Configurar uma Topologia de Rede Hub e Spoke Usando LPGs (Local Peering Gateways)

Uma rede hub-and-spoke, também chamada de rede estrela, tem um componente central que está conectado a várias redes ao seu redor. A topologia geral se assemelha a uma roda, com um cubo central conectado a pontos ao longo da borda da roda através de vários raios. A configuração dessa topologia no data center on-premises tradicional pode ser cara. Mas na nuvem, não há custo extra.

Use a arquitetura hub-and-spoke para criar soluções de rede criativas e poderosas na nuvem para os seguintes casos de uso comuns:

• Configuração de ambientes separados de desenvolvimento e produção.

• Isolar as cargas de trabalho de diferentes clientes, como os assinantes de um fornecedor de software independente (ISV) ou clientes de um provedor de serviços gerenciados.

• Segregação de ambientes para atender aos requisitos de conformidade, como requisitos do setor de cartões de pagamento (PCI) e do Health Insurance Portability and Accountability Act (HIPAA).

• Fornecimento de serviços de tecnologia da informação compartilhada, como servidor de log, sistema de nomes de domínio (DNS) e compartilhamento de arquivos de uma rede central.

Arquitetura

Essa arquitetura de referência mostra uma região do Oracle Cloud Infrastructure com uma VCN (rede virtual na nuvem) hub conectada a duas VCNs spoke. Cada VCN spoke é pareada com a VCN hub usando um par de LPGs (Local Peering Gateways).

A arquitetura mostra alguns exemplos de sub-redes e VMs (máquina virtual). As listas de segurança são usadas para controlar o tráfego de rede de/para cada sub-rede. Cada sub-rede tem uma tabela de roteamento que contém regras para direcionar o tráfego vinculado a destinos fora da VCN.

A VCN hub tem um gateway de internet para tráfego de rede de/para a internet pública. Ele também tem um gateway de roteamento dinâmico (DRG) para ativar a conectividade privada com sua rede local, que você pode implementar usando o Oracle Cloud Infrastructure FastConnect, a VPN Site a Site ou ambos.

Você pode usar o Oracle Cloud Infrastructure Bastion ou um Bastion host para fornecer acesso seguro aos seus recursos. Essa arquitetura usa o OCI Bastion.

O diagrama a seguir ilustra a arquitetura de referência.

Descrição da ilustração Hub-Spoke-oci.png

hub-and-spoke-oci.zip

A arquitetura tem os seguintes componentes:

• Rede on-premises

  Essa rede é a rede local usada pela sua organização. É um dos raios da topologia.

• Região da OCI

  Uma região do OCI é uma área geográfica localizada que contém um ou mais data centers, hospedando domínios de disponibilidade. Regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou mesmo continentes).

• Rede e sub-rede virtual na nuvem da OCI

  VCN (rede virtual na nuvem) é uma rede personalizável definida por software que você configura em uma região do OCI. Assim como as redes tradicionais do data center, as VCNs dão a você controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos de CIDR (Classless Inter-domain Routing) não sobrepostos que você pode alterar após criar a VCN. Você pode segmentar uma VCN em sub-redes, com escopo definido para uma região ou para um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não se sobrepõem a outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.

• Lista de segurança

  Para cada sub-rede, você pode criar regras de segurança que especifiquem a origem, o destino e o tipo de tráfego permitido dentro e fora da sub-rede.

• Tabela de roteamento

  As tabelas de roteamento virtual contêm regras para rotear o tráfego de sub-redes para destinos fora de uma VCN, geralmente por meio de gateways.

• Gateway de roteamento dinâmico (DRG)

  O DRG é um roteador virtual que fornece um caminho para tráfego de rede privada entre VCNs na mesma região, entre uma VCN e uma rede fora da região, como uma VCN em outra região do OCI, uma rede on-premises ou uma rede em outro provedor de nuvem.

• OCI Bastion

  O Oracle Cloud Infrastructure Bastion fornece acesso seguro restrito e por tempo limitado a recursos que não têm pontos finais públicos e que exigem controles rigorosos de acesso a recursos, como bare metal e máquinas virtuais, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) e qualquer outro recurso que permita o acesso ao SSH (Secure Shell Protocol). Com o serviço OCI Bastion, você pode ativar o acesso a hosts privados sem implantar e manter um jump host. Além disso, você obtém uma postura de segurança aprimorada com permissões baseadas em identidade e uma sessão SSH centralizada, auditada e com limite de tempo. O OCI Bastion elimina a necessidade de um IP público para acesso ao bastion, eliminando o incômodo e a potencial superfície de ataque ao fornecer acesso remoto.

• Host do bastion

  O bastion host é uma instância de computação que atua como um ponto de entrada seguro, controlado para a topologia de fora da nuvem. O bastion host geralmente é provisionado em uma zona desmilitarizada (DMZ). Ele permite proteger recursos confidenciais colocando-os em redes privadas que não podem ser acessadas diretamente de fora da nuvem. A topologia tem um único ponto de entrada conhecido que você pode monitorar e auditar regularmente. Desse modo, você pode evitar expor os componentes mais confidenciais da topologia sem comprometer o acesso a eles.

• LPG (Local Peering Group)

  Um LPG fornece pareamento entre VCNs na mesma região. Pareamento significa que as VCNs se comunicam usando endereços IP privados, sem que o tráfego atravesse a internet ou seja roteado por meio da sua rede local.

• VPN Site a Site do OCI

  A VPN Site a Site do OCI fornece conectividade IPSec VPN entre sua rede local e VCNs no OCI. O conjunto de protocolos IPSec criptografa o tráfego IP antes que os pacotes sejam transferidos da origem para o destino e decriptografa o tráfego quando ele chegar.

• OCI FastConnect

  O Oracle Cloud Infrastructure FastConnect cria uma conexão privada dedicada entre seu data center e a OCI. FastConnect fornece opções da largura de banda maior e uma experiência mais segura da rede quando comparada com conexões Internet-based.

Recomendações

Seus requisitos podem ser diferentes da arquitetura descrita aqui. Use as recomendações a seguir como ponto de partida.

• VCNs

  Ao criar uma VCN, determine o número de blocos CIDR necessários e o tamanho de cada bloco com base no número de recursos que você planeja anexar às sub-redes na VCN. Use blocos CIDR que estejam dentro do espaço de endereço IP privado padrão.

  Selecione blocos CIDR que não se sobreponham a qualquer outra rede (no Oracle Cloud Infrastructure, seu data center on-premises ou outro provedor de nuvem) para a qual você pretende configurar conexões privadas.

  Depois de criar uma VCN, você poderá alterar, adicionar e remover seus blocos CIDR.

  Ao projetar as sub-redes, considere o fluxo de tráfego e os requisitos de segurança. Anexe todos os recursos dentro de uma camada ou atribuição específica à mesma sub-rede, que pode servir como um limite de segurança.

  Usar sub-redes regionais.

• Listas de segurança

  Use listas de segurança para definir regras de entrada e saída que se aplicam a toda a sub-rede.

Considerações

Ao projetar uma topologia de rede hub-and-spoke na nuvem, considere os seguintes fatores:

• Custo

  Os únicos componentes dessa arquitetura que têm um custo são as instâncias de computação e FastConnect (horas de porta e cobranças do provedor). Os outros componentes não têm custo associado.

• Segurança

  Use mecanismos de segurança apropriados para proteger a topologia.

  A topologia que você implanta usando o código do Terraform fornecido incorpora as seguintes características de segurança:

  • A lista de segurança padrão da VCN hub permite tráfego SSH de 0.0.0.0/0. Ajuste a lista de segurança para permitir apenas os hosts e as redes que devem ter acesso SSH (ou quaisquer outras portas de serviços necessárias) à sua infraestrutura.
  • Esta implantação coloca todos os componentes no mesmo compartimento.
  • As VCNs Spoke não podem ser acessadas pela internet.
• Escalabilidade

  Considere os limites de serviço para VCNs e sub-redes da sua tenancy. Se forem necessárias mais redes, solicite um aumento nos limites.

• Desempenho

  Em uma região, o desempenho não é afetado pelo número de VCNs. Quando você parear VCNs em diferentes regiões, considere a latência. Quando você usa raios conectados por meio da VPN Site a Site do OCI ou do OCI FastConnect, o throughput da conexão é um fator adicional.

• Disponibilidade e redundância

  Com exceção das instâncias, os componentes restantes não têm requisitos de redundância.

  Os componentes VPN Site a Site do OCI e OCI FastConnect são redundantes. Para maior redundância, use várias conexões, de preferência de diferentes provedores.

Implante

O código do Terraform para essa arquitetura de referência está disponível em GitHub. Você pode extrair o código para o Oracle Cloud Infrastructure Resource Manager com um único clique, criar a pilha e implantá-la. Como alternativa, você pode fazer download do código do GitHub para o seu computador, personalizar o código e implantar a arquitetura usando a CLI do Terraform.

Observação:

O código do Terraform inclui a maioria dos componentes mostrados no diagrama de arquitetura, incluindo uma VM para bastion host. A VM de serviço, a VM de carga de trabalho, a VPN Site a Site do OCI, o OCI FastConnect e o OCI Bastion não estão incluídos no código, embora sejam mostrados no diagrama.

• Implante usando o Oracle Cloud Infrastructure Resource Manager:
  1. Clique

     Se você ainda não tiver acessado, informe as credenciais da tenancy e do usuário.

  2. Analise e aceite os termos e condições.
  3. Selecione a região em que deseja implantar a pilha
  4. Siga os prompts na tela e as instruções para criar a pilha.
  5. Após criar a pilha, clique em Ações do Terraform e selecione Planejar.
  6. Aguarde a conclusão do job e revise o plano.

     Para fazer qualquer alteração, retorne à página Detalhes da Pilha, clique em Editar Pilha e faça as alterações necessárias. Em seguida, execute a ação Planejar novamente.

  7. Se nenhuma outra alteração for necessária, retorne à página Detalhes da Pilha, clique em Ações do Terraform e selecione Aplicar.
• Implante usando a CLI do Terraform:
  1. Vá para GitHub.
  2. Clone ou faça download do repositório para seu computador local.
  3. Siga as instruções no documento README.

Explorar Mais

Conheça esta arquitetura e as arquiteturas relacionadas:

• Configure uma topologia de rede hub-and-spoke usando gateways de pareamento local
• Estrutura bem arquitetada para o Oracle Cloud Infrastructure
• Gerenciamento de VCNs e Sub-rede
• Pareamento de VCN Local usando LPGs (Local Peering Gateways)
• Roteamento de Trânsito dentro de uma VCN hub
• Documentação do Oracle Cloud Infrastructure
• Oracle Cloud - Estimador de Custos

Alterar Log

Esse log lista apenas as alterações significativas:

28 de agosto de 2025	Destaque o uso do Oracle Cloud Infrastructure Bastion em vez do host do Bastion.
Março de 10, 2022	Adicionada a opção de download de versões editáveis (.SVG e .DRAWIO) do diagrama de arquitetura.
Julho 31, 2021	Alterou o título para incluir o tipo de gateway para ajudar a diferenciar a arquitetura de outras arquiteturas hub e spoke.
28 de agosto de 2020	Simplificou o procedimento para implantar a arquitetura usando o Oracle Cloud Infrastructure Resource Manager.
Julho 2, 2020	Foram adicionadas instruções para implantar a arquitetura usando o Oracle Cloud Infrastructure Resource Manager. Melhorou o conteúdo nas seções Arquitetura, Recomendações e Considerações.
Março de 9, 2020	Adicionada a seção Implantar.