1. Configure uma topologia de rede hub e spoke usando um gateway de roteamento dinâmico
  2. Configurar uma Topologia de Rede Hub e Spoke Usando um Gateway de Roteamento Dinâmico

Configurar uma Topologia de Rede Hub e Spoke Usando um Gateway de Roteamento Dinâmico

Uma rede hub e spoke, geralmente chamada de rede estrela, tem um componente central conectado a várias redes ao seu redor. Configurar essa topologia no data center local tradicional pode ser caro. Mas na nuvem, não há custo extra.

O gateway de roteamento dinâmico (DRG) é um roteador virtual que fornece um caminho para tráfego de rede privada entre uma rede virtual na nuvem (VCN) e uma rede fora da região, como uma VCN em outra região do Oracle Cloud Infrastructure, uma rede local ou uma rede de outro provedor de nuvem.

O DRG pode se conectar a várias VCNs, adicionando flexibilidade ao modo como você projeta sua rede na nuvem.

Use a arquitetura hub e spoke para criar soluções de rede criativas e poderosas na nuvem para os seguintes casos de uso comuns:
  • Isole as cargas de trabalho de diferentes clientes, como os assinantes de um ISV
  • Forneça serviços de TI compartilhados como servidor de logs, DNS e compartilhamento de arquivos em uma rede central
  • Estenda a conectividade do Oracle Cloud Infrastructure com ambientes multinuvem usando parceiros do FastConnect
  • Configurar ambientes separados de desenvolvimento e produção
  • Separe os ambientes para atender aos requisitos de conformidade, como PCI e HIPAA

Arquitetura

Um gateway de roteamento dinâmico (DRG) permite que você conecte até 300 redes virtuais na nuvem e ajuda a simplificar não apenas a arquitetura geral, mas também a configuração da lista de segurança e da tabela de roteamento, bem como o gerenciamento da política de segurança por meio da publicidade de OCIDs por meio do DRG.

Nesta arquitetura, um gateway de roteamento dinâmico é conectado a várias VCNs. Há amostras de sub-redes e VMs em cada VCN. O DRG tem uma tabela de roteamento que especifica regras para direcionar o tráfego para destinos fora da VCN. O DRG permite conectividade privada com uma rede local, que você pode implementar usando o Oracle Cloud Infrastructure FastConnect, VPN site a site ou ambos. O DRG também permite que você se conecte a vários ambientes de nuvem usando um parceiro FastConnect.

O diagrama a seguir ilustra essa arquitetura de referência.

Veja a seguir a descrição da ilustração hub-and-spoke-drg.png
Descrição da ilustração hub-and-spoke-drg.png

hub-and-spoke-drg-oracle.zip

A arquitetura tem os seguintes componentes:

  • Rede local

    Esta rede é a rede local usada por sua organização. É um dos raios da topologia.

  • Nuvem

    A computação em nuvem oferece infraestrutura e serviços de computação, como servidores, máquinas virtuais, segurança, armazenamento, bancos de dados, rede, análises, aplicativos, etc. pela Internet. Com a computação em nuvem, o provedor gerencia e mantém a infraestrutura e os serviços. Geralmente, você paga apenas pelos recursos usados e pode dimensionar os recursos à medida que seus requisitos mudarem.

  • Região

    Uma região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, chamados domínios de disponibilidade. As regiões são independentes de outras regiões e grandes distâncias podem separá-las (entre países ou mesmo continentes).

  • VCN (Virtual Cloud Network) e sub-rede

    Uma VCN é uma rede personalizável definida por software que você configura em uma região do Oracle Cloud Infrastructure. Como as redes de data center tradicionais, as VCNs dão a você total controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você pode alterar após criar a VCN. Você pode segmentar uma VCN em sub-redes, que podem ter escopo em uma região ou em um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contínuo de endereços que não se sobrepõem com as outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.

  • Lista de segurança

    Para cada sub-rede, você pode criar regras de segurança que especifiquem a origem, o destino e o tipo de tráfego que devem ser permitidos dentro e fora da sub-rede.

  • Grupo de segurança de rede (NSG)

    Os NSGs funcionam como firewalls virtuais para seus recursos de nuvem. Com o modelo de segurança de confiança zero do Oracle Cloud Infrastructure, todo o tráfego é negado e você pode controlar o tráfego de rede dentro de uma VCN. Um NSG consiste em um conjunto de regras de segurança de entrada e saída que se aplicam a apenas um conjunto especificado de VNICs em um único VCN.

  • Tabela de roteamento

    As tabelas de roteamento virtuais contêm regras para rotear o tráfego de sub-redes para destinos fora de uma VCN, geralmente por meio de gateways.

  • Gateway de Roteamento Dinâmico (DRG)

    A DRG é um roteador virtual que fornece um caminho para o tráfego de rede privada entre uma VCN e uma rede fora da região, como uma VCN em outra região Oracle Cloud Infrastructure, uma rede local ou uma rede em outro provedor de nuvem.

  • Host de Basção

    O bastion host é uma instância de computação que serve como um ponto de entrada seguro e controlado para a topologia de fora da nuvem. O bastião hospedeiro é normalmente provisionado em uma zona desmilitarizada (DMZ). Ele permite que você proteja recursos confidenciais colocando-os em redes privadas que não podem ser acessadas diretamente de fora da nuvem. A topologia tem um único ponto de entrada conhecido que você pode monitorar e auditar regularmente. Assim, você pode evitar expor os componentes mais sensíveis da topologia sem comprometer o acesso a eles.

  • VPN entre Sites

    A VPN Site a Site fornece conectividade IPSec VPN entre sua rede local e VCNs no Oracle Cloud Infrastructure. A suíte de protocolos IPSec criptografa o tráfego IP antes que os pacotes sejam transferidos da origem para o destino e decodifica o tráfego quando ele chega.

  • FastConnect

    O Oracle Cloud Infrastructure FastConnect fornece uma maneira fácil de criar uma conexão privada dedicada entre seu data center e o Oracle Cloud Infrastructure. O FastConnect oferece opções de largura de banda mais altas e uma experiência de rede mais confiável quando comparado às conexões baseadas na Internet.

Recomendações

Use as recomendações a seguir como ponto de partida para <resto da frase. > Seus requisitos podem diferir da arquitetura descrita aqui.
  • VCN

    Ao criar uma VCN, determine o número de blocos CIDR necessários e o tamanho de cada bloco com base no número de recursos que você planeja anexar a sub-redes na VCN. Use blocos CIDR que estejam dentro do espaço de endereço IP privado padrão.

    Selecione blocos CIDR que não se sobreponham a nenhuma outra rede (no Oracle Cloud Infrastructure, seu data center local ou outro provedor de nuvem) para a qual você pretende configurar conexões privadas.

    Depois de criar um VCN, você poderá alterar, adicionar e remover seus blocos CIDR.

    Ao projetar as sub-redes, considere o fluxo de tráfego e os requisitos de segurança. Anexe todos os recursos em uma camada ou função específica à mesma sub-rede, que pode servir como um limite de segurança.

  • Listas de segurança

    Use listas de segurança para definir regras de entrada e saída que se aplicam a toda a sub-rede.

  • Segurança

    Use o Oracle Cloud Guard para monitorar e manter a segurança de seus recursos no Oracle Cloud Infrastructure proativamente. O Cloud Guard usa receitas de detectores que você pode definir para examinar seus recursos quanto a deficiências de segurança e monitorar operadores e usuários quanto a atividades arriscadas. Quando qualquer configuração incorreta ou atividade insegura é detectada, o Cloud Guard recomenda ações corretivas e auxilia na execução dessas ações, com base nas receitas do respondedor que você pode definir.

    Para recursos que exigem segurança máxima, a Oracle recomenda que você use zonas de segurança. Uma zona de segurança é um compartimento associado a uma receita definida pela Oracle de políticas de segurança baseadas nas melhores práticas. Por exemplo, os recursos em uma zona de segurança não devem ser acessíveis pela internet pública e devem ser criptografados usando chaves gerenciadas pelo cliente. Quando você cria e atualiza recursos em uma zona de segurança, o Oracle Cloud Infrastructure valida as operações com as políticas na receita de zona de segurança e nega operações que violem qualquer uma das políticas.

Considerações

Considere os pontos a seguir ao implantar essa arquitetura de referência.

  • Desempenho

    Em uma região, o desempenho não é afetado pelo número de VCNs. Quando você parear VCNs em diferentes regiões, considere a latência. Quando você usa spokes conectados por meio do VPN Connect ou do FastConnect, o throughput da conexão é um fator adicional. Se o desempenho extremo for necessário, use Pareamento Local em vez de passar pelo DRG.

  • Segurança
    Use mecanismos de segurança apropriados para proteger a topologia. A topologia que você implanta usando o código Terraform fornecido incorpora as seguintes características de segurança:
    • A lista de segurança padrão da VCN hub permite tráfego SSH de 0.0.0.0/0. Ajuste a lista de segurança para permitir apenas os hosts e redes que devem ter acesso SSH (ou qualquer outra porta de serviços necessária) à sua infraestrutura.
    • Esta implantação coloca todos os componentes no mesmo compartimento.
    • VCNs faladas não são acessíveis a partir da internet.
  • Disponibilidade e redundância

    Exceto para as instâncias, os componentes restantes não têm requisitos de redundância. Os componentes VPN Connect e FastConnect são redundantes. Para obter mais redundância, use várias conexões, de preferência de diferentes provedores.

  • Custo

    Os únicos componentes dessa arquitetura que têm um custo são as instâncias de computação e o FastConnect (horas da porta e encargos do provedor). Se uma VCN em uma região diferente estiver conectada, o tráfego entre regiões será cobrado. Os outros componentes não têm custo associado.

  • Gerenciamento

    O gerenciamento de rotas é simplificado, pois a maioria das rotas estará no DRG. Usando o DRG como hub, é possível ter 300 anexos (usando LPGs, o hub VCN só pode se conectar a 10 VCNs).

Implantar

O código Terraform desta arquitetura de referência está disponível no GitHub. Você pode inserir o código no Oracle Cloud Infrastructure Resource Manager com um único clique, criar a pilha e implantá-la. Como alternativa, você pode fazer download do código do GitHub para o seu computador, personalizar o código e implantar a arquitetura usando a CLI do Terraform.

Observação:

O código Terraform inclui a maioria dos componentes mostrados no diagrama de arquitetura. A VM de serviço, a VM de carga de trabalho, a conexão VPN e o FastConnect não estão incluídas no código, embora sejam mostradas no diagrama.
  • Implantar usando o Oracle Cloud Infrastructure Resource Manager:
    1. Clique em Implantar no Oracle Cloud

      Se você ainda não tiver efetuado sign-in, informe as credenciais da tenancy e do usuário.

    2. Revise e aceite os termos e as condições.
    3. Selecione a região em que deseja implantar a pilha.
    4. Siga os prompts e instruções na tela para criar a pilha.
    5. Depois de criar a pilha, clique em Ações do Terraform e selecione Plano.
    6. Aguarde a conclusão do job e revise o plano.

      Para fazer alterações, retorne à página Detalhes da Pilha, clique em Editar Pilha e faça as alterações necessárias. Em seguida, execute a ação Plano novamente.

    7. Se nenhuma outra alteração for necessária, retorne à página Detalhes da Pilha, clique em Ações do Terraform e selecione Aplicar.
  • Implante usando a CLI do Terraform:
    1. Vá para o GitHub.
    2. Clone ou faça download do repositório para o computador local.
    3. Siga as instruções no documento README.

Explorar Mais

Alterar Log

Esse log lista alterações significativas: