Conecte sua Rede Local Usando VPN
Uma VCN (rede virtual na nuvem) da Oracle Cloud Infrastructure é uma versão virtualizada da Camada 3 de uma rede tradicional que permite a você controlar endereços IP, sub-redes, roteadores e firewalls privados. Uma tenancy única pode ter várias VCNs, separadas ou combinadas.
Você pode tornar uma VCN uma extensão de sua rede local usando uma conexão de rede virtual privada (VPN). Para isso, o Oracle Cloud Infrastructure oferece Conexão VPN, que é um IPSec VPN.
-
É possível usar linhas públicas da Internet quando as linhas arrendadas não são obrigatórias.
-
Os espaços de endereços IP envolvidos são privados e não estão expostos ao mundo externo.
-
A comunicação entre redes está criptografada.
-
Uma VPN site a site permite que vários usuários acessem os recursos da nuvem por meio de uma única conexão, em vez de várias conexões, reduzindo a sobrecarga do gerenciamento.
Arquitetura
Esta arquitetura de referência mostra como configurar o VPC Connect para conectar sua rede local e VCN.
O diagrama a seguir ilustra essa arquitetura.
Descrição da ilustração vpn-redundancy.eps
- Rede local
A rede local usada por sua organização.
- VCN
Uma rede virtual e privada configurada nos data centers do Oracle.
- Sub-redes
Subdivisão definidos dentro de uma VCN. Uma sub-rede tem uma faixa contígua de endereços IP que não se sobrepõem a outras sub-redes na VCN.
- Listas de segurança
Regras de segurança que especificam a origem, o destino e o tipo de tráfego que são permitidos dentro e fora de uma sub-rede.
- Tabelas de rotas
Regras de roteamento que fornecem mapeamento para tráfego fora da VCN.
- Gateway de roteamento dinâmico (DRG)
Um roteador virtual que você pode adicionar à sua VCN para fornecer um caminho para o tráfego de rede privada entre sua VCN e a rede local (roteamento de trânsito).
- Conexão VPN
Função que gerencia conexões do IPSec VPN para sua tenancy.
- Equipamento do local do cliente (CPE)
Um objeto que representa o ativo de rede que reside na rede local e estabelece a conexão VPN. A maioria dos firewalls de borda funcionam como o CPE, mas um dispositivo separado (como um appliance ou um servidor) pode ser um CPE.
- IPv4 e IPv6
Esquemas de endereço usados para as redes. O IPv6 é suportado somente no US Government Cloud.
- Segurança de Protocolo de Internet (IPSec)
Um conjunto de protocolos que criptografa o tráfego IP antes que os pacotes sejam transferidos da origem para o destino.
- Túnel
Cada conexão entre o CPE e o Oracle Cloud Infrastructure.
- Roteamento do BGP (Border Gateway Protocol)
Permite que rotas sejam aprendidas dinamicamente. O DRG aprende dinamicamente as rotas da sua rede local. Na parte Oracle, a DRG anuncia as sub-redes da VCN.
- Rota estática
Ao criar a conexão VPN, você informa as redes existentes em cada lado. As alterações não são aprendidas dinamicamente.
Recomendações
Seus requisitos podem ser diferentes da arquitetura descrita aqui. Use as recomendações a seguir como ponto de partida.
- VCN
Quando você cria a VCN, determina quantos endereços IP seus recursos de nuvem são necessários em cada sub-rede. Usando a notação CIDR (Classless Inter-Domain Routing), especifique uma máscara de sub-rede e um intervalo de endereços de rede grande o suficiente para os endereços IP necessários. Use um espaço de endereço que esteja dentro dos blocos de endereço IP privado padrão.
Escolha um intervalo de endereços que não se sobreponha à sua rede local, caso você precise configurar uma conexão entre a VCN e sua rede local posteriormente.
Depois de criar a VCN, você não poderá alterar a faixa de endereços.
Ao projetar as sub-redes, considere a funcionalidade e os requisitos de segurança. Todas as instâncias de computação dentro da mesma camada ou atribuição devem ir para a mesma sub-rede, que pode ser um limite de segurança.
- Listas de segurança
Use listas de segurança para definir regras de entrada e saída que se aplicam a toda a sub-rede.
No CPE, defina o conjunto correto de permissões de acesso. As permissões podem ter um nome diferente no CPE, como, por exemplo, lista de acesso.
- CPE
Alguns CPEs têm requisitos específicos para que alguns recursos funcionem, como roteamento baseado em política (em firewalls CheckPoint e Cisco ASA). Verifique se a versão do software do CPE atende a esses requisitos.
Considerações
- Custo
VCNs, sub-redes, DRGs, listas de segurança e tabelas de roteamento não têm custo adicional. A VM (máquina virtual) de teste na implantação é definida para usar a forma de Camada Livre. Se você usar as instâncias de Camada Livre, defina a VM de teste como instâncias de forma regular.
- Segurança
A lista de segurança padrão possui a porta SSH aberta em 0.0.0.0/0. Ajuste a lista de segurança para corresponder apenas aos hosts e redes que devem ter acesso SSH à sua infraestrutura.
Esta implantação coloca todos os componentes no mesmo compartimento.
A sub-rede implantada é pública para permitir o acesso à instância de teste da internet até que a VPN esteja funcionando. Se as VMs não fornecerem nenhum serviço público, considere remover recursos ou até a sub-rede pública inteira.
- Escalabilidade
Cada tenancy tem um limite de cinco DRGs.
Cada região pode ter quatro conexões VPN.
- Desempenho
Cada conexão pode atingir 250 Mbps.
O throughput máximo do DRG é de 10 Gbps.
Como as conexões de VPN usam linhas públicas da Internet, os atores externos podem afetar o desempenho nessas linhas.
- Disponibilidade e redundância
DRGs são redundantes e sofrem failover automaticamente.
Cada conexão pode ter diversos túneis.
Considere o uso de vários links da Internet de diferentes provedores em ambientes de produção.
- Usabilidade
Esta implantação lhe fornece todos os componentes mostrados no diagrama. Informe o endereço IP público do CPE.
A VM incluída demonstra e testa a conectividade básica.