識別 VCN 拓樸和規格
決定哪些 VCN 拓樸和哪些 VCN 規格可滿足您的業務需求。
單一網路架構
下圖顯示單一網路架構的範例:
軸輻式網路架構
Oracle 對於未來需要調整規模的部署,建議您採用 Hub-and-Spoke 網路架構。
此架構允許部署 (例如防火牆、流量檢查管理節點等),並可讓您在企業內部部署和 OCI 之間或 VCN 之間導入防火牆軟體。下圖顯示使用集線網路架構的範例:
如果您的業務需要下列一或多個作業,請選擇集線架構:
- 展開以在未來包含更多 VCN
- 因當地法規需求,跨數個不同的 VCN
- 個別不同的 VCN 來區隔客戶
- 生產、測試和開發環境需要虛擬網路分離
- 中樞 VCN 中需要具備防火牆的傳輸路由功能
虛擬雲端網路規格
Oracle 建議使用所有可用功能,讓架構以儘可能回復。在有三個可用性網域的區域中,可使用這些網域並允許跨所有可用性網域的子網路。
Oracle 建議使用橫跨區域中所有可用性網域的區域子網路,並針對不同工作負載分別使用 VCN。
注意:
如果您計畫在具有單一可用性網域的區域中使用架構,請使用容錯域在一個可用性網域內建立更佳的抗逆力。
調整 VCN 或子網路大小
調整您的 VCN 以允許未來擴充,並且選擇與內部部署或其他可能連線之網路沒有重疊的 IP 位址範圍。
下表可協助您決定如何根據需求調整 VCN 的大小。
| VCN 大小 | 網路遮罩 | 子網路大小 | VCN 中的子網路數目 | 每一子網路可用的 IP |
|---|---|---|---|---|
| 小 | /24 | /27 | 8 | 30 |
| 中 | /20 | /24 | 16 | 254 |
| 大量 | /18 | /22 | 16 | 1022 |
| 超大 | /16 | /20 | 8 | 4094 |
安全清單和網路安全群組
安全清單為應用系統提供全面性的安全規則,並應用於每個子網路。但是,如果您在指定的子網路內有多個需要不同的安全態勢,且需要更精細的應用程式層次控制流量,NSG 可讓您建立這些精細規則,然後將多個資源新增至這些細微型應用系統層次。
下圖顯示範例,說明如何使用 NSG 將 VCN 的子網路架構與安全需求區分開來。
您可以使用安全清單或網路安全群組 (NSG),控制對專用子網路和公用子網路中資源的存取。您可以合併或個別使用。
Oracle 建議您在安全清單上使用 NSG,因為 NSG 可讓您將 VCN 子網路架構與應用程式的安全需求分開。使用 NSG 定義一組套用至特定 VNIC 的輸入和輸出規則。
安全清單可讓您定義一組套用至子網路中所有 VNIC 的安全規則。在下列範例安全清單中 (包含三個子網路),規則會套用至安全清單內包含的所有三個子網路:
- 子網路 1 10.0.0/24
- 子網路 2 10.0.1.0/24
- 子網路 3 10.0.2.0/24
例如 NSG 包含 VNIC 和安全規則的範例。NSG 群組規則適用於新增至 NSG 的 VNIC。
注意:
Oracle 建議您使用含有個別路由表的專用子網路,控制 VCN 內外的流量。