1. 設定用戶之間的跨區域專用連線
  2. 設定用戶之間的跨區域專用連線

設定用戶之間的跨區域專用連線

基於業務和技術上的理由,您可能需要在雲端的虛擬網路之間啟用專用連線,並確保網路之間的流量絕對不會周遊公用網際網路。例如,您可能需要在租用戶內兩個區域中的網路之間,或在租用戶的網路與合作組織租用戶的網路之間進行專用連線。

Oracle Cloud Infrastructure 支援兩種網路工作平台:

  • 本機 VCN 對等互連

    您可以使用本機對等互連閘道 (LPG) 對等互連區域內的虛擬雲端網路 (VCN)。連附至此類對等互連 VCN 的資源可以使用專用 IP 位址進行通訊,而不需要透過公用網際網路遞送流量。VCN 可以位於相同的租用戶或不同的租用戶。

  • 遠端 VCN 對等互連

    不同區域中的 VCN 可以使用專用 IP 位址進行通訊,而不需要透過公用網際網路遞送流量。您可以在連附至對等互連關係中 VCN 的每個動態路由閘道 (DRG) 上設定遠端對等互連連線 (RPC),以設定不同區域中兩個 VCN 之間的對等互連。遠端 VCN 對等互連通常用於在相同租用戶的區域之間連線兩個 VCN。在某些情況下,您可能需要跨區域連接兩個不同用戶中的 VCN。

架構

在此架構中,專用網路連線是在兩個租用戶之間以及跨兩個區域進行設定。

xregion-private-connectivity-oci.png 的描述請參見下方
xregion-private-connectivity-oci.png 圖解描述

架構包含下列元件:

  • 租用戶

    租用戶是 Oracle 在您註冊 Oracle Cloud Infrastructure 時,於 Oracle Cloud 內設定的安全且隔離的分割區。您可以在租用戶內的 Oracle Cloud 中建立、組織及管理您的資源。

    此架構有兩個租用戶,一個用戶用於 A 公司,另一個用戶用於 B 公司。

  • 區域

    Oracle Cloud Infrastructure 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關,而且大型距離可以區隔 (跨國家或甚至洲)。

    此架構有兩個區域。A 公司的雲端資源位於美國東部 (阿什本) 單一區域。公司 B 的資源分佈在兩個區域:美國東部 (阿什本) 和印度西部 (孟買)。

  • 虛擬雲端網路 (VCN)

    VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂專用網路。VCN 就像傳統資料中心網路一樣,可讓您完全控制網路環境。您可以將 VCN 區隔為子網路,子網路範圍可為某個區域或可用性網域。區域子網路和可用性網域特定子網路可以共存於相同的 VCN 中。子網路可以是公用或專用。

    在此架構中,A 公司的美國東部 (阿什本) 區域有 VCN 10.0.0.0/16。「公司 B」有兩個 VCN,分別位於不同的區域:VCN B 172.16.0.0/16 (美國東部) 和 VCN C 192.168.0.0/16 (印度西部)。請注意,此對等互連架構中的每個 VCN 都有唯一的 CIDR 前置碼。

  • 動態路由閘道 (DRG)

    DRG 是一個虛擬路由器,可提供 VCN 與區域外部網路 (例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、內部部署網路或另一個雲端提供者中的網路) 之間的專用網路流量路徑。

    在此架構中,阿什本 VCN B 和孟買 VCN C 使用 DRG 進行遠端對等互連。

  • 本地對等互連閘道 (LPG)

    LPG 可讓您將一個 VCN 與同一區域中的另一個 VCN 對等。對等互連表示 VCN 使用專用 IP 位址進行通訊,而不需要透過內部部署網路周遊網際網路或路由。

    在此架構中,VCN A 和 VCN B (在阿什本區域內) 是使用 LPG 在本機對等互連。

  • 路由表

    虛擬路由表包含將流量從子網路路由至 VCN 外部之目的地的規則,通常會透過閘道。

    此架構包括跨 VCN 導向流量的路由表。
    • VCN A 具有路由規則,可透過 LPG 將流量導向 VCN B 和 C。
    • VCN B 具有路由規則,可透過 LPG 將流量導向至 VCN A,以及透過 DRG 導向至 VCN C。
    • VCN C 具有路由規則,可透過 DRG 將流量導向 VCN A 和 C。

推薦

使用下列建議作為起點。您的需求可能會與此處描述的架構不同。

  • 身分識別與存取管理 (IAM)

    您可以設定 IAM 原則,讓特定群組中的使用者只能起始從要求者區間 (A 公司區間) 中任何 LPG 連線至特定租用戶的連線。將原則附加至要求者的租用戶 (亦即 root 區間),而不是要求者的區間。

  • VCN

    建立 VCN 時,請判斷每個子網路中的雲端資源需要多少 IP 位址。使用「無類別網域間路由 (CIDR)」表示法,指定足以容納所需 IP 位址的子網路遮罩和網路位址範圍。請使用標準專用 IP 位址空間內的位址範圍。

    選取未與您想要設定專用連線的任何其他網路 (在 Oracle Cloud Infrastructure、內部部署資料中心或其他雲端提供者中) 重疊的位址範圍。

  • 安全性規則

    若要控制網路流量,您可以使用安全清單或網路安全群組 (NSG)。您在安全清單中指定的規則會套用至您連附安全清單之子網路中的所有 VNIC。如果您需要更精細層次的防火牆,請使用網路安全群組 (NSG)。NSG 中的規則僅適用於您指定的 VNIC。Oracle 建議您使用 NSG,因為它們可讓您區隔子網路架構與工作負載的安全需求。

考量

實行此架構時,請考慮下列因素:

  • 擴展性

    請考量您租用戶之 VCN 和子網路的服務限額。如果需要更多網路,請要求提高限制。

  • 安全性

    使用適當的安全機制保護拓樸。

    在您使用提供的 Terraform 程式碼建置的架構中,VCN 的預設安全清單只允許來自 0.0.0.0/0 和 ICMP 的 SSH 流量。調整安全清單,只允許應具有基礎架構 SSH 存取 (或存取其他必要服務連接埠) 的主機和網路。

  • 效能

    在區域中,VCN 的數目不會影響效能。當您對等不同區域中的 VCN 時,請考慮延遲。

建置

GitHub 中提供部署此架構的 Terraform 程式碼。

  1. 前往 GitHub
  2. 將儲存區域複製或下載到您的本機電腦。
  3. 依照 README 文件中的指示進行。

探索更多

變更日誌

此日誌會列出重大變更: