Imposta una topologia di rete hub e Poke mediante un gateway di instradamento dinamico

Una rete hub-and-spoke, spesso chiamata rete star, ha un componente centrale collegato a più reti intorno ad essa. L'impostazione di questa topologia nel data center tradizionale in locale può essere dispendiosa. Tuttavia, nel cloud non sono previsti costi aggiuntivi.

Il gateway di instradamento dinamico (DRG) è un router virtuale che fornisce un percorso per il traffico di rete privato tra una rete cloud virtuale (VCN) e una rete esterna all'area, ad esempio una VCN in un'altra area Oracle Cloud Infrastructure, una rete on premise o una rete da un altro provider cloud.

Il gateway DRG può connettersi a più VCN, offrendo maggiore flessibilità nella progettazione della rete cloud.

Utilizzare l'architettura hub-and-spoke per creare soluzioni di networking creative e potenti nel cloud per i seguenti casi d'uso comuni:

• Isola i carichi di lavoro di clienti diversi, ad esempio i sottoscrittori di un ISV
• Fornisci servizi IT condivisi, quali server di log, DNS e condivisione di file da una rete centrale
• Estendi la connettività Oracle Cloud Infrastructure agli ambienti multi-cloud utilizzando i partner FastConnect
• Impostare ambienti di sviluppo e produzione separati
• Separare gli ambienti per soddisfare i requisiti di conformità, ad esempio PCI e HIPAA.

Architettura

Un gateway di instradamento dinamico (DRG) consente di connettere fino a 300 reti cloud virtuali e di semplificare non solo l'architettura complessiva, ma anche la configurazione delle liste di sicurezza e delle tabelle di instradamento, nonché la gestione dei criteri di sicurezza mediante la pubblicità degli OCID tramite il gateway DRG.

In questa architettura, un gateway di instradamento dinamico è connesso a più VCN. In ogni VCN sono presenti subnet e VM di esempio. Il gateway DRG dispone di una tabella di instradamento che specifica le regole per indirizzare il traffico verso le destinazioni esterne alla VCN. Il gateway DRG consente la connettività privata con una rete on premise che è possibile implementare utilizzando Oracle Cloud Infrastructure FastConnect, VPN site-to-site o entrambi. Inoltre, il gateway DRG ti consente di connetterti a più ambienti cloud utilizzando un partner FastConnect.

Il seguente diagramma illustra questa architettura di riferimento.

Descrizione dell'immagine hub-and-spoke-drg.png

hub-and-spoke-drg-oracle.zip

L'architettura ha i seguenti componenti:

• Rete on-premise

  Questa rete è la rete locale utilizzata dall'organizzazione. È uno dei raggi della topologia.

• Cloud

  Il cloud computing fornisce infrastruttura e servizi di elaborazione, come server, virtual machine, sicurezza, storage, database, networking, analisi, applicazioni e così via su Internet. Con il cloud computing, il provider gestisce e gestisce l'infrastruttura e i servizi. In genere, paghi solo per le risorse utilizzate e puoi ridimensionare le risorse man mano che cambiano i requisiti.

• Area

  Un'area Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni, e vaste distanze possono separarle (tra paesi o addirittura continenti).

• Rete cloud virtuale (VCN) e subnet

  Una VCN è una rete personalizzabile definita dal software che si imposta in un'area Oracle Cloud Infrastructure. Analogamente alle reti di data center tradizionali, i VCN offrono un controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi suddividere una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è composta da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. Puoi modificare la dimensione di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

• Lista di sicurezza

  Per ogni subnet è possibile creare regole di sicurezza che specifichino l'origine, la destinazione e il tipo di traffico che devono essere consentiti all'interno e all'esterno della subnet.

• Gruppo di sicurezza di rete (NSG)

  I NSG fungono da firewall virtuali per le risorse cloud. Con il modello di sicurezza zero-trust di Oracle Cloud Infrastructure, tutto il traffico viene negato ed è possibile controllare il traffico di rete all'interno di un VCN. Un NSG è costituito da un set di regole di sicurezza in entrata e in uscita che si applicano solo a un set specificato di VNIC in un singolo VCN.

• Tabella instradamento

  Le tabelle di instradamento virtuale contengono regole per instradare il traffico dalle subnet alle destinazioni al di fuori di un VCN, in genere tramite gateway.

• Gateway instradamento dinamico (DRG)

  DRG è un router virtuale che fornisce un percorso per il traffico di rete privata tra un VCN e una rete al di fuori dell'area, ad esempio un VCN in un'altra area Oracle Cloud Infrastructure, una rete in locale o una rete in un altro provider cloud.

• Host di base

  L'host bastion è un'istanza di calcolo che funge da punto di accesso sicuro e controllato alla topologia dall'esterno del cloud. L'host bastione viene eseguito in genere in una zona demilitarizzata (DMZ). Consente di proteggere le risorse sensibili inserendole in reti private a cui non è possibile accedere direttamente dall'esterno del cloud. La topologia dispone di un singolo punto di accesso noto che è possibile monitorare e controllare regolarmente. Così, è possibile evitare di esporre i componenti più sensibili della topologia senza compromettere l'accesso a loro.

• VPN da sito a sito

  La VPN da sito a sito fornisce la connettività IPSec VPN tra la tua rete on premise e le VCN in Oracle Cloud Infrastructure. La suite di protocolli IPSec cifra il traffico IP prima che i pacchetti vengano trasferiti dall'origine alla destinazione e decifra il traffico quando arriva.

• FastConnect

  Oracle Cloud Infrastructure FastConnect offre un modo semplice per creare una connessione privata dedicata tra il data center e Oracle Cloud Infrastructure. FastConnect offre opzioni di larghezza di banda più elevate e un'esperienza di rete più affidabile rispetto alle connessioni basate su Internet.

Suggerimenti

Utilizzare le raccomandazioni riportate di seguito come punto di partenza per < resto della frase.> Le vostre esigenze potrebbero differire dall'architettura descritta qui.

• VCN

  Quando si crea un VCN, determinare il numero di blocchi CIDR richiesti e la dimensione di ciascun blocco in base al numero di risorse che si prevede di associare alle subnet in VCN. Utilizzare blocchi CIDR che si trovano all'interno dello spazio degli indirizzi IP privati standard.

  Selezionare blocchi CIDR che non si sovrappongono a nessun'altra rete (in Oracle Cloud Infrastructure, nel data center in locale o in un altro provider cloud) a cui si intende impostare connessioni private.

  Dopo aver creato un VCN, è possibile modificare, aggiungere e rimuovere i blocchi CIDR.

  Quando si progettano le subnet, prendere in considerazione il flusso di traffico e i requisiti di sicurezza. Allegare tutte le risorse all'interno di uno specifico livello o ruolo alla stessa subnet, che può fungere da limite di sicurezza.

• Liste di sicurezza

  Utilizzare gli elenchi di sicurezza per definire le regole di ingresso e uscita applicabili all'intera subnet.

• Sicurezza

  Utilizzare Oracle Cloud Guard per monitorare e mantenere proattivamente la sicurezza delle risorse in Oracle Cloud Infrastructure. Cloud Guard utilizza ricette di detector che è possibile definire per esaminare le risorse per individuare le debolezze della sicurezza e monitorare gli operatori e gli utenti per attività rischiose. Quando viene rilevata una configurazione errata o un'attività non sicura, Cloud Guard consiglia azioni correttive e assiste l'esecuzione di tali azioni in base alle ricette del rispondente che è possibile definire.

  Per le risorse che richiedono la massima sicurezza, Oracle consiglia di utilizzare le zone di sicurezza. Una zona di sicurezza è un compartimento associato a una ricetta definita da Oracle di criteri di sicurezza basati sulle best practice. Ad esempio, le risorse in una zona di sicurezza non devono essere accessibili da Internet pubblico e devono essere cifrate utilizzando chiavi gestite dal cliente. Quando si creano e aggiornano le risorse in una zona di sicurezza, Oracle Cloud Infrastructure convalida le operazioni in base ai criteri nella composizione della zona di sicurezza e nega le operazioni che violano uno qualsiasi dei criteri.

Considerazioni

Quando si distribuisce questa architettura di riferimento, prendere in considerazione i seguenti punti.

• Prestazioni

  All'interno di un'area, le prestazioni non sono influenzate dal numero di VCN. Quando si esegue il peer dei VCN in aree diverse, considerare la latenza. Quando si utilizzano i raggi connessi tramite VPN Connect o FastConnect, il throughput della connessione è un fattore aggiuntivo. Se sono necessarie prestazioni estreme, utilizzare Peering locale invece di passare attraverso DRG.

• Sicurezza
  Utilizzare meccanismi di sicurezza appropriati per proteggere la topologia. La topologia distribuita utilizzando il codice Terraform fornito incorpora le seguenti caratteristiche di sicurezza:

  • La lista di sicurezza predefinita dell'hub VCN consente il traffico SSH da 0.0.0.0/0. Regolare la lista di sicurezza per consentire solo agli host e alle reti che devono disporre dell'accesso SSH (o a qualsiasi altra porta di servizi richiesta) all'infrastruttura.
  • Questa distribuzione posiziona tutti i componenti nello stesso compartimento.
  • I VCN parlato non sono accessibili da Internet.
• Disponibilità e ridondanza

  Ad eccezione delle istanze, i restanti componenti non hanno requisiti di ridondanza. I componenti VPN Connect e FastConnect sono ridondanti. Per un'ulteriore ridondanza, utilizzare più connessioni, preferibilmente da diversi provider.

• Costo

  Gli unici componenti di questa architettura che hanno un costo sono le istanze di calcolo e FastConnect (ore di porta e addebiti del provider). Se un VCN in un'area diversa è connesso, il traffico tra regioni viene addebitato. Gli altri componenti non hanno costi associati.

• Gestione

  La gestione degli instradamenti è semplificata poiché la maggior parte degli instradamenti sarà in DRG. Utilizzando DRG come hub, è possibile avere 300 allegati (utilizzando LPG, l'hub VCN può connettersi solo a 10 VCN).

Distribuzione

Il codice Terraform per questa architettura di riferimento è disponibile in GitHub. È possibile estrarre il codice in Oracle Cloud Infrastructure Resource Manager con un solo clic, creare lo stack e distribuirlo. In alternativa, è possibile scaricare il codice da GitHub al computer, personalizzare il codice e distribuire l'architettura utilizzando Terraform CLI.

Nota:

Il codice Terraform include la maggior parte dei componenti visualizzati nel diagramma di architettura. La VM del servizio, la VM del carico di lavoro, la connessione VPN e FastConnect non sono incluse nel codice, sebbene siano visualizzate nel diagramma.

• Distribuisci utilizzando Oracle Cloud Infrastructure Resource Manager:
  1. Fare clic su

     Se non si è già connessi, immettere la tenancy e le credenziali utente.

  2. Rivedere e accettare i termini e le condizioni.
  3. Selezionare l'area in cui distribuire lo stack.
  4. Seguire i prompt e le istruzioni visualizzate sullo schermo per creare lo stack.
  5. Dopo aver creato lo stack, fare clic su Azioni Terraform e selezionare Piano.
  6. Attendere il completamento del job e rivedere il piano.

     Per apportare eventuali modifiche, tornare alla pagina Dettagli stack, fare clic su Modifica stack e apportare le modifiche necessarie. Eseguire nuovamente l'azione Piano.

  7. Se non sono necessarie ulteriori modifiche, tornare alla pagina Dettagli stack, fare clic su Azioni Terraform e selezionare Applica.
• Distribuzione con Terraform CLI:
  1. Andare a GitHub.
  2. Duplicare o scaricare il repository nel computer locale.
  3. Seguire le istruzioni contenute nel documento README.

Esplora altro

• Imposta una topologia di rete con hub e meccanismo utilizzando gateway di peering locali
• Framework basato sulle migliori prassi per Oracle Cloud Infrastructure
• VCN e subnet
• Peering VCN locale (all'interno di un'area)
• Instradamento transito: accesso a più VCN nella stessa regione
• Oracle Cloud Cost Estimator

Log delle modifiche

Questo log elenca le modifiche significative:

Giugno 22, 2022

Ha aggiornato il diagramma e il testo per includere casi d'uso aggiuntivi, inclusi i casi d'uso multi-cloud.