Identificare la topologia e le specifiche della VCN
Decidere quale topologia VCN e quali specifiche VCN soddisfano le esigenze aziendali.
Architettura di rete singola
Il diagramma riportato di seguito mostra un esempio di architettura di rete singola.
Architettura di rete con hub e spoke
L'architettura di rete Hub-and-Spoke è l'approccio consigliato da Oracle per le distribuzioni che richiedono il ridimensionamento in futuro.
Questa architettura consente distribuzioni come firewall, nodi di gestione delle ispezioni del traffico e così via e consente di implementare un software firewall tra on premise e OCI o tra VCN. Il diagramma riportato di seguito mostra un esempio di utilizzo di un'architettura di rete hub e meccanismo.
Scegliere un'architettura hub-and-spoke se l'azienda richiede uno o più dei seguenti elementi:
- Espandi per includere più VCN in futuro
- Ampliare diversi VCN separati a causa dei requisiti normativi locali
- Separare i clienti su VCN separati
- Richiedi separazione della rete virtuale per ambienti di produzione, test e sviluppo
- Richiedi funzionalità di instradamento del transito con firewall nella VCN hub
Specifiche della rete cloud virtuale
Oracle consiglia di utilizzare tutte le funzionalità disponibili per rendere l'architettura il più resiliente possibile. Nelle aree in cui sono presenti tre domini di disponibilità, utilizzarli e consentire alle subnet di estendersi su tutti i domini di disponibilità.
L'immagine seguente mostra come ottimizzare l'uso dei domini di disponibilità per le progettazioni ad alta disponibilità.
Oracle consiglia di utilizzare le subnet regionali che si estendono su tutti i domini di disponibilità in un'area e VCN separati per carichi di lavoro diversi.
Nota:
Se prevedi di utilizzare l'architettura in un'area con un singolo dominio di disponibilità, utilizzare i domini di errore per creare una migliore resilienza all'interno di un unico dominio di disponibilità.
Ridimensiona la VCN o le subnet
Ridimensiona i VCN per consentire l'espansione futura e scegli un intervallo di indirizzi IP che non si sovrapponga a quello delle reti on premise o di altre reti a cui potresti connetterti.
La tabella seguente consente di decidere come ridimensionare i VCN in base alle proprie esigenze.
| Dimensione VCN | Maschera di rete | Dimensione subnet | Numero di subnet nella VCN | IP utilizzabili per ogni subnet |
|---|---|---|---|---|
| Piccola | /24 | /27 | 8 | 30 |
| Media | /20 | /24 | 16 | 254 |
| Grande | /18 | /22 | 16 | 1022 |
| Molto grande | /16 | /20 | 8 | 4094 |
Liste di sicurezza e gruppi di sicurezza di rete
Gli elenchi di sicurezza garantiscono sicurezza completa per le applicazioni che prevedono regole di sicurezza applicate in ogni subnet. Tuttavia, se all'interno di una determinata subnet sono presenti più risorse che richiedono posizioni di sicurezza diverse e è necessario controllare il traffico a un livello di applicazione più granulare, un gruppo NSG consente di creare queste regole granulari e aggiungere più risorse.
Il grafico seguente mostra un esempio di come separare l'architettura della subnet della VCN dai requisiti di sicurezza mediante NSG.
Puoi utilizzare le liste di sicurezza o i gruppi di sicurezza di rete (NSG) per controllare l'accesso alle tue risorse sia nelle subnet private che pubbliche. È possibile utilizzarli insieme o separatamente.
Oracle consiglia di utilizzare i gruppi di sicurezza NSG in base agli elenchi di sicurezza in quanto i gruppi NSG consentono di separare l'architettura della subnet VCN dai requisiti di sicurezza dell'applicazione. Gli NSG consentono di definire un set di regole in entrata e in uscita valide per VNIC specifiche.
Gli elenchi di sicurezza ti consentono di definire un set di regole di sicurezza che si applicano a tutte le VNIC di una subnet. Nell'elenco di sicurezza di esempio riportato di seguito, che include tre subnet, le regole verranno applicate a tutte e tre le subnet contenute nell'elenco di sicurezza.
- Subnet 1 10.0.0/24
- Subnet 2 10.0.1.0/24
- Subnet 3 10.0.2.0/24
Esaminare un esempio in cui NSG include VNIC e regole di sicurezza. Le regole del gruppo NSG si applicano alle VNIC aggiunte al gruppo NSG.
Nota:
Oracle consiglia di utilizzare le subnet private con singole tabelle di instradamento per controllare il flusso di traffico all'interno e all'esterno della VCN.