1. 配置租户之间的跨区域专用连接
  2. 配置期限之间的跨区域专用连接

配置期限之间的跨区域专用连接

出于业务和技术原因,您可能需要在云中的虚拟网络之间启用专用连接,并确保网络之间的通信永远不会遍历公共互联网。例如,您可能需要租户内两个区域的网络之间的专用连接,或者租户中的网络与合作组织的租户之间的专用连接。

Oracle Cloud Infrastructure 支持两个网络插入模型:

  • 本地 VCN 对等连接

    通过使用本地对等网关 (LPG),可以对区域内的虚拟云网络 (Virtual Cloud Network, VCN) 进行对等处理。附加到此类对等 VCN 的资源可以通过使用专用 IP 地址进行通信,而无需通过公共互联网路由通信。VCN 可以位于同一租户或不同租户中。

  • 远程 VCN 对等连接

    不同区域的 VCN 可以使用专用 IP 地址进行通信,而无需通过公共互联网路由通信。通过在连接到对等关系中的 VCN 的每个动态路由网关 (DRG) 上配置远程对等连接 (RPC),可以在不同区域中的两个 VCN 之间设置对等连接。远程 VCN 对等连接通常用于在同一租户中跨区域连接两个 VCN。在某些情况下,您可能需要跨区域连接两个不同租户中的 VCN。

体系结构

在此体系结构中,在两个租户之间和两个区域之间配置专用网络连接。

后面是 xregion-private nnectivity-oci.png 的说明
插图 xregion-private-connectivity-oci.png 的说明

体系结构包含以下组件:

  • 租户

    租户是 Oracle 在注册 Oracle Cloud Infrastructure 时在 Oracle Cloud 中设置的安全和隔离分区。您可以在租户内的 Oracle Cloud 中创建、组织和管理资源。

    此架构有两个租户,一个用于公司 A,另一个用于公司 B。

  • 区域

    Oracle Cloud Infrastructure 区域是一个本地化地理区域,包含一个或多个数据中心,称为可用性域。区域独立于其他区域,其距离很大(跨越国家或甚至大陆)可以分开。

    这个架构有两个区域。A 公司在美国东部(阿什本)的单个区域拥有云资源。B 公司的资源分布在两个地区:美国东部(阿什本)和印度西部(孟买)。

  • 虚拟云网络 (VCN)

    VCN 是在 Oracle Cloud Infrastructure 区域中设置的可自定义的专用网络。与传统的数据中心网络一样,VCN 为您提供了对网络环境的完全控制。您可以将 VCN 细分为子网,子网可以被限定为区域或可用性域。区域子网和可用性域特定的子网可以在同一 VCN 中共存。子网可以是公共的或专用的。

    在此体系结构中,A 公司在美国东部(阿什本)区域具有 VCN 10.0.0.0/16。B 公司有两个 VCN,每个 VCN 位于不同的区域:美国东部(阿什本)的 VCN B 172.16.0/16 和印度西部(孟买)的 VCN C 192.168.0.0/16。请注意,此对等体系结构中的每个 VCN 都有唯一的 CIDR 前缀。

  • 动态路由网关 (DRG)

    DRG 是一个虚拟路由器,它为 VCN 与区域之外的网络(例如另一 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或其他云提供商中的网络)之间的专用网络通信提供了路径。

    在此体系结构中,Ashburn 中的 VCN B 和 Mumbai 中的 VCN C 使用 DRG 远程对等。

  • 本地对等网关 (LPG)

    LPG 允许您将一个 VCN 与同一区域中的另一个 VCN 对等。对等是指 VCN 使用专用 IP 地址进行通信,而不是流量通过 Internet 或通过内部部署网络进行路由。

    在此体系结构中,VCN A 和 VCN B(都位于 Ashburn 区域内)使用 LPG 在本地对等。

  • 路由表

    虚拟路由表包含用于将流量从子网路由到 VCN 外部的目标的规则,通常是通过网关路由。

    此体系结构包括直接跨 VCN 通信的路由表。
    • VCN A 具有通过 LPG 将流量定向到 VCN B 和 C 的路由规则。
    • VCN B 具有路由规则,可以通过 LPG 将通信定向到 VCN A,并通过 DRG 将通信定向到 VCN C。
    • VCN C 具有通过 DRG 将流量定向到 VCN A 和 C 的路由规则。

建议

使用以下建议案作为起点。您的要求可能与此处描述的体系结构不同。

  • 身份和访问管理 (IAM)

    您可以将 IAM 策略配置为只允许特定组中的用户启动从请求者区间(公司 A 区间)中的任何 LPG 到特定租户的连接。将策略附加到请求者的租户(即 root 区间),而不附加到请求者的区间。

  • VCN

    创建 VCN 时,确定每个子网中需要多少 IP 地址您的云资源。使用无类域间路由 (Classless Inter-Domain Routing, CIDR) 表示法,指定足够大于所需 IP 地址的子网掩码和网络地址范围。使用标准专用 IP 地址空间内的地址范围。

    选择不与您要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure、内部部署数据中心或其他云提供商中)重叠的地址范围。

  • 安全性规则

    要控制网络通信,可以使用安全列表或网络安全组 (NSG)。在安全列表中指定的规则适用于您将安全列表附加到的子网中的所有 VNIC。如果需要在更细粒度的级别使用防火墙,请使用网络安全组 (Network Security Group, NSG)。NSG 中的规则仅适用于您指定的 VNIC。Oracle 建议您使用 NSG,因为它们允许您将子网体系结构与工作量的安全要求分开。

考虑事项

在实施此体系结构时,请考虑以下因素:

  • 可扩展性

    考虑租户的 VCN 和子网的服务限制。如果需要更多网络,请请求增加限制。

  • 安全性

    使用适当的安全机制保护拓扑。

    在使用提供的 Terraform 代码部署的体系结构中,VCN 的默认安全列表仅允许来自 0.0.0.0/0 和 ICMP 的 SSH 流量来自两个租户。调整安全列表,以便仅允许应具有 SSH 访问权限(或访问其他必需的服务端口)的主机和网络访问基础结构。

  • 性能

    在区域内,VCN 数不影响性能。在不同区域对等 VCN 时,请考虑延迟。

部署

GitHub 中提供了用于部署此体系结构的 Terraform 代码。

  1. 转到 GitHub
  2. 将资料档案库克隆或下载到本地计算机。
  3. 按照 README 文档中的说明操作。

了解更多信息

更改日志

此日志列出了重大更改: