Identificar Topologia e Especificações da VCN
Decida qual topologia de VCN e quais especificações de VCN atendem às suas necessidades de negócios.
Arquitetura de Rede Única
O diagrama a seguir mostra um exemplo de arquitetura de rede única:
Arquitetura de Rede Hub e Spoke
A arquitetura de Rede Hub e spoke é a abordagem recomendada pela Oracle para implantações que exigem dimensionamento no futuro.
Essa arquitetura permite implantações como firewalls, nós de gerenciamento de inspeções de tráfego etc. e permite que você implemente um software de firewall entre local e OCI ou entre VCNs. O diagrama a seguir mostra um exemplo de uso de uma arquitetura de rede hub e spoke:
Escolha uma arquitetura hub e spoke se o seu negócio exigir um ou mais dos seguintes:
- Expanda para incluir mais VCNs no futuro
- Abranger várias VCNs separadas devido a requisitos regulatórios locais
- Separar clientes em VCNs separadas
- Exigir separação de rede virtual para ambientes de produção, teste e desenvolvimento
- Exigir recursos de roteamento de trânsito com firewall na VCN de hub
Especificações da Rede Virtual na Nuvem
A Oracle recomenda o uso de todos os recursos disponíveis para tornar a arquitetura o mais resiliente possível. Em regiões nas quais há três domínios de disponibilidade, use-os e permita que sub-redes se estendam por todos os domínios de disponibilidade.
A imagem a seguir mostra como você pode maximizar o uso de domínios de disponibilidade para designs de alta disponibilidade.
A Oracle recomenda o uso de sub-redes regionais que abrangem todos os domínios de disponibilidade em uma região e VCNs separadas para cargas de trabalho diferentes.
Observação:
Se você planeja usar a arquitetura em uma região com um único domínio de disponibilidade, use domínios de falha para criar melhor resiliência dentro de um domínio de disponibilidade.
Dimensione sua VCN ou Sub-redes
Dimensione suas VCNs para permitir expansão futura e escolha uma faixa de endereços IP que não se sobreponha a redes locais ou a outras com as quais você possa se conectar.
A tabela a seguir ajuda a decidir como dimensionar suas VCNs de acordo com sua necessidade.
| Tamanho da VCN | Máscara de rede | Tamanho da Sub-rede | Número de Sub-redes na VCN | IPs Utilizáveis por Sub-rede |
|---|---|---|---|---|
| Pequeno | /24 | /27 | 8 | 30 |
| Médio | /20 | /24 | 16 | 254 |
| Grande | /18 | /22 | 16 | 1022 |
| Extra Grande | /16 | /20 | 8 | 4094 |
Listas de Segurança e Grupos de Segurança de Rede
As listas de segurança fornecem segurança abrangente aos aplicativos com regras de segurança aplicadas em cada sub-rede. Mas se você tiver vários recursos que exijam diferentes posturas de segurança em uma determinada sub-rede e precisar controlar o tráfego em um nível de aplicativo mais granular, um NSG permitirá que você crie essas regras granulares e adicione vários recursos a elas.
O gráfico a seguir mostra um exemplo de como você pode separar a arquitetura de sub-rede da VCN dos requisitos de segurança usando NSGs.
Você pode usar Listas de Segurança ou Grupos de Segurança de Rede (NSG) para controlar o acesso a seus recursos em sub-redes privadas e públicas. Você pode usá-los em conjunto ou separadamente.
A Oracle recomenda o uso de NSGs em listas de segurança porque os NSGs permitem que você separe a arquitetura de sub-rede VCNs dos requisitos de segurança do seu aplicativo. Use NSGs para definir um conjunto de regras de entrada e saída que se aplicam a VNICs específicas.
As listas de segurança permitem definir um conjunto de regras de segurança que se aplicam a todas as VNICs de uma sub-rede. No exemplo de lista de segurança a seguir, que inclui três sub-redes, as regras se aplicarão às três sub-redes contidas na lista de segurança:
- Sub-rede 1 10.0.0/24
- Sub-rede 2 10.0.1.0/24
- Sub-rede 3 10.0.2.0/24
Considere um exemplo em que o NSG inclua VNICs e regras de segurança. As regras do grupo NSG se aplicam a VNICs adicionadas ao NSG.
Observação:
A Oracle recomenda o uso de sub-redes privadas com tabelas de roteamento individuais para controlar o fluxo de tráfego dentro e fora da VCN.