1. Meilleures pratiques pour la conception de réseaux OCI hybrides et multicloud
  2. Identification de la topologie et des spécifications VCN

Identification de la topologie et des spécifications VCN

Choisissez la topologie VCN et les spécifications VCN qui répondent aux besoins de votre entreprise.

Architecture réseau unique

Si l'objectif de votre réseau est une étude de faisabilité (PoC) ou un système de test, vous pouvez sélectionner une architecture réseau unique sans pare-feu entre le système sur site et OCI ou entre les réseaux cloud virtuels. Cette architecture fonctionne bien si vous ne prévoyez pas d'étendre votre réseau à plusieurs réseaux cloud virtuels à l'avenir.

Le schéma suivant présente un exemple d'architecture réseau unique :


Description de l'image single-vcn-topology.png
Description de l'illustration single-vcn-topology.png

Architecture de réseau hub-and-spoke

L'architecture réseau hub-and-Spoke est l'approche recommandée par Oracle pour les déploiements qui nécessitent une évolutivité future.

Cette architecture permet des déploiements tels que des pare-feu, des noeuds de gestion des inspections de trafic, etc., et vous permet d'implémenter un logiciel de pare-feu entre un système sur site et OCI ou entre des réseaux cloud virtuels. Le schéma suivant illustre l'utilisation d'une architecture réseau hub-and-spoke :


Description de l'image hub-and-spoke-topology.png
Description de l'illustration hub-and-spoke-topology.png ci-après

Choisissez une architecture hub-and-spoke si votre entreprise a besoin d'un ou plusieurs des éléments suivants :

  • Développement pour inclure davantage de réseaux cloud virtuels à l'avenir
  • S'étend sur plusieurs réseaux cloud virtuels distincts en raison des exigences réglementaires locales
  • Clients distincts sur des réseaux cloud virtuels distincts
  • Exiger une séparation des réseaux virtuels pour les environnements de production, de test et de développement
  • Exiger des capacités de routage de transit avec un pare-feu dans le hub VCN

Spécifications du réseau cloud virtuel

Oracle recommande d'utiliser toutes les fonctionnalités disponibles pour rendre l'architecture la plus résiliente possible. Dans les régions où il existe trois domaines de disponibilité, utilisez-les et autorisez les sous-réseaux à couvrir tous les domaines de disponibilité.

L'image suivante montre comment maximiser l'utilisation des domaines de disponibilité pour des conceptions à haute disponibilité.


Description de l'image ip-address-workload-availability.png
Description de l'illustration ip-address-workload-availability.png

Oracle recommande d'utiliser des sous-réseaux régionaux couvrant tous les domaines de disponibilité d'une région, et des réseaux cloud virtuels distincts pour les différentes charges de travail.

Remarque :

Si vous prévoyez d'utiliser l'architecture d'une région avec un seul domaine de disponibilité, utilisez les domaines de pannes pour renforcer la résilience au sein d'un domaine de disponibilité.

Dimensionner votre VCN ou vos sous-réseaux

Dimensionnez vos réseaux cloud virtuels pour qu'ils puissent être développés ultérieurement et choisissez une plage d'adresses IP qui ne chevauche pas les réseaux on-premise ou auxquels vous pourriez vous connecter.

Le tableau suivant vous aide à déterminer la taille de vos réseaux cloud virtuels en fonction de vos besoins.

Taille VCN Masque réseau Taille du sous-réseau Nombre de sous-réseaux dans VCN Adresses IP utilisables par sous-réseau
Petit /24 /27 8 30
Moyen /20 /24 16 254
Grande /18 /22 16 1022
Très grande /16 /20 8 4094

Listes de sécurité et groupes de sécurité réseau

Les listes de sécurité fournissent une sécurité complète aux applications avec des règles de sécurité appliquées à chaque sous-réseau. Toutefois, si plusieurs ressources nécessitent différentes publications de sécurité au sein d'un sous-réseau donné et que vous devez contrôler le trafic au niveau d'une application plus granulaire, un groupe de sécurité réseau vous permet de créer ces règles granulaires et d'y ajouter plusieurs ressources.

L'illustration suivante montre comment séparer l'architecture de sous-réseau de VCN des exigences de sécurité à l'aide de groupes de sécurité réseau.


Description de l'image vcn-prod-env-nsg-isolation.png ci-après
Description de l'illustration vcn-prod-env-nsg-isolation.png

Vous pouvez utiliser des listes de sécurité ou des groupes de sécurité réseau pour contrôler l'accès à vos ressources dans des sous-réseaux privés et publics. Vous pouvez les utiliser ensemble ou séparément.

Oracle recommande d'utiliser des groupes de sécurité réseau plutôt que des listes de sécurité, car ils vous permettent de séparer l'architecture de sous-réseau des réseaux cloud virtuels des exigences de sécurité de votre application. Utilisez des groupes de sécurité réseau pour définir un ensemble de règles entrantes et sortantes qui s'appliquent à des VNIC spécifiques.

Les listes de sécurité permettent de définir un ensemble de règles de sécurité qui s'appliquent à toutes les cartes d'interface réseau virtuelles d'un sous-réseau. Dans l'exemple de liste de sécurité suivant, qui comprend trois sous-réseaux, les règles s'appliquent aux trois sous-réseaux contenus dans la liste de sécurité :

  • Sous-réseau 1 10.0.0/24
  • Sous-réseau 2 10.0.1.0/24
  • Sous-réseau 3 10.0.2.0/24

Prenons un exemple où le groupe de sécurité réseau inclut des cartes d'interface réseau virtuelles et des règles de sécurité. Les règles de groupe de sécurité réseau s'appliquent aux cartes d'interface réseau virtuelles ajoutées au groupe de sécurité réseau.

Remarque :

Oracle recommande d'utiliser des sous-réseaux privés avec des tables de routage individuelles pour contrôler le flux de trafic à l'intérieur et à l'extérieur de VCN.