테넌시 간 지역 간 전용 접속 구성
비즈니스 및 기술적인 이유로 클라우드에서 가상 네트워크 간의 개인 연결을 사용으로 설정하고 네트워크 간의 트래픽이 공용 인터넷을 통과하지 않도록 해야 할 수 있습니다. 예를 들어 테넌시 내 두 지역의 네트워크 간 또는 테넌시의 네트워크와 협력 조직의 테넌시에 있는 네트워크 간에 전용 접속이 필요할 수 있습니다.
Oracle Cloud Infrastructure는 다음 두 가지 네트워크 엔지니어링 모델을 지원합니다:
- 로컬 VCN 피어링
LPG(로컬 피어링 게이트웨이) 를 사용하여 지역 내의 VCN(가상 클라우드 네트워크) 을 피어링할 수 있습니다. 이러한 피어링된 VCN에 연결된 리소스는 공용 인터넷을 통해 트래픽 경로 지정 없이 전용 IP 주소를 사용하여 통신할 수 있습니다. VCN은 동일한 테넌시에 있거나 다른 테넌시에 있을 수 있습니다.
- 원격 VCN 피어링
서로 다른 지역의 VCN은 공용 인터넷을 통해 트래픽 경로 지정 없이 전용 IP 주소를 사용하여 통신할 수 있습니다. 피어링 관계의 VCN에 연결된 각 DRG(동적 경로 지정 게이트웨이) 에서 RPC(원격 피어링 연결) 를 구성하여 서로 다른 영역의 두 VCN 간에 피어링을 설정할 수 있습니다. 원격 VCN 피어링은 일반적으로 동일한 테넌시의 여러 지역에서 두 VCN을 연결하는 데 사용됩니다. 특정 시나리오에서는 지역 간에 서로 다른 두 테넌시의 VCN을 연결해야 할 수 있습니다.
구조
이 아키텍처에서는 두 테넌시 간에 그리고 두 지역 간에 개인 네트워크 연결이 구성됩니다.
그림 xregion-private-connectivity-oci.png에 대한 설명
아키텍처에는 다음과 같은 구성 요소가 있습니다:
- 테넌시
테넌시는 Oracle Cloud Infrastructure에 등록할 때 Oracle가 Oracle Cloud 내에 설정하는 안전하고 격리된 분할 영역입니다. 테넌시 내에서 Oracle Cloud의 리소스를 생성, 구성 및 관리할 수 있습니다.
이 아키텍처에는 회사 A와 회사 B에 대한 테넌시가 각각 두 개 있습니다.
- 지역
Oracle Cloud Infrastructure 지역은 가용성 도메인이라는 하나 이상의 데이터 센터를 포함하는 지역화된 지역입니다. 지역은 다른 지역과 독립적이며 방대한 거리는 국가 또는 대륙에서 분리할 수 있습니다.
이 아키텍처에는 두 개의 지역이 있습니다. 회사 A는 단일 지역 US East(애슈번) 에 클라우드 리소스를 보유하고 있습니다. 회사 B의 리소스는 미국 동부(애슈번) 및 인도 서부(뭄바이) 의 두 지역에 분산됩니다.
- VCN(가상 클라우드 네트워크)
VCN는 Oracle Cloud Infrastructure 지역에서 설정하는 사용자정의 가능한 전용 네트워크입니다. VCN은 기존의 데이터 센터 네트워크와 마찬가지로 네트워크 환경을 완벽하게 제어할 수 있습니다. VCN을 서브넷으로 세그먼트화하여 영역 또는 가용성 도메인으로 범위를 지정할 수 있습니다. 지역 서브넷과 가용성 도메인별 서브넷은 모두 동일한 VCN에 공존할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.
이 아키텍처에서 회사 A는 미국 동부(애슈번) 지역에 VCN 10.0.0.0/16을 보유하고 있습니다. 회사 B에는 각각 미국 동부(애슈번) 의 VCN B 172.16.0.0/16과 인도 서부(뭄바이) 의 VCN C 192.168.0.0/16의 두 VCN이 있습니다. 이 피어링 구조의 각 VCN 에는 고유한 CIDR 접두어가 있습니다.
- 동적 경로 지정 게이트웨이(DRG)
DRG는 VCN와 지역 외부의 네트워크(예: 다른 Oracle Cloud Infrastructure 지역의 VCN, 온프레미스 네트워크 또는 다른 클라우드 제공자의 네트워크) 간 전용 네트워크 트래픽에 대한 경로를 제공하는 가상 라우터입니다.
이 아키텍처에서는 애슈번의 VCN B와 뭄바이의 VCN C가 DRG를 사용하여 원격으로 피어링됩니다.
- LPG(로컬 피어링 게이트웨이)
LPG를 사용하면 한 VCN를 동일한 지역의 다른 VCN와 피어링할 수 있습니다. 피어링은 VCN이 인터넷을 통과하거나 온프레미스 네트워크를 통해 라우팅하는 트래픽 없이 전용 IP 주소를 사용하여 통신함을 의미합니다.
이 아키텍처에서 VCN A와 VCN B(Ashburn 지역 내) 는 LPG를 사용하여 로컬에서 피어링됩니다.
- 경로 테이블
가상 경로 테이블에는 일반적으로 게이트웨이를 통해 서브넷의 트래픽을 VCN 외부의 대상으로 경로 지정하는 규칙이 포함되어 있습니다.
이 구조에는 VCN을 통해 트래픽을 직접 전달하는 경로 테이블이 포함됩니다.- VCN A에는 LPG를 통해 트래픽을 VCN B 및 C로 전달하는 경로 규칙이 있습니다.
- VCN B에는 LPG를 통해 트래픽을 VCN A로, DRG를 통해 VCN C로 전달하기 위한 경로 규칙이 있습니다.
- VCN C에는 DRG를 통해 트래픽을 VCN A 및 C로 전달하는 경로 규칙이 있습니다.
권장 사항
다음 권장 사항을 시작점으로 사용하십시오. 요구 사항은 여기에 설명된 아키텍처와 다를 수 있습니다.
- ID 및 접근 관리(IAM)
특정 그룹의 사용자만 요청자의 구획(회사 A 구획) 에서 특정 테넌시에 대한 LPG 연결을 시작할 수 있도록 IAM 정책을 구성할 수 있습니다. 요청자의 구획이 아닌 요청자의 테넌시(즉,
root구획) 에 정책을 첨부합니다. - VCN
VCN를 생성할 때 각 서브넷의 클라우드 리소스에 필요한 IP 주소 수를 결정합니다. CIDR(Classless Inter-Domain Routing) 표기법을 사용하여 필요한 IP 주소에 충분히 큰 서브넷 마스크 및 네트워크 주소 범위를 지정합니다. 표준 전용 IP 주소 공간 내에 있는 주소 범위를 사용하십시오.
개인 연결을 설정하려는 다른 네트워크(Oracle Cloud Infrastructure, 온프레미스 데이터 센터 또는 다른 클라우드 제공업체) 와 겹치지 않는 주소 범위를 선택합니다.
- 보안 규칙
네트워크 트래픽을 제어하려면 보안 목록 또는 NSG(네트워크 보안 그룹) 를 사용할 수 있습니다. 보안 목록에서 지정하는 규칙은 보안 목록을 연결하는 서브넷의 모든 VNIC에 적용됩니다. 방화벽이 보다 세분화된 수준으로 필요한 경우 NSG(네트워크 보안 그룹) 를 사용합니다. NSG의 규칙은 지정한 VNIC에만 적용됩니다. Oracle 에서는 NSG를 사용하여 워크로드의 보안 요구사항과 서브넷 아키텍처를 분리할 수 있으므로 NSG를 사용하는 것이 좋습니다.
고려 사항
이 구조를 구현할 때는 다음 요인을 고려하십시오:
- 확장성
테넌시에 대한 VCN 및 서브넷의 서비스 제한을 고려하십시오. 네트워크가 더 필요한 경우 제한 증가를 요청합니다.
- 보안
토폴로지를 보호하려면 적절한 보안 방식을 사용하십시오.
제공된 Terraform 코드를 사용하여 배치하는 구조에서 VCN의 기본 보안 목록을 통해 0.0.0.0/0 및 ICMP의 SSH 트래픽은 두 테넌시의 SSH 트래픽만 허용됩니다. 사용자 기반구조에 대한 SSH 액세스(또는 필요한 다른 서비스 포트에 대한 액세스) 를 가져야 하는 호스트 및 네트워크만 허용하려면 보안 목록을 조정하십시오.
- 성능
영역 내에서 VCN 수는 성능에 영향을 주지 않습니다. VCN을 서로 다른 영역에 피어링하는 경우 대기 시간을 고려하십시오.
배치
이 구조를 배치하는 Terraform 코드는 GitHub에서 사용할 수 있습니다.
- GitHub로 이동합니다.
- 저장소를 로컬 컴퓨터에 복제하거나 다운로드합니다.
README문서의 지침을 따릅니다.