确定 VCN 拓扑和规范
确定哪些 VCN 拓扑以及 VCN 规范可满足您的业务需求。
单个网络体系结构
下图显示了单个网络体系结构的示例:
星型网络架构
Hub 和 Spoke 网络体系结构是 Oracle 建议的部署方法,将来需要扩展。
此体系结构允许诸如防火墙、流量检查管理节点等部署,并允许您在内部部署与 OCI 之间或 VCN 之间实施防火墙软件。下图显示了使用中心网络体系结构的示例:
如果您的业务需要以下一项或多项服务,请选择一个星型架构:
- 扩展以在将来包括更多 VCN
- 由于当地法规要求,可以跨多个单独的 VCN
- 将客户分散在不同的 VCN 上
- 生产、测试和开发环境需要虚拟网络隔离
- 需要具有中心 VCN 中防火墙的传输路由功能
虚拟云网络规范
Oracle 建议使用所有可用功能来使体系结构尽可能具有弹性。在有三个可用性域的区域中,利用它们并允许子网跨所有可用性域。
Oracle 建议使用跨区域中所有可用性域的区域子网,并针对不同的负载使用单独的 VCN。
注意:
如果您计划在具有单个可用性域的区域中使用架构,则可以使用容错域在一个可用性域中提高弹性。
调整 VCN 或子网的大小
调整 VCN 大小以允许将来进行扩展,并选择与内部部署或其他可能连接到的网络不重叠的 IP 地址范围。
下表可帮助您根据需要确定如何调整 VCN 的大小。
| VCN 大小 | 网络掩码 | 子网大小 | VCN 中的子网数 | 每个子网的可用 IP |
|---|---|---|---|---|
| 小 | /24 | /27 | 8 | 30 |
| 中 | /20 | /24 | 16 | 254 |
| 大 | /18 | /22 | 16 | 1022 |
| 特大号 | /16 | /20 | 8 | 4094 |
安全列表和网络安全组
安全列表为应用提供了全面的安全性,并应用了安全规则。但是,如果您有多个资源在给定子网内需要不同的安全状况,并且需要在更精细的应用级别控制流量,则 NSG 允许您创建这些细粒度规则并向其添加多个资源。
下图显示了如何使用 NSG 将 VCN 的子网体系结构与安全要求分开的示例。
您可以使用安全列表或网络安全组 (NSG) 来控制对专用和公共子网中资源的访问。可以同时使用它们,也可以单独使用。
Oracle 建议在安全列表上使用 NSG,因为 NSG 允许您将 VCNs 子网体系结构与应用的安全要求区分开来。使用 NSG 定义一组适用于特定 VNIC 的入站和出站规则。
通过安全列表,您可以定义一组适用于子网中的所有 VNIC 的安全规则。在包含三个子网的以下示例安全列表中,规则将应用于安全列表中包含的所有三个子网:
- 子网 1 10.0.0/24
- 子网 2 10.0.1.0/24
- 子网 3 10.0.2.0/24
考虑 NSG 包括 VNIC 和安全规则的示例。NSG 组规则应用于添加到 NSG 的 VNIC。
注意:
Oracle 建议将专用子网与单独的路由表结合使用,以控制 VCN 内部和外部的流量。