VCNトポロジおよび仕様の理解
ビジネス・ニーズに対応するVCNトポロジとVCN仕様を決定します。
単一ネットワーク・アーキテクチャ
次の図は、単一のネットワークアーキテクチャーの例を示しています。
Hub- and- Spokeネットワーク・アーキテクチャ
ハブ・アンド・スポーク・ネットワーク・アーキテクチャは、将来スケーリングを必要とするデプロイメントに対してOracleの推奨アプローチです。
このアーキテクチャにより、ファイアウォール、トラフィック検査管理ノードなどのデプロイメントが可能になり、オンプレミスとOCIの間、またはVCN間でファイアウォール・ソフトウェアを実装できます。次の図は、ハブアンドスポーク・ネットワーク・アーキテクチャの使用例を示しています。
ビジネスで次の1つ以上が必要な場合、ハブアンドスポーク・アーキテクチャを選択します。
- 展開して将来のVCNを追加
- 地域の規制要件のために、複数の個別のVCNにまたがる
- 別個のVCNで顧客を分離
- 本番環境、テスト環境および開発環境の仮想ネットワーク分離が必要
- ハブVCN内のファイアウォールで転送ルーティング機能が必要
Virtual Cloudネットワーク仕様
Oracleでは、使用可能なすべての機能を使用して、アーキテクチャをできるだけ回復力にすることをお薦めします。3つの可用性ドメインがあるリージョンでは、これらを使用して、すべての可用性ドメインにサブネットをまたがることができます。
Oracleでは、リージョン内のすべての可用性ドメインにまたがるリージョナル・サブネットと、様々なワークロード用に個別のVCNNを使用することをお薦めします。
ノート:
単一のアベイラビリティ・ドメインを持つリージョンでアーキテクチャを使用する予定の場合は、フォルト・ドメインを使用して1つのアベイラビリティ・ドメイン内でより高い回復性を構築します。
VCNまたはサブネットのサイズ設定
将来の拡張を可能にするようにVCNのサイズを設定し、接続先のオンプレミスまたは他のネットワークと重複しないIPアドレス範囲を選択します。
次の表は、必要に応じてVCNのサイズ設定方法を決定するのに役立ちます。
| VCNサイズ | ネットマスク | サブネット・サイズ | VCNのサブネット数 | サブネットごとに使用可能なIP |
|---|---|---|---|---|
| 小 | /24 | /27 | 8 | 30 |
| 中 | /20 | /24 | 16 | 254 |
| 大 | /18 | /22 | 16 | 1022 |
| 特大 | /16 | /20 | 8 | 4094 |
セキュリティ・リストとネットワーク・セキュリティ・グループ
セキュリティ・リストは、すべてのサブネットに適用されるセキュリティ・ルールを使用して、アプリケーションに包括的なセキュリティを提供します。ただし、特定のサブネット内に異なるセキュリティ状態を必要とする複数のリソースがあり、より詳細なアプリケーション・レベルでトラフィックを制御する必要がある場合は、NSGを使用してこれらの細かいルールを作成し、複数のリソースを追加できます。
次の図は、NSGを使用してVCNのサブネット・アーキテクチャをセキュリティ要件から分離する方法の例を示しています。
セキュリティ・リストまたはネットワーク・セキュリティ・グループ(NSG)を使用して、プライベート・サブネットとパブリック・サブネットの両方のリソースへのアクセスを制御できます。これらは、同時または個別に使用できます。
NSGではアプリケーションのセキュリティ要件からVCNサブネット・アーキテクチャを分離できるため、Oracleでは、セキュリティ・リストよりNSGを使用することをお薦めします。NSGを使用して、特定のVNICに適用されるイングレスおよびエグレス・ルールのセットを定義します。
セキュリティ・リストを使用すると、サブネット内のすべてのVNICに適用されるセキュリティ・ルールのセットを定義できます。次の3つのサブネットを含むセキュリティ・リストの例では、セキュリティ・リストに含まれる3つのサブネットすべてにルールが適用されます。
- サブネット1 10.0.0/24
- サブネット2 10.0.1.0/24
- サブネット3 10.0.2.0/24
NSGにVNICおよびセキュリティ・ルールが含まれている例を考えてみます。NSGグループ・ルールは、NSGに追加されたVNICに適用されます。
ノート:
Oracleでは、個々のルート表とプライベート・サブネットを使用して、VCN内外でのトラフィックのフローを制御することをお薦めします。