1. Connettere la rete on premise utilizzando una rete VPN
  2. Connettere la rete on premise tramite VPN

Connettere la rete on premise tramite VPN

Una rete cloud virtuale (VCN) Oracle Cloud Infrastructure è una versione virtualizzata di Layer 3 di una rete tradizionale che ti offre il controllo di indirizzi IP privati, subnet, router e firewall. Una singola tenancy può disporre di più reti VCN, separate o combinate.

Puoi creare un'estensione VCN della tua rete on premise utilizzando una connessione VPN (Virtual Private Network). A tale scopo, Oracle Cloud Infrastructure fornisce una connessione VPN, che è un IPSec VPN.

L'uso di una rete VPN per estendere la rete on premise offre i vantaggi riportati di seguito.

  • È possibile utilizzare linee Internet pubbliche quando le righe in leasing non sono richieste.

  • Gli indirizzi IP coinvolti sono privati e non esposti al mondo esterno.

  • La comunicazione tra le reti viene cifrata.

  • Una VPN site-to-site consente a più utenti di accedere alle risorse cloud mediante una singola connessione anziché più connessioni, riducendo il sovraccarico di gestione.

Architettura

Questa architettura di riferimento mostra come impostare la connessione VPC per connettere la rete on premise e la VCN.

Nel diagramma seguente è illustrata questa architettura.

Segue la descrizione di vpn-redancy.eps
Descrizione dell'illustrazione vpn-redundancy.eps
Questa architettura include i componenti riportati di seguito.
  • Rete on premise

    La rete locale utilizzata dall'organizzazione.

  • VCN

    Una rete virtuale privata impostata nei data center Oracle.

  • Subnet

    Sottodivisioni definite all'interno di una VCN. Una subnet ha un intervallo contiguo di indirizzi IP che non si sovrappongono ad altre subnet nella VCN.

  • Liste di sicurezza

    Regole di sicurezza che specificano l'origine, la destinazione e il tipo di traffico consentito in una subnet.

  • Tabelle di instradamento

    Regole di instradamento che forniscono il mapping per il traffico dalla rete VCN.

  • Gateway di instradamento dinamico (DRG)

    Un router virtuale che puoi aggiungere alla tua VCN per fornire un percorso per il traffico di rete privato tra la tua VCN e la rete on premise (instradamento del transito).

  • VPN Connect

    Funzione che gestisce le connessioni a IPSec VPN alla tenancy.

  • CPE (Customer-premises Equipment)

    Oggetto che rappresenta l'asset di rete attivo nella rete locale e stabilisce la connessione VPN. La maggior parte dei firewall agisce come CPE, ma un dispositivo separato (come un'appliance o un server) può essere un CPE.

  • IPv4 e IPv6

    Schemi di indirizzo utilizzati per le reti. IPv6 è supportato solo in US Government Cloud.

  • IPSec (Internet Protocol Security)

    Una suite di protocolli che cifra il traffico IP prima che i pacchetti vengano trasferiti dall'origine alla destinazione.

  • Tunnel

    Ogni connessione tra CPE e Oracle Cloud Infrastructure.

  • Instradamento BGP (Border Gateway Protocol)

    Consente di cancellare i percorsi in modo dinamico. DRG cancella dinamicamente gli instradamenti dalla rete in locale. Sul lato Oracle, DRG pubblica le subnet della VCN.

  • Instradamento statico

    Quando si crea la connessione VPN, si informano le reti esistenti su ciascun lato. Le modifiche non vengono applicate in modo dinamico.

Suggerimenti

I requisiti dell'utente potrebbero differire dall'architettura descritta qui. Utilizzare i seguenti suggerimenti come punto di partenza.

  • VCN

    Quando crei la VCN, determinare il numero di indirizzi IP richiesti dalle risorse cloud in ogni subnet. Utilizzando la notazione CIDR (Classless Inter-Domain Routing), specificare una subnet mask e un intervallo di indirizzi di rete sufficientemente grande per gli indirizzi IP necessari. Utilizzare uno spazio di indirizzi che rientra nei blocchi di indirizzi IP privati standard.

    Scegliere un intervallo di indirizzi che non si sovrapponga alla rete in locale, nel caso in cui sia necessario impostare una connessione tra la VCN e la rete in locale in un secondo momento.

    Dopo aver creato la VCN, non è possibile modificare l'intervallo di indirizzi.

    Durante la progettazione delle subnet, prendere in considerazione le funzionalità e i requisiti di sicurezza. Tutte le istanze di computazione all'interno dello stesso livello o ruolo devono trovarsi nella stessa subnet, che può essere un limite di sicurezza.

  • Liste di sicurezza

    Usare gli elenchi di sicurezza per definire le regole di entrata e uscita che si applicano all'intera subnet.

    Nel CPE definire il set di autorizzazioni di accesso corretto. Le autorizzazioni possono avere un nome diverso nel CPE, ad esempio la lista accessi.

  • CPE

    Alcuni CPE dispongono di requisiti specifici per il funzionamento di alcune funzioni, come l'instradamento basato su criteri (sui firewall ASA CheckPoint e Cisco). Assicurarsi che la versione software di CPE soddisfi tali requisiti.

Considerazioni

  • Costo

    Le VCN, le subnet, i DRGs, gli elenchi di sicurezza e le tabelle di instradamento non hanno costi aggiuntivi. La Virtual Machine di test (VM) nella distribuzione è impostata per utilizzare la forma Livello libero. Se si utilizzano le istanze del livello libero, impostare la VM di test come istanze di forma regolare.

  • Sicurezza

    La lista di sicurezza predefinita contiene la porta SSH aperta all'indirizzo 0.0.0.0/0. Modificare la lista di sicurezza in modo che corrisponda solo agli host e alle reti che devono disporre dell'accesso SSH alla propria infrastruttura.

    Questa distribuzione posiziona tutti i componenti nello stesso compartimento.

    La subnet distribuita è pubblica per consentire l'accesso all'istanza di test da Internet finché la VPN non funziona. Se le VM non forniscono servizi pubblici, prendere in considerazione la rimozione delle risorse o anche l'intera subnet pubblica.

  • Scalabilità

    Ciascuna tenancy ha un limite di cinque DRGs.

    Ogni area può avere quattro connessioni VPN.

  • Prestazioni

    Ogni connessione può raggiungere 250 Mbps.

    Il throughput massimo DRG è di 10 Gbps.

    Poiché le connessioni VPN utilizzano righe Internet pubbliche, gli attori esterni possono influire sulle prestazioni di tali righe.

  • Disponibilità e ridondanza

    I DRGs sono ridondanti e il failover viene eseguito automaticamente.

    Ogni connessione può avere più tunnel.

    È consigliabile utilizzare più collegamenti Internet di diversi provider negli ambienti di produzione.

  • Usabilità

    Questa distribuzione fornisce tutti i componenti visualizzati nel diagramma. Informare l'indirizzo IP pubblico del CPE.

    La VM inclusa illustra e verifica la connettività di base.

Ulteriori informazioni

Panoramica di connessione VPN