确定 VCN 拓扑和规范
单个网络体系结构
下图显示了单网络体系结构的示例:
注意:
如果您有面向互联网的应用(公共 IP),出于安全考虑,Oracle 建议使用 Oracle Cloud Infrastructure Web Application Firewall (OCI WAF) 或 OCI Network Firewall 。星型网络体系结构
下图显示了使用中心辐射型网络体系结构的示例:
Hub-and-spoke 网络架构是 Oracle 推荐的大多数部署架构。如果您的企业需要以下一项或多项(而非专属列表),请使用中心辐射型网络体系结构:
- 使用(或计划使用)多个 VCN 来分离工作负载。
- 在中心 VCN 中集中管理面向互联网的流量,该中心管理网络防火墙、面向互联网的负载平衡器、WAF 和互联网网关资源。
- 在生产、测试和开发环境中保持网络隔离。
虚拟云技术网络规范
下图显示了如何最大限度地利用可用性域进行高可用性设计。
Oracle 建议:
- 使用跨所有可用性域的区域子网来实现高可用性。
- 为不同的工作负载创建单独的 VCN。
注意:
对于具有单个可用性域的区域,请使用容错域来提高弹性。
调整 VCN 或子网的大小
为将来的扩展规划 VCN,并选择可避免与内部部署或其他网络重叠的 IP 地址范围。
下表提供了有关如何根据您的需求调整 VCN 大小的指导。
| VCN 大小 | 网络掩码 | 子网尺寸 | VCN 中的子网数 | 每个子网的可用 IP |
|---|---|---|---|---|
| 小 | /24 | /27 | 8 | 29 |
| 中 | /20 | /24 | 16 | 253 |
| 大 | /18 | /22 | 16 | 1021 |
| 特大号 | /16 | /20 | 8 | 4093 |
VCN 中的不同子网可以使用不同的 CIDR 块大小来优化特定负载需求。
注意:
OCI 在每个子网中保留三个 IP 地址。安全列表和网络安全组
通过安全列表,可以定义一组适用于子网中所有资源的安全规则。
使用 NSG 实现更细粒度的应用级安全性。通过 NSG,您可以为特定 VNIC、负载平衡器、数据库系统等定义规则。
下图显示了如何使用 NSG 将 VCN 的子网体系结构与安全要求分开的示例,并仅允许使用 NSG_DB1 的资源使用 NSG_App1 连接到资源。
您可以使用安全列表和 NSG 来控制对专用子网和公共子网中资源的访问。如果同时使用 NSG 和安全性列表,则结果将是来自 NSG 和安全性列表的组合汇总规则。
Oracle 建议使用 NSG:
- 将 VCN 子网体系结构与应用安全要求分开。
- 定义一组应用于特定 VNIC 的入站和出站规则。
提示:
如果使用安全列表,Oracle 建议使用每个子网的单个安全列表,而不是所有子网的组合安全列表。路由表
提示:
Oracle 建议使用导入路由分配导入路由。下图显示了在 DRG 级别关联的路由表:
DRG 级别的路由表管理:
- VCN 附加
- FastConnect/虚拟线路附加
- IPSec/VPN 附件
- 远程对等互联 (Remote Peering Connection,RPC) 附加
注意:
路由表中的静态路由不能指向 FastConnect 或 IPsec 附件;请改用导入路由分配。在 VCN/子网内,使用静态路由将流量定向到网关。将单个路由表分配给每个子网以控制出站流量。同一 VCN 中的资源可以在没有显式路由(隐式路由)的情况下进行通信,但必须具备适当的安全规则。
下图显示了可以关联路由表的网关以及其他资源:
路由表通常为每个子网关联,以控制来自每个特定子网的流量。您可以配置从子网内的资源或向子网内的资源的高级路由。
路由表可以与以下项关联:
- 子网
- VCN(地址),附加到 DRG 附加。强制流量到防火墙时通常使用。
- Internet 网关
- NAT 网关
- 服务网关
- LPG
- VNIC
- IP 地址