使用本地对等连接网关设置中心辐射型网络拓扑

体系结构

此参考架构显示 Oracle Cloud Infrastructure 区域，其中中心虚拟云网络 (VCN) 连接到两个分支 VCN。每个分支 VCN 通过使用一对本地对等网关 (LPG) 与中心 VCN 建立对等连接。

该体系结构显示了一些示例子网和虚拟机 (Virtual Machine，VM)。安全列表用于控制进出每个子网的网络流量。每个子网都有一个路由表，其中包含用于为 VCN 之外的目标定向流量的规则。

中心 VCN 具有用于往返公共互联网的网络通信的互联网网关。它还具有动态路由网关 (Dynamic Routing Gateway，DRG) 来启用与内部部署网络的专用连接，您可以使用 Oracle Cloud Infrastructure FastConnect 和/或站点到站点 VPN 实现此连接。

您可以使用 Oracle Cloud Infrastructure Bastion 或堡垒主机提供对资源的安全访问。此体系结构使用 OCI Bastion 。

下图说明了参考体系结构。

插图 hub-spoke-oci.png 的说明

中心电话 -oci.zip

该体系结构包含以下组件：

内部部署网络
此网络是您的组织使用的本地网络。这是拓扑结构的发言人之一。
OCI 地区
OCI 区域是一个本地化的地理区域，其中包含一个或多个托管可用性域的数据中心。区域独立于其他区域，并且很远的距离可以将它们分开（跨越国家甚至大洲）。
OCI 虚拟云网络和子网
虚拟云网络 (VCN) 是您可以在 OCI 区域中设置的可定制软件定义网络。与传统数据中心网络一样，VCN 允许您控制网络环境。一个 VCN 可以具有多个不重叠的无类域间路由 (classless inter-domain routing，CIDR) 块，在创建 VCN 后可以更改这些块。您可以将 VCN 细分为多个子网，这些子网可以限定为某个区域或某个可用性域。每个子网由一系列不与 VCN 中的其他子网重叠的连续地址组成。您可以在创建子网后更改子网的大小。子网可以是公共子网，也可以是专用子网。
安全列表
您可以为每个子网创建安全规则，以指定允许进出子网的通信的源、目标和类型。
路由表
虚拟路由表包含用于将流量从子网路由到 VCN 之外目标（通常通过网关）的规则。
动态路由网关 (DRG)
DRG 是一个虚拟路由器，用于为同一区域中的 VCN、VCN 与该区域之外的网络（例如另一个 OCI 区域中的 VCN、内部部署网络或其他云提供商中的网络）之间的专用网络流量提供路径。
OCI 堡垒
Oracle Cloud Infrastructure Bastion 提供对没有公共端点且需要严格资源访问控制的资源（例如裸金属和虚拟机）、Oracle MySQL Database Service 、 Autonomous Transaction Processing (ATP)、Oracle Cloud Infrastructure Kubernetes Engine ( OKE ) 以及允许安全 Shell 协议 (SSH) 访问的任何其他资源的限制性和时间限制的安全访问。借助 OCI Bastion 服务，您无需部署和维护跳转主机即可访问专用主机。此外，您还可以获得基于身份的权限和集中、经过审计且有时限的 SSH 会话，从而改善安全状况。OCI Bastion 消除了对公共 IP 进行堡垒访问的需求，消除了提供远程访问时的麻烦和潜在攻击面。
堡垒机
堡垒主机是一个计算实例，它为客户从云外部访问拓扑提供了安全受控的入口点。堡垒主机通常预配在隔离区 (DMZ) 中。利用它，您可以将敏感资源放在无法从云外部直接访问的专用网络中，从而保护敏感资源。拓扑具有已知的单个入口点，您可以定期对其进行监视和审计。因此，您可以避免公开拓扑中较为敏感的组件，同时又不会影响对它们的访问。
本地对等连接组 (LPG)
LPG 在同一区域中的 VCN 之间提供对等连接。对等连接是指 VCN 使用专用 IP 地址进行通信，而无需通过互联网传送流量或通过内部部署网络进行路由。
OCI 站点到网站 VPN
OCI Site-to-Site VPN 可在内部部署网络与 OCI 上的 VCN 之间提供 IPSec VPN 连接。IPSec 协议套件在数据包从源传输到目标之前对 IP 通信进行加密，并在数据包到达时对通信进行解密。
OCI FastConnect
Oracle Cloud Infrastructure FastConnect 可在您的数据中心与 OCI 之间创建专用连接。与基于互联网的连接相比，FastConnect 提供了更高的带宽选项和更可靠、更稳定的网络体验。

注意事项

在云中设计中心辐射型网络拓扑时，请考虑以下因素：

成本
此架构中只有计算实例和 FastConnect（端口小时数和提供商费用）是单独计费的。其他组件没有关联的成本。
安全
使用适当的安全机制来保护拓扑。
使用提供的 Terraform 代码部署的拓扑包含以下安全特性：
- 中心 VCN 的默认安全列表允许来自 0.0.0.0/0 的 SSH 流量。调整安全列表以仅允许对您的基础结构具有 SSH 访问权限的主机和网络（或其他需要的服务端口）。
- 此部署将所有组件放置在同一区间中。
- 无法从 Internet 访问辐条 VCN。
可扩展性
考虑您的租户的 VCN 和子网的服务限制。如果需要更多网络，请请求提高限制。
性能
在一个区域内，性能不受 VCN 数量的影响。当您在不同区域中的对等 VCN 时，请考虑延迟。使用通过 OCI Site-to-Site VPN 或 OCI FastConnect 连接的发言人时，连接吞吐量是一个附加因素。
可用性和冗余
除实例外，其余组件没有冗余要求。

OCI Site-to-Site VPN 和 OCI FastConnect 组件是冗余的。要实现进一步冗余，请使用多个连接，最好使用来自不同提供者的连接。

部署

此参考体系结构的 Terraform 代码位于 GitHub 中。只需单击一下即可将代码提取到 Oracle Cloud Infrastructure Resource Manager 中，然后创建堆栈并进行部署。或者，您也可以使用 Terraform CLI 将代码从 GitHub 下载到计算机，定制代码并部署体系结构。

注意：

Terraform 代码包括体系结构图中显示的大多数组件，包括用于堡垒主机的 VM。服务 VM、工作负载 VM、 OCI Site-to-Site VPN 、 OCI FastConnect 和 OCI Bastion 不包括在代码中，不过它们显示在图表中。

使用 Oracle Cloud Infrastructure Resource Manager 部署：
1. Click
  如果您尚未登录，请输入租户和用户身份证明。
2. 复核并接受条款和条件。
3. 选择要在其中部署堆栈的区域。
4. 按照屏幕上的提示和说明创建堆栈。
5. 创建堆栈后，单击 Terraform 操作，然后选择计划。
6. 等待作业完成，然后复查计划。
  要进行任何更改，请返回到“堆栈详细信息”页，单击编辑堆栈，然后进行所需的更改。然后，再次运行计划操作。
7. 如果不需要进一步更改，请返回到“堆栈详细信息”页，单击 Terraform 操作，然后选择应用。
使用 Terraform CLI 部署：
1. 转至 GitHub 。
2. 将系统信息库克隆或下载到本地计算机。
3. 按照 README 文档中的说明进行操作。

了解更多

了解此体系结构以及相关体系结构：

更改日志

此日志仅列出重大更改：

2025 年 8 月 28 日

突出显示 Oracle Cloud Infrastructure Bastion （而非堡垒主机）的使用。

2022 年 3 月 10 日

已添加用于下载体系结构图的可编辑版本（.SVG 和 .DRAWIO）的选项。

2021 年 7 月 31 日

更改了标题以包括网关类型，以帮助将体系结构与其他中心和分支体系结构区分开来。

2020 年 8 月 28 日

使用 Oracle Cloud Infrastructure Resource Manager 简化架构部署过程。

2020 年 7 月 2 日

添加了使用 Oracle Cloud Infrastructure Resource Manager 部署体系结构的说明。
增强了“体系结构”、“建议”和“注意事项”部分中的内容。

2020 年 3 月 9 日

添加了“部署”部分。