VCN 토폴로지 및 사양 식별
비즈니스 요구사항을 해결하는 VCN 토폴로지와 VCN 사양을 결정합니다.
단일 네트워크 아키텍처
다음 다이어그램은 단일 네트워크 구조의 예를 보여줍니다.
Hub 및 Spoke 네트워크 아키텍처
허브-스포크 네트워크 아키텍처는 향후 확장이 필요한 배포에 대한 Oracle 권장 접근 방식입니다.
이 아키텍처는 방화벽, 트래픽 검사 관리 노드 등과 같은 배포를 허용하며, 온프레미스와 OCI 간에 또는 VCN 간에 방화벽 소프트웨어를 구현할 수 있도록 합니다. 다음 다이어그램은 허브-스포크 네트워크 구조 사용의 예를 보여줍니다.
비즈니스에 다음 중 하나 이상이 필요한 경우 허브-스포크 아키텍처를 선택합니다.
- 앞으로 더 많은 VCN을 포함하도록 확장
- 현지 규제 요구사항으로 인해 여러 VCN에 걸친 개별 VCN
- 별도의 VCN으로 고객 분리
- 운영, 테스트 및 개발 환경을 위한 가상 네트워크 분리 필요
- 허브 VCN에서 방화벽을 사용하는 전송 라우팅 기능 필요
가상 클라우드 네트워크 사양
Oracle은 사용 가능한 모든 기능을 사용하여 구조의 탄력성을 최대한 활용할 것을 권장합니다. 3개의 가용성 도메인이 있는 영역에서 해당 도메인을 사용하고 모든 가용성 도메인에서 서브넷이 확장되도록 허용합니다.
Oracle은 한 지역의 모든 가용성 도메인에 걸쳐 있으며 다양한 워크로드에 대해 별도의 VCN이 있는 지역 서브넷을 사용할 것을 권장합니다.
주:
단일 가용성 도메인이 있는 지역에서 아키텍처를 사용하려는 경우, 장애 도메인을 사용하여 단일 가용성 도메인 내에서 더 나은 복원력을 구축할 수 있습니다.
VCN 또는 서브넷 크기 조정
향후 확장을 허용하도록 VCN의 크기를 조정하고, 온프레미스 또는 연결할 수 있는 다른 네트워크와 겹치지 않는 IP 주소 범위를 선택합니다.
다음 표는 필요에 따라 VCN의 크기를 조정하는 방법을 결정하는 데 도움이 됩니다.
| VCN 크기 | 네트 마스크 | 서브넷 크기 | VCN의 서브넷 수 | 서브넷당 사용 가능한 IP |
|---|---|---|---|---|
| 작게 | /24 | /27 | 8 | 30 |
| 중간 | /20 | /24 | 16 | 254 |
| 크게 | /18 | /22 | 16 | 1022 |
| 매우 크게 | /16 | /20 | 8 | 4094 |
보안 목록 및 네트워크 보안 그룹
보안 목록은 모든 서브넷에 보안 규칙이 적용된 애플리케이션에 포괄적인 보안을 제공합니다. 그러나 지정된 서브넷 내에서 서로 다른 보안 상태를 요구하는 여러 리소스가 있고 보다 세분화된 애플리케이션 레벨에서 트래픽을 제어해야 하는 경우 NSG를 통해 이러한 세분화된 규칙을 생성하고 여러 리소스를 추가할 수 있습니다.
다음 그림은 NSG를 통해 VCN의 서브넷 아키텍처를 보안 요구사항과 분리하는 방법의 예를 보여줍니다.
보안 목록 또는 NSG(네트워크 보안 그룹)를 사용하여 전용 및 공용 서브넷 둘 다의 리소스에 대한 액세스를 제어할 수 있습니다. 함께 사용하거나 개별적으로 사용할 수 있습니다.
NSG를 사용하면 애플리케이션의 보안 요구 사항과 VCN 서브넷 아키텍처를 분리할 수 있으므로 Oracle은 보안 목록에 NSG를 사용할 것을 권장합니다. NSG를 사용하여 특정 VNIC에 적용되는 일련의 수신 및 송신 규칙을 정의하십시오.
보안 목록을 사용하면 서브넷의 모든 VNIC에 적용되는 일련의 보안 규칙을 정의할 수 있습니다. 세 개의 서브넷을 포함하는 다음 보안 목록 예에서는 보안 목록에 포함된 세 개의 서브넷 모두에 규칙이 적용됩니다.
- 서브넷 1 10.0.0/24
- 서브넷 2 10.0.1.0/24
- 서브넷 3 10.0.2.0/24
NSG에 VNIC 및 보안 규칙이 포함된 예를 살펴보십시오. NSG 그룹 규칙은 NSG에 추가된 VNIC에 적용됩니다.
주:
Oracle은 개별 라우트 테이블과 함께 전용 서브넷을 사용하여 VCN 내부 및 외부의 트래픽 플로우를 제어할 것을 권장합니다.