使用動態路由閘道設定軸輻式網路拓樸

軸輻式網路 (也稱為星形網路) 具有連接至其周圍多個網路的中央元件。在傳統的內部部署資料中心設定此拓樸可能相當昂貴。但在雲端,無須額外付費。

動態路由閘道 (DRG) 是一個虛擬路由器,可提供虛擬雲端網路 (VCN) 與區域外部網路之間的專用網路流量路徑,例如另一個 Oracle Cloud Infrastructure (OCI) 區域中的 VCN、內部部署網路,或來自其他雲端提供者的網路。

DRG 可以連接多個 VCN,為您的雲端網路設計增添靈活性。

使用軸輻式架構在雲端建立創意且強大的網路解決方案,適用於下列常見使用案例:
  • 隔離不同客戶的工作負載,例如獨立軟體供應商 (ISV) 的訂閱者。
  • 提供共用服務,例如記錄伺服器、網域名稱系統 (DNS),以及來自中央網路的檔案共用。
  • 使用 OCI FastConnect 合作夥伴,將 Oracle Cloud Infrastructure 連線延伸至多雲端環境。
  • 設定個別的開發和生產環境。
  • 區隔環境以符合規範需求,例如支付卡產業 (PCI) 和健康保險可攜性與責任法案 (HIPAA) 需求。

架構

動態路由閘道 (DRG) 可讓您連線最多 300 個虛擬雲端網路 (VCN),並協助簡化整體架構、安全清單和路由表組態,以及透過 DRG 廣告 Oracle 雲端識別碼 (OCID) 來簡化安全性原則管理。

在此架構中,動態路由閘道連接到多個 VCN。每個 VCN 中都有範例子網路和虛擬機器 (VM)。DRG 的路由表指定了將流量導向 VCN 以外目標的規則。DRG 可啟用與內部部署網路的專用連線,您可以透過使用 Oracle Cloud Infrastructure FastConnectOracle Cloud Infrastructure Site-to-Site VPN 或兩者來實作。DRG 也可讓您使用 OCI FastConnect 合作夥伴連線至多個雲端環境。

您可以使用 Oracle Cloud Infrastructure Bastion 或堡壘主機,安全地存取您的資源。此架構使用 OCI 堡壘主機

下圖說明此參照架構。

hub-and-spoke-drg.png 的描述如下
hub-and-spoke-drg.png 圖解描述

hub-and-spoke-drg-oracle.zip

此架構具有下列元件:

  • 內部部署網路

    這是貴組織使用的區域網路。

  • OCI 地區

    OCI 區域是本地化的地理區域,包含一或多個代管可用性網域的資料中心。區域獨立於其他地區,且遠距離能夠分離它們 (跨國家,甚至是大陸)。

  • OCI 虛擬雲端網路與子網路

    虛擬雲端網路 (VCN) 是您在 OCI 區域中設定的可自訂軟體定義網路。與傳統資料中心網路一樣,VCN 可讓您控制網路環境。VCN 可以有多個非重疊的無類別網域間路由 (CIDR) 區塊,您可以在建立 VCN 之後變更這些區塊。您可以將 VCN 分隔到子網路中,而子網路的作用領域可以調整到某個區域或可用性網域。每個子網路都是由連續的位址範圍所組成,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用網路或專用網路。

  • 安全清單

    您可以為每個子網路建立安全規則,指定允許進出子網路的來源、目的地和流量類型。

  • 網路安全群組 (NSG)

    NSG 是您雲端資源的虛擬防火牆。透過 OCI 的零信任安全模型,您可以控制 VCN 中的網路流量。NSG 由一組傳入和傳出安全規則組成,這些規則僅適用於單一 VCN 中一組指定的虛擬網路介面卡 (VNIC)。

  • 路由表

    虛擬路由表包含將流量從子網路遞送至 VCN 外部目的地 (通常是透過閘道) 的規則。

  • 動態路由閘道 (DRG)

    DRG 是一個虛擬路由器,提供相同區域 VCN 之間、VCN 與區域外部網路 (例如另一個 OCI 區域中的 VCN、內部部署網路,或其他雲端提供者中的網路) 的專用網路流量路徑。

  • OCI 網站至網站 VPN

    OCI 網站至網站 VPN 可在您的內部部署網路與 OCI 上的 VCN 之間提供 IPSec VPN 連線。IPSec 通訊協定套件會先加密 IP 流量,然後再將封包從來源傳輸至目的地,並在流量到達時解密。

  • OCI FastConnect

    Oracle Cloud Infrastructure FastConnect 會在您的資料中心與 OCI 之間建立專用的專用連線。與基於網際網路的連線相比,FastConnect 提供更高的頻寬選項以及更可靠的網路體驗。

  • OCI 堡壘主機

    Oracle Cloud Infrastructure Bastion 為沒有公用端點且需要嚴格資源存取控制 (例如裸機和虛擬機器、Oracle MySQL Database ServiceAutonomous Transaction Processing (ATP)、Oracle Cloud Infrastructure Kubernetes Engine ( OKE) 的資源,以及允許安全 Shell 通訊協定 (SSH) 存取的任何其他資源,提供受限且受時間限制的安全存取。您可以使用 OCI 堡壘主機服務,啟用對專用主機的存取,無須部署及維護跳躍主機。此外,您還可以藉由識別型權限以及集中式、稽核且時間導向的 SSH 階段作業來改善安全狀況。OCI 堡壘主機可免除存取堡壘主機所需的公用 IP,免除提供遠端存取時的麻煩和潛在攻擊面。

  • 堡壘主機

    堡壘主機是一個運算執行處理,可作為雲端外部拓樸的安全、受控制的進入點。堡壘主機通常佈建在非軍事區域 (DMZ) 中。它可以讓您將機密資源放在無法直接從雲端外部存取的專用網路中,以保護機密資源。拓樸具有單一的已知進入點,您可以定期監視與稽核。因此,您可以避免讓拓樸更敏感的元件洩漏存取。

  • OCI Compute

    您可以使用 Oracle Cloud Infrastructure Compute 在雲端佈建及管理運算主機。您可以啟動資源配置符合 CPU、記憶體、網路頻寬和儲存資源需求的運算執行處理。建立運算執行處理之後,您可以安全地存取、重新啟動、連附及取消連附磁碟區,然後在不再需要運算執行處理時予以終止。

建議

使用下列建議作為句子的起點。> 您的需求可能與此處所述的架構不同。
  • VCN

    建立 VCN 時,請根據計畫要連附至 VCN 中子網路的資源數目,決定所需的 CIDR 區塊數目以及每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。

    選取未與您要設定專用連線的任何其他網路 (在 Oracle Cloud Infrastructure 、內部部署資料中心或其他雲端提供者中) 重疊的 CIDR 區塊。

    建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。

    設計子網路時,請考量您的流量和安全需求。將特定層或角色內的所有資源連附至相同的子網路,以作為安全界限。

  • 安全清單

    使用安全清單定義適用於整個子網路的傳入和傳出規則。

  • 安全

    使用 Oracle Cloud Guard,主動監控和維護 Oracle Cloud Infrastructure 中資源的安全性。Cloud Guard 使用可定義的偵測器處方來檢查資源是否有安全漏洞,以及監控操作員和使用者是否有危險活動。偵測到任何組態錯誤或不安全的活動時,Cloud Guard 會根據您可以定義的回應器處方建議更正動作,並協助採取這些動作。

    對於需要最高安全性的資源,Oracle 建議您使用安全區域。安全區域是與 Oracle 定義的安全原則處方關聯的區間,以最佳做法為基礎。例如,安全區域中的資源不能從公用網際網路存取,而且必須使用客戶管理的金鑰加密。當您在安全區域中建立和更新資源時,Oracle Cloud Infrastructure 會根據安全區域處方中的原則驗證作業,並拒絕違反任何原則的作業。

注意事項

部署此參考架構時,請考量下列各點。

  • 效能

    在區域內,績效不會受到 VCN 數量的影響。當您在不同區域對等 VCN 時,請考慮延遲。當您使用透過 Oracle Cloud Infrastructure Site-to-Site VPNOracle Cloud Infrastructure FastConnect 連線的發言時,連線的輸送量是額外因素。如果需要高效能,請使用本機對等互連閘道 (LPG) 而不是 DRG。

  • 安全
    使用適當的安全機制來保護拓樸。使用提供的 Terraform 程式碼部署的拓樸包含下列安全特性:
    • 中樞 VCN 的預設安全清單允許來自 0.0.0.0/0 的 SSH 流量。調整安全清單,只允許透過 SSH 存取您基礎架構的主機和網路 (或需要任何其他服務連接埠)。
    • 此部署會將所有元件都放置在相同的區間中。
    • 網輻 VCN 無法從網際網路存取。
  • 可用性和備援

    除了執行處理之外,其餘的元件都沒有備援 requirements.The OCI 網站至網站 VPNOCI FastConnect 元件。若要進一步冗餘,請最好使用來自不同提供者的多個連線。

  • 成本

    此架構中只有成本的元件是運算執行處理和 OCI FastConnect (連接埠時數和提供者費用)。如果不同區域中的 VCN 已連線,系統會向區域之間的流量收費。其他元件沒有相關聯的成本。

  • 管理

    路由管理經過簡化,大多數路由都將位於 DRG。使用 DRG 作為集線器,可以有 300 個附件 (使用 LPG,中樞 VCN 只能連接到 10 個 VCN)。

部署

GitHub 中提供此參照架構的 Terraform 程式碼。只要按一下,即可將程式碼提取至 Oracle Cloud Infrastructure Resource Manager ,建立堆疊並進行部署。或者,您可以將程式碼從 GitHub 下載至電腦、自訂程式碼,以及使用 Terraform CLI 部署架構。

附註:

Terraform 程式碼包含架構圖中顯示的大部分元件,包括堡壘主機的 VM。雖然服務 VM、工作負載 VM、 OCI 網站至網站 VPNOCI FastConnectOCI 堡壘主機已顯示在圖表中,但程式碼中並未包含這些服務 VM。
  • 使用 Oracle Cloud Infrastructure Resource Manager 進行部署:
    1. 按一下 部署到 Oracle Cloud

      如果您尚未登入,請輸入租用戶和使用者證明資料。

    2. 複查並接受條款與條件。
    3. 選取您要部署堆疊的區域。
    4. 遵循螢幕上的提示和指示來建立堆疊。
    5. 建立堆疊之後,按一下 Terraform 動作,然後選取計畫
    6. 等待工作完成,並複查計畫。

      若要進行任何變更,請返回「堆疊詳細資訊」頁面,按一下編輯堆疊,然後進行必要的變更。然後,再次執行計畫動作。

    7. 如果不需要進一步變更,請返回「堆疊詳細資訊」頁面,按一下 Terraform 動作,然後選取套用
  • 使用 Terraform CLI 進行部署:
    1. 請前往 GitHub
    2. 複製或下載儲存庫至您的本機電腦。
    3. 依照 README 文件中的指示進行。

探索更多資訊

瞭解此架構與相關架構:

變更記錄

此日誌列出重要的變更: