使用本機對等互連閘道設定網輻網路拓樸
軸輻式網路 (也稱為星形網路) 具有連接至其周圍多個網路的中央元件。整體拓樸類似於輪子,中央集線器可穿過多次網輻,連接到輪子邊緣的點。在傳統的內部部署資料中心設定此拓樸可能相當昂貴。但在雲端,無須額外付費。
-
設定個別的開發與生產環境。
-
隔離不同客戶的工作負載,例如獨立軟體供應商 (ISV) 的訂閱者或託管服務提供者的客戶。
-
根據合規要求分離環境,例如支付卡產業 (PCI) 和健康保險可攜性與責任法案 (HIPAA) 要求。
-
提供共用資訊技術服務,例如記錄伺服器、網域名稱系統 (DNS),以及來自中央網路的檔案共用。
架構
此參考架構顯示一個 Oracle Cloud Infrastructure 區域,其中有一個連接到兩個網輻 VCN 的中樞虛擬雲端網路 (VCN)。每個支點 VCN 都使用一對本地對等互連閘道 (LPG),與中樞 VCN 對等互連。
此架構顯示一些範例子網路和虛擬機器 (VM)。安全清單主要用於控制進出每個子網路的網路流量。每個子網路都有一個路由表,其中包含可直接連結 VCN 以外目標之流量的規則。
中樞 VCN 具有網際網路閘道,可供往返公用網際網路的網路流量使用。它還具有動態路由閘道 (DRG),可啟用與內部部署網路的專用連線。您可以使用 Oracle Cloud Infrastructure FastConnect 、網站至網站 VPN 或兩者來實作。
您可以使用 Oracle Cloud Infrastructure Bastion 或堡壘主機,安全地存取您的資源。此架構使用 OCI 堡壘主機。
下圖說明參照架構。
- 內部部署網路
此網路是貴組織使用的區域網路。它是拓樸的發言之一。
- OCI 地區
OCI 區域是本地化的地理區域,包含一或多個代管可用性網域的資料中心。區域獨立於其他地區,且遠距離能夠分離它們 (跨國家,甚至是大陸)。
- OCI 虛擬雲端網路與子網路
虛擬雲端網路 (VCN) 是您在 OCI 區域中設定的可自訂軟體定義網路。與傳統資料中心網路一樣,VCN 可讓您控制網路環境。VCN 可以有多個非重疊的無類別網域間路由 (CIDR) 區塊,您可以在建立 VCN 之後變更這些區塊。您可以將 VCN 分隔到子網路中,而子網路的作用領域可以調整到某個區域或可用性網域。每個子網路都是由連續的位址範圍所組成,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用網路或專用網路。
- 安全清單
您可以為每個子網路建立安全規則,指定允許進出子網路的來源、目的地和流量類型。
- 路由表
虛擬路由表包含將流量從子網路遞送至 VCN 外部目的地 (通常是透過閘道) 的規則。
- 動態路由閘道 (DRG)
DRG 是一個虛擬路由器,提供相同區域 VCN 之間、VCN 與區域外部網路 (例如另一個 OCI 區域中的 VCN、內部部署網路,或其他雲端提供者中的網路) 的專用網路流量路徑。
- OCI 堡壘主機
Oracle Cloud Infrastructure Bastion 為沒有公用端點且需要嚴格資源存取控制 (例如裸機和虛擬機器、Oracle MySQL Database Service 、Autonomous Transaction Processing (ATP)、Oracle Cloud Infrastructure Kubernetes Engine ( OKE) 的資源,以及允許安全 Shell 通訊協定 (SSH) 存取的任何其他資源,提供受限且受時間限制的安全存取。您可以使用 OCI 堡壘主機服務,啟用對專用主機的存取,無須部署及維護跳躍主機。此外,您還可以藉由識別型權限以及集中式、稽核且時間導向的 SSH 階段作業來改善安全狀況。OCI 堡壘主機可免除存取堡壘主機所需的公用 IP,免除提供遠端存取時的麻煩和潛在攻擊面。
- 堡壘主機
堡壘主機是一個運算執行處理,可作為雲端外部拓樸的安全、受控制的進入點。堡壘主機通常佈建在非軍事區域 (DMZ) 中。它可以讓您將機密資源放在無法直接從雲端外部存取的專用網路中,以保護機密資源。拓樸具有單一的已知進入點,您可以定期監視與稽核。因此,您可以避免讓拓樸更敏感的元件洩漏存取。
- 本地對等互連群組 (LPG)
LPG 在同一區域提供 VCN 之間的對等。對等互連意味著 VCN 使用私有 IP 位址進行通訊,而無需流量通過網際網路或通過內部部署網路路由。
- OCI 網站至網站 VPN
OCI 網站至網站 VPN 可在您的內部部署網路與 OCI 上的 VCN 之間提供 IPSec VPN 連線。IPSec 通訊協定套件會先加密 IP 流量,然後再將封包從來源傳輸至目的地,並在流量到達時解密。
- OCI FastConnect
Oracle Cloud Infrastructure FastConnect 會在您的資料中心與 OCI 之間建立專用的專用連線。與基於網際網路的連線相比,FastConnect 提供更高的頻寬選項以及更可靠的網路體驗。
建議
您的需求可能與此處說明的架構不同。使用下列建議作為起點。
- VCN
建立 VCN 時,請根據計畫要連附至 VCN 中子網路的資源數目,決定所需的 CIDR 區塊數目以及每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與您要設定專用連線的任何其他網路 (在 Oracle Cloud Infrastructure 、內部部署資料中心或其他雲端提供者中) 重疊的 CIDR 區塊。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
設計子網路時,請考量您的流量和安全需求。將特定層或角色內的所有資源連附至相同的子網路,以作為安全界限。
使用區域子網路。
- 安全清單
使用安全清單定義適用於整個子網路的傳入和傳出規則。
注意事項
當您在雲端設計軸輻式網路拓樸時,請考慮下列因素:
- 成本
此架構中只有成本的元件是運算執行處理和 FastConnect (連接埠時數和提供者費用)。其他元件沒有相關聯的成本。
- 安全
使用適當的安全機制來保護拓樸。
使用提供的 Terraform 程式碼部署的拓樸包含下列安全特性:- 中樞 VCN 的預設安全清單允許來自 0.0.0.0/0 的 SSH 流量。調整安全清單,只允許透過 SSH 存取您基礎架構的主機和網路 (或需要任何其他服務連接埠)。
- 此部署會將所有元件都放置在相同的區間中。
- 網輻 VCN 無法從網際網路存取。
- 擴展性
考慮您租用戶的 VCN 和子網路的服務限制。如果需要更多網路,請要求提高限制。
- 效能
在區域內,績效不會受到 VCN 數量的影響。當您在不同區域對等 VCN 時,請考慮延遲。當您使用透過 OCI 網站至網站 VPN 或 OCI FastConnect 連線的網輻時,連線的傳輸量是額外因素。
- 可用性和備援
除了執行處理之外,其餘的元件則沒有冗餘需求。
OCI 網站至網站 VPN 和 OCI FastConnect 元件是多餘的。若要進一步冗餘,請最好使用來自不同提供者的多個連線。
部署
GitHub 中提供此參照架構的 Terraform 程式碼。只要按一下,即可將程式碼提取至 Oracle Cloud Infrastructure Resource Manager ,建立堆疊並進行部署。或者,您可以將程式碼從 GitHub 下載至電腦、自訂程式碼,以及使用 Terraform CLI 部署架構。
附註:
Terraform 程式碼包含架構圖中顯示的大部分元件,包括堡壘主機的 VM。雖然服務 VM、工作負載 VM、 OCI 網站至網站 VPN 、 OCI FastConnect 及 OCI 堡壘主機已顯示在圖表中,但程式碼中並未包含這些服務 VM。- 使用 Oracle Cloud Infrastructure Resource Manager 進行部署:
- 按一下
如果您尚未登入,請輸入租用戶和使用者證明資料。
- 複查並接受條款與條件。
- 選取您要部署堆疊的區域。
- 遵循螢幕上的提示和指示來建立堆疊。
- 建立堆疊之後,按一下 Terraform 動作,然後選取計畫。
- 等待工作完成,並複查計畫。
若要進行任何變更,請返回「堆疊詳細資訊」頁面,按一下編輯堆疊,然後進行必要的變更。然後,再次執行計畫動作。
- 如果不需要進一步變更,請返回「堆疊詳細資訊」頁面,按一下 Terraform 動作,然後選取套用。
- 按一下
- 使用 Terraform CLI 進行部署:
- 請前往 GitHub 。
- 複製或下載儲存庫至您的本機電腦。
- 依照
README文件中的指示進行。
變更記錄
此日誌只列出重要的變更:
| 2025 年 8 月 28 日 | 標明使用 Oracle Cloud Infrastructure Bastion 而非堡壘主機。 |
| 2022 年 3 月 10 日 | 新增可下載架構圖可編輯版本 (.SVG 和 .DRAWIO) 的選項。 |
| 2021 年 7 月 31 日 | 變更標題以包含閘道類型,以協助區分架構與其他中樞和軸輻架構。 |
| 2020 年 8 月 28 日 | 使用 Oracle Cloud Infrastructure Resource Manager 簡化部署架構的程序。 |
| 2020 年 7 月 2 日 |
|
| 2020 年 3 月 9 日 | 已新增「部署」區段。 |