Configurer une topologie de réseau hub-and-spoke à l'aide d'une passerelle de routage dynamique

Un réseau hub-and-spoke, également appelé réseau en étoile, a un composant central qui est connecté à plusieurs réseaux autour de lui. La configuration de cette topologie dans le centre de données on-premise traditionnel peut s'avérer coûteuse. Mais dans le cloud, il n'y a pas de coût supplémentaire.

La passerelle de routage dynamique (DRG) est un routeur virtuel qui fournit un chemin pour le trafic de réseau privé entre un réseau cloud virtuel (VCN) et un réseau en dehors de la région, tel qu'un VCN dans une autre région Oracle Cloud Infrastructure (OCI), un réseau sur site ou un réseau d'un autre fournisseur cloud.

Le DRG peut se connecter à plusieurs réseaux cloud virtuels, ce qui ajoute de la flexibilité à la conception de votre réseau cloud.

Utilisez l'architecture hub-and-spoke pour créer des solutions de mise en réseau créatives et puissantes dans le cloud pour les cas d'utilisation courants suivants :
  • Isoler les charges de travail des différents clients, tels que les abonnés d'un fournisseur de logiciels indépendant (ISV).
  • Fournir des services partagés tels que le serveur de journaux, le système de noms de domaine (DNS) et le partage de fichiers à partir d'un réseau central.
  • Étendez la connectivité Oracle Cloud Infrastructure aux environnements multicloud à l'aide des partenaires OCI FastConnect.
  • Configurer des environnements de développement et de production distincts.
  • Séparer les environnements pour répondre aux exigences de conformité, telles que les exigences de l'industrie des cartes de paiement (PCI) et de la loi HIPAA (Health Insurance Portability and Accountability Act).

Architecture

Une passerelle de routage dynamique (DRG) vous permet de connecter jusqu'à 300 réseaux cloud virtuels (VCN) et aide à simplifier l'architecture globale, la liste de sécurité et la configuration de la table de routage, et à simplifier la gestion des stratégies de sécurité en annonçant les identificateurs de cloud Oracle (OCID) via le DRG.

Dans cette architecture, une passerelle de routage dynamique est connectée à plusieurs réseaux cloud virtuels. Il existe des exemples de sous-réseaux et de machines virtuelles dans chaque VCN. Le DRG dispose d'une table de routage qui spécifie des règles pour diriger le trafic vers des cibles en dehors du VCN. Le service DRG permet une connectivité privée avec un réseau sur site, que vous pouvez implémenter à l'aide d'Oracle Cloud Infrastructure FastConnect, d'Oracle Cloud Infrastructure Site-to-Site VPN ou des deux. Le DRG vous permet également de vous connecter à plusieurs environnements cloud à l'aide d'un partenaire OCI FastConnect.

Vous pouvez utiliser Oracle Cloud Infrastructure Bastion ou un hôte Bastion pour fournir un accès sécurisé à vos ressources. Cette architecture utilise OCI Bastion.

Le schéma suivant illustre cette architecture de référence.

Description de l'image hub-and-spoke-drg.png
description de l'illustration hub-and-spoke-drg.png,

hub-and-spoke-drg-oracle.zip

L'architecture comporte les composants suivants :

  • Réseau sur site

    Ceci est un réseau local utilisé par votre organisation.

  • Région OCI

    Une région OCI est une zone géographique précise qui contient des centres de données, hébergeant des domaines de disponibilité. Les régions sont indépendantes les une des autres et peuvent les séparer d'un pays ou d'un continent à l'autre par de grandes distances.

  • Réseau et sous-réseau cloud virtuel OCI

    Un réseau cloud virtuel est un réseau personnalisable défini par logiciel que vous configurez dans une région OCI. Comme les Réseaux de centre de données traditionnels, les Réseaux cloud virtuels vous donnent un contrôle sur l'environnement réseau. Un VCN peut comporter plusieurs blocs de routage interdomaine sans classe (CIDR) qui ne se chevauchent pas et que vous pouvez modifier une fois le VCN créé. Vous pouvez segmenter un réseau cloud virtuel en plusieurs sous-réseaux ciblant une région ou un domaine de disponibilité. Chaque sous-réseau est composé d'une plage contiguë d'adresses qui ne chevauchent pas celles des autres sous-réseaux du réseau cloud virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

  • Liste de sécurité

    Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui indiquent la source, la destination et le type de trafic autorisés à l'entrée et à la sortie du sous-réseau.

  • Groupe de sécurité réseau

    Les groupes de sécurité réseau servent de pare-feu virtuel pour vos ressources cloud. Avec le modèle de sécurité sans confiance d'OCI, vous contrôlez le trafic réseau au sein d'un VCN. Un groupe de sécurité réseau se compose d'un ensemble de règles de sécurité entrantes et sortantes qui s'appliquent à un seul ensemble de cartes d'interface réseau virtuelles (VNIC) dans un seul VCN.

  • Table de routage

    Les tables de routage virtuelles contiennent des règles permettant de router le trafic des sous-réseaux vers des destinations en dehors d'un VCN, généralement via des passerelles.

  • Passerelle de routage dynamique

    Le DRG est un routeur virtuel qui fournit un chemin pour le trafic de réseau privé entre les réseaux cloud virtuels d'une même région, entre un VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région OCI, un réseau sur site ou un réseau dans un autre fournisseur cloud.

  • VPN site à site OCI

    Le VPN site à site OCI fournit une connectivité VPN IPSec entre votre réseau sur site et les réseaux cloud virtuels sur OCI. La suite de protocoles IPSec crypte les trafics IP avant que les paquets soient transférés de la source vers la destination et décrypte le trafic lorsqu'il arrive.

  • OCI FastConnect

    Oracle Cloud Infrastructure FastConnect crée une connexion privée dédiée entre votre centre de données et OCI. FastConnect offre des options de bande passante et une expérience réseau plus fiable et homogènes par rapports aux connexions Internet.

  • OCI Bastion

    Oracle Cloud Infrastructure Bastion fournit un accès sécurisé limité et limité dans le temps aux ressources qui n'ont pas d'adresses publiques et qui nécessitent des contrôles stricts d'accès aux ressources, tels que Bare Metal et les machines virtuelles, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) et toute autre ressource qui autorise l'accès au protocole SSH (Secure Shell Protocol). Avec le service OCI Bastion, vous pouvez activer l'accès aux hôtes privés sans déployer ni tenir à jour un hôte de saut. En outre, vous bénéficiez d'une meilleure posture de sécurité avec des droits d'accès basés sur les identités et une session SSH centralisée, auditée et limitée dans le temps. OCI Bastion élimine le besoin d'une adresse IP publique pour l'accès au bastion, ce qui élimine les tracas et la surface d'attaque potentielle lors de la fourniture d'un accès distant.

  • Hôte de bastion

    L'hôte de bastion est une instance de calcul qui sert de point d'entrée sécurisé et contrôlé vers la topologie depuis l'extérieur du cloud. L'hôte du bastion est provisionné généralement dans une zone démilitarisée (DMZ). Il vous permet de protéger les ressources sensibles en les plaçant dans des réseaux privés qui ne sont pas accessibles directement depuis l'extérieur du cloud. La topologie possède un seul point d'entrée connu que vous pouvez surveiller et auditer régulièrement. Ainsi, vous pouvez éviter d'exposer les composants les plus sensibles de la topologie sans compromettre leur accès.

  • Calcul OCI

    Avec Oracle Cloud Infrastructure Compute, vous pouvez provisionner et gérer des hôtes de calcul dans le cloud. Vous pouvez lancer des instances de calcul avec des formes qui répondent à vos besoins en ressources pour l'UC, la mémoire, la bande passante réseau et le stockage. Après avoir créé une instance de calcul, vous pouvez y accéder en toute sécurité, la redémarrer, attacher et détacher des volumes, et y mettre fin lorsque vous n'en avez plus besoin.

Recommandations

Utilisez les recommandations suivantes comme point de départ pour <rest of sentence.> Vos exigences peuvent différer de l'architecture décrite ici.
  • VCN

    Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher aux sous-réseaux dans le VCN. Utilisez des blocs CIDR qui se trouvent dans l'espace d'adressage IP privé standard.

    Sélectionnez des blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données sur site ou un autre fournisseur cloud) sur lequel vous prévoyez de configurer des connexions privées.

    Après avoir créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.

    Lorsque vous concevez les sous-réseaux, tenez compte de vos exigences en matière de flux de trafic et de sécurité. Associez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, ce qui peut servir de limite de sécurité.

  • Listes de sécurité

    Utilisez des listes de sécurité pour définir des règles entrantes et sortantes qui s'appliquent à l'ensemble du sous-réseau.

  • Sécurité

    Utilisez Oracle Cloud Guard pour surveiller et maintenir la sécurité de vos ressources dans Oracle Cloud Infrastructure de manière proactive. Cloud Guard utilise des recettes de détecteur que vous pouvez définir pour examiner vos ressources à la recherche de failles de sécurité et pour surveiller les opérateurs et les utilisateurs à la recherche d'activités à risque. Lorsqu'une erreur de configuration ou une activité non sécurisée est détectée, Cloud Guard recommande des actions correctives et aide à effectuer ces actions, en fonction des recettes de répondeur que vous pouvez définir.

    Pour les ressources nécessitant une sécurité maximale, Oracle recommande d'utiliser des zones de sécurité. Une zone de sécurité est un compartiment associé à une recette de stratégies de sécurité définie par Oracle basée sur les meilleures pratiques. Par exemple, les ressources d'une zone d'accès ne doivent pas être accessibles à partir du réseau Internet public et elles doivent être cryptées à l'aide de clés gérées par un client. Lorsque vous créez et mettez à jour des ressources dans une zone de sécurité, Oracle Cloud Infrastructure valide les opérations en fonction des stratégies de la recette et refuse les opérations qui violent l'une des stratégies.

Points à prendre en compte

Tenez compte des points suivants lors du déploiement de cette architecture de référence.

  • Performances

    Au sein d'une région, le nombre de réseaux cloud virtuels n'affecte pas les performances. Lorsque vous homologuez des réseaux cloud virtuels dans différentes régions, tenez compte de la latence. Lorsque vous utilisez des rayons connectés via Oracle Cloud Infrastructure Site-to-Site VPN ou Oracle Cloud Infrastructure FastConnect, le débit de la connexion est un facteur supplémentaire. Si des performances élevées sont requises, utilisez des passerelles d'appairage local au lieu de la passerelle DRG.

  • Sécurité
    Utilisez les mécanismes de sécurité appropriés pour protéger la topologie. La topologie que vous déployez à l'aide du code Terraform fourni intègre les caractéristiques de sécurité suivantes :
    • La liste de sécurité par défaut du VCN hub autorise le trafic SSH à partir de 0.0.0.0/0. Ajustez la liste de sécurité pour autoriser uniquement les hôtes et les réseaux qui doivent disposer d'un accès SSH (ou tout autre port de service requis) à votre infrastructure.
    • Ce déploiement place tous les composants dans le même compartiment.
    • Les réseaux cloud virtuels spoke ne sont pas accessibles à partir d'Internet.
  • Disponibilité et redondance

    A l'exception des instances, les composants restants ne disposent d'aucun VPN site à site OCI de redondance requirements.The et les composants OCI FastConnect sont redondants. Pour une redondance supplémentaire, utilisez plusieurs connexions, de préférence de différents fournisseurs.

  • Coût

    Les seuls composants de cette architecture qui ont un coût sont les instances de calcul et OCI FastConnect (heures de port et frais de fournisseur). Si un VCN dans une autre région est connecté, le trafic entre les régions est facturé. Les autres composants ne sont associés à aucun coût.

  • Gestion

    La gestion des routes est simplifiée car la plupart des routes seront au DRG. En utilisant le DRG comme hub, il est possible d'avoir 300 pièces jointes (à l'aide de passerelles d'appairage local, le VCN hub ne peut se connecter qu'à 10 réseaux cloud virtuels).

Déployez

Le code Terraform pour cette architecture de référence est disponible dans GitHub. Vous pouvez extraire le code dans Oracle Cloud Infrastructure Resource Manager en un seul clic, créer la pile et le déployer. Vous pouvez également télécharger le code à partir de GitHub sur votre ordinateur, le personnaliser et déployer l'architecture à l'aide de l'interface de ligne de commande Terraform.

Remarques :

Le code Terraform inclut la plupart des composants présentés dans le diagramme d'architecture, y compris une machine virtuelle pour l'hôte de bastion. La machine virtuelle de service, la machine virtuelle de charge globale, le VPN site à site OCI, l'OCI FastConnect et le bastion OCI ne sont pas inclus dans le code, bien qu'ils soient affichés dans le diagramme.
  • Déployez à l'aide d'Oracle Cloud Infrastructure Resource Manager :
    1. Cliquez sur .Déploiement vers Oracle Cloud

      Si vous n'êtes pas déjà connecté, entrez les informations d'identification de location et d'utilisateur.

    2. Consultez et acceptez les conditions générales.
    3. Sélectionnez la région dans laquelle vous souhaitez déployer la pile.
    4. Suivez les invites à l'écran et les instructions pour créer la pile.
    5. Après avoir créé la pile, cliquez sur Actions Terraform, puis sélectionnez Planifier.
    6. Attendez que le travail soit terminé et vérifiez le plan.

      Pour apporter des modifications, revenez à la page Détails de la pile, cliquez sur Modifier la pile et apportez les modifications requises. Exécutez ensuite à nouveau l'action Planifier.

    7. Si aucune autre modification n'est nécessaire, revenez à la page Détails de la pile, cliquez sur Actions Terraform, puis sélectionnez Appliquer.
  • Effectuez le déploiement à l'aide de l'interface de ligne de commande Terraform :
    1. Accédez à GitHub.
    2. Clonez ou téléchargez le référentiel sur votre ordinateur local.
    3. Suivez les instructions du document README.

Modifier le journal

Ce journal répertorie les modifications importantes :