Configurar uma Topologia de Rede Hub e Spoke Usando LPGs (Local Peering Gateways)

Uma rede hub-and-spoke, também chamada de rede estrela, tem um componente central que está conectado a várias redes ao seu redor. A topologia geral se assemelha a uma roda, com um cubo central conectado a pontos ao longo da borda da roda através de vários raios. A configuração dessa topologia no data center on-premises tradicional pode ser cara. Mas na nuvem, não há custo extra.

Use a arquitetura hub-and-spoke para criar soluções de rede criativas e poderosas na nuvem para os seguintes casos de uso comuns:
  • Configuração de ambientes separados de desenvolvimento e produção.

  • Isolar as cargas de trabalho de diferentes clientes, como os assinantes de um fornecedor de software independente (ISV) ou clientes de um provedor de serviços gerenciados.

  • Segregação de ambientes para atender aos requisitos de conformidade, como requisitos do setor de cartões de pagamento (PCI) e do Health Insurance Portability and Accountability Act (HIPAA).

  • Fornecimento de serviços de tecnologia da informação compartilhada, como servidor de log, sistema de nomes de domínio (DNS) e compartilhamento de arquivos de uma rede central.

Arquitetura

Essa arquitetura de referência mostra uma região do Oracle Cloud Infrastructure com uma VCN (rede virtual na nuvem) hub conectada a duas VCNs spoke. Cada VCN spoke é pareada com a VCN hub usando um par de LPGs (Local Peering Gateways).

A arquitetura mostra alguns exemplos de sub-redes e VMs (máquina virtual). As listas de segurança são usadas para controlar o tráfego de rede de/para cada sub-rede. Cada sub-rede tem uma tabela de roteamento que contém regras para direcionar o tráfego vinculado a destinos fora da VCN.

A VCN hub tem um gateway de internet para tráfego de rede de/para a internet pública. Ele também tem um gateway de roteamento dinâmico (DRG) para ativar a conectividade privada com sua rede local, que você pode implementar usando o Oracle Cloud Infrastructure FastConnect, a VPN Site a Site ou ambos.

Você pode usar o Oracle Cloud Infrastructure Bastion ou um Bastion host para fornecer acesso seguro aos seus recursos. Essa arquitetura usa o OCI Bastion.

O diagrama a seguir ilustra a arquitetura de referência.



hub-and-spoke-oci.zip

A arquitetura tem os seguintes componentes:
  • Rede on-premises

    Essa rede é a rede local usada pela sua organização. É um dos raios da topologia.

  • Região da OCI

    Uma região do OCI é uma área geográfica localizada que contém um ou mais data centers, hospedando domínios de disponibilidade. Regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou mesmo continentes).

  • Rede e sub-rede virtual na nuvem da OCI

    VCN (rede virtual na nuvem) é uma rede personalizável definida por software que você configura em uma região do OCI. Assim como as redes tradicionais do data center, as VCNs dão a você controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos de CIDR (Classless Inter-domain Routing) não sobrepostos que você pode alterar após criar a VCN. Você pode segmentar uma VCN em sub-redes, com escopo definido para uma região ou para um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não se sobrepõem a outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.

  • Lista de segurança

    Para cada sub-rede, você pode criar regras de segurança que especifiquem a origem, o destino e o tipo de tráfego permitido dentro e fora da sub-rede.

  • Tabela de roteamento

    As tabelas de roteamento virtual contêm regras para rotear o tráfego de sub-redes para destinos fora de uma VCN, geralmente por meio de gateways.

  • Gateway de roteamento dinâmico (DRG)

    O DRG é um roteador virtual que fornece um caminho para tráfego de rede privada entre VCNs na mesma região, entre uma VCN e uma rede fora da região, como uma VCN em outra região do OCI, uma rede on-premises ou uma rede em outro provedor de nuvem.

  • OCI Bastion

    O Oracle Cloud Infrastructure Bastion fornece acesso seguro restrito e por tempo limitado a recursos que não têm pontos finais públicos e que exigem controles rigorosos de acesso a recursos, como bare metal e máquinas virtuais, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) e qualquer outro recurso que permita o acesso ao SSH (Secure Shell Protocol). Com o serviço OCI Bastion, você pode ativar o acesso a hosts privados sem implantar e manter um jump host. Além disso, você obtém uma postura de segurança aprimorada com permissões baseadas em identidade e uma sessão SSH centralizada, auditada e com limite de tempo. O OCI Bastion elimina a necessidade de um IP público para acesso ao bastion, eliminando o incômodo e a potencial superfície de ataque ao fornecer acesso remoto.

  • Host do bastion

    O bastion host é uma instância de computação que atua como um ponto de entrada seguro, controlado para a topologia de fora da nuvem. O bastion host geralmente é provisionado em uma zona desmilitarizada (DMZ). Ele permite proteger recursos confidenciais colocando-os em redes privadas que não podem ser acessadas diretamente de fora da nuvem. A topologia tem um único ponto de entrada conhecido que você pode monitorar e auditar regularmente. Desse modo, você pode evitar expor os componentes mais confidenciais da topologia sem comprometer o acesso a eles.

  • LPG (Local Peering Group)

    Um LPG fornece pareamento entre VCNs na mesma região. Pareamento significa que as VCNs se comunicam usando endereços IP privados, sem que o tráfego atravesse a internet ou seja roteado por meio da sua rede local.

  • VPN Site a Site do OCI

    A VPN Site a Site do OCI fornece conectividade IPSec VPN entre sua rede local e VCNs no OCI. O conjunto de protocolos IPSec criptografa o tráfego IP antes que os pacotes sejam transferidos da origem para o destino e decriptografa o tráfego quando ele chegar.

  • OCI FastConnect

    O Oracle Cloud Infrastructure FastConnect cria uma conexão privada dedicada entre seu data center e a OCI. FastConnect fornece opções da largura de banda maior e uma experiência mais segura da rede quando comparada com conexões Internet-based.

Recomendações

Seus requisitos podem ser diferentes da arquitetura descrita aqui. Use as recomendações a seguir como ponto de partida.

  • VCNs

    Ao criar uma VCN, determine o número de blocos CIDR necessários e o tamanho de cada bloco com base no número de recursos que você planeja anexar às sub-redes na VCN. Use blocos CIDR que estejam dentro do espaço de endereço IP privado padrão.

    Selecione blocos CIDR que não se sobreponham a qualquer outra rede (no Oracle Cloud Infrastructure, seu data center on-premises ou outro provedor de nuvem) para a qual você pretende configurar conexões privadas.

    Depois de criar uma VCN, você poderá alterar, adicionar e remover seus blocos CIDR.

    Ao projetar as sub-redes, considere o fluxo de tráfego e os requisitos de segurança. Anexe todos os recursos dentro de uma camada ou atribuição específica à mesma sub-rede, que pode servir como um limite de segurança.

    Usar sub-redes regionais.

  • Listas de segurança

    Use listas de segurança para definir regras de entrada e saída que se aplicam a toda a sub-rede.

Considerações

Ao projetar uma topologia de rede hub-and-spoke na nuvem, considere os seguintes fatores:

  • Custo

    Os únicos componentes dessa arquitetura que têm um custo são as instâncias de computação e FastConnect (horas de porta e cobranças do provedor). Os outros componentes não têm custo associado.

  • Segurança

    Use mecanismos de segurança apropriados para proteger a topologia.

    A topologia que você implanta usando o código do Terraform fornecido incorpora as seguintes características de segurança:
    • A lista de segurança padrão da VCN hub permite tráfego SSH de 0.0.0.0/0. Ajuste a lista de segurança para permitir apenas os hosts e as redes que devem ter acesso SSH (ou quaisquer outras portas de serviços necessárias) à sua infraestrutura.
    • Esta implantação coloca todos os componentes no mesmo compartimento.
    • As VCNs Spoke não podem ser acessadas pela internet.
  • Escalabilidade

    Considere os limites de serviço para VCNs e sub-redes da sua tenancy. Se forem necessárias mais redes, solicite um aumento nos limites.

  • Desempenho

    Em uma região, o desempenho não é afetado pelo número de VCNs. Quando você parear VCNs em diferentes regiões, considere a latência. Quando você usa raios conectados por meio da VPN Site a Site do OCI ou do OCI FastConnect, o throughput da conexão é um fator adicional.

  • Disponibilidade e redundância

    Com exceção das instâncias, os componentes restantes não têm requisitos de redundância.

    Os componentes VPN Site a Site do OCI e OCI FastConnect são redundantes. Para maior redundância, use várias conexões, de preferência de diferentes provedores.

Implante

O código do Terraform para essa arquitetura de referência está disponível em GitHub. Você pode extrair o código para o Oracle Cloud Infrastructure Resource Manager com um único clique, criar a pilha e implantá-la. Como alternativa, você pode fazer download do código do GitHub para o seu computador, personalizar o código e implantar a arquitetura usando a CLI do Terraform.

Observação:

O código do Terraform inclui a maioria dos componentes mostrados no diagrama de arquitetura, incluindo uma VM para bastion host. A VM de serviço, a VM de carga de trabalho, a VPN Site a Site do OCI, o OCI FastConnect e o OCI Bastion não estão incluídos no código, embora sejam mostrados no diagrama.
  • Implante usando o Oracle Cloud Infrastructure Resource Manager:
    1. Clique Implantar para o Oracle Cloud

      Se você ainda não tiver acessado, informe as credenciais da tenancy e do usuário.

    2. Analise e aceite os termos e condições.
    3. Selecione a região em que deseja implantar a pilha
    4. Siga os prompts na tela e as instruções para criar a pilha.
    5. Após criar a pilha, clique em Ações do Terraform e selecione Planejar.
    6. Aguarde a conclusão do job e revise o plano.

      Para fazer qualquer alteração, retorne à página Detalhes da Pilha, clique em Editar Pilha e faça as alterações necessárias. Em seguida, execute a ação Planejar novamente.

    7. Se nenhuma outra alteração for necessária, retorne à página Detalhes da Pilha, clique em Ações do Terraform e selecione Aplicar.
  • Implante usando a CLI do Terraform:
    1. Vá para GitHub.
    2. Clone ou faça download do repositório para seu computador local.
    3. Siga as instruções no documento README.

Alterar Log

Esse log lista apenas as alterações significativas: