Impostare una topologia di rete hub e collegamento mediante Local Peering Gateway

Una rete hub-and-spoke, spesso chiamata rete stella, ha un componente centrale che è collegato a più reti intorno ad essa. La topologia complessiva assomiglia a una ruota, con un hub centrale collegato ai punti lungo il bordo della ruota attraverso più razze. L'impostazione di questa topologia nel tradizionale data center on premise può essere costosa. Ma nel cloud non ci sono costi aggiuntivi.

Utilizza l'architettura hub-and-spoke per creare soluzioni di networking efficaci e creative nel cloud per i seguenti casi d'uso comuni:
  • Istituzione di ambienti di sviluppo e produzione separati.

  • Isolamento dei carichi di lavoro di clienti diversi, ad esempio gli abbonati di un ISV o i clienti di un Managed Service Provider.

  • Separazione degli ambienti per soddisfare i requisiti di conformità, ad esempio PCI e HIPAA.

  • Fornitura di servizi IT condivisi come server di log, DNS e condivisione di file da una rete centrale.

Architettura

Questa architettura di riferimento mostra un'area Oracle Cloud Infrastructure con una VCN hub connessa a due VCN spoke. Ogni VCN spoke viene peered con la VCN hub utilizzando una coppia di gateway di peering locali (LPG).

L'architettura mostra alcuni esempi di subnet e VM. Le liste di sicurezza vengono utilizzate per controllare il traffico di rete da e verso ciascuna subnet. Ogni subnet dispone di una tabella di instradamento che contiene le regole per indirizzare il traffico limitato per le destinazioni esterne alla VCN.

La VCN hub dispone di un gateway Internet per il traffico di rete da e verso la rete Internet pubblica; dispone anche di un gateway di instradamento dinamico (DRG) per abilitare la connettività privata con la rete on premise, che è possibile implementare utilizzando Oracle Cloud Infrastructure FastConnect, una VPN site-to-Site o entrambi.

È possibile utilizzare l'host Bastion o il servizio OCI Bastion per fornire l'accesso sicuro alle risorse. Questa architettura utilizza l'host Bastion.

Nel diagramma riportato di seguito viene illustrata l'architettura di riferimento.



hub-and-spoke-oci.zip

L'architettura prevede i componenti elencati di seguito.
  • Rete

    Questa è la rete locale utilizzata dall'organizzazione. È uno dei raggi della topologia.

  • Area

    Un'area Oracle Cloud Infrastructure è un'area geografica localizzata contenente uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e le grandi distanze possono separarle (tra paesi o addirittura continenti).

  • Rete cloud virtuale (VCN, Virtual Cloud Network)

    Una VCN è una rete personalizzabile e definita dal software impostata dall'utente in un'area Oracle Cloud Infrastructure. Come le reti di data center tradizionali, le VCN offrono il controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. È possibile segmentare una VCN in subnet, che può essere definita in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono con le altre subnet nella VCN. Puoi modificare la dimensione di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

    Questa architettura dispone di una VCN hub e di uno o più VCN associati.

  • Lista di sicurezza

    Per ogni subnet, puoi creare regole di sicurezza che specificano l'origine, la destinazione e il tipo di traffico che devono essere consentiti all'interno e all'esterno della subnet.

  • Tabella di instradamento

    Le tabelle di instradamento virtuale contengono regole per instradare il traffico dalle subnet alle destinazioni esterne a una VCN, in genere tramite i gateway.

  • Gateway di instradamento dinamico (DRG)

    Il gateway DRG è un router virtuale che fornisce un percorso per il traffico di rete privato tra una VCN e una rete esterna all'area geografica, ad esempio una VCN in un'altra area Oracle Cloud Infrastructure, una rete on premise o una rete in un altro provider cloud.

  • Host bastion

    L'host bastion è un'istanza di computazione che funge da punto di accesso sicuro e controllato alla topologia dall'esterno del cloud. Il provisioning dell'host bastion viene eseguito in genere in una zona demilitarizzata (DMZ). Consente di proteggere le risorse sensibili collocandole in reti private a cui non è possibile accedere direttamente dall'esterno del cloud. La topologia ha un singolo punto di accesso conosciuto che è possibile monitorare e controllare regolarmente. Pertanto, è possibile evitare di esporre i componenti più sensibili della topologia senza compromettere l'accesso ad essi.

  • Servizio bastion

    Oracle Cloud Infrastructure Bastion offre un accesso sicuro limitato nel tempo e a risorse che non dispongono di endpoint pubblici e che richiedono controlli rigorosi per l'accesso alle risorse, ad esempio Bare Metal e virtual machine, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Container Engine for Kubernetes (OKE) e qualsiasi altra risorsa che consenta l'accesso SSH (Secure Shell Protocol). Con il servizio Bastion Oracle Cloud Infrastructure, puoi abilitare l'accesso agli host privati senza distribuire e gestire un host jump. Inoltre, puoi ottenere livelli di sicurezza migliori con autorizzazioni basate sull'identità e una sessione SSH centralizzata, controllata e limitata dal tempo. Il bastion di Oracle Cloud Infrastructure rimuove la necessità di un IP pubblico per l'accesso bastion, eliminando la superficie di attacco potenzialmente e velando per l'accesso remoto.

  • Local Peering Gateway (LPG)

    Un GPL consente di creare un peer di una VCN con un'altra VCN nella stessa area. Peering significa che i VCN comunicano utilizzando indirizzi IP privati, senza il traffico che attraversa Internet o il routing attraverso la rete on premise.

  • VPN site-to-Site

    VPN site-to-Site fornisce la connettività VPN IPSec tra la tua rete on premise e i VCN in Oracle Cloud Infrastructure. La suite di protocolli IPSec cifra il traffico IP prima che i pacchetti vengano trasferiti dall'origine alla destinazione e decifra il traffico all'arrivo.

  • FastConnect

    Oracle Cloud Infrastructure FastConnect offre un modo semplice per creare una connessione dedicata e privata tra il tuo data center e Oracle Cloud Infrastructure. FastConnect fornisce opzioni di larghezza di banda più elevata e un'esperienza di rete più affidabile rispetto alle connessioni basate su Internet.

Suggerimenti

I requisiti potrebbero essere diversi dall'architettura descritta in questa sezione. Utilizzare i seguenti suggerimenti come punto di partenza.

  • VCN

    Quando crei una VCN, determina il numero di blocchi CIDR necessari e la dimensione di ogni blocco in base al numero di risorse che intendi collegare alle subnet nella VCN. Utilizzare i blocchi CIDR che si trovano all'interno dello spazio di indirizzi IP privati standard.

    Selezionare i blocchi CIDR che non si sovrappongono a qualsiasi altra rete (in Oracle Cloud Infrastructure, il data center on premise o un altro provider cloud) a cui si intende impostare connessioni private.

    Dopo aver creato una VCN, è possibile modificare, aggiungere e rimuovere i relativi blocchi CIDR.

    Durante la progettazione delle subnet, prendi in considerazione i requisiti di flusso del traffico e sicurezza. Associare tutte le risorse all'interno di un livello o ruolo specifico alla stessa subnet, che può fungere da limite di sicurezza.

    Utilizza subnet regionali.

  • Liste di sicurezza

    Utilizza le liste di sicurezza per definire regole di entrata e uscita valide per l'intera subnet.

Considerazioni

Quando progetta una topologia di rete hub e coniuge nel cloud, prendi in considerazione i seguenti fattori:

  • Costo

    Gli unici componenti di questa architettura che hanno un costo sono le istanze di computazione e FastConnect (porte e costi per provider). Nessun costo associato per gli altri componenti.

  • Sicurezza

    Utilizzare meccanismi di sicurezza appropriati per proteggere la topologia.

    La topologia distribuita utilizzando il codice Terraform fornito include le seguenti caratteristiche di sicurezza:
    • La lista di sicurezza predefinita della VCN hub consente il traffico SSH da 0.0.0.0/0. Regolare la lista di sicurezza in modo da consentire solo agli host e alle reti per i quali è necessario l'accesso SSH (o qualsiasi altra porta di servizio) all'infrastruttura in uso.
    • Questa distribuzione posiziona tutti i componenti nello stesso compartimento.
    • Le VCN di Spoke non sono accessibili da Internet.
  • Scalabilità

    Prendere in considerazione i limiti del servizio per le reti VCN e subnet per la propria tenancy. Se sono necessarie più reti, richiedere un aumento dei limiti.

  • Prestazioni

    All'interno di un'area le prestazioni non sono influenzate dal numero di VCN. Quando parli tra VCN in aree diverse, considerare la latenza. Quando utilizzi i portavoce connessi tramite VPN Connect o FastConnect, il throughput della connessione rappresenta un fattore aggiuntivo.

  • Disponibilità e ridondanza

    Ad eccezione delle istanze, i componenti rimanenti non hanno requisiti di ridondanza.

    I componenti VPN Connect e FastConnect sono ridondanti. Per un'ulteriore ridondanza, utilizzare più connessioni, preferibilmente da provider diversi.

Distribuzione

Il codice Terraform per questa architettura di riferimento è disponibile in GitHub. Puoi inserire il codice in Oracle Cloud Infrastructure Resource Manager con un solo clic, creare lo stack e distribuirlo. In alternativa, è possibile scaricare il codice da GitHub nel computer, personalizzare il codice e distribuire l'architettura utilizzando l'interfaccia CLI Terraform.

Nota:

Il codice Terraform include la maggior parte dei componenti visualizzati nel diagramma dell'architettura. La VM di servizio, la VM del carico di lavoro, la connessione VPN e FastConnect non sono incluse nel codice, sebbene siano visualizzate nel diagramma.
  • Implementa utilizzando Oracle Cloud Infrastructure Resource Manager:
    1. Fare clic su Distribuire in Oracle Cloud

      Se non si è ancora collegati, immettere la tenancy e le credenziali utente.

    2. Rivedere e accettare i termini e le condizioni.
    3. Selezionare l'area in cui distribuire lo stack.
    4. Seguire i prompt visualizzati e le istruzioni per creare lo stack.
    5. Dopo aver creato lo stack, fare clic su Azioni Terraform e selezionare Piano.
    6. Attendere il completamento del processo e rivedere il piano.

      Per apportare modifiche, tornare alla pagina Dettagli stack, fare clic su Modifica stack e apportare le modifiche necessarie. Quindi eseguire di nuovo l'azione Piano.

    7. Se non sono necessarie ulteriori modifiche, tornare alla pagina Dettagli stack, fare clic su Azioni Terraform e selezionare Applica.
  • Distribuzione mediante l'interfaccia CLI Terraform:
    1. Andare a GitHub.
    2. Duplicare o scaricare il repository nel computer locale.
    3. Seguire le istruzioni riportate nel documento README.

Log modifiche

In questo log sono elencate solo le modifiche significative: