1. Configurer une topologie de réseau hub-and-spoke à l'aide d'une passerelle de routage dynamique
  2. Configuration d'une topologie de réseau hub-and-Spoke à l'aide d'une passerelle de routage dynamique

Configuration d'une topologie de réseau hub-and-Spoke à l'aide d'une passerelle de routage dynamique

Un réseau hub-and-spoke, souvent appelé réseau en étoile, possède un composant central connecté à plusieurs réseaux qui l'entourent. La configuration de cette topologie dans le centre de données on-premise traditionnel peut s'avérer coûteuse. Mais dans le Cloud, il n'y a pas de frais supplémentaires.

La passerelle de routage dynamique (DRG) est un routeur virtuel qui fournit un chemin pour le trafic réseau privé entre un réseau cloud virtuel (VCN) et un réseau en dehors de la région, tel qu'un VCN dans une autre région Oracle Cloud Infrastructure, un réseau sur site ou un réseau d'un autre fournisseur cloud.

Le groupe DRG peut se connecter à plusieurs réseaux cloud virtuels, ce qui vous permet de concevoir votre réseau cloud avec plus de flexibilité.

Utilisez l'architecture hub-and-spoke pour créer des solutions de réseautage créatives et puissantes dans le cloud pour les cas d'utilisation courants suivants :
  • Isoler les charges de travail de différents clients, comme les abonnés d'un fournisseur de logiciels indépendant
  • Fournir des services informatiques partagés tels que le serveur de journaux, le DNS et le partage de fichiers à partir d'un réseau central
  • Etendre la connectivité Oracle Cloud Infrastructure aux environnements multicloud à l'aide des partenaires FastConnect
  • Configurer des environnements de développement et de production distincts
  • Séparez les environnements pour respecter les exigences de conformité, telles que PCI et HIPAA.

Architecture

Une passerelle de routage dynamique (DRG) vous permet de connecter jusqu'à 300 réseaux cloud virtuels et aide à simplifier non seulement l'architecture globale, mais également la configuration des listes de sécurité et des tables de routage, ainsi que la gestion des stratégies de sécurité en publiant des OCID via DRG.

Dans cette architecture, une passerelle de routage dynamique est connectée à plusieurs réseaux cloud virtuels. Chaque VCN contient des exemples de sous-réseaux et de machines virtuelles. Le DRG dispose d'une table de routage qui spécifie des règles pour diriger le trafic vers des cibles en dehors du VCN. Le service DRG permet une connectivité privée avec un réseau sur site, que vous pouvez implémenter à l'aide d'Oracle Cloud Infrastructure FastConnect, d'un VPN site-à-site ou des deux. Le service DRG vous permet également de vous connecter à plusieurs environnements cloud à l'aide d'un partenaire FastConnect.

Le diagramme suivant illustre cette architecture de référence.

Description de l'image hub-and-spoke-drg.png
Description de l'illustration hub-and-spoke-drg.png ci-après

hub-and-spoke-drg-oracle.zip

L'architecture se compose des éléments suivants :

  • Réseau sur site

    Ce réseau est le réseau local utilisé par votre organisation. C'est l'une des paroles de la topologie.

  • Cloud

    Le cloud computing fournit l'infrastructure et les services informatiques, tels que les serveurs, les machines virtuelles, la sécurité, le stockage, les bases de données, le réseau, les analyses, les applications, etc. sur Internet. Grâce au cloud computing, le fournisseur gère et gère l'infrastructure et les services. En règle générale, vous ne payez que pour les ressources que vous utilisez et pouvez les adapter en fonction de l'évolution de vos besoins.

  • Région

    Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient un ou plusieurs centres de données, appelés domaines de disponibilité. Les régions sont indépendantes des autres régions et de vastes distances peuvent les séparer (d'un pays à l'autre ou même d'un continent à l'autre).

  • Réseau cloud virtuel (VCN) et sous-réseau

    Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Tout comme les réseaux de centres de données traditionnels, les réseaux cloud virtuels vous donnent un contrôle total sur votre environnement réseau. Un VCN peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, qui peuvent être ciblés vers une région ou vers un domaine de disponibilité. Chaque sous-réseau se compose d'une plage contiguë d'adresses qui ne chevauchent pas les autres sous-réseaux du VCN. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

  • Liste de sécurité

    Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui spécifient la source, la destination et le type de trafic qui doivent être autorisés dans et hors du sous-réseau.

  • Groupe de sécurité réseau (NSG)

    Les NSG servent de pare-feu virtuel pour vos ressources cloud. Avec le modèle de sécurité sans confiance d'Oracle Cloud Infrastructure, tout le trafic est refusé et vous pouvez contrôler le trafic réseau au sein d'un VCN. Un NSG consiste en un ensemble de règles de sécurité entrantes et sortantes qui ne s'appliquent qu'à un ensemble de VNIC spécifié dans un seul VCN.

  • Table de routage

    Les tables de routage virtuelles contiennent des règles pour acheminer le trafic de sous-réseaux vers des destinations en dehors d'un VCN, généralement via des passerelles.

  • Passerelle de routage dynamique (DRG)

    DRG est un routeur virtuel qui fournit un chemin pour le trafic réseau privé entre VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région Oracle Cloud Infrastructure, un réseau sur site ou un réseau dans un autre fournisseur cloud.

  • Bastion host

    L'hôte bastion est une instance de calcul qui sert de point d'entrée sécurisé et contrôlé vers la topologie depuis l'extérieur du nuage. L'hôte du bastion est généralement provisionné dans une zone démilitarisée (DMZ). Il vous permet de protéger les ressources sensibles en les plaçant dans des réseaux privés auxquels vous ne pouvez pas accéder directement depuis l'extérieur du cloud. La topologie dispose d'un seul point d'entrée connu que vous pouvez surveiller et auditer régulièrement. Ainsi, vous pouvez éviter d'exposer les composants les plus sensibles de la topologie sans compromettre leur accès.

  • VPN site à site

    Le VPN site à site fournit une connectivité VPN IPSec entre votre réseau on-premise et vos réseaux cloud virtuels dans Oracle Cloud Infrastructure. La suite de protocoles IPSec crypte le trafic IP avant que les paquets soient transférés de la source vers la destination. Elle le décrypte lorsqu'il arrive.

  • FastConnect

    Oracle Cloud Infrastructure FastConnect fournit un moyen facile de créer une connexion privée dédiée entre votre centre de données et Oracle Cloud Infrastructure. FastConnect fournit des options de bande passante plus élevées et une expérience réseau plus fiable par rapport aux connexions basées sur Internet.

Recommandations

Utilisez les recommandations suivantes comme point de départ pour <le reste de la peine. > Vos exigences peuvent différer de l'architecture décrite ici.
  • VCN

    Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher à des sous-réseaux dans VCN. Utilisez les blocs CIDR qui se trouvent dans l'espace d'adresse IP privé standard.

    Sélectionnez des blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données sur site ou un autre fournisseur cloud) auquel vous avez l'intention de configurer des connexions privées.

    Après avoir créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.

    Lorsque vous concevez les sous-réseaux, tenez compte de vos besoins en matière de flux de trafic et de sécurité. Attachez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, qui peut servir de limite de sécurité.

  • Listes de sécurité

    Utilisez les listes de sécurité pour définir les règles entrantes et sortantes qui s'appliquent à l'ensemble du sous-réseau.

  • Sécurité

    Utilisez Oracle Cloud Guard pour surveiller et maintenir la sécurité de vos ressources dans Oracle Cloud Infrastructure de manière proactive. Cloud Guard utilise des recettes de détecteur que vous pouvez définir pour examiner vos ressources pour détecter les faiblesses de sécurité et surveiller les opérateurs et les utilisateurs pour détecter les activités risquées. Lorsqu'une erreur de configuration ou une activité non sécurisée est détectée, Cloud Guard recommande des mesures correctives et aide à prendre ces actions, en fonction des recettes du répondeur que vous pouvez définir.

    Pour les ressources nécessitant une sécurité maximale, Oracle vous recommande d'utiliser des zones de sécurité. Une zone de sécurité est un compartiment associé à une recette définie par Oracle de stratégies de sécurité basées sur les meilleures pratiques. Par exemple, les ressources d'une zone de sécurité ne doivent pas être accessibles à partir d'Internet public et elles doivent être cryptées à l'aide de clés gérées par le client. Lorsque vous créez et mettez à jour des ressources dans une zone de sécurité, Oracle Cloud Infrastructure valide les opérations par rapport aux stratégies de la recette de zone de sécurité et refuse les opérations qui violent l'une quelconque des stratégies.

Remarques

Tenez compte des points suivants lors du déploiement de cette architecture de référence.

  • Performances

    Dans une région, les performances ne sont pas affectées par le nombre de VCN. Lorsque vous appariez des VCN dans différentes régions, considérez la latence. Lorsque vous utilisez des conversations connectées via VPN Connect ou FastConnect, le débit de la connexion est un facteur supplémentaire. Si des performances extrêmes sont requises, utilisez Local Peering au lieu de passer par DRG.

  • Sécurité
    Utilisez les mécanismes de sécurité appropriés pour protéger la topologie. La topologie que vous déployez à l'aide du code Terraform fourni intègre les caractéristiques de sécurité suivantes :
    • La liste de sécurité par défaut du hub VCN autorise le trafic SSH à partir de 0.0.0.0/0. Ajustez la liste de sécurité pour autoriser uniquement les hôtes et les réseaux qui devraient avoir un accès SSH (ou tout autre port de services requis) à votre infrastructure.
    • Ce déploiement place tous les composants dans le même compartiment.
    • Les VCN parlés ne sont pas accessibles depuis Internet.
  • Disponibilité et redondance

    Sauf pour les instances, les composants restants ne nécessitent pas de redondance. Les composants VPN Connect et FastConnect sont redondants. Pour plus de redondance, utilisez plusieurs connexions, de préférence de différents fournisseurs.

  • Coût

    Les seuls composants de cette architecture qui ont un coût sont les instances de calcul et FastConnect (heures de port et frais fournisseur). Si un VCN dans une région différente est connecté, le trafic entre régions est facturé. Les autres composants n'ont aucun coût associé.

  • Gestion

    La gestion des itinéraires est simplifiée car la plupart des itinéraires se trouveront dans DRG. En utilisant DRG comme hub, il est possible d'avoir 300 pièces jointes (à l'aide de GPL, le hub VCN ne peut se connecter qu'à 10 VCN).

Déployer

Le code Terraform de cette architecture de référence est disponible dans GitHub. Vous pouvez extraire le code dans Oracle Cloud Infrastructure Resource Manager en un seul clic, créer la pile et le déployer. Vous pouvez également télécharger le code de GitHub sur votre ordinateur, personnaliser le code et déployer l'architecture à l'aide de la CLI Terraform.

Note :

Le code Terraform inclut la plupart des composants présentés dans le diagramme d'architecture. La machine virtuelle de service, la machine virtuelle de charge globale, la connexion VPN et FastConnect ne sont pas inclus dans le code, bien qu'ils soient affichés dans le diagramme.
  • Déployer à l'aide d'Oracle Cloud Infrastructure Resource Manager :
    1. Cliquez sur Déployer vers Oracle Cloud

      Si vous n'êtes pas déjà connecté, entrez les informations d'identification de location et d'utilisateur.

    2. Vérifiez et acceptez les conditions générales.
    3. Sélectionnez la région dans laquelle vous souhaitez déployer la pile.
    4. Suivez les invites à l'écran et les instructions pour créer la pile.
    5. Une fois la pile créée, cliquez sur Actions Terraform, puis sur Plan.
    6. Attendez que le travail soit terminé et vérifiez le plan.

      Pour apporter des modifications, revenez à la page Détails de la pile, cliquez sur Modifier la pile et apportez les modifications requises. Exécutez ensuite à nouveau l'action Plan.

    7. Si aucune autre modification n'est nécessaire, revenez à la page Détails de la pile, cliquez sur Actions Terraform et sélectionnez Appliquer.
  • Déployer à l'aide de la CLI Terraform :
    1. Accédez à GitHub.
    2. Cloner ou télécharger le référentiel sur votre ordinateur local.
    3. Suivez les instructions du document README.

Explorer plus

Journal des modifications

Ce journal répertorie les modifications importantes :