使用动态路由网关设置中心辐射型网络拓扑
中心辐射网络,也称为星际网络,具有连接到其周围多个网络的中央组件。在传统的内部部署数据中心中设置此拓扑可能非常昂贵。但是,在云端,没有额外的成本。
动态路由网关 (Dynamic Routing Gateway,DRG) 是一个虚拟路由器,它为虚拟云网络 (Virtual Cloud Network,VCN) 与区域外的网络(例如另一个 Oracle Cloud Infrastructure (OCI) 区域中的 VCN)、内部部署网络或来自其他云提供商的网络 ) 之间的专用网络流量提供路径。
DRG 可以连接到多个 VCN,从而提高云网络设计方式的灵活性。
- 隔离不同客户(例如独立软件供应商 (Independent Softwareendor,ISV) 的订户)的工作负载。
- 提供共享服务,例如日志服务器、域名系统 (Domain Name System,DNS) 和来自中央网络的文件共享。
- 使用 OCI FastConnect 合作伙伴将 Oracle Cloud Infrastructure 连接扩展到多云环境。
- 设置单独的开发和生产环境。
- 隔离环境以满足合规性要求,例如支付卡行业 (PCI) 和健康保险可移植性和责任法案 (HIPAA) 要求。
体系结构
动态路由网关 (Dynamic Routing Gateway,DRG) 支持您连接至多 300 个虚拟云网络 (Virtual Cloud Network,VCN),有助于简化整体架构、安全列表和路由表配置,并通过 DRG 通告 Oracle 云标识符 (OCI),简化安全策略管理。
在此体系结构中,动态路由网关连接到多个 VCN。每个 VCN 中都有示例子网和虚拟机 (Virtual Machine,VM)。DRG 有一个路由表,用于指定将流量定向到 VCN 之外的目标的规则。DRG 支持与本地网络建立专用连接,您可以使用 Oracle Cloud Infrastructure FastConnect 和/或 Oracle Cloud Infrastructure Site-to-Site VPN 来实施该网络。借助 DRG,您还可以使用 OCI FastConnect 合作伙伴连接到多个云环境。
您可以使用 Oracle Cloud Infrastructure Bastion 或堡垒主机提供对资源的安全访问。此体系结构使用 OCI Bastion 。
下图说明了此参考体系结构。
该体系结构包含以下组件:
- 内部部署网络
这是您的组织使用的本地网络。
- OCI 地区
OCI 区域是一个本地化的地理区域,其中包含一个或多个托管可用性域的数据中心。区域独立于其他区域,并且很远的距离可以将它们分开(跨越国家甚至大洲)。
- OCI 虚拟云网络和子网
虚拟云网络 (VCN) 是您可以在 OCI 区域中设置的可定制软件定义网络。与传统数据中心网络一样,VCN 允许您控制网络环境。一个 VCN 可以具有多个不重叠的无类域间路由 (classless inter-domain routing,CIDR) 块,在创建 VCN 后可以更改这些块。您可以将 VCN 细分为多个子网,这些子网可以限定为某个区域或某个可用性域。每个子网由一系列不与 VCN 中的其他子网重叠的连续地址组成。您可以在创建子网后更改子网的大小。子网可以是公共子网,也可以是专用子网。
- 安全列表
您可以为每个子网创建安全规则,以指定允许进出子网的通信的源、目标和类型。
- 网络安全组 (NSG)
NSG 充当云资源的虚拟防火墙。借助 OCI 的零信任安全模型,您可以控制 VCN 内的网络流量。NSG 由一组入站和出站安全规则组成,这些规则仅应用于单个 VCN 中指定的一组虚拟网络接口卡 (virtual network interface card,VNIC)。
- 路由表
虚拟路由表包含用于将流量从子网路由到 VCN 之外目标(通常通过网关)的规则。
- 动态路由网关 (DRG)
DRG 是一个虚拟路由器,用于为同一区域中的 VCN、VCN 与该区域之外的网络(例如另一个 OCI 区域中的 VCN、内部部署网络或其他云提供商中的网络)之间的专用网络流量提供路径。
- OCI 站点到网站 VPN
OCI Site-to-Site VPN 可在内部部署网络与 OCI 上的 VCN 之间提供 IPSec VPN 连接。IPSec 协议套件在数据包从源传输到目标之前对 IP 通信进行加密,并在数据包到达时对通信进行解密。
- OCI FastConnect
Oracle Cloud Infrastructure FastConnect 可在您的数据中心与 OCI 之间创建专用连接。与基于互联网的连接相比,FastConnect 提供了更高的带宽选项和更可靠、更稳定的网络体验。
- OCI 堡垒
Oracle Cloud Infrastructure Bastion 提供对没有公共端点且需要严格资源访问控制的资源(例如裸金属和虚拟机)、Oracle MySQL Database Service 、 Autonomous Transaction Processing (ATP)、Oracle Cloud Infrastructure Kubernetes Engine ( OKE ) 以及允许安全 Shell 协议 (SSH) 访问的任何其他资源的限制性和时间限制的安全访问。借助 OCI Bastion 服务,您无需部署和维护跳转主机即可访问专用主机。此外,您还可以获得基于身份的权限和集中、经过审计且有时限的 SSH 会话,从而改善安全状况。OCI Bastion 消除了对公共 IP 进行堡垒访问的需求,消除了提供远程访问时的麻烦和潜在攻击面。
- 堡垒机
堡垒主机是一个计算实例,它为客户从云外部访问拓扑提供了安全受控的入口点。堡垒主机通常预配在隔离区 (DMZ) 中。利用它,您可以将敏感资源放在无法从云外部直接访问的专用网络中,从而保护敏感资源。拓扑具有已知的单个入口点,您可以定期对其进行监视和审计。因此,您可以避免公开拓扑中较为敏感的组件,同时又不会影响对它们的访问。
- OCI Compute
借助 Oracle Cloud Infrastructure Compute ,您可以在云中预配和管理计算主机。您可以启动具有配置的计算实例,以满足您在 CPU、内存、网络带宽和存储方面的资源需求。创建计算实例后,您可以安全地访问它,重新启动它,附加和分离卷,并在不再需要时终止它。
推荐
- VCN
创建 VCN 时,根据您计划附加到 VCN 中的子网的资源数,确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。
选择与要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure 、内部部署数据中心或其他云提供商中)不重叠的 CIDR 块。
创建 VCN 后,您可以更改、添加和删除其 CIDR 块。
设计子网时,请考虑流量和安全要求。将特定层或角色中的所有资源附加到同一子网,该子网可以用作安全边界。
- 安全列表
使用安全列表定义适用于整个子网的入站和出站规则。
- 安全
使用 Oracle Cloud Guard 主动监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用您可以定义的检测器配方来检查资源是否存在安全漏洞,并监视操作员和用户是否有风险活动。当检测到任何错误配置或不安全活动时,Cloud Guard 会根据您可以定义的响应器配方建议更正操作,并协助您执行这些操作。
对于需要最大安全性的资源,Oracle 建议您使用安全区域。安全区域是与 Oracle 定义的基于优秀实践的安全策略配方关联的区间。例如,不能从公共 Internet 访问安全区域中的资源,并且必须使用客户管理的密钥对其进行加密。在安全区域中创建和更新资源时,Oracle Cloud Infrastructure 将根据安全区域配方中的策略验证操作,并拒绝违反任何策略的操作。
注意事项
部署此参考体系结构时,请考虑以下几点。
- 性能
在一个区域内,性能不受 VCN 数量的影响。当您在不同区域中的对等 VCN 时,请考虑延迟。使用通过 Oracle Cloud Infrastructure Site-to-Site VPN 或 Oracle Cloud Infrastructure FastConnect 连接的发言人时,连接吞吐量是一个额外的因素。如果需要高性能,请使用本地对等连接网关 (LPG) 而非 DRG。
- 安全使用适当的安全机制来保护拓扑。使用提供的 Terraform 代码部署的拓扑包含以下安全特性:
- 中心 VCN 的默认安全列表允许来自 0.0.0.0/0 的 SSH 流量。调整安全列表以仅允许对您的基础结构具有 SSH 访问权限的主机和网络(或其他需要的服务端口)。
- 此部署将所有组件放置在同一区间中。
- 无法从 Internet 访问辐条 VCN。
- 可用性和冗余
除实例外,其余组件没有冗余 requirements.The OCI Site-to-Site VPN 和 OCI FastConnect 组件是冗余的。要实现进一步冗余,请使用多个连接,最好使用来自不同提供者的连接。
- 成本
此架构中只有计算实例和 OCI FastConnect (端口小时数和提供商费用)才是计费的。如果连接了不同区域中的 VCN,则会根据区域之间的流量计费。其他组件没有关联的成本。
- 管理
由于大多数路由都位于 DRG,因此路由管理更加简化。使用 DRG 作为中心,可以有 300 个附加(使用 LPG,中心 VCN 只能连接到 10 个 VCN)。
部署
此参考体系结构的 Terraform 代码位于 GitHub 中。只需单击一下即可将代码提取到 Oracle Cloud Infrastructure Resource Manager 中,然后创建堆栈并进行部署。或者,您也可以使用 Terraform CLI 将代码从 GitHub 下载到计算机,定制代码并部署体系结构。
注意:
Terraform 代码包括体系结构图中显示的大多数组件,包括用于堡垒主机的 VM。服务 VM、工作负载 VM、 OCI Site-to-Site VPN 、 OCI FastConnect 和 OCI Bastion 不包括在代码中,不过它们显示在图表中。- 使用 Oracle Cloud Infrastructure Resource Manager 部署:
- Click
如果您尚未登录,请输入租户和用户身份证明。
- 复核并接受条款和条件。
- 选择要在其中部署堆栈的区域。
- 按照屏幕上的提示和说明创建堆栈。
- 创建堆栈后,单击 Terraform 操作,然后选择计划。
- 等待作业完成,然后复查计划。
要进行任何更改,请返回到“堆栈详细信息”页,单击编辑堆栈,然后进行所需的更改。然后,再次运行计划操作。
- 如果不需要进一步更改,请返回到“堆栈详细信息”页,单击 Terraform 操作,然后选择应用。
- Click
- 使用 Terraform CLI 部署:
- 转至 GitHub 。
- 将系统信息库克隆或下载到本地计算机。
- 按照
README文档中的说明进行操作。