Configurer une topologie de réseau en étoile à l'aide de passerelles d'appairage local

Un réseau en étoile, également appelé réseau en étoile, dispose d'un composant central connecté à plusieurs réseaux autour de lui. La topologie globale ressemble à une roue, avec un moyeu central relié à des points le long du bord de la roue à travers plusieurs rayons. La configuration de cette topologie dans le centre de données sur place traditionnel peut s'avérer onéreuse. Mais dans le nuage, il n'y a pas de coût supplémentaire.

Utilisez l'architecture en étoile pour créer des solutions de réseau puissantes et créatives dans le nuage pour les cas d'utilisation courants suivants :

  • Configurer des environnements de développement et de production distincts.

  • Isolement des charges de travail de différents clients, tels que les abonnés d'un fournisseur de logiciels indépendant ou les clients d'un fournisseur de services gérés.

  • Séparation des environnements pour répondre aux exigences de conformité, telles que les exigences de l'industrie des cartes de paiement (PCI) et de la loi HIPAA (Health Insurance Portability and Accountability Act).

  • Fournir des services informatiques partagés tels que le serveur de journaux, le système de noms de domaine (DNS) et le partage de fichiers à partir d'un réseau central.

Architecture

Cette architecture de référence présente une région Oracle Cloud Infrastructure avec un réseau en nuage virtuel (VCN) central connecté à deux réseaux en nuage virtuels satellites. Chaque VCN spoke est appairé au VCN hub à l'aide d'une paire de passerelles d'appairage local (LPG).

L'architecture présente quelques exemples de sous-réseaux et de machines virtuelles. Les listes de sécurité sont utilisées pour contrôler le trafic réseau vers et depuis chaque sous-réseau. Chaque sous-réseau comporte une table de routage qui contient des règles pour diriger le trafic lié vers des cibles en dehors du VCN.

Le VCN central dispose d'une passerelle Internet pour le trafic réseau vers et depuis l'Internet public. Il comporte également une passerelle de routage dynamique (DRG) pour activer la connectivité privée avec votre réseau sur place, que vous pouvez mettre en oeuvre à l'aide d'Oracle Cloud Infrastructure FastConnect, d'un RPV site à site ou des deux.

Vous pouvez utiliser Oracle Cloud Infrastructure Bastion ou un hôte bastion pour fournir un accès sécurisé à vos ressources. Cette architecture utilise le hôte bastion OCI.

Le diagramme suivant illustre l'architecture de référence.


Description de hub-spoke-oci.png :
Description de l'illustration hub-spoke-oci.png

hub-and-spoke-oci.zip

L'architecture comporte les composants suivants :
  • Réseau sur place

    Ce réseau est le réseau local utilisé par votre organisation. C'est l'un des rayons de la topologie.

  • Région OCI

    Une région OCI est une zone géographique localisée qui contient un ou plusieurs centres de données, des domaines de disponibilité d'hébergement. Les régions sont indépendantes les unes des autres, et de grandes distances peuvent les séparer (à travers les pays ou même les continents).

  • Réseau en nuage virtuel et sous-réseau OCI

    Un réseau en nuage virtuel (VCN) est un réseau défini par logiciel personnalisable, configuré dans une région OCI. Comme les réseaux de centre de données traditionnels, les réseaux en nuage virtuels vous permettent de contrôler votre environnement de réseau. Un VCN peut disposer de plusieurs blocs de routage inter-domaine (CIDR) sans chevauchement que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, dont la portée peut concerner une région ou un domaine de disponibilité. Un sous-réseau est constitué d'un intervalle contigu d'adresses qui ne chevauchent pas les autres sous-réseaux dans le réseau en nuage virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

  • Liste de sécurité

    Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui spécifient la source, la destination et le type de trafic autorisé à entrer et à sortir du sous-réseau.

  • Table de routage

    Les tables de routage virtuelles contiennent des règles pour acheminer le trafic des sous-réseaux vers des destinations en dehors d'un VCN, généralement au moyen de passerelles.

  • Passerelle de routage dynamique (DRG)

    La passerelle DRG est un routeur virtuel qui fournit un chemin pour le trafic réseau privé entre des réseaux en nuage virtuels de la même région, entre un VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région OCI, un réseau sur place ou un réseau dans un autre fournisseur de nuage.

  • OCI - Hôte bastion

    Oracle Cloud Infrastructure Bastion fournit un accès sécurisé restreint et limité dans le temps aux ressources qui n'ont pas de points d'extrémité publics et qui nécessitent des contrôles d'accès stricts aux ressources, tels que des serveurs sans système d'exploitation et des machines virtuelles, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) et toute autre ressource permettant l'accès au protocole SSH (Secure Shell). Avec le service Hôte bastion OCI, vous pouvez activer l'accès aux hôtes privés sans déployer et tenir à jour un hôte de saut. En outre, vous bénéficiez d'une meilleure sécurité grâce à des autorisations basées sur l'identité et à une session SSH centralisée, auditée et limitée dans le temps. Le service d'hôte bastion pour OCI élimine le besoin d'une adresse IP publique pour l'accès bastion, éliminant ainsi les tracas et la surface d'attaque potentielle lors de la fourniture d'un accès distant.

  • Hôte bastion

    L'hôte bastion est une instance de calcul qui sert de point d'entrée sécurisé et contrôlé vers la topologie à partir de l'extérieur du nuage. L'hôte bastion est généralement provisionné dans une zone démilitarisée (DMZ). Il vous permet de protéger les ressources sensibles en les plaçant dans des réseaux privés qui ne sont pas accessibles directement depuis l'extérieur du nuage. La topologie comporte un seul point d'entrée connu que vous pouvez surveiller et auditer régulièrement. Ainsi, vous pouvez éviter d'exposer les composants les plus sensibles de la topologie sans compromettre l'accès à ceux-ci.

  • Groupe d'appairage local (LPG)

    Une passerelle LPG fournit l'appairage entre des réseaux en nuage virtuels de la même région. L'appairage signifie que les réseaux en nuage virtuels communiquent à l'aide d'adresses IP privées, sans que le trafic passe par Internet ou passe par votre réseau sur place.

  • RPV site à site OCI

    Le RPV site à site pour OCI fournit une connectivité RPV IPSec entre votre réseau sur place et les réseaux en nuage virtuels sur OCI. La suite de protocoles IPSec chiffre le trafic IP avant le transfert des paquets de la source à la destination, et le déchiffre à son arrivée.

  • FastConnect pour OCI

    Oracle Cloud Infrastructure FastConnect crée une connexion privée dédiée entre votre centre de données et OCI. FastConnect fournit des options de bande passante supérieure et permet une utilisation du réseau plus fiable par rapport aux connexions Internet.

Recommandations

Vos exigences peuvent différer de l'architecture décrite ici. Utilisez les recommandations suivantes comme point de départ.

  • Réseaux en nuage virtuels

    Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher aux sous-réseaux du VCN. Utilisez des blocs CIDR qui se trouvent dans l'espace d'adresses IP privées standard.

    Sélectionnez les blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données sur place ou un autre fournisseur de services infonuagiques) auquel vous avez l'intention de configurer des connexions privées.

    Après avoir créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.

    Lorsque vous concevez les sous-réseaux, tenez compte du flux de trafic et des exigences de sécurité. Attachez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, ce qui peut servir de limite de sécurité.

    Utiliser des sous-réseaux régionaux.

  • Listes de sécurité

    Utilisez des listes de sécurité pour définir des règles de trafic entrant et sortant qui s'appliquent à l'ensemble du sous-réseau.

Points à considérer

Lorsque vous concevez une topologie de réseau en étoile dans le nuage, tenez compte des facteurs suivants :

  • Coût

    Les seuls composants de cette architecture ayant un coût sont les instances de calcul et FastConnect (heures de port et frais du fournisseur). Aucun coût n'est associé aux autres composants.

  • Sécurité

    Utiliser les mécanismes de sécurité appropriés pour protéger la topologie.

    La topologie déployée à l'aide du code Terraform fourni présente les caractéristiques de sécurité suivantes :
    • La liste de sécurité par défaut du VCN central autorise le trafic SSH à partir de 0.0.0.0/0. Ajustez la liste de sécurité pour autoriser uniquement les hôtes et les réseaux qui doivent avoir un accès SSH (ou tout autre port de service requis) à votre infrastructure.
    • Ce déploiement place tous les composants dans le même compartiment.
    • Les réseaux en nuage virtuels satellite ne sont pas accessibles à partir d'Internet.
  • Extensibilité

    Tenez compte des limites de service pour les réseaux en nuage virtuels et les sous-réseaux de votre location. Si d'autres réseaux sont nécessaires, demandez une augmentation des limites.

  • Performance

    Au sein d'une région, la performance n'est pas affectée par le nombre de réseaux en nuage virtuels. Lorsque vous appliquez des réseaux en nuage virtuels dans différentes régions, tenez compte de la latence. Lorsque vous utilisez des rayons connectés au moyen du RPV site à site pour OCI ou d'OCI FastConnect, le débit de la connexion est un facteur supplémentaire.

  • Disponibilité et redondance

    À l'exception des instances, les composants restants n'ont pas besoin de redondance.

    Les composants RPV site à site OCI et OCI FastConnect sont redondants. Pour plus de redondance, utilisez plusieurs connexions, de préférence de différents fournisseurs.

Déployez

Le code Terraform pour cette architecture de référence est disponible dans GitHub. Vous pouvez extraire le code dans Oracle Cloud Infrastructure Resource Manager en un seul clic, créer la pile et la déployer. Vous pouvez également télécharger le code de GitHub sur votre ordinateur, personnaliser le code et déployer l'architecture à l'aide de l'interface de ligne de commande Terraform.

Note :

Le code Terraform comprend la plupart des composants affichés dans le diagramme d'architecture, y compris une machine virtuelle pour l'hôte bastion. La machine virtuelle du service, la machine virtuelle de charge de travail, le RPV site à site OCI, OCI FastConnect et le hôte bastion OCI ne sont pas inclus dans le code, bien qu'ils soient affichés dans le diagramme.
  • Déployer à l'aide d'Oracle Cloud Infrastructure Resource Manager :
    1. Cliquez sur Déployer vers Oracle Cloud

      Si vous n'êtes pas déjà connecté, entrez les données d'identification de la location et de l'utilisateur.

    2. Réviser et accepter les conditions générales.
    3. Sélectionnez la région dans laquelle déployer la pile.
    4. Suivez les invites et les instructions à l'écran pour créer la pile.
    5. Après avoir créé la pile, cliquez sur Actions Terraform, puis sélectionnez Planifier.
    6. Attendez que la tâche soit terminée et vérifiez le plan.

      Pour apporter des modifications, retournez à la page Détails de la pile, cliquez sur Modifier la pile et apportez les modifications requises. Exécutez ensuite de nouveau l'action Planifier.

    7. Si aucune autre modification n'est nécessaire, retournez à la page Détails de la pile, cliquez sur Actions Terraform et sélectionnez Appliquer.
  • Déployer à l'aide de l'interface de ligne de commande Terraform :
    1. Allez à GitHub.
    2. Clonez ou téléchargez le référentiel sur votre ordinateur local.
    3. Suivez les instructions du document README.

Informations complémentaires

En savoir plus sur cette architecture et sur les architectures connexes :

Journal des modifications

Ce journal répertorie uniquement les modifications importantes :