欢迎访问深圳敏捷云计算科技有限公司!
枢纽与辐射网络,常被称为星型网络,具有一个与其周围多个网络相连的中心组件。在传统的本地数据中心设置此类拓扑可能代价高昂。但在云中,没有额外成本。
动态路由网关(DRG)是一种虚拟路由器,为虚拟云网络(VCN)与区域外网络之间的私有网络流量提供路径,如另一个甲骨文云基础设施区域的VCN、本地网络或其他云提供商的网络。DRG可以连接到多个VCN,为您设计云网络增加灵活性。
使用枢纽与辐射架构在云中构建创新和强大的网络解决方案,适用于以下常见用例:
• 隔离不同客户的工作负载,如ISV的订阅者
• 从中心网络提供共享IT服务,如日志服务器、DNS和文件共享
• 利用FastConnect合作伙伴将甲骨文云基础设施连接扩展到多云环境
• 设置独立的开发和生产环境
• 为满足PCI和HIPAA等合规要求隔离环境
架构
动态路由网关(DRG)允许您连接多达300个虚拟云网络,并通过通过DRG宣传OCID来简化整体架构、安全列表和路由表配置,以及安全策略管理。
在此架构中,动态路由网关连接到多个VCN。每个VCN中都有示例子网和VM。DRG有一个路由表,规定了将流量定向到VCN外部目标的规则。DRG实现了与本地网络的私有连接,您可以通过使用甲骨文云基础设施FastConnect、站点到站点VPN或两者来实现。DRG还使您能够通过FastConnect合作伙伴连接到多个云环境。
以下图表说明了这一参考架构。
该架构包含以下组件:
本地网络
• 这是您的组织使用的本地网络。它是拓扑结构的一个辐射点。
云
• 云计算通过互联网提供计算基础设施和服务,如服务器、虚拟机、安全、存储、数据库、网络、分析、应用程序等。在云计算中,提供商管理和维护基础设施和服务。您通常只需为所使用的资源付费,并且可以根据需求变化来扩展资源。
区域
• 甲骨文云基础设施区域是一个包含一个或多个数据中心的地理区域,这些数据中心称为可用性域。区域彼此独立,可能相隔很远(跨越国家甚至大洲)。
虚拟云网络(VCN)和子网
• VCN是您在甲骨文云基础设施区域中设置的可自定义的软件定义网络。与传统数据中心网络一样,VCN使您能够完全控制您的网络环境。VCN可以有多个不重叠的CIDR块,您可以在创建VCN后更改它们。您可以将VCN分割成子网,这些子网可以是区域范围或可用性域范围。每个子网由不与VCN中其他子网重叠的连续地址范围组成。您可以在创建后更改子网的大小。子网可以是公共的或私有的。
安全列表
• 对于每个子网,您可以创建安全规则,指定必须允许进出子网的流量的来源、目的地和类型。
网络安全组(NSG)
• NSG充当您云资源的虚拟防火墙。凭借甲骨文云基础设施的零信任安全模型,所有流量都被拒绝,您可以控制VCN内的网络流量。NSG由一组入站和出站安全规则组成,这些规则仅适用于单个VCN中指定的一组VNIC。
路由表
• 虚拟路由表包含将流量从子网路由到VCN外部目的地的规则,通常通过网关。
动态路由网关(DRG)
• DRG是一个虚拟路由器,为VCN与区域外网络之间的私有网络流量提供路径,如另一个甲骨文云基础设施区域的VCN、本地网络或其他云提供商的网络。
堡垒主机
• 堡垒主机是一个计算实例,作为从云外部进入拓扑的安全、受控入口点。堡垒主机通常在非军事区(DMZ)中配置。它使您能够通过将敏感资源放置在不能直接从云外部访问的私有网络中来保护它们。拓扑结构有一个单一、已知的入口点,您可以定期监控和审核。因此,您可以避免暴露拓扑结构中更敏感的组件,同时不妨碍对它们的访问。
站点到站点VPN
• 站点到站点VPN提供您的本地网络与甲骨文云基础设施中的VCN之间的IPSec VPN连接。IPSec协议套件在数据包从源传输到目的地之前加密IP流量,并在流量到达时解密。
FastConnect
• 甲骨文云基础设施FastConnect提供了一种简便的方式,创建您的数据中心与甲骨文云基础设施之间的专用、私有连接。FastConnect提供了更高带宽选项和相比基于互联网的连接更可靠的网络体验。
建议
使用以下建议作为起点来<句子的其余部分>。您的需求可能与此处描述的架构不同。
VCN
• 创建VCN时,根据您计划附加到VCN子网中的资源数量,确定所需的CIDR块数量和每个块的大小。使用位于标准私有IP地址空间内的CIDR块。
• 选择不与您打算建立私有连接的任何其他网络(在甲骨文云基础设施、您的本地数据中心或其他云提供商)重叠的CIDR块。
• 创建VCN后,您可以更改、添加和删除其CIDR块。
• 在设计子网时,考虑您的流量流和安全需求。将特定层或角色内的所有资源附加到同一个子网,它可以作为安全边界。
安全列表
• 使用安全列表来定义适用于整个子网的入站和出站规则。
安全性
• 使用甲骨文云守卫主动监控和维护您在甲骨文云基础设施中的资源的安全。云守卫使用您可以定义的探测器配方来检查您的资源是否存在安全弱点,以及监控操作员和用户是否有高风险活动。当检测到任何错误配置或不安全活动时,云守卫会推荐纠正措施,并根据您可以定义的响应者配方协助采取这些措施。
• 对于需要最大安全性的资源,甲骨文建议您使用安全区域。安全区域是与甲骨文定义的基于最佳实践的安全政策配方相关联的隔间。例如,安全区域中的资源不能从公共互联网访问,必须使用客户托管的密钥进行加密。在安全区域中创建和更新资源时,甲骨文云基础设施会根据安全区域配方中的政策验证操作,并拒绝违反任何政策的操作。
考虑因素
部署此参考架构时,请考虑以下要点。
性能
• 在同一区域内,性能不受VCN数量的影响。当您在不同区域中对等连接VCN时,考虑延迟问题。当您使用通过VPN Connect或FastConnect连接的辐射点时,连接的吞吐量是一个额外因素。如果需要极端性能,请使用本地对等连接而不是通过DRG。
安全性
• 使用适当的安全机制保护拓扑结构。使用提供的Terraform代码部署的拓扑结构具有以下安全特性:
○ 枢纽VCN的默认安全列表允许从0.0.0.0/0的SSH流量。调整安全列表,以便只允许应该具有SSH访问权限(或其他所需服务端口)的主机和网络访问您的基础设施。
○ 该部署将所有组件放置在同一个隔间中。
○ 辐射点VCN无法从互联网访问。
可用性和冗余
• 除了实例之外,其余组件没有冗余要求。VPN Connect和FastConnect组件是冗余的。为了进一步的冗余,使用多个连接,最好是来自不同供应商的。
成本
• 此架构的唯一有成本的组件是计算实例和FastConnect(端口时数和供应商费用)。如果连接到不同区域的VCN,区域间的流量将被收费。其他组件没有相关成本。
管理
• 路由管理简化了,因为大多数路由将位于DRG。使用DRG作为枢纽,可以有300个附件(使用LPGs时,枢纽VCN只能连接到10个VCN)。
部署
此参考架构的Terraform代码可在GitHub上获得。您可以通过单击将代码拉入甲骨文云基础设施资源管理器,创建堆栈并部署它。或者,您可以从GitHub下载代码到您的计算机,自定义代码,并使用Terraform命令行界面部署架构。
注意:Terraform代码包含了架构图中显示的大多数组件。服务VM、工作负载VM、VPN连接和FastConnect虽然在图中显示,但不包含在代码中。
• 使用甲骨文云基础设施资源管理器部署:
a. 点击,如果您还没有登录,请输入租户和用户凭据。
b. 查看并接受条款和条件。
c. 选择您想要部署堆栈的区域。
d. 按照屏幕上的提示和指示创建堆栈。
e. 创建堆栈后,点击Terraform操作,选择计划。
f. 等待作业完成,并查看计划。
g. 如需进行任何更改,返回到堆栈详情页面,点击编辑堆栈,并进行必要的更改。然后再次运行计划操作。
h. 如果不需要进一步更改,返回到堆栈详情页面,点击Terraform操作,并选择应用。
• 使用Terraform命令行界面部署:
a. 访问GitHub。
b. 克隆或下载存储库到您的本地计算机。
c. 按照README文档中的说明操作。
开启您的Oracle云之旅:Agilewing - 您的智能云服务伙伴
作为Oracle的高级合作伙伴,Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持,Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务,您可以迅速开启并享受Oracle云的全方位服务,从而无缝融入云端世界。
Agilewing的AgileCDN服务,结合了OCI的云基础服务,提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络,确保了无论您的业务扩展到全球哪个角落,都能保持高效稳定的运行。
利用Oracle云的先进技术,Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案,使他们能够更加专注于核心业务,同时享受Oracle云的高性能和安全保障。
Oracle云服务,作为一个充满潜力的领域,以其高性能、安全性和全球统一的服务标准,为各类企业开启了新的机遇之门。通过Agilewing的专业服务,无论是个人用户还是企业,都能轻松步入这个充满技术革新和高效能的新时代。现在,就让Agilewing引领您开始探索Oracle云服务,打开一个全新的世界大门
