Identifier la topologie et les spécifications du VCN

Choisissez une topologie et des spécifications VCN qui répondent le mieux aux besoins de votre entreprise.

Architecture réseau unique

Si votre réseau est destiné à la validation de concept (PoC) ou à un test rapide, une architecture de réseau unique, sans pare-feu dédié entre sur site et OCI ou entre les réseaux cloud virtuels, fonctionne bien. Vous pouvez attacher d'autres réseaux cloud virtuels ultérieurement, si nécessaire.

Le diagramme suivant présente un exemple d'architecture à réseau unique :



Remarques :

Oracle recommande d'utiliser Oracle Cloud Infrastructure Web Application Firewall (OCI WAF) ou OCI Network Firewall pour des raisons de sécurité si vous disposez d'applications Internet (adresses IP publiques).

Architecture de réseau hub-and-spoke

Oracle recommande une architecture hub-and-spoke pour les déploiements qui devront peut-être évoluer à l'avenir. Cette topologie prend en charge les pare-feu centralisés, l'inspection du trafic, les noeuds de gestion et active les logiciels de pare-feu entre les réseaux cloud virtuels sur site et OCI ou entre les réseaux cloud virtuels (trafic est-ouest).

Le schéma suivant présente un exemple d'utilisation d'une architecture réseau hub-and-spoke :



L'architecture réseau hub-and-spoke est l'architecture recommandée par Oracle pour la plupart des déploiements. Utilisez l'architecture réseau hub-and-spoke si votre entreprise requiert l'une ou plusieurs des options suivantes (et non une liste exclusive) :

  • Utilisez (ou prévoyez d'utiliser) plusieurs réseaux cloud virtuels pour séparer les charges de travail.
  • Centralisez le trafic Internet dans un VCN hub, où le pare-feu réseau, les équilibreurs de charge Internet, WAF et les ressources de passerelle Internet sont gérés.
  • Maintenir la séparation du réseau pour les environnements de production, de test et de développement.

Caractéristiques d'un réseau cloud virtuel

Oracle vous recommande de tirer parti de toutes les fonctionnalités OCI disponibles pour maximiser la résilience de l'architecture. Dans les régions comportant trois domaines de disponibilité, concevez votre VCN de sorte que ses sous-réseaux puissent couvrir tous les domaines.

L'image suivante montre comment optimiser l'utilisation des domaines de disponibilité pour les conceptions de haute disponibilité.



Oracle recommande :

  • Utilisation de sous-réseaux régionaux couvrant tous les domaines de disponibilité pour une haute disponibilité.
  • Création de réseaux cloud virtuels distincts pour différentes charges globales.

Remarques :

Pour les régions avec un seul domaine de disponibilité, utilisez des domaines de pannes pour améliorer la résilience.

Taille de votre VCN ou de vos sous-réseaux

Planifiez vos réseaux cloud virtuels pour une extension future et sélectionnez une plage d'adresses IP qui évite tout chevauchement avec vos réseaux sur site ou autres.

Le tableau suivant indique comment dimensionner vos réseaux cloud virtuels en fonction de vos besoins.

Taille du VCN Masque réseau Taille du sous-réseau Nombre de sous-réseaux dans le VCN Adresses IP utilisables par sous-réseau
Petite /24 /27 8 29
Moyenne /20 /24 16 253
Grande /18 /22 16 1 021
Très grande /16 /20 8 4 093

Les différents sous-réseaux d'un VCN peuvent utiliser différentes tailles de bloc CIDR pour optimiser les besoins spécifiques de la charge globale.

Remarques :

OCI réserve trois adresses IP à chaque sous-réseau.

Listes de sécurité et groupes de sécurité réseau

Les listes de sécurité vous permettent de définir un ensemble de règles de sécurité qui s'appliquent à toutes les ressources d'un sous-réseau.

Utilisez des groupes de sécurité réseau pour une sécurité plus précise au niveau des applications. Les groupes de sécurité réseau vous permettent de définir des règles pour des cartes d'interface réseau virtuelles, des équilibreurs de charge, des systèmes de base de données spécifiques, etc.

Le graphique suivant montre un exemple de la façon dont vous pouvez séparer l'architecture de sous-réseau du VCN des exigences de sécurité à l'aide de groupes de sécurité réseau et autoriser uniquement les ressources à l'aide de NSG_DB1 à se connecter à la ressource à l'aide de NSG_App1.



Vous pouvez utiliser à la fois des listes de sécurité et des groupes de sécurité réseau pour contrôler l'accès à vos ressources dans des sous-réseaux privés et publics. Si vous utilisez à la fois des groupes de sécurité réseau et des listes de sécurité, le résultat sera les règles récapitulatives combinées du groupe et de la liste de sécurité.

Oracle recommande d'utiliser des groupes de sécurité réseau pour :

  • Séparez l'architecture de sous-réseau VCN des exigences de sécurité des applications.
  • Définissez un ensemble de règles entrantes et sortantes qui s'appliquent à des cartes d'interface réseau virtuelles spécifiques.

Conseil :

Si vous utilisez des listes de sécurité, Oracle recommande d'utiliser une liste de sécurité individuelle par sous-réseau au lieu d'une liste combinée pour tous les sous-réseaux.

Tables de routage

Les tables de routage existent aux niveaux VCN et DRG (Dynamic Routing Gateway). Au niveau du DRG, les tables de routage peuvent être des instructions statiques ou importées dynamiquement via des distributions de routage d'import. Ils acheminent le trafic d'une pièce jointe vers la pièce jointe de destination en fonction du préfixe IP défini dans la table de routage. Créez des tables de routage spécifiques pour chaque pièce jointe. Utilisez les tables de routage générées automatiquement par défaut uniquement pour les tests ou les prototypes simples.

Conseil :

Oracle recommande d'importer des acheminements à l'aide des ventilations d'acheminement d'importation.

Le schéma suivant présente les tables de routage associées au niveau DRG :



Les tables de routage de niveau DRG gèrent :

  • Attachements de réseau cloud virtuel
  • Attachements de circuits virtuels/FastConnect
  • Pièces jointes IPSec/VPN
  • Attachements de connexion d'appairage à distance (RPC)

Remarques :

Un routage statique dans une table de routage ne peut pas pointer vers des pièces jointes FastConnect ou IPsec. Utilisez plutôt la distribution de routage d'import.

Dans un VCN/sous-réseau, utilisez des routages statiques pour diriger le trafic vers des passerelles. Affectez des tables de routage individuelles à chaque sous-réseau pour contrôler le trafic sortant. Les ressources d'un même VCN peuvent communiquer sans acheminements explicites (acheminement implicite), mais des règles de sécurité appropriées doivent être en place.

Le diagramme suivant présente les passerelles auxquelles des tables de routage peuvent être associées, ainsi que d'autres ressources :



Les tables de routage sont normalement associées par sous-réseau pour contrôler le trafic de chaque sous-réseau spécifique. Vous pouvez configurer le routage avancé à partir des ressources d'un sous-réseau ou vers les ressources d'un sous-réseau.

Les tables de routage peuvent être associées à :

  • Sous-réseau
  • VCN (entrée), attaché à la pièce jointe DRG. Généralement utilisé pour forcer le trafic vers un pare-feu.
  • Passerelle Internet
  • Passerelle NAT
  • Passerelle de service
  • LPG
  • Carte d'interface réseau virtuelle
  • Adresse IP