동적 경로 지정 게이트웨이를 사용하여 허브-스포크 네트워크 토폴로지 설정
허브-스포크 네트워크(주로 스타 네트워크라고 함)에는 중앙 구성 요소가 있으며, 이 구성 요소는 주변의 여러 네트워크에 연결됩니다. 기존 온프레미스 데이터 센터에서 이 토폴로지를 설정하려면 비용이 많이 들 수 있습니다. 하지만 클라우드에서는 추가 비용이 발생하지 않습니다.
DRG(동적 라우팅 게이트웨이)는 VCN(가상 클라우드 네트워크) 및 지역 외부의 네트워크(예: 다른 Oracle Cloud Infrastructure 지역의 VCN), 온프레미스 네트워크 또는 다른 클라우드 제공자의 네트워크 간 전용 네트워크 트래픽 경로를 제공하는 가상 라우터입니다.
DRG는 여러 VCN에 연결하여 클라우드 네트워크를 설계하는 방법에 유연성을 추가할 수 있습니다.
- ISV 구독자와 같은 다양한 고객의 워크로드 분리
- 중앙 네트워크에서 로그 서버, DNS 및 파일 공유와 같은 공유 IT 서비스 제공
- FastConnect 파트너를 사용하여 다중 클라우드 환경으로 Oracle Cloud Infrastructure 연결 확장
- 별도의 개발 및 운용 환경 설정
- PCI 및 HIPAA와 같은 규정 준수 요구사항을 충족하도록 환경 분리
구조
DRG(동적 라우팅 게이트웨이)를 사용하면 최대 300개의 가상 클라우드 네트워크를 연결할 수 있으며, DRG를 통해 OCID를 알리는 방식으로 보안 정책 관리뿐만 아니라 전체 아키텍처와 보안 목록 및 라우트 테이블 구성을 단순화할 수 있습니다.
이 아키텍처에서는 동적 라우팅 게이트웨이가 여러 VCN에 연결됩니다. 각 VCN에 샘플 서브넷 및 VM이 있습니다. DRG에는 VCN 외부의 대상으로 트래픽을 전달하는 규칙을 지정하는 라우팅 테이블이 있습니다. DRG는 Oracle Cloud Infrastructure FastConnect, 사이트 간 VPN 또는 두 가지 모두를 사용하여 구현할 수 있는 온프레미스 네트워크에서 전용 연결을 지원합니다. 또한 DRG를 사용하면 FastConnect 파트너를 사용하여 여러 클라우드 환경에 연결할 수 있습니다.
다음 다이어그램은 이 참조 아키텍처를 보여 줍니다.
hub-and-spoke-drg.png 그림에 대한 설명
아키텍처에는 다음과 같은 구성 요소가 있습니다:
- 온프레미스 네트워크
이 네트워크는 조직에서 사용하는 로컬 네트워크입니다. 위상의 스포크 중 하나입니다.
- 클라우드
클라우드 컴퓨팅은 서버, 가상 시스템, 보안, 저장 영역, 데이터베이스, 네트워킹, 분석, 응용 프로그램 등의 컴퓨팅 인프라와 서비스를 인터넷을 통해 제공합니다. 클라우드 컴퓨팅을 통해 공급자는 인프라와 서비스를 관리하고 유지 관리합니다. 일반적으로 사용하는 리소스에 대해서만 비용을 지불하고 요구사항이 변경되면 리소스를 확장할 수 있습니다.
- 지역
Oracle Cloud Infrastructure 지역은 가용성 도메인이라는 하나 이상의 데이터 센터를 포함하는 지역화된 지역입니다. 지역은 다른 지역과 독립적이며 방대한 거리는 국가 또는 대륙에서 분리할 수 있습니다.
- VCN(가상 클라우드 네트워크) 및 서브넷
VCN은 Oracle Cloud Infrastructure 영역에서 설정하는 커스터마이징 가능한 소프트웨어 정의 네트워크입니다. 기존의 데이터 센터 네트워크와 마찬가지로 VCN도 네트워크 환경을 완벽하게 제어할 수 있습니다. VCN에는 VCN을 생성한 후 변경할 수 있는 겹치지 않는 여러 CIDR 블록이 있을 수 있습니다. VCN을 서브넷으로 분할할 수 있으며, 지역 또는 가용성 도메인으로 범위가 지정될 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속적인 주소 범위로 구성됩니다. 서브넷을 생성한 후 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.
- 보안 목록
각 서브넷에 대해 서브넷에서 허용되어야 하는 트래픽의 소스, 대상 및 유형을 지정하는 보안 규칙을 생성할 수 있습니다.
- NSG(네트워크 보안 그룹)
NSG는 클라우드 리소스에 대한 가상 방화벽 역할을 합니다. Oracle Cloud Infrastructure의 제로 트러스트 보안 모델을 사용하면 모든 트래픽이 거부되며 VCN 내의 네트워크 트래픽을 제어할 수 있습니다. NSG는 단일 VCN의 지정된 VNIC 세트에만 적용되는 수신 및 송신 보안 규칙 세트로 구성됩니다.
- 경로 테이블
가상 경로 테이블에는 일반적으로 게이트웨이를 통해 서브넷의 트래픽을 VCN 외부의 대상으로 경로 지정하는 규칙이 포함되어 있습니다.
- 동적 경로 지정 게이트웨이(DRG)
DRG는 VCN와 지역 외부의 네트워크(예: 다른 Oracle Cloud Infrastructure 지역의 VCN, 온프레미스 네트워크 또는 다른 클라우드 제공자의 네트워크) 간 전용 네트워크 트래픽에 대한 경로를 제공하는 가상 라우터입니다.
- 배스천 호스트
배스천 호스트는 클라우드 외부의 토폴로지에 대한 안전한 제어된 시작점 역할을 하는 컴퓨트 인스턴스입니다. 배스천 호스트는 일반적으로 DMZ(완충 영역) 에서 프로비전됩니다. 클라우드 외부에서 직접 액세스할 수 없는 전용 네트워크에 중요한 리소스를 배치하여 보호할 수 있습니다. 토폴로지에는 정기적으로 모니터하고 감사할 수 있는 알려진 단일 시작점이 있습니다. 따라서 위상에 대한 액세스를 손상시키지 않고 위상의 보다 민감한 구성요소가 노출되지 않도록 할 수 있습니다.
- 사이트 간 VPN
사이트 간 VPN은 온프레미스 네트워크와 Oracle Cloud Infrastructure의 VCN 간에 IPSec VPN 연결을 제공합니다. IPSec 프로토콜 제품군은 패킷이 소스에서 대상으로 전송되기 전에 IP 트래픽을 암호화하고 도착 시 트래픽을 해독합니다.
- FastConnect
Oracle Cloud Infrastructure FastConnect는 데이터 센터와 Oracle Cloud Infrastructure 간에 전용 개인 연결을 생성하는 쉬운 방법을 제공합니다. FastConnect는 인터넷 기반 연결과 비교할 때 더 높은 대역폭의 옵션과 더 안정적인 네트워킹 환경을 제공합니다.
권장 사항
- VCN
VCN를 생성할 때 VCN의 서브넷에 연결할 리소스 수에 따라 필요한 CIDR 블록 수 및 각 블록 크기를 결정합니다. 표준 전용 IP 주소 공간 내에 있는 CIDR 블록을 사용합니다.
전용 접속을 설정하려는 다른 네트워크(Oracle Cloud Infrastructure, 온-프레미스 데이터 센터 또는 다른 클라우드 제공자) 와 겹치지 않는 CIDR 블록을 선택합니다.
VCN를 생성한 후 CIDR 블록을 변경, 추가 및 제거할 수 있습니다.
서브넷을 설계할 때 트래픽 흐름 및 보안 요구사항을 고려하십시오. 특정 계층 또는 역할 내의 모든 리소스를 동일한 서브넷에 연결합니다. 이 서브넷은 보안 경계 역할을 할 수 있습니다.
- 보안 목록
보안 목록을 사용하여 전체 서브넷에 적용되는 수신 및 송신 규칙을 정의합니다.
- 보안
Oracle Cloud Guard를 사용하여 Oracle Cloud Infrastructure의 리소스 보안을 사전 예방적으로 모니터하고 유지 관리할 수 있습니다. Cloud Guard는 정의할 수 있는 감지기 레시피를 사용하여 리소스의 보안 취약점을 검사하고 운영자 및 사용자의 위험 작업을 모니터합니다. 잘못된 구성 또는 비보안 작업이 감지되면 Cloud Guard는 해결 조치를 권장하고 정의할 수 있는 응답자 레시피를 기반으로 해당 작업을 수행할 수 있도록 지원합니다.
최대 보안이 필요한 리소스의 경우 Oracle은 보안 영역을 사용할 것을 권장합니다. 보안 영역은 최적의 방법을 기반으로 하는 보안 정책의 Oracle 정의 레시피와 연관된 구획입니다. 예를 들어, 보안 영역의 리소스는 공용 인터넷에서 액세스할 수 없어야 하며 고객 관리 키를 사용하여 암호화해야 합니다. 보안 영역에서 리소스를 만들고 업데이트할 때 Oracle Cloud Infrastructure는 security-zone 레시피의 정책에 대해 작업을 검증하고 정책을 위반하는 작업을 거부합니다.
고려 사항
이 참조 구조를 배치할 때는 다음 사항을 고려하십시오.
- 성능
영역 내에서 성능은 VCN 수의 영향을 받지 않습니다. VCN을 서로 다른 영역에 피어링하는 경우 대기 시간을 고려하십시오. VPN Connect 또는 FastConnect를 통해 접속된 스포크를 사용하는 경우 접속의 처리량은 추가 팩토리입니다. 최고의 성능이 필요한 경우 DRG를 거치는 대신 로컬 피어링을 사용하십시오.
- 보안토폴로지를 보호하려면 적절한 보안 방식을 사용하십시오. 제공된 Terraform 코드를 사용하여 배치하는 토폴로지에는 다음 보안 특성이 통합되어 있습니다:
- 허브 VCN의 기본 보안 목록은 0.0.0.0/0 의 SSH 트래픽을 허용합니다. SSH 액세스 권한을 가져야 하는 호스트 및 네트워크(또는 필요한 다른 서비스 포트) 만 기반 구조에 허용하도록 보안 목록을 조정합니다.
- 이 배치는 모든 구성요소를 동일한 구획에 배치합니다.
- 인터넷에서 Spoke VCN에 액세스할 수 없습니다.
- 가용성 및 이중화
인스턴스를 제외하고 나머지 구성 요소에는 중복성 요구 사항이 없습니다. VPN Connect 및 FastConnect 구성 요소는 중복됩니다. 추가 중복성을 위해 서로 다른 제공자의 여러 접속을 사용하는 것이 좋습니다.
- 비용
비용이 있는 이 아키텍처의 유일한 구성 요소는 컴퓨트 인스턴스와 FastConnect(포트 시간 및 제공자 요금) 입니다. 다른 영역의 VCN가 접속된 경우 영역 간의 트래픽이 청구됩니다. 다른 구성요소에는 연계된 원가가 없습니다.
- 관리
대부분의 경로가 DRG에 있으므로 경로 관리가 간소화됩니다. DRG를 허브로 사용하면 300개의 첨부 파일을 가질 수 있습니다(LPG를 사용하면 허브 VCN가 10개의 VCN에만 연결할 수 있음).
배치
이 참조 구조에 대한 Terraform 코드는 GitHub에서 사용할 수 있습니다. 한 번의 클릭으로 코드를 Oracle Cloud Infrastructure Resource Manager로 가져와서 스택을 생성하고 배치할 수 있습니다. 또는 Terraform CLI를 사용하여 GitHub에서 컴퓨터로 코드를 다운로드하고, 코드를 사용자정의하고, 구조를 배치할 수 있습니다.
주:
Terraform 코드에는 구조 다이어그램에 표시된 대부분의 구성 요소가 포함됩니다. 서비스 VM, 작업 로드 VM, VPN 접속 및 FastConnect는 다이어그램에 표시되더라도 코드에 포함되지 않습니다.- Oracle Cloud Infrastructure Resource Manager를 사용하여 배치:
을 누릅니다.아직 사인인하지 않은 경우 테넌시 및 사용자 인증서를 입력합니다.
- 조건 및 조항을 검토하고 수락합니다.
- 스택을 배치할 영역을 선택합니다.
- 화면의 프롬프트 및 지침에 따라 스택을 만듭니다.
- 스택을 생성한 후 Terraform 작업 을 누르고 계획 을 선택합니다.
- 작업이 완료될 때까지 기다렸다가 계획을 검토합니다.
변경하려면 스택 세부정보 페이지로 돌아가서 스택 편집 을 누르고 필요한 사항을 변경합니다. 그런 다음 계획 작업을 다시 실행합니다.
- 더 이상 변경할 필요가 없는 경우 스택 세부 정보 페이지로 돌아가서 Terraform 작업 을 누르고 적용 을 선택합니다.
- Terraform CLI를 사용하여 배포:
- GitHub로 이동합니다.
- 저장소를 로컬 컴퓨터에 복제하거나 다운로드합니다.
README문서의 지침을 따릅니다.