識別 VCN 拓樸和規格

選擇最符合您業務需求的 VCN 拓樸和規格。

單一網路架構

如果您的網路是用於概念驗證 (PoC) 或快速測試,則內部部署和 OCI 之間或 VCN 之間沒有專用防火牆的單一網路架構可以正常運作。 如有需要,您可以稍後再附加更多 VCN。

下圖顯示單一網路架構的範例:



附註:

如果您使用對網際網路公開的應用程式 (公用 IP),Oracle 建議您使用 Oracle Cloud Infrastructure Web Application Firewall (OCI WAF) 或 OCI Network Firewall ,以獲得安全上的理由。

軸輻式網路架構

Oracle 建議未來需要擴展的部署使用軸輻式 (Hub-and-spoke) 架構。此拓樸可容納集中式防火牆、流量檢查、管理節點,並啟用內部部署和 OCI 之間或 VCN 之間 (西東流量) 的防火牆軟體。

下圖顯示使用軸輻式網路架構的範例:



軸輻式網路架構是 Oracle 建議的架構,適用於大多數部署。如果您的企業需要下列一或多個項目 (不是專用清單),請使用軸輻式網路架構:

  • 使用 (或計畫使用) 多重 VCN 分離工作負載。
  • 集中在中樞 VCN 中,管理網路防火牆、面向網際網路的負載平衡器、WAF 和網際網路閘道資源。
  • 維護生產、測試及開發環境的網路區隔。

虛擬雲端網絡規格

Oracle 建議您利用所有可用的 OCI 功能,以充分發揮架構的復原能力。在具有三個可用性網域的區域中,設計您的 VCN,使其子網路能夠跨所有網域。

下圖顯示如何將可用性網域的使用量最大化,以實現高可用性設計。



Oracle 建議:

  • 使用跨所有可用性網域的區域子網路,提供高可用性。
  • 建立不同工作負載的個別 VCN。

附註:

對於具有單一可用性網域的區域,請使用容錯域來增強復原能力。

調整 VCN 或子網路的大小

規劃您的 VCN 以供未來擴展,並選擇 IP 位址範圍,以避免與內部部署或其他網路重疊。

下表提供有關如何根據您的需求調整 VCN 大小的指引。

VCN 大小 網路遮罩 子網路尺寸 VCN 中的子網路數目 每個子網路可使用的 IP
小型 /24 /27 8 29
中型 /20 /24 16 253
大型 /18 /22 16 1021
特大 /16 /20 8 4093

VCN 內的不同子網路可以使用不同的 CIDR 區塊大小,針對特定工作負載需求進行最佳化。

附註:

OCI 在每個子網路中保留三個 IP 位址。

安全清單和網路安全群組

安全清單可讓您定義一組套用至子網路中所有資源的安全規則。

使用 NSG 以獲得更精細的應用程式層級安全性。NSG 可讓您定義特定 VNIC、負載平衡器、資料庫系統等的規則。

下圖顯示如何使用 NSG 分隔 VCN 的子網路架構與安全需求,並且只允許使用 NSG_DB1 的資源使用 NSG_App1 連線至資源的範例。



您可以使用安全清單和 NSG 來控制對專用和公用子網路中資源的存取。如果您同時使用 NSG 和安全清單,結果將會是 NSG 和安全清單的合併摘要規則。

Oracle 建議使用 NSG 來:

  • 將 VCN 子網路架構與應用程式安全需求分開。
  • 定義一組適用於特定 VNIC 的傳入和傳出規則。

秘訣:

如果您使用安全清單,Oracle 建議您為每個子網路使用個別安全清單,而不要對所有子網路使用合併的安全清單。

路由表

路由表同時存在於 VCN 和動態路由閘道 (DRG) 層次。 在 DRG 層次,路由表可以是靜態敘述句,也可以透過匯入路由分配動態匯入。它們會根據路由表中設定的 IP 前置碼,將流量從一個連附項遞送至目的地連附項。為每個附件建立特定的路由表;僅針對測試或簡單原型使用預設自動產生的路由表。

秘訣:

Oracle 建議使用匯入遞送分配來匯入遞送。

下圖顯示 DRG 層次的相關路由表:



DRG 層次的路由表可管理:

  • VCN 連附項
  • FastConnect/ 虛擬迴路附件
  • IPSec/VPN 連附項
  • 遠端對等連線 (RPC) 附件

附註:

路由表中的靜態路由無法指向 FastConnect 或 IPsec 附件;請改用匯入路由分配。

在 VCN/ 子網路內,使用靜態路由將流量導向閘道。將個別路由表指定給每個子網路,以控制輸出流量。同一個 VCN 中的資源無需明確路由 (隱含路由) 即可進行通訊,但必須具備適當的安全規則。

下圖顯示可以建立路由表關聯和其他資源的閘道:



路由表通常會根據子網路建立關聯,以控制每個特定子網路的流量。您可以從子網路內的資源或子網路內的資源設定進階路由。

路由表可與下列項目關聯:

  • 子網路
  • 連附至 DRG 連附項的 VCN (輸入)。通常用於強制傳送流量至防火牆。
  • 網際網路閘道
  • NAT 閘道
  • 服務閘道
  • LPG
  • VNIC
  • IP 位址