使用動態路由閘道設定樞紐網路拓樸
暫時稱為恆星網路的集線器網路,具有一個連接到其周圍多個網路的中央元件。在傳統企業內部部署資料中心設定此拓樸會相當昂貴。但在雲端則是沒有額外費用。
動態路由閘道 (DRG) 是一個虛擬路由器,可為虛擬雲端網路 (VCN) 與區域外網路之間的專用網路流量提供路徑,例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、企業內部部署網路,或其他雲端提供者的網路。
DRG 可以連線至多個 VCN,讓您彈性地設計雲端網路。
- 隔離不同客戶的工作負載,例如 ISV 的訂閱者
- 提供從中央網路共用的 IT 服務,例如日誌伺服器、DNS 以及檔案共用
- 透過 FastConnect 合作夥伴,將 Oracle Cloud Infrastructure 連線延伸到多重雲端環境
- 設定不同的開發與生產環境
- 區隔環境以符合規範需求,例如 PCI 和 HIPAA
架構
動態路由閘道 (DRG) 可讓您最多連線至 300 個虛擬雲端網路,不僅可簡化整體架構,還具備安全清單和路由表組態,以及透過 DRG 宣告 OCID 的安全原則管理。
在此架構中,動態路由閘道會連線至多個 VCN。每個 VCN 中都有範例子網路和 VM。DRG 的路由表可指定將流量導向至 VCN 外部目標的規則。DRG 可啟用與企業內部部署網路的專用連線,透過 Oracle Cloud Infrastructure FastConnect、站對站 VPN 或兩者進行導入。DRG 也可讓您使用 FastConnect 合作夥伴連線至多個雲端環境。
下圖說明此參考架構。
架構包含下列元件:
- 內部部署網路
此網路是您組織使用的區域網路。它是拓樸的其中一個網幅。
- 雲端
雲端運算透過網際網路提供運算基礎架構和服務,例如伺服器、虛擬機器、安全、儲存、資料庫、網路、分析、應用程式等等。雲端運算可讓提供者管理及維護基礎架構和服務。您通常只需要依據使用的資源付費,您可以隨著需求變更來調整資源規模。
- 區域
Oracle Cloud Infrastructure 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關,而且大型距離可以區隔 (跨國家或甚至洲)。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可客製化的軟體定義網路。與傳統資料中心網路一樣,VCN 可讓您完整控制您的網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更這些區塊。您可以將 VCN 區段成子網路,可以將範圍擴展到區域或可用性網域。每個子網路都包含一個連續的位址範圍,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。
- 安全清單
您可以為每個子網路建立安全規則,以指定子網路中必須允許的來源、目的地以及流量類型。
- 網路安全群組 (NSG)
NSG 可作為您雲端資源的虛擬防火牆。使用 Oracle Cloud Infrastructure 的零軌跡安全模型時,所有流量都會被拒絕,您可以控制 VCN 內的網路流量。NSG 包含一組傳入和傳出安全規則,僅適用於單一 VCN 中的一組指定 VNIC。
- 路由表
虛擬路由表包含將流量從子網路路由至 VCN 外部之目的地的規則,通常會透過閘道。
- 動態路由閘道 (DRG)
DRG 是一個虛擬路由器,可提供 VCN 與區域外部網路 (例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、內部部署網路或另一個雲端提供者中的網路) 之間的專用網路流量路徑。
- 防禦主機
防禦主機是一個運算執行處理,可作為雲端外部拓樸的安全、受控制的進入點。防禦主機通常是在非軍事區域 (DMZ) 中啟動設定。它可讓您將機密資源放在無法直接從雲端存取的專用網路中,以保護機密資源。拓樸有一個您可以定期監督及稽核的單一已知進入點。因此,您可以避免暴露拓樸的更敏感元件,而不會暴露它們的存取權。
- 網站至網站 VPN
Oracle Cloud Infrastructure 中企業內部部署網路與 VCN 之間,提供 IPSec VPN 連線。IPSec 協定套件會先加密 IP 流量,再將封包從來源傳輸到目的地,並在封包抵達時解密流量。
- FastConnect
Oracle Cloud Infrastructure FastConnect 可讓您輕鬆建立資料中心與 Oracle Cloud Infrastructure 之間的專用專用連線。與網際網路連線相比,FastConnect 提供較高寬度的選項和更可靠的網路體驗。
推薦
- VCN
建立 VCN 時,請根據計畫連附至 VCN 中子網路的資源數目,判斷所需的 CIDR 區塊數目和各個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與想要設定專用連線之任何其他網路 (在 Oracle Cloud Infrastructure 中、您的內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
設計子網路時,請考量您的流量和安全需求。將特定層或角色內的所有資源連附至可作為安全界限的相同子網路。
- 安全清單
您可以使用安全清單來定義套用至整個子網路的傳入和傳出規則。
- 安全性
使用 Oracle Cloud Guard 主動監督及維護您在 Oracle Cloud Infrastructure 中的資源安全。「雲端保全」使用可定義的偵測器方法來檢查安全弱點的資源,以及監督操作員和使用者是否有風險活動。偵測到任何組態錯誤或不安全的活動時,雲端保全會建議更正動作,並根據您可以定義的回應器方法來協助採取這些動作。
對於需要最高安全性的資源,Oracle 建議您使用安全區域。安全區域是與以最佳做法為基礎之 Oracle 定義的安全原則方法關聯的區間。例如,安全區域中的資源不得從公用網際網路存取,且必須使用客戶管理的金鑰加密。當您在安全區域中建立及更新資源時,Oracle Cloud Infrastructure 會根據 security-zone 處方中的原則驗證作業,並拒絕違反任何原則的作業。
考量
部署此參照架構時,請注意下列幾點。
- 效能
在區域中,效能不會受到 VCN 數目的影響。當您對等不同區域中的 VCN 時,請考慮延遲。當您使用透過 VPN 連線或 FastConnect 連線的網幅時,連線的處理量是額外的處理站。如果需要極致效能,請使用本地對等互連,而不需要透過 DRG。
- 安全性使用適當的安全機制來保護拓樸。您使用提供的 Terraform 程式碼建置的拓樸包含下列安全特性:
- Hub VCN 的預設安全清單允許來自 0.0.0.0/0 的 SSH 流量。調整安全清單,只允許應具有基礎架構 SSH 存取權 (或任何其他必要的服務連接埠) 的主機和網路。
- 此部署會將所有元件置於相同的區間中。
- 無法從網際網路存取網幅 VCN。
- 使用狀態和冗餘
除了執行處理之外,其餘元件不需要冗餘。VPN Connect 和 FastConnect 元件是多餘的。如需進一步的冗餘,最好使用來自不同提供者的多個連線。
- 成本
此架構中具有成本的唯一元件是運算執行處理和 FastConnect (連接埠時數和提供者收費)。如果連線不同區域中的 VCN,則會收取區域之間的流量。其他元件沒有相關聯的成本。
- 管理
遞送管理已簡化,因為大部分的遞送都會位於 DRG。使用 DRG 作為集線器,可以有 300 個附件 (使用 LPG,集線器 VCN 只能連線至 10 個 VCN)。
建置
GitHub 中提供此參照架構的 Terraform 程式碼。只要按一下即可將程式碼提取至 Oracle Cloud Infrastructure Resource Manager,然後建立堆疊並加以部署。或者,您也可以使用 Terraform CLI,從 GitHub 下載程式碼到您的電腦、自訂程式碼以及建置架構。
注意:
Terraform 程式碼包含架構圖表中顯示的大部分元件。代碼中不包括服務 VM、工作負載 VM、VPN 連線以及 FastConnect (雖然它們顯示在圖表中)。- 使用 Oracle Cloud Infrastructure Resource Manager 進行部署:
- 按一下
如果您尚未登入,請輸入租用戶和使用者證明資料。
- 複查並接受條款與條件。
- 選取要建置堆疊的區域。
- 依照畫面上的提示和指示建立堆疊。
- 建立堆疊之後,請按一下 Terraform 動作,然後選取計畫。
- 等待工作完成,然後複查計畫。
若要進行任何變更,請返回「堆疊詳細資訊」頁面,按一下編輯堆疊,然後進行必要的變更。然後,再次執行「計畫」動作。
- 如果不需要進一步的變更,請返回「堆疊詳細資訊」頁面,按一下 Terraform 動作,然後選取套用。
- 按一下
- 使用 Terraform CLI 部署:
- 前往 GitHub。
- 將儲存區域複製或下載到您的本機電腦。
- 依照
README文件中的指示進行。