1. Best Practices für das Hybrid- und Multi-Cloud-OCI-Networkingdesign
  2. VCN-Topologie und -Spezifikationen identifizieren

VCN-Topologie und -Spezifikationen identifizieren

Entscheiden Sie, welche VCN-Topologie und welche VCN-Spezifikationen Ihre Geschäftsanforderungen erfüllen.

Einzelne Netzwerkarchitektur

Wenn der Zweck Ihres Netzwerks ein Konzeptnachweis (PoC) oder ein Testsystem ist, können Sie eine einzelne Netzwerkarchitektur ohne eine Firewall zwischen On Premise und OCI oder zwischen VCNs auswählen. Diese Architektur funktioniert problemlos, wenn Sie in Zukunft keine Pläne zur Erweiterung Ihres Netzwerks auf mehrere VCNs haben.

Das folgende Diagramm zeigt ein Beispiel einer einzelnen Netzwerkarchitektur:


Beschreibung von single-vcn-topology.png folgt
Beschreibung der Abbildung single-vcn-topology.png

Hub-and-Spoke-Netzwerkarchitektur

Die Hub-and-Spoke-Netzwerkarchitektur ist der von Oracle empfohlene Ansatz für Deployments, für die in Zukunft eine Skalierung erforderlich ist.

Diese Architektur ermöglicht Deployments wie Firewalls, Managementknoten für Trafficprüfungen usw. und ermöglicht die Implementierung einer Firewallsoftware zwischen On Premise und OCI oder zwischen VCNs. Das folgende Diagramm zeigt ein Beispiel für die Verwendung einer Hub-and-Spoke-Netzwerkarchitektur:


Beschreibung von hub-and-spoke-topology.png folgt
Beschreibung der Abbildung hub-and-spoke-topology.png

Wählen Sie eine Hub-and-Spoke-Architektur aus, wenn Ihr Unternehmen mindestens eines der folgenden Punkte benötigt:

  • Erweitern, um weitere VCNs in Zukunft einzuschließen
  • Mehrere separate VCNs aufgrund von lokalen gesetzlichen Anforderungen austauschen
  • Separate Kunden in separaten VCNs
  • Virtuelle Netzwerktrennung für Produktions-, Test- und Entwicklungsumgebungen erforderlich
  • Transitrouting-Funktionen mit Firewall in Hub-VCN erforderlich

Spezifikationen des virtuellen Cloud-Netzwerks

Oracle empfiehlt die Verwendung aller verfügbaren Funktionen, um die Architektur so resilient wie möglich zu gestalten. Verwenden Sie in Regionen mit drei Availability-Domains diese Domains, und ermöglichen Sie es Subnetzen, sich über alle Availability-Domains hinweg zu erstrecken.

Die folgende Abbildung zeigt, wie Sie die Verwendung von Availability-Domains für High Availability-Designs maximieren können.


Beschreibung von ip-address-workload-availability.png folgt
Beschreibung der Abbildung ip-address-workload-availability.png

Oracle empfiehlt die Verwendung regionaler Subnetze, die alle Availability-Domains in einer Region und separate VCNs für verschiedene Workloads umfassen.

Hinweis:

Wenn Sie die Architektur in einer Region mit einer einzelnen Availability-Domain verwenden möchten, können Sie mit Faultdomains eine bessere Resilienz in einer Availability-Domain erreichen.

Größe des VCN oder der Subnetze festlegen

Erstellen Sie eine Größe für Ihre VCNs, um eine zukünftige Erweiterung zu ermöglichen, und wählen Sie einen IP-Adressbereich aus, der sich nicht mit On-Premise- oder anderen Netzwerken überschneidet, mit denen Sie sich möglicherweise verbinden.

In der folgenden Tabelle können Sie die Größe Ihrer VCNs je nach Bedarf festlegen.

VCN-Größe Netzmaske Subnetzgröße Anzahl der Subnetze im VCN Verwendbare IPs pro Subnetz
Klein /24 /27 8 30
Mittel /20 /24 16 254
Groß /18 /22 16 1022
Sehr groß /16 /20 8 4094

Sicherheitslisten und Netzwerksicherheitsgruppen

Sicherheitslisten bieten umfassende Sicherheit für Anwendungen, auf die in jedem Subnetz Sicherheitsregeln angewendet werden. Wenn Sie jedoch über mehrere Ressourcen verfügen, die unterschiedliche Sicherheitsanforderungen in einem bestimmten Subnetz erfordern und Traffic auf einer detaillierteren Anwendungsebene kontrollieren müssen, können Sie mit einer NSG diese granularen Regeln erstellen und ihnen mehrere Ressourcen hinzufügen.

Die folgende Abbildung zeigt ein Beispiel, wie Sie die Subnetzarchitektur des VCN von den Sicherheitsanforderungen mit NSGs trennen können.


Beschreibung von vcn-prod-env-nsg-isolation.png folgt
Beschreibung der Abbildung vcn-prod-env-nsg-isolation.png

Mit Sicherheitslisten oder Netzwerksicherheitsgruppen (NSG) können Sie den Zugriff auf Ihre Ressourcen sowohl in privaten als auch in öffentlichen Subnetzen kontrollieren. Sie können sie gemeinsam oder separat verwenden.

Oracle empfiehlt die Verwendung von NSGs über Sicherheitslisten, weil NSGs es Ihnen ermöglichen, die VCNs-Subnetzarchitektur von den Sicherheitsanforderungen Ihrer Anwendung zu trennen. Verwenden Sie NSGs, um ein Set von Ingress- und Egress-Regeln zu definieren, die für bestimmte VNICs gelten.

Mit Sicherheitslisten können Sie ein Set von Sicherheitsregeln definieren, die für alle VNICs in einem Subnetz gelten. In der folgenden Beispielsicherheitsliste, die drei Subnetze enthält, gelten die Regeln für alle drei in der Sicherheitsliste enthaltenen Subnetze:

  • Subnetz 1 10.0.0/24
  • Subnetz 2 10.0.1.0/24
  • Subnetz 3 10.0.2.0/24

Beispiel: Die NSG enthält VNICs und Sicherheitsregeln. NSG-Gruppenregeln gelten für VNICs, die der NSG hinzugefügt werden.

Hinweis:

Oracle empfiehlt die Verwendung privater Subnetze mit individuellen Routentabellen, um den Datenverkehr innerhalb und außerhalb des VCN zu steuern.