VCN 토폴로지 및 사양 식별

비즈니스 요구사항에 가장 적합한 VCN 토폴로지 및 사양을 선택합니다.

단일 네트워크 구조

네트워크가 개념 증명(PoC) 또는 빠른 테스트를 위한 것이라면 온프레미스와 OCI 간 또는 VCN 간 전용 방화벽이 없는 단일 네트워크 아키텍처가 잘 작동합니다. 필요한 경우 나중에 더 많은 VCN을 연결할 수 있습니다.

다음 다이어그램은 단일 네트워크 아키텍처의 예를 보여줍니다.


single-vcn-topology.png에 대한 설명은 다음과 같습니다.
단일 vcn-topology.png 그림에 대한 설명

주:

Oracle은 인터넷 연결 애플리케이션(공용 IP)이 있는 경우 보안상의 이유로 Oracle Cloud Infrastructure Web Application Firewall(OCI WAF) 또는 OCI Network Firewall을 사용할 것을 권장합니다.

허브-스포크 네트워크 아키텍처

Oracle은 향후 확장이 필요할 수 있는 배포를 위해 허브 앤 스포크 아키텍처를 권장합니다. 이 토폴로지는 중앙화된 방화벽, 트래픽 검사, 관리 노드를 수용하며 온프레미스와 OCI 간 또는 VCN 간(동서 트래픽) 방화벽 소프트웨어를 지원합니다.

다음 다이어그램은 허브-스포크 네트워크 아키텍처 사용의 예를 보여줍니다.


다음 hub-and-spoke-topology.png에 대한 설명입니다.
hub-and-spoke-topology.png 그림에 대한 설명

허브-스포크 네트워크 아키텍처는 대부분의 배포를 위한 Oracle 권장 아키텍처입니다. 비즈니스에 다음 중 하나 이상이 필요한 경우(배타적 목록이 아님) 허브-스포크 네트워크 아키텍처를 사용합니다.

  • 여러 VCN을 사용하여 워크로드를 분리합니다(또는 사용 계획).
  • 네트워크 방화벽, 인터넷 연결 로드 밸런서, WAF 및 인터넷 게이트웨이 리소스가 관리되는 허브 VCN에서 인터넷 연결 트래픽을 중앙 집중화합니다.
  • 운영, 테스트 및 개발 환경을 위한 네트워크 분리 유지

가상 클라우드 네트워크에 대한 사양

Oracle은 아키텍처의 복원력을 극대화하기 위해 사용 가능한 모든 OCI 기능을 활용할 것을 권장합니다. 3개의 가용성 도메인이 있는 리전에서 서브넷이 모든 도메인에 걸쳐 있을 수 있도록 VCN을 설계합니다.

다음 이미지는 고가용성 설계를 위해 가용성 도메인의 사용을 최대화하는 방법을 보여줍니다.


다음 vcn-network-design-example.png에 대한 설명입니다.
그림 vcn-network-design-example.png에 대한 설명

Oracle은 다음을 권장합니다.

  • 고가용성을 위해 모든 가용성 도메인에 걸쳐 있는 지역별 서브넷을 사용합니다.
  • 여러 워크로드에 대해 별도의 VCN을 생성하는 중입니다.

주:

단일 가용성 도메인이 있는 지역의 경우 장애 도메인을 사용하여 복원력을 강화합니다.

VCN 또는 서브넷 크기 조정

향후 확장을 위해 VCN을 계획하고 온프레미스 또는 기타 네트워크와 겹치지 않는 IP 주소 범위를 선택합니다.

다음 표에서는 필요에 따라 VCN 크기를 조정하는 방법에 대한 지침을 제공합니다.

VCN 크기 네트 마스크 서브넷 규모 VCN의 서브넷 수 서브넷당 사용 가능한 IP
작음 /24 /27 8 29
중간 /20 /24 16 253
/18 /22 16 1021
매우 큼 /16 /20 8 4093

VCN 내의 서브넷마다 다른 CIDR 블록 크기를 사용하여 특정 작업 로드 요구사항에 맞게 최적화할 수 있습니다.

주:

OCI는 각 서브넷에 3개의 IP 주소를 예약합니다.

보안 목록 및 네트워크 보안 그룹

보안 목록을 사용하면 서브넷의 모든 리소스에 적용되는 보안 규칙 세트를 정의할 수 있습니다.

보다 세분화된 애플리케이션 레벨 보안을 위해 NSG를 사용합니다. NSG를 사용하면 특정 VNIC, 로드 밸런서, 데이터베이스 시스템 등에 대한 규칙을 정의할 수 있습니다.

다음 그림은 NSG를 사용하여 VCN의 서브넷 아키텍처를 보안 요구 사항과 분리하고 NSG_DB1을 사용하여 NSG_App1을 사용하여 리소스에 연결하는 리소스만 허용하는 방법의 예를 보여줍니다.


다음은 vcn-subnet-app-security-nsg-isolation.png에 대한 설명입니다.
그림 vcn-subnet-app-security-nsg-isolation.png에 대한 설명

보안 목록과 NSG를 모두 사용하여 프라이빗 서브넷과 퍼블릭 서브넷 모두에서 리소스에 대한 액세스를 제어할 수 있습니다. NSG와 보안 목록을 모두 사용하는 경우 결과는 NSG와 보안 목록의 요약 규칙이 결합됩니다.

Oracle은 NSG를 사용하여 다음을 수행할 것을 권장합니다.

  • 애플리케이션 보안 요구 사항과 VCN 서브넷 아키텍처를 분리합니다.
  • 특정 VNIC에 적용되는 수신 및 송신 규칙 세트를 정의합니다.

참고:

보안 목록을 사용하는 경우 Oracle은 모든 서브넷에 대해 결합된 보안 목록 대신 서브넷당 개별 보안 목록을 사용할 것을 권장합니다.

경로 테이블

라우트 테이블은 VCN 및 DRG(동적 라우팅 게이트웨이) 레벨 모두에 있습니다. DRG 레벨에서 경로 테이블은 정적 명령문이거나 임포트 경로 분배를 통해 동적으로 임포트할 수 있습니다. 라우트 테이블에 설정된 IP 접두어를 기반으로 한 연결에서 대상 연결로 트래픽 경로를 지정합니다. 각 첨부에 대한 특정 경로 테이블을 생성합니다. 테스트 또는 단순 프로토타입에 대해서만 기본 자동 생성된 경로 테이블을 사용합니다.

참고:

Oracle은 임포트 경로 분배를 사용하여 경로를 임포트할 것을 권장합니다.

다음 다이어그램은 DRG 레벨에서 연관된 경로 테이블을 보여줍니다.


다음 drg-level-route-table.png에 대한 설명입니다.
그림 drg-level-route-table.png에 대한 설명

DRG 레벨 경로 테이블은 다음을 관리합니다.

  • VCN 연결
  • FastConnect/가상 회선 연결
  • IPSec/VPN 첨부
  • RPC(원격 피어링 연결) 연결

주:

경로 테이블의 정적 경로는 FastConnect 또는 IPsec 첨부를 가리킬 수 없습니다. 대신 임포트 경로 분배를 사용하십시오.

VCN/서브넷 내에서 정적 경로를 사용하여 트래픽을 게이트웨이로 전달합니다. 각 서브넷에 개별 경로 테이블을 지정하여 아웃바운드 트래픽을 제어합니다. 동일한 VCN 내의 리소스는 명시적 경로(암시적 경로 지정) 없이 통신할 수 있지만 적절한 보안 규칙이 있어야 합니다.

다음 다이어그램은 경로 테이블과 기타 리소스를 연관시킬 수 있는 게이트웨이를 보여줍니다.


다음과 같이 individually-route-traffic-vcn.png에 대한 설명입니다.
개별적으로-route-traffic-vcn.png 그림에 대한 설명

라우트 테이블은 일반적으로 서브넷별로 연관되어 각 특정 서브넷의 트래픽을 제어합니다. 서브넷 내 리소스 또는 서브넷 내 리소스에 대한 고급 경로 지정을 구성할 수 있습니다.

라우트 테이블은 다음과 연관될 수 있습니다.

  • 서브넷
  • DRG 연결에 연결된 VCN(수신경)입니다. 일반적으로 방화벽으로 트래픽을 강제 적용할 때 사용됩니다.
  • 인터넷 게이트웨이
  • NAT 게이트웨이
  • 서비스 게이트웨이
  • LPG
  • VNIC
  • IP 주소