider.
- OCI Bastion
Oracle Cloud Infrastructure Bastion proporciona acceso seguro restringido y limitado en el tiempo a recursos que no tienen puntos finales públicos y que requieren controles de acceso estrictos a los recursos, como hardware dedicado y máquinas virtuales, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) y cualquier otro recurso que permita el acceso mediante el protocolo de shell seguro (SSH). Con el servicio OCI Bastion, puede activar el acceso a hosts privados sin desplegar ni mantener un host de salto. Además, obtiene una estrategia de seguridad mejorada con permisos basados en identidad y una sesión SSH centralizada, auditada y con límite de tiempo. OCI Bastion elimina la necesidad de una IP pública para el acceso al bastión, lo que elimina la molestia y la posible superficie de ataque al proporcionar acceso remoto.
- Host bastión
El host bastión es una instancia informática que sirve como punto de entrada seguro y controlado a la topología desde fuera de la nube. El host bastión se aprovisiona, por lo general, en una zona desmilitarizada (DMZ). Le permite proteger los recursos sensibles colocándolos en redes privadas a los que no se puede acceder directamente desde fuera de la nube. La topología tiene un único punto de entrada conocido que puede supervisar y auditar con regularidad. Por lo tanto, puede evitar exponer los componentes más sensibles de la topología sin comprometer el acceso.
- Grupo de intercambio de tráfico local (LPG)
Un LPG proporciona intercambio de tráfico entre las redes virtuales en la nube de la misma región. El intercambio de tráfico significa que las redes virtuales en la nube se comunican mediante direcciones IP privadas, sin que el tráfico atraviese Internet ni el enrutamiento a través de la red local.
- VPN sitio-sitio de OCI
La VPN de sitio a sitio de OCI proporciona conectividad VPN IPSec entre su red local y las redes virtuales en la nube en OCI. El conjunto de protocolos IPSec encripta el tráfico IP antes de transferir los paquetes del origen al destino y descifra el tráfico cuando llega.
- OCI FastConnect
Oracle Cloud Infrastructure FastConnect crea una conexión dedicada y privada entre tu centro de datos y OCI. FastConnect ofrece opciones de mayor ancho, así como una experiencia en red más fiable en comparación con la conexión basada en internet.
Recomendaciones
Sus requisitos pueden diferir de la arquitectura que se describe aquí. Utilice las siguientes recomendaciones como punto de partida.
- VCN
Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque en función del número de recursos que tenga previsto asociar a las subredes de la VCN. Utilice bloques CIDR que se encuentren dentro del espacio de direcciones IP privadas estándar.
Seleccione bloques CIDR que no se solapen con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) en la que desee configurar conexiones privadas.
Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques CIDR.
Al diseñar las subredes, tenga en cuenta los requisitos de seguridad y el flujo de tráfico. Asocie todos los recursos de un nivel o rol específico a la misma subred, lo que puede servir como límite de seguridad.
Utilizar subredes regionales.
- Listas de seguridad
Utilice listas de seguridad para definir las reglas de entrada y salida que se aplican a toda la subred.
Consideraciones
Al diseñar una topología de red de hub y radios en la nube, tenga en cuenta los siguientes factores:
- Costo
Los únicos componentes de esta arquitectura que tienen un costo son las instancias informáticas y FastConnect (horas de puerto y cargos de proveedor). Los otros componentes no tienen ningún costo asociado.
- Seguridad
Utilice los mecanismos de seguridad adecuados para proteger la topología.
La topología que despliega mediante el código de Terraform proporcionado incorpora las siguientes características de seguridad:- La lista de seguridad por defecto de la VCN de hub permite el tráfico SSH desde 0.0.0.0/0. Ajuste la lista de seguridad para permitir solo los hosts y las redes que deben tener acceso SSH (o cualquier otro puerto de servicios que se requiera) a su infraestructura.
- Este despliegue coloca todos los componentes en el mismo compartimento.
- VCN Spoke no son accesibles desde Internet.
- Posibilidades de ampliación
Tenga en cuenta los límites de servicio para las redes virtuales en la nube y las subredes de su arrendamiento. Si se necesitan más redes, solicite un aumento de los límites.
- Rendimiento
En una región, el rendimiento no se ve afectado por el número de redes virtuales en la nube. Cuando tenga en cuenta las redes virtuales en la nube en diferentes regiones, considere la latencia. Al utilizar radios conectados a través de la VPN de sitio a sitio de OCI o la FastConnect de OCI, el rendimiento de la conexión es un factor adicional.
- Disponibilidad y redundancia
A excepción de las instancias, los componentes restantes no tienen requisitos de redundancia.
Los componentes VPN de sitio a sitio de OCI y OCI FastConnect son redundantes. Para obtener más redundancia, utilice varias conexiones, preferiblemente de diferentes proveedores.
Despliegue
El código de Terraform para esta arquitectura de referencia está disponible en GitHub. Puede extraer el código de Oracle Cloud Infrastructure Resource Manager con un solo clic, crear la pila y desplegarla. También puede descargar el código de GitHub en su computadora, personalizar el código y desplegar la arquitectura mediante la CLI de Terraform.
Note:
El código de Terraform incluye la mayoría de los componentes que se muestran en el diagrama de arquitectura, incluida una VM para el host bastión. La máquina virtual de servicio, la máquina virtual de carga de trabajo, la VPN de sitio a sitio de OCI, OCI FastConnect y OCI Bastion no se incluyen en el código, aunque se muestran en el diagrama.- Despliegue mediante Oracle Cloud Infrastructure Resource Manager:
- Haga clic en
Si aún no se ha conectado, introduzca las credenciales de arrendamiento y usuario.
- Revise y acepte las condiciones.
- Seleccione la región donde desea desplegar la pila.
- Siga las indicaciones e instrucciones en pantalla para crear la pila.
- Después de crear la pila, haga clic en Acciones de Terraform y seleccione Plan.
- Espere a que se complete el trabajo y revise el plan.
Para realizar cambios, vuelva a la página Detalles de pila, haga clic en Editar pila y realice los cambios necesarios. A continuación, vuelva a ejecutar la acción Plan.
- Si no es necesario realizar más cambios, vuelva a la página Detalles de pila, haga clic en Acciones de Terraform y seleccione Aplicar.
- Haga clic en
- Realice el despliegue con la CLI de Terraform:
- Vaya a GitHub.
- Clone o descargue el repositorio en la computadora local.
- Siga las instrucciones del documento
README
.
Explorar más
Conozca esta arquitectura y las arquitecturas relacionadas:
- Configurar una topología de red en estrella en estrella mediante gateways de intercambio de tráfico locales
- Marco bien diseñado para Oracle Cloud Infrastructure
- Gestión de redes virtuales en la nube y subredes
- Intercambio de tráfico de VCN local mediante gateways de intercambio de tráfico local
- Enrutamiento de tránsito dentro de una VCN de hub
- Documentación de Oracle Cloud Infrastructure
- Estimador de costos de Oracle Cloud
Log de Cambios
Este log muestra solo los cambios significativos:
28 de agosto de 2025 | Resalte el uso de Oracle Cloud Infrastructure Bastion en lugar del host de Bastion. |
Marzo 10, 2022 | Se ha añadido la opción de descargar versiones editables (.SVG y .DRAWIO) del diagrama de arquitectura. |
31 de julio de 2021 | Cambió el título para incluir el tipo de puerta de enlace para ayudar a diferenciar la arquitectura de otras arquitecturas de hub y radios. |
28 de agosto de 2020 | Simplificó el procedimiento para desplegar la arquitectura mediante Oracle Cloud Infrastructure Resource Manager. |
2 de julio de 2020 |
|
Marzo 9, 2020 | Se ha agregado la sección Deploy. |