Configuration d'une topologie de réseau hub-and-spoke à l'aide de passerelles d'appairage local

Un réseau hub-and-spoke, également appelé réseau étoile, a un composant central qui est connecté à plusieurs réseaux autour de lui. La topologie globale ressemble à une roue, avec un moyeu central relié à des points le long du bord de la roue à travers plusieurs rayons. La configuration de cette topologie dans le centre de données on-premise traditionnel peut s'avérer coûteuse. Mais dans le cloud, il n'y a pas de coût supplémentaire.

Utilisez l'architecture hub-and-spoke pour créer des solutions de mise en réseau créatives et puissantes dans le cloud pour les cas d'utilisation courants suivants :

  • Configurer des environnements de développement et de production distincts.

  • Isoler les charges de travail des différents clients, tels que les abonnés d'un fournisseur de logiciels indépendant (ISV) ou les clients d'un fournisseur de services gérés.

  • Séparation des environnements pour répondre aux exigences de conformité, telles que les exigences de l'industrie des cartes de paiement (PCI) et de la Loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA).

  • Fournir des services de technologie de l'information partagés tels que le serveur de journaux, le système de noms de domaine (DNS) et le partage de fichiers à partir d'un réseau central.

Architecture

Cette architecture de référence présente une région Oracle Cloud Infrastructure avec un réseau cloud virtuel hub (VCN) connecté à deux réseaux cloud virtuels spoke. Chaque VCN satellite est appairé avec le VCN hub à l'aide d'une paire de passerelles d'appairage local.

L'architecture présente quelques exemples de sous-réseaux et de machine virtuelle. Les listes de sécurité sont utilisées pour contrôler le trafic réseau vers et depuis chaque sous-réseau. Chaque sous-réseau dispose d'une table de routage qui contient des règles pour diriger le trafic lié pour les cibles en dehors du VCN.

Le VCN hub dispose d'une passerelle Internet pour le trafic réseau vers et depuis l'Internet public. Elle dispose également d'une passerelle de routage dynamique (DRG) pour activer la connectivité privée avec votre réseau sur site, que vous pouvez implémenter à l'aide d'Oracle Cloud Infrastructure FastConnect, d'un VPN site à site ou des deux.

Vous pouvez utiliser Oracle Cloud Infrastructure Bastion ou un hôte Bastion pour fournir un accès sécurisé à vos ressources. Cette architecture utilise OCI Bastion.

Le schéma suivant illustre l'architecture de référence.


Image cldbperfoke-oci.png
description de l'illustration hub-spoke-oci.png,

hub-and-spoke-oci.zip

L'architecture comporte les composants suivants :
  • Réseau sur site

    Ce réseau est le réseau local utilisé par votre organisation. C'est l'un des rayons de la topologie.

  • Région OCI

    Une région OCI est une zone géographique précise qui contient des centres de données, hébergeant des domaines de disponibilité. Les régions sont indépendantes les une des autres et peuvent les séparer d'un pays ou d'un continent à l'autre par de grandes distances.

  • Réseau et sous-réseau cloud virtuel OCI

    Un réseau cloud virtuel est un réseau personnalisable défini par logiciel que vous configurez dans une région OCI. Comme les Réseaux de centre de données traditionnels, les Réseaux cloud virtuels vous donnent un contrôle sur l'environnement réseau. Un VCN peut comporter plusieurs blocs de routage interdomaine sans classe (CIDR) qui ne se chevauchent pas et que vous pouvez modifier une fois le VCN créé. Vous pouvez segmenter un réseau cloud virtuel en plusieurs sous-réseaux ciblant une région ou un domaine de disponibilité. Chaque sous-réseau est composé d'une plage contiguë d'adresses qui ne chevauchent pas celles des autres sous-réseaux du réseau cloud virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

  • Liste de sécurité

    Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui indiquent la source, la destination et le type de trafic autorisés à l'entrée et à la sortie du sous-réseau.

  • Table de routage

    Les tables de routage virtuelles contiennent des règles permettant de router le trafic des sous-réseaux vers des destinations en dehors d'un VCN, généralement via des passerelles.

  • Passerelle de routage dynamique

    Le DRG est un routeur virtuel qui fournit un chemin pour le trafic de réseau privé entre les réseaux cloud virtuels d'une même région, entre un VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région OCI, un réseau sur site ou un réseau dans un autre fournisseur cloud.

  • OCI Bastion

    Oracle Cloud Infrastructure Bastion fournit un accès sécurisé limité et limité dans le temps aux ressources qui n'ont pas d'adresses publiques et qui nécessitent des contrôles stricts d'accès aux ressources, tels que Bare Metal et les machines virtuelles, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) et toute autre ressource qui autorise l'accès au protocole SSH (Secure Shell Protocol). Avec le service OCI Bastion, vous pouvez activer l'accès aux hôtes privés sans déployer ni tenir à jour un hôte de saut. En outre, vous bénéficiez d'une meilleure posture de sécurité avec des droits d'accès basés sur les identités et une session SSH centralisée, auditée et limitée dans le temps. OCI Bastion élimine le besoin d'une adresse IP publique pour l'accès au bastion, ce qui élimine les tracas et la surface d'attaque potentielle lors de la fourniture d'un accès distant.

  • Hôte de bastion

    L'hôte de bastion est une instance de calcul qui sert de point d'entrée sécurisé et contrôlé vers la topologie depuis l'extérieur du cloud. L'hôte du bastion est provisionné généralement dans une zone démilitarisée (DMZ). Il vous permet de protéger les ressources sensibles en les plaçant dans des réseaux privés qui ne sont pas accessibles directement depuis l'extérieur du cloud. La topologie possède un seul point d'entrée connu que vous pouvez surveiller et auditer régulièrement. Ainsi, vous pouvez éviter d'exposer les composants les plus sensibles de la topologie sans compromettre leur accès.

  • Groupe d'appairage local

    Une passerelle d'appairage local fournit un appairage entre les réseaux cloud virtuels de la même région. L'appairage signifie que les réseaux Cloud virtuels communiquent à l'aide d'adresses IP privées, sans que le trafic ne passe pas par Internet ou que le routage ne soit acheminé via votre réseau sur site.

  • VPN site à site OCI

    Le VPN site à site OCI fournit une connectivité VPN IPSec entre votre réseau sur site et les réseaux cloud virtuels sur OCI. La suite de protocoles IPSec crypte les trafics IP avant que les paquets soient transférés de la source vers la destination et décrypte le trafic lorsqu'il arrive.

  • OCI FastConnect

    Oracle Cloud Infrastructure FastConnect crée une connexion privée dédiée entre votre centre de données et OCI. FastConnect offre des options de bande passante et une expérience réseau plus fiable et homogènes par rapports aux connexions Internet.

Recommandations

Vos exigences peuvent différer de l'architecture décrite ici. Utilisez les recommandations suivantes comme point de départ.

  • Réseaux cloud virtuels

    Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher aux sous-réseaux dans le VCN. Utilisez des blocs CIDR qui se trouvent dans l'espace d'adressage IP privé standard.

    Sélectionnez des blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données sur site ou un autre fournisseur cloud) sur lequel vous prévoyez de configurer des connexions privées.

    Après avoir créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.

    Lorsque vous concevez les sous-réseaux, tenez compte de vos exigences en matière de flux de trafic et de sécurité. Associez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, ce qui peut servir de limite de sécurité.

    Utilisez des sous-réseaux régionaux.

  • Listes de sécurité

    Utilisez des listes de sécurité pour définir des règles entrantes et sortantes qui s'appliquent à l'ensemble du sous-réseau.

Points à prendre en compte

Lorsque vous concevez une topologie de réseau hub-and-spoke dans le cloud, tenez compte des facteurs suivants :

  • Coût

    Les seuls composants de cette architecture qui ont un coût sont les instances de calcul et FastConnect (heures de port et frais de fournisseur). Les autres composants ne sont associés à aucun coût.

  • Sécurité

    Utilisez les mécanismes de sécurité appropriés pour protéger la topologie.

    La topologie que vous déployez à l'aide du code Terraform fourni intègre les caractéristiques de sécurité suivantes :
    • La liste de sécurité par défaut du VCN hub autorise le trafic SSH à partir de 0.0.0.0/0. Ajustez la liste de sécurité pour autoriser uniquement les hôtes et les réseaux qui doivent disposer d'un accès SSH (ou tout autre port de service requis) à votre infrastructure.
    • Ce déploiement place tous les composants dans le même compartiment.
    • Les réseaux cloud virtuels spoke ne sont pas accessibles à partir d'Internet.
  • Evolutivité

    Tenez compte des limites de service pour les réseaux cloud virtuels et les sous-réseaux de votre location. Si d'autres réseaux sont nécessaires, demandez une augmentation des limites.

  • Performances

    Au sein d'une région, le nombre de réseaux cloud virtuels n'affecte pas les performances. Lorsque vous homologuez des réseaux cloud virtuels dans différentes régions, tenez compte de la latence. Lorsque vous utilisez des rayons connectés via le VPN site à site OCI ou OCI FastConnect, le débit de la connexion est un facteur supplémentaire.

  • Disponibilité et redondance

    A l'exception des instances, les composants restants n'ont pas d'exigences de redondance.

    Les composants VPN site à site OCI et OCI FastConnect sont redondants. Pour une redondance supplémentaire, utilisez plusieurs connexions, de préférence de différents fournisseurs.

Déployez

Le code Terraform pour cette architecture de référence est disponible dans GitHub. Vous pouvez extraire le code dans Oracle Cloud Infrastructure Resource Manager en un seul clic, créer la pile et le déployer. Vous pouvez également télécharger le code à partir de GitHub sur votre ordinateur, le personnaliser et déployer l'architecture à l'aide de l'interface de ligne de commande Terraform.

Remarques :

Le code Terraform inclut la plupart des composants présentés dans le diagramme d'architecture, y compris une machine virtuelle pour l'hôte de bastion. La machine virtuelle de service, la machine virtuelle de charge globale, le VPN site à site OCI, l'OCI FastConnect et le bastion OCI ne sont pas inclus dans le code, bien qu'ils soient affichés dans le diagramme.
  • Déployez à l'aide d'Oracle Cloud Infrastructure Resource Manager :
    1. Cliquez sur .Déploiement vers Oracle Cloud

      Si vous n'êtes pas déjà connecté, entrez les informations d'identification de location et d'utilisateur.

    2. Consultez et acceptez les conditions générales.
    3. Sélectionnez la région dans laquelle vous souhaitez déployer la pile.
    4. Suivez les invites à l'écran et les instructions pour créer la pile.
    5. Après avoir créé la pile, cliquez sur Actions Terraform, puis sélectionnez Planifier.
    6. Attendez que le travail soit terminé et vérifiez le plan.

      Pour apporter des modifications, revenez à la page Détails de la pile, cliquez sur Modifier la pile et apportez les modifications requises. Exécutez ensuite à nouveau l'action Planifier.

    7. Si aucune autre modification n'est nécessaire, revenez à la page Détails de la pile, cliquez sur Actions Terraform, puis sélectionnez Appliquer.
  • Effectuez le déploiement à l'aide de l'interface de ligne de commande Terraform :
    1. Accédez à GitHub.
    2. Clonez ou téléchargez le référentiel sur votre ordinateur local.
    3. Suivez les instructions du document README.

En savoir plus

Découvrez cette architecture et les architectures associées :

Modifier le journal

Ce journal répertorie uniquement les modifications importantes :