使用动态路由网关设置中心网络拓扑
集线器和调用网络(通常称为星形网络)有一个中心组件,它连接到周围的多个网络。在传统内部部署数据中心设置此拓扑可能非常昂贵。但在云端,不会产生额外成本。
动态路由网关 (dynamic routing gateway,DRG) 是一个虚拟路由器,提供虚拟云网络 (virtual cloud network,VCN) 与区域之外的网络之间的专用网络通信路径,例如另一个 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或来自其他云提供商的网络。
DRG 可以连接到多个 VCN,从而增加了设计云网络的灵活性。
- 隔离不同客户的工作负载,例如 ISV 的订户
- 从中央网络提供共享 IT 服务,例如日志服务器、DNS 和文件共享
- 使用 FastConnect 合作伙伴将 Oracle Cloud Infrastructure 连接扩展到多云环境
- 设置单独的开发和生产环境
- 隔离环境以满足合规性要求,例如 PCI 和 HIPAA
体系结构
通过动态路由网关 (dynamic routing gateway,DRG),可以连接多达 300 个虚拟云网络,帮助不仅简化整体架构,还简化安全列表和路由表配置,还可以通过 DRG 广告 OCID 管理安全策略。
在此体系结构中,动态路由网关连接到多个 VCN。每个 VCN 中都有示例子网和 VM。DRG 的路由表指定将流量定向到 VCN 之外的目标的规则。DRG 支持与内部部署网络建立专用连接。您可以使用 Oracle Cloud Infrastructure FastConnect、站点到站点 VPN 或两者实现。通过 DRG,您还可以使用 FastConnect 合作伙伴连接到多个云环境。
下图说明了此引用体系结构。
体系结构具有以下组成部分:
- 内部部署网络
此网络是您的组织使用的本地网络。它是拓扑的发言者之一。
- 云
云计算通过互联网提供计算基础设施和服务,例如服务器、虚拟机、安全性、存储、数据库、网络、分析、应用等。通过云计算,提供商可以管理和维护基础设施和服务。通常只需要为您使用的资源付费,并且随着需求的变化可以扩展资源。
- 区域
Oracle Cloud Infrastructure 区域是一个本地化地理区域,包含一个或多个数据中心,称为可用性域。区域独立于其他区域,它们之间的巨大距离可以分开(跨越国家或甚至大陆)。
- 虚拟云网络 (VCN) 和子网
VCN 是可在 Oracle Cloud Infrastructure 区域中设置的可定制的软件定义网络。与传统的数据中心网络一样,VCN 允许您完全控制您的网络环境。VCN 可以具有多个不可重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 分段到子网,这些子网可以限定到区域或可用性域。每个子网包含一个连续的地址范围,这些地址与 VCN 中的其他子网不重叠。您可以在创建子网后更改其大小。子网可以是公共子网,也可以是专用子网。
- 安全列表
对于每个子网,可以创建安全规则,以指定必须允许进出子网的源、目标和流量类型。
- 网络安全组 (NSG)
NSG 充当云资源的虚拟防火墙。使用 Oracle Cloud Infrastructure 的零信任安全模型时,所有通信都将被拒绝,您可以控制 VCN 中的网络通信。NSG 包含一组入站和出站安全规则,这些规则仅适用于单个 VCN 中的一组指定 VNIC。
- 路由表
虚拟路由表包含用于将流量从子网路由到 VCN 外部的目标的规则,通常是通过网关路由。
- 动态路由网关 (DRG)
DRG 是一个虚拟路由器,它为 VCN 与区域之外的网络(例如另一 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或其他云提供商中的网络)之间的专用网络通信提供了路径。
- 底座主机
堡垒主机是一个计算实例,用作云外部拓扑的安全受控入口点。堡垒主机通常预配在非军事区 (DMZ) 中。它使您可以通过将敏感资源放置在无法直接从云外部访问的专用网络中来保护敏感资源。拓扑有一个已知的单个入口点,您可以定期监视和审计。因此,可以避免公开拓扑的更敏感的组件,而不会影响对这些组件的访问。
- 站点到站点 VPN
站点到站点 VPN 提供了内部部署网络与 Oracle Cloud Infrastructure 中的 VCN 之间的 IPSec VPN 连接。IPSec 协议套件在将数据包从源传输到目标之前加密 IP 流量,并在数据包到达时解密流量。
- FastConnect
Oracle Cloud Infrastructure FastConnect 提供了一种在数据中心和 Oracle Cloud Infrastructure 之间创建专用专用专用连接的简单方法。与基于 Internet 的连接相比,FastConnect 提供了更高的带宽选项和更可靠的网络体验。
建议
- VCN
创建 VCN 时,根据计划附加到 VCN 中子网的资源数确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。
选择不与您要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure、内部部署数据中心或其他云提供商中)重叠的 CIDR 块。
创建 VCN 后,可以更改、添加和删除其 CIDR 块。
设计子网时,请考虑流量和安全要求。将特定层或角色中的所有资源附加到可用作安全边界的同一子网。
- 安全列表
使用安全列表定义适用于整个子网的入站和出站规则。
- 安全性
使用 Oracle Cloud Guard 可以主动监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用检测器配方,您可以定义这些配方来检查资源是否存在安全弱点,以及监视操作员和用户是否有风险活动。检测到任何不正确的配置或不安全的活动时,Cloud Guard 会根据您可以定义的响应方配方建议更正操作并协助执行这些操作。
对于需要最大安全性的资源,Oracle 建议您使用安全区域。安全区域是与基于最佳做法的 Oracle 定义的安全策略配方关联的区间。例如,安全区中的资源不能从公共 Internet 访问,并且必须使用客户管理的密钥对其进行加密。在安全区域中创建和更新资源时,Oracle Cloud Infrastructure 将根据安全区域配方中的策略验证操作,并拒绝违反任何策略的操作。
考虑事项
部署此引用体系结构时,请考虑以下几点。
- 性能
在区域内,性能不受 VCN 数量的影响。在不同区域对等 VCN 时,请考虑延迟。使用通过 VPN Connect 或 FastConnect 连接的扬声器时,连接的吞吐量是一个额外的工厂。如果需要极端性能,请使用本地对等连接而不是穿过 DRG。
- 安全性使用适当的安全机制来保护拓扑。使用提供的 Terraform 代码部署的拓扑包含以下安全特性:
- 集线器 VCN 的默认安全列表允许来自 0.0.0.0/0 的 SSH 通信。调整安全列表,以便仅允许应具有 SSH 访问权限的主机和网络(或需要的任何其他服务端口)访问您的基础结构。
- 此部署将所有组件放置在同一区间中。
- 无法从 Internet 访问 Spoke VCN。
- 可用性和冗余性
除实例外,剩余组件没有冗余要求。VPN Connect 和 FastConnect 组件是冗余组件。要获得更多冗余,请使用多个连接,最好是来自不同提供者的连接。
- 成本
此体系结构中唯一具有成本的组件是计算实例和 FastConnect(端口小时数和提供程序费用)。如果连接了不同区域中的 VCN,则会向各区域之间的通信收费。其他组件没有关联的成本。
- 管理
路由管理简化,因为大多数路由都位于 DRG。使用 DRG 作为集线器,可能有 300 个附件(使用 LPG,集线器 VCN 只能连接到 10 个 VCN)。
部署
GitHub 中提供了此引用体系结构的 Terraform 代码。单击一次即可将代码拉入 Oracle Cloud Infrastructure Resource Manager,创建堆栈并部署该堆栈。或者,您可以使用 Terraform CLI 将代码从 GitHub 下载到计算机、定制代码和部署体系结构。
注意:
Terraform 代码包括体系结构图中显示的大多数组件。服务 VM、工作量 VM、VPN 连接和 FastConnect 不包括在代码中,尽管它们显示在图表中。- 使用 Oracle Cloud Infrastructure Resource Manager 进行部署:
- 单击
如果尚未登录,请输入租户和用户身份证明。
- 复查并接受条款和条件。
- 选择要在其中部署堆栈的区域。
- 按照屏幕上的提示和说明创建堆栈。
- 创建堆栈后,单击 Terraform 操作,然后选择计划。
- 等待作业完成,然后复查计划。
要进行任何更改,请返回“堆栈详细信息”页,单击编辑堆栈,然后进行所需的更改。然后,再次运行计划操作。
- 如果不需要进一步更改,请返回“堆栈详细信息”页,单击 Terraform 操作,然后选择应用。
- 单击
- 使用 Terraform CLI 进行部署:
- 转到 GitHub。
- 将资料档案库克隆或下载到本地计算机。
- 按照
README文档中的说明操作。