Definizione dell'architettura di rete e connettività

Quando distribuisci le risorse nel cloud, potresti iniziare con una singola connessione VPN Connect o Oracle Cloud Infrastructure FastConnect tra Oracle Cloud e la tua rete on premise. Per pianificare la ridondanza, prendi in considerazione tutti i componenti (hardware, strutture, circuiti e alimentazione) tra la tua rete on premise e il cloud. Inoltre, considera la diversità per garantire che le strutture non siano condivise tra i percorsi.

Utilizza connessioni ridondanti per ambienti on-premise e risorse private

Enterprise Architect, Cloud Architect, Cloud Operations Manager, Amministratore di rete

Utilizza connessioni ad alta disponibilità e ridondanti tra gli ambienti on-premise e le risorse private in Oracle Cloud Infrastructure (OCI).

Per connettere gli ambienti on premise alle risorse private nel cloud sono disponibili le opzioni riportate di seguito.

• Connessione VPN

  Crea connessioni VPN ad alta disponibilità e ridondanti utilizzando tunnel VPN di sicurezza IP crittografata (IPSec) su Internet. IPSec è una suite di protocolli che cifra tutto il traffico IP prima che i pacchetti vengano trasferiti dall'origine alla destinazione. Oracle crea tunnel IPSec ridondanti per ogni connessione VPN. I tunnel sono isolati logicamente e fisicamente, quando possibile, entrambi i tunnel dovrebbero essere collegati a diversi CPE per massimizzare la disponibilità.

• Oracle Cloud Infrastructure FastConnect

  Crea connessioni dedicate e private tra il tuo data center e OCI. Oracle Cloud Infrastructure FastConnect offre opzioni di larghezza di banda più elevata e un'esperienza di rete più affidabile e coerente rispetto alle connessioni basate su Internet. La connessione end-to-end è chiamata circuito virtuale. È sempre consigliabile installare due o più circuiti virtuali per la ridondanza. Oracle Cloud Infrastructure FastConnect utilizza un protocollo BGP (Border Gateway Protocol) per garantire che il traffico utilizzi il percorso migliore.

Con Oracle Cloud Infrastructure FastConnect sono disponibili i seguenti modelli di connettività:

• Con un provider Oracle

  Puoi stabilire una connessione FastConnect dal data center on premise o remoto al data center in cui viene eseguito il provisioning delle risorse Oracle Cloud richiedendo i servizi di connettività cloud di qualsiasi partner FastConnect di Oracle. Oracle ha integrato il servizio FastConnect con un set geograficamente diversificato di provider di rete IP, VPN ed Ethernet e scambi cloud per semplificare la creazione di una connessione ai servizi Oracle Cloud.

  Questo modello di connettività è appropriato se hai intenzione di utilizzare, o già utilizzi, i servizi di connettività di rete offerti da qualsiasi partner Oracle FastConnect. In base al partner che hai scelto, potrebbe essere necessario ordinare servizi di connettività cloud ridondanti del partner Oracle FastConnect.

• con un terzo provider

  Puoi stabilire una connessione FastConnect dal tuo data center remoto al data center Oracle in cui viene eseguito il provisioning delle tue risorse cloud ordinando un circuito privato o dedicato da un operatore di rete che non è un partner Oracle FastConnect. Questo operatore di rete di terze parti, in genere un provider VPN MPLS, è responsabile della connessione fisica tra la rete on premise e i dispositivi edge FastConnect di Oracle, inclusa l'ultima parte della connettività all'interno del data center Oracle. Oracle fornirà una lettera di autorizzazione (LOA, Letter Of Authorization) che dovrai fornire al vettore di rete prescelto, che poi eseguirà il provisioning del circuito. Dovresti ordinare due circuiti di questo tipo dal tuo operatore di rete al data center Oracle per garantire ridondanza.

  Questo modello di connettività è adatto se hai relazioni esistenti con determinati vettori di rete e, o se, la posizione del tuo data center on-premise o remoto non è servita da nessuno dei partner Oracle FastConnect.

• Struttura condivisa con Oracle

  Se hai acquistato spazio di colocation da un provider di data center, puoi utilizzare Oracle Cloud Infrastructure FastConnect per stabilire la connettività dall'apparecchiatura di rete in tale struttura di colocation ai servizi Oracle Cloud di cui è stato eseguito il provisioning in questa sede. Oracle ti fornirà una lettera di autorizzazione (LOA, Letter of Authorization) necessaria al provider del data center per stabilire una connessione tramite cross connect diretto ai dispositivi perimetrali Oracle FastConnect.

  Questo modello di connettività è appropriato se sei già presente in una sede Oracle Cloud Infrastructure FastConnect o stai cercando di stabilire una presenza in co-location. È consigliabile ordinare due connessioni di questo tipo a un centro dati per garantire ridondanza.

• Suggerimenti sulla ridondanza
  • Se ti affidi a FastConnect per accedere alle risorse basate su OCI, assicurati che il tuo percorso verso il provider sia ridondante. Sfrutta più vettori, se possibile.
  • Se stai eseguendo carichi di lavoro in più aree, prendi in considerazione il failover regionale della tua connettività FastConnect o sfrutta la VPN come backup in caso di errore di ridondanza in-region.
  • Se non è possibile creare un file FastConnect ridondante, la procedura consigliata consiste nel creare una connessione VPN di backup. Sebbene la larghezza di banda possa essere inferiore e la latenza possa essere maggiore, è preferibile mantenere la connettività tramite VPN senza alcuna connettività in caso di problemi con FastConnect. Verificare che il traffico di rete corrisponda per impostazione predefinita al percorso preferito e assicurarsi di eseguire il test del reindirizzamento del traffico in uno scenario di errore.

Stabilisci intervalli di rete privata non sovrapposti in ambienti privati

Cloud Architect, Cloud Operations Manager, amministratore di rete

Assicurati di stabilire intervalli di rete privata non sovrapposti tra ambienti privati per consentire relazioni di peering.

È possibile avere relazioni di peering locali e remoti tra più reti cloud virtuali (VCN) solo se hanno intervalli di indirizzi IP privati non sovrapposti. Allo stesso modo, evita di sovrapporsi se connetti le reti VCN con ambienti privati on premise con intervalli IP simili. Quando si distribuiscono più VCN all'interno di un'area, provare a verificare che tutti i CIDR facciano parte di un blocco CIDR contiguo (superrete) più grande per semplificare la configurazione del routing.

È possibile utilizzare Oracle Dynamic Routing Gateway (DRG), un router virtuale a cui è possibile collegare VCN, connessioni di peering remoto, tunnel VPN da sito a sito IPSec e circuiti virtuali FastConnect OCI. Utilizza il gateway DRG V2 per la connettività tra le VCN all'interno e tra le tenancy e nell'area geografica. Il gateway DRG V2 consente alle risorse di accedere a Internet da una subnet privata utilizzando un gateway NAT.

Ridimensiona la rete cloud virtuale da consentire per l'espansione

Cloud Architect, Cloud Operations Manager, amministratore di rete

Quando crei le tue VCN e le tue subnet, lascia spazio al carico di lavoro e all'espansione futuri.

Sebbene sia possibile aumentare l'intervallo CIDR o aggiungere intervalli CIDR a una VCN, è preferibile ridimensionare la VCN in modo appropriato dall'inizio. Assicurati di creare CIDR VCN e intervalli CIDR della subnet in grado di adattarsi alla crescita futura, inclusa la capacità per le attività di disaster recovery.

Considerare quanto riportato di seguito.

• Molti servizi, tra cui i servizi Oracle Cloud Infrastructure Load Balancing e Oracle Cloud Infrastructure File Storage, utilizzano più indirizzi IP all'interno di una subnet per offrire un servizio ad alta disponibilità.
• Tutte le subnet create in una VCN rientrano nell'intervallo CIDR.
• È possibile estendere una VCN con un CIDR aggiuntivo, ma se si utilizza Oracle Cloud Infrastructure FastConnect, potrebbero essere necessari ulteriori passi per garantire che il CIDR aggiuntivo sia raggiungibile dalla rete on premise.

Stabilisci connessioni Fault Tolerant e High Availability per il tuo carico di lavoro pubblico

Enterprise Architect, Cloud Architect, Cloud Operations Manager, Amministratore di rete

Garantisci tolleranza agli errori e alta disponibilità per gli utenti che si connettono al tuo carico di lavoro pubblico.

Utilizza i seguenti servizi per rafforzare le connessioni per il tuo carico di lavoro pubblico:

• Oracle Cloud Infrastructure Load Balancing: automatizza la distribuzione del traffico da un unico punto di accesso a più server raggiungibili dalla tua rete cloud virtuale (VCN). Migliora l'utilizzo delle risorse, facilita il ridimensionamento e garantisce l'alta disponibilità.
• Criteri di indirizzamento per la gestione del traffico di Oracle Cloud Infrastructure: ti consente di configurare criteri per fornire risposte intelligenti alle query DNS, offrendoti la possibilità di creare funzionalità di failover e ad alta disponibilità.

Ignora Internet durante la connessione a risorse pubbliche

Enterprise Architect, Cloud Architect, Cloud Operations Manager, amministratore di rete

Quando si connette Oracle Cloud Infrastructure (OCI) alle risorse pubbliche, utilizzare Oracle Cloud Infrastructure FastConnect o un gateway di servizi per bypassare Internet.

Puoi implementare Oracle Cloud Infrastructure FastConnect con peering pubblico o privato. Per i carichi di lavoro ospitati in OCI, utilizza un gateway di servizi per connettersi ai servizi OCI pubblici.

Utilizzare uno dei metodi riportati di seguito per ignorare Internet.

• Peering pubblico

  Fornisce l'accesso ai servizi pubblici in OCI senza utilizzare Internet.

• Peering privato:

  Estende l'infrastruttura esistente in una VCN su OCI.

• Gateway del servizio

  Consente alle risorse cloud senza indirizzi IP pubblici di accedere in privato ai servizi Oracle. Combina un gateway di servizi con l'instradamento del transito e il peering privato per consentire l'accesso dalle risorse on premise ai servizi OCI pubblici.

Instradamento del transito

Cloud Architect, Cloud Operations Manager, amministratore di rete

Utilizza gateway di instradamento dinamico per creare un modello di rete hub e spoke per un accesso sicuro e a costi contenuti a più VCN all'interno di un'area Oracle Cloud Infrastructure utilizzando una singola connessione VPN Connect o una connessione Oracle Cloud Infrastructure FastConnect.

Puoi estendere il modello hub e spoke utilizzando un gateway di servizi per fornire l'accesso ai servizi pubblici tramite la stessa connessione VPN Connect o FastConnect. Il modello hub-and-spoke funge anche da architettura di rete ottimale quando stai pensando di implementare un'appliance firewall virtuale. L'appliance viene distribuita all'interno della VCN hub con tutto il traffico tra la VPN o FastConnect e l'instradamento delle VCN tramite l'appliance. Facoltativamente, puoi instradare il traffico tra le VCN tramite l'appliance.

In Oracle Cloud Marketplace sono disponibili diverse offerte di appliance virtuali. Per garantire la disponibilità, distribuire appliance ridondanti all'interno dell'hub e configurare il failover automatico (la configurazione di failover è specifica dell'appliance).

Ulteriori informazioni

• Best practice IPSec VPN

• Guida alla ridondanza della connettività

• Instradamento del transito: accesso a più VCN nella stessa area

• Instradamento del transito: accesso privato ai servizi Oracle

• Subnet regionali