1. Mejores prácticas para el diseño de redes OCI híbridas y multinube
  2. Identificar la topología y las especificaciones de VCN

Identificar la topología y las especificaciones de VCN

Decida qué topología de VCN y qué especificaciones de VCN se adaptan a las necesidades de su negocio.

Arquitectura de red única

Si el objetivo de la red es una prueba de concepto (PoC) o un sistema de prueba, puede seleccionar una única arquitectura de red sin un firewall entre la ubicación local y OCI o entre las VCN. Esta arquitectura funciona bien si no tiene planes de ampliar su red con varias VCN en el futuro.

El siguiente diagrama muestra un ejemplo de una arquitectura de red única:


Descripción de single-vcn-topology.png a continuación
Descripción de la ilustración single-vcn-topology.png

Arquitectura de red en estrella

La arquitectura de red de hub y radios es el enfoque recomendado por Oracle para los despliegues que requieren una ampliación en el futuro.

Esta arquitectura permite despliegues como firewalls, nodos de gestión de inspecciones de tráfico, etc., y permite implantar un software de firewall entre el entorno local y OCI o entre las VCN. En el siguiente diagrama se muestra un ejemplo del uso de una arquitectura de red de hub y radios:


A continuación se muestra la descripción de hub-and-spoke-topology.png
Descripción de la ilustración hub-and-spoke-topology.png

Elija una arquitectura de hub y radios si su negocio necesita una o más de las siguientes opciones:

  • Ampliar para incluir más CNV en el futuro
  • Separación de varias redes virtuales independientes debido a los requisitos normativos locales
  • Clientes independientes en distintas VCN
  • Requerir la separación de redes virtuales para entornos de producción, prueba y desarrollo
  • Necesitan capacidades de enrutamiento en tránsito con firewall en la VCN de hub

Especificaciones de la red virtual en la nube

Oracle recomienda utilizar todas las capacidades disponibles para que la arquitectura sea lo más resiliente posible. En regiones en las que hay tres dominios de disponibilidad, utilícelos y permita que las subredes abarquen todos los dominios de disponibilidad.

En la siguiente imagen se muestra cómo puede maximizar el uso de dominios de disponibilidad para diseños de alta disponibilidad.


A continuación se muestra la descripción de ip-address-workload-availability.png
Descripción de la ilustración ip-address-workload-availability.png

Oracle recomienda utilizar subredes regionales que abarquen todos los dominios de disponibilidad de una región y distintas para distintas cargas de trabajo.

Nota:

Si tiene previsto utilizar la arquitectura de una región con un solo dominio de disponibilidad, utilice los dominios de errores para mejorar la resiliencia en un solo dominio de disponibilidad.

Tamaño de VCN o subredes

Ajuste el tamaño de las VCN para permitir la expansión futura y elija un rango de direcciones IP que no se superponga con las redes locales u otras redes a las que pueda conectarse.

La siguiente tabla le ayuda a decidir el tamaño de sus CNV en función de sus necesidades.

Tamaño de la VCN Netmask Tamaño de la subred Número de subredes en VCN IP utilizables por subred
Pequeño /24 /27 8 30
Medio /20 /24 16 254
Grande /18 /22 16 1022
Extra Grande /16 /20 8 4094

Listas de seguridad y grupos de seguridad de red

Las listas de seguridad proporcionan una seguridad completa a las aplicaciones con reglas de seguridad aplicadas en cada subred. Sin embargo, si tiene varios recursos que requieren diferentes posturas de seguridad en una subred determinada y necesita controlar el tráfico en un nivel de aplicación más granular, un NSG le permite crear estas reglas granulares y agregar varios recursos a ellas.

En el siguiente gráfico se muestra un ejemplo de cómo puede separar la arquitectura de subred de la VCN de los requisitos de seguridad mediante los NSG.


A continuación se muestra la descripción de vcn-prod-env-nsg-isolation.png
Descripción de la ilustración vcn-prod-env-nsg-isolation.png

Puede utilizar listas de seguridad o grupos de seguridad de red (NSG) para controlar el acceso a sus recursos tanto en subredes privadas como públicas. Puede utilizarlas de forma conjunta o por separado.

Oracle recomienda utilizar NSG en las listas de seguridad, ya que los NSG permiten separar la arquitectura de subred de las VCN de los requisitos de seguridad de la aplicación. Use los NSG para definir un juego de reglas de entrada y salida que se apliquen a VNIC específicas.

Las listas de seguridad permiten definir un conjunto de reglas de seguridad que se aplican a todas las VNIC de una subred. En la siguiente lista de seguridad de ejemplo, que incluye tres subredes, las reglas se aplicarán a las tres subredes incluidas en la lista de seguridad:

  • Subred 1 10.0.0/24
  • Subred 2 10.0.1.0/24
  • Subred 3 10.0.2.0/24

Considere un ejemplo en el que el NSG incluye VNIC y reglas de seguridad. Las reglas de grupo de NSG se aplican a las VNIC que se agregan al NSG.

Nota:

Oracle recomienda utilizar subredes privadas con tablas de rutas individuales para controlar el flujo de tráfico dentro y fuera de la VCN.