Identifier la topologie et les spécifications du VCN

Choisissez une topologie de réseau VCN et des spécifications qui répondent le mieux aux besoins de votre entreprise.

Architecture de réseau unique

Si votre réseau est destiné à une démonstration de faisabilité (PoC) ou à un test rapide, une architecture à réseau unique, sans pare-feu dédié entre les systèmes sur place et OCI ou entre les réseaux en nuage virtuels, fonctionne bien. Vous pouvez attacher d'autres réseaux en nuage virtuels plus tard, si nécessaire.

Le diagramme suivant présente un exemple d'architecture à réseau unique :


Description de single-vcn-topology.png :
Description de l'illustration single-vcn-topology.png

Note :

Oracle recommande d'utiliser le service de pare-feu d'application Web pour Oracle Cloud Infrastructure Web Application Firewall (OCI WAF) ou le service de pare-feu de réseau pour OCI pour des raisons de sécurité si vous avez des applications accessibles sur Internet (adresses IP publiques).

Architecture de réseau en étoile

Oracle recommande une architecture en étoile pour les déploiements qui devront peut-être évoluer à l'avenir. Cette topologie prend en charge les pare-feu centralisés, l'inspection du trafic, les noeuds de gestion et active le logiciel de pare-feu entre les installations sur place et OCI ou entre les réseaux en nuage virtuels (trafic est-ouest).

Le diagramme suivant présente un exemple d'utilisation d'une architecture de réseau en étoile :


Description de hub-and-spoke-topology.png :
Description de l'illustration hub-and-spoke-topology.png

L'architecture de réseau en étoile est l'architecture recommandée par Oracle pour la plupart des déploiements. Utilisez l'architecture réseau en étoile si votre entreprise a besoin d'un ou de plusieurs des éléments suivants (et non d'une liste exclusive) :

  • Utilisez (ou prévoyez d'utiliser) plusieurs réseaux en nuage virtuels pour séparer les charges de travail.
  • Centralisez le trafic orienté Internet dans un VCN hub, où sont gérés le pare-feu de réseau, les équilibreurs de charge orientés Internet, le WAF et les ressources de passerelle Internet.
  • Maintenir la séparation du réseau pour les environnements de production, de test et de développement.

Spécifications du réseau en nuage virtuel

Oracle vous recommande de tirer parti de toutes les capacités OCI disponibles pour optimiser la résilience de l'architecture. Dans les régions comportant trois domaines de disponibilité, concevez votre VCN afin que ses sous-réseaux puissent couvrir tous les domaines.

L'image suivante montre comment optimiser l'utilisation des domaines de disponibilité pour les conceptions à haute disponibilité.


Description de vcn-network-design-example.png :
Description de l'illustration vcn-network-design-example.png

Oracle recommande :

  • Utilisation de sous-réseaux régionaux couvrant tous les domaines de disponibilité pour assurer une haute disponibilité.
  • Création de réseaux en nuage virtuels distincts pour différentes charges de travail.

Note :

Pour les régions avec un seul domaine de disponibilité, utilisez les domaines d'erreur pour améliorer la résilience.

Dimensionner votre VCN ou vos sous-réseaux

Planifiez vos réseaux en nuage virtuels pour une expansion future et sélectionnez un intervalle d'adresses IP qui évite les chevauchements avec vos réseaux sur place ou autres.

Le tableau suivant fournit des conseils sur la taille de vos réseaux en nuage virtuels en fonction de vos besoins.

Taille du VCN Masque de réseau Taille du sous-réseau Nombre de sous-réseaux dans le réseau VCN Adresses IP utilisables par sous-réseau
Petite /24 /27 8 29
Medium /20 /24 16 253
Grande /18 /22 16 1 021
Très grande /16 /20 8 4 093

Différents sous-réseaux d'un VCN peuvent utiliser des tailles de bloc CIDR différentes pour une optimisation en fonction de besoins spécifiques en matière de charge de travail.

Note :

OCI réserve trois adresses IP dans chaque sous-réseau.

Listes de sécurité et groupes de sécurité de réseau

Les listes de sécurité vous permettent de définir un jeu de règles de sécurité qui s'appliquent à toutes les ressources d'un sous-réseau.

Utilisez des groupes de sécurité de réseau pour une sécurité plus granulaire au niveau de l'application. Les groupes de sécurité de réseau vous permettent de définir des règles pour des cartes vNIC, des équilibreurs de charge, des systèmes de base de données, etc. spécifiques.

Le graphique suivant montre un exemple de la façon dont vous pouvez séparer l'architecture de sous-réseau du VCN des exigences de sécurité à l'aide de groupes de sécurité de réseau et autoriser uniquement les ressources utilisant NSG_DB1 à se connecter à la ressource à l'aide de NSG_App1.


Description de vcn-subnet-app-security-nsg-isolation.png :
Description de l'illustration vcn-subnet-app-security-nsg-isolation.png

Vous pouvez utiliser à la fois des listes de sécurité et des groupes de sécurité de réseau pour contrôler l'accès à vos ressources sur des sous-réseaux privés et publics. Si vous utilisez à la fois des groupes de sécurité de réseau et des listes de sécurité, le résultat sera les règles sommaires combinées du groupe de sécurité de réseau et de la liste de sécurité.

Oracle recommande d'utiliser des groupes de sécurité de réseau pour :

  • Séparer l'architecture de sous-réseau de VCN des exigences de sécurité de l'application.
  • Définissez un jeu de règles de trafic entrant et sortant qui s'appliquent à des cartes vNIC spécifiques.

Conseil :

Si vous utilisez des listes de sécurité, Oracle recommande d'utiliser une liste de sécurité individuelle par sous-réseau au lieu d'une liste combinée pour tous les sous-réseaux.

Tables de routage

Les tables de routage existent aux niveaux VCN et passerelle de routage dynamique (DRG). Au niveau de la passerelle DRG, les tables de routage peuvent être des énoncés statiques ou importées dynamiquement au moyen de répartitions de routes d'importation. Ils acheminent le trafic d'un attachement vers l'attachement de destination en fonction du préfixe IP défini dans la table de routage. Créez des tables de routage spécifiques pour chaque attachement; utilisez des tables de routage générées automatiquement par défaut uniquement pour les tests ou les prototypes simples.

Conseil :

Oracle recommande d'importer des routes à l'aide de répartitions de routes d'importation.

Le diagramme suivant présente les tables de routage associées au niveau DRG :


Description de drg-level-route-table.png :
Description de l'illustration drg-level-route-table.png

Les tables de routage au niveau DRG gèrent les éléments suivants :

  • Attachements de réseau en nuage virtuel
  • Attachements de circuit virtuel/FastConnect
  • Fichiers joints IPSec/VPN
  • Attachements de connexion d'appairage distant (RPC)

Note :

Une route statique dans une table de routage ne peut pas pointer vers des attachements FastConnect ou IPsec; utilisez plutôt la répartition de routes d'importation.

Dans un VCN/sous-réseau, utilisez des routes statiques pour diriger le trafic vers les passerelles. Affectez des tables de routage individuelles à chaque sous-réseau pour contrôler le trafic sortant. Les ressources du même VCN peuvent communiquer sans routes explicites (routage implicite), mais des règles de sécurité appropriées doivent être en place.

Le diagramme suivant présente les passerelles auxquelles des tables de routage peuvent être associées ainsi que d'autres ressources :


Description de individuellement-route-traffic-vcn.png
Description de l'illustration individuellement-route-traffic-vcn.png

Les tables de routage sont normalement associées par sous-réseau pour contrôler le trafic à partir de chaque sous-réseau spécifique. Vous pouvez configurer le routage avancé à partir des ressources du sous-réseau ou vers les ressources d'un sous-réseau.

Les tables de routage peuvent être associées aux éléments suivants :

  • Sous-réseau
  • VCN (entrant), attaché à l'attachement de passerelle DRG. Généralement utilisé pour forcer le trafic vers un pare-feu.
  • Passerelle Internet
  • Passerelle NAT
  • Passerelle de service
  • LPG
  • VNIC
  • Adresse IP