Wichtige Designentscheidungen für OCI Workload Networking kennenlernen
Bevor Sie beginnen
Architektur
Diese Architektur zeigt eine vollständige Architektur, nachdem Sie Ihr Netzwerk und Ihre Konnektivität eingerichtet haben. Verwenden Sie diese Architektur, um wichtige Designentscheidungen zu treffen, die auf Ihre Unternehmensanforderungen zugeschnitten sind.
Das folgende Diagramm veranschaulicht die fertige Referenzarchitektur für ein resilientes OCI-Netzwerk.
Beschreibung der Abbildung multi-region-deployment-full-arch.png
multi-region-deployment-full-arch-oracle.zip
Diese Architektur unterstützt die folgenden Komponenten:
- Virtuelles OCI-Cloud-Netzwerk und Subnetz
Ein virtuelles Cloud-Netzwerk (VCN) ist ein anpassbares, softwaredefiniertes Netzwerk, das Sie in einer OCI-Region einrichten. Wie herkömmliche Data Center-Netzwerke erhalten Sie über VCNs die Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die sich auf eine Region oder eine Availability-Domain beschränken. Jedes Subnetz besteht aus einem Bereich zusammenhängender Adressen, die sich nicht mit anderen Subnetzen im VCN überschneiden. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.
- Netzwerksicherheitsgruppe (NSG)
NSGs fungieren als virtuelle Firewalls für Ihre Cloud-Ressourcen. Mit dem Zero-Trust-Sicherheitsmodell von OCI steuern Sie den Netzwerkverkehr innerhalb eines VCN. Eine NSG besteht aus einer Gruppe von Ingress- und Egress-Sicherheitsregeln, die ausschließlich für ein bestimmtes Set von virtuellen Netzwerkschnittstellenkarten (VNICs) in einem einzelnen VCN gelten.
- Sicherheitsliste
Sie können für jedes Subnetz Sicherheitsregeln erstellen, die Quelle, Ziel und Typ des Traffics angeben, der im Subnetz und außerhalb des Subnetzes zulässig ist.
- Dynamisches Routinggateway (DRG)
Das DRG ist ein virtueller Router, der einen Pfad für den privaten Netzwerktraffic zwischen VCNs in derselben Region zwischen einem VCN und einem Netzwerk außerhalb der Region bereitstellt, z.B. ein VCN in einer anderen OCI-Region, ein On-Premise-Netzwerk oder ein Netzwerk in einem anderen Cloud-Provider.
- Lokales Peering
Mit lokalem Peering können zwei VCNs innerhalb derselben OCI-Region direkt über private IP-Adressen kommunizieren. Diese Kommunikation durchläuft weder das Internet noch Ihr On-Premise-Netzwerk. Lokales Peering wird durch ein lokales Peering-Gateway (LPG) aktiviert, das als Verbindungspunkt zwischen VCNs dient. Konfigurieren Sie ein LPG in jedem VCN, und richten Sie eine Peering-Beziehung ein, damit Instanzen, Load Balancer und andere Ressourcen in einem VCN sicher auf Ressourcen in einem anderen VCN innerhalb derselben Region zugreifen können.
- OCI FastConnect
Oracle Cloud Infrastructure FastConnect erstellt eine dedizierte, private Verbindung zwischen Ihrem Data Center und OCI. FastConnect bietet Optionen höherer Bandbreite und ein zuverlässigeres Netzwerk als bei internetbasierten Verbindungen.
- OCI Site-to-Site-VPN
OCI Site-to-Site-VPN bietet IPSec-VPN-Konnektivität zwischen Ihrem On-Premise-Netzwerk und VCNs auf OCI. Die IPSec-Protokollsuite verschlüsselt den IP-Traffic, bevor diese Pakete von der Quelle an das Ziel übertragen werden, und entschlüsselt den Traffic, wenn er ankommt.