Identificar Topologia e Especificações da VCN

Escolha uma topologia e especificações de VCN que melhor atendam às suas necessidades de negócios.

Arquitetura de Rede Única

Se sua rede for destinada à prova de conceito (PoC) ou a um teste rápido, uma arquitetura de rede única - sem um firewall dedicado entre on-premises e a OCI ou entre VCNs - funcionará bem. Você poderá anexar mais VCNs posteriormente, se necessário.

O diagrama a seguir mostra um exemplo de uma arquitetura de rede única:


Veja a seguir a descrição de single-vcn-topology.png
Descrição da ilustração single-vcn-topology.png

Observação:

A Oracle recomenda usar o Oracle Cloud Infrastructure Web Application Firewall (OCI WAF) ou o OCI Network Firewall por motivos de segurança se você tiver aplicativos voltados para a Internet (IPs públicos).

Arquitetura de Rede Hub-and-Spoke

A Oracle recomenda uma arquitetura hub-and-spoke para implementações que talvez precisem ser dimensionadas no futuro. Essa topologia acomoda firewalls centralizados, inspeção de tráfego, nós de gerenciamento e permite software de firewall entre on-premises e a OCI ou entre VCNs (tráfego leste-oeste).

O diagrama a seguir mostra um exemplo de uso de uma arquitetura de rede hub-and-spoke:


Veja a seguir a descrição da ilustração hub-and-spoke-topology.png
Descrição da ilustração Hub-and-spoke-topology.png

Arquitetura de rede Hub-and-spoke é a arquitetura recomendada pela Oracle para a maioria das implantações. Use a arquitetura de rede hub-and-spoke se sua empresa exigir um ou mais dos seguintes itens (não uma lista exclusiva):

  • Use (ou planeje usar) várias VCNs para separar cargas de trabalho.
  • Centralize o tráfego voltado para a internet em uma VCN hub, na qual firewall de rede, balanceadores de carga voltados para a internet, WAF e recursos de gateway de internet são gerenciados.
  • Manter a separação de rede para ambientes de produção, teste e desenvolvimento.

Especificações da Rede Virtual na Nuvem

A Oracle recomenda que você aproveite todos os recursos disponíveis da OCI para maximizar a resiliência da arquitetura. Em regiões com três domínios de disponibilidade, projete sua VCN para que suas sub-redes possam abranger todos os domínios.

A imagem a seguir mostra como você pode maximizar o uso de domínios de disponibilidade para designs de alta disponibilidade.


Veja a seguir a descrição da vcn-network-design-example.png
Descrição da ilustração vcn-network-design-example.png

A Oracle recomenda:

  • Usando sub-redes regionais que abrangem todos os domínios de disponibilidade para alta disponibilidade.
  • Criando VCNs separadas para diferentes cargas de trabalho.

Observação:

Para regiões com um único domínio de disponibilidade, use domínios de falha para aumentar a resiliência.

Dimensionar Sua VCN ou Sub-redes

Planeje suas VCNs para expansão futura e selecione uma faixa de endereços IP que evite a sobreposição com suas redes locais ou outras.

A tabela a seguir fornece orientação sobre como dimensionar suas VCNs com base na sua necessidade.

Tamanho da VCN Máscara de rede Tamanho da Sub-rede Número de Sub-redes na VCN IPs Utilizáveis por Sub-rede
Pequeno /24 /27 8 29
Medium /20 /24 16 253
Grande /18 /22 16 1.021
Extragrande /16 /20 8 4.093

Diferentes sub-redes dentro de uma VCN podem usar diferentes tamanhos de bloco CIDR para otimizar para necessidades específicas de carga de trabalho.

Observação:

O OCI reserva três endereços IP em cada sub-rede.

Listas de Segurança e Grupos de Segurança de Rede

As listas de segurança permitem definir um conjunto de regras de segurança que se aplicam a todos os recursos de uma sub-rede.

Use NSGs para uma segurança mais granular no nível do aplicativo. Os NSGs permitem definir regras para VNICs específicas, balanceadores de carga, sistemas de banco de dados etc.

O gráfico a seguir mostra um exemplo de como você pode separar a arquitetura de sub-rede da VCN dos requisitos de segurança usando NSGs e permitir que apenas os recursos que usam NSG_DB1 se conectem ao recurso usando NSG_App1.


Veja a seguir a descrição da ilustração vcn-subnet-app-security-nsg-isolation.png
Descrição da ilustração vcn-subnet-app-security-nsg-isolation.png

Você pode usar listas de segurança e NSGs para controlar o acesso aos seus recursos em sub-redes privadas e públicas. Se você usar NSGs e listas de segurança, o resultado será as regras de resumo combinadas do NSG e da lista de segurança.

A Oracle recomenda o uso de NSGs para:

  • Separe a arquitetura de sub-rede da VCN dos requisitos de segurança do aplicativo.
  • Defina um conjunto de regras de entrada e saída que se apliquem a VNICs específicas.

Dica:

Se você usar listas de segurança, a Oracle recomenda que você use uma lista de segurança individual por sub-rede em vez de uma lista combinada para todas as sub-redes.

Tabelas de Roteamento

As tabelas de roteamento existem nos níveis de VCN e DRG (Dynamic Routing Gateway). No nível do DRG, as tabelas de roteamento podem ser instruções estáticas ou importadas dinamicamente por meio de distribuições de rota de importação. Eles roteiam o tráfego de um anexo para o anexo de destino com base no prefixo IP definido na tabela de roteamento. Crie tabelas de roteamento específicas para cada anexo; use tabelas de roteamento geradas automaticamente padrão apenas para protótipos simples ou de teste.

Dica:

A Oracle recomenda importar rotas usando distribuições de rota de importação.

O diagrama a seguir mostra as tabelas de roteamento associadas no nível do DRG:


Veja a seguir a descrição da rota de nível de drg-table.png
Descrição da ilustração drg-level-route-table.png

As tabelas de roteamento no nível do DRG gerenciam:

  • Anexos de VCN
  • Anexos do FastConnect/Circuito Virtual
  • Anexos IPSec/VPN
  • Anexos de conexão de pareamento remoto (RPC)

Observação:

Uma rota estática em uma tabela de roteamento não pode apontar para anexos FastConnect ou IPsec; use a distribuição de rota de importação.

Em uma VCN/sub-rede, use rotas estáticas para direcionar o tráfego para gateways. Designe tabelas de roteamento individuais a cada sub-rede para controlar o tráfego de saída. Os recursos dentro da mesma VCN podem se comunicar sem rotas explícitas (roteamento implícito), mas regras de segurança apropriadas devem estar em vigor.

O diagrama a seguir mostra gateways em que as tabelas de roteamento podem ser associadas, bem como outros recursos:


Segue-se a descrição do tráfego de rota individual-vcn.png
Descrição da ilustração autonomous-route-traffic-vcn.png

As tabelas de roteamento normalmente são associadas por sub-rede para controlar o tráfego de cada sub-rede específica. Você pode configurar o roteamento avançado a partir de recursos dentro da sub-rede ou para recursos dentro de uma sub-rede.

As tabelas de roteamento podem ser associadas a:

  • Sub-rede
  • VCN (entrada), anexada ao anexo do DRG. Normalmente usado ao forçar o tráfego a um firewall.
  • Gateway de internet
  • Gateway NAT
  • Gateway de serviço
  • LPG
  • VNIC
  • Endereço IP